Data Protection Academy » Data Protection Wiki » Data protection in marketing

A man from the marketing industry implements his data protection with Robin Data software

Data protection in marketing

The entry into force of the GDPR betrifft auch den Marketing-Bereich. Marketing lebt von Daten und wird immer personalisierter, dazu werden auch zunehmend personenbezogene Daten verarbeitet. Die Tendenz zum online Marketing verschiebt sich mehr und mehr, denken Sie nur an Marketing-Maßnahmen wie E-Mail-Marketing, der Auswertung von Websitedaten über Google Analytics, den Einsatz des Facebook Pixels oder das Retargeting. Zudem gibt es neue Gerichtsurteile, welche Marketing-Aktivitäten direkt betreffen, wir geben einen Überblick über Datenschutz-Maßnahmen für die wichtigsten Marketing-Bereiche.

Wichtigste Informationen über den Datenschutz im Marketing

  • With the entry into force of the GDPR in 2018 and court rulings on cookies, for example, it is important to observe and implement innovations in the area of online marketing.
  • Auch im Bereich Marketing gilt: die Verarbeitung von personenbezogene Daten in bspw. der E-Mail-Kommunikation muss dabei DSGVO-konform gestaltet sein und entsprechende Maßnahmen dokumentiert werden
  • Die Beschreibung dieser Maßnahmen muss im Verzeichnis von Verarbeitungstätigkeiten abgelegt werden, wir zeigen Ihnen eine Möglichkeit wie Sie dies umsetzen können

Content on the topic of data protection in marketing:

Email Marketing and Newsletter

Auch in Zeiten von Social Media ist die E-Mail und der Newsletter ein wichtiger Kommunikationskanal für Unternehmen. Kunden und Interessenten können über diesen Kanal mit Produktinformationen regelmäßig kontaktiert werden, dazu müssen allerdings individual-related data wie die E-Mail-Adresse erhoben werden, nahezu jeder Newsletter spricht den Empfänger mit personalisierter Ansprache, also Vor- und Nachname an. Die DSGVO erfordert das ein Nachweis dokumentiert wird, dass diese personenbezogenen Daten datenschutzkonform erhoben und verarbeitet werden.

What does legally compliant consent to email marketing look like?

Jedem Marketing-Verantwortlichen ist das Double-Opt-In-Verfahren ein Begriff. Damit stellen Unternehmen sicher, dass Personen der Registrierung zum Newsletter zugestimmt haben. Dabei tragen Interessenten ihre E-Mail-Adresse in das Registrierungsformular des bspw. Newsletters ein und erhalten anschließend eine Bestätigungslink per E-Mail. Mit dem Klicken auf diesen Bestätigungslink erteilt der Interessent dem Unternehmen die rechtskonforme Einwilligung zur Kommunikation.

What components make email communication GDPR compliant?

Die E-Mail-Kommunikation, wie bspw. der Newsletter muss ein Impressum enthalten und dem Abonnenten die Möglichkeit zur Abmeldung der Kommunikation bieten. Dieser Widerruf zum Erhalt der E-Mail-Kommunikation muss auf dem gleichen Weg, wie zur Anmeldung angeboten werden. In den meisten Fällen bedeutet das die online Abmeldung.

What should be considered when using e-mail addresses of existing customers?

The GDPR lässt zu, dass E-Mail-Adressen von Bestandskunden für die Eigenwerbung von Produkten und Dienstleistungen verwendet werden können.  Allerdings nur dann, wenn das Unternehmen den Kunden über bspw. das Angebot oder bei Vertragsabschluss darüber informiert hat, der Kunde also die Möglichkeit hatte der E-Mail-Kommunikation zu widersprechen und dies nicht getan hat. Rechtsgrundlage dafür ist das berechtigte Interesse Art. 6 Abs. 1 f  der DSGVO. In diesem Fall muss keine separate Einwilligung vom Kunde eingeholt werden.

How must contacts be handled that were stored before the GDPR came into force?

Die Kommunikation mit Neukunden erfordert immer eine neue Einwilligung über das Double-Opt-In-Verfahren. Insofern Sie Kontakte über das Opt-In-Verfahren kontaktieren, dürfen Sie dies nur, wenn Sie den Zeitpunkt über deren Einwilligung vor dem Inkrafttreten der DSGVO nachweisen können. Ist Ihnen dies nicht möglich, müssen Sie eine erneute Einwilligung einholen und dürfen diese Kontakte erst anschließend wieder kontaktieren.

What should be considered when using email service providers?

Die Mehrheit der Unternehmen nutzt  externe Dienstleister bzw. Software-Anbieter für den Newsletter-Versand. In diesem Fall muss ein Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter abgeschlossen werden. Dieser Vertrag gehört in die Datenschutz-Dokumentation.

What are the information requirements according to the GDPR?

Die Einwilligung über das berechtigten Interesse muss um die sogenannten Informationspflichten der DSGVO vervollständigt werden. Diese sind in Art. 13 und 14 der DSGVO erläutert und sollen den Besucher über die Erhebung und Verarbeitung der Daten informieren. Gehen Sie in der Datenschutzerklärung auf Ihrer Website insbesondere auf die folgenden Punkte ein:

  • Purpose of personal data processing
  • Auskunft über berechtigtes Interesse nach Art. 6 Abs. 1 der DSGVO
  • Storage period of the collected data
  • Möglichkeit des Widerrufs der Einwilligung
  • Verarbeitung der personenbezogenen Daten über einen Dienstleister

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Discover DSB services

Datenschutzregeln für Cookies im Marketing

Betreiber von Websites sollten sich mit dem datenschutzgerechten Einsatz von Cookies beschäftigen. In den Cookie-Dateien werden Angaben für Werbezwecke in Profilen gespeichert. Das können Informationen zur verwendeten Hard- oder Software sein, die IP-Adresse, die Bewegungen des Nutzers im Netz, seine Vorlieben, Interessen und sogar die Schuhgröße. Wenn die Cookies Informationen beinhalten, die einen Website-Besucher als „unique user“ identifizieren, gilt für sie die DSGVO.

Wenn Daten zwar dazu dienen, jemanden als Ziel für Werbung zu bestimmen, dabei aber keine identifizierende Daten gespeichert werden, handelt es sich um eine Pseudonymisierung. Pseudonyme Daten sind zwar personenbezogen, aber die Pseudonymisierung ist ein starkes Argument dafür, dass eine Werbemaßnahme zulässig ist. Denn das pseudonyme Profil belastet die Privatsphäre des Nutzers weniger.

Worauf müssen Sie im Marketing bei der Verwendung von Cookies achten?

Betreiben Unternehmen eine Website uns verwenden auf dieser Cookies, müssen Sie auf die Verwendung nicht nur hinweisen sondern auch die Zustimmung für die Nutzung von Cookies einholen. Dazu gibt es zahlreiche Dienstleister die sogenannte „Consent-Manager“ anbieten. Bei der Konfiguration eines Cookie oder Consent-Managers werden Cookies in verschiedene Kategorien eingeteilt. Nicht für jede Kategorie von Cookies muss zwangsläufig eine Zustimmung eingeholt werden. Technisch notwendige Cookies, die bspw. für den Betrieb einer Website maßgeblich notwendig sind können auch ohne Zustimmung verwendet werden. Wohingegen Cookies die zu Marketing- oder Statistikzwecken eingesetzt werden, eine Erlaubnis durch den Besucher voraussetzen.

What must be observed when using technically necessary cookies?

Oft sind Cookies für grundsätzliche Funktionen der Website notwendig, um zum Beispiel die bevorzugte Sprache, Seiteneinstellungen und den Inhalt eines Warenkorbes in einem Online-Shop zu speichern. Solche technisch erforderlichen Cookies, die keine Wiedererkennung eines Website-Besuchers ermöglichen, sind für den Datenschutz nicht relevant. Sie bedürfen keiner informierten Einwilligung.

Für die Verwendung von Cookies, die den Nutzer identifizieren, muss der Betreiber der Website die Einwilligung der Site-Besucher einholen, sich auf die Erfüllung eines Vertrages berufen können oder einen Erlaubnistatbestand gemäß Artikel 6 DSGVO geltend machen. Viele Betreiber setzen große Cookie-Banner ein, die fast die gesamten Inhalte der Webseite verdecken und nur die Möglichkeit bieten, mit einem Ok-Button Cookies zu akzeptieren. Der Europäische Gerichtshof wird Banner in dieser Form wahrscheinlich für unzulässig erklären. Häufig liest man auch Sätze wie „Durch die Nutzung der Website erklären Sie sich mit der Verwendung von Cookies einverstanden“. Solche Formulierungen genügen den Anforderungen der Datenschutzbehörden nicht. Ein Link zur Datenschutzerklärung oder der Cookie-Policy, die alle Pflichtinformationen und Angaben zu den verwendeten Cookies enthält, ist Pflicht.

Was muss bei der Verwendung einwilligungsbedürftiger Cookies beachtet werden?

In einem Positionspapier schreibt die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK), dass eine Einwilligung zum Einsatz von Tracking-Mechanismen und zur Erstellung von Nutzerprofilen gegeben werden müsse. Dies wird durch das Urteil des EuGH vom Mai 2020 bestätigt. Vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von sonstigen Trackern muss also eine informierte Einwilligung des Besuchers eingeholt werden. Zur sicheren Umsetzung holen Websitenverantwortliche diese Einwilligung über einen Einwilligungstext ein, der beim ersten Besuch der Website angezeigt wird.  Der Text muss die erhobenen Daten und deren Verwendungszweck so gut wie möglich beschreiben. Der Nutzer muss den Text mit einer aktiven Handlung bestätigen und dadurch seine Einwilligung abgeben.

What are the implications of the ECJ ruling of 28 May 2020 on cookie use ?

Der Umgang mit Cookies ist in der DSGVO nicht eindeutig geregelt und sorgte oft für Verwirrung, wenn es um die konkrete Umsetzung auf der Website ging. Ergänzend zur DSGVO ist die sogenannte „Cookie-Richtlinie“ der EU in Deutschland, über den § 15 Abs. 3 Telemediengesetz (TMG) geregelt. Die Cookie-Richtlinie schreibt eine Einwilligung vor, um Cookies verarbeiten zu dürfen. Mit dem Urteil des Bundesgerichtshof (BGH) können sich Website-Betreiber endlich an einer verbindlichen Aussage zum Einsatz von einwilligungsbedürftigen Cookies orientieren.

Die Einwilligung für die Speicherung von Cookies des Nutzers ist nur dann erfüllt, wenn keine vorangekreuzte Kästchen verwendet werden. Das bedeutet der Nutzer muss eine aktive Handlung vollziehen, aktiv auf einen Button  wie bspw. „Alle Cookies akzeptieren“ klicken oder die Kästchen aktiv einzeln anhaken, damit Cookies durch den Website-Betreiber verwendet werden dürfen.

Zudem muss der Seitenbetreiber den Besucher ausreichend informieren und auf das Widerspruchsrecht hinweisen. Kommen Cookies auf einer Webseite zum Einsatz, müssen Sie als Seitenbetreiber über diese in der Datenschutzerklärung informieren. Die Informationen müssen folgendes beinhalten:

  • Die Rechtsgrundlagen für das Verwenden von Cookies
  • The purposes of processing
  • The retention period
  • Die Möglichkeit zum Widerspruch
  • The consequences of an opposition

Privacy Review – Der Podcast für Datenschützer #12: Datenschutz im Markting

Data protection in marketing means dealing fairly and transparently with other people's data

That's what the podcast is about:

Website und Tracking über Cookies, datenschutzkonforme Kommunikation mit dem Kunden, häufige Datenschutz-Fehler in Videokonferenzen, best practive zum Thema Datenschutzerklärung, bei der Verwendung neues Tools und Prozesse gleich auf datenschutzkonforme Lösungen setzen.

Privacy in Marketing Checklist :

  • Email Marketing and Newsletter

    Use of the double opt-in procedure

    Indication of the imprint in the newsletter

    Möglichkeit der Abmeldung im Newsletter

    Conclusion of the order processing contract with the e-mailing service provider

    Dokumentation der Datenschutz-Maßnahmen und Auftragsverarbeitungsverträge

  • Datenschutzregeln für Cookies im Marketing

    Erstellung Übersicht der verwendeten Cookies

    Classification into categories, such as technically necessary, functional, marketing, etc.

    Set up Consent Manager on the website

    Ergänzung der Datenschutzerklärung

    Dokumentation der Datenschutz-Maßnahmen

Ulrich Hottelet
Latest posts by Ulrich Hottelet (see all)

Das könnte Sie auch interessieren:

The Supply Chain Act (LkSG)

Das Lieferkettengesetz (LkSG) trat am 01.01.2023 in Kraft. Erfahren Sie im Beitrag die aktuellen Regelungen und Pflichten für Unternehmen.
Read more
IT security incident

What to do in the event of an IT security incident?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.
Read more

What is the TTDSG or TDDDG?

The TTDSG became the Telecommunications Digital Services Data Protection Act (TDDDG) on 13 May 2024 as a result of the harmonisation with the EU Directive.
Read more