Downloads

DSGVO im Marketing richtig angewendet

Wirksame Marketing mit Datenschutz-Vorschriften umsetzten

Für viele im Marketing bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen. Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder für Customer-Relationship-Management (CRM).

Kunden wollen zwar möglichst individuell betreut werden, sie erwarten aber einen vertrauenswürdigen und datenschutzkonformen Umgang mit ihren Daten. Siehe hierzu auch unseren Blog Künstliche Intelligenz und der Datenschutz.

Dieser Blog richtet sich an Online-Händler und Marketingverantwortliche, die wissen wollen, was geht und was riskant ist.

Die meisten Regelverstöße werden bei den Kontaktformularen auf den Webseiten und im Bereich CRM- Systemen gemacht.

Ähnlich wie im Vertrieb sind die häufigsten relevanten Gesetze das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Siehe hier auch den Tulos Blog „Datenschutz im Vertrieb richtig angewendet“.

Grundsätzlich ist die Verarbeitung und Speicherung von personenbezogenen Daten ohne vereinbarten Zweck verboten, 39 BDSG und DSGVO. Hinzu kommt die Pflicht zur Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO.

CRM und das Kontaktformular auf den Webseiten dienen aber sehr oft eher dem Anbieter und nicht dem Kunden. Denn der Anbieter möchte Informationen zum Kunden sammeln und aufbereiten. Zweck ist hierbei, die Bedürfnisse des Kunden zu ermitteln, um ihn erfolgreicher anzusprechen oder zu bedienen. Von Datenminimierung kann keine Rede sein. Den Kunden nach dessen Bedürfnissen besser zu bedienen, mag ein edler Zweck sein, die Datenschutzbehörden sehen dies aber oft anders. Amtliche Datenschützer sehen meistens das Interesse des Kunden weniger berücksichtigt als jenes der Anbieter.

Typisches Beispiel: Online-Shops.

Online-Shops verlangen nicht selten die Registrierung eines Käufers für einen Warenkauf. Das ist verboten. Denn nach dem Kauf, der Bezahlung und der Lieferung ist der Geschäftszweck erloschen. Die Daten des Kunden, die für den Kauf nötig waren, z.B. Name, Adresse und Bezahlfunktion, werden nach dem Kauf nicht mehr benötigt. Sie müssen gelöscht werden. Eine Registrierung ist also wegen der Datenminimierung und wegen mangelnden Zwecks nicht erlaubt.

Der Online-Shop muss so gestaltet werden, dass der Warenkauf auch ohne Registrierung möglich ist. Dieser typische Fehler wird gerne von der „Abmahn-Liga“ moniert, weil er leicht zu entdecken ist.

Also, liebe Online-Händler, bitte den Online-Shop gleich richtig erstellen, um unnötige Strafen zu vermeiden. Konkrete Hilfe finden Sie in der Tulos Checkliste für Online-Shops.

Die Lösung für die Kommunikation mit dem Kunden wäre, beim Kaufprozess eine Einwilligung zur Datenverarbeitung und Speicherung einzuholen. Wenn diese Einwilligung freiwillig ist, also auch ohne diese der Kauf zustande kommen kann, kann man Kundendaten für CRM sammeln.

Aber Achtung! Dem Kunden muss bei der Einwilligung klar gemacht werden, welche seiner Daten verarbeitet und gespeichert werden und wie dies geschieht.

Komplizierte und lange Einwilligungs-Texte nerven, sie werden von Verbrauchern auch selten gelesen. Im Falle einer Abmahnung kann es passieren, dass Verbraucherschützer die Einwilligung für nicht gültig erachten, weil sie für die Zielgruppe zu kompliziert und unverständlich ist.

Tulos Experten wissen nicht nur, was erlaubt ist und was nicht. Wir können auch kundenfreundliche Texte formulieren, die der DSGVO entsprechen.

Für Online-Händler finden Sie auch wertvolle Informationen im Tulos-Blog „DSGVO für Online Shops im Jahr 2022“.

Marketingverantwortliche und Marketingagenturen müssen aufpassen.

Denn hier werden mit Hilfe von CRM-Systemen systematisch personenbezogene Daten gesammelt, aufbereitet und gespeichert. Dies ist, aus oben genannten Gründen, nicht erlaubt.

Viele CRM Systeme speichern die Daten auf Cloud-Systeme, deren Server außerhalb der EU stehen. Das ist grundsätzlich nicht schlimm, wenn die entsprechenden Vorsichtsmaßnahmen und Regelungen beachtet und umgesetzt werden.

Wenn die Aufbereitung mit Hilfe von künstlicher Intelligenz (KI) geschieht, gelten weitere Regeln, siehe Tulos-Blog „Künstliche Intelligenz und der Datenschutz.

Tulos Experten kennen Tools wie Salesforce, darunter Pardot und Salescloud. Auch Hubspot und Microsoft Dynamics CRM sind uns geläufig.

Mit diesen Systemen kann man Kunden aufbereiten, Personen profilieren und über „Sales-Automation“ den Vertrieb vorantreiben.

Die Regeln sind oben genannt, sie gelten für internes Marketing wie für Agenturen, welche im Auftrag arbeiten.

Agenturen

Agenturen sollten darauf achten, dass ihre Verantwortlichkeit klar von der des Auftraggebers abgegrenzt ist. Das vereinbart man im Dienstleistungs- und Auftragsdatenvereinbarungsvertrag (AVV).

Wenn man Adressen verarbeitet, die man nicht selbst eingeholt hat, also gekaufte Kontakte, muss sichergestellt sein, dass jede dieser Personen eine Einwilligung gegeben hat. Die Einwilligung muss klar darstellen, dass die Art, wie mit den Daten umgegangen wird, dem Betroffenen bekannt ist.

Im Tulos-Blog „Datenschutz im Vertrieb richtig angewendet“ finden Sie ein typisches Beispiel, wie ein kleiner Verstoß, für den nur 10,00€ Strafe verhängt wurde, sich schnell zu einer sehr hohen Strafe aufgeblasen hat. Dann nämlich, wenn man tausende Adressen ohne klare Einwilligung verarbeitet und sich die – auf den ersten Blick klein erscheinenden 10,00€ – zu einer sechsstelligen Summe multiplizieren.

Fazit

Datensammeln und Aufbereitung ist verboten. Hier muss man besonders auf die Gesetze achten, damit eine gut gemeinte Kampagne nicht in einer teuren juristischen Auseinandersetzung endet.

Bei jeder Marketingkampagne und der Erstellung von Webseiten lohnt es sich, einen Datenschutzbeauftragten hinzuzuziehen. Denn der kennt die Linien zwischen legaler und illegaler Datenverarbeitung. Tulos Experten kennen sich zudem auch mit den technischen Systemen aus und können bei der Umsetzung fachlich zur Seite stehen.

Datenschutz im Vertrieb richtig angewendet

Für viele im Vertrieb bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen.

Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder Kaltakquise.

Statt Gewinnung neuer Kunden bekommen Unternehmen Kontakt von der Datenschutzbehörde oder Rechtsanwälte. Die staatlichen Datenschützer verhängen nicht nur empfindliche Strafen, sie prüfen dann auch gerne das gesamte Unternehmen auf Datenschutz-Konformität. So eine Prüfung zieht fast immer aufwändige Maßnahmen mit sich, die niemand haben will.

Dieser Blog richtet an Vertriebsverantwortliche, die wissen wollen, was geht und was riskant ist.

Zunächst die am häufigsten angewendeten Gesetze bei Datenschutzverstößen im Vertrieb.

Für Marketing und Vertrieb sind das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO die am häufigsten angewandten Gesetze. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Juristen werden an dieser Stelle mehr berichten können.

Die direkte Kundenansprache.

Hier eine Übersicht klassischer Kaltakquise. Die Tabelle berücksichtigt die Ansprache von Privatpersonen (B2C) und Kontaktaufnahme von Angestellten in Unternehmen (B2B).

DSGVO Vertrieb

Die Tabelle macht es deutlich. Ohne Einwilligung geht fast gar nichts. Wer also Personen privat oder in Unternehmen anspricht, ohne das diese vorab eine Einwilligung gegeben haben, riskiert eine Abmahnung.

Schon eine Abmahnung mit 10,00€ Strafe pro Akquise-Adresse kann schnell zu einer Gesamtstrafe von 100.000€ wachsen. Hier das Rechen-Beispiel:

Angenommen die Strafe beträgt lediglich 10,00€. weil der Schaden für den Betroffenen gering ist. Bei einer Kampagne mit 10.000 Adressen, wären aber 100.000€ fällig, denn die Datenschutzbehörde geht davon aus, dass keine der Adressaten eine Einwilligung erteilt hat. Bei Kampagnen mit tausenden Adressaten kann also so ein Verstoß teuer werden, auch wenn der Schaden für den Einzelnen gering ist. Bei solchen Summen kommt schnell die Frage nach dem Schuldigen auf.

Schuld ist der Verantwortliche so das Gesetz und dieser muss oft seine Unschuld beweisen, denn bei der DSGVO gilt in vielen Fällen die Beweislast-Umkehr.

Wenn eine Agentur involviert ist, streiten sich Auftraggeber und die Agentur nicht selten um die Verantwortlichkeit. Wie so oft gilt der Rat; ein sauber definierter Vertrag zwischen Auftraggeber und Agentur ist im Streitfall hilfreich. Das gilt vor allem für den Auftragsdatenvereinarungsvertrag (AVV). Warum der AVV von vielen als lästige DSGVO Auflage vernachlässig wird, liegt wohl daran, dass viele im Vertrieb die oben genannten Konsequenzen nicht kennen. Der AVV erinnert auch daran, die Herkunft der Adressenlisten festzustellen, inkl. aller benötigten rechtlichen Anforderungen, wie z.B. die Einwilligung.

Kann man potenzielle Interessenten ohne vorherige Einwilligung ansprechen?

Ja, das kann man, z.B. in den sozialen Medien und Handelsplattformen. Die meisten Social-Media-Plattformen und Handelsplattformen sind so gestaltet, dass die direkte Ansprache möglich, sogar erwünscht ist. Mehr soll hier nicht erläutert werden, denn alle Experten für Marketing und Vertrieb werden die Marketing-Methoden der gängigen Plattformen kennen. Als Datenschutzbeauftragte haben wir bei Tulos es meistens mit Amazon, eBay, Zalando, Facebook, Instagram, YouTube, Twitter und LinkedIn zu tun.

Es geht aber auch anders. Direkte Kundenansprache über Briefpost und über Paketbeilagen.

Briefpost sind sowohl für B2B als auch im B2C erlaubt. Ausgenommen sind ausdrückliche Ablehnungen. Mit Paketbeilagen kann man Kunden auch kontrolliert ansprechen. Tulos Kunde Dimabay verbindet Werber mit Paketversender. Hierbei werden das Dimabay-Netzwerk und ein Algorithmus genutzt. Ergebnis sind direkte Kundenansprachen für den Werber und reduzierte Versandgebühren für den Versender.

Fazit

Insbesondere im Vertrieb sollte man die Regeln der DSGVO besonders beachten, denn dieser Bereich hat bei den Datenschutzbehörden den Ruf den Datenschutz nicht immer korrekt zu beachten. Es sind aber auch viele Anwälte eifrig damit beschäftigt Datenschutzverstöße bei Kampagnen auszumachen. Abmahnungen und ungeplante Aufwände für Datenschutz-Anforderungen sind die Folge.

Bei jeder Marketing oder Vertriebskampagne ist es ratsam einen Datenschutzbeauftragten hinzuzuziehen, der der kennt, die Linien zwischen legaler und illegaler Datenverarbeitung.

In unserem nächsten Blog erläutern wir, wie man Einwilligungen kundenfreundlich gestaltet.

DSGVO für Online Shops im Jahr 2022

Worauf müssen Online-Händler achten, um Abmahnungen wegen Datenschutz-Verstößen zu vermeiden.

Viele Händler betreiben, neben ihrem stationären Ladenlokal auch einen Onlineshop. Die Zahl der Händler die ausschließlich über einen Onlineshop ihre Waren verkaufen, wächst noch schneller. Im B2C Bereich ergänzen Onlinehändler ihre Vertriebskanäle über bekannte Plattformen wie Amazon oder eBay.

Egal welche E-Commerce Methoden eingesetzt werden, es stellen sich immer die gleichen rechtlichen Fragen:

  • Wie müssen Bestellprozess, Preisangaben und Lieferangaben aussehen?
  • Wie sind AGB, Impressum und eine Datenschutzerklärung zu gestalten?
  • Und was muss rund um die Widerrufsbelehrung beachtet werden?

Mehr hierzu zeigt auch die Tulos DSGVO Checkliste für Online-Shops. Kostenlos!

Vermeiden Sie Abmahnungen für Datenschutzverstöße durch Verbraucherschutzverbände und Abmahnvereine oder verärgerte Kunden.

Datenschutzverstöße werden auch als Wettbewerbsverstoß gewertet. Abmahnungen können also beides beinhalten.

Dass die Datenschutzerklärung oder das Impressum der DSGVO entsprechen muss, hat inzwischen jeder Online-Shop-Betreiber verstanden. Hier macht kaum ein Händler Fehler, es gibt ja auch genügend Generatoren, die diese Texte rechtskonform für wenig Geld erstellen.

Aber, unbeabsichtigte Datenschutzverstöße merkt der Onlinehändler oft nicht.

Er sieht nicht selten überrascht und verärgert auf die Abmahnung in seinem Postfach.

Typische Fehler, die keiner haben will.

  • eine nicht DSGVO konforme Einbindung eines Facebook-Like-Buttons
  • Fehler in der AGB
  • veraltete/unsichere Software für den Online-Shop. Das ist besonders unnötig, wenn der Software-Hersteller eindeutig empfohlen hat, diese (veraltete) Softwareversion wegen ihrer bekannten Schwachstellen zu aktualisieren.
  • Unsicherer Zugriff auf die Webseiten, zum Beispiel durch unzureichende Passwörter. Teuer wird es, wenn Kundendaten durch Hacker ausgespäht wurden.

Verbraucherschützer sammeln Ärger-Shops.

Online-Händler mit den unten genannten Geschäftspraktiken können schlechter bewertet werden oder sogar wegen DSGVO Verstoß abgemahnt werden.

Zwei Beispiele, worauf Verbraucherschützer achten:

1.     Keine Möglichkeit von Gastbestellungen

Online-Shops müssen grundsätzlich die Möglichkeit schaffen, auch ohne Kundenkonto Bestellungen anzunehmen.

Die Gesetzgrundlage ist hierbei der Grundsatz der Datenminimierung.

Der Grundsatz der Datenminimierung besagt, dass nur die personenbezogenen Daten verarbeitet werden dürfen, die für die Vertragserfüllung notwendig sind. Für eine Bestellung im Online-Shop sind das also klassischerweise der Name, die Lieferanschrift, Rechnungsadresse und die E-Mail-Adresse.

In einem Kundenkonto werden die Daten auf Vorrat gespeichert, um mögliche, künftige Bestellungen zu erleichtern. Bei einer erstmaligen Bestellung kann der Händler nicht per se unterstellen, dass er Kundendaten für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kundenkontos ist eine entsprechende, bewusste Einwilligungserklärung des Kunden erforderlich.

Hinzu kommt das Problem der Freiwilligkeit einer Einwilligungserklärung. Da es sich bei der Anlegung eines Kundenkontos um keine erforderliche Datenverarbeitung handelt, muss der Kunde seine Einwilligung geben. Eine Einwilligung muss laut DSGVO freiwillig erfolgen. Es darf also kein Druck auf die Kunden ausgeübt werden.

Es gibt aber auch Ausnahmen: So kann es für Fachhändler bei bestimmten Berufsgruppen für die Vertragserfüllung erforderlich sein, Bestellungen nur über Kundenkontos zuzulassen. Der Grundsatz der Datenminimierung muss dennoch beachtet werden. So sollten Kundenkonten nach einer kurzen Frist bei Inaktivität automatisch gelöscht werden.

2.     Werbung mit Kundendaten und nach Benutzerverhalten ohne Einwilligung

Online-Händler haben durch die fortlaufenden Kundenkonten grundsätzlich die Möglichkeit, das Verhalten der Kontobesitzer auszuwerten und zielgerichtete Werbung zu versenden. Diese Form der Datenverarbeitung benötigt eine gesonderte Einwilligung. Denn dies ist eine Datenverarbeitung, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgeht. Die Nutzung dieser Kundeninformationen ist nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kundenkontos abgedeckt.

Fazit.

Vor allem für Online-Händler, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, empfehlen wir, den Datenschutz ernst zu nehmen, um unnötige Risiken zu vermeiden:

  • Der Onlineshop und die Prozesse der Warenwirtschaft sollten stabil laufen und gegen Datenpannen sowie Cyberkriminalität geschützt sein. Was zu beachten ist steht hier
  • Verstöße gegen die Gesetze des Datenschutzes sind ernst zu nehmen.
  • Fehler können zu teuren Abmahnungen und Ärger mit dem Verbraucherschutz führen.
  • Ein Datenschutzbeauftragter ist nicht immer gesetzlich vorgeschrieben. Er lohnt sich aber immer. Er kennt die Grenzen zwischen legaler und illegaler Datenverarbeitung. Tulos Datenschutzbeauftragte können zudem auch die erforderlichen Maßnahmen technisch umsetzen.

Gender-Hinweis

In unseren Texten verwenden wir nicht immer gender-neutrale Wörter. Chancengleichheit ist für uns aber selbstverständlich – unabhängig von Herkunft, sexueller Identität, Geschlecht, Alter und Religion. Für Tulos Consulting gehören Inklusion, Vielfalt und Toleranz zu den zentralen Werten des Unternehmens. Personenbezeichnungen in Web und Print gelten gleichermaßen für alle Geschlechter, es sei denn, dies ist explizit anderweitig definiert.

Datenschutz in der Arztpraxis

Hier finden Sie typische Beispiele aus der Arztpraxis, gefährliche Schwachstellen und eine Checkliste für die DSGVO Konformitätsprüfung.

Im Gesundheitsbereich ist der Datenschutz von entscheidender Bedeutung. Die Betroffenen und die Öffentlichkeit reagieren überaus sensibel, wenn es zu Datenpannen kommt.

Die Bestellung eines Datenschutzbeauftragten ist erst ab 20 Personen in der Praxis Vorschrift. Tulos-Datenschutzbeauftragte lohnen sich aber immer. Denn sie oder er wissen, worauf man für den Datenschutz achten muss und sorgen für reibungslose und sichere Abläufe, Technik inklusive. Abgesehen davon kosten sie nicht viel. Tulos berechnet für die Gestellung eines Datenschutzbeauftragten für Arztpraxen 90,00€/Arzt und Monat, zzgl. der gesetzlichen MwSt.

Typische Beispiele aus der Arztpraxis für die Datenerhebung und deren Weitergabe

Zum einen spielt die Datenerhebung eine wichtige Rolle. Dabei geht es um die Frage welche Daten eines Patienten gesammelt werden dürfen. Zum anderen muss die Datenweitergabe den Regularien der DSGVO entsprechen.

  • Am Empfangstresen, an dem die Patienten in Empfang genommen werden und ihr Anliegen mitteilen, muss die Erhebung von Patienteninformationen vertraulich sein.
  • Dritte dürfen nicht mithören können, wenn über Diagnosen informiert wird. Das kann passieren, wenn Ärzte und Arzthelfer sich über Testergebnisse und Diagnosen von Patienten in der Nähe des Wartezimmers befinden
  • Akten und Computer dürfen nicht unbeaufsichtigt bleiben, zum Beispiel, wenn das Praxispersonal den Empfangsbereich verlässt oder der Arzt sein Arztzimmer.
  • Sämtliche Informationen, welche sich in der Patientenakte befinden, dürfen nicht automatisch an Versicherungen oder Dritte weitergegeben werden.
  • Um die Herausgabe der personenbezogenen Daten rechtskonform zu gestalten, muss in der Regel eine Einwilligungserklärung des Betroffenen vorliegen.
  • Bei Gemeinschaftspraxen ist die Datenweitergabe unter Ärzten in der Regel nur dann zulässig, wenn diese die Patienten auch betreuen. Allerdings darf sich der Datenaustausch nur auf die für die Betreuung des einzelnen notwendigen Informationen beschränken. Jeder Informationsaustausch, der sich außerhalb dieses Rahmens befindet, ist unzulässig.
  • Löschung von Patientendaten
    Bei einem Behandlungsvertrag sind das z.B. 10 Jahre nach Abschluss der Behandlung. In Einzelfällen kann aus ärztlicher Sicht eine längere Aufbewahrung geboten sein (z.B. Risikogeburten für Mutter und/oder Kind oder chronischen Krankheiten).

Hier Mehr Beispiele und Informationen erhalten Sie bei einem Erstgespräch. Kostenlos!

Typische Schwachstellen in der Arztpraxis die zu teuren Konsequenzen führen können.

Gefährliche Bequemlichkeit und Alltagsstress in der Praxis.

Unaufmerksamkeit ist oft die Ursache, wenn vertrauliche Patienteninformationen für Unbefugte sichtbar sind, zum Beispiel, am Empfang oder auf dem Arzt-Schreibtisch.

Solche Missgeschicke können Patientenvertrauen gefährden und rechtliche Konsequenzen nach sich ziehen.

Mangelnde Kenntnisse im Umgang mit der Datenvereinbarung.

Unsachgemäßer Umgang mit vertraulichen Informationen und der EDV verursacht unnötig mehr Aufwand und ist auch ein Sicherheitsrisiko. Deshalb verlangt die DSGVO nachweisliche Kenntnisse im Umgang mit personenbezogenen Daten.

Mangelhafter Nachweis der DSGVO Erfordernisse.

Medizinische Einrichtungen müssen nachweisen, dass Ihre Praxis den Anforderungen des Datenschutzes entsprechen. Eine Prüfung durch die Datenschutzbehörde oder eine Beschwerde verursacht ungeplante Aufwände und im schlimmsten Fall eine teure Abmahnung.

Mangelhaft integrierte Praxis-Abläufe mit der Datenverarbeitung.

Die meisten Arztpraxen haben viele Abläufe digitalisiert. Viele Daten werden aber immer noch parallel auf Papier, digital und auf Drucker oder Fax verarbeitet. Das ist nicht nur aufwändig, dadurch passieren auch viele Fehler. Eine nachweisliche Kontrolle ist schwierig bis unmöglich. Für eine DSGVO Konformität muss die Kontrolle jedoch nachgewiesen werden.

Fazit

Viele Arztpraxen haben oft so viel zu bewältigen, dass der Datenschutz oft vernachlässigt wird. Das ist aber gefährlich. Daher ist es wichtig möglichst einfache Prozesse einzuführen auch bei Hektik eine sichere Datenverarbeitung möglich machen. Ein Datenschutzbeauftragter leistet hier wertvolle Hilfe.

Datenschutzbeauftragte von Tulos kennen die Anforderungen der DSGVO für medizinische Einrichtungen. Sie begleiten Arztpraxen bei der Umsetzung der erforderlichen Maßnahmen, einschließlich der IT-Systeme.

Tulos Datenschutz Checkliste für die Arztpraxis zum kostenlosen Download

Google Maps DSGVO konform auf der eigenen Webseite einbinden

Schritt für Schritt Erklärung wie man Google Maps in eine Webseite DSGVO konform einbindet.

Eine Onlinekarte hat fast jede Unternehmenswebseite. Sie informiert über den Firmenstandort. Sie hilft Kunden das Unternehmen zu finden. Für Handel und Dienstleistungen, die ihr Geschäft nicht nur Online betreiben ist dieser Wegweiser sehr hilfreich.

Aber Achtung! Wer Kartendienste falsch in die Webseite einbindet, kann mit teuren Abmahnungen rechnen, denn diesen Verstoß kann jeder sehen. Viele Kartenanbieter, die einen Quellcode zur Integration der Maps anbieten, lassen sich  nicht DSGVO konform nutzen.

Google Maps in die Webseite einbinden

  1. Für die gewerbliche Nutzung von Google Maps benötigt man einen „Google Maps API Key“. Diese Programmschnittstelle generiert Google, wenn man sich in der Google Cloud Plattform anmeldet.
  2. Zunächst muss die Einbindung von Karten in die Datenschutzerklärungaufgenommen werden. Diese klärt den User über die Übertragung der Daten zu den Kartenportalen
  3. Google Maps erfordert eine 2-Klick-Lösung.
    Der Nutzer muss vor dem Laden von Google Maps ausdrücklich darüber informiert werden, dass seine persönlichen Daten bzw. seine IP-Adresse an Google weitergeleitet werden können.
  • Bei WordPress gibt es Plugins, für die rechtssichere Karteneinbindung
  • Die drei der bekanntesten WordPress Google Maps Widgets sind:
    • WP Google Maps
    • Maps Widget for Google Maps
    • WP Store Locator
  • Alternative, OpenStreetMap ist grundsätzlich möglich, doch auch diese sind nicht immer datenschutzkonform. Einfachster Weg ist die Prüfung, ob die Karten durch das Privacy-Shield-Programm zertifiziert sind
  1. Wer zusätzlich einen Routenplaner anbieten will, sollte darauf achten, dass diese Funktion beim Einbinden von Google Maps in die Website funktioniert. Jedes Widget bzw. jeder Website-Baukasten und jedes CMS haben ihre Eigenheiten.

Was kostet Google Maps.

  • Kostenlos bis 28.500 monatliche Kartenaufrufe.
  • Kosten von Tool bzw. Plugin zur Einbindung von Google Maps in die Website, siehe Preislisten der Tools

Fazit: Kartenanbieter mit datenschutzkonformer Map-Einbindung

Ohne Probleme lassen sich die Kartendienste, von OpenStreetMap mit Hauptsitz innerhalb der EU oder Bing Maps sowie Google Maps einbinden.

Alle nehmen am Privacy-Shield-Programm teil. Wer Google Maps datenschutzkonform einbinden möchte, braucht zusätzlich immer eine Datenschutzerklärung auf seiner Website, die den Besucher über die Übertragung personenbezogener Daten aufklärt.

Stille Post: Warum müssen Informationen korrekt sein? DSGVO relevant!

Datenintegrität bedeutet die verlässliche Korrektheit von Daten. Das ist wichtig und keineswegs selbstverständlich! Denn eine der Gefahren ist die ungewollte Veränderung der Information. Jeder kennt das lustige Spiel „Stille Post“; also das Weiterreichen und die damit manchmal verbundenen, falschen Informationen.  Im richtigen Leben ist das aber kein Spaß!

Zusätzlicher Aufwand oder Vertrauensverlust sind die häufigsten Schäden, wenn Daten zerstört oder ungewollt verändert werden.

Auch die DSGVO verlangt nach korrekten, personenbezogenen Informationen, denn dies sind Schutzrechte in der EU.

Für die DSGVO und IT-Sicherheit gehört Daten-Integrität zu einem wichtigen Schutzziel.

In Artikel 5 DSGVO steht: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).“

Die DSGVO Art. 32 Abs. 1 Buchst. b verlangt „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“

Sicherheitsmaßnahmen müssen auch in den technisch-organisatorischen Maßnahmen (TOM) dokumentiert werden.

Ungewollt veränderte Informationen, in Dateien genau wie auf Papier, kommen im Alltag sehr häufig vor. Daher wundert es, dass viele Datenschutzkonzepte ihren Fokus auf Backups, Verschlüsselung und Verfügbarkeit legen. Veränderungen an den Daten führen aber dazu,   dass die Daten nicht mehr nutzbar sind. Das ist genauso schlimm wie verlorene Daten.

Personenbezogene Daten müssen also vor Manipulationen geschützt sein, so das Datenschutz-Gesetz. Alle anderen wertvollen Informationen sollten aber auch geschützt werden. Bei der Umsetzung der DSGVO nutzt Tulos oft Informationssicherheits-Standards, wie die ISO27001. Der Standard ist weltweit verbreitet und man erreicht dadurch die Schutzziele sowohl für die DSGVO als auch für die Informationssicherheit anderer unternehmenswertvoller Daten.

Maßnahmen für die Kontrolle und den Schutz der Integrität personenbezogener Daten dürfen also nicht fehlen, da Verantwortliche die Sicherheit der Verarbeitung auch in diesem Punkt gewährleisten müssen.

Empfehlungen und Checkliste des BayLDA zur Integrität

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nennt in seiner Checkliste zur „Good Practice bei technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO“ Maßnahmen, um den Grundsatz der Integrität personenbezogener Daten umzusetzen.

Die Datenschutz-Aufsichtsbehörde: „Verantwortliche müssen sowohl den Datenaustausch mit anderen Stellen über elektronische Kommunikationsnetze als auch den physikalischen Transport von mobilen Datenträgern und Dokumenten absichern. Vertraulichkeit und Integrität der personenbezogenen Daten sollen nicht beeinträchtigt werden.“

Tipp aus der Praxis:

Digitale Signaturen können bei der Datenweitergabe Sicherheit geben. Außerdem sind kryptographische Verfahrenund Hashwerte ebenfalls bei sehr vertraulichen Daten empfohlen.

Hash-Verfahren erkennen Manipulation an Daten, da sich dadurch Hash-Werte verändern. Hash-Werte sind für Daten digitale Fingerabdrücke. Wer also Hash-Werte von Daten zu einem bestimmten Zeitpunkt erzeugt und dies an einem späteren Zeitpunkt wiederholt, erkennt, ob die Daten verändert wurden oder gleich geblieben sind.

Quellen: Oliver Schonschek, Datenschutz-Praxis, DSGVO, BayLDA

By |12. Februar 2022|Categories: Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Stille Post: Warum müssen Informationen korrekt sein? DSGVO relevant!
Go to Top