Ziel der DSGVO ist es die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen. Seit dem Inkrafttreten am 25. Mail 2018 muss für die Nutzung von Daten transparent und nutzerfreundlich organisiert werden. Was hat sich seit dem Wirksamwerden der DSGVO in der Praxis geändert?

1. 140 Tage DSGVO – Haben wir jetzt einen transparenten Datenschutz
oder schaffen wir eine riesige Grauzone?

2.  Man hat mich gefragt!
 Alexander Krull – Datenschutzexperte der Webtrekk GmbH
 Umsetzung der DSGVO Anforderungen mit Webtrekk Kunden und Partnern
 Datenschutz mit Fokus auf Analytics, Online Marketing und internen Datenschutz
 Über 7 Jahre bestellter Datenschutzbeauftragter
 TÜV & eprivacyseal Zertifizierungen
Warum stehe ich hier?

3. The most powerful Customer Analytics Engine

4. Webtrekk by numbers (we data) 89 Billion
Server calls Webtrekk
Processed last month
25 Mio.
funding
in 2014
Years since we won
our first customer – who
is still with us
13 of Top 15 ecommerce
companies use Webtrekk
130+
Consultants and
developers dedicated
to client success
€7,8 Billion
Revenue our Ecom clients
generate on platforms
we manage
850
Servers in our
infrastructure
2015
7
1st
DACH
Premium Analytics
Countries with
Webtrekk clients
32
of Top 25
European
banks use
Webtrekk
7 Webtrekk Suite recognized as global
‘New Digital Technology of the Year’

5. 512 218
25.05.2016 25.05.2018
Stand: 19.10.2017
24.05.2016 25.05.2018
730 Tage Zeit – jetzt noch 217…
513 217
Was sind die wichtigsten Schritte um DSGVO compliant zu werden?

6. Dmexco, Debate, Live Poll 13.09.2017 14:05h: „Preparing for GDPR: Embracing the inevitable regulations“
Status vor einem Jahr!
Ist Ihr Unternehmen vorbereitet und hinreichend über die
Datenschutzgrundverordnung (DSGVO bzw. GDPR) informiert?

7. Webtrekk Analyse https://www.webtrekk.com/de/ueber-uns/news-presse/news/dgsvo-compliance-analyse/
Vereinfachte Analyse: 1. Einheitliche Existenz eines Opt-In Layers
2. Marketing-Tags werden erst nach direkter oder impliziter Zustimmung versendet
3. Transparente Datenschutzerklärung
87%
Status heute!
40%
42%

8. Aufklärung Schockstarre Panik Umsetzung Ignoranz
Der Wahnsinn hat begonnen
Zeitlicher Ablauf der letzten 12 Monate
Bis Ende 2017 Anfang 2018 April 2018 Mai 2018 bis … Heute?

9. IntelliShop: B2B Konjunkturindex https://www.b2b-ecommerce-index.de/ergebnisse/berichtsbaende
Status heute!
In % In %

10. IntelliShop: B2B Konjunkturindex https://www.b2b-ecommerce-index.de/ergebnisse/berichtsbaende
Status heute!

11. Grundsatz der Transparenz (u.a. Art. 12 DSGVO)
Aus dem Leben eines Datenschutzbeauftragten

12. Grundsatz der Transparenz (u.a. Art. 12 DSGVO)
Aus dem Leben eines Datenschutzbeauftragten
 Umseztung als Layer und Datenschutzerklärung
 Allgemeine Zustimmung entspricht nicht Transparenzgebot
 Cookie als „False Friend“, Synonym für die Erhebung personenbezogener
Daten, die meistens auch ohne Cookie erhoben werden
 Grauzone – Was versteckt sich hinter Zustimmung (Bsp. Login-Allianzen) oder
welche Alternativen entwickeln sich (Bsp. Fingerprint)

13. Zweckbindung (u.a. Art. 5 DSGVO)
Aus dem Leben eines Datenschutzbeauftragten

14. Zweckbindung (u.a. Art. 5 DSGVO)
 Daten dürfen nicht mit Daten in Verbindung gebracht werden die zu
anderen Zwecken erhoben wurden
 Konflikt bei der internen Nutzung von externen Daten
 Konflikt bei der Nutzung von externen Marketinglösungen
 Joint Controller müssen auch Zweckbestimmung beachten
 Grauzone – Datennutzung nicht nach außen sichtbar
Aus dem Leben eines Datenschutzbeauftragten

15. Berechtigtes Interesse (u.a. Art 6 DSGVO)
Aus dem Leben eines Datenschutzbeauftragten

16. Berechtigtes Interesse (u.a. Art 6 DSGVO)
 Liegt wirklich ein berechtigtes Interesse vor?
 Besteht berechtigtes Interesse auch für Dritte (ggf. Daten einschränken)
 Nicht wenn Interessen, Grundrechte oder Grundfreiheiten der betroffenen
Person überwiegen
 Nicht wenn betroffene Person ein Kind ist
 Grauzone – Keine einheitliche Definition
Aus dem Leben eines Datenschutzbeauftragten

17. Auskunftsrecht (u.a. Art 15 DSGVO) & Berichtigung bzw. Löschung (u.a.
Art. 16 bis 20 DSGVO)
Aus dem Leben eines Datenschutzbeauftragten

18. Auskunftsrecht (u.a. Art 15 DSGVO) & Berichtigung bzw. Löschung (u.a.
Art. 16 bis 20 DSGVO)
 Einheitliche Umsetzung schwierig, jeder Dienstleister interpretiert anders?
 Überblick über Verarbeitungen ist schwierig aber notwendig für Umsetzung
 Anforderung kann Zweckbindung widersprechen
 Alternativen anbieten – Datensparsamkeit, Anonymisierung
 Grauzone – wird wirklich alles von Rechten erfasst?
Aus dem Leben eines Datenschutzbeauftragten

19. „Personenbezogene Daten“ (u.a. Art. 4 DSGVO)
Aus dem Leben eines Datenschutzbeauftragten

20. Arten der Verarbeitung und Datennutzung personenbezogener Daten
Art der Datenverarbeitung Datennutzung im Sinne der Auftragsverarbeitung
Keine Profiling von Kindern

21. Arten der Verarbeitung und Datennutzung personenbezogener Daten
Art der Datenverarbeitung Datennutzung im Sinne der Auftragsverarbeitung
Keine Profiling von Kindern
Anonymisiert 1st Party Analytics, Onsite Marketing & Remarketing

22. Arten der Verarbeitung und Datennutzung personenbezogener Daten
Art der Datenverarbeitung Datennutzung im Sinne der Auftragsverarbeitung
Keine Profiling von Kindern
Anonymisiert 1st Party Analytics, Onsite Marketing & Remarketing
Pseudonymisiert Targeting, DMPs

23. Arten der Verarbeitung und Datennutzung personenbezogener Daten
Art der Datenverarbeitung Datennutzung im Sinne der Auftragsverarbeitung
Keine Profiling von Kindern
Anonymisiert 1st Party Analytics, Onsite Marketing & Remarketing
Pseudonymisiert Targeting, DMPs
Personenbezogen Suchmaschinenmarketing, CRM, Multi Channel
Plattformen, E-Mail

24. Arten der Verarbeitung und Datennutzung personenbezogener Daten
Art der Datenverarbeitung Datennutzung im Sinne der Auftragsverarbeitung
Keine Profiling von Kindern
Anonymisiert 1st Party Analytics, Onsite Marketing & Remarketing
Pseudonymisiert Targeting, DMPs
Personenbezogen Suchmaschinenmarketing, CRM, Multi Channel
Plattformen, E-Mail
Personenbezogen mit besonderen
Datenkategorien
Social Marketing, Suchmaschinenmarketing, Multi
Channel Plattformen

25. Arten der Verarbeitung und Datennutzung personenbezogener Daten
Art der Datenverarbeitung Datennutzung im Sinne der Auftragsverarbeitung
Keine Profiling von Kindern
Anonymisiert 1st Party Analytics, Onsite Marketing & Remarketing
Pseudonymisiert Targeting, DMPs
Personenbezogen Suchmaschinenmarketing, CRM, Multi Channel
Plattformen, E-Mail
Personenbezogen mit besonderen
Datenkategorien
Social Marketing, Suchmaschinenmarketing, Multi
Channel Plattformen
Automatische Verarbeitung mit rechtlicher
Wirkung
Kreditscoring, Online-Bewerbung

26. Arten der Verarbeitung und Datennutzung personenbezogener Daten
Art der Datenverarbeitung Datennutzung im Sinne der Auftragsverarbeitung
Keine Profiling von Kindern
Anonymisiert 1st Party Analytics, Onsite Marketing & Remarketing
Pseudonymisiert Targeting, DMPs
Personenbezogen Suchmaschinenmarketing, CRM, Multi Channel
Plattformen, E-Mail
Personenbezogen mit besonderen
Datenkategorien
Social Marketing, Suchmaschinenmarketing, Multi
Channel Plattformen
Automatische Verarbeitung mit rechtlicher
Wirkung
Kreditscoring, Online-Bewerbung

27. Auftragsdatenverarbeitung (u.a. Art. 28 DSGVO)
 Grauzone – Wer tut wirklich was?
Technische und organisatorische Maßnahmen (u.a. Art. 25 und 28 DSGVO)
 Grauzone – Ausreichend für die jeweilige Datenart?
Verarbeitungsverzeichnis (u.a. Art 30 DSGVO)
 Grauzone – Werden alle Verarbeitungsschritte erfasst?
Aus dem Leben eines Datenschutzbeauftragten

28. Die Rolle des Datenschutzbeauftragten (u.a. Art 37 DSGVO)
 Grauzone – Technisches Verständnis fehlt, u.a. was machen Cookies?
Meldung von Verletzungen (u.a. Art. 33 DSGVO)
 Grauzone – Werden alle Verletzungen gemeldet?
Aus dem Leben eines Datenschutzbeauftragten

29. Die Rolle des Datenschutzbeauftragten (u.a. Art 37 DSGVO)
 Grauzone – Technisches Verständnis fehlt, u.a. was machen Cookies?
Meldung von Verletzungen (u.a. Art. 33 DSGVO)
 Grauzone – Werden alle Verletzungen gemeldet?
Neue ePrivacy-Richtlinie
 Fehlende Richtlinien generieren Grauzonen
 Veröffentlichung Herbst 2017 – geplantes Inkrafttreten
Aus dem Leben eines Datenschutzbeauftragten

30. Fazit aus den Grauzonen
Aus dem Leben eines Datenschutzbeauftragten

31. Fazit aus den Grauzonen
Aus dem Leben eines Datenschutzbeauftragten

32. Mein Fazit
Alle lieben Cookies – Der Datenschutz sollte sie auch lieben!

33. Increase your performance.
Start now and contact us:
www.webtrekk.com
A M S T E R D A M | B E I J I N G | B E R L I N | M A D R I D | M I L A N | S A N F R A N C I S C O | S I N G A P O R E
Webtrekk GmbH
Robert-Koch-Platz 4
10115 Berlin
+49 30 755 415 0
ask@webtrekk.com
Vielen Dank!