Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSVGO) in Kraft. Während die einen Unternehmen panisch aufrüsten, sehen es andere ganz entspannt. Welche Effekte die DSVGO wirklich aufs Onlinemarketing hat – eine Einschätzung aus unserer Sicht.
„Datenschutz wird kompliziert wie Steuerrecht.“ „Die meisten Aspekte sind doch längst Standard.“ „Wenn das so weitergeht, biete ich bald keinen Newsletter mehr an.“ – Diese und ähnliche, mitunter ganz gegensätzliche Aussagen begegnen uns derzeit immer wieder: Die neue Datenschutzgrundverordnung (DSVGO) ist in aller Munde. Spätestens jetzt sollte sich jedes Unternehmen damit auseinandergesetzt haben. Denn ab 25. Mai ist die Verordnung endgültig in Kraft – nach einer zweijährigen Implementierungsphase, die an den meisten vollkommen unbemerkt vorübergezogen ist.
Oft ist die Rede von geradezu drakonischen Strafen in der Höhe von 4% des Jahresumsatzes, von drohenden Abmahnungen und der Blockierung moderner Onlinemarketing-Maßnahmen. Ist das datengestützte Marketing durch die neue Datenschutzverordnung beendet? In diesem Artikel zeigen wir unsere Sicht auf die neue Verordnung und geben Tipps, wie Sie im Bereich Onlinemarketing damit umgehen.
Korrekt ist: Die Datenschutzgrundverordnung bringt für Unternehmen viel Arbeit mit sich. Die Basis der Analyse bildet ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten. In diesem Verzeichnis werden alle Tätigkeiten dokumentiert, in denen personalisierte Daten verarbeitet werden. Das können Daten von Mitarbeitern, Kunden, Bewerbern oder Lieferanten sein – aber eben auch Daten zu Websitebesuchern und Zielpersonen von Werbeaktionen. Selbst anonymisiert erhobene Daten gelten unter Umständen als personenbezogen.
Für alle Dienstleister, die mit den personalisierten Daten in Berührung kommen, sind sogenannte Auftragsverarbeitungsverträge notwendig. Diese müssen ebenfalls dokumentiert werden. Natürlich zählt beispielsweise eine Spedition bei Onlineshops zu den Auftragsdatenverarbeitern. Aber es gelten eben auch cloudgestützte Dienste wie z.B. InVision als Auftragsdatenverarbeiter, wenn etwa Kunden darin Layouts präsentiert werden. Ein genauer Blick auf die verwendeten Tools und Beziehungen zu Dienstleistern ist unbedingt notwendig.
Darüber hinaus ist ein umfassendes Sicherheitskonzept zum Schutz personenbezogener Daten notwendig. Hier ist darzulegen, welche Maßnahmen ergriffen werden, um die Daten zu schützen. Bei digitalen Systemen kann dieses Konzept durchaus aufwändiger sein.
Nicht zuletzt sollten Sie einen Workflow definieren, wie bei Anfragen von Kunden, Bewerbern oder Mitarbeitern nach deren gespeicherten Daten vorgegangen wird. Wer weiß über welche Daten Bescheid und in welcher Form können diese bereit gestellt werden? Lassen sich alle Daten auch wieder löschen?
Abhängig von Ihrem Involvement im Bereich Onlinemarketing können noch weitere Spezialfälle relevant werden: Ein umfassender Blick auf die eigenen Aktivitäten ist also in jedem Fall wichtig.
Besonders problematisch kann aus unserer Sicht das Thema personalisierte Werbung werden. Selbst wenn Sie kein Profiling nutzen, sollten Sie die eigenen Aktivitäten jetzt evaluieren.
Darüber hinaus kann auch die Löschung und Speicherung von Daten für Probleme sorgen: Wie können Konversationen auf Wunsch von Kunden in Social Media gelöscht werden? Wie ist sichergestellt, dass nicht Kopien von Daten bei Dritten (z.B. Cloud-Anbietern) weiterhin gelagert werden?
Eine Vielzahl der Fragen rund um die DSVGO im Bereich Onlinemarketing ist bisher noch nicht abschließend geklärt. Wenn die ersten richtungsweisenden Urteile und Best Practices vorliegen, lohnt es sich daher, seine eigenen Datenschutz-Maßnahmen erneut zu prüfen.
Wer glaubt, dass die DSVGO den Bereich Onlinemarketing kaum betrifft, der hat sich leider geirrt. Es gibt eine Menge „Baustellen“ gerade für unsere Abteilungen und einige Bereiche (etwa Remarketing oder Cloud Dienste) sind noch in einer Grauzone.
Was man jedoch festhalten kann: Sie sollten spätestens jetzt mit der Vorbereitung auf die DSVGO beginnen! Denn wenn am 25. Mai keine ordentliche Datenschutzerklärung oder kein Cookie-Hinweis vorliegt, kann es schnell zu Abmahnungen kommen. Egal, ob findige Anwälte oder missgünstige Konkurrenten – gerade zu Anfang des In Kraft Tretens der Verordnung werden sicherlich viele Abmahnungen eintrudeln. Stellen Sie daher sicher, dass Sie nicht dazu gehören!
Gleichzeitig gilt aber der Grundsatz der Verhältnismäßigkeit: Investieren Sie Zeit in die DSVGO-Vorbereitungen – aber lassen Sie sich davon nicht vom Onlinemarketing abhalten! Newsletter oder personalisierte Werbekampagnen jetzt komplett einzustellen wäre der falsche Weg. Denn neben der Bürokratie sollten Sie vor allem Ihre Kunden glücklich machen.
Brauchen Sie Hilfe oder Beratung bei der Implementierung der DSVGO im Bereich Onlinemarketing? Möchten Sie Ihre Formulare und Datenschutzerklärung umrüsten? Wir helfen Ihnen gerne weiter! Nehmen Sie dazu hier Kontakt mit uns auf.
Hinweis: Unsere Beratung ersetzt nicht den Gang zum Anwalt! Ihr Datenschutzbeauftragter sollte zudem das große Ganze im Blick behalten – unsere Tipps beziehen sich hauptsächlich auf Onlinemarketing-Maßnahmen.
Titelbild: Joshua K. Jackson, unsplash.org