• Startseite
  • Artikel
  • SEO
  • Wissen, wie man Daten unter der DSGVO verarbeitet? Dann bestehen Sie diesen Schnelltest.

Wissen, wie man Daten unter der DSGVO verarbeitet? Dann bestehen Sie diesen Schnelltest.

Veröffentlicht: 2018-03-10
Wissen, wie man Daten unter der DSGVO verarbeitet? Dann bestehen Sie diesen Schnelltest.

Einige Tests sagen Ihnen, ob Ihre Persönlichkeit eher ein „Frühling“ oder ein „Herbst“ ist.

Einige sagen Ihnen, ob die Datenschutzbehörde das gesetzliche Recht hat, Ihr Unternehmen mit Millionen von Dollar zu bestrafen.

Rate mal, welcher das ist.

Es ist Zeit zu spielen, ist das DSGVO-konform?

1.

DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

2.

DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

3.

Oli Gärtner ist DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

4.

SuperOffice GDPR-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

5.

DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

6.

Waitrose DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

7.

Woolworths GDPR-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

8.

Santander DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen

9.

DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

10.

Lancome DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

11.

DSGVO-konform?
  1. Dies ist konform.
  2. Dies ist nicht konform.
  3. Hmm … wir brauchen mehr Informationen.

Lösungsschlüssel

  1. B
  2. B
  3. B
  4. EIN
  5. B
  6. B
  7. EIN
  8. B
  9. EIN
  10. C
  11. C

Wenn Sie … 11 von 11 Punkten haben

Herzlichen Glückwunsch! Sie sind ein GDPR-Superstar … oder so etwas.

Titel, Auszeichnungen und Abzeichen sind nicht wichtig. Aber die Einhaltung der DSGVO ist sehr wichtig.

Und es scheint sicher, dass Sie sich mit der Verarbeitung personenbezogener Daten auskennen (sofern Sie es nicht erraten haben) – sei es für Cookies, E-Mails oder sensible Daten.

Also klopf dir auf die Schulter. Teilen Sie Ihre Weisheit. Bereiten Sie Ihre Kollegen vor. Und lesen Sie die nachstehenden Erläuterungen noch einmal durch, wenn Sie sich nicht sicher sind.

Wenn Sie … weniger als 11 von 11 Punkten haben.

Dieses Zeug ist hart

Gut. Wir kapieren es. Dieses Zeug ist hart.

Vielleicht möchten Sie weiterlesen….

Vermisse einen? Ratet mal, ein paar Mal? Benötigen Sie eine Erinnerung? Hier ist eine schnelle Aufschlüsselung.

1.B

Hey, schau, das ist dieses Beispiel, das du vielleicht im Internet gesehen hast!

Das ist richtig, Freunde – kreuzen Sie Ihre Zustimmungskästchen nicht vorab an. Die Menschen müssen jetzt aktiv zustimmen.

„Ich wollte nur auf die Schaltfläche „Weiter“ klicken. Das Kontrollkästchen habe ich gar nicht gesehen. Jetzt bin ich auf Ihrer E-Mail-Liste?“ – das sollten Ihre Benutzer nie denken.

Hier ist, was die DSGVO zur Verarbeitung der Einwilligung sagt, um es offiziell zu machen:

„Einwilligung“ der betroffenen Person ist jede freiwillige, spezifische, in Kenntnis der Sachlage erteilte und unmissverständliche Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder durch eine eindeutige zustimmende Handlung ihre Zustimmung zur Verarbeitung der sie betreffenden personenbezogenen Daten erklärt oder ihr – Artikel 4

Klare, bestätigende Aktion. Lassen Sie diese Felder leer.

2.B

Nein, nicht konform.

Der Schlüssel hier ist etwas, das als „Bündelung“ bezeichnet wird – was nach DSGVO nicht erlaubt ist. Hier sind ein paar verschiedene Zitate, die dem ein „Nein“ geben.

„Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, ist das Ersuchen um Einwilligung in einer von den anderen Angelegenheiten klar unterscheidbaren Weise zu formulieren (…) “ – Artikel 7 Absatz 2

„Die Einwilligung sollte alle Verarbeitungstätigkeiten abdecken, die für denselben Zweck oder dieselben Zwecke durchgeführt werden. Wenn die Verarbeitung mehreren Zwecken dient, sollte die Einwilligung für alle erteilt werden “ – Erwägungsgrund 32

Also eine Veranstaltung besuchen? Das ist ein klarer „anderer Zweck“ als ein monatlicher Newsletter. Die Einwilligung muss gesondert eingeholt werden.

3.B

Dies sieht aus wie unser standardmäßiges, überzeugendes Opt-in-Formular. Und das ist alle Arten von nicht konform.

Zunächst einmal wird darum gebeten, viele Informationen zu sammeln, die nicht erforderlich sind, um die betroffene Person an ihr Ziel zu bringen (auch bekannt als: ihnen das PDF zu senden, für das sie sich anmelden). Dies verstößt gegen die DSGVO-Anforderung der Datenminimierung oder „Privacy by Design“. Die bewährte Methode hier ist: Wenn Sie Informationen sammeln und es nicht klar ist, warum Sie sie sammeln, sollten Sie dies Ihren Benutzern mitteilen.

Facebook bietet ein großartiges Beispiel dafür, wie man dies richtig macht:

Facebook bietet ein großartiges Beispiel

Außerdem ist dieses Beispiel wieder Bündelung.

Es ist etwas weniger ungeheuerliche Bündelung als im vorherigen Beispiel. Indem Sie dem Empfang des PDF-Dokuments zustimmen, stimmen Sie zumindest dem Empfang von Inhalten zu. Ein Abonnement einer E-Mail-Liste und ein Download haben in dieser Hinsicht einen ähnlichen „Zweck“. Trotzdem – so formuliert wie es ist, würde es Ihnen schwer fallen, sie als „dasselbe“ einzurahmen. Die Einwilligung sollte daher gesondert erteilt werden.

4. A

Hey nein, das ist ziemlich gut!

Jetzt könnten Sie argumentieren , dass sie hier keinen Firmennamen oder keine Telefonnummer erfassen müssen. Daher sollten diese Felder zur Anpassung an Privacy by Design weggelassen werden.

Aber wenn man bedenkt, dass Ihr Benutzerziel hier darin besteht, ein CRM zu testen und Kundenbeziehungen für sein Unternehmen zu verwalten, ist es sinnvoll, dass das SuperOffice wissen möchte, wer dieses Unternehmen ist.

Also geben wir ihnen einen Pass.

Schauen Sie sich auch an, wie hübsch und segmentiert und deaktiviert diese Kästchen sind. Sie bitten um eine ausdrückliche Zustimmung zu ihrer Datenschutzrichtlinie. Sie haben um separate, aktive Zustimmung gebeten.

Wenn die DSGVO eingeführt wird, sollte dies fliegen.

5.B

Sie. waren es. nah dran.

Bis zu diesem zweiten Kontrollkästchen und der Erwähnung von Drittanbietern.

Gemäß der DSGVO muss jeder Dritte, mit dem Sie Ihre Daten teilen möchten, benannt werden. „Vertrauenswürdige Dritte“ ist nicht klar genug. Kategorien funktionieren nicht. Wenn sich jemand dafür entscheidet, von Dritten zu hören, muss er genau wissen, wer diese Parteien sind.

6.B

Die gute Nachricht ist also … sie haben Dritte richtig gemacht.

Sie haben ein ungebündeltes Zustimmungsrecht.

Dies ist jedoch ein Opt-out, kein Opt-in.

Sie werden kontaktiert, es sei denn, Sie kreuzen „nein“ an.

Das klingt für mich nicht nach bejahender, aktiver Zustimmung.

7. A

10/10.

Detailliertes Opt-in für Woolworth NAILS.

Falls Sie sich fragen, warum ich mich über dieses Beispiel irrational aufgeregt habe – das ist etwas, was viele Formulare vermasseln.

Ein häufiger Fehler besteht darin, um die Zustimmung zum Versenden von Materialien zu bitten, aber zu vergessen, das „Wie“ zu trennen.

Also zur Erinnerung: Wenn Sie Texte versenden möchten, benötigen Sie eine ausdrückliche Zustimmung zum Senden von Texten. Wenn Sie E-Mails versenden möchten, benötigen Sie eine gesonderte, spezifische Einwilligung zum Versand von E-Mails.

Woolworth teilt Ihnen auch genau mit, welche Art von Materialien Sie von ihnen erhalten. Das ist eine gute Idee, sowohl für die DSGVO-Compliance als auch um Ihr Publikum davon zu überzeugen, sich anzumelden.

8.B

Eine Schweigeminute für das Soft-Opt-in, denn die DSGVO hat es getötet.

Cookies mit eindeutigen Kennungen sind personenbezogene Daten im Sinne der DSGVO.

Und wie Sie sich erinnern – personenbezogene Daten erfordern eine aktive, eindeutige, spezifische Zustimmung.

Das bedeutet, dass der ganze Unsinn „durch Nutzung dieser Seite stimmen Sie zu“ nicht mehr legal ist. Und Sie können keine Cookies ausführen, bis Sie ein bejahendes Ja erhalten.

(Dies ist ein großes, kompliziertes und chaotisches Thema – das hat mit der Schnittmenge von GDPR und ePrivacy zu tun. Sie können hier mehr darüber lesen).

9. A

Großartig

Das macht alles, was Nummer 8 falsch gemacht hat, richtig.

Es sagt Ihnen genau, wofür diese Cookies verwendet werden. Und dann gibt es Ihnen eine klare Option, sie zu akzeptieren oder nicht zu akzeptieren.

Und für den letzten Schliff können Sie erweitern und auswählen, mit welchen Cookies Sie einverstanden sind und mit welchen nicht.

Es ist eine Sache der Schönheit, aus rechtlicher Sicht.

(Aus Marketing-Sicht haben Sie Ihren Benutzern jedoch nicht viel Grund gegeben, sich zu entscheiden oder nicht. Vielleicht könnte eine bessere Erklärung des Nutzens der Cookies Ihrer Website bei diesem Unterfangen helfen).

10. C

Also so eine Fangfrage.

Wie wir bereits erwähnt haben, wenn wir über eine von der DSGVO genehmigte Einwilligung sprechen, schlägt dies fehl. Vorab angekreuzte Kästchen sind ein „Nein“.

Aber wenn wir uns fragen: „Hat Lancome das Recht, dieser Person eine E-Mail zu schicken?“, müssen wir noch ein paar Dinge auswerten.

Denn falls dies nicht schwierig genug wäre, ist die Einwilligung nicht die einzige Möglichkeit, personenbezogene Daten rechtmäßig zu verarbeiten .

Geben Sie ein: die Bedingung für berechtigte Interessen.

Aber rege dich nicht auf. Die Verarbeitung von Daten aufgrund vermeintlicher „berechtigter Interessen“ ist heikel.

Diese Bedingung ist eher für „Ich musste ihre Kontonummer verarbeiten, um Betrugspräventionsdienste durchzuführen“ Situationen.

Nicht „Ich dachte zu Recht, dass sie interessiert waren, also schickte ich ihnen eine Reihe von E-Mails ohne Zustimmung“-Fälle.

Aber eine Sache, die den Leuten grünes Licht zu geben scheint, hat mit den Daten bestehender Kunden zu tun.

Hier ist die Zeile in der Gesetzgebung, über die sie sprechen:

Ein solches berechtigtes Interesse könnte beispielsweise bestehen, wenn eine relevante und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen in Situationen besteht, in denen die betroffene Person ein Kunde oder im Dienst des Verantwortlichen steht. “ –Erwägungsgrund 47

Der Schlüssel hier ist, sich selbst zu fragen: „Würde ich (die betroffene Person) durch diese Aktion vernünftigerweise erwarten, dass meine Daten auf diese Weise verwendet werden?“

Wenn ich also ein Hemd kaufe – würde ich vernünftigerweise erwarten, dass ich eine E-Mail mit der Bestätigung meines Kaufs erhalte? (Ohne explizite Zustimmung zum Empfang von E-Mails?).

Ja, Sie haben ein ziemlich gutes berechtigtes Interesse, das hier zutrifft.

Was ist mit einer Benachrichtigung, dass es nächste Woche einen riesigen Rabatt auf ein ähnliches Produkt gibt?

Ihr Fall wird ein wenig dünner.

Wöchentliche E-Mails?

Papierrrrr dünn.

Um ehrlich zu sein, über Ihre Standard-Auftragsbestätigungen hinaus würden wir es nicht riskieren. Um die Zustimmung zu bitten (richtig!), ist der sicherste Weg, um sicherzustellen, dass Ihre Grundlagen abgedeckt sind.

Aber wenn Sie wirklich die Bedingung des berechtigten Interesses zur Verarbeitung personenbezogener Daten nutzen möchten, bitten wir Sie, dies zuerst zu lesen.

11. C

EINE ANDERE SPASS-TWIST AUF DIESEM.

Die DSGVO beschreibt eine separate Kategorie von Daten, die als „sensible personenbezogene Daten“ bezeichnet werden. Und die Verarbeitungsanforderungen sind für diese Art von Informationen unterschiedlich.

Ich gebe Ihnen gleich zu, das ist nicht das beste Beispiel. Es war also eine ziemlich grausame Frage, und es ist ziemlich weit hergeholt. (Es gibt gerade eine komplizierte Diskussion darüber, ab wann das Gewicht einer Person aus datenschutzrechtlicher Sicht als Gesundheitsdaten zählt, falls Sie interessiert sind).

Hier ist die genaue Formulierung, welche Daten aus Artikel 9 als „sensibel“ gelten:

Sensible personenbezogene Daten sind personenbezogene Daten, die aus Informationen bestehen über –

(a) die rassische oder ethnische Herkunft der betroffenen Person,

(b) seine politischen Ansichten,

(c) seine religiösen Überzeugungen oder andere Überzeugungen ähnlicher Art,

(d) ob er Mitglied einer Gewerkschaft ist (im Sinne des Trade Union and Labour Relations (Consolidation) Act 1992),

(e) seine körperliche oder geistige Gesundheit oder seinen Zustand,

(f) sein Sexualleben,

(g) die Begehung oder angebliche Begehung einer Straftat durch ihn oder

(h) jedes Verfahren wegen einer von ihm begangenen oder angeblich begangenen Straftat, die Entscheidung über ein solches Verfahren oder das Urteil eines Gerichts in einem solchen Verfahren.

Nehmen wir also an, diese App sammelt, was mit Sicherheit als Daten über eine Person „körperliche oder geistige Gesundheit oder Zustand“ zählt. Es fragt nach früheren Erkrankungen, protokolliert Ihr Gewicht und Ihren Blutdruck oder Ihre Schlafmuster im Laufe der Zeit.

Wenn es Informationen sammelt, die als sensible personenbezogene Daten gelten, was dann?

Waren die persönlichen Daten für diese App nicht sensibel, scheint dies ein ziemlich konformes Aufnahmeformular zu sein. Es scheint, als ob es sich um einen klaren Fall von berechtigtem Interesse handeln sollte.

Sie melden sich an, um die App zu verwenden. Sie möchten die App nutzen. Sie stimmen der Nutzung der App zu.

Und die App zeichnet Ihre Fitness auf.

Natürlich erscheint es Ihnen legitim, dass sie nach Daten zu Ihrer Fitness fragen. Außerdem gibt es dort eine zugängliche Datenschutzrichtlinie und eine Erklärung zu den Nutzungsbedingungen, wenn Sie wissen möchten, wie diese Daten verwendet werden.

Es gibt jedoch zusätzliche Verarbeitungsbedingungen, die wir befolgen müssen, wenn es sich um „sensible personenbezogene Daten“ handelt.

  1. Berechtigte Interessen gelten nicht mehr als Verarbeitungsvoraussetzung.
  2. Wenn Sie sich für die Verarbeitung auf der Grundlage der Einwilligungsbedingung entscheiden, muss diese nicht mehr nur „eindeutig“ sein – sie muss „ausdrücklich“ sein.

Das bedeutet, dass es nicht ausreicht, einfach auf die Schaltfläche „Sign Me Up“ zu klicken.

Die DSGVO besagt, dass Sie eine Erklärung benötigen, die „die Art der erhobenen Daten, die Einzelheiten der automatisierten Entscheidung und ihrer Auswirkungen oder die Einzelheiten der zu übertragenden Daten und die Risiken der Übertragung angibt“ (Richtlinie 95/46/ EG, Artikel 29).

Oder, wie das ICO es aufschlüsselt:

Dies deutet darauf hin, dass die Zustimmung der Person absolut klar sein sollte. Es sollte die spezifischen Verarbeitungsdetails abdecken; die Art der Informationen (oder sogar die spezifischen Informationen); die Zwecke der Verarbeitung; und alle besonderen Aspekte, die die Person betreffen können, wie etwa alle Offenlegungen, die gemacht werden können.

UND DANN, sobald die Leute allllllll davon wissen, müssen Sie sie zu einer ausdrücklichen Aktion auffordern. Wie das Ankreuzen eines Kästchens mit der Aufschrift „Ich stimme zu“ oder „Ich stimme zu“.

Grundsätzlich: Sie sollten alles wissen, was Sie mit diesen Daten machen. Und sie sollten Ihnen klar sagen, dass sie damit einverstanden sind – mit einer positiven Handlung.

Also, wenn es sich um vertrauliche personenbezogene Daten handelt, reicht es nicht aus, Ihre Datenschutzrichtlinie und Ihre Nutzungsbedingungen im Kleingedruckten hinter das Formular zu werfen. Sie müssten sicherstellen, dass die Leute die Möglichkeit hatten, es zu lesen, und dann ein Kästchen ankreuzen oder auf eine Schaltfläche klicken, auf der „Ich stimme zu“ steht.