Was bedeutet die DSVGO fürs Onlinemarketing?

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSVGO) in Kraft. Während die einen Unternehmen panisch aufrüsten, sehen es andere ganz entspannt. Welche Effekte die DSVGO wirklich aufs Onlinemarketing hat – eine Einschätzung aus unserer Sicht.

„Datenschutz wird kompliziert wie Steuerrecht.“ „Die meisten Aspekte sind doch längst Standard.“ „Wenn das so weitergeht, biete ich bald keinen Newsletter mehr an.“ – Diese und ähnliche, mitunter ganz gegensätzliche Aussagen begegnen uns derzeit immer wieder: Die neue Datenschutzgrundverordnung (DSVGO) ist in aller Munde. Spätestens jetzt sollte sich jedes Unternehmen damit auseinandergesetzt haben. Denn ab 25. Mai ist die Verordnung endgültig in Kraft – nach einer zweijährigen Implementierungsphase, die an den meisten vollkommen unbemerkt vorübergezogen ist.

Oft ist die Rede von geradezu drakonischen Strafen in der Höhe von 4% des Jahresumsatzes, von drohenden Abmahnungen und der Blockierung moderner Onlinemarketing-Maßnahmen. Ist das datengestützte Marketing durch die neue Datenschutzverordnung beendet? In diesem Artikel zeigen wir unsere Sicht auf die neue Verordnung und geben Tipps, wie Sie im Bereich Onlinemarketing damit umgehen.

Welche Änderungen bringt die DSVGO mit sich?

Korrekt ist: Die Datenschutzgrundverordnung bringt für Unternehmen viel Arbeit mit sich. Die Basis der Analyse bildet ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten. In diesem Verzeichnis werden alle Tätigkeiten dokumentiert, in denen personalisierte Daten verarbeitet werden. Das können Daten von Mitarbeitern, Kunden, Bewerbern oder Lieferanten sein – aber eben auch Daten zu Websitebesuchern und Zielpersonen von Werbeaktionen. Selbst anonymisiert erhobene Daten gelten unter Umständen als personenbezogen.

Für alle Dienstleister, die mit den personalisierten Daten in Berührung kommen, sind sogenannte Auftragsverarbeitungsverträge notwendig. Diese müssen ebenfalls dokumentiert werden. Natürlich zählt beispielsweise eine Spedition bei Onlineshops zu den Auftragsdatenverarbeitern. Aber es gelten eben auch cloudgestützte Dienste wie z.B. InVision als Auftragsdatenverarbeiter, wenn etwa Kunden darin Layouts präsentiert werden. Ein genauer Blick auf die verwendeten Tools und Beziehungen zu Dienstleistern ist unbedingt notwendig.

Darüber hinaus ist ein umfassendes Sicherheitskonzept zum Schutz personenbezogener Daten notwendig. Hier ist darzulegen, welche Maßnahmen ergriffen werden, um die Daten zu schützen. Bei digitalen Systemen kann dieses Konzept durchaus aufwändiger sein.

Nicht zuletzt sollten Sie einen Workflow definieren, wie bei Anfragen von Kunden, Bewerbern oder Mitarbeitern nach deren gespeicherten Daten vorgegangen wird. Wer weiß über welche Daten Bescheid und in welcher Form können diese bereit gestellt werden? Lassen sich alle Daten auch wieder löschen?

Welche Onlinemarketing-Maßnahmen sind konkret vom veränderten Datenschutz betroffen?

  • Im Bereich Onlinemarketing ist das Herzstück der DSVGO-Anpassungen die Datenschutzerklärung Ihrer Website. Diese dient nicht nur zur Dokumentation von Onlinemarketing-, sondern auch von analogen Daten. Insofern sollten Sie bei der Erstellung der Datenschutzerklärung besonders genau hinsehen und diese unter Umständen auch von einem Anwalt prüfen lassen. Unglaublich, aber wahr: Um die 5000 Wörter ist Standard bei der neuen Datenschutzerklärung. Es muss also jedes Unternehmen nachbessern, selbst diejenigen, die hier schon sehr umfangreich Zeugnis abgelegt haben.
  • Neben der Datenschutzerklärung braucht jede Website eine Cookie-Meldung. Diese Meldung ist bereits bei vielen Unternehmen integriert. Wer noch keine hat, sollte möglichst schnell nachrüsten. Der Vorteil: Hier gibt es mittlerweile viele Plugins und vorgefertigte Meldungen, die sich bedenkenlos nutzen lassen.
  • Verwenden Sie Formulare auf Ihrer Website (Kontaktformular, Bewerbungsformular etc.)? Auch hier ist eine Einwilligung in die Datenschutz-Bedingungen notwendig, z.B. in Form einer Checkbox.
  • Bei allen Analyse-Tools wie Google Analytics und PIWIK müssen Sie sicherstellen, dass die Anonymisierungsfunktion aktiviert ist.
  • Bei E-Mail-Newslettern ist das sogenannte Double-Opt-In die sicherste und DSVGO-konforme Variante. Die beliebteste Variante dabei funktioniert so: User geben Ihre E-Mail-Adresse an und bekommen eine E-Mail mit einem Anmelde-Link. Erst nach Bestätigung dessen ist das Abonnement aktiv. Durch dieses zweistufige Anmeldeverfahren werden „Spaß-Anmeldungen“ oder versehentliche Anmeldungen vermieden.
  • Für fortgeschrittene Onlinemarketer ist die genaue Prüfung von Remarketing-Listen sowie personalisierter Werbung notwendig.
  • Wenn Sie öfters Gewinnspiele (auch über Facebook oder Instagram) veranstalten, ist hier ebenfalls eine angepasste Datenschutz-Erklärung notwendig.
  • Last but not Least sind auch die Verträge mit externen Dienstleistern und Cloud-Anbietern wie Google Drive oder InVision sowie Social Tools wie Buffer, Sprout Social, Falcon.io usw. nötig. Hier wird ein sogenannter Auftragsverarbeitungsvertrag notwendig.

Abhängig von Ihrem Involvement im Bereich Onlinemarketing können noch weitere Spezialfälle relevant werden: Ein umfassender Blick auf die eigenen Aktivitäten ist also in jedem Fall wichtig.

Wo kann es in Zukunft Probleme geben?

Besonders problematisch kann aus unserer Sicht das Thema personalisierte Werbung werden. Selbst wenn Sie kein Profiling nutzen, sollten Sie die eigenen Aktivitäten jetzt evaluieren.

Darüber hinaus kann auch die Löschung und Speicherung von Daten für Probleme sorgen: Wie können Konversationen auf Wunsch von Kunden in Social Media gelöscht werden? Wie ist sichergestellt, dass nicht Kopien von Daten bei Dritten (z.B. Cloud-Anbietern) weiterhin gelagert werden?

Eine Vielzahl der Fragen rund um die DSVGO im Bereich Onlinemarketing ist bisher noch nicht abschließend geklärt. Wenn die ersten richtungsweisenden Urteile und Best Practices vorliegen, lohnt es sich daher, seine eigenen Datenschutz-Maßnahmen erneut zu prüfen.

Fazit: DSVGO-Empfehlungen fürs Onlinemarketing

Wer glaubt, dass die DSVGO den Bereich Onlinemarketing kaum betrifft, der hat sich leider geirrt. Es gibt eine Menge „Baustellen“ gerade für unsere Abteilungen und einige Bereiche (etwa Remarketing oder Cloud Dienste) sind noch in einer Grauzone.

Was man jedoch festhalten kann: Sie sollten spätestens jetzt mit der Vorbereitung auf die DSVGO beginnen! Denn wenn am 25. Mai keine ordentliche Datenschutzerklärung oder kein Cookie-Hinweis vorliegt, kann es schnell zu Abmahnungen kommen. Egal, ob findige Anwälte oder missgünstige Konkurrenten – gerade zu Anfang des In Kraft Tretens der Verordnung werden sicherlich viele Abmahnungen eintrudeln. Stellen Sie daher sicher, dass Sie nicht dazu gehören!

Gleichzeitig gilt aber der Grundsatz der Verhältnismäßigkeit: Investieren Sie Zeit in die DSVGO-Vorbereitungen – aber lassen Sie sich davon nicht vom Onlinemarketing abhalten! Newsletter oder personalisierte Werbekampagnen jetzt komplett einzustellen wäre der falsche Weg. Denn neben der Bürokratie sollten Sie vor allem Ihre Kunden glücklich machen.

Brauchen Sie Hilfe oder Beratung bei der Implementierung der DSVGO im Bereich Onlinemarketing? Möchten Sie Ihre Formulare und Datenschutzerklärung umrüsten? Wir helfen Ihnen gerne weiter! Nehmen Sie dazu hier Kontakt mit uns auf.

Hinweis: Unsere Beratung ersetzt nicht den Gang zum Anwalt! Ihr Datenschutzbeauftragter sollte zudem das große Ganze im Blick behalten – unsere Tipps beziehen sich hauptsächlich auf Onlinemarketing-Maßnahmen. 

Titelbild: Joshua K. Jackson, unsplash.org