{"id":7380,"date":"2017-12-28T19:06:30","date_gmt":"2017-12-28T19:06:30","guid":{"rendered":"http:\/\/www.criteo.com\/de\/insights\/gdpr-compliance-legal-bases-collecting-personal-data\/"},"modified":"2020-12-30T16:41:34","modified_gmt":"2020-12-30T16:41:34","slug":"compliance-mit-der-eu-datenschutz-grundverordnung-rechtsgrundsaetze-fuer-das-sammeln-von-personenbezogenen-daten","status":"publish","type":"post","link":"https:\/\/www.criteo.com\/de\/blog\/compliance-mit-der-eu-datenschutz-grundverordnung-rechtsgrundsaetze-fuer-das-sammeln-von-personenbezogenen-daten\/","title":{"rendered":"Compliance mit der EU-Datenschutz-Grundverordnung: Rechtsgrunds\u00e4tze f\u00fcr das Sammeln von personenbezogenen Daten"},"content":{"rendered":"

 <\/p>\n

Von Guillaume Marcerou, Criteo Global Privacy Director<\/em><\/p>\n

Im Mai 2018 tritt die EU-Datenschutz-Grundverordnung (General Data Protection Regulation \/ GDPR) in Kraft. Eines der am hei\u00dfesten diskutierten Themen im digitalen Marketing dabei: Technische IDs wie Cookies oder Mobile Advertising IDs gelten nun als personenbezogene Daten. Dies war allerdings bereits in vielen EU-Mitgliedstaaten schon l\u00e4nger geltendes Recht, so auch in Frankreich. US-amerikanische Unternehmen m\u00f6gen diese Entwicklung jedoch als au\u00dfergew\u00f6hnlich wahrnehmen. Der einzige Unterschied zur Gesetzgebung der einzelnen Mitgliedstaaten: Jetzt m\u00fcssen alle EU-Mitgliedstaaten Cookies und andere technische IDs als personenbezogene Daten behandeln.<\/p>\n

Mehr Informationen dazu, wie die EU-Datenschutz-Grundverordnung personenbezogene Daten und Zustimmung definiert, finden Sie hier.<\/a><\/p>\n

Was bedeutet das und welche Konsequenzen hat es f\u00fcr Ihr Unternehmen?<\/h3>\n

Die EU-Datenschutz-Grundverordnung definiert sechs Rechtsgrunds\u00e4tze f\u00fcr das Sammeln und Verarbeiten von personenbezogenen Daten in Europa. Wenn Sie also solche Daten sammeln und verarbeiten, unabh\u00e4ngig von der Art, muss dies auf einer Rechtsgrundlage geschehen, die die folgenden Faktoren einbezieht:<\/p>\n

    \n
  1. Das lebenswichtige Interesse des Einzelnen<\/li>\n
  2. \u00d6ffentliches Interesse<\/li>\n
  3. Erf\u00fcllung eines Vertrages<\/li>\n
  4. Erf\u00fcllung von rechtlichen Verpflichtungen<\/li>\n
  5. Eindeutige Einwilligung des Einzelnen<\/li>\n
  6. Berechtigtes Interesse des Datenverantwortlichen<\/li>\n<\/ol>\n

    Wichtig: Alle sechs Grunds\u00e4tze haben den gleichen rechtlichen Wert, d. h. sie sind unabh\u00e4ngig voneinander. F\u00fcr Unternehmen, die im Marketing oder digitalen Marketing t\u00e4tig sind und\/oder die zu diesem Zweck Daten sammeln, sind zwei dieser Rechtsgrunds\u00e4tze entscheidend:<\/p>\n

      \n
    1. Eindeutige Einwilligung des Einzelnen<\/li>\n
    2. Berechtigtes Interesse des Datenverantwortlichen<\/li>\n<\/ol>\n

      Welche dieser Grunds\u00e4tze erlaubt es einem Unternehmen, personenbezogene Daten in Form von technischen IDs (Cookies, Mobile IDs etc.) zu sammeln?<\/h3>\n

      Bei Criteo sind wir der \u00dcberzeugung: Die \u201eeindeutige Einwilligung\u201c ist von zentraler Bedeutung f\u00fcr unsere Kunden und Partner, die mithilfe von technischen IDs personenbezogene Daten sammeln.<\/p>\n

      Was bedeutet die \u201eeindeutige Einwilligung des Einzelnen\u201c? Wie l\u00e4sst sich diese Bestimmung auf das Sammeln von Online-IDs wie Cookies anwenden?<\/h3>\n

      Zun\u00e4chst einmal gibt es einen klaren Unterschied zwischen eindeutiger und expliziter Einwilligung.\u00a0<\/a>F\u00fcr eine explizite Einwilligung muss der User proaktiv einer Nutzung seiner Daten zustimmen (Opt-In). Dies gilt f\u00fcr sensible personenbezogene Daten wie Ethnizit\u00e4t, Religion, sexuelle Orientierung, Parteizugeh\u00f6rigkeit\/politische Meinung oder Gesundheit. Wichtig: Online-IDs (zum Beispiel Cookies) gelten hingegen als nicht sensible personenbezogene Daten. Entsprechend ist kein explizites Opt-In erforderlich.<\/p>\n

      Die Regularien zur eindeutigen Einwilligung werden sich voraussichtlich an den aktuellen Positionen der Datenschutzbeh\u00f6rden der einzelnen Mitgliedsstaaten orientieren. So ver\u00f6ffentlichte etwa die spanische Datenschutzbeh\u00f6rde, eine der strengsten in Europa, k\u00fcrzlich Richtlinien zur EU-Datenschutz-Grundverordnung, die besagten, dass Einwilligung dann als eindeutig anzusehen ist, wenn sich diese unmittelbar aus dem Handeln des Users ableiten l\u00e4sst: Als Beispiel wurde der User angef\u00fchrt, der eine Website weiter nutzt, obwohl er wei\u00df, dass diese Website Cookies einsetzt, um sein Surfverhalten zu erfassen.<\/p>\n

      Die Kunden und Partner von Criteo verarbeiten keine sensiblen Daten, sondern arbeiten mit Daten mit Bezug auf Surfverhalten, Kaufinteresse und Kaufhistorie, die mit pseudonymisierten technischen IDs verkn\u00fcpft sind.<\/p>\n

      (Mehr Informationen zu der Art von Daten, die Criteo sammelt, und die Auswirkungen der EU-Datenschutz-Grundverordnung auf unsere Arbeit finden Sie hier.)<\/a><\/p>\n

      Die von der EU-Datenschutz-Grundverordnung definierten Regeln f\u00fcr eine g\u00fcltige eindeutige Einwilligung entsprechen im Gro\u00dfen und Ganzen den Vorgaben aus einer fr\u00fcheren Arbeitsunterlage der Artikel-29-Datenschutzgruppe:<\/p>\n

        \n
      1. Spezifische Informationen. Die Einwilligung ist nur dann g\u00fcltig, wenn sie f\u00fcr den konkreten Fall gegeben wurde und auf angemessener Information beruht. Das hei\u00dft mit anderen Worten, dass eine pauschale Einwilligung ohne Angabe des genauen Zwecks der Verarbeitung nicht zul\u00e4ssig ist.<\/li>\n
      2. Zeitablauf. Grunds\u00e4tzlich ist die Einwilligung vor Beginn der Verarbeitung einzuholen.<\/li>\n
      3. Aktive Entscheidung. Die Einwilligung muss eindeutig sein. Folglich darf das Verfahren zur Einholung und zur Erteilung der Einwilligung keinen Zweifel an der Absicht der betroffenen Person lassen. Grunds\u00e4tzlich bestehen keine Einschr\u00e4nkungen hinsichtlich der Form einer Einwilligung. Damit die Einwilligung g\u00fcltig ist, muss sie jedoch durch eine aktive Willensbekundung des Nutzers erteilt werden. Als Mindestform der Willensbekundung k\u00f6nnte jede Art von Zeichen angesehen werden, das ausreichend eindeutig ist, um die W\u00fcnsche der betroffenen Person zum Ausdruck zu bringen und f\u00fcr den f\u00fcr die Datenverarbeitung Verantwortlichen verst\u00e4ndlich zu sein (beispielsweise eine handschriftliche Unterschrift unter einem Papiervordruck oder ein aktives Verhalten, aus dem nach vern\u00fcnftigem Ermessen auf eine Einwilligung geschlossen werden kann).<\/li>\n
      4. Ohne Zwang. Eine Einwilligung kann nur dann g\u00fcltig sein, wenn die betroffene Person eine echte Wahlm\u00f6glichkeit hat und keine Gefahr einer T\u00e4uschung, Einsch\u00fcchterung, N\u00f6tigung oder betr\u00e4chtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt.<\/li>\n<\/ol>\n

        Inwiefern l\u00e4sst sich der Grundsatz \u201eberechtigtes Interesse des Datenverantwortlichen\u201c anwenden?<\/h3>\n

        F\u00fcr ein berechtigtes Interesse muss der Zweck der Datenverarbeitung von den Usern nach vern\u00fcnftigem Ermessen erwartbar sein. Die Verarbeitung von personenbezogenen Daten f\u00fcr Zwecke des Direktmarketings l\u00e4sst sich daher als berechtigtes Interesse betrachten. Dieses berechtigte Interesse wiegt jedoch nicht schwerer als die grundlegenden Rechte der Konsumenten in den Bereichen Datenschutz und Wahrung der Privatsph\u00e4re. Es ist also notwendig, angemessene Sicherheitsma\u00dfnahmen zu implementieren, mit denen potentielle Risiken f\u00fcr die Privatsph\u00e4re der User adressiert werden. Bevor sich ein berechtigtes Interesse geltend machen l\u00e4sst, m\u00fcssen daher die folgenden grundlegenden Standards erf\u00fcllt sein:<\/p>\n