Datenschutz-Akademie » Datenschutz-Wiki » Datenschutz im Marketing

Ein Mann aus der Marketing-Branche setzt seinen Datenschutz mit der Robin Data Software um

Datenschutz im Marketing

Das Inkrafttreten der DSGVO betrifft auch den Marketing-Bereich. Marketing lebt von Daten und wird immer personalisierter, dazu werden auch zunehmend personenbezogene Daten verarbeitet. Die Tendenz zum online Marketing verschiebt sich mehr und mehr, denken Sie nur an Marketing-Maßnahmen wie E-Mail-Marketing, der Auswertung von Websitedaten über Google Analytics, den Einsatz des Facebook Pixels oder das Retargeting. Zudem gibt es neue Gerichtsurteile, welche Marketing-Aktivitäten direkt betreffen, wir geben einen Überblick über Datenschutz-Maßnahmen für die wichtigsten Marketing-Bereiche.

Wichtigste Informationen über den Datenschutz im Marketing

  • Mit Inkrafttreten der DSGVO in 2018 und Gerichtsurteilen zu bspw. Cookies gilt es, im Bereich des online Marketings Neuerungen zu beachten und umzusetzen
  • Auch im Bereich Marketing gilt: die Verarbeitung von personenbezogene Daten in bspw. der E-Mail-Kommunikation muss dabei DSGVO-konform gestaltet sein und entsprechende Maßnahmen dokumentiert werden
  • Die Beschreibung dieser Maßnahmen muss im Verzeichnis von Verarbeitungstätigkeiten abgelegt werden, wir zeigen Ihnen eine Möglichkeit wie Sie dies umsetzen können

E-Mail Marketing und Newsletter

Auch in Zeiten von Social Media ist die E-Mail und der Newsletter ein wichtiger Kommunikationskanal für Unternehmen. Kunden und Interessenten können über diesen Kanal mit Produktinformationen regelmäßig kontaktiert werden, dazu müssen allerdings personenbezogene Daten wie die E-Mail-Adresse erhoben werden, nahezu jeder Newsletter spricht den Empfänger mit personalisierter Ansprache, also Vor- und Nachname an. Die DSGVO erfordert das ein Nachweis dokumentiert wird, dass diese personenbezogenen Daten datenschutzkonform erhoben und verarbeitet werden.

Wie sieht die rechtskonforme Einwilligung zum E-Mail-Marketing aus?

Jedem Marketing-Verantwortlichen ist das Double-Opt-In-Verfahren ein Begriff. Damit stellen Unternehmen sicher, dass Personen der Registrierung zum Newsletter zugestimmt haben. Dabei tragen Interessenten ihre E-Mail-Adresse in das Registrierungsformular des bspw. Newsletters ein und erhalten anschließend eine Bestätigungslink per E-Mail. Mit dem Klicken auf diesen Bestätigungslink erteilt der Interessent dem Unternehmen die rechtskonforme Einwilligung zur Kommunikation.

Welche Bestandteile machen die E-Mail-Kommunikation DSGVO-konform?

Die E-Mail-Kommunikation, wie bspw. der Newsletter muss ein Impressum enthalten und dem Abonnenten die Möglichkeit zur Abmeldung der Kommunikation bieten. Dieser Widerruf zum Erhalt der E-Mail-Kommunikation muss auf dem gleichen Weg, wie zur Anmeldung angeboten werden. In den meisten Fällen bedeutet das die online Abmeldung.

Was ist bei der Verwendung von E-Mail-Adressen von Bestandskunden zu beachten?

Die DSGVO lässt zu, dass E-Mail-Adressen von Bestandskunden für die Eigenwerbung von Produkten und Dienstleistungen verwendet werden können.  Allerdings nur dann, wenn das Unternehmen den Kunden über bspw. das Angebot oder bei Vertragsabschluss darüber informiert hat, der Kunde also die Möglichkeit hatte der E-Mail-Kommunikation zu widersprechen und dies nicht getan hat. Rechtsgrundlage dafür ist das berechtigte Interesse Art. 6 Abs. 1 f  der DSGVO. In diesem Fall muss keine separate Einwilligung vom Kunde eingeholt werden.

Wie muss mit Kontakten umgegangen werden, die vor Inkrafttreten der DSGVO gespeichert wurden?

Die Kommunikation mit Neukunden erfordert immer eine neue Einwilligung über das Double-Opt-In-Verfahren. Insofern Sie Kontakte über das Opt-In-Verfahren kontaktieren, dürfen Sie dies nur, wenn Sie den Zeitpunkt über deren Einwilligung vor dem Inkrafttreten der DSGVO nachweisen können. Ist Ihnen dies nicht möglich, müssen Sie eine erneute Einwilligung einholen und dürfen diese Kontakte erst anschließend wieder kontaktieren.

Was ist bei der Verwendung von E-Mail-Dienstleistern zu beachten?

Die Mehrheit der Unternehmen nutzt  externe Dienstleister bzw. Software-Anbieter für den Newsletter-Versand. In diesem Fall muss ein Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter abgeschlossen werden. Dieser Vertrag gehört in die Datenschutz-Dokumentation.

Was sind die Informationspflichten nach DSGVO?

Die Einwilligung über das berechtigten Interesse muss um die sogenannten Informationspflichten der DSGVO vervollständigt werden. Diese sind in Art. 13 und 14 der DSGVO erläutert und sollen den Besucher über die Erhebung und Verarbeitung der Daten informieren. Gehen Sie in der Datenschutzerklärung auf Ihrer Website insbesondere auf die folgenden Punkte ein:

  • Zweck der personenbezogenen Datenverarbeitung
  • Auskunft über berechtigtes Interesse nach Art. 6 Abs. 1 der DSGVO
  • Speicherdauer der erhobenen Daten
  • Möglichkeit des Widerrufs der Einwilligung
  • Verarbeitung der personenbezogenen Daten über einen Dienstleister

Externer Datenschutzbeauftragter

Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

Datenschutzregeln für Cookies im Marketing

Betreiber von Websites sollten sich mit dem datenschutzgerechten Einsatz von Cookies beschäftigen. In den Cookie-Dateien werden Angaben für Werbezwecke in Profilen gespeichert. Das können Informationen zur verwendeten Hard- oder Software sein, die IP-Adresse, die Bewegungen des Nutzers im Netz, seine Vorlieben, Interessen und sogar die Schuhgröße. Wenn die Cookies Informationen beinhalten, die einen Website-Besucher als „unique user“ identifizieren, gilt für sie die DSGVO.

Wenn Daten zwar dazu dienen, jemanden als Ziel für Werbung zu bestimmen, dabei aber keine identifizierende Daten gespeichert werden, handelt es sich um eine Pseudonymisierung. Pseudonyme Daten sind zwar personenbezogen, aber die Pseudonymisierung ist ein starkes Argument dafür, dass eine Werbemaßnahme zulässig ist. Denn das pseudonyme Profil belastet die Privatsphäre des Nutzers weniger.

Worauf müssen Sie im Marketing bei der Verwendung von Cookies achten?

Betreiben Unternehmen eine Website uns verwenden auf dieser Cookies, müssen Sie auf die Verwendung nicht nur hinweisen sondern auch die Zustimmung für die Nutzung von Cookies einholen. Dazu gibt es zahlreiche Dienstleister die sogenannte „Consent-Manager“ anbieten. Bei der Konfiguration eines Cookie oder Consent-Managers werden Cookies in verschiedene Kategorien eingeteilt. Nicht für jede Kategorie von Cookies muss zwangsläufig eine Zustimmung eingeholt werden. Technisch notwendige Cookies, die bspw. für den Betrieb einer Website maßgeblich notwendig sind können auch ohne Zustimmung verwendet werden. Wohingegen Cookies die zu Marketing- oder Statistikzwecken eingesetzt werden, eine Erlaubnis durch den Besucher voraussetzen.

Was muss bei der Verwendung von technisch notwendige Cookies beachtet werden?

Oft sind Cookies für grundsätzliche Funktionen der Website notwendig, um zum Beispiel die bevorzugte Sprache, Seiteneinstellungen und den Inhalt eines Warenkorbes in einem Online-Shop zu speichern. Solche technisch erforderlichen Cookies, die keine Wiedererkennung eines Website-Besuchers ermöglichen, sind für den Datenschutz nicht relevant. Sie bedürfen keiner informierten Einwilligung.

Für die Verwendung von Cookies, die den Nutzer identifizieren, muss der Betreiber der Website die Einwilligung der Site-Besucher einholen, sich auf die Erfüllung eines Vertrages berufen können oder einen Erlaubnistatbestand gemäß Artikel 6 DSGVO geltend machen. Viele Betreiber setzen große Cookie-Banner ein, die fast die gesamten Inhalte der Webseite verdecken und nur die Möglichkeit bieten, mit einem Ok-Button Cookies zu akzeptieren. Der Europäische Gerichtshof wird Banner in dieser Form wahrscheinlich für unzulässig erklären. Häufig liest man auch Sätze wie „Durch die Nutzung der Website erklären Sie sich mit der Verwendung von Cookies einverstanden“. Solche Formulierungen genügen den Anforderungen der Datenschutzbehörden nicht. Ein Link zur Datenschutzerklärung oder der Cookie-Policy, die alle Pflichtinformationen und Angaben zu den verwendeten Cookies enthält, ist Pflicht.

Was muss bei der Verwendung einwilligungsbedürftiger Cookies beachtet werden?

In einem Positionspapier schreibt die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK), dass eine Einwilligung zum Einsatz von Tracking-Mechanismen und zur Erstellung von Nutzerprofilen gegeben werden müsse. Dies wird durch das Urteil des EuGH vom Mai 2020 bestätigt. Vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von sonstigen Trackern muss also eine informierte Einwilligung des Besuchers eingeholt werden. Zur sicheren Umsetzung holen Websitenverantwortliche diese Einwilligung über einen Einwilligungstext ein, der beim ersten Besuch der Website angezeigt wird.  Der Text muss die erhobenen Daten und deren Verwendungszweck so gut wie möglich beschreiben. Der Nutzer muss den Text mit einer aktiven Handlung bestätigen und dadurch seine Einwilligung abgeben.

Welche Auswirkungen hat das EuGH-Urteil vom 28. Mai 2020 auf die Cookie-Nutzung ?

Der Umgang mit Cookies ist in der DSGVO nicht eindeutig geregelt und sorgte oft für Verwirrung, wenn es um die konkrete Umsetzung auf der Website ging. Ergänzend zur DSGVO ist die sogenannte „Cookie-Richtlinie“ der EU in Deutschland, über den § 15 Abs. 3 Telemediengesetz (TMG) geregelt. Die Cookie-Richtlinie schreibt eine Einwilligung vor, um Cookies verarbeiten zu dürfen. Mit dem Urteil des Bundesgerichtshof (BGH) können sich Website-Betreiber endlich an einer verbindlichen Aussage zum Einsatz von einwilligungsbedürftigen Cookies orientieren.

Die Einwilligung für die Speicherung von Cookies des Nutzers ist nur dann erfüllt, wenn keine vorangekreuzte Kästchen verwendet werden. Das bedeutet der Nutzer muss eine aktive Handlung vollziehen, aktiv auf einen Button  wie bspw. „Alle Cookies akzeptieren“ klicken oder die Kästchen aktiv einzeln anhaken, damit Cookies durch den Website-Betreiber verwendet werden dürfen.

Zudem muss der Seitenbetreiber den Besucher ausreichend informieren und auf das Widerspruchsrecht hinweisen. Kommen Cookies auf einer Webseite zum Einsatz, müssen Sie als Seitenbetreiber über diese in der Datenschutzerklärung informieren. Die Informationen müssen folgendes beinhalten:

  • Die Rechtsgrundlagen für das Verwenden von Cookies
  • Die Verarbeitungszwecke
  • Die Aufbewahrungsdauer
  • Die Möglichkeit zum Widerspruch
  • Die Folgen eines Widerspruchs

Privacy Review – Der Podcast für Datenschützer #12: Datenschutz im Markting

Datenschutz im Marketing bedeutet fair und transparent mit Daten anderer Menschen umzugehen

Darum geht es im Podcast:

Website und Tracking über Cookies, datenschutzkonforme Kommunikation mit dem Kunden, häufige Datenschutz-Fehler in Videokonferenzen, best practive zum Thema Datenschutzerklärung, bei der Verwendung neues Tools und Prozesse gleich auf datenschutzkonforme Lösungen setzen.

Datenschutz im Marketing Checkliste :

  • Verwendung des Double-Opt-In-Verfahrens

    Angabe des Impressums im Newsletter

    Möglichkeit der Abmeldung im Newsletter

    Abschluss des Auftragsverarbeitungstvertrags mit dem E-Mailing-Dienstleister

    Dokumentation der Datenschutz-Maßnahmen und Auftragsverarbeitungsverträge

  • Erstellung Übersicht der verwendeten Cookies

    Einstufung in Kategorien, wie bspw. technisch notwendig, funktional, Marketing

    Einrichtung Consent-Manager auf der Website

    Ergänzung der Datenschutzerklärung

    Dokumentation der Datenschutz-Maßnahmen

Ulrich Hottelet

Das könnte Sie auch interessieren:

Das Lieferkettengesetz (LkSG)

Das Lieferkettengesetz (LkSG) trat am 01.01.2023 in Kraft. Erfahren Sie im Beitrag die aktuellen Regelungen und Pflichten für Unternehmen.
IT-Sicherheitsvorfall

Was tun beim IT-Sicherheitsvorfall?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.

Was ist das TTDSG bzw. TDDDG?

Das TTDSG wurde am 13.05.2024 durch die Angleichung an die EU-Richtlinie zum Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).