DSGVO 2018 – Fluch oder Segen des Online Marketings?

DSGVO

Die neue DSGVO 2018   

Sie ist wie das Böse, das jeder kennt, aber doch niemand so gerne beim Namen nennt. Die neue Datenschutzgrundverordnung, kurz DSGVO. Sie ist zum 25.Mai 2018 in Kraft getreten und wirbelt nun ganze Unternehmen durcheinander, insbesondere natürlich die Abteilungen, die sich mit dem Thema Datenschutz auseinander setzen. Doch ist das wirklich notwendig? Müssen alle bisherigen Praktiken nun über den Haufen geworfen werden und alles von Grund auf neu aufgezogen werden?  Die Antwort ist nein. Der Bundesverband Informationswissenschaft, Telekommunikation und neue Medien e.V., kurz bitkom, warnt vor genau dieser Art von Panikmache: Die Unternehmen müssen sich natürlich mit dem Thema auseinander setzen, bereits bestehende Leitlinien und Konzepte müssen aber deshalb nicht komplett verbannt werden. Hier gilt es die zwei Jahre Übergangsfrist bis zum tatsächlichen Eintreten der Verordnung aktiv zu nutzen, um bestehende Prozesse anzupassen. Die Umstellungen dieser Prozesse halten sich allerdings bei vielen Unternehmen in Grenzen. Gerade Firmen mit Sitz in Deutschland mussten sich in der Vergangenheit bereits an die EU-Datenschutzrichtlinie halten, die mithilfe des deutschen Bundesdatenschutzgesetztes (BDSG) für die Unternehmen bindend umgesetzt wurden. Der größte Unterschied zu den bestehenden Richtlinien zum Thema Datenschutz besteht hier insbesondere in der Reichweite der Verordnung. Die DSGVO ist eine EU Verordnung, was bedeutet, dass alle Mitgliedsstaaten sich an sie halten müssen. Zusätzlich werden nationale Abkommen und Gesetze überfällig. Ein großes Ziel der neuen Datenschutzgrundverordnung ist also in erster Linie die Vereinfachung des Datenschutzes auf europäischer Ebene und somit einheitliche Standards zum Schutze unser aller Daten zu schaffen.

Doch was macht die DSGVO nun zu diesem großen bösen Monster, das allem Anschein nach die Unternehmen aktuell das Fürchten lehrt? Das Grundprinzip ist zunächst sehr einfach und einleuchtend: Jedes Unternehmen und jede Behörde, die mit personenbezogenen Daten arbeitet, muss bestimmte Regeln einhalten.  Zu dieser Art von Daten gehören zum Beispiel Sozialversicherungsnummern, Kontodaten, Adressen oder auch Krankendaten. Wie diese neuen Datenschutzverordnungen aussehen, orientiert sich zunächst an der Größe des Unternehmens. Bei Unternehmen mit mehr als 9 Mitarbeitern ist es weiterhin Pflicht einen eigenen Datenschutzbeauftragten zu ernennen. Dieser muss dabei kein Angestellter sein, sondern kann auch als externer Dienstleister diese Aufgabe übernehmen. Neu ist diese Regel allerdings nicht: Sie war bereits Teil des BDSG und wurde nun durch die EU-weit geltende DSGVO ersetzt. Des Weiteren wird den Unternehmen empfohlen ein Verarbeitungsverzeichnis anzulegen. Vorgeschrieben ist dieses zwar erst ab 250 Mitarbeitern, allerdings ist es immer ein Bonus dieses bei einer Kontrolle vorlegen zu können, meint Matthias Führich von der IHK Waiblingen. In so einem Verzeichnis sind alle Abteilungen eines Unternehmens aufgelistet, die mit personenbezogenen Daten jeglicher Art zu tun haben. Diese müssen mit Ansprechpartner und Grund für die Verwendung versehen werden und gut ist. Was zunächst nach viel Aufwand und Bürokratie klingt, ist in der Realität schnell erledigt. Neben diesem Verzeichnis ist auch eine eigene Datenschutzerklärung unabdingbar. Diese muss zwingend auf der Webseite des Unternehmens zu finden sein und kann mithilfe von verschiedenen Mustervorlagen und Generatoren erstellt werden. Wichtig ist hierbei aufzuzählen, welche personenbezogenen Daten im Betrieb verwendet werden und wozu diese verwendet werden.

Herausforderungen der neuen DSGVO für Unternehmen

Viele Unternehmen sehen die neuen Bestimmungen im Zuge der Datenschutzgrundverordnung kritisch. Die Kundendateien müssen überprüft und aufgeräumt werden. Dies ist eine zeit-intensive Aufgabe, bei der sich insbesondere kleinere Unternehmen noch Unterstützung in Hinblick auf die regel-konforme Anwendung wünschen. Auch die anstehenden Investitionen in die Ausweitung des Datenschutzes mit Blick auf Schutz vor Hacker Angriffe birgt einen Kostenfaktor und somit eine finanzielle Herausforderung für kleinere Unternehmen.[1] Durch unklare juristische Auslegungsvarianten der Verordnung sind wiederholt die kleineren Unternehmen verunsichert und befürchten hohe Bußgelder bei falscher Handhabung der Umsetzung von Maßnahmen. Sie geben zu bedenken, dass ihnen das Budget für entsprechende Datenschutzbeauftragte fehle und auch Anwälte zu kostenintensiv sind. Die entsprechenden Ressourcen, Zeit und Geld fehlen. Größere Unternehmen, wie beispielsweise Zalando gründeten ganze Arbeitskreise mit Experten zu den anstehenden Änderungen. Diese nutzen Kontakte zu anderen Unternehmen um sich über Interpretation und Umsetzungshinweise auszutauschen.

Abbildung 1: Herausforderungen der DSGVO

Um regel-konforme Datenbestände zu erhalten ist eine zeit-intensive Sichtung der personenbezogenen Informationen von Nöten. Diese müssen aufgeräumt und geprüft werden. Weiterhin müssen die entsprechenden Zustimmungen zur Datennutzung eingeholt werden und auf Anfrage Auskunft bereitgestellt werden. Insbesondere müssen die Unternehmen sicherstellen, dass sie über jeden bestehenden Datensatz rechtfertigen können, woher die Daten stammen und eine Einwilligung vorweisen können. Unternehmen sollten die Vorschriften als Möglichkeit sehen, ihre Datenbestände aufzuräumen, zu strukturieren und alte Bestände zu entfernen. Daraus entstehen die Möglichkeiten, dass du aufgeräumte Datenbestände eine verbesserte Qualität des digitalen Marketings erreicht werden kann und mehr Leads den Umsatz steigern. Um die Kundendateien zu erweitern ist besonders darauf Wert zulegen, dass die Zustimmung der Kunden für die Datenaufnahme gefordert wird, bevor die Daten tatsächlich aufgenommen werden.

Kritsch gesehen wird in Bezug auf Dialogmarketing und Online Marketing auch, dass in Zukunft nahezu jede Kommunikation über digitale Endgeräte als personenbezogen eingestuft wird und somit besondere Prüfung und Sorgfalt erfordern. Hinzu kommen weitere Einschränkungen durch anstehende ePrivacy Regelungen, die die online Kommunikation weiter einschränken werden. Schwer zu unterscheiden seien Daten, die nicht direkt die Privatsphäre des Nutzers berühren und solchen, die anonymisiert sind. Ein weiteres Hindernis, welches bedingt durch die ePrivacy Regelungen entstehen kann sind Verlinkungen, die bisher Google Rankings beeinflussen konnten. Die Regelungen werden Verlinkungen zu urheberrechtlichen Veröffentlichungen nicht mehr kostenfrei gestatten. In Zukunft müssen Artikel vor dem Upload mit Hilfe einer Datenbank abgeglichen werden, um urheberrechtliche Merkmale zu prüfen. Insbesondere Big-Data Anwendungen werden somit in ihrer Funktion stark eingeschränkt. Weitergehend wird auch das Lesen von geschützten Artikeln nicht mehr kostenfrei möglich sein. Die anstehenden Regelungen werden insbesondere im Online Marketing starke Änderungen hervorrufen und Unternehmen zu einem Umdenken der Strategien aufrufen.

Handlungsempfehlungen für ein erfolgreiches Online Marketing – trotz DSGVO

Um den oben aufgeführten Herausforderungen des Online Marketings durch die neue Datenschutzgrundverordnung erfolgreich entgegenzutreten, sollten Unternehmen folgende Handlungsempfehlungen umsetzen.

Zunächst fokussieren sich die entwickelten Handlungsempfehlungen auf kleinere Unternehmen die im Bereich Online Marketing tätig sind. Dazu gehören auch alle Unternehmer, die eine Webseite betreiben. Es weckt den Anschein, als wären vor allem sie von der neuen Verordnung betroffen. Viele Betriebe können es sich nicht leisten, einen Datenschutzbeauftragten einzustellen, dessen Aufgabe es ist, die neuen Regelungen umzusetzen. Hier ist jedoch zu beachten, dass diese Anstellung oftmals gar nicht nötig ist. Der Zentralverband des deutschen Handwerks gibt Aufschluss darüber, dass ein Datenschutzbeauftragter lediglich dann einzustellen ist, wenn mindestens zehn Angestellte die automatisierte Bearbeitung von Daten als Kerntätigkeit ihrer Arbeit ausüben (§ 38 Bundesdatenschutzgesetz). Um sicherzustellen, dass ihre Online Marketing Strategie auch DSGVO-konform ist, sollten sich ihr Unternehmen, egal ob Start Up, Mittelständler oder Konzern, folgende Fragen stellen:

  • Welche Online Marketing Prozesse gibt es in unserem Unternehmen?
  • Bei welchen dieser Prozesse nutzen wir personenbezogene Daten?
  • Woher haben wir diese Daten?
  • Mithilfe welcher Tools und Datenbanken verarbeiten wir die Daten?

Wird mit personenbezogenen Daten gearbeitet, ist es entscheidend zu wissen, wie die Rechtsgrundlage für jeden dieser Online Marketing Prozesse aussieht. Eine erklärende Interessenabwägung sowie die Überprüfung der bereits erhaltenen Einwilligungen müssen geprüft werden. Vorsicht: Es bleiben nur die vorher eingeholten Einwilligungen wirksam, die die neuen Anforderungen der DSGVO erfüllen. Lässt sich keine Daseinsberechtigung für die vorhandenen Daten finden, müssen diese überarbeitet oder gelöscht werden. Alle bis dato erlangten Ergebnisse müssen dokumentiert werden.  Gehören sie zu den Unternehmen, die personenbezogene Daten auch an Dritte weitergeben, müssen Sie mit eben diesen Dritten einen Auftragsverarbeitungs-Vertrag abschließen. Sollte ihr Dritter seinen Hauptsitz nicht in der EU haben, sind weiter Schutzmaßnahmen notwendig. Vorwiegend sind Cloud-Anbieter sowie Online Marketing Dienstleister von dieser Notwendigkeit betroffen.

Neben den rechtlichen Aspekten übt die DSGVO sich aber auch auf die technischen Instrumente des Online Marketings aus. Eines der wohl am häufigsten genutzten Tracking Instrumente des Online Marketings ist sicherlich Goolge Analytics. Um das Tool auch trotz neuer Verordnung erfolgreich nutzen zu können, sollten Betriebe folgendes bei der Nutzung beachten:

  • Daten anonymisiert sammeln. Unter Zuhilfenahme von anonymizeIP wird die IP-Adresse des Nutzers anonymisiert. Hier gibt es eine detaillierte Anleitung.
  • Der Webseiten-Besucher muss die Möglichkeit bekommen das Tracken seines Surfverhaltens auf der Webseite auszuschalten. Dies ist zum Beispiel durch ein Opt-Out möglich.
  • Alle Webseiten-Besucher müssen darüber in Kenntnis gesetzt werden, dass der Webseiten-Eigentümer Google Analytics nutzt.

Ein weiteres Instrument, dass viele Unternehmen derzeit online nutzen ist das Kontaktformular. Betreibt man zusätzlich noch einen Unternehmensblog mit Kommentarfunktion oder einen Onlineshop mit Formularen, ist es empfehlenswert sein SSL-Zertifikat auf der Webseite einzubauen. SSL ist ein hybrides Verschlüsselungsprotokoll. Dieses Protokoll generiert die sichere Übertragung von Daten im Internet. Alle betroffenen Daten werden durch das Verschlüsselungsprotokoll verschlüsselt, um so die Sicherheit zu erhöhen.

Als letztes Instrument soll an dieser Stelle auf die Social Media Buttons und Plugins auf Webseiten eingegangen werden. Es ist zu beachten, dass auch die Like- und Teilen Buttons auf Plugins sind. Plugins speichern viele Daten, vom Namen bis zur IP-Adresse. Dadurch sammelt vor allem der Likebutton auf Facebook viele Daten. Um sich datenschutzrechtlich abzusichern, sollte auf die Social Media Buttons, vorrangig auf die hauseignen, verzichtet werden. Alternativ kann man stattdessen das datenschutzkonforme Plugin Shariff nutzen. Es ist bekannt durch seine rechtlich einwandfreie Nutzbarkeit.

Natürlich gibt es über die hier vorgestellten Handlungsempfehlungen zum Umgang mit der DSGVO im Online Marketing noch zahlreiche weitere Möglichkeiten, die neue Verordnung erfolgreich und rechts-konform zu etablieren. Die Aufzählung würde an dieser Stelle aber den Rahmen dieses Blogs sprengen.

 

Quellen

https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf, Abruf: 18.06.2018, S. 3 ff
https://www.zvw.de/inhalt.datenschutzgrundverordnung-datenschutz-ist-kein-monster.42078682-8a83-4fe3-b6aa-9aec02f5def3.html; Abruf: 20.06.2018, o. S.
http://www.wiso-net.de/document/TAZ__T20181805.5504988; Abruf: 18.05.2018; die tageszeitung, 18.05.2018, S. 7 / Hintergrund Titel: “Datenschutz fehlt der Fun-Faktor”
http://www.wiso-net.de/document/TAZ__T20181805.5506515; die Tageszeitung, 18.05.2018, S. 4 / Hintergrund; Datenschutz als Schreckgespenst
https://de.statista.com/statistik/daten/studie/861808/umfrage/herausforderungen-bei-der-umsetzung-der-dsgvo-in-unternehmen-in-deutschland/; Abruf: 20.06.2018
http://www.absatzwirtschaft.de/herausforderungen-2018-datenschutzgrundverordnung-chance-und-herausforderung-zugleich-118995/; Abruf: 13.06.2018 Herausforderungen 2018: Datenschutzgrundverordnung – Chance und Herausforderung zugleich
https://digitallotsen.ruhr/dsgvo-vs-online-marketing/; Abruf: 13.06.2018 DSGVO vs. Online Marketing – konkrete Handlungsempfehlungen für dich
http://www.wiso-net.de/document/HORA__
0720790820952018060800695%203070706920663
; Abruf: 13.06.2018, S. 29   “Horizont” Nr. 23/2018 vom 08.06.2018
https://t3n.de/news/leistungsschutzrecht-linksteuer-uploadfilter-1086337/; Abruf: 13.06.2018 Vergesst die DSGVO: Das Netz verliert gerade seine Informationsfreiheit
https://www.zdh.de/fileadmin/user_upload/themen/Recht/Datenschutz/Handwerksbetriebe/ZDH_Praxis_Datenschutz_Handlungsempfehlung_Betriebe.pdf, Abruf: 23.06.2018
https://www.gruenderszene.de/business/online-marketing-dsgvo/2, Abruf: 24.06.2018
https://digitallotsen.ruhr/dsgvo-vs-online-marketing/, Abruf: 24.06.2018