09.02.2018

Datenschutz-Grundverordnung (DSGVO) zwingt Unternehmen zum Handeln

Wie wirkt sich die DSGVO aufs Online Marketing aus und welcher konkrete Handlungsbedarf entsteht dadurch?

Durch die Datenschutz-Grundverordnung (DSGVO) spitzt sich das Thema Datenschutz im Onlinebereich weiter zu. Schon bald ersetzt die EU-Verordnung die nationalen Datenschutzgesetze und fordert damit von Unternehmen Anpassungen bezüglich des Umgangs mit personenbezogenen Daten. Spätestens ab Mai 2018 ist diese neue Verordnung anzuwenden, viel Zeit zur Umsetzung bleibt also nicht mehr. Doch viele Unternehmen fragen sich: Was ändert sich und was müssen wir nun tun? Dieser Artikel gibt einen Überblick darüber, welche kommenden Änderungen und möglichen Maßnahmen anstehen sollten. Denn bei Missachtung der Änderungen ist mit hohen Strafen zu rechnen.

 

DSGVO Teaser

 

Was ist die Datenschutz-Grundverordnung?

Die DSGVO ist eine Verordnung der EU und hat damit automatisch EU-weite Gültigkeit. Sie muss nicht erst im nationalen Recht umgesetzt werden und wird in Deutschland weitgehend das bis jetzt maßgebende Bundesdatenschutzgesetz (BDSG) und Aspekte des Telemediengesetzes (TMG) ersetzen. Durch diese übergreifende Regelung soll der Datenschutz innerhalb der EU vereinheitlicht und der Datenverkehr innerhalb des Europäischen Binnenmarkts überschaubarer werden.

Geregelt werden dabei die Vorgaben zur Verarbeitung personenbezogener Daten für Unternehmen. Hintergrund der Verordnung ist der Gedanke, dass jeder Bürger über das Recht verfügt, selbst zu entscheiden, wer welche Informationen über ihn erhält. Die Datennutzung wird daher als Verbot mit Erlaubnisvorbehalt behandelt. Das bedeutet: Die Erhebung und Verarbeitung von Daten ist grundsätzlich verboten, solange sie nicht ausdrücklich durch das Gesetz oder den Betroffenen erlaubt wird.

[zum Inhaltsverzeichnis]

 

Ab wann gilt die DSGVO?

In Kraft getreten ist die DSGVO bereits am 24. Mai 2016. Danach startete eine zweijährige Übergangszeit, um den Unternehmen Zeit zu geben, den neuen Richtlinien entsprechende Änderungen vorzunehmen. Wer bis jetzt noch nicht gehandelt hat, sollte also schnell wichtige Maßnahmen ergreifen. Spätestens ab dem 25. Mai 2018 muss die DSGVO angewandt werden. Bis dahin sollten sämtliche Anpassungen zum Abschluss gebracht werden.

[zum Inhaltsverzeichnis]

 

Für wen sind die neuen Richtlinien relevant?

Die DSGVO betrifft nicht nur die großen Konzerne und Online-Shops, sondern jedes Unternehmen, das personenbezogene Daten erfasst, speichert oder verarbeitet. Das ist bei nahezu allen Unternehmen, die in irgendeiner Weise online agieren, der Fall – und das dürfte heutzutage ebenfalls auf die meisten Unternehmen zutreffen. Damit lässt sich sagen: Die DSGVO ist für Unternehmen aller Größen und Branchen relevant.

Sie gilt auch für Unternehmen mit einem Sitz außerhalb der EU, sofern diese eine Niederlassung in der EU haben oder mit Personendaten aus der EU agieren. Damit betrifft die Regelung auch große Firmen wie Amazon oder die Betreiber der sozialen Netzwerke.

[zum Inhaltsverzeichnis]

 

Was sind personenbezogene Daten?

Zentrales Thema der DSGVO sind die personenbezogenen Daten. Damit sind sämtliche Angaben gemeint, die einer bestimmten natürlichen Person zugeordnet werden können. Darunter fallen zum Beispiel:

  • Name
  • Anschrift
  • E-Mailadresse
  • Geburtstag
  • Telefonnummer
  • Kontodaten
  • Standortdaten
  • IP-Adressen

Die Liste lässt sich mit weiteren Angaben fortsetzen. Gemeinsam ist ihnen, dass eine Person über diese Daten theoretisch identifizierbar wäre. Ob so eine Identifikation in der Praxis dann tatsächlich stattfindet, ist zweitrangig. Ermittelt werden die Daten dadurch, dass Nutzer sie über ein Formular direkt angegeben, oder sie werden in Form von Cookies im Hintergrund gesammelt und gespeichert. Mit Anwendung der DSGVO ändert sich jedoch einiges hinsichtlich des Umgangs mit diesen personenbezogenen Daten, um eine höhere Sicherheit für die Nutzer zu schaffen.

Personenbezogene Daten
 

[zum Inhaltsverzeichnis]

 

Die wichtigsten Grundsätze der DSGVO

In Deutschland wird Datenschutz bereits jetzt schon großgeschrieben. Trotzdem verschärfen sich mit Anwendung der DSGVO einige Regelungen und sie werden um neue Gesetze ergänzt. Die wichtigsten Rechte und Pflichten sind dabei folgende:

- Einwilligungspflicht zur Datenerhebung: Grundsätzlich ist jegliche Datenerhebung und -verarbeitung verboten. Für die Nutzung personenbezogener Daten muss daher zunächst die ausdrückliche Erlaubnis der betroffenen Person eingeholt werden.

- Datenminimierung und Datensparsamkeit: Unternehmen sollen nur so viele Daten erheben, wie sie für ihren jeweiligen Zweck tatsächlich benötigen. Es dürfen also keine weiteren Daten erhoben werden, bloß weil sie in der Zukunft mal interessant sein könnten.

- Zweckbindung: Erhobene Daten dürfen nur für den Zweck verwendet werden, zu dem sie ursprünglich erhoben wurden. Wenn eine E-Mailadresse beispielsweise für Rückfragen zur Bestellung erfragt wurde, darf sie später nicht einfach zum Versenden von Werbemails genutzt werden. Dafür wäre eine weitere Einwilligung nötig.

- Erhöhte Datensicherheit: Durch technische und organisatorische Maßnahmen soll ein angemessener Schutz der Nutzerdaten gewährleistet werden. Das Schutzniveau orientiert sich dabei an der Schutzbedürftigkeit der Daten: Je sensibler die Daten, desto mehr Sicherheitsmaßnahmen sollten eingerichtet werden.

- Auskunftsrecht: Nutzer haben jederzeit das Recht, bei einem Unternehmen zu erfragen, über welche ihrer persönlichen Daten der Konzern verfügt und für welche Zwecke die Daten genutzt werden.

- Recht auf Vergessenwerden: Unternehmen sind künftig dazu verpflichtet, erhobene Nutzerdaten zu löschen, wenn der angegebene Zweck der Datenverarbeitung wegfällt, der Betroffene seine Einwilligung widerruft oder die Daten in der Vergangenheit unrechtmäßig verarbeitet worden sind.

- Recht auf Datenübertragbarkeit: Wenn Nutzer den Anbieter wechseln, können sie vom Unternehmen eine Datenübertragung zwischen den Anbietern verlangen. Anwendungsfälle sind zum Beispiel ein Bankenwechsel oder der Wechsel eines sozialen Netzwerks. Dafür müssen die Daten vom Unternehmen in einem für die Datenübertragung gängigen Format bereitgestellt werden.

- Rechenschaftspflicht: Auf Aufforderung müssen Unternehmen die Einhaltung aller Datenschutzrichtlinien nachweisen können. Sämtliche Einwilligungen und Maßnahmen sollten also entsprechend dokumentiert werden, um im Ernstfall nicht in Erklärungsnot zu kommen.

- Betrieblicher Datenschutzbeauftragter: Um eine ordnungsgemäße Datenverarbeitung und einen ausreichenden Schutz zu gewährleisten, sind Unternehmen bei massenhafter Datenverarbeitung verpflichtet, einen eigenen Datenschutzbeauftragten zu stellen.

- Meldepflicht bei Datenpannen: Bisher mussten Datenpannen nur dann bei der Aufsichtsbehörde gemeldet werden, wenn besonders sensible Daten davon betroffen waren. Diese Pflicht wird nun erweitert, sodass zukünftig auch weniger riskante Datenpannen bekanntzugeben sind.

Dies ist selbstverständlich nur eine Auswahl der wichtigsten Rechte und Pflichten. Um alle für das eigene Unternehmen relevanten Regelungen zu erfassen, ist es im Zweifelsfall am sinnvollsten, sich direkt mit dem Verordnungstext auseinanderzusetzen oder sich professionelle Beratung zu holen. So eine Beratung kann auch sinnvoll sein, um die Folgen für die eigene Onlinemarketingstrategie abzuschätzen, die bei vielen Unternehmen auf dem Datentracking mithilfe von Cookies aufbaut.

[zum Inhaltsverzeichnis]

 

Cookies als wichtiger Baustein des Online Marketings

Cookies sind Dateien, in denen Informationen über die besuchten Webseiten wie persönliche Seiteneinstellungen oder die bevorzugte Sprache des Nutzers gespeichert sind. Session Cookies speichern solche Informationen dabei bloß kurzfristig. Sie kommen beispielsweise zum Einsatz, wenn Passwörter für die Dauer einer Sitzung gespeichert werden. Nach Ablauf der Session werden die Informationen automatisch gelöscht.

Tracking Cookies dagegen speichern Informationen dauerhaft ab. Sie werden zum Beispiel von Adserven genutzt, um das Nutzungsverhalten zu analysieren und personalisierte Werbung zu schalten. Diese Cookies sind die Basis für jegliches Datentracking. Sie speichern unter anderem Informationen darüber, wie lange ein Nutzer auf einer Seite verweilt oder welche Unterseiten er anschaut. Mithilfe von Cookies lassen sich so User-Profile erstellen, die für ein Unternehmen von großem Nutzen sein können. Fürs Affiliate-Marketing spielen Tracking Cookies ebenfalls eine wichtige Rolle, da sich User damit einem bestimmten Affiliate zuordnen lassen und dieser entsprechend für die Vermittlung vergütet werden kann. Ohne Cookies würde dieses System nicht funktionieren.

Da Cookies Nutzerdaten speichern, gelten auch für sie die Datenschutzbestimmungen. Bisher machte das Gesetz noch eine Ausnahmeregelung für pseudonymisierte, personenbezogene Datenerhebungen, wie sie bei vielen Cookies vorliegen. Solange der Nutzer also nicht widersprach, konnten Nutzerprofile zu Werbezwecken erstellt werden. Die DSGVO unterscheidet jedoch nicht mehr zwischen pseudonymisierten und anderen personenbezogenen Daten. Als mögliches Schlupfloch müssen im Einzelfall wirtschaftliche Interessen eines Unternehmens und die Grundrechte der betroffenen Personen gegeneinander abgewogen werden.

[zum Inhaltsverzeichnis]

 

Bedeutung der Datenerhebung fürs Online Marketing

Remarketing-Aktionen, Up- und Cross-Selling-Kampagnen, das Ausspielen personalisierter Werbung, der Versand von Newslettern und Werbemails – all diese Marketingstrategien basieren auf der Nutzung personenbezogener Daten und die Liste lässt sich noch lange fortsetzen. Von besonders großer Bedeutung sind die Nutzerdaten für den eCommerce-Bereich, denn dort basiert der Großteil der Arbeit auf der Datensammlung und -auswertung.

Mithilfe von Nutzerdaten kann zum Beispiel eine präzise Zielgruppendefinition vorgenommen werden, um die Kunden und vor allem auch potenzielle Kunden besser zu verstehen und auf ihre Wünsche und Interessen einzugehen. Tracking-Tools wie zum Beispiel Google Analytics sind daher ein wichtiges Instrument des Online Marketings und können dabei helfen, die eigene Seite kundenfreundlicher zu gestalten oder Produkte zielgruppengerechter zu vermarkten. Wenn die Datenerhebung also bald nicht mehr wie bisher funktioniert, ist das folgenreich fürs Online Marketing.

[zum Inhaltsverzeichnis]

 

Auswirkungen der DSGVO aufs Online Marketing

Der Begriff der personenbezogenen Daten wird in der DSGVO sehr weitfassend ausgelegt. Das hat Folgen für Marketingmaßnahmen wie die personalisierte Bannerwerbung oder das Remarketing. Genau genommen hat es Auswirkungen auf alle Online Marketing Bereiche, die auf Nutzerdaten basieren. Für das Tracking, die Analyse und Verwendung der Daten ist künftig die ausdrückliche Einwilligung des Nutzers notwendig. Stimmt der Nutzer dieser nicht zu, funktionieren die anschließenden Marketingmaßnahmen nicht mehr und es drohen Umsatzverluste.

Allerdings erlaubt die DSGVO die Datenverarbeitung zur Erfüllung berechtigter Interessen, worunter auch Marketingmaßnahmen fallen. Die EU-Datenschutz-Grundverordnung muss also nicht das endgültige Ende von „Big Data“ bedeuten, sondern erfordert bloß mehr Feingefühl und eine gute Balance von Unternehmens- und Nutzerinteressen. Im Zweifel kommt es dann immer auf eine Einzelfallabwägung an.

Damit bleibt weitgehend unklar, in wie weit die gewohnten Onlinemarketingmethoden auch in Zukunft angewandt werden können. Für den Moment können Unternehmen nur abwarten und zumindest vorbeugende Maßnahmen treffen, um nicht gegen die neuen Datenschutzrichtlinien zu verstoßen und den Umsatzverlust möglichst gering zu halten.

[zum Inhaltsverzeichnis]

 

Handlungsbedarf für Unternehmen

Die zweijährige Änderungsfrist läuft bald ab, weshalb Unternehmen dazu angehalten sind, möglichst schnell zu handeln. Dennoch sollten sie nichts überstürzen und lieber Schritt für Schritt vorgehen, um den Überblick zu behalten. An erster Stelle gilt es dabei, den aktuellen Ist-Status zu ermitteln. Davon ausgehend können dann konkrete Aufgaben abgeleitet und ein strukturierter Handlungsplan erstellt werden.

- Datenschutzpraxis verbessern: Je nach Stand des Unternehmens sollte ein neues Datenschutzmanagement eingerichtet oder das bestehende angelehnt an die neuen Richtlinien verbessert werden. Gegebenenfalls muss auch ein Datenschutzbeauftragter ernannt werden, wenn eine massenhafte Datenverarbeitung vorliegt. Generell ist es sinnvoll, die Rollen bezüglich des Datenumgangs klar zu verteilen und alle betroffenen Personen über die Änderungen zu informieren.

- Alles dokumentieren: Um die Einhaltung der Datenschutzrichtlinien bei Bedarf nachweisen zu können, sollten alle Einwilligungen und die Durchführung von Schutzmaßnahmen sorgfältig dokumentiert und alle relevanten Daten archiviert werden.

- Aufs Auskunftsrecht vorbereiten: Die hinter der Datenerhebung und -verarbeitung stehenden Systeme und Softwares sollten bereits im Voraus darauf ausgelegt werden, Daten zum Auskunftszweck unkompliziert an die betroffene Person ausgeben zu können. Das erleichtert bei entsprechenden Anfragen die Ausführung und spart Arbeitsschritte.

- Meldepflicht beachten: Datenlecks müssen sofort an die zuständige Aufsichtsbehörde und möglichst auch an die betroffene Person selbst gemeldet werden. Das ist besonders dann wichtig, wenn durch das Leck ein hohes Risiko oder ein Schaden für den Nutzer entsteht.

- Alternativen überlegen: Um Verluste durch die eventuell wegfallenden Daten abzufangen, sollten Unternehmen sich frühzeitig sowie auch langfristig nach weiteren Optionen umsehen. Eine Möglichkeit ist es, verstärkt in andere Teilbereiche des Online Marketings, die auch ohne Trackingdaten funktionieren, zu investieren. Dafür kommen zum Beispiel das Social Media Marketing oder das Content Marketing in Frage.

- Datenschutzerklärung und Einwilligung anpassen: Die Texte der Datenschutz- und Einwilligungserklärung sowie das Einwilligungsverfahren selbst müssen an die neuen Regeln der DSGVO angepasst werden. Dabei gibt es einige Vorgaben zu beachten, die im Folgenden weiter ausgeführt werden.

Checkliste Handlungsschritte
 

[zum Inhaltsverzeichnis]

 

Neue Anforderungen an die Einwilligung

Die Bedingungen für eine rechtssichere Einwilligung werden in Art. 7 der DSGVO festgelegt. Eine entscheidende Voraussetzung besteht darin, dass das Einverständnis auf jeden Fall bewusst abgegeben werden muss. Dies erfordert eine aktive Handlung des Nutzers, wie das Setzen eines Häkchens (Opt-In). Vorangekreuzte Kästchen, bei denen der Nutzer erst aktiv werden muss, um der Einwilligung zu widersprechen (Opt-Out), sind dagegen nicht erlaubt. Wichtig ist auch die Dokumentation dieser aktiven Einwilligung, um sie später nachvollziehbar zu machen.

Die Einwilligung muss außerdem freiwillig erfolgen. Diese Pflicht wird durch ein Kopplungsverbot abgesichert, nach welchem die Nutzung bestimmter Seiteninhalte oder ein Vertragsabschluss nicht an die Zustimmung zur Datenverarbeitung gebunden sein dürfen. Es darf keine Konsequenzen haben, wenn sich der Nutzer gegen eine Einwilligung entscheidet, denn nur unter diesem Umstand hat er eine echte Wahl.

Vor seiner Entscheidung muss der Nutzer mit ausführlichen Informationen zur Datenverarbeitung versorgt werden. Da die Einwilligung immer zweckgebunden erfolgt, sind an dieser Stelle auch die Verarbeitungszwecke der Daten offenzulegen. Diese sollten nicht zu allgemein gehalten werden, denn eine Generaleinwilligung zur unbeschränkten Datennutzung ist nicht erlaubt. Die Datenschutzinformationen müssen dabei leicht als solche erkennbar und in einer klaren und einfachen Sprache formuliert sein.

Auch bei der Einwilligung selbst sollten präzise Formulierungen wie „Ich erteile meine Einwilligung dafür, dass…“ oder „Ich bin damit einverstanden damit, dass…“ schwammigen Aussagen wie „Mir ist bewusst, dass…“ vorgezogen werden.

Nach Einwilligung muss jederzeit ein Widerruf möglich sein und dieser muss genauso einfach erfolgen können wie die Einwilligung selbst. Über diese Möglichkeit sollte der Nutzer ebenfalls vorab informiert werden. Am besten wird der Widerrufshinweis dafür direkt neben der Einverständniseinholung eingeblendet.

Was aber passiert mit all den Einwilligungen, die in der Vergangenheit eingeholt wurden, ohne diesen Anforderungen zu genügen? Hier haben Unternehmen Glück: Bereits bestehende datenschutzrechtliche Einwilligungen bleiben auch nach dem 25. Mai bestehen, solange sie nach den bis dahin geltenden Rechten erfolgt sind. Was sich mit der DSGVO jedoch ändert, ist der Schutz Minderjähriger. Dieser wird gestärkt, in dem die Einwilligung von Personen unter 16 Jahren in Zukunft nur mit dem Einverständnis der Eltern wirksam ist. Solche und andere Aspekte sollten in der unternehmensspezifischen Datenschutzerklärung festgehalten werden.

Nutzer- vs Unternehmensinteressen
 

[zum Inhaltsverzeichnis]

 

Datenschutzerklärung erweitern und anpassen

Mit der DSGVO geht eine erweiterte Informationspflicht über den Datenschutz einher. Sämtliche Informationen sollten damit möglichst präzise und verständlich formuliert werden. Die Erklärung sollte dafür in einfacher Sprache erfolgen und weitgehend auf technische oder juristische Fachbegriffe verzichten. Voraussetzung ist außerdem, dass die Datenschutzerklärung in der Sprache des Angebots erfolgt. Wird ein Onlineshop oder eine App also sowohl auf Deutsch als auch auf Englisch angeboten, muss auch die Datenschutzerklärung in beiden Sprachen verfügbar sein.

Eine ausführliche Erklärung dient der Transparenz der Datenverarbeitung. Für den Betroffenen soll nachvollziehbar sein, wofür genau seine personenbezogenen Daten genutzt werden und wem er sie eigentlich überlässt. Die Informationen müssen leicht zugänglich und jederzeit abrufbar sein, man sollte sie ohne Umstände von jeder Unterseite der Website aus aufrufen können. Dafür bietet es sich an, im Footer der Unternehmensseite eine Unterseite mit dem Titel „Datenschutzerklärung“ zu verlinken.

In der Datenschutzerklärung sollten auf jeden Fall Informationen über die folgenden Aspekte enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen
  • ggf. Name und Kontaktdaten des Datenschutzbeauftragten
  • Zweck der Datenverarbeitung und ein Hinweis auf die Rechtsgrundlage
  • Speicherungsdauer oder Kriterien zur Festlegung der Dauer
  • Rechte des Betroffenen:
    • Auskunftsrecht
    • Recht auf Berichtigung und Löschung
    • Widerspruchsrecht
    • Datenportabilität
    • Recht auf Beschwerde bei einer Aufsichtsbehörde
  • ggf. Informationen über den Empfänger der Daten
  • ggf. Absichten zur Datenübermittlung in Drittländer

[zum Inhaltsverzeichnis]

 

Drastische Konsequenzen bei Missachtung

Den eigenen Onlineauftritt an die Vorgaben der DSGVO anzupassen, ist mit viel Aufwand verbunden, und ein Datenverlust könnte im schlimmsten Fall einen Umsatzverlust bedeuten. Die Versuchung, die neuen Regelungen daher einfach zu missachten, ist groß. Doch in Zukunft drohen bei Verstößen hohe Bußgelder. Bisher lag die maximale Grenze noch bei 50.000€ nach dem Telemediengesetz oder bei 300.000€ nach dem BDSG. Große Unternehmen haben diese Abstrafungen häufig in Kauf genommen, weil die Gewinne durch die gesammelten Daten größer waren als die Verluste aufgrund der Abstrafung. Künftig können jedoch Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4% des gesamten weltweiterzielten Jahresumsatzes eins Unternehmens verhangen werden. Das verändert die Situation und fordert Unternehmen nachdrücklich dazu auf, ihre Datensicherheit zu erhöhen.

[zum Inhaltsverzeichnis]

 

Fazit

Unternehmen sind dazu aufgefordert, sich intensiv mit den neuen Richtlinien auseinanderzusetzen. Wer bis jetzt noch nicht aktiv geworden ist, sollte sich beeilen, denn ab Ende Mai drohen hohe Strafen bei Missachtung der DSGVO. Der Aufwand der Umsetzung der neuen Datenschutzrichtlinien variiert dabei von Unternehmen zu Unternehmen. Es gibt zwar einige allgemeine Vorgaben, doch konkrete Handlungsschritte müssen für jedes Unternehmen individuell abgeleitet werden. Doch auch wenn bis Mai alle rechtlichen Aspekte korrekt umgesetzt sind, hört die Arbeit für die Unternehmen damit nicht auf. Das Datensammeln wird fortan höchstwahrscheinlich nicht mehr so einfach sein wie bisher. Unternehmen müssen sich daher nach Alternativen umsehen und ihre Online Marketing-Strategien anpassen, um weiterhin erfolgreich zu bleiben.

 

Die Inhalte unserer Internetseite werden mit großer Sorgfalt und Aufmerksamkeit recherchiert. Dennoch können wir keine Haftung für die Aktualität, Vollständigkeit und Richtigkeit der dargestellten Informationen übernehmen. Diese sind im Besonderen allgemeiner Art und stellen keine Rechtsberatung dar.

 

[zum Inhaltsverzeichnis]

 

Das könnte Sie auch interessieren

Integrierter Adblocker in Chrome: Ist Bannerwerbung bald sinnlos?

 

 

Quellen

https://www.e-recht24.de/datenschutzgrundverordnung.html

https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf

http://www.it-recht-kanzlei.de/neue-datenschutzerklaerung-2018-datenschutzgrundverordnung.html

http://www.it-recht-kanzlei.de/cookies-eu-datenschutz-grundverordnung.html

https://www.gruenderszene.de/lexikon/begriffe/cookie-tracking

https://www.datenschutzbeauftragter-info.de/grundverordnung-anforderungen-an-eine-einwilligung/

https://www.swd-rechtsanwaelte.de/blog/werbung-und-online-marketing-in-der-dsgvo-was-aendert-sich/