Datenschutz im Web – viel mehr als nur lästige Pflicht

DruckversionAls E-Mail versendenZum Magazin-Forum

Sechs Tipps zum korrekten Umgang mit Online-Kundendaten und Datenschutz-Anfragen

Vielen Unternehmen, die Online-Kundendaten zu Marketing- und CRM-Zwecken erfassen und verarbeiten, fällt es schwer, sich im Dschungel der gesetzlichen Bestimmungen zu orientieren und sich im Dickicht der Vorschriften datenschutzkonform zu bewegen. Der Hamburger Web-Controlling und Online-Marktforschungs-Spezialist etracker hat deswegen einen praxisorientierten Leitfaden entwickelt, der E-Commerce-Anbietern und Web-Marketing-Mitarbeitern konkrete Handlungsempfehlungen für effektives und rechtlich einwandfreies Datenschutzmanagement auf den Weg gibt.

Die folgenden 6 Tipps unterstützen Unternehmen nicht nur beim datenschutzkonformen Umgang mit Online-Kundendaten, sondern sorgen auch für ein adäquates Handling von Datenschutz-Anfragen von Nutzern.


Tipp 1: Gesetzlicher Hinweispflicht nachkommen

Unternehmen müssen ihre Kunden sowohl auf die Erhebung von personenbezogenen Daten hinweisen – dies sind Daten, die Informationen über bestimmte oder bestimmbare Personen bereitstellen – als auch über die Art der erhobenen Daten sowie Art und Umfang ihrer Verwendung. Auch über die Übermittlung an Dritte und die Datenverarbeitung außerhalb Deutschlands müssen Kunden aufgeklärt werden. Diese gesetzliche Verpflichtung zur Unterrichtung ergibt sich aus §13 Abs.1 Telemediengesetz.

Zu den Pflichten zählt zudem der Hinweis auf die Speicherung und Weiterverarbeitung von IP-Adressen, denn nach Teilen der deutschen Rechtsprechung zählen auch diese zu den personenbezogenen Daten. Anbieter sollten auch dann auf die Speicherung von IP-Adressen hinweisen, wenn Namen oder andere persönliche Identifikationsmerkmale nicht mit erhoben werden.


Konkrete Handlungsempfehlung:

Stellen Sie Hinweise zur Datenerhebung und -verarbeitung unter dem Stichwort "Datenschutz" für den Nutzer sofort erkennbar und transparent auf Ihre Website. Achten Sie darauf, dass diese Hinweise verständlich formuliert und für die Kunden jederzeit abrufbar sind. Verstecken Sie die Hinweise auf keinen Fall in den AGBs oder unter falschen Überschriften.

Machen Sie Ihre Kunden auch darauf aufmerksam, wenn sie ein Web-Analyse System einsetzen, und klären Sie sie transparent über den Zweck der Erhebung und die Verwendung der Daten auf. Ein Hinweis auf die Verwendung einer Analyse-Software ist zwingend erforderlich, wenn die Web-Analyse Daten außerhalb der Europäischen Union gespeichert oder verarbeitet werden.


Tipp 2: Widerrufs- und Widerspruchsrecht einräumen

Kunden besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, muss der Website-Betreiber dies veranlassen und technisch umsetzen. Dies betrifft insbesondere auch die Löschung vorhandener personenbezogener Daten, soweit sie nicht für die Vertragsbeziehung mit dem Nutzer benötigt werden. Aus datenschutzrechtlicher Sicht ist es daher nicht ausreichend, dem Kunden bestimmte Modifizierungen seines Browsers, etwa das Blockieren von Cookies, vorzuschlagen.


Konkrete Handlungsempfehlung:

Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie dem Widerspruchsrecht Ihrer Kunden entsprechen.

Damit Nutzungsdaten nicht gespeichert werden, sollten Sie zunächst das Logfile Ihres Webservers abschalten. Dort werden nämlich in der Regel IP-Adressen gespeichert, über die wiederum personenbezogene Nutzungsprofile generiert werden können. Oder Sie sollten das Logfile so umkonfigurieren, dass die IP-Adresse des Nutzers gar nicht aufgeführt wird. Viele Web-Analyse-Anbieter haben weitreichende Methoden, um einen aktiven Ausschluss eines einzelnen Besuchers aus der Datenerfassung sicherzustellen. Bei der Wahl eines Web-Controlling Anbieters sollten Sie auf eine solche Funktion unbedingt Wert legen.


Tipp 3: Datenschutzerklärungen von Dienstleistern prüfen

Viele Unternehmen übermitteln Daten an Dritte, die für sie tätig sind oder Dienste erbringen – beispielsweise an Betreiber von Web-Analyse Systemen. Werden personenbezogene Daten von Dritten verarbeitet, bedeutet dies nach deutschem Recht eine "Datenverarbeitung im Auftrag". Nach §11 Bundesdatenschutzgesetz bleibt der Auftraggeber in diesem Fall für die ordnungsgemäße Datenverarbeitung verantwortlich. Übermittelt ein Unternehmen also Daten etwa an einen Web-Analyse Anbieter und hat dafür keine ausdrückliche Zustimmung der Nutzer, haftet es für daraus entstehende Probleme und den Missbrauch durch Dritte.

Verwendet der Web-Analyse Dienstleister beispielsweise die ihm zur Verarbeitung vorliegenden Daten in personenbezogener Form für weitere Zwecke – etwa für die Bildung von personalisierten Interessensprofilen – oder gibt er personenbezogene Daten an Dritte weiter, wie dies bei kostenlosen Web-Analyse Diensten oft der Fall ist, ist nach geltendem Recht eine ausdrückliche Einwilligung des Betroffenen in Opt-In-Form vor der Datenerhebung erforderlich (§§ 12 Abs. 1 und 2, 13 Abs. 2 Telemediengesetz). Für Zuwiderhandlungen ist derjenige verantwortlich, auf dessen Internetseite(n) die Daten erhoben wurden. Unternehmen können sich nicht darauf berufen, dass sie in die technischen Abläufe ihres Dienstleisters keine Einsicht hatten.


Konkrete Handlungsempfehlung:

Analysieren Sie Ihre Datenverwendung genau. Sehen Sie sich die Vertrags- und Datenschutzerklärungen Ihrer Dienstleister im Detail an und bestehen Sie auf Klarheit. Lassen Sie sich von Ihren Analyse-Anbietern und Dienstleistern schriftlich mitteilen, wozu sie die auf Ihrer Internetseite erhobenen Daten verwenden, wenn eine solche Information nicht klar und verständlich bereitgestellt wird. Bleiben Sie hartnäckig, wenn Dritte Ihnen keine klare und vollständige Auskunft geben wollen und verzichten Sie im Zweifelsfall auf die Beauftragung.

Erfolgt die Datenverarbeitung durch Dritte außerhalb der EU, müssen Sie sich auf jeden Fall die Einhaltung des deutschen Rechts bei der Datenverarbeitung bestätigen lassen. Lassen Sie sich auch hier keineswegs durch ausweichende Antworten abwimmeln.

Um Auftragsdatenverarbeiter zu testen, lassen Sie sich den Inhalt der Verpflichtung zum Datengeheimnis, die diese für ihre Mitarbeiter verwenden, mitteilen und bestätigen, dass alle Mitarbeiter, die an der Auftragsdatenverarbeitung beteiligt sind, dementsprechend verpflichtet wurden. Sie sollten sich darüber hinaus vom Dienstleister auch sein Datenschutzkonzept vorlegen lassen.

Verlassen Sie sich nicht allein auf Prüfsiegel, mit denen etwa Web-Analyse Anbieter werben. Denn viele privatwirtschaftliche Prüfunternehmen untersuchen die Einhaltung der Datenschutzgesetze gar nicht. Häufig werden nur die Website und die Usability untersucht, nicht aber, ob die Anbieter interne Prozesse gemäß den deutschen rechtlichen Anforderungen etabliert haben und ihre Web-Analytics Lösung 100 Prozent datenschutzkonform ist. Achten Sie deswegen unbedingt darauf, ob ein Web-Analyse Anbieter von einer offiziellen Behörde geprüft wurde. Nur diese garantiert maximale Sicherheit.


Tipp 4: Sparsam mit Daten umgehen

Personenbezogene Daten dürfen nur in dem Umfang erhoben und gespeichert werden, wie das für den jeweiligen Zweck der Geschäftsbeziehung mit dem Kunden erforderlich ist. Dies ergibt sich aus dem Grundsatz der Datensparsamkeit und der Zweckbindung (§3a BDSG). Reine Nützlichkeit reicht grundsätzlich nicht aus. Konkret bedeutet dies, dass beispielsweise keine Namen oder Adressen für einen Newsletter erhoben werden dürfen. Hier darf ausschließlich die E-Mail-Adresse als Pflichtangabe verlangt werden. Auch die weit verbreitete verpflichtende Abfrage von Kunden-Telefonnummern bei Online-Bestellungen für eventuelle Rückfragen ist rechtswidrig.


Konkrete Handlungsempfehlung:

Erheben Sie nur Daten, die Sie für den jeweiligen Zweck auch wirklich benötigen. Verzichten Sie auf unnötige "Pflichtfelder", auch wenn weitere Daten für Marketing und Marktforschung wünschenswert wären.

Lassen Sie auf die Daten nur diejenigen Mitarbeiter zugreifen, die die Daten auch wirklich benötigen. Nutzen Sie die Daten nur zu dem Zweck, den Sie jeweils bei der Datenerhebung angegeben haben. Für andere Zwecke benötigen Sie in jedem Fall die Einwilligung des betroffenen Nutzers. Beim Web-Controlling sollten Sie darauf achten, dass Sie das Speichern von IP-Adressen vermeiden. Bei seriösen Web-Analyse Betreibern werden IP-Adressen – wenn überhaupt – standardmäßig nur verkürzt gespeichert.


Tipp 5: Datenschutz-Anfragen richtig beantworten

Nutzer haben nach §34 Bundesdatenschutzgesetz ein Auskunftsrecht über die zu ihrer Person gespeicherten Daten. Es ist deswegen sinnvoll – auch angesichts der jüngsten Skandale und der gestiegenen Sensibilität in der Bevölkerung – auf Anfragen gut vorbereitet zu sein und interne Prozesse zur Abwicklung solcher Anfragen zu etablieren.


Konkrete Handlungsempfehlung:

Legen Sie einen konkreten Ansprechpartner bei Fragen zum Thema Datenschutz fest. In Ihrem Unternehmen sollte eine zentrale Stelle, im Idealfall ein betrieblicher Datenschutzbeauftragter, über sämtliche Datenerhebungen und die weitere Verwendung der Daten informiert sein.

Für die Nutzer muss auf der Website direkt ersichtlich sein, wer der richtige Ansprechpartner für ihre Fragen ist: Binden Sie deswegen entweder einen direkten E-Mail-Link in die Datenschutzerklärung ein oder stellen Sie Ihren betrieblichen Datenschutzbeauftragten namentlich vor.

Wenn Sie eine Anfrage erhalten, sollten Sie sie gut durchlesen, eine klare und richtige Antwort geben und auf die Bedenken Ihrer Kunden eingehen – möglichst zeitnah und mit der erforderlichen Offenheit. Verweisen Sie auf Ihre Datenschutzerklärung, wenn alle Fragen darin adäquat beantwortet werden und sie gut sichtbar verfügbar ist. Sprachlosigkeit, unfreundliche und sachlich falsche Antworten oder ein Verweis auf eine Datenschutzerklärung, die keine relevanten Inhalte besitzt, wirken unseriös, unprofessionell und schaden dem Vertrauensverhältnis massiv.


Tipp 6: Sicherheitsbewusstsein schärfen

Seien Sie risikobewusst beim Umgang mit Kundendaten. Achten Sie darauf, dass keine Dateien mit Kundendaten auf Laufwerken liegen, die für alle Mitarbeiter zugänglich sind, und lassen Sie – so banal dies klingen mag – auch keine Datenträger mit Kundendaten herumliegen. Vermeiden Sie auf jeden Fall auch unsichere Übermittlungen, beispielsweise unverschlüsselte E-Mail-Anhänge. Bei all diesen Vergehen handelt es sich nicht um kleine Nachlässigkeiten – sie können vielmehr katastrophale Folgen haben. Das zeigen nicht zuletzt die jüngsten, publik gewordenen Datenschutz-Skandale.

Ein fehlendes Sicherheitsbewusstsein – von der Chefetage bis zu den unteren Ebenen eines Unternehmens – ist nach wie vor ein immenser Risikofaktor für einen effektiven Datenschutz.


Fazit

Datenschutz als eine lästige Pflicht anzusehen, ist schon vom Grundsatz her falsch. Vielmehr liegt ein ordnungsgemäßer, transparenter und umsichtiger Umgang mit personenbezogenen Daten auch im eigenen Interesse eines Unternehmens. Denn zum einen sorgt schlechter Datenschutz für Probleme mit Aufsichtsbehörden und Mitbewerbern, zum anderen können kriminell veranlagte oder nachlässige Mitarbeiter oder Dritte dem Unternehmen enormen Schaden zufügen. Und nicht zuletzt gilt: Online-Business ist Vertrauenssache.

Ein Anbieter, der intransparent oder gar rechtswidrig mit personenbezogenen Daten umgeht, ist nicht vertrauenswürdig. Transparenz und guter Datenschutz dagegen sind Verkaufsargumente und wichtige Bausteine für den Onlineerfolg – gerade angesichts der jüngsten, publik gewordenen Skandale.

07/2009, Christian Bennefeld



Als Gründer und geschäftsführender Gesellschafter ist Christian Bennefeld für das operative Geschäft, den Vertrieb und die Unternehmensstrategie der etracker GmbH verantwortlich.


Kommentare zu diesem Beitrag 


Schreiben Sie einen Kommentar zu diesem Beitrag

Newsletter abonnieren

Verpassen Sie nichts und bleiben Sie informiert mit unserem Newsletter.
Ihre E-Mail Adresse:  
RSS-Feed: Alle News aktuellUnsere News auf Ihrer Website

Weitere Beiträge zu diesem Thema

Enterprise 2.0: Was ein Unternehmen von Obamas Wahlkampf lernen kann
Jeder halbwegs informierte Mensch hat mitbekommen, dass der amerikanische Wahlkampf im Herbst 2008 vor allem durch den Einsatz Sozialer Netzwerke entschieden wurde. Das ist nur die halbe Wahrheit...
Die neue Einfachheit im CRM
Customer Relationship Management war erst ein Boom, dann ein Flop und jetzt eine Sache der Notwendigkeit. Das liegt auch an der Vereinfachung der Sprache. In den Jahren 1997 bis 2000 eroberte eine neuer Begriff die Beratungswelt...
Online-Fundraising: Die fünf Herausforderungen
Stellen Sie sich vor, Sie bereiten eine Spendenaktion vor. Stellen Sie sich weiterhin vor, Sie müssten innerhalb kürzester Zeit eine hohe Anzahl von Spendern finden, die bereit sind, Ihr Projekt uneigennützig zu unterstützen...
Was ist Virales Marketing und wozu ist es gut?
Klassische Werbekonzepte leiden zunehmend unter dem Information-Overload bei Werberezipienten: Die Aufmerksamkeit ist ein knappes Gut geworden. Neue Werbe-Konzepte sind gefragt...
10 "krisensichere" E-Mail Marketing Tipps
Wie kann E-Mail Marketing während der Finanzkrise am effektivsten und effizientesten eingesetzt werden ohne dem Sparstift zum Opfer zu fallen?

Beiträge aus anderen Themenbereichen

Praxis: Neue, mehrsprachige Konzernwebsite – von Livelink WCMS auf RedDot
Im Zuge der Ausgliederung aus dem MAN-Konzern suchte die manroland AG ein CMS und einen erfahrenen Dienstleister für die Umsetzung ihrer neuen, internationalen Webpräsenz. edicos überzeugte mit tiefgehender CMS-Expertise...
In fünf Schritten zur passenden BI-Lösung
Für viele Unternehmen ist eine BI-Lösung unverzichtbare Basis zentraler Geschäftsentscheidungen. Dabei kann BI vieles sein: von der einfachen Excel-Auswertung bis hin zur hochkomplexen IT-Lösung...
PDF/A – ein Format mit vielen Vorteilen
PDF/A ist ein ISO-standardisiertes Format für die Langzeitarchivierung von PDF-Dokumenten. Es sorgt nicht nur für die langfristige Lesbarkeit von Dokumenten, sondern ist der Schlüssel für viele Herausforderungen...

Sponsored Links

Aktfotografen
© 1999-2010 FEiG & PARTNER | Nutzungsbedingungen
Das Content Management PortalDas Dokumenten Management PortalDas IT-Security PortalDas Customer Relationship Management PortalDas E-Commerce PortalDas Enterprise Resource Planning PortalPortal für VoIP und mobile KommunikationDas Magazin für IT im KrankenhausDas Verzeichnis für IT-Profis
homeimpressumerklärung zum datenschutz - privacy policykontaktwerbung

magazin
know how
news
veranstaltungen

it-guide
produkte und anbieter
produktfinder
produktvergleich
marktanalyse
dienstleister
eintragen
stellenangebote
stellengesuche

community
expertenforen
experten
newsletter
umfragen

ressourcen
bücher
studien
glossar
library
gallery

Schnellsuche




Aktuelle Umfrage


Welche Art CRM-System wird in Ihrem Unternehmen eingesetzt?



Unser Partner


Beiträge von Galileo Business in unserem Magazin:
Unterstützung durch computerbasierte Supportsysteme
Definitionen und Thesen: Was bedeutet CRM?