Datenschutz 2018 – Was Online-Marketer wissen und tun sollten

Der Datenschutz ist seit Monaten in aller Munde und versetzt nicht nur die Online-Marketing-Branche in Aufruhr. Die Datenschutzgrundverordnung kommt mit großen Schritten auf alle Unternehmen zu. Auch zum Thema ePrivacy erfährt man im Wochentakt Neues, was nur noch von Kennern der Materie eingeordnet werden kann.

Datenschutz, was soll das überhaupt?

Zum besseren Verständnis der neuen Entwicklungen lohnt zunächst ein Blick auf Sinn und Zweck des Datenschutzes: Dieser hat in Deutschland eine vergleichsweise lange Tradition. Schon 1970 gab es das erste Datenschutzgesetz in Deutschland. Doch erst mit dem Volkszählungsurteil des Bundesverfassungsgerichts 1983 gelangte der Datenschutz als Schutz des Persönlichkeitsrechts des einzelnen Bürgers in das Bewusstsein der Allgemeinheit.

Das höchste deutsche Gericht erwähnte erstmals ein Grundrecht des Einzelnen auf informationelle Selbstbestimmung. Ein Gesetz über die Erhebung statistischer Daten über die Bürger durch den Staat (das Volkszählungsgesetz) wurde in Teilen für verfassungswidrig erklärt. Der Datenschutz war (und ist) also in erster Linie ein Grundrecht jedes Bürgers und ein Abwehrrecht gegen den Staat. Das Datenschutzrecht soll vor allem eine Totalüberwachung durch die Behörden verhindern.

Doppelrolle des Datenschutzrechts

Die Datenschutzgesetze gelten heutzutage auch zwischen Privaten und Unternehmen. Im Vordergrund steht dabei aber nicht die Verhinderung der totalen Ausspähung, sondern ein gesetzlicher Rahmen für die Erhebung und Verwendung personenbezogener Daten Einzelner durch Unternehmen.

Wichtig ist die Doppelkomponente: Der Schutz der Privatsphäre des Einzelnen vor der Privatwirtschaft bringt stets einen Eingriff in die Freiheiten der Unternehmen mit sich. Jede gesetzliche Vorschrift, die den Umgang mit Daten durch Unternehmen reguliert, greift in die – ebenfalls verfassungsrechtlich garantierte – Berufsausübungsfreiheit ein. Keines der Rechte hat dabei per se Vorrang. Es muss ein Ausgleich gefunden werden. Diesen Ausgleich versuchen die Datenschutzgesetze zu finden. Mal gelingt das gut. Mal gelingt das nicht.

Datenschutzaufsicht als staatliche Stelle

Die Datenschutzbehörden spielen dabei eine wichtige Rolle und ihre Bedeutung wird in naher Zukunft noch steigen. Wie der Name schon sagt, handelt es sich bei den Aufsichtsbehörden um Behörden, um staatliche Stellen. Genauso wie die Gewerbeaufsicht über die Einhaltung des Gaststättengesetzes wacht und die Polizei Verkehrsverstöße ahndet, handeln die Datenschutzbeauftragten der Länder als staatliche Behörden, wenn sie Verfahren einleiten.

Genau wie gegen eine Auflage der Gewerbeaufsicht oder gegen ein Parkticket können betroffene Unternehmen gegen Bescheide der Behörden vorgehen. Anders als bei Ruhestörungen der Kneipe oder Geschwindigkeitsübertretungen des Geschäftsführers haftet einem öffentlich gewordenen Einschreiten der Datenschutzbehörden häufig etwas skandalhaftes an – und oftmals zu recht. Bisweilen lassen sich Unternehmen aber allein wegen einer möglichen Außenwirkung von einer Auseinandersetzung mit den Behörden abhalten und nehmen Bescheide hin, obwohl sie sich dagegen mit Erfolg hätten zur Wehr setzen können.

Öffentliche Äußerungen von Behörden sind dementsprechend auch lediglich eine Behördenmeinung. Genauso, wie das Finanzamt eine Meinung äußern kann, die vom Bundesfinanzhof für falsch erklärt wird, kann auch ein offizielles Statement der Datenschutzbehörden, deren Aufgabe es ja ist, für einen möglichst weitreichenden Datenschutz zu sorgen, über das Ziel hinausschießen und von Gerichten kassiert werden.

Die zwei Seiten des Datenschutzes für jeden Online-Marketer

Als Agentur-Chef, E-Commerce-Unternehmer oder Online-Marketer hat man es täglich mit beiden Seiten der Medaille zu tun: Einerseits möchte man im Rahmen der Gesetze möglichst viel mit den gewonnen Daten anfangen. Andererseits profitiert man privat von den Datenschutzgesetzen. In der Praxis ist es kein schlechtes Korrektiv, sich zu überlegen, wie man es selbst empfinden würde, wenn mit den eigenen Daten wie vom Unternehmen geplant umgegangen würde.

Die Datenschutzgrundverordnung – Ein Gesetz für alle Unternehmen

Seit dem hessischen Datenschutzgesetz von 1970 ist viel passiert. Unter anderem hat es ein mehrfach novelliertes Bundesdatenschutzgesetz gegeben und auch die Bundesländer haben alle eigene Datenschutzgesetze und Datenschutzbeauftragte. Auch auf EU-Ebene gibt es – für viele unbemerkt – seit 1995 eine Datenschutzrichtlinie, die in allen Mitgliedstaaten umzusetzen war.

In 2018 wird alles neu: Die Datenschutzgrundverordnung (kurz: DSGVO) kommt, genau genommen ist sie schon da. Bei der DSGVO handelt es sich um eine EU-Verordnung, die seit 2016 in Kraft ist und ab dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union gelten wird. Anders als bei einer EU-Richtlinie muss die Verordnung in den Mitgliedsländern nicht gesondert umgesetzt werden. Die DSGVO ist bereits in Kraft und wird ohne weitere Übergangsfrist alle Unternehmen betreffen, die innerhalb der Europäischen Union personenbezogene Daten erheben oder verarbeiten.

Die Datenschutzgrundverordnung regelt den Umgang mit personenbezogenen Daten. Die Verordnung betrifft jedes Unternehmen (und nebenbei bemerkt auch jede Behörde). Sie gilt für den Ein-Mann-Betrieb genauso, wie für das DAX-Unternehmen, für jedes Startup genauso, wie für Amazon, Facebook und Google.

Die Verordnung gilt in Deutschland ab Mai unmittelbar. Bis dahin müssen alle Gesetze mit Datenschutzbezug auf die Verordnung abgestimmt sein. Ein neues BDSG gibt es schon. Darin sind viele Regelungen enthalten, mit denen der deutsche Gesetzgeber Gestaltungsspielraum genutzt hat, den die DSGVO den Mitgliedstaaten lässt.

Die ePrivacy-Verordnung – Eine Verordnung, die es noch nicht gibt

Schon seit längerem, spätestens aber seit vergangenem Sommer, hört man immer wieder von der ePrivacy-Verordnung. Anders als die DSGVO ist diese noch nicht in Kraft, sondern wird noch verhandelt. Diese Verordnung soll die derzeit geltende Cookie-Richtlinie ablösen. Genau wie diese Richtlinie (die auch als Richtlinie für den Datenschutz in der elektronischen Kommunikation bekannt ist), soll die ePrivacy-Verordnung die Vertraulichkeit der Kommunikation schützen. Es geht also nicht nur um personenbezogene Daten, sondern generell um die Freiheit und Unverletzlichkeit der Kommunikation. Die Stoßrichtung ist der DSGVO ähnlich, aber eben doch nicht gleich. Viele fragen zu Recht, warum es neben der DSGVO eine solche Verordnung überhaupt braucht, schließlich sind die meisten Kommunikationsdaten auch personenbezogen und insofern schon von der DSGVO reguliert.

Das EU-Parlament hat im Herbst einen Entwurf verabschiedet, der insbesondere ein strenges Einwilligungserfordernis für Cookies vorsieht. Käme die Verordnung so, hätte dies gravierende Auswirkungen auf Tracking, Targeting und personalisierte Werbung – auf das gesamte Online-Marketing. Es ist nicht zu erwarten, dass der Europäische Rat der Verordnung so zustimmen wird. Welche Änderungen hier noch kommen werden, ist derzeit nicht absehbar. Von einigen kosmetischen Änderungen bis zu einer grundlegend anderen Stoßrichtung ist vieles denkbar. Klar scheint nur, dass es die Verordnung geben wird und dass sie nicht zeitgleich mit der DSGVO für die Unternehmen Wirkung haben wird. Vor 2019 wird die ePrivacy-Verordnung nicht wirksam werden. Für das Durchschnittsunternehmen ist es daher derzeit zu früh, sich konkrete Gedanken über die ePrivacy-Verordnung zu machen. Wichtig ist vielmehr, dass die DSGVO nun schnell in den Unternehmen ankommt.

Wesentlicher Inhalt der DSGVO

Die meisten, die schon einmal mit der DSGVO konfrontiert wurden, haben von den horrenden Bußgeldern gehört, die die Verordnung vorsieht. Während bisher für schwerwiegende Datenschutzverstöße maximal ein Bußgeld von 300.000,- Euro drohte, können nun bis zu 20 Millionen Euro verhängt werden. Bei Großunternehmern kann das Bußgeld sogar bis zu 4 % vom weltweiten Jahresumsatz betragen. Auch wenn die Wahrscheinlichkeit, von Bußgeldern betroffen zu sein, für kleinere Unternehmen nicht unbedingt steigt, ist das Risikopotenzial insgesamt doch ungleich höher. Bei jeder Gelegenheit weisen Vertreter der Behörden darauf hin, dass der Bußgeldrahmen ausgeschöpft werden solle. Auch kleinere Unternehmen, für die der Datenschutz bisher eher ein Randthema war, müssen sich nun damit im Detail befassen.

Personenbezogene Daten – Eigentlich hat alles Personenbezug

Die DSGVO gilt nur für personenbezogene Daten. Es muss also immer einen Bezug zu einer natürlichen Person geben. Daten juristischer Personen sind nicht geschützt. Dies bedeutet aber nicht etwa, dass B2B-Unternehmen nicht auch von der Verordnung betroffen wären. Auch wer nur Geschäftskunden hat, sammelt personenbezogene Daten, etwa von Ansprechpartnern auf Kundenseite. Außerdem ist in vielen Bezeichnungen kleinerer Firmen der Name des Inhaber enthalten – und auch so Personenbezug gegeben.

Personenbezogen sind zunächst einmal alle Daten, die zu einer konkreten Person gespeichert werden. Dabei ist vollkommen unerheblich, wie „wichtig“ die Daten sind. Wird im Kundenprofil gespeichert, wann der Kunde sich eingeloggt hat, hat diese Information genauso Personenbezug, wie die Schuhgröße oder die E-Mail-Adresse.

Darüber hinaus fallen nach der Verordnung aber auch Online-Kennungen unter die personenbezogenen Daten. Es genügt nach der Vorstellung der Datenschützer, dass eine Information zu einer eindeutigen Kennung gespeichert wird, ohne dass die dahinter stehende Person bekannt ist (oder auch nur interessant wäre).

Wenn man sich bisher noch auf den Standpunkt stellen konnte, dass pseudonyme IDs keinen Personenbezug haben, ist damit nach der DSGVO Schluss. Online-Identifier wie Cookies, IP-Adressen, IDFAs, Google-Ad-IDs usw. werden in vielen Fällen personenbezogene Daten sein. Die Pseudonymisierung führt also nicht aus dem Datenschutz heraus.

Damit reicht es auch nicht, Daten zu verhashen. Kann durch Anwendung des gleichen Hashverfahrens zu einem späteren Zeitpunkt die Person wiedererkannt werden (was ja häufig Sinn der Sache ist), ist das die Erhebung personenbezogener Daten und die DSGVO ist anwendbar.

Verbotsprinzip

Hat ein Datum Personenbezug, ist das nicht das Ende vom Lied. Das bedeutet nicht immer, dass die Verarbeitung der Daten verboten ist. Allerdings ist und bleibt eines der wesentlichen Grundprinzipien des Datenschutzrechts das Verbotsprinzip: Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn es findet sich eine Rechtfertigung.

Abbildung 1: Verbotsprinzip und Rechtfertigungsgründe

Es muss also eine Rechtsgrundlage für die Verarbeitung der Daten gefunden werden. Die wichtigsten sind: (1) das Bestehen eines Vertrages, (2) berechtigte Interessen des Unternehmens und (3) eine Einwilligung der betroffenen Person.

(1) Ein Vertrag bildet die Rechtfertigung für die Verarbeitung der Kundendaten. Ein E-Commerce-Unternehmen darf zum Beispiel die Adressdaten des Kunden an einen Logistikdienstleister weitergeben, damit dieser die Waren ausliefern kann. Die Rechtfertigung reicht aber stets nur soweit, wie dies zur Vertragserfüllung erforderlich ist. Personalisierte Werbung oder eine Bonitätsprüfung sind davon zum Beispiel nicht umfasst.

(2) Der wichtigste Rechtfertigungsgrund für die Online-Marketing-Branche sind berechtigte Interessen des werbenden Unternehmens. Erforderlich ist einerseits ein berechtigtes Interesse des Unternehmens. Zudem muss die Verarbeitung zu dem jeweiligen Zweck notwendig sein. Vor allem aber dürfen die Interessen der betroffenen Person nicht überwiegen. Notwendig ist also eine Abwägung der Interessen des Unternehmens an der Datenverarbeitung mit den Interessen des Betroffenen, der möglichst wenig Daten erhoben und verarbeitet sehen möchte. Maßgeblich sind dabei die vernünftigen Erwartungen des Betroffenen. Rechnet dieser typischerweise mit der Datenverarbeitung, dürfen die Daten im Zweifel genutzt werden. Ist eher ungewöhnlich, was das Unternehmen mit den Daten plant, muss die Datenverarbeitung unterbleiben. Am Ende ist dies eine Frage des Einzelfalls – mit unsicherem Ergebnis.

Abbildung 2: Prüfungspunkte bei Berufung auf berechtigte Interessen

(3) Ergibt sich keine Erlaubnis aus dem Gesetz, kann gegebenenfalls eine Einwilligung helfen. Mit einer freiwillig erteilten Einwilligung lässt sich nahezu jede Datenverarbeitung rechtfertigen. Erforderlich ist aber, dass die Einwilligung wirksam erteilt wurde. Im Vergleich zum geltenden Recht stellt die DSGVO höhere Anforderungen an die Freiwilligkeit der Einwilligung. Daran soll zum Beispiel zu zweifeln sein, wenn die Einwilligung mit dem Vertragsschluss verbunden wird.

Das neue Recht verbietet für bestimmte Umstände eine Kopplung von Einwilligung und Vertragsschluss. Wie weit das Verbot wirklich reicht, ist derzeit noch offen. Ein Damoklesschwert ist die Bestimmung, dass für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden. Wann Verarbeitungsvorgänge so unterschiedlich sind, dass man eine gesonderte Einwilligung abfragen soll, sagt das Gesetz aber nicht. Allgemein wird davon ausgegangen, dass in Zukunft deutlich granularere Einwilligungen abgefragt werden müssen. 10 Kästchen untereinander im Bestellprozess? Denkbar ist das.

Abbildung 3: Prüfungspunkte bei Einwilligungen

Opt-out-Möglichkeit

Die DSGVO legt großen Wert auf die Selbstbestimmung des Nutzers. Egal ob eine Marketing-Maßnahme auf einer Einwilligung beruht oder berechtigte Interessen zur Rechtfertigung herangezogen werden. Der Nutzer muss eine Opt-out-Möglichkeit haben. Eine Einwilligung muss widerrufen werden können, der Datenverarbeitung aufgrund berechtigter Interessen kann der Nutzer widersprechen. Darüber muss der Nutzer auch jeweils in transparenter Weise unterrichtet werden. Dies geschieht üblicherweise in den Datenschutzinformationen auf der Website.

Compliance – Must Haves

Neben der drastischen Erhöhung der Bußgelder ist vor allem die Umkehrung der Darlegungslast neu. Während es bisher für mittelständische Unternehmen vertretbar war, in Sachen Datenschutz einfach nichts falsch zu machen, legt die DSGVO den Unternehmen umfangreiche Pflichten auf, die aktiv zu erfüllen sind, sollen die Bußgelder vermieden werden.

Verzeichnis über die Verarbeitungstätigkeiten erstellen

Auf die Einzelheiten kann hier nicht eingegangen werden, aber grundsätzlich muss jedes Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten führen. Darin müssen alle Datenverarbeitungsvorgänge aufgelistet und insbesondere der Zweck der Verarbeitung und die Löschfristen genannt werden. Unternehmen, in denen ein solches Verzeichnis noch nicht existiert, müssen jetzt damit beginnen und auch das Online-Marketing und den E-Commerce einbeziehen.

Rechtstexte anpassen

Natürlich müssen die Rechtstexte, also Einwilligungen und Datenschutzinformationen an das neue Recht angepasst werden. Gerade die Informationspflichten sind noch einmal erheblich ausgeweitet worden. Auch die Verträge mit Dienstleistern sind anzupassen. Alte Auftragsdatenverarbeitungsverträge müssen nachjustiert werden.

Auf Auskunftsansprüche vorbereiten

Ausgeweitet werden die Rechte der Betroffenen. Insbesondere gibt es ein generelles Widerspruchsrecht gegen die Datenverarbeitung. Die Ansprüche müssen unverzüglich erfüllt werden. Für den Auskunftsanspruch heißt das zum Beispiel, dass es unternehmensintern einen Prozess geben muss, der eine Auskunft über aller Daten ermöglicht, die zu einem Kunden gespeichert sind – im Normalfall binnen weniger Werktage. Diesen Prozess muss es schon geben, bevor der erste Kunde anfragt.

TOM überprüfen

Eine neue Qualität bekommen auch die Maßnahmen, die Unternehmen für die Sicherheit der Verarbeitung von Daten treffen müssen. Die Verordnung legt fest, dass geeignete technische und organisatorische Maßnahmen vorhanden sein müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Erforderlich ist also eine Risikoeinschätzung.

Datenschutzbeauftragten bestellen

Auch die DSGVO sieht für große Unternehmen eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor. Das neue deutsche Recht geht aber darüber hinaus und sieht – letztlich wie bisher – die verpflichtende Benennung eines Datenschutzbeauftragten vor, wenn sich mehr als 10 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weil das auf fast alle Unternehmen mit mehr als 10 Mitarbeitern zutrifft, werden also auch nach der DSGVO viele deutsche Unternehmen einen Datenschutzbeauftragten bestellen müssen.

Was heißt das für das Online-Marketing?

Im Folgenden wird an drei Beispielen kurz erläutert, wie sich die DSGVO konkret auf das Online-Marketing auswirkt.

• (1) Tracking

Auch nach der DSGVO wird ein Tracking der Besucherbewegungen auf der Website möglich bleiben. Allerdings werden die erhobenen Daten nach neuem Recht nahezu immer Personenbezug haben, so dass eine Rechtfertigung erforderlich ist.
In einem Erwägungsgrund der DSGVO wird ausdrücklich die Direktwerbung als mögliches berechtigtes Interesse erwähnt. Im Tracking selbst liegt zwar noch kein Direktmarketing. Doch ist die Analyse Vorstufe für eine spätere Direktwerbung und daher jedenfalls grundsätzlich möglich.

Voraussetzung ist aber, dass die konkret erhobenen Daten für den konkreten Zweck erforderlich sind und dass die Interessen der Nutzer nicht überwiegen. Die Tatsache, dass es für bestimmte Tracking-Arten genügt, gekürzte IP-Adressen zu speichern, spricht dafür, dass eine Speicherung der gesamten IP-Adresse nicht notwendig ist. Im Einzelfall mag das anders zu beurteilen sein. Notwendig ist jedenfalls eine vorherige Einschätzung.
Für die Interessenabwägung bedeutsam sind die berechtigten Erwartungen der Nutzer. Mit First-Party-Tracking auf der Website müssen die Nutzer heutzutage rechnen. Dagegen ist ein Cross-Device-Tracking, bei dem Nutzer über mehrere Endgeräte hinweg wieder erkannt werden können, derzeit eher nicht von den Erwartungen der Nutzer umfasst.

Abbildung 4: Verschiedene Trackingformen und DSGVO

Erforderlich sind in jedem Fall eine transparente Aufklärung und die Einräumung einer Opt-out-Möglichkeit.
Denkbar ist, dass (zusätzlich) eine Einwilligung eingeholt wird. Diese muss freiwillig erfolgen. Möglich ist, eine solche Einwilligung etwa bei der Eröffnung eines Nutzerkontos abzufragen. Auch eine Integration der Einwilligung in einen Cookie-Banner ist in Zukunft denkbar. In gleicher Weise, wie dort auf den Einsatz von Cookies hingewiesen wird, kann auch ein Hinweis auf den Einsatz von Tracking-Tools erfolgen. Surft der Nutzer weiter, kann das gegebenenfalls als Zustimmung gewertet werden.

• (2) Re-Targeting

Bei dem einfachen Re-Targeting, bei dem Besucher der Website anderenorts wiedererkannt und die Werbung (erneut) ausgeliefert wird, wurde bisher argumentiert, dass Personenbezug nicht gegeben sei, schließlich wüssten weder Advertiser noch Publisher, um welchen Kunden es sich handelt. Nach neuem Recht werden fast immer personenbezogene Daten vorliegen. In aller Regel besteht eine Zusammenführungsmöglichkeit mit einem Log-in oder einem Cookie.
Die Frage, ob eine Rechtfertigung auf berechtigte Interessen gestützt werden kann, hängt von den für das Re-Targeting erhobenen Daten ab. Ein berechtigtes Interesse ist dabei gegeben: Denn Werbung auf den Nutzer zuzuschneiden ist sinnvoll und ein zulässiges wirtschaftliches Interesse. Gezieltes Direktmarketing kann nicht weniger berechtigt sein, als Gießkannen-Marketing. Je nach Definition des Interesses wird die Erhebung der Daten auch notwendig sein.

Bei der Interessenabwägung kommt es im Rahmen der vernünftigen Erwartungen des Nutzers auf den jeweiligen Stand der Targeting-Technologien an. Während Nutzer mit Retargeting-Maßnahmen am gleichen Endgerät rechnen, weil deren (pseudonymer) Einsatz schon lange üblich ist, zählt ein Cross-Device-Retargeting eher nicht zu den Erwartungen der Nutzer.

Abbildung 5: Verschiedene Targeting-Formen und berechtigte Interessen

Möglich ist auch hier die zusätzliche Einholung einer Einwilligung in die verschiedenen Targeting-Verfahren. Der Betreiber eines Online-Shops kann sich bspw. bei Eröffnung eines Kundenkontos den Einsatz eines Re-Targeting-Verfahren ausdrücklich bestätigen lassen. Auch die Erwähnung in einer Cookie-Bar ist grundsätzlich denkbar. Dort müsste das Targeting-Verfahren kurz beschrieben und auf einen entsprechendes Passus in der Datenschutzerklärung verlinkt werden.

Abbildung 6: Re-Targeting und Einwilligung

Die DSGVO sieht strenge Regelungen zum Profiling vor. Handelt es sich beim Targeting um ein Profiling im Sinne der Verordnung, wäre eine Einwilligung erforderlich. Die Regeln greifen aber nur, wenn dem Betroffenen durch das Profiling eine erhebliche Beeinträchtigung droht. Daran dürfte es in der Regel fehlen.

• (3) Newsletter-Werbung – Einwilligung in die Personalisierung?

Die DSGVO ändert nichts daran, dass jede Werbung per E-Mail eine vorherige ausdrückliche Einwilligung des Empfängers braucht. Wer dagegen verstößt, begeht zugleich einen Datenschutzverstoß.

Soll der Newsletter personalisiert und etwa in Abhängigkeit von Bestellverhalten oder Öffnungsrate dynamisiert werden, ist dies eine Verarbeitung von Daten, die wiederum rechtfertigungsbedürftig ist. Je nachdem, welche Daten für die Individualisierung des Newsletters tatsächlich verwendet werden, lässt sich das womöglich mit berechtigten Interessen des Werbenden rechtfertigen. Die DSGVO regelt ausdrücklich, dass das Direktmarketing ein berechtigtes Interesse sein kann. Dann muss dies auch für gezieltes Direktmarketing gelten. Maßgeblich sind aber die vernünftigen Erwartungen der Empfänger. Je mehr Daten verwendet werden und je überraschender deren Verwendung ist, umso eher wird sich die Auswertung der Daten nicht mehr auf berechtigte Interessen stützen lassen.

Im Zweifel ist dann eine Einwilligung erforderlich. In jedem Falle muss der Empfänger die Möglichkeit haben, die Personalisierung zu beenden. Über dieses Widerspruchsrecht muss der Empfänger vorab belehrt werden.

Was bedeutet das alles für den Online-Marketer?

Die DSGVO wird ohne Zweifel erhebliche Auswirkungen auf alle Online-Unternehmen haben. Das Online-Marketing ist dabei stets nur ein Teil des unternehmensweiten DSGVO-Projekts. Je mehr ein Business auf das Online-Marketing aufbaut, umso größer ist natürlich auch der Anteil des Projekts, der auf diesen Kanal entfällt.

Wer ein Online-Marketing-Tool vertreibt, bekommt schon seit Wochen oder Monaten besorgte Fragen von Kunden zur DSGVO-Compliance. Wer hier nicht bald Antworten hat, droht Geschäft zu verlieren. Mangelnde DSGVO-Compliance dürfte ein Kündigungsgrund für Kunden sein.

Wichtig ist in jedem Fall, dass das Online-Marketing und der Kundendatenschutz im unternehmensinternen Projekt nicht zu kurz kommen. Wer bisher nichts von einem DSGVO-Projekt im Unternehmen gehört hat, sollte einmal bei der Geschäftsleitung oder dem Datenschutzbeauftragten nachfragen. Häufig wird der nötige Vorlauf unterschätzt.

Wenn das nicht bereits geschehen ist, kommt es noch: Jede Online-Marketing-Abteilung muss am unternehmensweiten Verzeichnis über Datenverarbeitungsvorgänge mitwirken. Wer das noch nicht getan hat, kann damit schon einmal beginnen und insbesondere die Art der erhobenen Daten, den Zweck der Datenerhebung, eine mögliche Rechtfertigung und die Löschfristen notieren. Wer damit erst im April beginnt, ist zu spät dran.
Die Befugnis Daten zu speichern erlischt, wenn der Rechtfertigungsgrund wegfällt. Selbst wer ein Tracking auf berechtigte Interessen stützen kann, darf die Daten nicht ewig speichern. Es bedarf daher eines Löschkonzepts. Dieses darf nicht nur auf dem Papier stehen, sondern muss – gemeinsam mit der IT – auch in die Praxis umgesetzt werden. Für jedes personenbezogene Datum muss definiert werden, wann es zu löschen ist. Und dann muss es auch eine Löschroutine geben.

In vielen Fällen werden externe Marketing-Tools zum Einsatz kommen. Jeder Auftraggeber sollte sich davon überzeugen, welche Daten dabei zu welchen Zwecken gespeichert werden und dass die Daten im Einklang mit der DSGVO verarbeitet werden. Es empfiehlt sich, schnell bei dem Dienstleister nachzufragen, inwiefern DSGVO-Compliance besteht und den Antworten auf den Grund zu gehen. Insbesondere muss eine Opt-out-Möglichkeit angeboten werden. Außerdem sollten neue auftraggeberfreundliche Auftragsverarbeitungsverträge entworfen und den Dienstleistern vorgelegt werden. Auch kann es ein guter Test sein, die Dienstleister gezielt nach überarbeiteten AV-Vereinbarungen zu fragen.

Wichtig ist natürlich, dass die Rechtstexte, die nach außen sichtbar sind, der neuen Rechtslage angepasst sind. Wer den Eindruck hat, dass das Marketing hier nicht hinreichend involviert ist, sollte bei den Projektverantwortlichen nachfragen und Input anbieten. Das einfachste Einfallstor für Behörden- und Kundenfragen, sind unvollständige Datenschutzhinweise auf der Website.

Fazit

Die Datenschutzgrundverordnung verhilft allen EU-Bürgern (eben auch den Geschäftsführern und Marketingleuten) zu mehr Privatheit – nicht unbedingt, weil sich die Regeln verschärfen, sondern vor allem weil sich Unternehmen deutlich mehr als bisher mit dem Datenschutz auseinandersetzen müssen. Für die Unternehmen ist das die Kehrseite der Medaille. Die DSGVO bringt Veränderungen und verursacht auch im Online-Marketing erheblichen Aufwand und Kosten. Anders als womöglich bisher ist es fahrlässig, den Datenschutz im Unternehmen nicht zu priorisieren. Bußgelder wird es geben. Schlechte Presse auch. Da ist es besser, gleich vorbereitet zu sein.

Insbesondere in großen Unternehmen steht das Online-Marketing in DSGVO-Projekten bisweilen hinten an. Das ist gefährlich, weil die Zeit bis zum 25. Mai kürzer ist, als es scheint. Wer sich bisher nicht um den Datenschutz gekümmert hat, muss jetzt damit anfangen. Für die Kollegen im Online-Marketing heißt das vor allem, den richtigen Leuten die richtigen Fragen zu stellen.