DSGVO-FAQ

Was ist die DSGVO?

Die EU-Datenschutz-Grundverordnung (DSGVO) ist eine umfassende Datenschutzverordnung, die zum 25. Mai 2018 die derzeitige Datenschutzrichtlinie 95/46/EG ersetzt. Im April 2016 genehmigte die Europäische Union nach mehr als vierjähriger Verhandlungszeit die DSGVO, mit der die Datenschutzvorschriften für Privatpersonen innerhalb der EU gestärkt und harmonisiert sowie die Digitalwirtschaft in der EU gestärkt werden sollen. Die DSGVO gilt direkt für Mitgliedsstaaten, ohne dass sie in nationale Gesetze umgesetzt werden muss.

Weitere Informationen und Materialien zur DSGVO finden Sie auf der DSGVO-Informationswebseite des IAB Europe.


Wann tritt die DSGVO in Kraft?

Die DSGVO ist ab dem 25. Mai 2018 durchsetzbar.


Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen, mit Sitz innerhalb der EU oder außerhalb, die personenbezogene Daten von EU-Bürgern verarbeiten. Die DSGVO gilt für diese Unternehmen selbst dann, wenn die von ihnen angebotenen Waren oder Dienstleistungen kostenlos sind.

Falls Sie ein Inhalteanbieter sind und den potentiellen Einfluss der DSGVO auf Ihre Werbeeinnahmen kennenlernen möchten, besuchen Sie unseren Online-Rechner.


Warum wollten die Regulierungsbehörden die DSGVO einführen?

Die Verbraucher von heute haben ein Bewusstsein dafür entwickelt, dass sie einige ihrer personenbezogenen Daten mit Unternehmen teilen müssen, um die von diesen Unternehmen angebotenen Dienstleistungen nutzen zu können, wie kostenlose Websiteinhalte. Eines der primären Ziele der EU-Kommission war es, EU-Bürgern die Kontrolle über ihre personenbezogenen Daten zurückzugeben.

Außerdem wollte die Kommission die Regulierungsumgebung für internationale Unternehmen vereinfachen, indem die Verordnung innerhalb der EU harmonisiert wird. Indem die Datenschutzvorschriften harmonisiert werden, will die DSGVO es für Unternehmen einfacher machen, diese Vorschriften zu erfüllen.


Welche Änderungen an der Definition personenbezogener Daten führt die DSGVO ein?

Die Definition personenbezogener Daten im Rahmen der DSGVO ist breit und absichtlich allumfassend. Insbesondere sind pseudonymisierte Daten als eine Unterkategorie personenbezogener Daten definiert und führen zur Anwendung der DSGVO. Pseudonymisierte Daten sind u. a. Cookies und andere Geräte- und Online-Kennungen (manche IP-Adressen, IDFA, AAID usw.), die dazu verwendet werden können, eine Einzelperson herauszustellen, selbst wenn die spezifische Identität dieser Einzelperson nicht bekannt ist (z. B. selbst wenn der Name oder die Adresse der Einzelperson nicht bekannt sind). Online-Kennungen sind ausdrücklich als Beispiele personenbezogener Daten im Rahmen der DSGVO genannt.

Aufgrund dieser breiten Definition personenbezogener Daten ist es höchstwahrscheinlich, dass Daten, die im Online-Werbeökosystem verarbeitet werden, unter die Definition personenbezogener Daten fallen und im Rahmen der DSGVO reguliert sind. Quantcast hat gemeinsam mit dem IAB Europe und weiteren Branchenexperten das Schriftstück des IAB Europe zur Definition personenbezogener Daten erarbeitet. Wir empfehlen Ihnen ausdrücklich, es sich für ein tiefergehendes Verständnis der Definition personenbezogener Daten durchlesen.


Welche Verpflichtungen führt die DSGVO in Bezug auf das Recht der Einzelperson auf Zugang zu Daten und der Löschung von Daten über sich selbst ein?

Im Rahmen der DSGVO haben Einzelpersonen das Recht, in „angemessenen Abständen“ Zugang zu verlangen und Verantwortliche müssen ihnen im Allgemeinen innerhalb eines Monats antworten. Die DSGVO fordert, dass Verantwortliche und Auftragsverarbeiter es nachvollziehbar machen, wie sie Daten erfassen, was sie mit ihnen tun und wie sie sie verarbeiten, und sie müssen deutlich darin sein (in verständlicher Sprache), den Menschen diese Dinge zu erklären.

Einzelpersonen haben das Recht auf Zugang zu allen Informationen, die ein Unternehmen über sie besitzt, und das Recht zu wissen, warum die Daten verarbeitet werden, wie lange sie aufbewahrt werden und wer sie zu sehen bekommt.

Des Weiteren haben Einzelpersonen im Rahmen der DSGVO das Recht, ihre Einwilligung jederzeit zu widerrufen. Einzelpersonen haben das Recht darauf, dass ihre personenbezogenen Daten auf ihre Aufforderung hin „unverzüglich“ gelöscht werden.


Werden die DSGVO und die ePrivacy-Verordnung die Nutzung von Cookies beenden?

Nein, die vorgeschlagene ePrivacy-Verordnung verbietet den Einsatz von Cookies nicht. Die Erwartung der Branche ist, dass die neue ePrivacy-Verordnung es Einzelpersonen gestattet, in das Setzen von Cookies auf ihren Computern einzuwilligen, allerdings werden sich die Vorschriften rund um diese Einwilligung vermutlich von denen im Rahmen der derzeitigen ePrivacy-Richtlinie unterscheiden.

Quantcast ist ein aktiver Teil der Arbeitsgruppe GIG des IAB Europe, die das Open Transparency & Consent Framework erarbeitet hat. Quantcast hat zudem Quantcast Choice entwickelt – eine kostenlose Consent Management Provider-Lösung – basierend auf dem offenen, nichtkommerziellen Standard des IAB. Quantcast Choice ist eine DSGVO-konforme Lösung, die es Inhalteanbietern und Werbetreibenden ermöglicht, Nutzereinwilligungen rund um das digitale Inhalte- und Werbeökosystem zu erlangen, zu verwalten und zu verbreiten.


Wie können Unternehmen Einwilligungen für Zwecke der Werbung einholen?

Die DSGVO führt einen neuen Standard für Einwilligungen ein. Wo ein Unternehmen von der Einwilligung eines Verbrauchers in die Verarbeitung personenbezogener Daten abhängig ist, muss die Verfahrensweise zur Einholung einer solchen Einwilligung den höheren Standard der DSGVO erfüllen.

Der derzeitige Leitlinienentwurf des Datenschutzbeauftragten für Großbritannien beschreibt die Anforderungen an Einwilligungen im Rahmen der DSGVO, einschließlich der Folgenden:

  • Die Einwilligung muss freiwillig gegeben werden, das bedeutet, dass Personen eine wahrhaftige, andauernde Wahlmöglichkeit und Kontrolle darüber haben, wie Sie ihre Daten nutzen.
  • Die Einwilligung muss ausdrücklich den Namen des Verantwortlichen, die Zwecke der Verarbeitung und die Arten der Verarbeitungsaktivitäten umfassen.
  • Anfragen auf Einwilligung müssen an prominenter Stelle, unabhängig von anderen Geschäftsbedingungen, klar und leichtverständlich sowie benutzerfreundlich dargestellt werden.
  • Die Einwilligung sollte offensichtlich sein und eine bewusste Handlung zur Einverständniserklärung erfordern.
  • Es gibt keine festgelegte Zeitbeschränkung für eine Einwilligung. Wie lange sie andauert, hängt vom Kontext ab.
  • Sie sollten eine Einwilligung wie angemessen überprüfen und erneuern.
  • Der Nachweis dafür, dass eine Einwilligung eingeholt wurde, muss aufgezeichnet werden, und Organisationen, die keine direkte Beziehung zu der Einzelperson haben, sind darauf angewiesen, dass ihre Partner in ihrem Namen eine Einwilligung erlangen.

Quantcast arbeitet aktiv mit dem IAB Europe am Open Transparency & Consent Framework – einem offenen, nichtkommerziellen Standard, der die Einholung und Verwaltung von Verbrauchereinwilligungen ermöglicht.

Quantcast hat Quantcast Choice entwickelt, eine verbraucherorientierte Einwilligungslösung, basierend auf dem Standard des IAB Europe. Quantcast Choice ist eine kostenlose Consent Management Provider (CMP)-Lösung, die es Inhaltsanbietern und Werbetreibenden ermöglichen wird, Nutzereinwilligungen rund um das digitale Inhalte- und Werbeökosystem zu erlangen, zu verwalten und zu verbreiten. Quantcast Choice befindet sich momentan im Beta-Test (Stand März 2018).

Technische Details zum IAB-Standard und Zugang zur Beta-Version von Quantcast Choice erhalten Sie hier.


Wie funktioniert Quantcast Choice oder eine Consent Management Provider (CMP)-Lösung?

Quantcast oder jeder andere, vom IAB zugelassene Consent Management Provider (CMP) stellt Inhalteanbietern und Werbetreibenden einen Mechanismus zur Verfügung, mit dem sie Einwilligungen einholen und dann kontrollieren können, welche Drittanbieter Einwilligungen zur Nachverfolgung von Nutzern auf ihren Webseiten und in ihren Apps anfragen können. Lesen Sie dieses Whitepaper für einen Überblick über die Funktionen einer CMP und der Quantcast Consent-Lösung.


Welche Maßnahmen sollten im Falle einer Verletzung des Schutzes personenbezogener Daten ergriffen werden?

Falls bei Ihnen eine Verletzung des Schutzes personenbezogener Daten vorliegt, die die Rechte und Freiheiten von Einzelpersonen gefährdet, müssen Sie innerhalb von 72 Stunden, nachdem Ihr Unternehmen Kenntnis hiervon erlangt, eine Datenschutzbehörde (z.B. in Deutschland den Bundesdatenschutzbeauftragten) hierüber informieren.

Während nicht von Ihnen erwartet werden kann, direkt nach der Entdeckung jeden Aspekt einer Datenschutzverletzung erläutern zu können, sollten Sie die Datenschutzbehörde über das Wesen der kompromittierten Daten und die ungefähre Anzahl der betroffenen Personen informieren. Sie sollten ebenfalls die potentiellen Konsequenzen für diese Personen angeben und erläutern, welche Maßnahmen Sie ergriffen haben oder ergreifen werden.


Was geschieht, wenn Sie die DSGVO nicht erfüllen?

Gegen Organisationen, die die Vorschriften der DSGVO nicht erfüllen, können Bußgelder von bis zu 20 Millionen Euro oder 4 % ihres gesamten weltweit erzielten Jahresumsatzes verhängt werden, je nachdem, welche hiervon höher ist. Sie können ebenfalls zum Ziel von gerichtlichen Klagen durch betroffene Personen werden.


Empfohlene Informationsquellen