Heute, am 25. Mai, ist es soweit: EU-weit tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Worauf kommt es an, und was ist jetzt zu tun, falls Sie Online-Marketing betreiben? Wir klären auf.
Kennen Sie den? Dieser Witz zur Datenschutzgrundverordnung (DSGVO) kursiert in Unternehmen:
A: Kennen Sie einen guten DSGVO-Berater?
B: Ja.
A: Können Sie mir seine E-Mail-Adresse geben?
B: Nein.
Dabei trifft der Witz eigentlich nicht den Kern der DSGVO – denn es geht nicht um die Herausgabe, sondern um den internen Umgang mit personenbezogenen Daten.
Die DSGVO baut auf der bisherigen Datenschutzrichtlinie 95/46/EG auf und ersetzt diese. Das wurde auch Zeit: Die Richtlinie stammt aus 1995 und damit aus der Ära vor Facebook & Co. Jahrelang hat die EU-Kommission an der neuen Verordnung gearbeitet; seit zwei Jahren ist sie bereits in Kraft. Nun ist die Schonfrist abgelaufen; ab heute ist die DSGVO wirksam.
Wie medizinisches Fachpersonal und deren Dienstleister sich auf die DSGVO vorbereiten sollten, haben wir hier schon erklärt. Nun beleuchten wir das weite Feld des Online-Marketings.
Für wen ist die Datenschutzgrundverordnung wichtig?
Der Umgang mit Daten von Mitarbeitern, Usern, Kunden oder Lieferanten bedeutet die Verarbeitung von Personendaten, und die ist grundsätzlich verboten – es sei denn, es liegt eine gesetzliche Erlaubnis oder eine Einwilligung der betroffenen Person vor. Zu den Personendaten gehören nun auch „IP-Adressen und Cookie-Kennungen“, die „insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
Das heißt also: Wenn Sie eine Webseite betreiben und die Nutzerbewegungen tracken, erheben Sie Personendaten. Somit betrifft die DSGVO praktisch jeden, der etwa seinen Betrieb im Internet vorstellt – ab dem 25. Mai müssen diese Betriebe jeden Besucher ihrer Webseite darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange sie sie speichern, oder sie müssen die IP-Adressen, die zum Beispiel Google Analytics erhebt, anonymisieren. Der User hat außerdem die Möglichkeit, eine „datenschutzrechtliche Selbstauskunft“ anzufordern, die der Betreiber innerhalb eines Monats beantworten muss.
Um eine DSGVO-konforme Datenschutzerklärung für Ihre Webseite zu erstellen, sollten Sie zunächst eine Liste anlegen, wie Sie personenbezogene Daten erheben und verarbeiten. Dabei können Sie auch auf Dienstleister zurückgreifen: Agenturen wie amm prüfen Ihre Webseite und erstellen einen Report.
Was ist mit Online-Marketing und Social Media?
Auch die EU-Kommission weiß, dass Online-Marketing via Personendaten betrieben wird – das ist auch nicht verboten. Allerdings müssen die User verständlich und transparent darüber informiert werden, und sie müssen die Möglichkeit haben, der Datenverarbeitung zu widersprechen (durch das sogenannte Opt-Out). Das gilt auch fürs Remarketing (also das Schalten von Anzeigen für Ihr Angebot, nachdem der User Ihre Seite verlassen hat) und Online Behavioral Advertising (zielgruppenspezifische Werbung auf Basis des Nutzungsverhaltens).
Online-Tracking und das Setzen von Cookies sind wiederum nur mit Opt-In zulässig – und da reichen nicht die verbreiteten „Cookie-Banner“, denn nach der DSGVO dürfen Cookies erst dann beim Nutzer gespeichert werden, nachdem der Nutzer über sie aufgeklärt wurde und er sich einverstanden erklärt hat. Die bisherigen Cookie-Banner pfeifen aber auf den genauen Zeitpunkt des Einverständnisses.
Praktisch alle online aktiven Unternehmen müssen ein Verzeichnis führen
„Praktisch alle online aktiven Unternehmen müssen ein Verzeichnis führen, in dem alle Verarbeitungen personenbezogener Daten samt Quellen, Weitergaben, Zwecken, Rechtsgrundlagen (d.h. Erlaubnisse und Einwilligungen) der Verarbeitung und Löschfristen aufgeführt werden“, prognostiziert Dr. Thomas Schwenke, Anwalt für Marketingrecht, fürs SocialHub-Magazin. „Diese umfassen nicht nur Onlinemarketing sowie Social-Media-Aktivitäten, sondern auch Personalmanagement oder Kundenverwaltung.“
Datenschutzgrundverordnung und Fotos
Bisher richtete sich die Veröffentlichung von Fotos nach dem Kunsturhebergesetz (KUG), demnach es nur des Einverständnisses der fotografierten Person bedurfte (meist durch einen sogenannten Model-Release). Nun stellt schon das Fotografieren einer Person eine Erhebung personenbezogener Daten dar (Aussehen, Alter, Geschlecht, Rasse, Ort und Datum der Aufnahme etc.), und gleichzeitig werden Daten zum Fotografen erhoben – wann mit welcher Kamera und Einstellung was und wo abgelichtet wurde. Zum Speichern der Fotos müssen technisch-organisatorische Maßnahmen zum Schutz der Daten ergriffen und vereinbart werden. Das Speichern der Fotos durch Dritte (wie Cloud-Speicherdienste) wiederum stellt eine sogenannte Verarbeitung von Daten im Auftrag dar, für die ein Vertrag zur Verarbeitung von Daten im Auftrag geschlossen werden muss.
Fazit: Dokumentieren ist das A und O
Wie die Datenschutzgrundverordnung in der Praxis ausgelegt wird, wird sich erst zeigen, wenn die ersten Gerichte entsprechende Klagen verhandelt haben. Und zumindest die deutschen Bundesländer wollen auch ein Wörtchen mitreden. So hat zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bereits im Oktober 2017 beschlossen, dass der Einsatz des Facebook-Pixels zumindest nicht generell abgelehnt wird (hier die Pressemitteilung als .pdf). Dabei handelt es sich um eine Facette des Remarketing (unter dem offiziellen Namen „Facebook Custom Audience“), bei dem auf der Webseite eines Unternehmens ein unsichtbares Facebook-Pixel eingebunden ist, mit dem das Online-Verhalten des Nutzers durch Facebook nachvollzogen werden kann und er nach Verlassen der Webseite auf Facebook entsprechende Anzeigen sieht.
„Uns ist bewusst, dass personalisierte Werbung für die Wirtschaft ein enormer Vorteil ist“, erklärte BayLDA-Präsident Thomas Kranig. „Es ist ein berechtigtes Interesse der Unternehmen, ihre Produkte und Dienste optimal zu vermarkten.“ Und so lange sie dies transparent und mit der Einwilligung der User machen, ist dagegen wohl nichts einzuwenden – so lange alles dokumentiert wird.
