Was ist DSGVO?
DSGVO steht für Datenschutz-Grundverordnung, im Englischen ist es als GDPR oder General Data Protection Regulation bezeichnet. Es handelt sich dabei um eine Verordnung der Europäischen Union, die Regelt wie mit personenbezogenen Daten durch private Unternehmen umzugehen ist. Die Regelung ist bereits am 24.05.2016 in Kraft getreten und muss ab 25.05.2018 zwingend angewendet werden.
Was ist die ePrivacy Richtlinie?
Im Zusammenhang mit DSGVO ebenfalls zu nennen ist die geplante sogenannte ePrivacy Richtlinie. Sie soll künftig den Umgang mit personenbezogenen Daten insbesondere in der elektronischen Kommunikation (Internet, Email, …) regeln. Die Richtlinie ist noch nicht final und kann daher noch Änderungen erfahren; es wird erwartet, dass der bisherige Entwurf weitestgehend unverändert ebenfalls am 25.05.2018 in Kraft treten wird.
Der bisherige Entwurf der Richtlinie schränkt beispielsweise die Nutzung von Trackingcookies ein, daher wird AdSpirit diese Regelungen bereits vorsorglich umsetzen.
Auf wen ist DSGVO anzuwenden?
In Bezug auf Onlinewerbung ist DSGVO immer dann anzuwenden, u.a. wenn …
- der Publisher in der EU ansässig ist
- der Advertiser in der EU ansässig ist
- der/die Mediatoren/Netzwerke/Broker/… in der EU ansässig ist/sind
- der Besucher der Webseite / Empfänger der Werbung in der EU ansässig ist
- eine dritte involvierte Partei (z.B. AdServer Anbieter) in der EU ansässig ist
Da AdSpirit in der EU ansässig ist, muss folglich die DSGVO immer und auf alle Daten angewendet werden, auch dann, wenn der betreffende Nutzer/Besucher nicht in der EU ist.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die einen Bezug zu einer Person direkt oder mittlebar haben und anhand derer die Identifikation der betroffenen Person möglich wird. Beispiele für Daten mit direktem Personenbezug sind etwa der Name, Anschrift, Telefonnummer, E-Mail-Adresse, Bankdaten, Bestellnummer oder IP-Adresse. Alle anderen Daten, etwa das Alter, Geschlecht oder Haarfarbe sind immer dann Personenbezogen, wenn sie mit den vorher genannten Daten kombiniert werden (können).
Wie muss mit personenbezogenen Daten künftig umgegangen werden?
Personenbezogene Daten bedürfen eines gesonderten Schutzes. Insbesondere muss der Nutzer künftig, soweit nicht eine Vertragserfüllung oder berechtigte Interessen dies erforderlich machen, explizit sein Einverständnis geben, bevor die Daten des Nutzers verarbeitet, gespeichert oder weitergegeben werden dürfen.
Was bedeutet DSGVO für mein Onlinemarketing?
Für Onlinewerbung hat DSGVO insbesondere folgende Bedeutung:
- Das Setzen von Cookies ist nicht mehr ohne Zustimmung möglich. Das Tracking von Actions auf Basis von Cookies ist daher bei Nutzern die keine Zustimmung gegeben haben nicht mehr möglich.
- Das Speichern von personenbezogenen Daten ist nicht mehr ohne Zustimmung möglich. Im Zusammenhang mit Onlinemarketing betrifft dies insbesondere die IP-Adresse des Besuchers.
- Die Weitergabe von personenbezogenen Daten ist nicht mehr ohne Zustimmung möglich. Etwa im Rahmen von OpenRTB oder in Form von Platzhaltern dürfen Daten wie die IP-Adresse des Besuchers nicht mehr weiter gegeben werden.
Was tut AdSpirit generell?
AdSpirit hat sich Firmenintern bereits seit Monaten auf die DSGVO vorbereitet und die nötigen Schritte unternommen um alle Anforderungen der DSGVO abzudecken. In Abstimmung mit unserer Anwaltskanzlei haben wir Unterlagen zusammen gestellt, unsere Mitarbeiter geschult, einen Datenschutzbeauftragten benannt und vieles weiteres getan.
Was tut AdSpirit vertraglich?
AdSpirit wird zum 01.05.2018 seine AGB an die DSGVO anpassen. In den neuen AGB enthalten sein wird dann eine gesonderte Anlage welche die Datenverarbeitung zwischen AdSpirit und seinen Kunden regelt („Vertrag zur Auftragsdatenverarbeitung“). Bei Neukunden werden die AGB automatisch Bestandteil des Vertrages; Bestandskunden müssen explizit einen Änderungsvertrag unterschreiben, diesen werden wir Ihnen in den nächsten Tagen zusenden.
Ich bin Publisher, was sollte ich tun/beachten?
- Auftragsdatenverarbeitungsvertrag mit Ihren Advertisern schließen, wenn Sie personenbezogene Daten an diese Weitergeben
- Auftragsdatenverarbeitungsvertrag mit Ihren sonstigen technischen Dienstleistern schließen (DMP, Analytics, CRM, …)
- CMP Einbinden um Zustimmung zur Datennutzung zu erlangen (nur verpflichtend wenn Sie selbst Daten verarbeiten, eine bestehende Zustimmung kann aber Ihren Advertisern helfen deren Kampagnenauslieferung zu verbessern)
- Eine Datenschutzerklärung auf Ihrer Webseite hinterlegen
Ich bin Vermarkter/Netzwerk, was sollte ich tun/beachten?
Als Vermarkter/Netzwerk sollten Sie:
- Auftragsdatenverarbeitungsvertrag mit Ihren Publishern schließen, wenn Sie personenbezogene Daten von diesen bekommen
- Auftragsdatenverarbeitungsvertrag mit Ihren Advertisern schließen, wenn Sie personenbezogene Daten an diese Weitergeben
- Auftragsdatenverarbeitungsvertrag mit Ihren sonstigen technischen Dienstleistern schließen (DMP, Analytics, CRM, …)
- Soweit vom Publisher nicht bereits durchgeführt: CMP Einbinden um Zustimmung zur Datennutzung zu erlangen (nur verpflichtend wenn Sie selbst Daten verarbeiten, eine bestehende Zustimmung kann aber Ihren Advertisern helfen deren Kampagnenauslieferung zu verbessern)
- Eine Datenschutzerklärung auf Ihrer Webseite hinterlegen
Ich bin Advertiser/Agentur, was sollte ich tun/beachten?
Als Advertiser/Agentur sollten Sie:
- Auftragsdatenverarbeitungsvertrag mit Ihren Partnern schließen, wenn Sie personenbezogene Daten von diesen bekommen
- Auftragsdatenverarbeitungsvertrag mit Ihren sonstigen technischen Dienstleistern schließen (DMP, Analytics, CRM, …)
- Eine Datenschutzerklärung auf Ihrer Webseite hinterlegen
Wie hole ich die Zustimmung der Nutzer ein?
Sieh hierzu den Hilfe-Abschnitt zum Thema TC-Strings.
Wie lange werden Protokolle mit personenbezogen Daten gespeichert?
AdSpirit legt ausschließlich Protokolle für Klicks und Actions an (siehe "Klicks:(Protokoll)" und "Tracking (... | Protokoll)" ). Das Klickprotokoll ist 14 Tage gültig, das Actionprotokoll unbegrenzt. Alle weiteren Daten zu Besuchern werden nur anonymisiert bzw. gruppiert gespeichert.