DSGVO: Was muss im Marketing beachtet werden

Marketing und neuer Datenschutz nach DSGVO: Privat soll wieder mehr privat sein

Ergänzend zur EU-DSGVO ist später noch eine zweite Verordnung in nationales Recht umzusetzen, bei der es gleichsam um die Technik-Abteilung unserer digitalisierten Lebensprozesse geht – die E-Privacy-Verordnung. In den EU-Gremien ist sie zwar bereits beschlossen, aber die Mitgliedstaaten müssen noch zustimmen – Zeitpunkt offen. In Online-Verkehr sollen Do-not-Track-Mechanismen gestärkt und Ende-zu-Ende-Verschlüsselungen verbindlicher Standard werden. Momentan ist das für Unternehmen vielleicht noch etwas weiter weg und baut keinen direkten Handlungsdruck auf. Doch auch die „einfachen“ DSGVO-Vorschriften erfordern Aufmerksamkeit. Gemäß Art. 25, Abs. 1 ist bereits bei der Produktentstehung (Privacy by Design) und bei den künftigen Voreinstellungen (Privacy by Default) für eine Datenschutz-Optimierung Sorge zu tragen.

Cookies praktisch „gebacken“ bekommen

Was, wann, wie ist im Marketing unter Datenschutz-Aspekten erlaubt und was nicht? Beispiel Cookies: Bis zum Inkrafttreten der E-Privacy-Verordnung bleibt manches beim Alten.

Beachten Sie daher:

• In prominenter, auffälliger Form (zum Beispiel Banner) auf die Verwendung von Cookies generell hinweisen.
• In der Datenschutzerklärung extra in rechtlich abgesicherter Weise die Cookie-Nutzung erwähnen. Im Netz finden sich dazu Vorschläge aus dem Kanzlei-Sektor. Im Zweifelsfall erhält man von seinem Online-Handelsverband qualifizierten Rat. Vorzugsweise ist in der Datenschutzerklärung darauf hinzuweisen, dass sich durch Browservoreinstellung auch anonymisierte Cookie-Funktionen für Statistik abwählen lassen.
• Als Ergänzung zu den vorgenannten Punkten gleich per Opt-In die Zustimmung des Betroffenen einholen und zuverlässig speichern.

Cookie ist nicht gleich Cookie

Prinzipiell ist vom einfachen Cookie, das ein Shop-Betreiber für das kundenseitige Einlegen von Bestellung in den Warenkorb braucht um den Kunden nach Bestellabschluss wieder identifizieren können, das sogenannte Tracking-Cookie zu unterscheiden. Mit letzterem ist Profilgewinnung möglich. Hierfür hat der Seitenbetreiber bis zur Rechtsgültigkeit von E-Privacy eine 2-Phasenprüfung vorzunehmen: Brauche ich den Mechanismus, um dem Kunden für ihn optimale Angebote unterbreiten zu können (berechtigtes Interesse)? Zum anderen: Werden die individuellen Interessen des Kunden gewährleistet (sparsame Datenerhebung, nur das nötigste)? Und es muss die Möglichkeit des Widerspruchs gegeben sein.

1st Party Cookies fallen aus der Hinweispflicht weiterhin heraus, da über sie anonymisiert reine Meta-Daten erhoben werden.

E-Marketings liebstes Kind

Wohl kaum ein Instrument ist in Marketing-Abteilungen so beliebt wie der Newsletter, kann man doch auf Rabatt-Aktionen und Produktneuheiten Aufmerksamkeit lenken. In der Regel ist eine klare Einwilligung des Seitenbesuchers erforderlich, dass der Newsletter-Versand an ihn erfolgen darf. Dies betont insbesondere Art. 7 DSGVO. Als sicher gilt das Double-Opt-in-Verfahren hierfür. Der erste Einwilligungsteil geschieht dabei meist in Form eines Bestätigungslinks, der anzuklicken und über den eine Bejahungsform an den Seitenbetreiber zurück zu schicken ist.

Als wichtig für das Opt-in gilt der sogenannte „Time-Stamp“,  der sich aus Datum und Uhrzeit zusammensetzt und der durch IP-Daten ergänzt wird. Die in dieser Weise erbrachte Protokollierung lässt sich im Zweifelsfall jederzeit ausdrucken und ist vor Gericht beweiskräftig vorlegbar. Was nicht fehlen darf, ist auch eine Widerrufsmöglichkeit, auf der der Kunde oder einfach Seitenbesucher deutlich hinzuweisen ist. Auch muss diese Möglichkeit, wenn man später danach sucht, einfach erkennbar und leicht auszuführen sein.

Außerdem hat ein allgemein verständlicher Hinweis in der Datenschutzerklärung zu erfolgen, über Art, Umfang und Zweck erhobener Daten und die Form der Durchführung. Grund: Wenn eine E-Mail-Adresse für Newsletter-Versand angefordert wird, findet nun einmal Datenerhebung statt. Bei weiterhin bestehender Geschäftsbeziehung muss allerdings nicht dauernd die Einwilligung für die Datenerhebung eingeholt werden. Zudem ist der fortlaufende Newsletter-Versand so lange in Ordnung, bis ihm widersprochen wird. Wenn ein Shop-Betreiber in einem Newsletter auf ähnliche Artikel hinweist wie auf bereits dem Kunden verkaufte, braucht er ohnehin keine Erlaubnis. Alles in allem ist also auch bei den neuen Vorschriften Datenerhebung weiter gut möglich, verbunden mit mehr Rechtssicherheit für beide Seiten.