Website Farbe ändern
07141 / 142 19-59 info@agentur-braun.de

Wie DSGVO Ihr Online-Marketing verändert: Strategien und Lösungen

DSGVO im Online-Marketing: Richtlinien und Maßnahmen

21. Mai 2024

Artur Braun - Website Ersteller, Marketing Experte, Gründer und kreativer Kopf der agentur-braun.

Geschrieben von: Artur Braun

Gründer, Marketingexperte und kreativer Kopf der agentur-braun

Die Datenschutz-Grundverordnung (DSGVO) hat weitreichende Auswirkungen auf das Online-Marketing. Seit Mai 2018 gelten strenge Regeln für die Verarbeitung personenbezogener Daten von EU-Bürgern, die auch für kleine Unternehmen relevant sind. Selbst das Setzen von Cookies auf Webseiten oder die Analyse von Nutzerverhalten mit Google Analytics unterliegt den DSGVO Gesetzen im Internet. Eine Datenschutzerklärung und die Einhaltung der Datenschutzgrundsätze sind Pflicht.

In diesem Artikel beleuchten wir, wie die DSGVO das Online-Marketing beeinflusst. Wir erläutern die Rechtsgrundlagen für die Datenverarbeitung und die damit verbundenen Transparenz- und Informationspflichten. Zudem zeigen wir, wie Sie sich auf Anfragen und Widersprüche von Nutzern vorbereiten können. So machen wir Sie fit für die datenschutzkonforme Gestaltung Ihrer Online-Marketing-Aktivitäten.

1. Datenschutzanforderungen im Online-Marketing

1.1 Personenbezogene Daten gemäß DSGVO

Im Bereich des Online-Marketings stellt die DSGVO einige Anforderungen. Das Selbstbestimmungsrecht über die eigenen Daten ist Schutzziel der DSGVO. Als personenbezogene Daten gelten hierbei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei Verstößen gegen das Recht drohen Bußgelder, im Extremfall sind Forderungen in Millionenhöhe möglich.

Grundsätzlich fallen alle Daten unter die personenbezogenen Daten, mit deren Hilfe ein Personenbezug hergestellt werden kann. Artikel 4 der DSGVO spricht dabei von einer Zuordnung einer Person „zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“.

Klassische Beispiele für personenbezogene Daten sind:

  1. Name
  2. Adresse
  3. Telefonnummer
  4. Kreditkarten- oder Personalnummer
  5. Autokennzeichen
  6. Kontodaten
  7. Online-Daten wie IP-Adresse oder Standortdaten

Darüber hinaus fallen auch physische Daten wie das Aussehen sowie Sachverhalte wie die Staats- oder Religionszugehörigkeit oder eine Mitgliedschaft in einem Verein unter die personenbezogenen Daten.

Anonymisierte Daten, bei denen die betroffene Person weder identifiziert noch identifizierbar ist, zählen nicht zu den personenbezogenen Daten. Pseudonymisierte Daten dagegen fallen unter die personenbezogenen Daten, sobald Zusatzwissen vorliegt, mit dessen Hilfe die Daten wieder der ursprünglichen Person zugeordnet werden könnten.

1.2 Nicht-personenbezogene Daten gemäß TTDSG

Seit 1. Dezember 2021 ist zudem das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zu beachten. Dieses soll die Privatsphäre und Vertraulichkeit von Endeinrichtungen schützen, welche Endnutzer verwenden. Dabei ist wichtig: Der Schutzbereich ist weiter, denn er umfasst alle Informationen (personenbezogene wie nicht-personenbezogene) und findet Anwendung bei allen Personen (natürlichen wie juristischen).

Die datenschutzkonforme Verwendung von personenbezogenen Daten ist nur ein Teil des neuen Gesetzes, denn das TTDSG nimmt Bezug auf alle Daten und Informationen von Nutzern – und hierbei steht insbesondere die Erhebung von Daten mittels Cookies im Fokus.

Die aktive Einwilligung von Nutzern zur Erhebung von Daten durch das Setzen von Cookies ist klar geregelt. Nur technisch notwendige Pixel dürfen ohne Einwilligung des Nutzers gesetzt werden. Das TTDSG ändert diese Praxis insofern, als dass die Verwendung von Cookies und Tracking transparenter und eindeutiger abgebildet werden muss.

2. Rechtsgrundlagen für die Datenverarbeitung

2.1 Einwilligung

Die Einwilligung der betroffenen Person ist eine der wichtigsten Rechtsgrundlagen für die Datenverarbeitung gemäß der DSGVO. Sie muss freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich abgegeben werden. Die Einwilligung kann jederzeit widerrufen werden, was zur Folge hat, dass die Datenverarbeitung für die Zukunft unzulässig wird.

Es ist wichtig, dass die Einwilligung aktiv eingeholt wird und nicht etwa durch vorausgefüllte Ankreuzfelder oder Unterlassungen erfolgt. Die Einwilligung muss zudem in einer verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache erfolgen.

2.2 Berechtigtes Interesse

Neben der Einwilligung kann die Datenverarbeitung auch auf der Grundlage eines berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgen. Hierbei muss eine Interessenabwägung zwischen den berechtigten Interessen und den Interessen oder Grundrechten der betroffenen Person vorgenommen werden.

  1. Zunächst muss ein tatsächliches berechtigtes Interesse des Verantwortlichen oder Dritten vorliegen. Dieses Interesse muss rechtmäßig, hinreichend klar artikuliert und gegenwärtig sein.
  2. Die Datenverarbeitung muss zur Wahrung dieses Interesses erforderlich sein. Es dürfen keine milderen Mittel zur Verfügung stehen.
  3. Die Interessen oder Grundrechte der betroffenen Person dürfen nicht überwiegen. Hierbei sind zusätzliche Schutzmaßnahmen zu berücksichtigen.

Beispiele für berechtigte Interessen sind die Direktwerbung, Betrugsbekämpfung, IT-Sicherheit oder die Geltendmachung von Rechtsansprüchen. Die Darlegungslast für das Vorliegen eines berechtigten Interesses liegt beim Verantwortlichen.

2.3 Überprüfung der Rechtsgrundlagen

Bei jeder Datenverarbeitung muss sorgfältig geprüft werden, welche Rechtsgrundlage einschlägig ist. Dazu sollten folgende Schritte durchlaufen werden:

  1. Prüfung der möglichen Rechtsgrundlagen: Zunächst ist zu klären, welche Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Verarbeitung in Betracht kommt.
  2. Prüfung der Voraussetzungen: Wenn die Rechtsgrundlage des berechtigten Interesses gewählt wird, müssen die drei Voraussetzungen (Vorliegen, Erforderlichkeit, Interessenabwägung) sorgfältig geprüft werden.
  3. Überprüfung der Transparenzpflichten: Unabhängig von der Rechtsgrundlage müssen die Informationspflichten gegenüber den Betroffenen eingehalten werden.
  4. Vorbereitung auf Widersprüche: Es sollte vorab geklärt werden, wie im Fall eines Widerspruchs der Betroffenen vorgegangen wird.

Die Wahl der korrekten Rechtsgrundlage und deren sorgfältige Dokumentation sind von zentraler Bedeutung für die Rechtmäßigkeit der Datenverarbeitung.

3. Transparenz- und Informationspflichten

3.1 Anpassung der Datenschutzerklärung

Für die Einhaltung der Transparenz- und Informationspflichten ist die Datenschutzerklärung auf Ihrer Website von zentraler Bedeutung. In dieser müssen Sie eindeutig darlegen, zu welchen Zwecken personenbezogene Daten erhoben und verarbeitet werden. Die Zweckbindung ist hier das A und O – nur durch eine umfassende Aufklärung kann der Nutzer eine informierte Einwilligung erteilen.

Überprüfen Sie daher Ihre Datenschutzerklärung kritisch und passen Sie diese gegebenenfalls an:

  1. Beschreiben Sie konkret die Datenverarbeitungsvorgänge: Erläutern Sie detailliert, welche Daten zu welchen Zwecken erfasst und wie diese weiterverarbeitet werden (z.B. Auswertung von Nutzerverhalten für personalisierte Werbung).
  2. Benennen Sie die Rechtsgrundlagen: Legen Sie für jeden Datenverarbeitungsvorgang die jeweilige Rechtsgrundlage nach Art. 6 DSGVO offen (Einwilligung, berechtigtes Interesse etc.).
  3. Informieren Sie über Betroffenenrechte: Klären Sie die Nutzer über ihre Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch etc. auf.
  4. Aktualisieren Sie regelmäßig: Die Datenschutzerklärung muss stets dem aktuellen Stand der Datenverarbeitung auf Ihrer Website entsprechen.

Seit dem 1. Dezember 2021 ist zudem das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zu beachten. Dieses regelt insbesondere den Einsatz von Cookies und Trackingdiensten. Passen Sie daher Ihre Datenschutzerklärung entsprechend an.

3.2 Gestaltung von Einwilligungstexten

Neben der Datenschutzerklärung müssen Sie für jede Datenverarbeitung, die auf der Rechtsgrundlage der Einwilligung basiert, Einwilligungstexte bereitstellen. Diese müssen bestimmte Anforderungen erfüllen:

  1. Freiwilligkeit: Die Einwilligung muss freiwillig erfolgen, ohne Druck oder Kopplung an andere Leistungen. Ein vorausgefülltes Häkchen reicht nicht aus.
  2. Informiertheit: Erläutern Sie verständlich den Zweck der Datenverarbeitung und die Identität des Verantwortlichen. Verwenden Sie eine klare, einfache Sprache.
  3. Ausdrücklichkeit: Der Nutzer muss durch eine aktive Handlung (z.B. Anklicken) explizit einwilligen. Das Double-Opt-In-Verfahren ist zu empfehlen.
  4. Dokumentation: Sie müssen den Nachweis über die erteilte Einwilligung führen können. Bewahren Sie diese Nachweise auf.
  5. Widerrufsmöglichkeit: Weisen Sie deutlich auf das jederzeitige Widerrufsrecht hin und bieten Sie eine einfache Widerrufsmöglichkeit an.

Achten Sie bei der Gestaltung der Einwilligungstexte penibel auf die Vorgaben der DSGVO. Eine unwirksame Einwilligung kann teure Bußgelder nach sich ziehen. Markieren Sie im Text die DSGVO Gesetze im Internet und wichtige Datenschutzgrundsätze fett.

4. Vorbereitung auf Anfragen und Widersprüche

4.1 Zentrale Anlaufstelle für Betroffenenanfragen

Um Anfragen datenschutzrechtlicher Natur effizient bearbeiten zu können, empfehlen wir, eine zentrale Datenschutz-E-Mail-Adresse wie datenschutz@meinefirma.de einzurichten. Diese sollte in den Datenschutzhinweisen auf der Website und überall dort veröffentlicht werden, wo das Unternehmen seinen Informationspflichten (Art. 13, 14 DSGVO) nachkommt. So können alle Betroffenenanfragen gebündelt und systematisch bearbeitet werden.

4.2 Sorgfältige Prüfung der Anfragen

Es ist wichtig, dass eingegangene Betroffenenanfragen nicht vorschnell und ungeprüft beantwortet oder Daten gelöscht werden. Stattdessen sollte zunächst der Datenschutzbeauftragte bzw. Datenschutzkoordinator die Berechtigung der geltend gemachten Rechte prüfen. Nur so lässt sich eine zügige und rechtlich einwandfreie Bearbeitung sicherstellen.

4.3 Einbindung der relevanten Unternehmensbereiche

Je nach Art der Betroffenenanfrage ist oft die Einbindung verschiedener Unternehmensbereiche erforderlich. Hierfür sollten klare Prozesse und Verantwortlichkeiten definiert werden:

  1. Auskunfts-, Löschungs-, Berichtigungs- und Einschränkungsrecht: Leicht verständliche Anleitungen für den Datenschutzkoordinator und die Fachabteilungen, wie berechtigte Anliegen zu erfüllen sind.
  2. Auskunftsrecht: Vorlage zur Zusammenstellung der auszukunftspflichtigen Informationen wie Datenempfänger, Löschfristen, Verarbeitungszwecke etc.
  3. Datenübertragbarkeit: Technische und organisatorische Maßnahmen für einen sicheren Datentransfer gemäß Art. 20 DSGVO.
  4. Automatisierte Einzelentscheidungen: Prozess zur menschlichen Überprüfung und Berücksichtigung des Betroffenenstandpunkts (Art. 22 Abs. 3 DSGVO).

4.4 Mitteilungspflichten und Widerspruchslisten

Um Mitteilungspflichten nach Art. 19 DSGVO nachkommen zu können, sollten Vorlagen für die Information von Dritten wie Geschäftspartnern oder Auftragnehmern bereitgehalten werden. Gegebenenfalls ist auch eine Vorlage zur Information des Betroffenen über die Datenempfänger sinnvoll.

Für das Widerspruchsrecht gegen Direktwerbung (Art. 21 DSGVO) und das jederzeitige Widerrufsrecht der Einwilligung (Art. 7 Abs. 3 DSGVO) ist es ratsam, Widerrufs- und Widerspruchslisten in den Bereichen Marketing und Analytics zu führen. So lässt sich verhindern, dass widerrufene Personen weiterhin angesprochen oder analysiert werden. Wichtig ist zudem, dass alle Widerrufe und Widersprüche unverzüglich an die zuständigen Stellen weitergeleitet werden.

Fazit

Weitere interessante und hilfreiche Artikel