Lektion 2


Datenschutz: Ihr Business - Ihre Verantwortung

Ihr Fortschritt: 10%

Welche Auswirkung hat die DSGVO auf das Online-Marketing?

Meiner persönlichen Meinung nach wird die DSGVO die Wirtschaftswelt, und speziell die Online-Wirtschaftswelt, nachhaltig verändern. Ein großes Problem werden vor allem bestimmte Anwälte darstellen, welche sich auf Abmahnungen spezialisieren. Diese werden gezielt Unternehmen kontaktieren, welchen den Eindruck erwecken, nicht DSGVO-konform zu arbeiten. Von diesen verlangen Sie dann entsprechende Geldbeträge, um von einer Meldung bei der Datenschutzbehörde abzusehen.


Deswegen ist grundsätzlich jeder Vendor und Affiliate von der DSGVO betroffen, da er schwerpunktmäßig mit Daten im Tagesgeschäft umgeht. Der Aufbau einer Kunden- und Interessentenliste steht im Mittelpunkt des Handelns eines Online-Unternehmens. Da es sich hierbei um personenbezogene Daten handelt und Anwälte sowie Endverbraucher die DSGVO, spätestens durch die Presse, nachdem sie wirksam wird, auf dem Radar haben, wird nach meiner Einschätzung sehr häufig medienwirksam abgemahnt und “bestraft” werden.


Hinweis: Das Bild, das ich persönlich von der Zukunft habe, ist, dass die “Landschaft der Unternehmer und Selbstständigen” “professionalisiert” und somit “bereinigt” wird von denjenigen, die nicht EU-verordnungskonform arbeiten können oder wollen. Denn die Umsetzung dieser EU-Verordnung erfordert viel Zeit, Geld und Energie. Die von vielen Firmen betriebene Praxis des Datensammelns, wird mit einem extrem großen Risiko behaftet sein.


Hinweis: Theoretisch sind Firmen, die sich im EU-fernen Ausland befinden, für die hiesigen Datenschutzbehörden schwerer zu “erreichen”, aber dennoch sind sie ebenfalls von diesen Gesetzen betroffen. Ob es hier tatsächlich einen erhöhten “Schutz” vor den EU-Behörden gibt, das wäre ein erheblicher “Wettbewerbsvorteil” für solche Auslandsfirmen, wage ich zu bezweifeln. Schließlich sind die Behörden der Welt international sehr gut vernetzt. In unserem Unternehmen legen wir deswegen größten Wert darauf, dem strengen EU Datenschutzstandard gerecht zu werden und wir vertrauen dabei darauf, dass dies von Kunden und Partnern honoriert wird.

Wo Ihre Verantwortung beginnt

Als Vendor oder Affiliate sorgen Sie dafür, dass Interessenten und Käufer auf Ihre Webseite kommen - sei es auf Ihre “normale” Webseite oder eine Landingpage. Hierbei gilt: Ab dem Zeitpunkt, an dem Sie personenbezogene Daten erheben, beginnt Ihre Verantwortung, da Sie Zweck und Mittel der Datenverarbeitung bestimmen. Dies macht Sie dann automatisch zum “Verantwortlichen” und somit sind Sie hier auch haftbar zu machen.


Möglicherweise verwenden Sie Tracking Tools, wie zum Beispiel Google Analytics oder auch Plugins, die Ihnen helfen, das Kundenverhalten auf der Webseite zu analysieren. Ich rate Ihnen bei der Verwendung solcher Tools dringend dazu, abzuklären, inwieweit es personenbezogene Daten verarbeitet. Falls die Verarbeitung keine Anonymisierung der Daten am Anfang beinhaltet, brauchen Sie eine stichhaltige Berechtigungsgrundlage gemäß Artikel 6 DSGVO, was typischerweise eine Einwilligung des Betroffenen ist.


Hinweis: Das Thema “Tracking”, beispielsweise über Cookies, wird über die die DSGVO ergänzende E-Privacy Verordnung geregelt.


Für die von Ihnen verarbeiteten Daten Ihrer Kunden und Interessenten sind Sie der Verantwortliche, sobald Sie diese beispielsweise zur Eintragung in eines Ihrer Opt-In Formulare überzeugt haben. Für gewöhnlich hat ein Unternehmen aber auch Mitarbeiter. Deren personenbezogene Daten verarbeiten Sie ebenso - natürlich mit gesetzlich untermauerter Berechtigungsgrundlage. Mehr dazu später.

Sie haben nun zur Umsetzung der DSGVO-Konformität folgende Dinge zu erledigen. Hier eine Übersicht:

  1. Suchen Sie in Ihrem Kontaktnetzwerk oder durch Recherche einen zertifizierten Datenschutzbeauftragten. Es ist richtig, dass Sie nicht unbedingt einen “offiziell bestellten” brauchen, wenn Ihr Unternehmen nicht in die Pflichtkategorien fällt, aber mit einem “Coach” kommen Sie schneller durch diese Thematik und zu einem brauchbaren Ergebnis.

  2. Verarbeitungsverzeichnis erstellen: Machen Sie eine Bestandsaufnahme bezüglich der Tätigkeiten in Ihrem Unternehmen, bei denen Daten verarbeitet werden. Hier empfiehlt sich eine Tabelle, die die Datenkategorie (Mitarbeiterdaten, Kundendaten, etc.), den Zweck der Verarbeitung, die Berechtigungsgrundlage (gem. Art. 6 DSGVO), Empfänger der Daten, Löschfristen, Übermittlung an Drittstaaten, gemeinsame Verantwortliche (falls Sie zusammen mit einem Partnerunternehmen Zweck und Mittel der Datenverarbeitung bestimmen) und die Datensicherheitsmaßnahmen auflistet. Das Verarbeitungsverzeichnis muss so ausgestaltet sein, dass es den gesetzlichen Anforderungen aus Art. 5 Abs. 2 (»Rechenschaftspflicht«) sowie den Art. 24 und 30 DSGVO genügt.

  3. Arbeiten Sie nach Privacy by Design: Hierbei stellen Sie im Wesentlichen den Datenschutz der betroffenen Personen bei der Verarbeitung der Daten in den Mittelpunkt.

  4. Identifizieren Sie alle externen Partnerfirmen, denen Sie Daten schicken (z.B. an E-Mail Marketinganbieter wie Klick-Tipp) und kümmern Sie sich darum, dass Sie mit ihnen Auftragsverarbeitungsverträge unterschreiben. In der Regel haben die Anbieter eigene AV-Verträge vorbereitet, die sie Ihnen auf Anfrage zukommen lassen.

  5. Definieren Sie standardisierte Prozesse in Ihrem Unternehmen zur Wahrung der Betroffenenrechte. Diese sind das Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit von Daten, sowie Widerspruch, Widerruf einer Einwilligung, Einschränkung der Verarbeitung und das Recht, keinem Profiling unterworfen zu sein.

  6. Erarbeiten Sie mit Ihrem Datenschutzbeauftragten die TOMs (technische und organisatorische Maßnahmen), die Sie in Ihrem Unternehmen benötigen, um konform zu werden.

  7. Machen Sie eine Liste von möglichen Datenschutzvorfällen, die Ihnen passieren können (z.B. Hackerangriff) und überlegen Sie, wie Sie sich davor schützen können und mit welchen Maßnahmen Sie reagieren würden. Informationen über typische Schwachstellen in IT-Systemen finden Sie beispielsweise über diesen Link: https://www.it-daily.net/analysen/14363-die-5-groessten-it-security-schwachstellen-studie

  8. Schaffen Sie Meldeprozesse in Ihrem Unternehmen, die genau definieren, wie Sie Datenschutzvorfälle innerhalb von den vorgeschriebenen 72 Stunden der Aufsichtsbehörde melden. Auch bei den Betroffenen haben Sie sich zu melden, falls diese in ihren Rechten und Freiheiten durch den Vorfall beeinträchtigt werden können.

  9. Erstellen Sie eine Datenschutzstrategie für Ihr Unternehmen. Hierbei geht es insbesondere darum, dass die Umsetzung der bisher aufgezählten Punkte von der Unternehmensführung als Ziel gesehen werden; die genauso wichtig sind wie Umsatz- oder Gewinnziele. Rechtskonformer Datenschutz muss aus Sicht des Gesetzgebers Chefsache sein. Erstellen Sie als Chef schriftlich eine Unternehmensrichtlinie, in der Sie den Datenschutz als Unternehmensziel definieren. Diese sollte spezifisch sein und von Ihnen mit Datum unterschrieben werden, sodass Sie der Behörde gegenüber belegen können, dass Sie den Datenschutz frühzeitig mit dem nötigen Ernst angehen.


Wenn Sie Vendor oder Affiliate sind, gewinnen Sie einen wirtschaftlichen Wert durch die personenbezogenen Daten Ihrer Kunden. Daher ist es ratsam, eine offensive strategische Haltung im Bereich des Datenschutzes in Ihrem Unternehmen einzunehmen. Praktisch gesehen sollten Sie hierbei in Ihrer Unternehmensstrategie immer darauf achten, dass Ihre Prozesse auf DSGVO-Konformität, insbesondere bezüglich Art.5 DSGVO (die 7 Grundsätze) überprüft werden, bevor Sie einen neuen Prozess im Unternehmen etablieren. Dies gilt natürlich auch retrospektiv für bereits bestehende Prozesse.

Wann Sie eine Einwilligung Ihrer Besucher benötigen

Eine informierte, proaktive und zweckgebundene Einwilligung ist eine anerkannte Berechtigungsgrundlage für eine Datenverarbeitung. Viele Datenverarbeitungen, wie zum Beispiel die Abwicklung eines Kaufs oder nach meinem Einschätzen der E-Mail-Versand des Verkäufers direkt an seinen Kunden, bedürfen keiner gesonderten Einwilligung (Dies ist Ihre persönliche Risikoabwägung: Wenn Sie absolut sichergehen wollen, holen Sie sich die Einwilligung Ihres Interessenten beim Optin explizit über eine unangehakte Checkbox ab. Sie können allerdings auch mit Ihrem berechtigten Interesse (Art. 6 (1) lit. f DSGVO i.V.m. ErwG 47 a.E. – Direktwerbung an Kunden ist berechtigtes Interesse) argumentieren). Handelt es sich aber um einen Interessenten, der noch kein Kunde ist, so würde ich unbedingt mit rechtsgültigen Einwilligungen arbeiten.

 

Hinweis: In manchen Fällen kann auch personalisierte Werbung (insbesondere E-Mail Marketing) von Behörden, Gerichten und Betroffenen als “Profiling” eingestuft werden. Das weiß ich deswegen, weil ich dies in manchen Gesprächen mit Datenschutzbeauftragten so mitbekommen habe, die selbst dieser Ansicht waren und ihren Mandanten auch dahingehend beraten. Wie schon erwähnt, ist meine persönliche Einschätzung, dass personalisierte Werbung kein Profiling darstellt, da es in seiner rechtlichen Auswirkung den Betroffenen nicht beeinträchtigt oder einschränkt.


Wenn Sie individuelle Einwilligungstexte mit Checkboxen auf dem Digistore24 Bestellformular einfügen möchten, können Sie hier nachlesen:

https://docs.digistore24.com/knowledge-base/bestellformular-einrichten-und-anpassen/#4-dem-bestellformular-individuelle-eingabefelder-hinzufuegen

Datenverarbeitungen, die Sie durchführen, aber vielleicht nicht auf dem Schirm haben

Wichtig ist, dass Sie nicht nur für offensichtlich gesammelte personenbezogene Daten verantwortlich sind, wie z.B. eine E-Mail-Adresse. Sie müssen auch daran denken, dass Sie möglicherweise durch Widgets und Pixel-Daten die IP-Adresse tracken und verarbeiten (dies gehört ebenso in Ihr Verarbeitungsverzeichnis).

Durch die Social Media Widgets von Xing, LinkedIn, Pinterest, Facebook und Co, werden bereits beim Betreten der Webseite Daten verarbeitet - egal, ob der Webseitenbesucher dies möchte oder nicht. Das ist allerdings nicht datenschutzkonform, wenn hierbei (nicht anonymisierte) personenbezogene Daten verarbeitet werden.

Außerdem besteht bei dem häufig eingesetzten Facebook Pixel Handlungsbedarf. Dieser trackt den Webseitenbesucher, damit Sie diesem Interessentenkreis spezielle Werbung gemäß deren Interessen ausspielen und auch den Erfolg messen können.

UNbedingt beachten

Achten Sie bitte auch darauf, dass Sie auch einen Auftragsverarbeitungsvertrag mit Ihrem Hostingprovider abschließen, falls Sie den Server, auf dem die Daten Ihres Unternehmens gespeichert und verarbeitet werden, nicht selbst betreiben.

Was Sie überprüfen und in Ihr Verarbeitungsverzeichnis aufnehmen sollten

Überprüfen Sie Ihre Webseiten

Verweisen Sie auf Google Analytics

Kümmern Sie sich um Social Media Widgets

Facebook-Pixel

download

Downloads / Lernmaterialien

file-text-o

Checkliste: was Sie überprüfen müssen

Cookie Optins erstellen mit Cookie Script

Wordpress Plugin für Social Media Widgets

Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.


www.digistore24.com | ImpressumDatenschutzerklärung