Datenschutz, „DSGVO“ und die Folgen für Online-Marketing

Am 07.03.18 lud Teamleader in den Co-Working Space wework, um mit Dr. Carlo Piltz näher zur anstehenden Datenschutzgrundverordnung zu informieren. Der 25.05.2018 ist der Stichtag: hier wird die mit „DSGVO“ abgekürzte Verordnung in der gesamten EU in Kraft treten und den Datenschutz vereinheitlichen. Wir waren für euch vor Ort und haben die wichtigsten Punkte aus dem Vortrag zusammengefasst!

Allgemeine Informationen zur DSGVO

  • es herrscht grundsätzlich eine Rechenschaftspflicht gemäß Art. 5, Abs. 2 der neuen DSGVO. Das bedeutet für die Unternehmen, dass stets nachgewiesen werden müsste, dass die Erlaubnis zur Datenverarbeitung vorliegt. Somit muss der Nachweis der Einhaltung der Verordnung gewährleistet sein.
  • primär herrscht ein Verbot zur Verarbeitung von personenbezogenen Daten. Es gibt allerdings mehrere Erlaubnistatbestände, die es Unternehmen ermöglichen, Daten zu verarbeiten:
    • es liegt eine Einwilligung des Betroffenen vor (Opt-In)
    • eine Verarbeitung von Daten ist zur Durchführung eines Vertrages erforderlich (z.B. beim Online-Kauf)
    • es liegt ein berechtigtes Unternehmensinteresse vor und dieses wird von keinem schutzwürdigen Interesse des Betroffenen überwogen
    • es liegt eine gesetzliche Verpflichtung vor
  • nachdem die Einwilligung des Nutzers vorliegen muss, müssen auch mehrere Tatbestände erfüllt sein, damit diese auch wirksam ist. Sie muss
    • freiwillig erfolgen
    • auf den konkreten Anwendungsfall bezogen sein (Wofür werden die Daten verwendet?)
    • auf informierte Weise erfolgen. Der Nutzer muss hier genau wissen, wofür die Daten dann auch verwendet werden
    • es muss außerdem eine eindeutige aktive Handlung erfolgen, hier ist dann ein Opt-In gemeint. Wichtig dabei ist, dass es nicht gültig ist, eine Checkbox markiert zu belassen, sondern der/die Betroffene muss es aktiv auswählen.
  • zudem herrscht ein striktes Kopplungsverbot. Das bedeutet, dass eine Einwilligung zur personenbezogenen Datenverarbeitung nicht an eine vertragliche Leistung gekoppelt sein darf. Ein Beispiel hierfür sind Gewinnspiele, an denen nur teilgenommen werden darf, wenn der Datenverarbeitung zugestimmt wird.
  • außerdem liegt eine Informationspflicht vor, was mit den erhobenen Daten geschieht. Dies wird dann in der Datenschutzerklärung definiert, die ja auch bereits aktiv verwendet werden muss. Folgende Bestandteile müssen enthalten sein:
    • Kontaktdaten des Verantwortlichen
    • eventuell dann die Kontaktdaten des Datenschutzbeauftragten (falls abweichend)
    • Zweck der Datenerhebung
    • berechtigte Interessen des Unternehmens (z.B. Generierung von Umsatz, evtl. aber strittig, ob zu allgemein)
    • Empfänger der Daten, z.B. Google oder Facebook
    • Dauer der Speicherung
  • ein sehr wichtiger Punkt ist die Interessenabwägung zwischen Unternehmen und Betroffenen. Folgende Punkte nannte Dr. Carlo Piltz hier als wichtig:
    • berechtigte Interessen im Unternehmen einholen, um diese auch kommunizieren zu können
    • Berücksichtigung der vernünftigen Erwartungen
    • Direktwerbung könnte ein mögliches Interesse darstellen
    • Widerspruchsrecht des/der Betroffenen muss möglich sein

Folgen aus der DSGVO für das Online-Marketing

  • nachdem bereits seit einigen Jahren eine speziellere Richtlinie als die DSGVO zur Verarbeitung von Cookies vorliegt (Cookie-Richtlinie 2002/58), geht diese der DSGVO auch vor. Hier wird insbesondere auf E-Mail Werbung, Telefonmarketing und auch das Setzen von Cookies eingegangen
  • bei Online-Werbung müssen die schutzwürdigen Interessen des/der Betroffenen berücksichtigt werden:
    • an wen werden Daten weitergegeben?
    • wie werden diese Daten geschützt?
  • insbesondere für Facebook Ads und die Nutzung von Custom Audiences hat die Bayerische Aufsichtsbehörde im vergangenen Jahr eine Auslegung veröffentlicht, wie diese verwendet werden dürfen:
    • Custom Audiences aus Kundenlisten: nur mit expliziter Einwilligung des/der Betroffenen
    • Custom Audiences mit Pixeldaten:
      • ohne erweiterten Abgleich: Opt-Out-Möglichkeit aufzeigen, genügt hier dann über die Datenschutzerklärung
      • mit erweitertem Abgleich: explizite Einwilligung benötigt

Es war hier wieder ein sehr spannendes und kompaktes Update beziehungsweise Zusammenfassung und Auffrischung der zu berücksichtigenden Punkte im Hinblick auf die DSGVO für den 25.05.2018. Weitere Informationen findet ihr unter folgenden Beiträgen von Dr. Carlo Piltz (https://www.delegedata.de) oder auch auf dem Blog von Dr. Thomas Schwenke (https://drschwenke.de/blog/)