Die 2018 eingeführten Datenschutz-Grundverordnung (DSGVO) hat bei vielen Non-Profit-Organisationen für Aufsehen gesorgt: Viele Organisationen waren nicht vertraut mit Consent Management Systemen und mussten gewissermaßen über Nacht dafür Sorge tragen, dass ihre Websites nach wie vor rechtskonform sind. Warum Consent Management Systeme so wichtig sind, auf was Sie achten müssen und welche Software Ihnen zur Seite steht, lesen Sie hier.
Was genau macht eigentlich eine Consent Management Platform (CMP) und wofür braucht Ihre Non-Profit sie?
Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) in 2018 sind Webseitenbetreiber verpflichtet, aktiv die Einwilligung ihrer Webseitenbesucher zur Erhebung ihrer Daten einzuholen. Zudem müssen sie lückenlos erfassen und nachweisen können, für welche Zwecke bzw. Cookies oder ähnliche Technologien der jeweilige Nutzer seine Einwilligung gegeben hat.
Denn Einwilligung ist nicht gleich Einwilligung: Gemäß der DSGVO müssen Nutzer*innen im Detail (“granular”) auswählen können, zu welchem Zweck die Website seine/ihre Daten erheben darf. Dies tun sie beispielsweise per Kategorien (über “Marketing Cookies” oder “funktionale Cookies”) und im nächsten Schritt pro Service/Technologie. Die Präferenzen der Nutzer in Sachen Privatsphäre werden über ein sogenanntes “Cookie Banner” abgefragt, das über eine Consent Management-Software zur Verfügung gestellt wird.
Nachdem eine explizite Einwilligung gegeben wurde, ist die Consent Management Platform (CMP) dann dafür zuständig, die Einwilligungen zu sammeln, zu managen und zu dokumentieren und vor allem dafür zu sorgen, dass auch tatsächlich nur die Daten gesammelt werden, für die der/ die Nutzer*in seine/ihre Zustimmung gegeben hat.
Betrifft die DSGVO auch Sie als Non-Profit-Organisation?
Das Thema Datenschutz betrifft grundsätzlich alle Webseitenbetreiber gleichermaßen: Onlineshopbetreiber, Unternehmer, Dienstleister. Jeder, der in irgendeiner Weise mit Cookies, Nutzertracking, Kundendaten, E-Mail-Kampagnen oder generell personenbezogenen Daten zu tun hat, muss sich mit geltenden datenschutzrechtlichen Verordnungen auseinandersetzen, um potentiellen Bußgeldern wegen Nichteinhaltung zu entgehen.
Da die DSGVO eine EU-Richtlinie ist, betrifft sie zudem nicht nur Unternehmen, die eine Niederlassung in der EU haben, sondern auch alle, die personenbezogene Daten von EU-Bürgern verarbeiten.
Auch als Non-Profit-Organisation müssen Sie dafür Sorge tragen, dass alle Datenschutzerklärungen auf allen Ihrer Webseiten – ganz unabhängig von deren Zweck – mit den Anforderungen der DSGVO in Einklang sind. Um also rechtlich auf der sicheren Seite zu sein und keine Abmahnungen oder Bußgelder zu riskieren, empfiehlt sich die Implementierung einer Consent Management Platform. Diese stellt sicher, dass Ihre Website stets den geltenden Regularien entspricht und auch die technische Umsetzung der Datenschutzes zuverlässig funktioniert.
Checkliste: So klappt es mit der DSGVO-Konformität
1. Erstellen Sie verständliche Datenschutz-Bestimmungen.
Stellen Sie bei der Formulierung Ihrer Datenschutz-Bestimmungen sicher, dass sie
a) leicht zu lesen und für einen durchschnittlichen Benutzer einfach zu verstehen sind sowie b) einfach auf der Webseite zu finden sind.
Informieren Sie Ihre Nutzer auf jeden Fall auch über die jeweilige Lebensdauer der Cookies, also wie lange diese das Nutzungsverhalten aufzeichnen, und ob und welche Drittanbieter möglicherweise Zugang zu diesen haben.
Nun kommt die Consent Management Platform (CMP) ins Spiel: Sorgen Sie dafür, dass die Datenschutz-Informationen durch Cookie Banner angezeigt werden, sobald der Nutzer Ihre Website aufruft. Mit einer Consent Management Platform können Sie sicherstellen, dass alle notwendigen Informationen enthalten sind.
2. Informieren Sie Ihre Nutzer, dass Sie Cookies oder andere Tracking-Technologien verwenden.
Stellen Sie sicher, dass Sie die Nutzer schon vor dem Zeitpunkt der Datensammlung über Ihr Vorhaben informieren.
3. Legen Sie offen, welche Cookies auf Ihrer Webseite im Einsatz sind und wozu diese dienen.
Informieren Sie Ihre Nutzer separat über den Zweck jedes einzelnen Cookies, um sicherzustellen, dass Sie für jedes Cookie eine spezifische Einwilligung erhalten. Dies sollte zudem in der Datenschutzrichtlinie angegeben werden.
4. Holen Sie die gültige Einwilligung ein, um ein Cookie auf dem Endgeräten Ihrer Nutzer zu speichern.
Eine gültige Einwilligung im Sinne der DSGVO muss folgende sieben Kriterien erfüllen:
- Explizit: Aktive Zustimmung, z.B. durch Ankreuzen eines Kästchens oder Anklicken eines Links.
- Informiert: Welche Daten werden gespeichert, von wem, zu welchem Zweck und wie lange?
- Dokumentiert: Im Falle eines Audit liegt die Beweislast beim Webseitenbetreiber.
- Im Voraus: Solange der Nutzer noch nicht eingewilligt hat (Opt-in), dürfen keine Daten gesammelt werden, d.h. es dürfen keine Cookies gesetzt werden.
- Granular: Einwilligung können nicht zusammengefasst abgefragt werden. Es ist eine individuelle Zustimmung pro Technologie/Zweck nötig.
- Freiwillig: Dem Nutzer muss ein "Annehmen" und auch ein "Ablehnen"-Button zur Verfügung gestellt werden.
- Einfacher Widerruf: Der Opt-out muss auf demselben Layer wie der Opt-in zu finden sein.
5. Geben Sie Nutzern Zugang zu Ihren Services, auch wenn sie Ihre Cookies nicht akzeptieren.
Für den Fall, dass ein Nutzer die Datenverarbeitung verweigert, dürfen keine nicht essentiellen Cookies gesetzt werden. Essentielle Cookies werden unabhängig davon gesetzt, ob der Nutzer sie akzeptiert oder ablehnt, da sie dazu dienen, dass die Webseite reibungslos funktioniert. Stellen Sie dennoch sicher, dass Nutzer auch dann noch Zugang zu Ihrem Dienst haben, wenn sie die Verwendung bestimmter Cookies/Technologien ablehnen.
6. Sammeln und verarbeiten Sie Daten nur nach Einholung einer gültigen Einwilligung.
Stellen Sie sicher, dass Cookies nicht aktiv werden, bevor der Nutzer seine Einwilligung gegeben hat. Sobald Sie eine gültige Einwilligung erhalten haben, steht es Ihnen frei, persönliche Daten für die Zwecke, die Sie Ihrem Nutzer zuvor mitgeteilt haben, zu sammeln und zu verarbeiten.
7. Dokumentieren und speichern Sie die von Nutzern erhaltene Zustimmung.
Erfüllen Sie Ihre Dokumentationspflicht, um sicherzustellen, dass Sie im Falle einer Prüfung durch die Datenschutzbehörden (DPA) die Einwilligungen Ihrer Nutzer vorweisen können.
8. Bieten Sie eine Opt-out Möglichkeit, die genauso einfach zu erreichen ist wie der Opt-in.
Die Einwilligung zu widerrufen (Opt-out), sollte für Ihre Nutzer genauso einfach sein, wie sie zu geben. Externe Links, die auf eine weitere Webseite führen, um dort den Opt-out vorzunehmen, sind nicht ausreichend.
9. Stellen Sie nach dem Opt-out sicher, dass keine weiteren Daten gesammelt oder weitergeleitet werden.
Ab dem Zeitpunkt des Widerrufs dürfen keine weiteren Daten gesammelt oder weitergegeben werden.
Sie interessieren sich für eine Consent Management-Software? Wenn Sie auf Stifter-helfen registriert sind, können Sie von passenden Angeboten von unserem Softwarepartner Usercentrics profitieren. Das Münchner Tech-Unternehmen Usercentrics ist Marktführer im Bereich Consent Management Platform.
Copyright: Dieser Beitrag wurde mit freundlicher Genehmigung von Usercentrics zur Verfügung gestellt.
Foto: Tiko, Stock.adobe.com
