Modul 2: Datenschutz – Auswirkung der DSGVO auf das Online-Marketing.

Die DSGVO wird die Wirtschaftswelt, und speziell die Online-Wirtschaft, nachhaltig verändern. Ein Problem werden vor allem bestimmte Anwälte darstellen, die sich auf Abmahnungen spezialisieren. Diese werden gezielt Unternehmen kontaktieren, die den Eindruck erwecken, nicht DSGVO-konform zu arbeiten. Von diesen verlangen Sie dann entsprechende Geldbeträge und strafbewehrte Unterlassungserklärungen, um von einer Meldung bei der Datenschutzbehörde abzusehen.

Deswegen ist grundsätzlich jeder Vendor und Affiliate von der DSGVO betroffen, da er schwerpunktmäßig mit Daten im Tagesgeschäft umgeht. Der Aufbau einer Kunden- und Interessentenliste steht im Mittelpunkt des Handelns eines Online-Unternehmens. Da es sich hierbei um personenbezogene Daten handelt und Anwälte sowie Endverbraucher die DSGVO, spätestens durch die Presse, seit sie wirksam geworden ist, bewußt zur Kenntnis genommen haben, wird künftig häufig medienwirksam abgemahnt und “bestraft” werden.

Hinweis: Die “Landschaft der Unternehmer und Selbstständigen” wird in der Zukunft “professionalisiert” und somit um denjenigen „bereinigt“, die nicht EU-verordnungskonform arbeiten können oder wollen. Denn die Umsetzung dieser EU-Verordnung erfordert viel Zeit, Geld und Energie. Die von vielen Firmen betriebene Praxis des Datensammelns, wird mit einem extrem hohen Risiko behaftet sein.

Hinweis: Theoretisch sind Firmen, die sich im EU-fernen Ausland befinden, für die hiesigen Datenschutzbehörden schwerer zu “erreichen”, aber dennoch sind sie ebenfalls von diesen Gesetzen betroffen, sofern sie Daten natürlicher Personen mit Sitz in der EU verarbeiten. Ob es hier tatsächlich einen erhöhten “Schutz” vor den EU-Behörden gibt, das wäre ein erheblicher “Wettbewerbsvorteil” für solche Auslandsfirmen, wird sich zeigen. Schließlich sind die Behörden der Welt durch die zunehmende Digitalisierung international gut vernetzt.

Wo Ihre Verantwortung beginnt

Als Vendor oder Affiliate sorgen Sie dafür, dass Interessenten und Käufer auf Ihre Webseite kommen – sei es auf Ihre “normale” Webseite oder eine Landingpage. Hierbei gilt: Ab dem Zeitpunkt, an dem Sie personenbezogene Daten erheben, beginnt Ihre Verantwortung, da Sie Zweck und Mittel der Datenverarbeitung bestimmen. Dies macht Sie dann automatisch zum “Verantwortlichen” und somit sind Sie hier auch haftbar zu machen.

Möglicherweise verwenden Sie Tracking Tools, wie zum Beispiel Google Analytics oder auch Plugins, die Ihnen helfen, das Kundenverhalten auf der Webseite zu analysieren. Ich rate Ihnen bei der Verwendung solcher Tools dringend dazu, abzuklären, inwieweit es personenbezogene Daten verarbeitet. Falls die Verarbeitung keine Anonymisierung der Daten am Anfang beinhaltet, brauchen Sie eine stichhaltige Berechtigungsgrundlage gemäß Artikel 6 DSGVO, was typischerweise eine Einwilligung des Betroffenen ist. Achten Sie darauf, dass die Datenschutzerklärung Ihrer Internet-Seite entsprechende Hinweise enthält.

Hinweis: Das Thema “Tracking”, beispielsweise über Cookies, wird über die die DSGVO künftig ergänzende E-Privacy Verordnung geregelt, die allerdings als Richtlinie durch die nationalen Gesetzgeber noch in nationales Recht überführt werden muss.

Für die von Ihnen verarbeiteten Daten Ihrer Kunden und Interessenten sind Sie der Verantwortliche, sobald Sie diese beispielsweise zur Eintragung in eines Ihrer Opt-In Formulare überzeugt haben. Für gewöhnlich hat ein Unternehmen aber auch Mitarbeiter. Deren personenbezogene Daten verarbeiten Sie ebenso – natürlich mit gesetzlich untermauerter Berechtigungsgrundlage. Mehr dazu später.

Sie haben nun zur Umsetzung der DSGVO-Konformität folgende Dinge zu erledigen. Hier eine Übersicht:

  1. Suchen Sie  einen zertifizierten Datenschutzbeauftragten. Es ist richtig, dass Sie nicht unbedingt einen “offiziell bestellten” Datenschutzbeauftragten benötigen, wenn Ihr Unternehmen nicht in die Pflichtkategorien fällt. Allerdings kommen Sie mit Hilfe einem “Coach”  schneller durch die Datenschutz-Thematik und zu einem brauchbaren Ergebnis. Im übrigen sieht die DSGVO ausdrücklich die freiwillige Bestellung eines Datenschutzbeauftragten vor.
  2. Verarbeitungsverzeichnis erstellen: Nehmen Sie eine Bestandsaufnahme bezüglich der Tätigkeiten in Ihrem Unternehmen, bei denen Daten verarbeitet werden, vor. Hier empfiehlt sich eine Tabelle, die die Datenkategorie (Mitarbeiterdaten, Kundendaten, etc.), den Zweck der Verarbeitung, die Berechtigungsgrundlage (gem. Art. 6 DSGVO), Empfänger der Daten, Löschfristen, Übermittlung an Drittstaaten, gemeinsame Verantwortliche (falls Sie zusammen mit einem Partnerunternehmen Zweck und Mittel der Datenverarbeitung bestimmen) und die Datensicherheitsmaßnahmen auflistet.
    Das Verarbeitungsverzeichnis muss so ausgestaltet sein, dass es den gesetzlichen Anforderungen aus Art. 5 Abs. 2 (»Rechenschaftspflicht«) sowie den Art. 24 und 30 DSGVO genügt.
  3. Arbeiten Sie nach Privacy by Design: Hierbei stellen Sie im Wesentlichen den Datenschutz der betroffenen Personen bei der Verarbeitung der Daten in den Mittelpunkt.
  4. Identifizieren Sie alle externen Partnerfirmen, denen Sie Daten schicken (z.B. an E-Mail-Marketinganbieter oder Versender von Präsenten oder Werbematerialien) und kümmern Sie sich darum, dass Sie mit ihnen Auftragsverarbeitungsverträge schließen. In der Regel haben die Anbieter eigene AV-Verträge vorbereitet, die sie Ihnen auf Anfrage zukommen lassen.
  5. Definieren Sie standardisierte Prozesse in Ihrem Unternehmen zur Wahrung der Betroffenenrechte. Diese sind das Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit von Daten, sowie Widerspruch, Widerruf einer Einwilligung, Einschränkung der Verarbeitung und das Recht, keinem Profiling unterworfen zu sein.
  6. Erarbeiten Sie mit Ihrem Datenschutzbeauftragten die TOMs (technische und organisatorische Maßnahmen), die Sie in Ihrem Unternehmen benötigen, um konform zu werden.
  7. Machen Sie eine Liste möglicher Datenschutzvorfälle, die eintreten könnten  (z.B. Hackerangriff) und überlegen Sie, wie Sie sich davor schützen können und mit welchen Maßnahmen Sie reagieren würden. Informationen über typische Schwachstellen in IT-Systemen finden Sie beispielsweise über diesen Link: https://www.it-daily.net/analysen/14363-die-5-groessten-it-security-schwachstellen-studie
  8. Schaffen Sie Meldeprozesse in Ihrem Unternehmen, die genau definieren, wie Sie Datenschutzvorfälle innerhalb der vorgeschriebenen 72 Stunden der Aufsichtsbehörde melden. Auch bei den Betroffenen haben Sie sich zu melden, falls diese in ihren Rechten und Freiheiten durch den Vorfall beeinträchtigt werden können.
  9. Erstellen Sie eine Datenschutzstrategie für Ihr Unternehmen. Hierbei geht es insbesondere darum, dass die Umsetzung der bisher aufgezählten Punkte von der Unternehmensführung als Ziel gesehen werden; die genauso wichtig sind wie Umsatz- oder Gewinnziele. Rechtskonformer Datenschutz muss aus Sicht des Gesetzgebers Chefsache sein. Erstellen Sie als Chef schriftlich eine Unternehmensrichtlinie, in der Sie den Datenschutz als Unternehmensziel definieren. Diese sollte spezifisch sein und von Ihnen mit Datum unterschrieben werden, sodass Sie der Behörde gegenüber belegen können, dass Sie den Datenschutz frühzeitig mit dem nötigen Ernst angehen.

Wenn Sie Vendor oder Affiliate sind, gewinnen Sie einen wirtschaftlichen Wert durch die personenbezogenen Daten Ihrer Kunden. Daher ist es ratsam, eine offensive strategische Haltung im Bereich des Datenschutzes in Ihrem Unternehmen einzunehmen. Praktisch gesehen sollten Sie hierbei in Ihrer Unternehmensstrategie immer darauf achten, dass Ihre Prozesse auf DSGVO-Konformität, insbesondere bezüglich Art.5 DSGVO (die 7 Grundsätze) überprüft werden, bevor Sie einen neuen Prozess im Unternehmen etablieren. Dies gilt natürlich auch für bereits bestehende Prozesse.

Wann Sie eine Einwilligung Ihrer Besucher benötigen

Eine informierte, proaktive und zweckgebundene Einwilligung ist eine anerkannte Berechtigungsgrundlage für eine Datenverarbeitung. Viele Datenverarbeitungen, wie zum Beispiel die Abwicklung eines Kaufs oder der E-Mail-Versand des Verkäufers direkt an seinen Kunden, bedürfen keiner gesonderten Einwilligung (Dies ist Ihre persönliche Risikoabwägung): Wenn Sie absolut sichergehen wollen, holen Sie sich die Einwilligung Ihres Interessenten beim Optin explizit über eine unangehakte Checkbox, die der Interessent selbst anhaken muss, ab. Sie können allerdings auch mit Ihrem berechtigten Interesse (Art. 6 (1) lit. f DSGVO i.V.m. ErwG 47 a.E. – Direktwerbung an Kunden ist berechtigtes Interesse) argumentieren. Handelt es sich aber um einen Interessenten, der noch kein Kunde ist, empfiehlt es sich, unbedingt mit rechtsgültigen Einwilligungen arbeiten.

Datenverarbeitungen, die Sie durchführen, aber vielleicht nicht auf dem Schirm haben

Wichtig ist, dass Sie nicht nur für offensichtlich gesammelte personenbezogene Daten verantwortlich sind, wie z.B. eine E-Mail-Adresse. Sie müssen auch daran denken, dass Sie möglicherweise durch Widgets und Pixel-Daten die IP-Adresse tracken und verarbeiten (dies gehört ebenso in Ihr Verarbeitungsverzeichnis).

Durch die Social Media Widgets von Xing, LinkedIn, Pinterest, Facebook und Co, werden bereits beim Betreten der Webseite Daten verarbeitet – egal, ob der Webseitenbesucher dies möchte oder nicht. Das ist allerdings nicht datenschutzkonform, wenn hierbei (nicht anonymisierte) personenbezogene Daten verarbeitet werden.

Außerdem besteht bei dem häufig eingesetzten Facebook Pixel Handlungsbedarf. Dieser trackt den Webseitenbesucher, damit Sie diesem Interessentenkreis spezielle Werbung gemäß deren Interessen ausspielen und auch den Erfolg messen können.

UNBEDINGT BEACHTEN

Achten Sie bitte auch darauf, dass Sie auch einen Auftragsverarbeitungsvertrag mit Ihrem Hostingprovider abschließen, falls Sie den Server, auf dem die Daten Ihres Unternehmens gespeichert und verarbeitet werden, nicht selbst betreiben.

Was Sie überprüfen und in Ihr Verarbeitungsverzeichnis aufnehmen sollten

Überprüfung der Webseite

Nehmen Sie eine Prüfung Ihrer Webseite, Landingpage etc. vor und schauen Sie sich genau an, was Sie alles eingebunden haben und auch, wohin Daten übertragen werden. Vergessen Sie hier bitte nicht Ihren Newsletter oder das Kontaktformular. Weiter unten haben wir eine Checkliste für Sie bereitgestellt, die Sie dabei unterstützen soll.

Verweis auf google Analytics

Kontrollieren Sie, ob der Hinweis zu Google Analytics entsprechend in Ihrer Datenschutzerklärung enthalten ist, wenn Sie es eingebunden haben. Mehr zum Thema Datenschutzerklärung erfahren Sie im nächsten Kapitel.

Social Media Widgets

Mit dem kostenlosen WordPress-Plugin Sharrif (meines Wissens nach kollidiert es nicht mit Digimember) können Sie das Problem des automatischen Trackings lösen. Der Webseitenbesucher muss durch dieses Plugin selbst entscheiden, ob seine Daten für die verschiedenen sozialen Netzwerke getrackt werden dürfen.

Facebook Pixel

Wenn der Nutzer Ihre Seite besucht, muss er über die datenschutzrechtlichen Konsequenzen des Facebook Pixels verständlich unterrichtet werden. Das Tracking bzw. die Speicherung seiner Daten, seine Rechte als Betroffener, all das muss der Besucher zu einsehen können, bevor das Tracking aktiv wird. Der Nutzer muss also zuerst zustimmen, bevor der Code aktiviert werden darf. Dies könnte durch ein Pop-Up gelöst werden.

Überprüfen Sie Ihr Wissen!

[WpProQuiz 2]