Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Die DSGVO im Marketing

PrintMailRate-it

​​​​3 Juli. 2018

 
Am 25. Mai 2018 hat sich in der Verarbeitung personenbezogener Daten viel verändert. An diesem Tag trat die lang erwartete und laut angekündigte Datenschutzverordnung (DSGVO) in Kraft, die die Grundsätze der Verarbeitung personenbezogener Daten umgestalten soll. Hat die DSGVO die Datenverarbeitungsverfahren tatsächlich revolutioniert? Und wie stark ist dadurch die Arbeit von Marketingabteilungen betroffen?

Es steht außer Frage, dass Marketingabteilungen bei ihrer täglichen Arbeit große Mengen personenbezogener Daten verarbeiten. Sie generieren neue Leads, pflegen Kontakte zu Kunden oder Geschäftspartnern und fördern ihre Firma in sozialen Netzwerken. Marketing-Mitarbeiter erhalten und verarbeiten unterschiedliche Daten: von E-Mail-Adressen, über Telefonnummern, bis zu dem Bild des Kunden. Damit die Verarbeitung entsprechend der DSGVO verläuft und gleichzeitig sicher ist, bedürfen viele Faktoren einer Analyse. Einige von ihnen werden in diesem Artikel besprochen.


Grundlage für die Datenverarbeitung im Marketing


Die Marketingabteilungen müssen vor allem überprüfen, ob sie über eine für die Verarbeitung personenbezogener Daten erforderliche Grundlage verfügen. In den meisten Fällen wird es sich um eine Einwilligung handeln. Aufgrund der DSGVO unterscheidet sich diese grundsätzlich nicht von der Einwilligung, die gemäß dem bisher geltenden Gesetz über den Schutz personenbezogener Daten vorgesehen war. Die Frage nach einer Einwilligung muss sich von anderen Fragen (z.B. bezüglich Vertragsbestimmungen) unterscheiden, auf eine leicht verständliche Weise, in klarer und einfacher Sprache abgefasst sein; zusätzlich hat die Einwilligung der gefragten Person freiwillig zu erfolgen. Sollten Sie sich daher entscheiden, die Einwilligung selbstständig oder unter Verwendung eines entgeltlichen Musters zu formulieren, so ist es empfehlenswert, diese Einwilligung noch vor ihrer Veröffentlichung auf der Internetseite mehrmals durchzulesen und zu beurteilen, ob der Inhalt für Sie selbst verständlich ist. Auf jeden Fall ist die Verwendung von komplizierter, juristischer Sprache zu vermeiden. Darüber hinaus muss die Einwilligung Folge der Handlung des Nutzers selbst sein. Deswegen ist es nicht richtig, das Kästchen für die Einwilligung bereits angeklickt voreinzustellen und darauf zu hoffen, dass der Nutzer die für ihn so gefasste Entscheidung nicht bemerkt. Es ist auch empfehlenswert sich für visuelle Effekte zu entscheiden, die die Aufmerksamkeit des Nutzers auf sich ziehen, gleichzeitig aber nicht zu aufdringlich erscheinen.


Datenverarbeitung im Marketing


Verfügen wir über die Zustimmung des Nutzers oder über eine andere Grundlage für die Verarbeitung seiner Daten (z.B. einen Vertrag mit einem Geschäftspartner, der die Verarbeitung personenbezogener Daten vorsieht), ist dieser über den Prozess der Datenverarbeitung redlich zu informieren. Die Informationsklausel, denn von dieser ist hier die Rede, muss vor allem darüber Auskunft geben, wer der Verantwortliche ist, zu welchen Zwecken und auf welchen Grundlagen die Verarbeitung erfolgt, welche Daten genau verarbeitet werden, wer ihr Empfänger ist und welche Rechte der betroffenen Person zustehen. Ähnlich, wie bei der Einwilligung, sind diese Informationen klar und verständlich zu übermitteln, insbesondere müssen sie in einfacher Sprache abgefasst werden. Es empfiehlt sich auch, über den visuellen Aspekt der auf der Internetseite verfügbaren Datenschutzerklärung nachzudenken – sie sollte übersichtlich sein; zusätzlich zum einfachen Text können Informationsgrafiken oder eine für den Nutzer leicht verständliche Form von Fragen und Antworten (Q&A) verwendet werden. Wichtig ist auch der Zugang des Nutzers zur Datenschutzerklärung. Neben der Übermittlung der o.g. Informationen beim ersten Kontakt mit dem Nutzer ist darauf zu achten, dass die Datenschutzerklärung immer an einer sichtbaren Stelle auf der Internetseite verfügbar ist. Für die Nutzer von Mobile Apps sollte die Datenschutzerklärung nach der 2-Klick-Regelauffindbar sein.


Erwerb von Datenbanken im Lichte der DSGVO


Im Alltagsleben der Marketingabteilungen ist es nicht unüblich, dass die personenbezogenen Daten des Nutzers nicht unmittelbar bei diesem selbst erhoben werden. Oft entscheiden sich die Marketingmitarbeiter, Datenbanken zu kaufen. Nach dem Inkrafttreten der DSGVO ist diese Vorgehensweise ziemlich riskant. Der polnische Generaldatenschutzbeauftragte (und aktuell der Präsident der Datenschutzbehörde) verweist darauf, dass der Erwerb solcher Datenbanken nicht zwingend verboten ist, jedoch fügt er hinzu, dass eine Rechtsgrundlage für die Beschaffung der Datenbank gegeben sein muss, und dass die Informationspflicht gegenüber dem Nutzer unverzüglich (maximal innerhalb eines Monats) zu erfüllen ist. Als Rechtsgrundlage der Datenverarbeitung gilt meistens die Einwilligung des Nutzers, der dem Verkauf seiner Daten durch den Verantwortlichen zugestimmt hat. Jedoch ist die Aufsichtsbehörde der Auffassung, dass gemäß den grundsätzlichen Eigenschaften, die eine Einwilligung kennzeichnen sollten – d.h. ihre Erteilung hat freiwillig und bewusst zu erfolgen – in der Frage nach dieser Einwilligung der Erwerber unmissverständlich zu nennen ist; eine weitgreifende Bezeichnung mit dem Begriff „kooperierende Rechtsträger“ oder „Dritte“ ist nicht zulässig. Bei der Entscheidung, eine Datenbank von einem anderen Verantwortlichen zu erwerben, ist es daher empfehlenswert zu überprüfen, auf welche Weise dieser in den Besitz der Daten unserer potentiellen Kunden gelangt ist. Wir sollten auch keine Angst haben nachzufragen, ob die Datenbanken ausreichend gesichert sind und welche Kategorien personenbezogener Daten sie beinhalten.


Sicherung von Marketingdaten – die technische Seite


Wer sich mit der DSGVO befasst, sollte nicht nur an die rechtlichen Anforderungen oder die Informationspflicht denken. Besondere Aufmerksamkeit ist auch den in der DSGVO genannten technischen und organisatorischen Maßnahmen zu widmen, die – worauf die Verordnung großen Wert legt – ein hohes Datenschutzniveau gewährleisten müssen. Leider nennt die DSGVO keine Beispiele für derartige Maßnahmen und verweist lediglich darauf, dass die Entscheidung hinsichtlich der Auswahl der Sicherheitsmaßnahmen auf Seiten des Verantwortlichen oder des Auftragsverarbeiters liegt. Aus diesem Grund ist es empfehlenswert, in der Firma ein professionelles rechtlich-technologisches Audit durzuführen, aus dem wir erfahren werden, welche Risikobereiche in unserer Geschäftstätigkeit auftreten, was verbessert oder geändert werden könnte.

Darüber hinaus sind die Daten, die wir erheben, eigenständig zu analysieren. Richten wir Kundendatenbanken ein, empfiehlt es sich, diese auf eine logische Art und Weise in Gruppen aufzuteilen. Wir können für diejenigen Daten, die wir aufgrund unterschiedlicher Rechtsgrundlagen eingeholt haben, separate Datenbanken bilden. Ähnlich verhält es sich bei einer Einwilligung in die Versendung von Marketinginformationen sowie in die Übermittlung von Geschäftsinformationen auf elektronischem Wege. Diese beiden Einwilligungen unterscheiden sich in ihren Rechtsgrundlagen, daher ist es empfehlenswert, die mit ihnen erhobenen personenbezogenen Daten in verschiedenen Datenbanken zu erfassen. Auch die Verschlüsselung und Pseudonymisierung der Daten ist zu beachten, denn der Kreis der Personen, die Zugang zu ihnen haben, muss strikt begrenzt sein. Bei den oben besprochenen Datenbanken sollte dieser Zugang ausschließlich der Marketingabteilung zustehen, und nicht allen Mitarbeitern, die Einsicht in die Daten in der virtuellen Wolke haben.

Nicht zu vergessen ist auch der Grundsatz der Datenminimierung, gemäß dem wir bei einer Entscheidung über die Verarbeitung personenbezogener Daten zu bestimmten Zwecken vom Nutzer nur diejenigen Daten erheben dürfen, die für diese Zwecke notwendig sind. Wollen wir also vom Kunden Daten zwecks Newsletter-Versendung erheben, dürfen wir lediglich die E-Mail-Adresse des Empfängers und eventuell seinen Vor- und Nachnamen erheben. Die Nachfrage nach der Korrespondenzanschrift oder der persönlichen Identifikationsnummer (PESEL) ist absolut überflüssig und stellt eine Verletzung des Grundsatzes der Minimierung dar.


Die DSGVO und soziale Netzwerke


In einem weiteren Schritt lohnt es sich, die Aktivität des Unternehmens in sozialen Netzwerken zu analysieren. Selbstverständlich verfügen soziale Netzwerke wie Facebook, Twitter oder LinkedIn über Datenschutzerklärungen und Nutzungsbedingungen. Dennoch ist zu beachten, dass wir in vielen Fällen, wenn Daten von einem Nutzer eines sozialen Netzwerkes erhoben werden (z.B. über Facebook-Lead Ads), zu separaten Verantwortlichen für diese Daten werden. Es ist nicht empfehlenswert, alleine auf die von sozialen Netzwerken vorgenommenen Maßnahmen zu vertrauen, denn falls die zuständige Datenschutzbehörde unser Unternehmen kontrolliert, wird sie die von uns (und nicht von dem sozialen Netzwerk) eingesetzten Sicherheitsmaßnahmen überprüfen und analysieren, ob wir (und nicht das soziale Netzwerk) den Grundsatz der Rechenschaftspflicht vollständig erfüllt haben.

Sind Sie an den Einzelheiten zu diesem Thema oder an einem rechtlich-technologischen Audit interessiert, so stehen Ihnen die Experten von Rödl & Partner aus den Büros in Breslau, Danzig, Gleiwitz,Krakau, Posen und Warschau gerne zur Verfügung.

Kontakt

Contact Person Picture

Jarosław Kamiński

Attorney at law (Polen)

Associate Partner

+48 694 207 482

Anfrage senden

Profil

​​
Deutschland Weltweit Search Menu