DSGVO und Online Marketing: Das ist zu tun!

Nach einer zweijährigen Übergangsphase tritt am 25. Mai 2018 die europaweit gültige Datenschutz-Grundverordnung (kurz DSGVO) in Kraft. Sie ersetzt zukünftig die bislang geltende EU-Datenschutzrichtlinie aus dem Jahr 1995 und das Bundesdatenschutzgesetz. Es ist die umfangreichste Reform des Datenschutzgesetzes seit 20 Jahren. Hintergrund ist insbesondere die Digitalisierung und die damit gestiegene Relevanz von Daten im Alltag. 

Entscheidend für Sie ist: Die DSGVO betrifft nicht nur die Internetriesen aus dem Silicon Valley wie Google, Facebook und Apple. Jedes Unternehmen, das in irgendeiner Form personenbezogene Daten verarbeitet, ist betroffen! Ich möchte in diesem Blogbeitrag kurz zusammenfassen, was das für Sie und Ihr Unternehmen bedeutet.

Was ist die DSGVO?

Falls Sie bisher noch nichts von der DSGVO gehört haben, hier ein kurzer Hintergrund: Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine Verordnung der Europäischen Union. Sie regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Mit dem Gesetz sollen die Datenschutzstandards in der EU vereinheitlicht werden mit dem Ziel, einerseits den Schutz personenbezogener Daten innerhalb der Europäischen Union sicherzustellen und darüber hinaus den freien Datenverkehr innerhalb des Europäischen Binnenmarktes zu gewährleisten.

Das Gesetz wurde bereits vor zwei Jahren vom EU-Parlament beschlossen. Am 25. Mai 2018 endet nun die zweijährige Übergangsfrist, in der sich Unternehmen auf die Änderungen vorbereiten konnten.

Wer muss sich mit der DSGVO beschäftigen und warum?

Wie bereits erwähnt betrifft die DSGVO alle Unternehmen, die in irgendeiner Art und Weise personenbezogene Daten verarbeiten. Somit ist praktisch jedes Unternehmen betroffen. Denn die DSGVO fasst den Begriff der personenbezogenen Daten deutlich weiter als das bisherige Bundesdatenschutzgesetz. Es reicht dabei bereits, wenn Sie solche Daten in irgendeiner Form erfassen und speichern (z. B. Namen von Kunden im Terminkalender oder Anfragen über das Kontaktformular auf Ihrer Website).

Dringlich ist der Handlungsbedarf aus verschiedenen Gründen. Besonders hervorzuheben sind drei Risiken:

  • Kunden haben umfangreichere Auskunftsrechte. Entsprechende Anfragen müssen in einer Frist von 30 Tagen und gemäß der gesetzlichen Vorschriften beantwortet werden.
  • Kunden haben die Möglichkeit, Unternehmen jederzeit bei den zuständigen Aufsichtsbehörden zu melden. Diese müssen dann aktiv werden und den Fall prüfen. Darüber hinaus sind in Zukunft auch zufällige Kontrollen durch Aufsichtsbehörden möglich.
  • Wettbewerber oder Anwälte (unter bestimmten Voraussetzungen) haben die Möglichkeit, Abmahnungen zu versenden, durch die ebenfalls erhebliche Kosten entstehen können.

Insbesondere zum zweiten Punkt sei angemerkt: Die Höhe der Bußgelder für Ordnungswidrigkeiten ist mit der DSGVO in bestimmten Fällen auf bis zu 20 Millionen Euro oder alternativ bis zu vier Prozent des Jahresumsatzes angehoben (maximales Bußgeld bisher: 300.000 Euro).

Sollten Sie sich bisher nicht näher mit dem Thema befasst haben, empfehle ich Ihnen, dies dringend nachzuholen. Ein guter Einstieg ist dazu die Broschüre der Bundesbeauftragten für den Datenschutz und Informationsfreiheit. Diese vermittelt Ihnen die wichtigsten Grundlagen zur DSGVO. Darüber hinaus empfehle ich Ihnen, im Internet nach Informationen zu suchen, die spezifisch auf Ihre Branche zugeschnitten sind. Sonst kann das Thema schnell unübersichtlich werden. Häufig kann auch der Austausch mit Kontakten aus der gleichen Branche sinnvoll sein.

Was ist zu tun bis zum 25. Mai 2018?

Je nach Unternehmensgröße und Branche sind die zu treffenden Maßnahmen sehr unterschiedlich. Wichtig ist, dass Sie sich zunächst einen grundlegenden Überblick über das Thema verschaffen und dann klären, was Sie nun tun müssen.

In diesem Blogbeitrag werde ich nur auf die wichtigsten Punkte im Zusammenhang mit dem Thema Online Marketing eingehen, um Ihnen einen Überblick über die Handlungsbedarfe in diesem Kontext zu geben.

Es ist ratsam, diese Maßnahmen ernst zu nehmen. Insbesondere das Risiko von Abmahnungen wird bei Nichteinhaltung der neuen Vorschriften hoch sein. Denn ein Blick auf Ihre Website reicht, um zu sehen, ob Sie im Einklang mit den Gesetzen stehen oder nicht.

Ich habe mich im April auf dem PrivacyDay in Köln über das Thema DSGVO informiert. Die dort anwesenden Experten waren sich einig, dass von Abmahnwellen in Bezug auf Datenschutzerklärungen etc. auszugehen ist. Dies kann dann schnell einige Tausend Euro kosten.

Welche wichtigen Themen gibt es im Zusammenhang mit Online Marketing?

Schauen wir uns also an dieser Stelle einmal die wichtigsten Themen im Bereich Online Marketing an. Die DSGVO umfasst einige wichtige Änderungen, die verschiedene Online Marketing Maßnahmen betreffen. Ich möchte mich an dieser Stelle nicht in Details verlieren und auf die wichtigen Handlungsbedarfe eingehen, um Ihnen einen Überblick zu geben.

Viele Details müssen individuell betrachtet werden. In vielen Detailfragen herrscht momentan leider außerdem auch eine sehr große Unklarheit, die auch alle anwesenden Anwälte auf dem PrivacyDay in Köln betont haben. Hier muss in vielen Fällen abgewartet werden, wie die konkrete Rechtsanwendung in der Praxis aussieht. Momentan widersprechen sich die Fachanwälte noch in vielen Detailfragen, weil es noch keine Gerichtsurteile gibt.

Dennoch ist natürlich eine gewisse Vorbereitung notwendig. Darauf gehe ich nun ein.

Hausaufgaben erledigen – Grundlagen umsetzen

Zunächst sollten Sie natürlich Ihre DSGVO-Hausaufgaben erledigen. Wie schon erwähnt geht das Thema über den Bereich Online Marketing hinaus. Es empfiehlt sich zunächst also, die grundlegenden Aufgaben zu bearbeiten. Dabei geht es zum Beispiel um die Frage, ob Sie einen Datenschutzbeauftragten brauchen (auch bei vielen kleinen Unternehmen). Das Gesetz sieht außerdem die Erstellung eines Verarbeitungsverzeichnisses mit allen Verarbeitungsprozessen vor, die im Unternehmen stattfinden. Dieses gibt Ihnen einen Überblick über die relevanten Prozesse und verpflichtet Sie, die Rechtsgrundlage der Prozesse zu klären. Hinzu kommen die technisch-organisatorischen Maßnahmen. Dabei geht es insbesondere darum, welche Maßnahmen in Ihrem Unternehmen umgesetzt werden, um den Datenschutz bestmöglich gewährleisten zu können.

Website überprüfen

Wenn es um die Frage geht, welche Datenverarbeitungsprozesse im Bereich Online Marketing stattfinden, hilft zunächst ein Blick auf die eigene Website. Beispiele für Datenverarbeitungen, die dort stattfinden können, sind zum Beispiel:

  • Einsatz von Cookies
  • Einsatz von Webanalyse-Tools (Google Analytics, Piwik …)
  • Einsatz von Google Maps Einbindungen
  • Einsatz von Google Fonts
  • Einsatz von Remarketing-Pixeln
  • Einsatz von Kontaktformularen

Die Liste lässt sich fortführen. Wenn Sie Ihre Website nicht selbst erstellt haben, empfehle ich, Ihren Webdesigner zu kontaktieren und um eine Auskunft diesbezüglich zu bitten. Auf dieser Basis muss dann eine Datenschutzerklärung gemäß der gesetzlichen Normen erstellt werden. Dazu können Online-Tools wie das der Kanzlei Wilde Beuger Solmecke genutzt werden. Wichtig ist jedoch: Solche Datenschutzerklärungen sind sehr individuell. Wer wirklich rechtssicher unterwegs sein möchte, muss die Datenschutzerklärung von einem Anwalt prüfen lassen.

Eine sehr praktische Alternative dazu ist das kostenpflichtige Angebot der Avalex GmbH. Damit können Sie sich eine rechtssichere Datenschutzerklärung generieren lassen und erhalten einen (teilweise beschränkten) Abmahnkostenschutz. Besonders praktisch: Mit dem kostenlosen Check der Website können Sie sich leicht einen Überblick verschaffen, welche relevanten Datenverarbeitungsprozesse auf Ihrer Website stattfinden. Dabei wird gleich erklärt, welche Maßnahmen zur rechtskonformen Umsetzung notwendig sind.

Rechtsgrundlage für Online Marketing Maßnahmen prüfen

Anschließend müssen alle weiteren Online Marketing Maßnahmen in Bezug auf den Datenschutz überprüft werden. Dabei geht es insbesondere um die Frage, ob die bisherige Datenverarbeitung in dieser Weise weiterhin zulässig ist und unter welchen Bedingungen. Brauchen Sie ein Einverständnis oder können Sie ein berechtigtes Interesse unterstellen?

Die Details gehen an dieser Stelle weit über diesen Blogbeitrag hinaus. Darüber wurden bereits ganze Bücher geschrieben. Aktuell gibt es aber – wie bereits erwähnt – auch noch sehr viele Unklarheiten.

Ich empfehle, mit Ihrer Agentur über das Thema zu sprechen und bei Bedarf auch einen Fachanwalt für Datenschutz zu befragen.

Einige sehr wichtige Beispiele sind in diesem Bereich die neuen Vorschriften bei der Anmeldung für Newsletter. Hier besteht in jedem Fall ein Handlungsbedarf. Auch im Bereich Remarketing sind sich viele Experten einig, dass hier in Zukunft das Einverständnis des Nutzers vorliegen muss, bevor Daten an Facebook, Google oder einen anderen Drittanbieter weitergegeben werden.

AV-Verträge

Im Online Marketing werden immer wieder Kundendaten von Drittanbietern verarbeitet. Dies geschieht zum Beispiel bereits, wenn Interessenten/Kunden Ihre Website besuchen. Bei Ihrem Webhoster werden die IP-Adresse sowie weitere Daten zum Endgerät des Nutzers gespeichert. Gemäß der DSGVO sind IP-Adressen zukünftig personenbezogene Daten. Damit verarbeitet Ihr Webhoster als Drittanbieter Daten Ihrer Interessenten/Kunden.

In einem solchen Fall müssen künftig Auftragsverarbeitungsverträge (AV-Vertrag, ehemals ADV-Vertrag) abgeschlossen werden. Ein solcher Vertrag regelt vereinfacht gesagt die Pflichten beider Vertragsparteien in Bezug auf den Umgang mit den weitergegebenen Daten.

Weitere Beispiele für Fälle, in denen ein solcher Vertrag abgeschlossen werden muss, sind die Verwendung eines Webanalyse-Tools (z. B. Weitergabe von IP-Adressen an Google), die Verwendung von Newsletter-Software (E-Mail-Adressen der Abonnenten etc.), aber auch Agenturen, die möglicherweise Zugriff auf die Newsletter-Software, Google Analytics oder personenbezogene Daten in Ihrem Onlineshop haben.

Diese Anbieter müssen Sie häufig auch in Ihrer Datenschutzerklärung nennen und dort versichern, dass entsprechende AV-Verträge bestehen.

Zusammenfassung und Fazit

Ich bin mir sicher, dass Sie nach der Lektüre dieses Blogbeitrages viele Fragen haben. Ähnlich ging es mir auch, als ich das erste Mal mit dem Thema in Berührung kam. Ich verstehe, dass man im Tagesgeschäft praktisch keine Zeit hat, sich mit solchen Themen zu befassen und die Motivation häufig auch entsprechend niedrig ist.

Dennoch werden Sie dieses Thema nicht ignorieren können. Ich möchte Ihnen empfehlen, ganz praktisch an die Thematik heranzugehen und sich zunächst einen Überblick zu verschaffen. Anschließend können Sie dann die Detailfragen klären und prüfen, welche Prozesse bei Ihnen im Unternehmen betroffen sind und welche Maßnahmen dadurch erforderlich werden.

Es wird grundsätzlich unmöglich sein, bis zum 25. Mai perfekt vorbereitet zu sein. Wichtig ist aus meiner Sicht, nach außen jedoch diesen Eindruck zu vermitteln. Offensichtliche Dinge wie eine Datenschutzerklärung auf der Website sollten bis dahin angepasst sein.

Wenn Sie Fragen in Bezug auf die DSGVO und Online Marketing haben oder zum Beispiel wissen müssen, welche Datenverarbeitungen bei Ihrer Website vorgenommen werden, können Sie mir gerne eine E-Mail schreiben oder direkt anrufen. Mein Team und ich helfen Ihnen gerne weiter. Bitte beachten Sie jedoch, dass Sie sich bei rechtlichen Detailfragen besser an einen Fachanwalt für Datenschutz wenden sollten.

Zu einigen häufig gestellten Fragen werde ich in den nächsten Wochen vermutlich noch verschiedene Blogbeiträge schreiben mit wichtigen Infos zu einzelnen Fragestellungen. Themenwünsche können Sie sehr gern unten in den Kommentaren hinterlassen.

Bild: Fotolia.de / Alexander Limbach

Von | 2018-05-16T15:11:57+00:00 16. Mai 2018|Datenschutz|0 Kommentare

Über den Autor:

Nicolas Sender
Mein Name ist Nicolas Sender. Ich unterstütze als zertifizierter Online Marketing Manager (IHK) kleine Unternehmen und Selbstständige dabei, sich im Internet mit innovativem Online Marketing ideal zu präsentieren.

Hinterlassen Sie einen Kommentar

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.