Änderungen im Online-Marketing.

Was müssen Unternehmen im Online-Marketing genau beachten?

Änderungen für Websitebetreiber durch die DSGVO

1. Cookie-Hinweis

Laut Cookie Richtlinie 2009/136/EG ist folgendes zu beachten: Der Nutzer muss klare und genaue Informationen über Art und Zweck der eingesetzten Cookies erhalten (z.B. in der Datenschutzerklärung). Ferner muss der Nutzer die Möglichkeit haben, dem Einsatz des Cookies zu widersprechen bzw. diesen abzulehnen. Der Hinweis soll so benutzerfreundlich wie möglich sein. Die Darstellung von bestimmten Website-Inhalten kann nach wie vor davon abhängig gemacht werden, dass diese nur über einen gesetzten Cookie sichtbar sind, vorausgesetzt der Einsatz erfolgt zu einem rechtmäßigen Zweck.

Ein Beispiel für einen datenschutzkonformen Cookie-Hinweis findet sich auf unserer Website: www.columbus-interactive.de

Cookie-Hinweis

2. Datenschutzerklärung – wie muss diese zukünftig aussehen?

Betroffene müssen über die Verarbeitung der sie betreffenden Daten informiert werden. Online geschieht dies in einer Datenschutzerklärung, in welcher die Informationen präzise, transparent, verständlich sowie leicht zugänglich dargestellt werden müssen.

Die Datenschutzerklärung muss somit zukünftig folgende Punkte beinhalten:

  • Angaben zum Verantwortlichen: Name/Firma, Adresse, Kontaktdaten
  • Angaben zum Datenschutzbeauftragten (falls benannt): E-Mailadresse
  • Datenkategorien und Zweck dieser: Angaben zu den einzelnen Verarbeitungstätigkeiten, von denen Kunden und Nutzer betroffen sind (Kontaktanfragen, Newsletter-Anmeldung, Einsatz von Google Analytics, etc.)
  • Nennung der Rechtsgrundlagen der Datenverarbeitung
  • Werden Daten auf Grundlage der berechtigten Interessen verarbeitet (betrifft Marketingmaßnahmen, wie z.B. Google Analytics, Facebook-Pixel etc.), dann müssen die Interessen benannt werden (etwa „wirtschaftliche Interessen“)
  • Informationen zur Weitergabe von Daten an Dritte: Empfänger bei Übermittlung personenbezogener Daten
  • Hinweis auf die Dauer der Speicherung: Zeitspanne oder Kriterien für die Festlegung der endgültigen Dauer
  • Hinweise auf Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerrufsrecht bei Einwilligungen etc.

Ein Beispiel für eine datenschutzkonforme Datenschutzerklärung findet sich auf unserer Website: Datenschutzerklärung

3. Formulare und Registrierungen

Auch beim Ausfüllen eines Kontaktformulars, Bewerbungsformulars oder einer Anmeldung zum Newsletter müssen Nutzer immer verständlich darüber informiert werden, zu welchem Zweck und in welchem Umfang ihre Daten erhoben werden. Eine unmissverständliche Erklärung bzw. Einwilligung für personenbezogenes Tracking ist bei Newsletter-Anmeldungen nach wie vor Pflicht.

Als Information reicht hier in der Regel ein gekürzter Hinweis im Formular bzw. auf der Anmeldeseite und eine detailliertere Auflistung in der Datenschutzerklärung.

Ein Beispiel zur Umsetzung eines datenschutzkonformen Kontaktformulars bzw. einer Newsletter-Anmeldung mit Abfrage der Tracking Permission findet sich auf unserer Website:

Kontaktformular
Newsletteranmeldung

Kontaktformular

4. Social-Media-Einbindung

4.1. Offizielle Like- und Teilen-Buttons und Plugins

Die offiziellen Gefällt mir- und Sharing-Funktionen von Facebook, Twitter und Co. sind üblicherweise als iFrames auf Websites eingebunden und teilen somit bereits beim Laden der Website persönliche Daten wie die IP-Adresse oder lokal gespeicherte Cookies an die sozialen Netzwerke. Hierzu muss der Nutzer weder eingeloggt sein, noch über ein Konto bei dem jeweiligen sozialen Dienst verfügen.

Wenn ein User z.B. in Facebook eingeloggt ist, werden hier Daten zu besuchten Seiten an Facebook übergeben und diese dann für die spätere Ausspielung von Werbeanzeigen, basierend auf der Nutzung von Apps oder Websites, außerhalb von Facebook genutzt.

Damit die Daten nicht bereits beim Aufruf der Seite geladen werden, gab es bisher Alternativen wie die „Zwei-Klick-Lösung“ oder „Shariff“, welche erst durch den aktiven Klick des Users die Erlaubnis erhalten, Inhalte an die sozialen Dienste weiterzugeben.

Durch die „Zwei-Klick-Lösung“ bzw. „Shariff“ erteilt der Nutzer seine Einwilligung, jedoch setzt eine wirksame Einwilligung laut DSGVO voraus, dass der User über die Verarbeitung und Nutzung der Daten informiert wird und diese Einwilligung auch dokumentiert sein muss. Ebenso muss eine Einräumung einer Opt-out-Möglichkeit gegeben sein. Diese ist zum aktuellen Zeitpunkt nicht gegeben. Beide Lösungen erfüllen somit wichtige Voraussetzungen zur rechtmäßigen Verarbeitung personenbezogener Daten aufgrund einer transparenten Einwilligung nicht.

Wer sicher gehen möchte, sollte auf die direkte Einbindung von Social Plugins bzw. die Einbindung von Like- und Teilen-Buttons verzichten und stattdessen statische Links einbinden.

4.2. Statische Links oder eine Verlinkung auf den Social Media Auftritt

Einfache Teilen-Links übermitteln Inhalte an Facebook, Twitter und Co. mit den für jeden Dienst passenden Parametern. Diese statischen Links teilen Parameter wie die „URL“ oder „text“, welche die Seitenadresse oder eine bereits vorgeschlagene Botschaft übermitteln. Die IP-Adresse oder andere Daten des Nutzers werden nicht übermittelt.

Viele Websites verzichten ganz auf die Teilen-Links und verlinken lediglich die unternehmenseigene Social Media Seite. Auch hier werden nicht automatisch Daten des Nutzers an Facebook weitergeleitet.

5. Einbindung von Google Analytics

Websitebetreiber möchten wissen wie sich Besucher auf ihrer Website verhalten und setzen dafür Tools wie Google Analytics ein, um zu analysieren, woher die Besucher kommen und was sie tun. Es stellt sich die Frage, ob dieses Verfahren ab dem 25. Mai noch erlaubt ist? Prüft man die Erlaubnisgrundlagen für die Erhebung und Verarbeitung personenbezogener Daten, kann man das Tracking der Website-Besucher unter bestimmten Voraussetzungen auf die Rechtsgrundlage der berechtigten Interessen stützen.

Bei einem einfachen Tracking mit z.B. anonymisierter IP-Adresse werden pseudonymisierte Daten aufgezeichnet, verarbeitet und für statistische Zwecke (wie bei Google Analytics) verwendet. Somit kann man mit dem berechtigten Interesse des Website-Betreibers argumentieren, welches von keinen schutzwürdigen Interessen der Nutzer überwogen wird.

Um Tools wie Google Analytics auch zukünftig datenschutzkonform einzusetzen, sollten folgende Punkte beachtet werden:

  • Anonymisierung der IP-Adresse
  • Nutzer muss in der Datenschutzerklärung über Verwendung, Rechtsgrundlage und erfasste Daten von Google Analytics informiert werden
  • Nutzer muss die Möglichkeit eines Opt-Outs haben
  • Der Websitebetreiber muss einen Vertrag zur Auftragsverarbeitung mit Google abschließen, da rechtlich gesehen eine Verarbeitung durch einen Dritten stattfindet

Da ab dem 25. Mai 2018 eine Auftragsverarbeitung auch elektronisch abgeschlossen werden kann, befindet sich im Analytics-Konto unter Verwaltung > Kontoeinstellungen der Zusatz zur Datenverarbeitung elektronisch zu zustimmen.

Google-Analytics Zusatz-Datenverarbeitung

Hier gibt es auch die Möglichkeit, Details wie den Verantwortlichen im Unternehmen und die Kontaktdaten des Datenschutzbeauftragten zu hinterlegen:

Google-Analytics-Zusatz-Kontaktdaten

Änderungen im E-Mail-Marketing durch die DSGVO

Auch im E-Mail-Marketing gelten die Grundsätze für die Verarbeitung personenbezogener Daten sowie die Regeln für die Rechtmäßigkeit der Verarbeitung.

Sollten Sie aktuell E-Mail-Marketing mit der E-Mail-Marketing-Software der Inxmail GmbH betreiben oder in Zukunft einführen wollen, werden sich auch hier einige Änderungen in der Arbeit mit personenbezogenen Daten ergeben:

1. An- und Abmeldeprozess / Tracking Permission einholen und verwalten

Bei der Abfrage der Daten des Nutzers muss das Datenminimalprinzip beachtet werden: nur Daten, die für den Verwendungszweck benötigt werden, sollten abgefragt werden. Bei der Anmeldung im Newslettertool Inxmail ist die E-Mail Adresse eindeutig und somit zwingend notwendig. Alle anderen Daten sollten als freiwillige Angabe oder Auswahl eindeutig gekennzeichnet werden.

Bei der Datenerhebung müssen umfangreiche Informationspflichten erfüllt werden (zum Beispiel Zweck der Verwendung, Widerrufbarkeit, Weitergabe an Dritte, usw.)

Zudem muss eine aktive Einwilligung in die Newsletter-Anmeldung selbst gegeben sein und - davon unabhängig - in die Verwendung des personenbezogenen Trackings, welches Rückschlüsse auf den einzelnen Nutzer zulässt.

Diese Einwilligung muss dokumentiert und die Zustimmung zum personenbezogenen Tracking jederzeit widerrufbar sein, z.B. durch eine Möglichkeit im Newsletter, in der die Zustimmung zur Verwendung personenbezogener Daten pro Verwendungszweck widerrufen oder gegeben werden kann. So kann ein Empfänger zum Beispiel die Zustimmung zum Tracking widerrufen, aber den Newsletter weiterhin abonnieren.

Hierzu ist es nötig, dass das Anmeldeformular entsprechend angepasst wird, damit die differenzierten, aktiven Zustimmungsmöglichkeiten eingeräumt und die Vorgaben aus der Informationspflicht erfüllt werden können.

Praxisbeispiel: Die Newsletter-Anmeldung auf der Website der Columbus Interactive GmbH befolgt die neuen datenschutzrechtlichen Regelungen zum Datenminimalprinzip, der Informationspflicht, dem Kopplungsverbot und der differenzierten Abfrage der Zustimmung zu personenbezogenem Tracking: Newsletteranmeldung

2. Kopplungsverbot

Zukünftig müssen dem Empfänger die unterschiedlichen Zwecke der Datenverarbeitung deutlich gemacht werden und pro Zweck die Zustimmung eingeholt, widerrufen sowie dokumentiert werden.

Praxisbeispiel: Die E-Mail-Adresse eines Kunden wird erfasst, um den Download von Unterlagen, wie zum Beispiel eines Whitepapers, zu gewähren. Um diese Daten auch für den Versand von Marketing-E-Mails zu nutzen, wird zusätzlich eine aktive, freiwillige und ausdrückliche Zustimmung des Nutzers für diesen Verwendungszweck benötigt. Somit darf nur die Abfrage der personenbezogenen Daten erfolgen, welche zur Vertragserfüllung zwingend notwendig sind. Für zusätzliche Daten und Verwendungszwecke sollten die optionalen Elemente deutlich gekennzeichnet sein wie z.B. die freiwillige Newsletter-Anmeldung bei Download des Whitepapers.

3. Betroffenenrechte

3.1. Auskunftspflicht

Der Empfänger hat das Recht darüber Auskunft zu erhalten, welche Daten über ihn gespeichert sind. Diese Daten müssen in einem strukturierten und gängigen technischen Format verfügbar sein. Hier sollte im Unternehmen zwingend ein Prozess geschaffen werden, welcher die Betroffenenrechte und somit auch die Auskunftsansprüche berücksichtigt. Dazu muss bedacht werden, dass die Auskunft nicht länger als einen Monat dauern darf und unverzüglich erfolgen muss.

Praxisbeispiel: Ein Empfänger kann formfrei eine Auskunft über den Verarbeitungszweck, die Datenkategorien, die Speicherdauer, den Drittstaatentransfer etc. inkl. einer Kopie der personenbezogenen Daten anfordern, die seit seiner Newsletter-Anmeldung über ihn gespeichert wurden.

3.2. Lösch- und Korrekturpflicht

Der Empfänger hat das Recht auf unverzügliche Korrektur oder Löschung seiner Daten. Um diesem Recht nachzukommen sollte folgendes im Voraus geprüft werden:

  • Welche personenbezogenen Daten werden verarbeitet?
  • Woher stammen diese Daten?
  • In welchen Systemen sind die Anmeldedaten hinterlegt und gespeichert?
  • Werden die Daten ggf. an Dritte weitergegeben?

Praxisbeispiel: Ein Empfänger meldet sich beim Unternehmen und möchte aus dem Newsletterverteiler entfernt werden. Das Unternehmen hat bereits ein Löschkonzept für diese Art von Anfragen und setzt den Prozess unverzüglich in Gang und informiert nach Löschung den Empfänger.

Gelten bereits erteilte Einwilligungen und Werbe-Opt-ins weiterhin?

Bisherige Opt-ins dürfen weiterhin genutzt werden, wenn bestimmte Voraussetzungen gegeben sind (siehe Erwägungsgrund 171 DSGVO): „Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“

Somit müssen Alt-Einwilligungen die Voraussetzung der DSGVO erfüllen, damit diese weiterhin gültig sind (siehe: Art. 7 bzw. 8 der DSGVO). Dabei ist u.a. von Bedeutung, ob auf Grundlage der neuen Anforderungen nach Art. 7 Abs. 4 der DSGVO eine freiwillige Erklärung abgegeben und dass die Altersgrenze für die Einwilligungsfähigkeit bei Inanspruchnahme von Diensten der Informationsgesellschaft nach Art. 8 Abs. 1 der DSGVO berücksichtigt wurde.

Datenschutz im Direktmarketing: Nutzung von Kundendaten zu Werbezwecken

Mit der DSGVO fallen alle detaillierten Regelungen des Bundesdatenschutzgesetzes (BDSG) zur Verarbeitung personenbezogener Daten für werbliche Zwecke weg.

Grundlage für die Beurteilung der Zulässigkeit von Werbung ist in Zukunft, abgesehen von einer Einwilligung, eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Ausgangspunkt für die zu treffende Abwägungsentscheidung ist der Erwägungsgrund (ErwGr. 47, Punkt 7 DSGVO), der u. a. ausführt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Auch nach dem 25. Mai 2018 bleiben die Voraussetzungen, ob und wie Unternehmen einen potenziellen Kunden kontaktieren dürfen, gleich.

Somit darf das Direktmarketing per Post weiterhin ohne ausdrückliche Einwilligung erfolgen. Die Nutzung der Daten zur Kontaktaufnahme per Telefon, Fax und E-Mail bedarf dagegen weiterhin einer ausdrücklichen Einwilligung (§ 7 Abs. 2 Nr. 3 UWG). Ebenso erlaubt bleibt die Direktwerbung per elektronischer Post an Bestandskunden für ähnliche Produkte und Dienstleistungen lt. § 7 Abs. 3 UWG.

Alles andere wäre im Hinblick auf die klaren Regelungen in § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) mit den vernünftigen Erwartungen der Betroffenen (ErwGr. 47, Punkt 7 DSGVO) nicht zu vereinbaren.

  • Datenschutzrecht (DSGVO): Darf ich personenbezogene Daten erheben?
  • Wettbewerbsrecht (UWG): Darf ich erhobene personenbezogene Daten benutzen, um Personen zu kontaktieren?

EU-Datenschutz-Grundverordnung: Das sollten Sie wissen

Dieser Beitrag ist Teil unserer Reihe zur Umsetzung der EU-DSGVO im Online-Marketing:

Rechtlicher Hinweis

Die Columbus Interactive GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der in dieser Unterlage bereit gestellten Informationen. Die Informationen sind allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen und Fragen konsultieren Sie bitte einen auf dieses Gebiet spezialisierten Fachanwalt.

Diese Website verwendet Cookies

Wenn Sie der Cookie-Nutzung zustimmen, können wir unsere Inhalte nach Ihren Bedürfnissen gestalten.
Jegliche Auswertung erfolgt anonymisiert. Mehr Informationen über Cookies und die Option, der Cookie-Verwendung zu widersprechen enthält unsere Datenschutzerklärung.

Verstanden & Akzeptiert
Mehr Infos