Online Marketing und die DSGVO
Oder: „How to trigger a Marketing Professional”
Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH
Ein Wort reicht aus und so gut wie jeder Online Marketer verdreht die Augen: Datenschutzgrundverordnung (DSGVO). Was war sie schön, die Zeit vor Mai 2018. Keine DSGVO. Kein Double-Opt-In. Keine komplizierten Cookie-Banner. Die DSGVO hat den Arbeitsalltag von Online Marketern verkompliziert, denn mit ihr sind auch einige rechtliche Stolpersteine hinzugekommen. So wurde beispielsweise die Nutzung von Google Analytics in Frage gestellt: Geht das überhaupt noch datenschutzkonform? Wir von der SAVISCON GmbH haben das interne Programm GRC@SAVISCON ins Leben gerufen, um unser eigenes Governance-, Risk- and Compliance-Management – darunter auch das Datenschutz-Management – strukturiert aufzubauen. Wir nutzen dazu unsere eigene GRC-Software, das GRC-COCKPIT. Aber darum soll es hier gar nicht gehen. Wir wollen viel mehr darüber berichten, was uns in der Marketing-Abteilung auf dieser Reise bisher aufgefallen ist und wie wir damit umgegangen sind. Was müssen Online Marketer beachten, um DSGVO-konform zu arbeiten? Disclaimer: Das hier soll und kann keine Handlungsempfehlung oder Rechtsberatung sein. Wir berichten lediglich von unseren ganz eigenen, individuellen Erfahrungen.
Wie betrifft die DSGVO das Online Marketing?
Vereinfacht gesagt: Die DSGVO soll personenbezogene Daten schützen. Also müssen wir uns im Online Marketing fragen: An welcher Stelle erheben und verarbeiten wir personenbezogene Daten und an welche Dienstleister geben wir sie eventuell sogar weiter? Personenbezogene Daten werden im Online Marketing beispielsweise hier erhoben:
- Webanalyse-Tools (z. B. Google Analytics)
- Schnittstellen zu Social Media Kanälen (z. B. Facebook Teilen-Buttons im eigenen Blog)
- Kontaktformular auf der eigenen Webseite
- Anmeldung zum Newsletter
- Bestellung im Online-Shop
Hier haben wir im ersten Schritt eine Übersicht unserer Online Marketing Prozesse und Tools erstellt und festgehalten, welche personenbezogenen Informationen wir erheben und an welche Stellen wir sie weitergeben. Dieser Schritt ist Teil zum Aufbauen und Führen eins Verzeichnisses für Verarbeitungstätigkeiten. Dieses Verzeichnis ist eine Anforderung der DSGVO. Dafür ist bei uns im Unternehmen Karin Selzer (Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte der SAVISCON GmbH) zuständig. Sie hat dazu Feedback aus allen Fachabteilungen eingeholt, dokumentiert und in unser GRC-COCKPIT eingepflegt. Darüber hat sie schon in ihrem Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten aufbauen“ berichtet.
Was sind personenbezogene Daten?
Laut Artikel 4 der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Kann Google Analytics datenschutzkonform eingesetzt werden?
Google Analytics kann zurzeit noch datenschutzkonform eingesetzt werden, wenn es dazu genutzt wird, Statistikdaten zu erheben und nicht, um den einzelnen Nutzer zu Marketingzwecken zu tracken. Dazu müssen einige Punkte beachtet werden. Hier eine Auflistung von Einstellungen und Maßnahmen, um Google Analytics datensparsam und nutzerfreundlich einzusetzen:
- Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
- IP-Adresse der Nutzer anonymisieren
- „User-ID-Funktion“ deaktivieren (damit könnte man einzelne User über verschiedene Geräte hinweg tracken)
- Remarketing-Funktion deaktivieren (damit könnte man beispielsweise über Google Ads gezielt Anzeigen an Personen ausspielen, die die eigene Webseite bereits besucht haben)
- Hinweis zu Deaktivierungs-Addon in die eigene Datenschutzerklärung einbinden
- Opt-Out-Möglichkeit in der eigenen Datenschutzerklärung bereitstellen
- keine weiteren Google-Dienste mit Analytics verknüpfen
- Link auf die Datenschutzerklärung von Google in die eigene Datenschutzerklärung einbauen
- Speicherdauer der Daten auf 14 Monate ab dem ersten Besuch begrenzen
Diese Einstellungen verwenden wir auch bei unserem Google Analytics Konto. Uns ist wichtig, dass wir erfolgreiche oder auch nicht so erfolgreiche Seiten und Blog-Beiträge auf unserer Webseite identifizieren können. Das setzen wir anhand der Besucherzahlen, der Absprungrate und der Verweildauer um. Für uns haben diese Informationen vor allem einen redaktionellen Nutzen, damit wir die Inhalte auf unserer Webseite noch besser auf die Interessen unserer Zielgruppe zuschneiden können.
Update: Urteil in Österreich zu Google Analytics
Januar 2022: In Österreich hat die Datenschutzbehörde die Nutzung von Google Analytics für unzulässig erklärt. Ausgelöst hat dieses Urteil die Datenschutzorganisation NOYB von Max Schrems, die, nachdem der EuGH das Privacy Shield Abkommen in 2020 gekippt hat, in 101 Fällen Beschwerde eingereicht hat. Auch für das Ende des Privacy Shields im Jahr 2020 war NOYB rund um Max Schrems verantwortlich, daher wird es auch das Schrems-II-Urteil genannt. Im aktuellen Fall hat die österreichische Datenschutzbehörde entschieden, dass US-Behörden keine Daten von der EU in die USA übermitteln dürfen. Denn in den USA gibt es nicht so ein hohes Datenschutzniveau, wie in der EU. Die Google-Maßnahmen würden nicht ausreichen, um die Nutzerdaten hinreichend zu sichern. Doch was heißt das für deutsche Unternehmen? Bisher handelt es sich um eine Entscheidung für einen konkreten Fall. Es entstehen dadurch keine direkten Auswirkungen für deutsche Webseitenbetreiber und Google Analytics Nutzer. Dennoch: NOYB hat auch bei der deutschen Datenschutzbehörde Beschwerden eingereicht und sobald eine deutsche Behörde darüber entscheidet, könnte es zu einem ähnlichen Urteil kommen. Es sind zurzeit also keine übereilten Änderungen nötig, dennoch sind Google Analytics Nutzer gut darin beraten, die Situation genau zu beobachten und sich bereits frühzeitig über eine Alternative zu informieren, damit es im Ernstfall schnell gehen kann.
E-Mail-Marketing datenschutzkonform gestalten
Zum Thema E-Mail-Marketing gibt es eine wichtige Änderung seit Einführung der DSGVO. Die Empfänger müssen dem Erhalt des Newsletters vorab zugestimmt haben. Das muss per Double-Opt-In geschehen, also einem doppelten Zustimmungsverfahren. Das bedeutet, dass sich die Interessenten selbstständig in den Newsletterverteiler eintragen, dann eine Mail erhalten und in dieser Mail nochmals bestätigen müssen, dass sie den Newsletter auch wirklich erhalten möchten. Gerade der zweite Schritt erschwert es den Marketern einen Newsletterverteiler aufzubauen, weil einige – auch wenn sie den Newsletter erhalten wollen – die Anmeldung im zweiten Schritt nicht bestätigen. Auch bei der Auswahl des Mailing-Tools ist Vorsicht geboten. Da hier personenbezogene Daten, wie Namen und Mailadressen, durch einen Drittanbieter verarbeitet werden, muss mit dem Tool-Anbieter ein AVV geschlossen werden. Das funktioniert meist unkompliziert online.
Außerdem ist besondere Vorsicht bei Anbietern aus dem nicht-europäischen Ausland geboten. Beliebte Anbieter sind da beispielsweise mailchimp oder hubspot. Denn 2020 hat der Europäische Gerichtshof das EU-US Privacy Shield für ungültig erklärt, nachdem sich Unternehmen freiwillig verpflichten konnten, der EU-DSGVO nachzukommen. Deutsche Unternehmen sollten also am besten direkt einen deutschen oder europäischen Anbieter auswählen, der ebenfalls den Vorgaben der DSGVO gerecht werden muss. In unserem Fall ist die Wahl auf rapidmail gefallen, ein Deutscher Anbieter mit Serverstandort in Deutschland. Wenn die Wahl dann auf einen Tool-Anbieter gefallen ist, muss dies auch transparent in der eigenen Datenschutzerklärung des Unternehmens kommuniziert werden.
Stolpersteine bei Cookie-Bannern
Laut DSGVO müssen Webseitennutzern den Cookies vorab zustimmen. Angenommen Sie nutzen zur Webanalyse Google Analytics, dann darf das Skript auf Ihrer Webseite erst laden und diese Drittanbieter-Cookies setzen, sobald der User dem auch zugestimmt hat – andernfalls nicht. Wenn Sie dem Nutzer die Wahl lassen, welche Cookies er annehmen kann, dann dürfen keine Optionen vorausgewählt sein. Wichtig ist außerdem, dass die Webseitenbesucher auf der ersten Seite, wenn sie mit einem Klick allen Cookies zustimmen können, auch an derselben Stelle alle Cookies mit einem Klick ablehnen können. Im besten Fall sind diese beiden Optionen dann auch optisch gleichwertig gestaltet. Außerdem müssen die Nutzer die Möglichkeit haben, ihre Cookie-Einstellungen jederzeit anpassen zu können und so auch im Nachhinein noch das Tracking unterbinden zu können. Cookie-Banner sollten nutzerfreundlich gestaltet werden und nicht dazu führen, die Absprungrate zu erhöhen.
Ausblick ePrivacy Verordnung (ePVO)
Die ePrivacy Verordnung soll zukünftig die DSGVO ergänzen und damit die in Deutschland bisher geltende ePrivacy Richtlinie ablösen. Ziel ist es, das Datenschutzniveau für Nutzer elektronischer Kommunikationsdienste zu verbessern und beispielsweise die Bestimmungen für Cookies und Cookie-Banner zu konkretisieren. Wann genau die ePVO in Kraft tritt ist noch unklar. Der Bundesverband Digitale Wirtschaft e. V. (BVDW) hat die Entwicklung der ePVO auf ihrer Webseite zusammengefasst: Aktuelle Informationen zur ePVO.
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Zusätzlich zur DSGVO ist hat am 20.05.2021 der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 ist das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft getreten. Damit sollen bisher offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt. Das TTDSG hat folgende Inhalte:
- Umgang mit dem digitalen Erbe
- Verlangen eines amtlichen Ausweises
- Auskunftsverfahren bei Bestands- und Nutzungsdaten
- Schutz der Privatsphäre bei Endeinrichtungen
- Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)
- Cookie-Consent
- Straf- und Bußgeldvorschriften
Für Detail-Informationen können Sie unseren Blog-Beitrag „TTDSG – schon wieder ein neues Gesetz?“ von unserer Datenschutzbeauftragten Karin Selzer lesen.
Zusammenfassung Datenschutz im Online Marketing:
- Übersicht verschaffen: In welchen Digital Marketing Prozessen werden personenbezogene Daten erhoben?
- Übersicht konkretisieren: Welche personenbezogenen Daten werden in diesen Prozessen erhoben und werden sie an Dritte weitergegeben?
- Maßnahmen ableiten: Müssen Auftragsverarbeitungsverträge mit den Dienstleistern geschlossen werden? Müssen die Dienstleister in der Datenschutzerklärung genannt werden?
- Bei Unsicherheit immer Rücksprache mit der intern zuständigen Person für den Datenschutz halten oder sich externen Rat einholen
- Google Analytics kann datenschutzkonform eingesetzt werden, wenn die passenden Einstellungen vorgenommen werden; wichtig: Skript darf erst nach Cookie-Zustimmung laden
- Augen auf bei der Newsletter-Software: arbeitet der Anbieter selbst DSGVO-konform?
- Cookie-Banner müssen nutzerfreundlich gestaltet werden
Fakt ist: Auch wenn es manchmal lästig ist, der Datenschutz ist ein wichtiger Teil des Online Marketings. Marketer sollten bereits vor der Auswahl eines neuen Marketing-Tools die Augen offen halten und prüfen, ob der Anbieter der DSGVO gerecht wird. Im Zweifel lohnt sich vorab die Rücksprache mit dem internen Datenschutzbeauftragten. Das bewahrt einen vor Fehlentscheidungen und spart im Zweifel Zeit und Geld.
Über die Autorin
Kerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social Media Kanäle und den Blog. Bei Fragen, Anregungen oder zum Austausch: kerstin.wittemeier@saviscon.de