Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft.
Das neue Datenschutzgesetz betrifft fast jedes Unternehmen in der EU, natürlich und besonders alle Unternehmen, die im Online-Marketing / E-Commerce tätig sind und in irgendeiner Form mit Daten zu tun haben.
Auch unsere Dienste und die Zusammenarbeit mit unseren Datenpartnern, unseren Dienstleistern und natürlich vor allem mit den Nutzern unserer Datenpartner, sind von Änderungen betroffen.
Warum betrifft uns die DSGVO?
Q division bzw. unsere Auftragsverarbeiter schreiben den Usern auf den Seiten unserer Datenpartner bzw. Retargeting-Kunden Cookies. Das Setzen von Cookies an sich fällt als rein technischer Vorgang nicht unter die Regelung der Datenschutzgrundverordnung. Informationen in einem Cookie stellen jedoch personenbezogene Daten dar. Hier regelt die DSGVO umfassend sämtliche Aspekte der Erhebung, Verarbeitung, Weitergabe personenbezogener Daten.
Wieso betrifft die DSGVO unsere Cookies?
Jedem User werden von Q division (und unseren Auftragsverarbeitern) Cookie-IDs geschrieben, die nun unter der DSGVO als personenbezogen gelten dürften. Auch wenn diese Identifier pseudonym sind und keinen Bezug zu Name, Adresse o.ä. Daten zulassen, möchten wir nachweisen, dass wir verantwortungsvoll damit umgehen.
Es geht hier um die Frage, ob es erlaubt ist, dem User Cookies zu schreiben, ihm damit eine ID zu vergeben und auf welcher Rechtsgrundlage dies erfolgt.
Dafür wird entweder eine aktive Einwilligung des Users benötigt (Opt-in) (Art. 6 1a) DSGVO) oder man hat ein berechtigtes Interesse, (Art. 6 1f) DSGVO), dies auch ohne aktive Zustimmung zu tun. Was genau „berechtigtes Interesse“ ist, ist im Gesetz nicht eindeutig definiert und bedarf einer genauen Betrachtung im Einzelfall. Interessen des Nutzers werden dabei gegenüber den Interessen der Plattform, auf der Cookies gesetzt werden, abgewogen.
Auf welcher Rechtsgrundlage arbeitet
Q division?
Q division arbeitet mit einer Vielzahl an Datenpartnern, deren Angebote sich stark unterscheiden. Dazu zählen Webshops, Vergleichsseiten und Contentseiten mit verschiedenen Dienstleistungen und Themen. Auch unterscheidet sich die Art der Daten, die wir erheben.
Q division ist jeweils gemeinsam mit dem Datenpartner in der Verantwortung, für eine DSGVO-konforme Datenerhebung, -speicherung und -verarbeitung zu sorgen. Q division und alle Beteiligten ermöglichen dem User größtmögliche Transparenz im Umgang mit den erhobenen Daten.
Einige Datenpartner arbeiten mit uns auf Basis einer ausdrücklichen Einwilligung des Users (Opt-in). Andere Datenpartner erheben Daten auf Basis berechtigter Interessen und bieten dem User eine prominente Möglichkeit, sich aus dem Dienst auszutragen (Opt-out). Wir stützen diese Rechtsauffassung insbesondere dadurch, da wir bei Q division und im weiteren Verarbeitungsprozess in der Wertschöpfungskette auf folgende Rahmenbedingungen achten.
Pseudonymisierte Daten:
Die IDs, die wir und auch unsere Dienstleister in der Wertschöpfungskette dem User schreiben, sind pseudonymsiert. Zu keinem Zeitpunkt haben wir Kenntnis über Namen, Adresse, Geschlecht oder ähnlich personenbezogene Merkmale. Rückschlüsse auf die Person hinter dem für uns unbekannten User sind nicht möglich.
Datensparsamkeit:
Wir erheben von dem markierten User lediglich ein paar Bewegungsdaten (sein Surfverhalten) und ein paar technische Parameter (Bildschirmauflösung, Browser oder ähnliches). Wir achten sehr darauf, nur wenige, unkritische Daten zu erheben, die wir als Targetingkriterien später nutzen.
Getrennte Datenhaltung:
Die Daten, die wir auf den Seiten unserer Partner erheben, halten wir in separaten Datensilos in unserer Data-Management-Plattform.
Informationen für Nutzer
Unter dem Link www.q-division.de/datenschutz haben wir für Nutzer, deren Daten wir auf den Webseiten unserer Datenpartner erheben, alles Wissenswerte rund um die Erhebung, Speicherung und Verarbeitung ihrer Daten zusammengestellt.
Lesen Sie hier, welche Daten wir von Ihnen erheben, welche Verfahren wir einsetzen, um Ihre Daten zu schützen und warum wir zwar Daten erheben, aber Ihre Identität nicht kennen.
Des Weiteren haben Sie dort die Möglichkeit, sich aus unseren Diensten auszutragen.
Unter www.q-division.de/datenschutzerklaearung finden Sie die Datenschutzerklärung unserer eigenen Webseite.
Sie möchten wissen, ob Q division Daten von Ihnen verarbeitet?
Mit nachfolgender Cookie-Abfrage sehen Sie, wann und auf welcher Webseite wir Sie für unsere Kampagnen markiert haben und können sich – falls gewünscht – austragen:
Informationen und Downloadmöglichkeiten für unsere Datenpartner
Für unsere Datenpartner haben wir ein umfangreiches Informationspaket zur DSGVO zusammengestellt, dass wir Ihnen gerne auf Anfrage zusenden.
Bitte wenden Sie sich an Melanie Vogelbacher unter mvogelbacher@q-division.de
Datenschutzerklärungen
Damit User Transparenz über die Erhebung, Verarbeitung und Speicherung ihrer personenbezogenen Daten erhalten, müssen unsere Datenpartner unsere Datenschutzhinweise in ihre Datenschutzerklärungen auf ihren Seiten integrieren.
Nachfolgend finden Sie hier die Vorlagen entsprechend der jeweiligen Rechtsgrundlagen, auf der Sie mit uns arbeiten:
Datenschutzerklärung für die Verarbeitung auf Basis ausdrücklicher Einwilligung (Opt-in)
Datenschutzerklärung für die Verarbeitung auf Basis ausdrücklicher Einwilligung (Opt-in) Sonderfall: Gesundheitsseiten, Versandapotheken o.ä.
Datenschutzerklärung für die Verarbeitung auf Basis berechtigter Interessen (Opt-out).
Q division Consent Management Platform (Q Consent Manager)
Für das Einwilligungsmanagement auf den Seiten unserer Datenpartner stellen wir eine Consent Managment Platform bereit.
Ausdrückliche Einwilligung (Opt-in):
Nachfolgenden finden Sie eine beispielhafte Variante zur Einholung einer ausdrücklichen Zustimmung des Nutzers.
Das Privacy Center ermöglicht dem Nutzer seine Privatsphäreeinstellungen selbst zu wählen und einzelnen Diensten oder Gruppierungen (Erforderliche Cookies, funktionale Cookies, Werbecookies) seine Zustimmung zu geben.
Das Laden der Cookies auf der Seite erfolgt erst, nachdem der Nutzer seine Einwilligung gegeben hat.
Ausdrückliche Einwilligung (Opt-in) für Webseiten mit Gesundheitsinhalten und Versandapotheken:
Gesundheitsdaten unterliegen im Datenschutz besonderen Regelungen. Wir sind zwar der Auffassung, dass wir eigentlich keine Gesundheitsdaten im Sinne des Gesetzgebers sondern lediglich thematische Interessen an Gesundheitsthemen oder Produktinteressen verarbeiten. Dennoch könnten die in Gesundheitsforen, auf Gesundheitswebseiten und Versandapotheken erhobenen Daten als „Gesundheitsdaten“ gewertet werden, da sie evtl. einen Rückschluss auf die Gesundheit des Nutzers ermöglichen. Die Erhebung dieser Daten ist nach DSGVO nur mit aktiver und expliziter Einwilligung des Users möglich (Opt-in). Wenn Sie eine Versandapotheke, eine Gesundheitswebsite oder ein –forum betreiben, finden Sie unter nachfolgendem Link eine Vorlage für eine Opt-in-Variante speziell für Ihren Anwendungsfall:
Berechtigtes Interesse (Opt-out):
Arbeitet ein Datenpartner mit uns auf Basis berechtigter Interessen, werden Pixel geladen, sobald der User die Webseite bzw. Unterseiten aufruft.
Mit einem schmalen Cookie-Banner informieren wir den User über die Nutzung von Cookies und geben ihm gleich beim Einstieg in die Webseite die Möglichkeit, der Nutzung zu widersprechen.
Der Nutzer muss nicht nach Austragungsmöglichkeiten suchen, sondern hat im Privacy Center stets den Überblick über die eingesetzten Dienste.
Eine Demo-Version des Opt-outs finden Sie unter nachfolgendem Link:
Anmerkung zur ePrivacy Verordnung:
Sie haben bestimmt schon von der „ePrivacy-Richtlinie“ und von der „ePrivacy-Verordnung“ gehört. Im Markt gibt es zur Zeit etwas Verwirrung hinsichtlich der verschiedenen Gesetzesvorlagen und –texte, zumal sich die Gesetzeslage in Deutschland von der in anderen EU-Mitgliedsstaaten unterscheidet. Hier eine kurze Erläuterung: Im Jahr 2002 erließ die EU die sogenannte ePrivacy-Richtlinie. Richtlinien ersetzen nicht automatisch die Gesetze im jeweiligen Mitgliedsstaat, sondern sind Vorgaben der EU, die in die jeweiligen Landesgesetze übernommen werden müssen. Im Jahr 2009 wurde diese Richtlinie geändert und ergänzt (auch die Cookie-Richtlinie genannt). In Deutschland wurde diese Richtlinie nicht formell umgesetzt, man geht jedoch davon aus, dass dies zumindest durch Regelungen des Telemediengesetz (TMG) (insbesondere Art. 15 Abs. 3) derzeit hinreichend berücksichtigt wird. Wir gehen davon aus, dass das TMG auch nach Einführung der DSGVO weiterhin gelten wird.
Die ePrivacy-Verordnung ist nun ein neuer Gesetzestext der EU, der gerade im Gesetzgebungsverfahren ist. Im Gegensatz zu Richtlinien müssen Verordnungen (wie auch die DSGVO) nicht umgesetzt werden, sondern gelten direkt und ersetzen das bestehende nationale Recht. Die ePrivacy-Verordnung wird – wenn sie kommt – verschiedene Regelungen im TMG ersetzen. Diese Verordnung regelt dann voraussichtlich maßgeblich das Setzen von Cookies. Da sich die Regelungen, so wie aktuell vorgeschlagen, nur äußerst schwer umsetzen lassen und eine Vielzahl an heutigen Web- und Dienstleistungsangeboten nahezu unmöglich machen, hoffen wir, dass die Regelungen userfreundlicher und wirtschaftsfreundlicher ausgestaltet werden. Wir halten Sie diesbezüglich auf dem Laufenden.