DSGVO & Online-Marketing – Tipps rund um die Datenschutz-Grundverordnung
Mit der Datenschutz-Grundverordnung (EU-DSGVO) sind im Jahr 2018 in allen europäischen Staaten die striktesten datenschutzrechtlichen Marketing-Limitierungen eingeführt worden.
Die DSGVO – wirksam seit 25. Mai 2018 – birgt neben viel Unsicherheit und potenziellen Risiken für Unternehmen aber auch einige Chancen, gerade mit Blick auf das (Online-)Marketing. In diesem Beitrag gehen wir darauf ein.
Während das Bundesdatenschutzgesetz (BDSG) in den Jahren vor 2018 deutschen Unternehmen und Behörden in Sachen Marketing vielerlei Steine in den Weg gelegt hat, bietet die DSGVO diesbezüglich an manchen Stellen mehr Handlungsspielraum. Wo Licht ist, werden aber auch Schatten geworfen. Gerade das Tracking von Online-Aktivitäten leidet unter der DSGVO.
Die Chancen der DSGVO für das werbliche Handeln von Unternehmen gehen in der großen Diskussion um Verfahrensverzeichnisse und Risiko-Analysen jedoch zumeist unter. Deswegen weisen wir darauf hin und beschreiben in diesem Fachartikel, worauf es zu achten gilt. Im Gegenzug verzichten wir auf die Erwähnung potenzieller Bußgelder. Alles, was rund um Bußgelder geschrieben wird, ist sehr theoretisch und bringt für die Umsetzung des Nötigen gar nichts.
Dieser Artikel basiert auf einem Fachbeitrag, den uns der Berufsverband der Rechtsjournalisten e.V. zur Verfügung gestellt hat. Autorin Jenna Eatough studierte an der Universität Regensburg Rechtswissenschaften mit Abschluss der juristischen Zwischenprüfung und dann Medienwissenschaften (BA). Heute lebt sie in Berlin und ist unter anderem als freie Journalistin für verschiedene Verbände tätig.
DSGVO-Aspekte, die für das Online-Marketing relevant sind (Stand: März 2020)
- DSGVO-Regeln für den Umgang mit personenbezogenen Daten
- ePrivacy-Verordnung – Eine Ergänzung zur DSGVO
- Social Media Marketing und die DSGVO
- E-Mail-Marketing Opt-In / Opt-Out – Was erlaubt die DSGVO?
- Website-Cookies – Consent Management Systeme fragen Einwilligung ab
- Google Analytics, DSGVO und andere Online-Tools
- Eine Menge Tipps, Tools und Hilfen zur DSGVO im Marketing
DSGVO – Kann ich noch Online-Marketing betreiben?
Neukunden akquirieren, Produkte promoten, personalisierte Werbung kreieren – all das, und noch viel mehr, soll die DSGVO im Sinne des Nutzer-Datenschutzes europaweit regeln. In der Vergangenheit war dafür in Deutschland das Bundesdatenschutzgesetz (BDSG) da. Dieses Gesetz war streng – die größte Hürde, die im BDSG enthalten war: Selbst die Nutzung solcher personenbezogenen Daten, welche öffentlich zugänglich gewesen sind, bedurfte einer direkten Einwilligung der Betroffenen in die Nutzung zu Marketing-Zwecken.
Die Regeln der Datenschutzgrundverordnung legitimieren den Gebrauch öffentlich zugänglicher Personendaten, sofern dabei der Datenschutz gewahrt wird. Insgesamt wird Unternehmen damit ein berechtigtes Interesse an individualisierten Werbemaßnahmen im Rahmen der Neukundengenerierung zuerkannt.
Dabei gilt die Prämisse, dass die Grundrechte des Betroffenen die berechtigten wirtschaftlichen Interessen von Unternehmen nicht überragen, ihnen nicht entgegenstehen müssen. Von Unternehmen wird aber verlangt, dass sie sorgsam mit den personenbezogenen Daten umgehen, sofern sie diese für werbliche Aktivitäten heranziehen.
Alles rund um die Datenschutz-Grundverordnung lässt sich bei eRecht24 nachlesen. Auch auf Datenschutz.org wird die DSGVO zentral thematisiert.
DSGVO-Regeln für den Umgang mit personenbezogenen Daten im Marketing
Eine essenzielle DSGVO-Regel liegt in dem Erfordernis einer expliziten Einwilligung des Betroffenen im Rahmen der Datenerhebung und -verarbeitung. Die „indirekte“ Genehmigung eines solches Vorgangs, etwa durch das schlichte Inanspruchnehmen einer Firmen-Website, ist mit der DSGVO nicht vereinbar. Vielmehr bedarf es mit der Datenschutzgrundverordnung einer eindeutigen bestätigenden Handlung, welche beispielsweise im Wege einer schriftlichen Erklärung abgegeben oder mittels einer anklickbaren Checkbox kundgegeben werden kann.
Zu beachten ist hierbei aber, dass die Einwilligung nach Art. 4 Nr. 11 DSGVO „freiwillig„, „in informierter Weise und unmissverständlich“ abgegeben werden muss. Zudem muss sie sich auf eine spezifische Datenverarbeitung beziehen. Auch eine Zweckgebundenheit des Einverständnisses darf nicht fehlen.
Die gesamte Datenschutz-Grundverordnung (EU-DSGVO) übersichtlich aufbereitet bietet die intersoft consulting services AG aus Hamburg auf einer eigens eingerichteten Website.
ePrivacy-Verordnung – Ergänzung der DSGVO-Reglements, die uns noch ins Haus steht
Die ePrivacy-Verordnung verkörpert eine Ergänzung der Reglementierungen der DSGVO. Hierbei geht es um die Handhabung personenbezogener Daten im World Wide Web in Anbetracht der Behütung der Privatsphäre.
Durch diese Verordnung werden die Rechte des Nutzers bestärkt:
- Die Verschlüsselung soll nicht ausschließlich durch den User sichergestellt werden. Stattdessen stehen die Anbieter in der Obliegenheit, die Daten nach dem Stand der Technik zu sichern und diese vor dem Zugriff Unbefugter zu bewahren. Aus diesem Passus wird geschlossen, dass Websites mit https-Zertifikaten zu sichern sind!
- Ferner soll eine Verpflichtung der Anbieter das Untergraben des Schutzes der Nutzer ausschließen, um den Handel mit Hintertüren (Backdoors) zu unterbinden. Das Content Management System der Website muss also stets up-to-date gehalten, vor Hacker-Angriffen so gut wie möglich geschützt werden!
- Es wird eine starke Transparenz- und Dokumentationspflicht geben. Anbieter müssen Aufforderungen zur Offenlegung staatlicher Anfragen nachkommen. Zu den Dokumentationspflichten zählt u.a. das Führen eines Verfahrensverzeichnisses.
- Eine Verarbeitung ohne Einwilligung des Users soll nicht mehr möglich sein.
- Für Nutzer, die nicht getrackt werden wollen, muss ein effektiver Tracking-Schutz konstituiert werden.
- Sämtliche Einstellungen in Soft- und Hardware sollen standardmäßig die datenschutzfreundliche Variante eingestellt haben.
Im Gegensatz zur Datenschutzgrundverordnung ist die ePrivacy-Verordnung noch im politischen Diskurs. Es könnte noch bis 2021 dauern, ehe diese nach einer Übergangsfrist final wirksam wird.
Über den aktuellen Stand in Sachen ePrivacy-Verordnung hält der BVDW auf dem Laufenden.
Social Media Marketing und die DSGVO
Mittels des sogenannten „Social Media Monitorings“ ist es Unternehmen möglich, auf anonymisiertem Wege die User-Äußerungen in sozialen Netzwerken zu analysieren. Das „Social Listening“ macht zusätzlich detaillierte Auswertungen der konkreten Äußerungen und deren Kontext sichtbar. Am Ende steht im Online-Marketing die Absicht, auf der Grundlage dieser Daten zielgerichtete Werbung zu etablieren. Auch der Austausch zwischen User und Firma lässt sich hierdurch optimieren. Da dem Nutzer, bezogen auf dieses Vorgehen, im Regelfall die Kenntnis über die entsprechende Datenerhebung fehlt, liegt auch sein Einverständnis nicht vor. Und das soll so nicht sein!
Bei Vorliegen spezifischer Voraussetzungen macht der Gesetzgeber jedoch eine Ausnahme: Handelt es sich, wie oben dargelegt, um öffentlich zugängliche Daten oder wurden diese von einer Stelle veröffentlicht, welche hierzu legitimiert war, ist eine Datenerhebung rechtens (wobei auch hier eine Interessenabwägung maßgeblich ist).
Entscheidend sind also die Privatsphäre-Einstellungen, für wen welche Beiträge zugänglich sein sollen. Zu den Obliegenheiten beim Social Media Monitoring zählen demzufolge:
- Benachrichtigung des Betroffenen beim erstmaligen Abspeichern dessen Daten und
- das Auskunftsrecht des Betroffenen sowie
- das Recht auf Löschung und Sperrung der jeweiligen Daten auf Wunsch des Betroffenen.
Aufgrund dieser klaren Regeln haben alle sozialen Netzwerke im Jahr 2018 ihre Allgemeinen Geschäftsbedingungen angepasst. Nutzer können seitdem viel mehr individuell im jeweiligen Backend einstellen. Sie werden oft auch explizit aufgefordert, diese Grundeinstellungen durchzugehen und ggf. Veränderungen daran vorzunehmen.
Viele Social-Media-Netzwerke haben diese Änderungen gleich weltweit ausgerollt. Und dies trifft auch auf die Werbeanzeigenmanager der Networks zu. Gibt es Detailfragen zu den Werbeangeboten der Social-Media-Netzwerke, dann sollte man sich an den Support der Plattformen wenden. Zuvor lohnt sich oft schon ein Blick aufs Netzwerk selbst: Facebook informiert recht ausführlich über die DSGVO. Aus diesem Hause stammen auch Instagram und WhatsApp.
Von Opt-In bis Opt-Out: Was ist laut DSGVO beim E-Mail-Marketing erlaubt?
Unerwünschte Werbung kann schnell an den Nerven zerren. Um den Verbraucher hiervor zu behüten, bedarf es für eine rechtmäßige Registrierung in einem E-Mail-Verteiler einer Bestätigung durch den Betroffenen. Das galt laut BDSG fürs Newsletter-Marketing schon länger, die DSGVO rückt dies nur noch einmal deutlich ins Licht!
Während bei Bestandskunden in diesem Zusammenhang nicht immer eine Einwilligung erforderlich ist, wird diese bei Neukunden zwingend benötigt. Dabei ist das Double-Opt-In-Verfahren heranzuziehen, wobei der Nutzer der Zusendung von Newslettern in einem zweigeteilten Vorgang ausdrücklich zustimmen muss. Mehr über das Double-Opt-In-Verfahren im E-Mail-Marketing gibt es auf unserem Agentur-Blog unter dskom.de … inkl. Einrichtungs- und Tool-Tipps.
Wichtiges Detail: Die anwählbaren Kästchen, die der Kundgabe des User-Einverständnisses dienen, dürfen nicht vorausgefüllt sein. Der Nutzer muss diese Handlung also eigenmächtig vornehmen. Jedwede Nutzeraktivität, also sowohl der erste Klick als auch der Folge-Klick in der Bestätigungsmail müssen von Unternehmen nachvollziehbar vermerkt und gesichert werden. Auf Anforderung muss darüber Auskunft gegeben werden können. Dabei darf sich die Datenerhebung nur auf jene Informationen beschränken, die – bezogen auf den konkreten Service – unabdingbar sind. Datenminimierung ist das Stichwort!
Tipp:
Unternehmen sollten sich stets um ein simpel zu handhabendes Interface bemühen, wenn es um die Einwilligungsabgabe der Betroffenen geht. Zudem ist eine Rechtsbelehrung über das Opt-In bereitzustellen. Weiterhin ist die Möglichkeit des Ab-Abonnierens („Unsubscribe„) zwingend erforderlich.
PS: Darüber hinaus existiert auch noch das Opt-Out-Verfahren, bei dem von einer Einwilligung ausgegangen wird, sofern kein expliziter Widerspruch geäußert wird. Im Rahmen des digitalen Marketings ist diese Form nicht zulässig.
Mehr über die Folgen der DSGVO fürs E-Mail-Marketing in unserem Agentur-Blog!
Cookies auf Websites – Consent Management Systeme fragen Einwilligung ab
Seit dem Herbst 2019 stehen gut funktionierende Consent Management Systeme zur Verfügung. Nach Einbindung einer solchen Lösung auf der Website, wird jeder neue Nutzer gefragt, wie er es mit dem Tracking hält – möchte der Website-Besucher ausschließlich der Nutzung essenziell notwendiger Cookies zustimmen? Oder sind für den Nutzenden auch Cookies okay, die Marketing unterstützen, Tracking ermöglichen oder externe Medien (YouTube-Videos oder Kartendienste) sichtbar machen.
Diese vier Consent Management Systeme empfehlen wir derzeit:
- Borlabs (nur für WordPress verfügbar)
- Usercentrics
- Consent Management Provider
- CookieBot
Die vier Software-Lösungen erledigen das Management der aktiven Einwilligung schon sehr gut. Sie sprechen von DSGVO-konform. Allerdings wird über die Gestaltung der Abfragefenster noch gestritten. Hier werden zuweilen „psychologische Tricks“ eingesetzt, um „Alle akzeptieren“ zu erreichen. Ob dies so dauerhaft bleiben darf, ist nicht sicher.
Die DSGVO & Google Analytics sowie andere (Google-)Tools: YouTube, Optimize, Maps, ReCaptcha
Die Nutzung des Tools „Google Analytics“ wird als rechtmäßig angesehen, sofern bestimmte Voraussetzungen erfüllt werden.
So ist eine „adäquate Behütung“ der User im Rahmen der Nutzung von Google Analytics immer dann zu bejahen, sofern die jeweilige Datenschutzerklärung der Website die Betroffenen auf den Gebrauch von Google Analytics aufmerksam macht und über das entsprechende technische Prinzip informiert.
Ein weiterer wichtiger Punkt ist die Anonymisierung der IP-Adresse im Rahmen der Erhebung von Daten mittels Google Analytics. Die aktuelle Version „Google Analytics 4“ anonymisiert schon automatisch. Ältere Versionen benötigen manuellen Eingriff, um diese Anonymisierung sicherzustellen. Außerdem muss beim „Betreten der Website“ die Einwilligung des Nutzers eingeholt worden sein (siehe Consent Management Systeme, einen Absatz zuvor).
Da Google mit seinem Tool „Analytics“ für Unternehmen als Datenverarbeiter auftritt, muss zudem ein Auftragsverarbeiter-Vertrag mit Google geschlossen werden. Dies ist digital möglich. In der Google Analytics Verwaltung bietet Google diese Vereinbarung an – einfach den entsprechenden Dialogen folgen, die sich in der Analytics-Verwaltung unter „Konto“ > „Kontoeinstellungen“ finden lassen. Mehr über die fachgerechte Einrichtung von Google Analytics zeigt unser SEO-Profi-Blog!
Neben Google Analytics gibt es weitere zahlreiche Online- und Website-Tools, deren Integration in den Quellcode einer Website zu Datenübertragungen führen, die DSGVO-sensibel sind. Hier ein paar weniger offensichtliche Beispiele:
- diverse WordPress-PlugIns (z.B. für Website-Analysen oder Online-Formulare)
- Google Optimize, Optimizely oder andere A/B-Testing-Tools
- hotjar, Mouseflow und ähnliche UX- und User-Engagement-Tools
- YouTube, Vimeo, Wistia und andere einbettbare Video-Formate
- Google Maps und viele andere Karten- und Navigationsdienste
- Google Fonts und andere externe Webdesign-Tools
- ReCaptcha von Google und andere Security-Tools
- AddThis, Monarch und andere Social-Sharing-Button-Dienste
Auch hier gilt immer: Werden Daten aus der eigenen Website an Dritte übermittelt, sodass diese Auswertungen darüber zur Verfügung stellen, dann dienen diese als Datenverarbeiter für den Website-Betreiber, der Verantwortlicher ist.
In solchen Fällen gehört der Vorgang ins Verfahrensverzeichnis und ein Auftragsverarbeiter-Vertrag muss in Betracht gezogen werden. Außerdem muss über das Consent Management System um Einwilligung gebeten werden – viele dieser Tools fallen in die Rubriken „Marketing“ und „Tracking“.
Benötige ich für Retargeting nach DSGVO eine Nutzer-Einwilligung?
Viele Daten, die mit Google Analytics – oder aber auch dem Facebook-Pixel – gesammelt werden, sollen zum Zwecke der Werbeschaltung in anderen Tools weiterverwendet werden. Analytics-Daten werden über eine Verknüpfung an Google Ads geschickt. Facebook-Pixel-Daten sind die Grundlage zur Einrichtung von „Custom Audiences“, benutzerdefinierter Zielgruppen.
Diese Datencluster werden im Anschluss zur Einrichtung von Retargeting- bzw. Remarketing-Werbung genutzt. Datenschützer sind überzeugt davon, dass dieses Vorgehen grundsätzlich gegen die Datenschutzgrundverordnung verstößt. Auch die Einbindung des Retargetings in die Datenschutzerklärung auf der Website ändert daran nichts, so die Datenschützer.
Google und Facebook sehen das – selbstverständlich – ganz anders! Es laufen zahlreiche gerichtliche Auseinandersetzungen diesbezüglich. Am Ende wird das bisherige Retargeting-Vorgehen wohl aber durch Gerichtsentscheide gekippt werden. Eine unaufgeregte, sehr detaillierte Analyse ist Rechtsanwältin Nina Diercks in diesem Blogbeitrag gelungen. Darin geht sie – unter vielem anderen – auch auf das Thema Retargeting und Google Remarketing ein.
Viele Tipps, Tools und Hilfen zur DSGVO – fürs Marketing und Unternehmen generell
Seit 2018 gibt es im Internet eine Unmenge an hilfreichen Infos, Websites und Umsetzungshilfen rund um die Datenschutzgrundverordnung. Von leicht verständlichen Erläuterungen über Muster-Formulare bis zu Software-Lösungen reichen diese Angebote.
Für alle Website-Betreiber:
- Alles zum Thema DSGVO & Firmen-Website von DomainFactory
- 120+ WordPress-PlugIns im DSGVO-Check von Finn Hillebrandt
- Website-Cookies und die DSGVO – gefunden bei Trusted Shops
- DSGVO-konforme Cookie-Leiste für Websites von Cookiebot (kostenfreie Basisversion)
- Clevere DSGVO-Lösung zur Cookie-Leiste für Websites von Borlabs (kostenpflichtig)
- Was man rund um DSGVO & Webanalyse wissen muss (BASIC thinking)
- Die DSGVO und Google AdWords / Analytics (Luna Park)
- Der Umgang mit Google Analytics Rohdaten nach DSGVO (e-dialog)
- Dynamische Datenschutzerklärung für Ihre Website (kostenpflichtig)
- DSGVO-konformer Konfigurator für Website-Datenschutzerklärung (kostenfrei)
Für Geschäftsführer & Firmen-Inhaber:
- DSGVO-Hilfen für kleine Unternehmen und Vereine
vom Bayrischen Landesamt für Datenschutzaufsicht (BayLDA)
inklusive PDF-Checklisten und Musterverzeichnisse für- Vereine
- Handwerksbetriebe
- Steuerberater
- Arztpraxen
- Hausverwaltungen
- Onlineshops
- Beherbergungsbetriebe (Hotels, Pensionen)
- Einzelhändler
- Schritt-für-Schritt Generator für die DSGVO-Dokumentations-Erstellung (kostenpflichtige Software)
- Praxishilfen zur DSGVO von der Gesellschaft für Datenschutz & Datensicherheit
- Muster für Verzeichnis von Verarbeitungstätigkeiten nach DSGVO für Verantwortliche (activeMind.AG)
- Was beachten bei der Datenübertragung ins Ausland? TrustedShops weiß Antwort!
- Liste der AV-Verträge von Hostern, Newsletter-Tools & Online-Diensten von Finn Hillebrandt
Buchtipps für Jedermann:
Hilfen für Agenturen:
- Infopaket DSGVO & Agenturen von Mittwald (kostenpflichtig)
- Muster für Verzeichnis von Verarbeitungstätigkeiten nach DSGVO für Auftragsverarbeiter (activeMind.AG)
Test zum eigenen DSGVO-Wissen & DSGVO-Fortschritt im Unternehmen:
- Test zur Selbsteinschätzung auf dem Weg zur DSGVO-Umsetzung vom BayLDA
Und wer sich doch für Bußgelder mit Bezug auf die DSGVO interessiert, schaut einfach bei Google News danach.
Sie wollen mehr Online-Marketing-Tipps von uns?
Dann lesen Sie bitte auch diese Blogbeiträge aus unserer Feder. Wir schreiben viel über Online-Marketing und SEO und würden uns sehr über Ihr Feedback freuen:
Fundierte Onlinemarketing-Seminare in Berlin
Sie möchten den Online-Erfolg Ihres Unternehmens Schritt für Schritt ausbauen? Dann bilden Sie sich weiter! Unsere Seminare und Workshops bringen Sie voran – mit Tipps aus der Praxis für die Praxis.
- Profi-Wissen & Insider-Tipps
direkt aus der täglichen Projektarbeit - Antworten auf all Ihre Fragen
vom Onlinemarketing-Profi mit 16 Jahren Erfahrung - Angenehme Lernatmosphäre
praxisorientiert, kurzweilig, individuell
Individuelle Onlinemarketing-Beratung für Ihr Unternehmen
Wir begleiten Sie in Sachen Onlinemarketing – vom ersten Kick-Off Meeting bis zur täglichen Umsetzung aller nötigen Aufgaben. Profitieren Sie von unserer Expertise – machen Sie Ihr Unternehmen im Web erfolgreich!
- Sie suchen kompetente Partner
Wir bringen über 16 Jahre Erfahrung mit! - Wir gehören zu den Besten,
verstehen Suchmaschinen und deren Nutzer! - Sie haben Budget und Zeit,
denn nur dann ist Erfolg möglich!