Von Halil Uzun publiziert am 13. April 2018

EU-Datenschutz-Grundverordnung (EU-DSGVO) im Marketing-Kontext

Am 25. Mai 2018 ist es soweit: die Übergangsphase der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) ist vorüber und die Verordnung, im Englischen auch als General Data Protection Regulation (GDPR) bekannt, wird rechtlich wirksam. Unternehmen, die ihm Rahmen von Targeting oder Nutzeranalysen personenbezogene Daten zu Marketingzwecken erhoben haben, stehen vor einer kritischen Aufgabe: personenbezogene Daten können nicht mehr auf die bisherige Art und Weise gesammelt und verwertet werden. Was sich im Detail hinter der Reform verbirgt, was mit ihr auf Sie zukommt, wie hoch die Bußgelder bei Verstößen sind und welche Chancen sich für Sie ergeben könnten, erfahren Sie in unserem Blogartikel.

Wozu eigentlich eine Reform des Datenschutzrechts?

Nach dem Grundgesetzbuch hat jede Person ein Grundrecht auf informationelle Selbstbestimmung. Das heißt, dass jeder darüber entscheidet, welche persönlichen Daten er über sich preisgibt, ob sein Verhalten rückverfolgt werden darf und die erfassten Daten gesichert werden sollen.

Durch die rasant voranschreitende Digitalisierung verlieren Verbraucher immer mehr den Überblick darüber, welche Informationen sie bei der Nutzung von Webseiten, Applikationen u. Ä. weitergeben. Die Intransparenz der Datenerfassung und -verarbeitung führt zu einer Verunsicherung, die die freie Entfaltung der Persönlichkeit gefährdet. Um den Nutzer aus diesem Datenlabyrinth zu holen, wurde die Datenschutz-Grundverordnung an die Digitalisierung angepasst und mit denen der EU-Mitgliedsstaaten harmonisiert.

Was sind personenbezogene Daten im Detail?

Jegliche Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen, sind personenbezogene Daten. Eine identifizierte Person ist jemand, dessen Identität anhand des Datums bekannt ist. Beispielhaft wäre hierfür die Preisgabe des Vor- und Nachnamens beim Download eines E-Books, da sich über diese Information die Person ohne Umwege identifizieren lässt. Eine identifizierbare Person ist jemand, dessen Identität nicht direkt bekannt ist, aber über die Rückverfolgung des Datums festgestellt werden könnte. Beispielsweise wenn eine IP-Adresse zu einem Firmen-PC führt, an dem üblicherweise Hr. Mustermann arbeitet, wäre die IP ein personenbezogenes Datum und somit durch die Verordnung geschützt. Weitere exemplarische Daten sind: Adresse, Vermögen, Geburtsdatum, Foto, Personalnummer, Arbeitsverhalten usw.

Wer muss die GDPR beachten?

Die Datenschutz-Grundverordnung unterscheidet nicht nach Personen aus dem Konsumenten- (B2C) oder Unternehmensbereich (B2B). Der Gesetzgeber schützt Daten, die von öffentlichen und nicht-öffentlichen Stellen über natürliche Personen erhoben werden. Daten von juristischen Personen, Vereinen oder Verbänden sind kein Bestandteil der Verordnung und werden nicht geschützt. Gemäß dem Marktortprinzip haben auch global agierende Unternehmen (wie Amazon, Google oder Apple) Handlungsbedarf, da Sie ihre Leistungen innerhalb der EU anbieten.

Für Sie bedeutet das folgendes: Erheben Sie in Ihrem Unternehmen auf jeglicher Art personenbezogene Daten und stammen diese Daten von EU-Bürgern? Falls ja, sind Sie verpflichtet, die Datenschutz-Grundverordnung zu beachten.

Sanktionen - Das erwartet Sie beim Verstoß der DSGVO

Für Verstöße im Rahmen der Datenschutz-Grundverordnung drohen immense Strafen, die Unternehmen im Worst Case in eine Zahlungsunfähigkeit drängen können. Leichtere Vergehen werden mit bis zu 10 Mio. € bzw. 2% des Jahresumsatzes (der jeweils höhere Betrag) geahndet, schwere Verstöße sogar mit bis zu 20 Mio. € bzw. 4% des Jahresumsatzes. Für einen Internetgiganten wie Google würde das bei einem Jahresumsatz von 75 Mrd. USD (2015) ein Bußgeld i. H. v. > 3 Mrd. USD (4%) bedeuten. Nur wenige Pflichten sind nicht bußgeldbewehrt.

 

New Call-to-action

DSGVO im Marketing-Kontext - Was bedeutet das für Sie?

In unserem Blogartikel vom 20. März 2017 haben wir bereits erläutert, wie Sie in Zeiten der EU-DSGVO Marketing Automation gesetzeskonform betreiben. So kompliziert die Verordnung auch klingt, müssen Sie im Grunde nur 3 Aspekte beachten, um die Auflagen zu erfüllen:

1. Einverständnis

Wenn sich ein Interessent ein E-Book, Whitepaper, eine Testlizenz o. Ä. herunterlädt, heißt es nicht zwangsläufig, dass er auch Ihren Newsletter erhalten möchte. Die DSGVO verpflichtet Sie, sich ausdrücklich das Einverständnis des Interessenten einzuholen, bevor Sie ihm nachgelagert Informationen zu Ihren Diensten oder Produkten zukommen lassen. Gemäß dem „Privacy by Design“- / „Privacy by Default“-Prinzip ist es relevant, die Seite so zu gestalten, dass standardmäßig kein Einverständnis abgeben wird. Wenn sich Herr Mustermann beispielsweise ein Kochbuch als PDF herunterlädt, darf er einerseits nicht automatisiert für den Newsletter angemeldet werden und andererseits muss die Checkbox „Ja, ich möchte den Newsletter erhalten“ demarkiert sein. Wenn Herr Mustermann sich dafür entscheidet, Ihren Newsletter zu erhalten, gibt er seine Einverständniserklärung nur für diesen spezifischen ab. Die Weitergabe seiner Daten an Dritte ist daher nicht rechtens, außer Sie weisen ihn darauf hin und er willigt ausdrücklich ein. Das bedeutet konkret, dass eine Verschiebung von einem Opt-out- (der User ist von Anfang an für alle Themenbereiche registriert) zu einem Opt-in-Verfahren (der User ist Standardmäßig für keinen Themenbereich registriert) erfolgt.

2. Datenzugang

Das Recht auf Vergessenwerden ist eines der am meisten diskutierten Urteile in der Geschichte des EU-Gerichtshof. Dieses räumt dem Verbraucher das Recht ein, die Daten, die über ihn gesammelt werden, abzufragen, anzupassen oder zu löschen. Für Sie bedeutet das, dass Sie z. B. in Ihren Newsletters einen „Unsubscribe“-Button integrieren müssen, über den der Nutzer seine Präferenzen anpassen oder sich gänzlich aus Ihrem Verteiler löschen lassen kann. Den Datenzugang müssen Sie Verbrauchern auf allen Plattformen gewähren, auf denen Sie personenbezogene Daten erheben. Auch Tracking und Website-Cookies fallen unter das Recht des Vergessenwerden. So müssen Anbieter den Nutzern die Einsicht und Löschung ihrer Daten gewähren, sofern sie auf eine bestimmte Person zurückzuführen sind.

3. Datensparsamkeit

Oft erheben Unternehmen für den Download von Content Offers diverse personenbezogene Merkmale wie Alter, Geschlecht, (E-Mail-) Adresse oder Telefonnummer. Dabei stehen einige dieser Merkmale in keinem Verhältnis zum angebotenen Content. Vielmehr dienen Sie dem Profiling des Interessenten, um ihm im Nachgang personalisierte Inhalte zu senden (z. B. alters-, orts- oder geschlechtsabhängig) oder durch stark wachsende Marketing-Varianten (wie dem Programmatic Advertising und Location-based Advertising) individualisierte Inhalte einzublenden. Die DSGVO schreibt vor, dass gemäß dem Prinzip der Erforderlichkeit nur Merkmale erhoben werden dürfen, die für den individuellen Zweck notwendig sind (für einen Digital Content reicht z. B. eine E-Mailadresse aus, für eine Broschüre hingegen sind Vor- und Nachname sowie Anschrift erforderlich). Bei Erfassung weiterer Daten bedarf es stets einer ausdrücklichen Genehmigung des Interessenten. Außerdem muss der Erheber im Falle eines Audits darlegen können, inwiefern die zusätzlich erfassten Daten im Verhältnis zum heruntergeladenen Content oder zum angemeldeten Event u. Ä. stehen. Weiterhin wird die Offenlegung jeglicher (teils automatisierter) Datenverarbeitungsprozesse und Löschkonzepte verlangt.

So sorgen Sie Step-By-Step für DSGVO-Konformität

1. Ermitteln des Status Quo

Zunächst sollten Sie herausfinden und dokumentieren, an welchen Stellen in Ihrem Unternehmen DSGVO-relevante personenbezogene Daten erhoben werden. Es wird ein Plan erstellt, wie diese Daten aufgedeckt werden. Auf Webportalen, Seiten oder in Applikationen können beispielhaft folgende Bereiche in Frage kommen:

  • Karriereseite - Hier sammeln Sie Daten von interessierten Bewerbern.
  • Online Shop - Um Ihrem Käufer das Produkt wie auch weitere Informationen zuzusenden, erheben Sie E-Mail- sowie Liefer-Adressen, Kontodaten etc.
  • Landing-Pages, auf denen Sie Ihren Kunden mehrwertigen Content per Mail zur Verfügung stellen, erheben Sie den Vor- und Nachnamen wie auch die E-Mail-Adresse des Interessenten.
  • Intranet/CRM/ERP - Sie speichern Besprechungsnotizen, in denen externe Ansprechpartner genannt werden, analysieren Kunden in Ihrem CRM-System oder legen neue Kontakte an, die Ihnen ihre Visitenkarte mitgegeben haben.
  • Website Login - Ihre Kunden haben einen Login-Zugang auf Ihrem Portal und hinterlegen Informationen zu ihrer Person.
  • Tracking Google Analytics - Über die IP-Adresse (indirektes personenbezogenes Datum) verfolgen Sie das Verhalten Ihrer Website-Besucher zur Optimierung Ihrer Seite.
  • uvm.

Beim Ermitteln des Ist-Zustands sollten Sie neben dem Prozess und Zweck auch die betroffenen personenbezogenen Daten (z. B. Alter, Name, Geschlecht, Geburtsdatum u. Ä.), die betroffene Person (z. B. Kunden, Mitarbeiter oder Bewerber), die Quelle (z. B. Website, CRM, Paypal API, Google usw.) und vor allem den Ort der Datenermittlung (z. B. auf ihrem eigenen Exchange-Server, in der AWS Cloud in Frankfurt, in der Azure Cloud, Paypal Inc. etc.). Dabei ist es wichtig, herauszufinden, was mit Daten in der Cloud genau passiert. Wenn Sie also die Azure Cloud zur Datenspeicherung nutzen und Microsoft wiederum diese Daten weiterverwendet, verkauft oder aus Sicherheitsgründen repliziert, müssen Sie den Dateneigner darüber informieren und vorab sein Einverständnis einholen - andernfalls machen Sie sich strafbar.

2. Prüfen auf Rechtmäßigkeit

Sobald Sie die personenbezogenen Daten aufgedeckt haben, müssen Sie diese auf Rechtmäßigkeit prüfen. Sie sollten sich gemäß dem Verbotsprinzip merken, dass die Verarbeitung personenbezogener Daten prinzipiell nicht erlaubt ist. Erst eine konkrete Einwilligung der jeweiligen Person erlaubt es Ihnen, die Daten zu verarbeiten. Prüfen Sie also, ob Sie bei Ihren aufgedeckten Daten das Einverständnis der Betroffenen bereits eingeholt haben.

3. Auftragsverarbeitungsverträge (AV-Verträge) mit Dienstleistern schließen

Wenn Sie mit Ihren Dienstleistern wie Google, Amazon, Facebook aber auch mit Beratungsunternehmen personenbezogene Daten im Rahmen einer Leistungserbringung teilen, müssen Sie diese in die Pflicht zur Einhaltung der DSGVO nehmen. Das gelingt Ihnen mit einem entsprechenden AV-Vertrag, in dem die konkretisierten Rahmenbedingungen (welche Daten werden verwendet? Was sind die Auftragsinhalte? Usw.) genannt werden. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war der AV-Vertrag als Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) bekannt und wurde mit der DSGVO weiter verschärft.

4. Transparenz gegenüber Aufsichtsbehörden: Erstellung eines Verarbeitungsverzeichnisses

Um Aufsichtsbehörden eine Transparenz bzgl. Ihrer Verarbeitungsverfahren zu gewährleisten und gleichzeitig Ihr Unternehmen rechtlich abzusichern, bedarf es einem Verarbeitungsverzeichnis. Sollten Sie bereits ein Verarbeitungsverzeichnis nach der BDSG verfügen, können Sie dieses nach der DSGVO erweitern. Ein Verfahrensverzeichnis kann z. B. das Verfahren für Personalrekrutierung, Newsletterversand, Bestellprozesse im Online-Shop, E-Tracker-Analytics und dergleichen umfassen.

Ein beispielhaftes Verfahrensverzeichnis für einen Newsletterversand könnte wie folgt aussehen:

Name des Verfahrens Newsletterversand
Beschreibung Versand kommerzieller Kommunikation durch den Anbieter mit Sitz in der EU selbst auf Basis einer Einwilligung des Nutzers (Opt-In).
Rechtsgrundlage Einwilligung
Verarbeitungszwecke Werbung
Betroffene Personen Kunden, Interessenten
Betroffene Daten Vor- & Nachname, E-Mail-Adresse
Empfänger Marketingabteilung, Vertriebsabteilung, Kundendienst
Drittländer Mit angemessenem Datenschutzniveau: Argentinien, Kanada
Drittländer Ohne angemessenem Datenschutzniveau: Russland, China, Indien
Schutzmaßnahmen Verbindliche interne Datenschutzrichtlinien
Techn. org. Maßnahmen Virenschutz, Sichere Passwörter, Benutzererkennung, Rauchverbote, Feuerlöscher, Bildschirmsperren,  Sperrung bei Eingabe falscher Passwörter, Firewalls, Erkennung eines Datenlecks...
Löschfristen Nach Widerruf der Einwilligung, nach Vertragsende, nach Wiederspruch gegen die künftige Verarbeitung

5. Technische und organisatorische Maßnahmen (TOM) anlegen und erweitern

TOMs werden Ihnen bereits aus dem BDSG bekannt sein. Mit der DSGVO gewinnen sie vor allem aus rechtlicher Sicht stark an Relevanz. Zwar werden technische und organisatorische Maßnahmen in einem Atemzug genannt, dennoch unterscheiden sich diese wie folgt:

  • Technische Maßnahmen umfassen physische (Alarmanlage, Brandmelder etc.) wie auch virtuelle (Antivirus-Software, Firwalls etc.) Lösungen, die zum Schutz personenbezogener Daten dienen.
  • Organisatorische Maßnahmen geben Regeln, Vorgaben und Strukturen wieder, an die sich Ihre Mitarbeiter halten müssen, um die DSGVO-Konformität zu gewährleisten.

Wenn Sie Ihre TOMs strukturiert und sorgfältig mit allen relevanten Maßnahmen pflegen, können Sie gegenüber Aufsichtsbehörden und weiteren Stakeholdern, die Ihre DSGVO-Konformität infrage stellen einen Beleg vorweisen.

6. Anpassung Ihrer Datenschutzerklärung

Bestehende Datenschutzerklärungen müssen angepasst werden. Hierzu gibt es bereits diverse Tools, mit denen Datenschutzerklärungen zusammengeklickt und erstellt werden können. Sie sollten dennoch einen Datenschutzbeauftragten hinzuziehen, um eine vollumfängliche Konformität zu gewährleisten.

7. Umsetzungsphase

In diesem Step setzen Sie die zuvor erläuterten Schritte in die Tat um, überprüfen Ihre Datenströme und überwachen die Zugänge zu Daten. Außerdem optimieren Sie durch Sicherheitstests die Stabilität Ihrer Maßnahmen und löschen unwichtige Daten.

8. Sie sind bereit für die DSGVO

Ab dieser Phase sind Sie bereit, die DSGVO-Richtlinien einzuhalten. Sie sind den Anforderungen an Löschung, Korrektur, Speicherung, Erweiterung und weiteren Richtlinien nachgekommen. Zusätzlich haben Sie alle DSGVO-relevanten Aktivitäten dokumentiert, um bei einer Prüfung Ihre Konformität zu belegen und um bei Datenlecks Betroffene zu informieren.

Mit der richtigen Vorbereitung ist die DSGVO keine Gefahr, sondern eine Chance

An dieser Stelle werden sich wahrscheinlich viele denken, dass sie ihr Marketing-Konzept komplett überarbeiten müssen, um a) möglichen Sanktionen zu entgehen und b) um Interessenten sowie Kunden weiterhin personalisierte Inhalte zur Verfügung stellen zu können. Die Antwort ist ja und nein zugleich, da es darauf ankommt, wie die Daten bislang erhoben wie auch verarbeitet wurden und inwieweit diese einen Personenbezug aufzeigen. Unbestritten zu den genannten Risiken, bedingt durch die neue Gesetzgebung, birgt die EU-DSGVO auch Vorteile, die sich in 4 Punkten widerspiegeln:

1. Vertrauen durch Kompetenz

Der wichtigste Faktor für den Erfolg aller Unternehmen ist der Kunde. Die wichtigste Basis für eine nachhaltige Beziehung zum Kunden ist Vertrauen. Eine länderübergreifende Studie der US-Firma Frog stellte fest, dass Deutsche die größte Angst um ihre Daten im Internet aufweisen. Gleichzeitig waren sie diejenige Gruppierung mit der geringsten Kenntnis über Datenspeicherung. Diese allgemein vorherrschende Angst beseitigt die DSGVO, da Sie Unternehmen zur Transparenz verpflichtet. Wenn Sie noch vor Ihrer Konkurrenz agieren und Ihrem Kunden Ihre DSGVO-Konformität garantieren, bauen Sie ein starkes Vertrauensverhältnis auf, das den Kunden eher dazu bewegt, auf Ihrer Seite zu verweilen, Ihre Dienste in Anspruch zu nehmen und relevante, persönliche Daten preiszugeben.

EU-Grundrechtekomissarin Viviane Reding sieht in den persönlichen Daten die Währung des digitalen Marktes und sagt dazu: „Nur wenn die Verbraucher das Vertrauen haben, dass ihre Daten gut geschützt sind, werden sie Unternehmen und Behörden vertrauen, online kaufen und neue Internetdienste annehmen.“

(Quelle: EU fordert Recht auf Vergessen im Netz)

2. Marktbereinigung

Die EU-DSGVO gilt für alle in der EU agierenden Anbieter gleichermaßen, sodass aus gesetzlicher Sicht zunächst kein Unternehmen relative Vorteile gegenüber seinen Marktbegleitern hat. Mit Sicherheit werden einige nicht im Sinne der EU-DSGVO handeln und werden bei der Aussprache des Urteils ggf. den finanziellen Rückschlag nicht verkraften können. Für konforme Unternehmen führt dieser Umstand zu höheren Marktanteilen und -vorteilen.

3. Segmentierung durch Zustimmung

Mit der DSGVO benötigen Sie die explizite Zustimmung eines Interessenten. Dieser kann ferner festlegen, über welche Themen er künftig informiert werden will - und über welche nicht. Durch die obligatorische Zustimmung legt Ihr Interessent wichtige Insights offen: er verrät Ihnen, was ihn im Detail interessiert, sodass sich Ihnen neue Kundensegmentierungsmöglichkeiten bieten. Daher liegt es an Ihnen, wie Sie die Informationen zur Segmentierung nutzen – doch auch hier ist Aufklärungspflicht der Datennutzung zu beachten.

4. Recht auf Vergessenwerden

Viele CRM-Systeme sind überladen mit Daten von Kunden, die sich weder für das Produkt noch für sonstige Dienste des Anbieters interessieren. Sobald ein Interessent von seinem Recht auf das Vergessenwerden Gebrauch macht, signalisiert er dem Unternehmen, dass er nicht in dessen Zielgruppe gehört (spart dem Anbieter Mühen und Kosten). Durch das Löschen des Datensatzes bleibt das CRM-System up-to-date mit einem Konzentrat aus relevanten Kontakten.

New Call-to-action

Fazit

In der Realität ist die DSGVO kein Rückschritt für Marketeers. Zwar werden Sie zunächst Ihre Prozesse zur Erhebung, Verarbeitung und Vernichtung von personenbezogenen Daten an die gesetzlichen Rahmenbedingungen anpassen müssen, dennoch bieten sich deutliche Chancen, durch die Sie entscheidende Wettbewerbsvorteile generieren können. Die DSGVO stellt die Bedürfnisse und den Schutz des Kunden stärker in den Vordergrund. Wenn Sie Ihr Marketing-Konzept damit in Einklang bringen, erwartet Sie mit Sicherheit eine sanktionsfreie und erfolgreiche Zukunft.

Disclaimer

An dieser Stelle möchte ich noch darauf hinweisen, dass es sich bei diesem Blogartikel nicht um eine Rechtsberatung handelt. Die obenstehenden Informationen haben daher keine rechtsverbindliche Wirkung. Zur rechtsverbindlichen Prüfung Ihres Umsetzungskonzepts für die Marketing Automation in Ihrem Unternehmen sollten Sie in jedem Fall einen juristischen Experten hinzuziehen. Wir lassen uns in diesem Zusammenhang von unserem Datenschutzbeauftragten RA Christian Welkenbach (http://www.tcilaw.de/ ) beraten.