Lektion 2
Datenschutz: Ihr Business - Ihre Verantwortung
Welche Auswirkung hat die DSGVO auf das Online-Marketing?
Meiner persönlichen Meinung nach wird die DSGVO die Wirtschaftswelt, und speziell die Online-Wirtschaftswelt, nachhaltig verändern. Ein großes Problem stellen vor allem bestimmte Anwälte dar, welche sich auf Abmahnungen spezialisieren. Diese kontaktieren gezielt Unternehmen, welchen den Eindruck erwecken, nicht DSGVO-konform zu arbeiten. Von solchen verlangen sie dann entsprechende Geldbeträge, um von einer Meldung bei der Datenschutzbehörde abzusehen.
Deswegen ist grundsätzlich jeder Vendor und Affiliate von der DSGVO betroffen, da er schwerpunktmäßig mit Daten im Tagesgeschäft umgeht. Der Aufbau einer Kunden- und Interessentenliste steht im Mittelpunkt des Handelns eines Online-Unternehmens. Da es sich hierbei um personenbezogene Daten handelt und Anwälte sowie Endverbraucher die DSGVO auf dem Radar haben, wird nach meiner Einschätzung sehr häufig medienwirksam abgemahnt und “bestraft” werden.
Hinweis: Das Bild, das ich persönlich von der Zukunft habe, ist, dass die “Landschaft der Unternehmer und Selbstständigen” “professionalisiert” und somit “bereinigt” wird von denjenigen, die nicht EU-verordnungskonform arbeiten können oder wollen. Denn die Umsetzung dieser EU-Verordnung erfordert viel Zeit, Geld und Energie. Die von vielen Firmen betriebene Praxis des Datensammelns, wird mit einem extrem großen Risiko behaftet sein.
Hinweis: Theoretisch sind Firmen, die sich im EU Ausland befinden, für die hiesigen Datenschutzbehörden schwerer zu “erreichen”, aber dennoch sind sie ebenfalls von diesen Gesetzen betroffen. Ob es hier tatsächlich einen erhöhten “Schutz” vor den EU-Behörden gibt, das wäre ein erheblicher “Wettbewerbsvorteil” für solche Auslandsfirmen, wage ich zu bezweifeln. Schließlich sind die Behörden der Welt international sehr gut vernetzt. In unserem Unternehmen legen wir deswegen größten Wert darauf, dem strengen EU Datenschutzstandard gerecht zu werden und wir vertrauen dabei darauf, dass dies von Kunden und Partnern honoriert wird.
Wo Ihre Verantwortung beginnt
Als Vendor oder Affiliate sorgen Sie dafür, dass Interessenten und Käufer auf Ihre Webseite kommen - sei es auf Ihre “normale” Webseite oder eine Landingpage. Hierbei gilt: Ab dem Zeitpunkt, an dem Sie personenbezogene Daten erheben, beginnt Ihre Verantwortung, da Sie Zweck und Mittel der Datenverarbeitung bestimmen. Dies macht Sie dann automatisch zum Verantwortlichen und somit auch haftbar.
Möglicherweise verwenden Sie Tracking Tools, wie zum Beispiel Google Analytics oder auch Plugins, die Ihnen helfen, das Kundenverhalten auf der Webseite zu analysieren. Ich rate Ihnen bei der Verwendung solcher Tools dringend dazu, abzuklären, inwieweit personenbezogene Daten verarbeitet werden. Falls die Verarbeitung keine Anonymisierung der Daten am Anfang beinhaltet, brauchen Sie eine stichhaltige Berechtigungsgrundlage gemäß Artikel 6 DSGVO, was typischerweise eine Einwilligung des Betroffenen ist.
Hinweis: Das Thema “Tracking”, beispielsweise über Cookies, wird über die die DSGVO ergänzende E-Privacy Verordnung geregelt.
Für die von Ihnen verarbeiteten Daten Ihrer Kunden und Interessenten sind Sie der Verantwortliche, sobald Sie diese beispielsweise zur Eintragung in eines Ihrer Opt-In Formulare überzeugt haben. Für gewöhnlich hat ein Unternehmen aber auch Mitarbeiter. Deren personenbezogene Daten verarbeiten Sie ebenso - natürlich mit gesetzlich untermauerter Berechtigungsgrundlage. Mehr dazu später.
Sie haben nun zur Umsetzung der DSGVO-Konformität folgende Dinge zu erledigen. Hier eine Übersicht:
- Suchen Sie in Ihrem Kontaktnetzwerk oder durch Recherche einen zertifizierten Datenschutzbeauftragten. Es ist richtig, dass Sie nicht unbedingt einen “offiziell bestellten” brauchen, wenn Ihr Unternehmen nicht in die Pflichtkategorien fällt, aber mit einem “Coach” kommen Sie schneller durch diese Thematik und zu einem brauchbaren Ergebnis.
- Verarbeitungsverzeichnis erstellen: Machen Sie eine Bestandsaufnahme bezüglich der Tätigkeiten in Ihrem Unternehmen, bei denen Daten verarbeitet werden. Hier empfiehlt sich eine Tabelle, die die Datenkategorie (Mitarbeiterdaten, Kundendaten, etc.), den Zweck der Verarbeitung, die Berechtigungsgrundlage (gem. Art. 6 DSGVO), Empfänger der Daten, Löschfristen, Übermittlung an Drittstaaten, gemeinsame Verantwortliche (falls Sie zusammen mit einem Partnerunternehmen Zweck und Mittel der Datenverarbeitung bestimmen) und die Datensicherheitsmaßnahmen auflistet. Das Verarbeitungsverzeichnis muss so ausgestaltet sein, dass es den gesetzlichen Anforderungen aus Art. 5 Abs. 2 (»Rechenschaftspflicht«) sowie den Art. 24 und 30 DSGVO genügt.
- Arbeiten Sie nach Privacy by Design: Hierbei stellen Sie im Wesentlichen den Datenschutz bereits bei der Entwicklung von neuen Produkten in den Mittelpunkt.
- dentifizieren Sie alle externen Partnerfirmen, denen Sie Daten schicken (z.B. an E-Mail Marketinganbieter wie Klick-Tipp) und kümmern Sie sich darum, dass Sie mit ihnen Auftragsverarbeitungsverträge unterschreiben. In der Regel haben die Anbieter eigene AV-Verträge vorbereitet, die sie Ihnen auf Anfrage zukommen lassen.
- Definieren Sie standardisierte Prozesse in Ihrem Unternehmen zur Wahrung der Betroffenenrechte. Diese sind das Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit von Daten, sowie Widerspruch, Widerruf einer Einwilligung, Einschränkung der Verarbeitung und das Recht, keinem Profiling unterworfen zu sein.
- Erarbeiten Sie mit Ihrem Datenschutzbeauftragten die TOMs (technische und organisatorische Maßnahmen), die Sie in Ihrem Unternehmen benötigen, um konform zu werden.
- Machen Sie eine Liste von möglichen Datenschutzvorfällen, die Ihnen passieren können (z.B. Hackerangriff) und überlegen Sie, wie Sie sich davor schützen können und mit welchen Maßnahmen Sie reagieren würden. Informationen über typische Schwachstellen in IT-Systemen finden Sie beispielsweise über diesen Link: https://www.it-daily.net/analysen/14363-die-5-groessten-it-security-schwachstellen-studie
- Schaffen Sie Meldeprozesse in Ihrem Unternehmen, die genau definieren, wie Sie Datenschutzvorfälle innerhalb von den vorgeschriebenen 72 Stunden der Aufsichtsbehörde melden. Auch bei den Betroffenen haben Sie sich zu melden, falls diese in deren Rechten und Freiheiten durch den Vorfall beeinträchtigt werden können.
- Erstellen Sie eine Datenschutzstrategie für Ihr Unternehmen. Hierbei geht es insbesondere darum, dass die Umsetzung der bisher aufgezählten Punkte von der Unternehmensführung als Ziel gesehen wird, welches genauso wichtig ist wie Umsatz- oder Gewinnziele. Rechtskonformer Datenschutz muss aus Sicht des Gesetzgebers Chefsache sein. Erstellen Sie als Geschäftsführer schriftlich eine Unternehmensrichtlinie, in der Sie den Datenschutz als Unternehmensziel definieren. Diese sollte spezifisch sein und von Ihnen mit Datum unterschrieben werden, sodass Sie der Behörde gegenüber belegen können, dass Sie den Datenschutz frühzeitig mit dem nötigen Ernst angehen.
Wenn Sie Vendor oder Affiliate sind, gewinnen Sie einen wirtschaftlichen Wert durch die personenbezogenen Daten Ihrer Kunden. Daher ist es ratsam, eine offensive strategische Haltung im Bereich des Datenschutzes in Ihrem Unternehmen einzunehmen. Praktisch gesehen sollten Sie hierbei in Ihrer Unternehmensstrategie immer darauf achten, dass Ihre Prozesse auf DSGVO-Konformität, insbesondere bezüglich Art.5 DSGVO (die 7 Grundsätze) überprüft werden, bevor Sie einen neuen Prozess im Unternehmen etablieren. Dies gilt natürlich auch retrospektiv für bereits bestehende Prozesse.
Wann Sie eine Einwilligung Ihrer Besucher benötigen
Eine informierte, proaktive und zweckgebundene Einwilligung ist eine anerkannte Berechtigungsgrundlage für eine Datenverarbeitung. Viele Datenverarbeitungen, wie zum Beispiel die Abwicklung eines Kaufs oder nach meinem Einschätzen der E-Mail-Versand des Verkäufers direkt an seinen Kunden, bedürfen keiner gesonderten Einwilligung (Dies ist Ihre persönliche Risikoabwägung: Wenn Sie absolut sichergehen wollen, holen Sie sich die Einwilligung Ihres Interessenten beim Optin explizit über eine unangehakte Checkbox ab. Sie können allerdings auch mit Ihrem berechtigten Interesse (Art. 6 (1) lit. f DSGVO i.V.m. ErwG 47 a.E. – Direktwerbung an Kunden ist berechtigtes Interesse) argumentieren. Handelt es sich aber um einen Interessenten, der noch kein Kunde ist, so würde ich unbedingt mit rechtsgültigen Einwilligungen arbeiten.
Hinweis: In manchen Fällen kann auch personalisierte Werbung (insbesondere E-Mail Marketing) von Behörden, Gerichten und Betroffenen als “Profiling” eingestuft werden. Das weiß ich deswegen, weil ich dies in manchen Gesprächen mit Datenschutzbeauftragten so mitbekommen habe, die selbst dieser Ansicht waren und ihre Mandanten auch dahingehend beraten. Wie schon erwähnt, ist meine persönliche Einschätzung, dass personalisierte Werbung kein Profiling darstellt, da es in seiner rechtlichen Auswirkung den Betroffenen nicht beeinträchtigt oder einschränkt.
Es besteht die Möglichkeit, individuelle Einwilligungstexte mit Checkboxen auf dem Digistore24 Bestellformular einzufügen. Eine genaue Anleitung finden Sie hier:
https://docs.digistore24.com/knowledge-base/bestellformular-einrichten-und-anpassen/#4-dem-bestellformular-individuelle-eingabefelder-hinzufuegen
Datenverarbeitungen, die Sie durchführen, aber vielleicht nicht auf dem Schirm haben
Wichtig ist, dass Sie nicht nur für offensichtlich gesammelte personenbezogene Daten verantwortlich sind, wie z.B. eine E-Mail-Adresse. Sie müssen auch daran denken, dass Sie möglicherweise durch Widgets und Pixel-Daten die IP-Adresse tracken und verarbeiten (dies gehört ebenso in Ihr Verarbeitungsverzeichnis).
Durch die Social Media Widgets von Xing, LinkedIn, Pinterest, Facebook und Co, werden bereits beim Betreten der Webseite Daten verarbeitet - egal, ob der Webseitenbesucher dies möchte oder nicht. Das ist allerdings nicht datenschutzkonform, wenn hierbei (nicht anonymisierte) personenbezogene Daten verarbeitet werden.
Außerdem besteht bei dem häufig eingesetzten Facebook Pixel Handlungsbedarf.
Dieser trackt den Webseitenbesucher, damit Sie diesem spezielle Werbung gemäß deren Interessen ausspielen und auch den Erfolg messen können.
UNBEDINGT BEACHTEN
Achten Sie bitte auch darauf, dass Sie auch einen Auftragsverarbeitungsvertrag mit Ihrem Hostingprovider abschließen, falls Sie den Server, auf dem die Daten Ihres Unternehmens gespeichert und verarbeitet werden, nicht selbst betreiben.
Was Sie überprüfen und in Ihr Verarbeitungsverzeichnis aufnehmen sollten
Nehmen Sie eine Prüfung Ihrer Webseite, Landingpage etc. vor und schauen Sie sich genau an, was Sie alles eingebunden haben und auch, wohin Daten übertragen werden. Vergessen Sie hier bitte nicht Ihren Newsletter oder das Kontaktformular. Weiter unten haben wir eine Checkliste für Sie bereitgestellt, die Sie dabei unterstützen soll.
Kontrollieren Sie, ob der Hinweis zu Google Analytics entsprechend in Ihrer Datenschutzerklärung enthalten ist, wenn Sie es eingebunden haben. Mehr zum Thema Datenschutzerklärung erfahren Sie im nächsten Kapitel.
Mit dem kostenlosen Wordpress-Plugin Sharrif (meines Wissens nach kollidiert es nicht mit Digimember) können Sie das Problem des automatischen Trackings lösen. Der Webseitenbesucher muss durch dieses Plugin selbst entscheiden, ob seine Daten für die verschiedenen sozialen Netzwerke getrackt werden dürfen.
Wenn der Nutzer Ihre Seite besucht, muss er über die datenschutzrechtlichen Konsequenzen des Facebook Pixels verständlich unterrichtet werden. Das Tracking bzw. die Speicherung seiner Daten, seine Rechte als Betroffener, all das muss der Besucher zu einsehen können, bevor das Tracking aktiv wird. Der Nutzer muss also zuerst zustimmen, bevor der Code aktiviert werden darf. Dies könnte durch ein Pop-Up gelöst werden.
Downloads / Lernmaterialien
Checkliste: was Sie überprüfen müssen
Cookie Optins erstellen mit Cookie Script
Wordpress Plugin für Social Media Widgets
Übersicht Lektionen
Wechseln Sie schnell und bequem zu allen Lektionen des Kurses
Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.
