Die 10 Gebote im Online-Marketing nach der Datenschutzgrundverordnung

Überspitzt formuliert: Ab diesem Tag gilt für alle die Pflichtmitgliedschaft in der Gemeinschaft der Datenschützer. Denn ab diesem Tag tritt die Datenschutzgrundverordnung – kurz DSGVO -, für alle Mitgliedstaaten der europäischen Union verbindlich in Kraft.

Warum ist die DSGVO so wichtig für mich?

Auch in Deutschland war in der Vergangenheit schon ein recht hohes Datenschutzniveau vorgeschrieben. In der Onlinemarketing-Community war – so die Erfahrungen des Autors – jedoch die Meinung weit verbreitet, dass ausreichender Datenschutz bereits dann betrieben wird, wenn man standardisierte Datenschutzmustertexte (gerne aus dem Internet kopiert) auf seiner Webseite verwendet und auf Kundennachfrage erklärte, dass „uns Datenschutz wichtig“ ist.

Diese Laissez-faire-Haltung hatte ihren Ursprung in der Tatsache, dass Verstöße gegen diese Regelungen offenbar keine großen Sanktionen nach sich zogen. Die eigenen Geschäftsmodelle wurden kaum oder nur einer oberflächlichen Prüfung unterzogen. Vertragliche Verpflichtungen von Vertragspartnern, welche die Einhaltung der Datenschutzstandards verlangten, wurden in der Regel bedenkenlos unterschrieben, ihre Einhaltung vielfach nicht überwacht.

Das Datenschutzniveau innerhalb der einzelnen europäischen Länder war sehr unterschiedlich und unübersichtlich und am Ende schienen die amerikanischen digitalen Marktführer ihren Datenschutzstandard via AGB und Lizenzbedingungen einfach „durchzudrücken“.

Warum wird es jetzt anders und viel ernster?

Die DSGVO schafft nunmehr einheitliche Regelungen in der gesamten EU und umfasst darüber hinaus auch solche Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten (wie Amazon, Facebook, Alphabet).

Deadline 25.05.2018 – Was ist für Onlineshops zu beachten?

Bei Verstößen riskieren Betroffene zukünftig:

• Abmahnungen von Wettbewerbern;
• massive Bußgelder von Behörden; während nach dem bisherigen BDSG Bußgelder von bis zu 300.000 Euro möglich waren, beträgt die maximale Geldbuße im Rahmen von Art. 83 DSGVO 20 Millionen Euro oder bis zu 4% des gesamten
• weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Achtung: Es gilt der Jahresumsatz des gesamten Konzerns (!), nicht der einzelnen juristischen Person;
• zeitlich begrenzte oder endgültige Verbote der Datenverarbeitung;
• die Nichtigkeit aller unter Verstoß gegen das Datenschutzrecht zustande gekommener Verträge;
• einen großen Reputationsverlust bei Kunden und Vertragspartnern.

Wer Datenschutzverstöße in Kauf nimmt, riskiert auch als Gesellschafter und Geschäftsführer die persönliche Haftung!

Besonders unangenehm: Nach dem neuen Art. 82 I DSGVO können Geschäftsführer, Vorstände und alle diejenigen, die in verantwortlicher Stelle für die Datenverarbeitung in einem Unternehmen zuständig sind, persönlich Schadenersatzansprüchen und Geldbußen ausgesetzt sein. Je nach Schwere des Schadens können sie als Angestellte ihren Job und als Gesellschafter ihren Ausschluss aus der Gesellschaft riskieren. Gem. Art. 82 I DSGVO hat jede Person, die ein materieller oder immaterieller Schaden entstanden ist einen Direktanspruch gegen den Verantwortlichen oder den Auftragsverarbeiter. Die Beweislast trägt hier gem. Art. 82 III DSGVO der Verantwortliche. In diesem Sinne lohnt es sich Vorsorge zu betreiben und in eine gute Datenschutz-Organisation zu investieren.

In welchen Fällen muss ich die Vorgaben des Datenschutzes beachten?

Die Neuregelung gilt für alle Unternehmen, die

• personenbezogene Daten
• verarbeiten,

wenn sie in der EU sitzen oder es sich um Daten von EU-Bürgern handelt. Entscheidend ist damit, ob Du personenbezogene Daten verwendest. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. „Identifizierbar“ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der theoretischen Identifizierung einer Person reicht aus!

Personenbezogene Daten sind z.B.:

• Name, Anschrift und eindeutige Kennnummern wie Konto- oder Sozialversicherungsnummern, Kfz-Kennzeichen;
• demographische Daten wie Alter, Geschlecht, Einkommen oder sexuelle Orientierung;
• Verhaltensdaten wie Suchanfragen, Einkaufshistorie usw.;
• Sensordaten aus der Biometrik, von Fitness Trackern oder Standortdaten oder IP-Adressen;
• Benutzer- oder sonstig generierte Daten wie
  • E-Mails, Fotos, Videos, Blogs oder Kommentare,
  • Facebook „Like“-Buttons und Social-Plugins anderer Anbieter wie Linkedin; Twitter, Xing etc.,
  • aber auch solcher Daten die mittels Tracking-Cookies und Targeting Tools wie Google Display und AddThis oder Analyse Tools wie Google Analytics, Ryte & Searchmetrics entstehen.

Die Verarbeitung der Daten umfasst alle denkbaren Verwendungen wie Datenerhebung, Speicherung, das Ordnen, Organisation, Anpassung oder Veränderung wie auch die Offenlegung durch Übermittlung, Verbreitung oder jede Form der Bereitstellung von Daten.

Wann gelten Daten als anonym?

Anonymisierte Daten sollten keine Rückschlüsse auf einzelne Personen zulassen. Daher gelten zum Beispiel Statistiken über Besucher einer Website, wenn sie nicht zurückverfolgt werden können, als anonym.

Die 10 Gebote für die Datennutzung im Zeitalter der DSGVO

Die neuen Datenschutzregelungen sind sehr komplex und ersetzen keine intensive Beschäftigung mit der Materie. Das kann dieser Beitrag nicht abdecken, dafür aber die wichtigsten Gebote zusammenstellen, die grundsätzlich zu beachten sind.

1. Gebot: Sei rechtsverbindlich!

Benutze keine personenbezogenen Daten, es sei denn Du findest eine Ausnahme im Gesetz (z.B. BDSG, TMG, DSGVO) oder die betroffene Person willigt ein.

Erlaubt ist insbesondere die Nutzung der Daten in folgenden Fällen:

• Vertragserfüllung,
• aus steuerlichen Gründen (Aufbewahrung von Rechnungen),
• Schutz lebenswichtiger Interessen von Menschen oder
• bei Vorliegen berechtigter Interessen, worunter auch Gründe der IT-Sicherheit, aber auch Marketing oder Direktwerbung zählen können.

Hier ist besonders der letzte Punkt interessant, da hier auch wirtschaftliche Interessen möglich sind. In jedem Fall müssen aber die übrigen Gebote beachtet werden. Insbesondere müssen die Datennutzer ein hinreichendes Risiko- und Compliance-Management aufbauen, um drohende Verstöße zu verhindern.

2. Gebot: Sei sparsam!

Du sollst nur soviel Daten erheben und verarbeiten, wie Du tatsächlich benötigst.

3. Gebot: Sei klar und verständlich!

Die neuen Datenschutzbestimmungen mit allen notwendigen Informationen müssen künftig

• präzise
• transparent
• verständlich
• leicht zugänglich
• in klarer und einfacher Sprache

sein.

4. Gebot: Sei konzentriert und bescheiden!

Du darfst Daten nur zu dem (vorher bekannten) Zweck verarbeiten, für die Du sie erhoben hast. (Grundsatz der Zweckbindung gem. §§ 14, 28, 29 BDSG).

Besondere Vorsicht ist bei sensiblen personenbezogenen Angaben (z.B. zur rassischen und ethnischen Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) geboten. Hier muss sich die Einwilligung nach § 3 Abs. 9 BDSG ausdrücklich auf diese Daten beziehen.

5. Gebot: Sei achtsam!

Du darfst nur solche Daten verwenden, die inhaltlich und sachlich richtig und aktuell sind.

6. Gebot: Sei proaktiv!

Mache den Betroffen darauf aufmerksam, dass die von dir an Dritte weitergegebenen Daten jederzeit gelöscht werden können (Recht auf Vergessenwerden).

7. Gebot: Sei rücksichtsvoll!

Sorge dafür, dass die Nutzung der Daten transparent ist und (grundsätzlich) nur mit Kenntnis des Betroffenen erfolgt.

8. Gebot: Sei offen und ehrlich!

Gebe jedem Betroffenen auf Nachfrage wahrheitsgemäß Auskunft über Art, Zweck und Nutzung seiner Personendaten.

9. Gebot: Sei fürsorglich und hilfsbereit!

Die Fürsorgepflicht wird in der neuen DSGVO besonders groß geschrieben:

(1) Du sollst Daten durch geeignete technische und organisatorische Maßnahmen angemessen schützen; dabei hast Du unter Berücksichtigung des jeweiligen Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten. Verwende insbesondere datenschutzfreundliche Voreinstellungen (privacy-by-design) und spare Daten durch

• minimierte Speicherung
• umgehende Pseudonymisierung
• Einräumung von Kontrollmöglichkeiten
• transparente Zuordnung aller Aufgaben, die mit Nutzerdaten verbunden sind.

 

(2) Besonders wichtig sind auch konkrete Vereinbarungen im Rahmen der Beauftragung dritter Dienstleister (wie Systemadministratoren, IT-Services, aber auch ggf. Reinigungsdienste etc.). Das Bundesdatenschutzgesetz fordert dazu in § 9 und in der Anlage zu § 9 BDSG konkrete Schutzmaßnahmen. Demnach sind die Daten vor allem vor Verlust, unerlaubter Kenntnisnahme oder Verfälschung zu schützen.

 

(3) Schütze dabei die Jugend vor sich selbst! Nutze nur Daten von Personen, die das vollendete 16. Lebensjahr erreicht haben oder wenn die Eltern damit einverstanden sind.

10. Gebot: Sei respektvoll!

Datenschutz ist keine staatlich oktroyierte Verwaltungsschikane, sondern der Versuch der Achtung der Persönlichkeitsrechte der Betroffenen.

Achte daher die Rechte deiner Nutzer auf

• Auskunft
• Zugriffs zu den eigenen Daten
• Nachbesserung einmal erklärter Zustimmungen zur Datennutzung
• Löschung;
• zweckgebundene Verarbeitung der Daten
• auf Datenübertragbarkeit;
• Widerspruchsrecht und
• das Recht, keinen automatisierten Entscheidungsprozessen einschließlich Profiling ausgesetzt zu sein.

Fazit

2018 wird datenschutzrechtlich eine große Herausforderung. Die Zeit für die Prüfung und Umstellung ist sehr kurz. Packen wir’s an.

Checkliste: Hausaufgaben für Datenverwerter:

Schritt 1: Ermittle den Status quo!

• • Wo stehen wir datenschutzrechtlich heute?
  • Welche personenbezogene Daten habe ich im Unternehmen/in meiner Unternehmensgruppe vorliegen?
  • Welche Daten werden tatsächlich genutzt?
  • Welche Daten darf ich rechtmäßig nutzen?
  • Welche Daten darf ich an Dritte weitergeben?

 

Schritt 2: Prüfe, ob Du Mindeststandards erfüllst!

• • Habe ich meine IP-Adressen anonymisiert?
  • Erhebe ich nur diejenigen Daten, die für das jeweilige Angebot unabdinglich sind?
  • Protokolliere ich erhobene Daten, werden diese gespeichert und auf Nachfrage angegeben?
  • Erfolgt das Einverständnis der Nutzer für die Kontaktaufnahme ausdrücklich?
  • Bin ich verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen?
  • Ist meine Datensammlung hinreichend vor Angriffen Dritter geschützt (Gefährdungsanalyse)?

 

Schritt 3: Kläre, welche Schritte notwendig sind, um den neuen Anforderungen des DSGVO zu entsprechen!

 

Schritt 4: Plane die notwendigen Ressourcen ein und ermittle, welche Ressourcen fehlen!

 

Schritt 5: Steige in die Projektplanung ein und kläre mit welchen Personen und in welchem Zeitrahmen die Umstellung durchgeführt wird!