Von Halil Uzun publiziert am 13. April 2018

EU-Datenschutz-Grundverordnung (EU-DSGVO) im Marketing-Kontext

Am 25. Mai 2018 ist es soweit: die Übergangsphase der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) ist vorüber und die Verordnung, im Englischen auch als General Data Protection Regulation (GDPR) bekannt, wird rechtlich wirksam. Unternehmen, die ihm Rahmen von Targeting oder Nutzeranalysen personenbezogene Daten zu Marketingzwecken erhoben haben, stehen vor einer kritischen Aufgabe: personenbezogene Daten können nicht mehr auf die bisherige Art und Weise gesammelt und verwertet werden. Was sich im Detail hinter der Reform verbirgt, was mit ihr auf Sie zukommt, wie hoch die Bußgelder bei Verstößen sind und welche Chancen sich für Sie ergeben könnten, erfahren Sie in unserem Blogartikel.

Wozu eigentlich eine Reform des Datenschutzrechts?

Nach dem Grundgesetzbuch hat jede Person ein Grundrecht auf informationelle Selbstbestimmung. Das heißt, dass jeder darüber entscheidet, welche persönlichen Daten er über sich preisgibt, ob sein Verhalten rückverfolgt werden darf und die erfassten Daten gesichert werden sollen.

Durch die rasant voranschreitende Digitalisierung verlieren Verbraucher immer mehr den Überblick darüber, welche Informationen sie bei der Nutzung von Webseiten, Applikationen u. Ä. weitergeben. Die Intransparenz der Datenerfassung und -verarbeitung führt zu einer Verunsicherung, die die freie Entfaltung der Persönlichkeit gefährdet. Um den Nutzer aus diesem Datenlabyrinth zu holen, wurde die Datenschutz-Grundverordnung an die Digitalisierung angepasst und mit denen der EU-Mitgliedsstaaten harmonisiert.

Was sind personenbezogene Daten im Detail?

Jegliche Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen, sind personenbezogene Daten. Eine identifizierte Person ist jemand, dessen Identität anhand des Datums bekannt ist. Beispielhaft wäre hierfür die Preisgabe des Vor- und Nachnamens beim Download eines E-Books, da sich über diese Information die Person ohne Umwege identifizieren lässt. Eine identifizierbare Person ist jemand, dessen Identität nicht direkt bekannt ist, aber über die Rückverfolgung des Datums festgestellt werden könnte. Beispielsweise wenn eine IP-Adresse zu einem Firmen-PC führt, an dem üblicherweise Hr. Mustermann arbeitet, wäre die IP ein personenbezogenes Datum und somit durch die Verordnung geschützt. Weitere exemplarische Daten sind: Adresse, Vermögen, Geburtsdatum, Foto, Personalnummer, Arbeitsverhalten usw.

Wer muss die GDPR beachten?

Die Datenschutz-Grundverordnung unterscheidet nicht nach Personen aus dem Konsumenten- (B2C) oder Unternehmensbereich (B2B). Der Gesetzgeber schützt Daten, die von öffentlichen und nicht-öffentlichen Stellen über natürliche Personen erhoben werden. Daten von juristischen Personen, Vereinen oder Verbänden sind kein Bestandteil der Verordnung und werden nicht geschützt. Gemäß dem Marktortprinzip haben auch global agierende Unternehmen (wie Amazon, Google oder Apple) Handlungsbedarf, da Sie ihre Leistungen innerhalb der EU anbieten.

Sanktionen - Das erwartet Sie beim Verstoß der DSGVO

Für Verstöße im Rahmen der Datenschutz-Grundverordnung drohen immense Strafen, die Unternehmen im Worst Case in eine Zahlungsunfähigkeit drängen können. Leichtere Vergehen werden mit bis zu 10 Mio. € bzw. 2% des Jahresumsatzes (der jeweils höhere Betrag) geahndet, schwere Verstöße sogar mit bis zu 20 Mio. € bzw. 4% des Jahresumsatzes. Für einen Internetgiganten wie Google würde das bei einem Jahresumsatz von 75 Mrd. USD (2015) ein Bußgeld i. H. v. > 3 Mrd. USD (4%) bedeuten. Nur wenige Pflichten sind nicht bußgeldbewehrt.

 

New Call-to-action

DSGVO im Marketing-Kontext - Was bedeutet das für Sie?

In unserem Blogartikel vom 20. März 2017 haben wir bereits erläutert, wie Sie in Zeiten der EU-DSGVO Marketing Automation gesetzeskonform betreiben. So kompliziert die Verordnung auch klingt, müssen Sie im Grunde nur 3 Aspekte beachten, um die Auflagen zu erfüllen:

1. Einverständnis

Wenn sich ein Interessent ein E-Book, Whitepaper, eine Testlizenz o. Ä. herunterlädt, heißt es nicht zwangsläufig, dass er auch Ihren Newsletter erhalten möchte. Die DSGVO verpflichtet Sie, sich ausdrücklich das Einverständnis des Interessenten einzuholen, bevor Sie ihm nachgelagert Informationen zu Ihren Diensten oder Produkten zukommen lassen. Gemäß dem „Privacy by Design“- / „Privacy by Default“-Prinzip ist es relevant, die Seite so zu gestalten, dass standardmäßig kein Einverständnis abgeben wird. Wenn sich Herr Mustermann beispielsweise ein Kochbuch als PDF herunterlädt, darf er einerseits nicht automatisiert für den Newsletter angemeldet werden und andererseits muss die Checkbox „Ja, ich möchte den Newsletter erhalten“ demarkiert sein. Wenn Herr Mustermann sich dafür entscheidet, Ihren Newsletter zu erhalten, gibt er seine Einverständniserklärung nur für diesen spezifischen ab. Die Weitergabe seiner Daten an Dritte ist daher nicht rechtens, außer Sie weisen ihn darauf hin und er willigt ausdrücklich ein.

2. Datenzugang

Das Recht auf Vergessenwerden ist eines der am meisten diskutierten Urteile in der Geschichte des EU-Gerichtshof. Dieses räumt dem Verbraucher das Recht ein, die Daten, die über ihn gesammelt werden, abzufragen, anzupassen oder zu löschen. Für Sie bedeutet das, dass Sie z. B. in Ihren Newsletters einen „Unsubscribe“-Button integrieren müssen, über den der Nutzer seine Präferenzen anpassen oder sich gänzlich aus Ihrem Verteiler löschen lassen kann. Den Datenzugang müssen Sie Verbrauchern auf allen Plattformen gewähren, auf denen Sie personenbezogene Daten erheben. Auch Tracking und Website-Cookies fallen unter das Recht des Vergessenwerden. So müssen Anbieter den Nutzern die Einsicht und Löschung ihrer Daten gewähren, sofern sie auf eine bestimmte Person zurückzuführen sind.

3. Datensparsamkeit

Oft erheben Unternehmen für den Download von Content Offers diverse personenbezogene Merkmale wie Alter, Geschlecht, (E-Mail-) Adresse oder Telefonnummer. Dabei stehen einige dieser Merkmale in keinem Verhältnis zum angebotenen Content. Vielmehr dienen Sie dem Profiling des Interessenten, um ihm im Nachgang personalisierte Inhalte zu senden (z. B. alters-, orts- oder geschlechtsabhängig) oder durch stark wachsende Marketing-Varianten (wie dem Programmatic Advertising und Location-based Advertising) individualisierte Inhalte einzublenden. Die DSGVO schreibt vor, dass gemäß dem Prinzip der Erforderlichkeit nur Merkmale erhoben werden dürfen, die für den individuellen Zweck notwendig sind (für einen Digital Content reicht z. B. eine E-Mailadresse aus, für eine Broschüre hingegen sind Vor- und Nachname sowie Anschrift erforderlich). Bei Erfassung weiterer Daten bedarf es stets einer ausdrücklichen Genehmigung des Interessenten. Außerdem muss der Erheber im Falle eines Audits darlegen können, inwiefern die zusätzlich erfassten Daten im Verhältnis zum heruntergeladenen Content oder zum angemeldeten Event u. Ä. stehen. Weiterhin wird die Offenlegung jeglicher (teils automatisierter) Datenverarbeitungsprozesse und Löschkonzepte verlangt.

Mit der richtigen Vorbereitung ist die DSGVO keine Gefahr, sondern eine Chance

An dieser Stelle werden sich wahrscheinlich viele denken, dass sie ihr Marketing-Konzept komplett überarbeiten müssen, um a) möglichen Sanktionen zu entgehen und b) um Interessenten sowie Kunden weiterhin personalisierte Inhalte zur Verfügung stellen zu können. Die Antwort ist ja und nein zugleich, da es darauf ankommt, wie die Daten bislang erhoben wie auch verarbeitet wurden und inwieweit diese einen Personenbezug aufzeigen. Unbestritten zu den genannten Risiken, bedingt durch die neue Gesetzgebung, birgt die EU-DSGVO auch Vorteile, die sich in 4 Punkten widerspiegeln:

1. Vertrauen durch Kompetenz

Der wichtigste Faktor für den Erfolg aller Unternehmen ist der Kunde. Die wichtigste Basis für eine nachhaltige Beziehung zum Kunden ist Vertrauen. Eine länderübergreifende Studie der US-Firma Frog stellte fest (https://hbr.org/2015/05/customer-data-designing-for-transparency-and-trust), dass Deutsche die größte Angst um ihre Daten im Internet aufweisen. Gleichzeitig waren sie diejenige Gruppierung mit der geringsten Kenntnis über Datenspeicherung. Diese allgemein vorherrschende Angst beseitigt die DSGVO, da Sie Unternehmen zur Transparenz verpflichtet. Wenn Sie noch vor Ihrer Konkurrenz agieren und Ihrem Kunden Ihre DSGVO-Konformität garantieren, bauen Sie ein starkes Vertrauensverhältnis auf, das den Kunden eher dazu bewegt, auf Ihrer Seite zu verweilen, Ihre Dienste in Anspruch zu nehmen und relevante, persönliche Daten preiszugeben.

EU-Grundrechtekomissarin Viviane Reding sieht in den persönlichen Daten die Währung des digitalen Marktes und sagt dazu: „Nur wenn die Verbraucher das Vertrauen haben, dass ihre Daten gut geschützt sind, werden sie Unternehmen und Behörden vertrauen, online kaufen und neue Internetdienste annehmen.“

(Quelle: EU fordert Recht auf Vergessen im Netz)

2. Marktbereinigung

Die EU-DSGVO gilt für alle in der EU agierenden Anbieter gleichermaßen, sodass aus gesetzlicher Sicht zunächst kein Unternehmen relative Vorteile gegenüber seinen Marktbegleitern hat. Mit Sicherheit werden einige nicht im Sinne der EU-DSGVO handeln und werden bei der Aussprache des Urteils ggf. den finanziellen Rückschlag nicht verkraften können. Für konforme Unternehmen führt dieser Umstand zu höheren Marktanteilen und -vorteilen.

3. Segmentierung durch Zustimmung

Mit der DSGVO benötigen Sie die explizite Zustimmung eines Interessenten. Dieser kann ferner festlegen, über welche Themen er künftig informiert werden will - und über welche nicht. Durch die obligatorische Zustimmung legt Ihr Interessent wichtige Insights offen: er verrät Ihnen, was ihn im Detail interessiert, sodass sich Ihnen neue Kundensegmentierungsmöglichkeiten bieten. Daher liegt es an Ihnen, wie Sie die Informationen zur Segmentierung nutzen – doch auch hier ist Aufklärungspflicht der Datennutzung zu beachten.

4. Recht auf Vergessenwerden

Viele CRM-Systeme sind überladen mit Daten von Kunden, die sich weder für das Produkt noch für sonstige Dienste des Anbieters interessieren. Sobald ein Interessent von seinem Recht auf das Vergessenwerden Gebrauch macht, signalisiert er dem Unternehmen, dass er nicht in dessen Zielgruppe gehört (spart dem Anbieter Mühen und Kosten). Durch das Löschen des Datensatzes bleibt das CRM-System up-to-date mit einem Konzentrat aus relevanten Kontakten.

New Call-to-action

Fazit

In der Realität ist die DSGVO kein Rückschritt für Marketeers. Zwar werden Sie zunächst Ihre Prozesse zur Erhebung, Verarbeitung und Vernichtung von personenbezogenen Daten an die gesetzlichen Rahmenbedingungen anpassen müssen, dennoch bieten sich deutliche Chancen, durch die Sie entscheidende Wettbewerbsvorteile generieren können. Die DSGVO stellt die Bedürfnisse und den Schutz des Kunden stärker in den Vordergrund. Wenn Sie Ihr Marketing-Konzept damit in Einklang bringen, erwartet Sie mit Sicherheit eine sanktionsfreie und erfolgreiche Zukunft.

Disclaimer

An dieser Stelle möchte ich noch darauf hinweisen, dass es sich bei diesem Blogartikel nicht um eine Rechtsberatung handelt. Die obenstehenden Informationen haben daher keine rechtsverbindliche Wirkung. Zur rechtsverbindlichen Prüfung Ihres Umsetzungskonzepts für die Marketing Automation in Ihrem Unternehmen sollten Sie in jedem Fall einen juristischen Experten hinzuziehen. Wir lassen uns in diesem Zusammenhang von unserem Datenschutzbeauftragten RA Christian Welkenbach (http://www.tcilaw.de/ ) beraten.