Die DSGVO kommt: Auswirkungen auf das Online Marketing

Auswirkungen der DSGVO auf das Online Marketing

In etwas mehr als einem Monat ist es soweit: Die EU-Datenschutzgrundverordnung (kurz DSGVO) tritt am 25.05.2018 in Kraft. Das neue Datenschutzgesetz ist gegenüber dem bisher geltenden Bundesdatenschutzgesetz (BDSG) noch stärker auf die Regularien bei der Verarbeitung von personenbezogen Daten fixiert. Für Unternehmen und ihr Online Marketing bedeutet das vor allem: Noch transparenter werden!

Digitalisierung erfordert strengere Datenschutzvorgaben

Mit der immer stärkeren Fokussierung auf Geschäftsmodelle im digitalen Umfeld, wurde bereits vor einigen Jahren der Unmut der Datenschützer in der Politik geweckt. Wie weit darf die Verarbeitung von personenbezogenen Daten gehen? Welche Daten von Usern dürfen Unternehmen für Targeting- oder Personalisierungsmaßnahmen verwenden und welche dürfen überhaupt erhoben bzw. gespeichert werden?

Selbstverständlich stellten sich diese Fragen nicht nur im Marketingbereich, sondern im Rahmen jeglicher Verarbeitung von Daten wie Name, Anschrift, Geburtsdatum, etc. in nationalen Unternehmen. Die Verarbeitung von personenbezogenen Daten im digitalen Bereich wurden bis dato größtenteils im Bundesdatenschutzgesetz (BDSG) sowie im Telemediengesetz (TMG) geregelt.

Beide Gesetze sehen vor, dass Nutzerdaten für Marketingmaßnahmen nur verwendet werden dürfen, wenn eine diesbezügliche Einwilligung des Betroffenen vorliegt (§ 28 Abs. 1,3 BDSG; § 15 Abs. 3 TMG). Fehlt diese Einwilligung oder wird dem Betroffenen nicht das Recht eingeräumt die Einwilligung zu widerrufen, drohen dem Unternehmen auch heute schon erhebliche Bußgelder.

Worin unterscheidet sich aber nun die EU-Datenschutzgrundverordnung von dem bisher geltenden Bundesdatenschutzgesetz? Zum Einen wird ab dem 25. Mai ein EU-weites Datenschutzgesetz verabschiedet. Für international agierende Unternehmen ist diese Entwicklung sehr positiv, da sie nun nicht mehr auf national unterschiedliche Gesetze zum Datenschutz reagieren müssen.

Zum Anderen jedoch werden die Auflagen bei der Verarbeitung personenbezogener Daten noch strenger und die Bußgelder für Verstöße erheblich höher ausfallen.

DSGVO meets Online Marketing

Innerhalb der Datenschutzgrundverordnung, die insgesamt 11 Kapitel und 99 Artikel umfasst, werden sich für Interessierte keine eindeutigen Verweise auf die rechtliche Regelung von bestimmten Online Marketing Maßnahmen finden. Vielmehr wird auf die Rechte von betroffenen Personen (Kapitel 3) und die Pflichten der Verantwortlichen und Auftragsverarbeiter von Daten (Kapitel 4) eingegangen.

Aus diesen Rechtsnormen können sich allerdings Handlungspflichten für den Einsatz von personenbezogenen Daten im Online Marketing ableiten. Hierzu zählen vor allem Informationspflichten, Widerspruchsrechte gegen das so genannte Profiling und die technische Verschlüsselung von Kommunikationswegen.

Des Weiteren steht den Unternehmen schon bald ein weiteres Gesetz bevor: die ePrivacy Verordnung. Hierbei handelt es sich um eine Verordnung des europäischen Parlamentes und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation.

Sie dient als detaillierte Erweiterung der DSGVO und soll diese im Rahmen der digitalen Kommunikation präzisieren und ergänzen. Bevor wir uns die ePrivacy VO im Detail ansehen, möchten wir vorerst auf die wichtigsten Bestandteile der DSGVO im Hinblick auf das Online Marketing eingehen:

Informationspflicht gem. Art. 13, 14 DSGVO

Die Überarbeitung der Informationspflicht ist ein wesentlicher Bestandteil der Datenschutzgrundverordnung. Erhebt ein Unternehmen personenbezogene Daten – wie beispielsweise den Namen, die Anschrift oder die E-Mail Adresse eines Kunden -, muss er in seinen Datenschutzbestimmungen auf vielfältige Informationen hinweisen.

Unter anderem muss dem Betroffenen mitgeteilt werden, zu welchem Zweck seine Daten erhoben werden. Weitaus größere Konsequenzen hat allerdings die Mitteilungspflicht über die Dauer der Datenspeicherung sowie die Hinweispflicht, dass der Kunde jederzeit ein Recht auf Auskunft, Berichtigung und Löschung seiner Daten hat.

Im Hinblick auf Art. 13 Abs. 2a (Mitteilungspflicht über die Dauer der Datenspeicherung) sind alle Unternehmen angehalten, die Löschung von Daten zu gewährleisten, wenn die Dauer der Datenspeicherung überschritten ist. Ähnliches gilt für das Recht des Betroffenen, seine Daten im rechtswidrigen Fall löschen zu lassen. Unternehmen, die diese Vorgaben ab dem 25. Mai nicht in die Tat umsetzen, können sich auf hohe Bußgelder und gegebenenfalls katastrophale Rechtsstreitigkeiten einrichten.

Für Maßnahmen im Online Marketing Bereich bedeutet die Erweiterung der Informationspflicht, dass unter anderem die Datenschutzerklärung erweitert werden und die verarbeitende Stelle die berechtigten Interessen der Datenverarbeitung (ggf. auch von Dritten) gem. Art. 13 Abs. 1 d) gegenüber dem Betroffenen ausdrücklich benennen muss.

Art. 12 DSGVO verlangt außerdem, dass die Informationen, die dem Betroffenen gem. der Informationspflicht zur Verfügung gestellt werden, in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorliegen müssen. Bei Verstößen gegen die Informationspflichten gem. Art. 13, 14 DSGVO werden gem. Art. 83 Abs. 5 DSGVO Bußgelder „bis zu 20 000 000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt“.

Widerspruchsrecht (gegen Profiling) gem. Art. 21 – 23 DSGVO

Artikel 21 DSGVO regelt die Rechtsnormen für das Widerspruchsrecht Betroffener zur Nutzung der personenbezogenen Daten. Gemäß Absatz 1 gilt dies auch „für ein auf diese Bestimmungen gestütztes Profiling“. Auch Absatz 2 des Artikels verweist auf das Widerspruchsrecht zur weiteren Verarbeitung von Daten um Direktwerbung zu betreiben.

Das Widerspruchsrecht kann damit eine erhebliche Auswirkung auf das Conversion Marketing von Unternehmen haben. Wenn ein Großteil der bestehenden Kunden von dem Widerspruchsrecht Gebrauch nimmt, kann eine effiziente Personalisierung und Conversion Tracking nicht mehr ohne Weiteres durchgeführt werden. Dies wiederum kann zu einem Graubereich in der eigenen Strategie führen: Ein Teil der Kunden kann keiner Zielgruppe zugeordnet und damit weder optimiert noch analysiert werden.

Gemäß Art. 21 Abs. 4 DSGVO besteht für das Widerspruchsrecht zudem eine gesonderte Informationspflicht. Diese muss bereits bei der ersten Kommunikation mit dem Betroffenen erfolgen und gesondert dargestellt werden.

Sicherheit der Verarbeitung gem. Art. 32 DSGVO

Artikel 32 DSGVO stellt explizit die Sicherheitsmerkmale der Verarbeitung von personenbezogenen Daten im Unternehmen in den Fokus. Gemäß Absatz 1 „treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Diese technischen und organisatorischen Maßnahmen umfassen unter anderem die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten und die Fähigkeit, diese nach einem technischen Zwischenfalls schnell wiederherstellen zu können.

Die Maßnahme Verschlüsselung wird vor allem im Rahmen von E-Mail Marketing eine gewichtige Rolle spielen. Datenschützer gehen davon aus, dass spätestens mit Inkrafttreten der Datenschutzgrundverordnung die E-Mail Verschlüsselung zur Pflicht wird. Ob diese Pflicht tatsächlich Bestandteil des Artikel 32 DSGVO ist bzw. dementsprechend ausgelegt wird, bleibt allerdings noch abzuwarten.

Ein weiterer Hinweis: Gemäß Art. 32 Abs. 4 DSGVO dürfen Personen, die „Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten“. Mit diesem Absatz soll technisch ebenfalls sichergestellt werden, dass lediglich Mitarbeiter Zugang zu personenbezogenen Daten erhalten, die diese für ihre tägliche Arbeit benötigen – also ein berechtigtes Interesse an den Daten haben.

ePrivacy-Verordnung (ePV)

Weitaus intensiver auf den Datenschutz im Onlinebereich als die DSGVO geht die detailliertere Verordnung „ePrivacy“ ein. Jegliche Rechtsnormen, die in der DSGVO Anwendung finden, gelten zwar weiterhin auch für die ePV, allerdings wird hier besonderes Augenmerk auf die digitale Verarbeitung von Daten zu Werbezwecken gelegt.

Für die Onlinebranche gelten demnach vor allem folgende Normen:

  • Die neue Definition des Begriffs „Direktvermarktung“ in Art. 4 Abs. 3 f ePV stellt klar, dass auch Onlinewerbung als Direktmarketing-Kommunikation verstanden wird.
  • Gemäß Art. 8 Abs. 1 a, 2 dürfen Cookies  ohne ausdrückliche Einwilligung nur noch verarbeitet werden, wenn sie streng erforderlich oder zwingend technisch notwendig sind, um einen Dienst zu erbringen.
  • Die Verwendung von „Cookie-Walls“ soll verhindert werden und eine damit erzwungene Einwilligung unwirksam sein, denn das mehrfache Bitten um Zustimmung wird als Missbrauch angesehen.
  • Gemäß Art. 9 Abs. 2 muss der Nutzer im Falle der Ablehnung von Cookies eine alternative Möglichkeit erhalten, das jeweilige Angebot auch ohne den Einsatz von Cookies nutzen zu können.
  • Erteilte Einwilligungen müssen jederzeit widerrufen werden können. Zudem muss in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert werden.

Diese Verordnungspunkte haben möglicherweise folgende Auswirkungen auf die Onlinebranche:

  • Faktisch ist damit das domainübergreifende Tracking und die Speicherung von Informationen über das Endgerät durch Dritte untersagt.
  • Retargetingmodelle werden demnach kaum noch umsetzbar sein.
  • Cookies sind nur noch in Ausnahmefällen zulässig (Art. 8 I)

Experten sehen mit dem Inkrafttreten der ePV „das Ende des werbefinanzierten Internets wie wir es heute kennen.“ Tatsächlich sind die Einschränkungen zur Verarbeitung von Daten sowie das Tracking in der Verordnung sehr detailliert beschrieben und bieten damit einen kleineren Auslegungsrahmen für die Praxis.

 

Bereits am 19.10.2017 wurde der Entwurf der ePrivacy Verordnung vom EU-Parlament angenommen. Derzeit befindet sich das EU-Parlament mit dem EU-Rat in Verhandlungen. Auch wenn das Inkrafttreten der zusätzlichen Verordnung ebenfalls für Mai 2018 geplant war, wird davon ausgegangen, dass die rechtswirksame Verabschiedung der Verordnung erst 2019 zu erwarten ist.

Das große Zittern vor der ePrivacy Verordnung

Die EU-Datenschutzgrundverordnung stellt Unternehmen vor große Herausforderungen – aber vor allem noch vor viel mehr Fragen. Vor allem in der Onlinebranche ist die Ungewissheit groß, ob und inwieweit die neuen Rechtsnormen Einfluss auf bestehende Strategie und das Online Marketing haben werden. Selbst führende Fachanwälte für Onlinerecht raten dazu, die technisch umsetzbaren Anforderungen zu befolgen und bezüglich der weiteren Vorgehensweise abzuwarten.

Mit Sicherheit kann aber gesagt werden, dass das Inkrafttreten der ePrivacy Verordnung einen größeren Aufschrei bei Unternehmen im Onlinebereich hervorrufen wird. Wenn alle bisherigen Inhalte der ePV tatsächlich verabschiedet werden, bedeutet das einen erheblichen Anpassungsaufwand für alle Unternehmen, die sich im Internet bewegen und Trackingmethoden verwenden.

Umso wichtiger ist es für die Betroffenen, weiterhin auf dem Laufenden zu bleiben.

In etwas mehr als einem Monat ist es soweit: Die EU-Datenschutzgrundverordnung (kurz DSGVO) tritt am 25.05.2018 in Kraft.

Das neue Datenschutzgesetz ist gegenüber dem bisher geltenden Bundesdatenschutzgesetz (BDSG) noch stärker auf die Regularien bei der Verarbeitung von personenbezogen Daten fixiert. Für Unternehmen und ihr Online Marketing bedeutet das vor allem: Noch transparenter werden!