Datenschutzkonformes Online Marketing – Einverständnis der User und anonymisiertes Tracking - gugler* brand & digital

Datenschutzkonformes Online Marketing – Einverständnis der User und anonymisiertes Tracking

21. Februar 2018

Diesen Beitrag in sozialen Medien teilen

Nach jahrelangen Verhandlungen wurde am 14. April 2016 die EU Datenschutzgrundverordnung (DSGVO) beschlossen und gilt für alle Unternehmen, die in Europa tätig sind. Ab 25. Mai 2018 müssen alle neuen Regeln umgesetzt und alle Vorgaben befolgt werden. Da diese Frist immer näher rückt nehmen wir die Auswirkungen der Vorschriften auf das Online-Marketing genauer unter die Lupe. Mit der folgenden Checkliste können sie überprüfen, ob Sie schon DSGVO-konform arbeiten.

Personenbezogene Daten und Pseudonymisierung

Die neue DSGVO hat viele Diskussionen über personenbezogene Daten ausgelöst. Dazu zählen alle Informationen und Daten, die direkt oder indirekt einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können.

Aber was genau sind personenbezogene Daten im Online-Marketing? Dazu gehören Online-Identifier oder Online-Kennungen, sowie Standortdaten und Geolokalisierungsdaten. IP-Adressen und Daten von Cookies können ebenfalls zu personenbezogenen Daten im Sinne der DSGVO gezählt werden. Auch dynamische IP-Adressen, wenn sie von einem Internet Service Provider gespeichert werden, sowie gesammelte Daten über das Online-Verhalten eines Users, die verwendet werden können, um ein Profil zu erstellen, gehören dazu.

Die DSGVO empfiehlt: Pseudonymisierung. Dabei werden personenbezogene Daten so verarbeitet, dass direkt identifizierende Daten von verarbeiteten Daten getrennt werden, damit die Daten keiner natürlichen Person zugeordnet werden können. Eine Ausnahme bildet die Datenverarbeitung für statistische Zwecke.

Um beispielsweise Google Analytics rechtssicher verwenden zu können, müssen IP-Adressen der User anonymisiert werden. Dabei werden die letzten Stellen der IP-Adresse gelöscht, bevor sie von Google gespeichert werden. Somit ist keine eindeutige Zuordnung zu einem Gerät möglich.

Der User muss zustimmen!

Daten zu verarbeiten ist laut der DSGVO grundsätzlich verboten – außer, wenn das Unternehmen einen berechtigten Zweck nachweisen kann und der User dazu sein Einverständnis gegeben hat.

Beim Ersuchen um Einwilligung ist es wichtig, auf 6 Punkte zu achten:

Separat:
Eine Einwilligungserklärung muss von anderen Anforderungen und Bedingungen getrennt sein und sich auf jeweils einen bestimmten Fall beziehen. Dies kann z.B. durch die Option des Ankreuzens von mehreren Kästchen sichergestellt werden. Alle Personen müssen klar darüber informiert werden, welche Daten für welche Zwecke verarbeitet werden.

 Tipp: Fordern Sie für jeden Verarbeitungszweck eine gesonderte Einwilligung ein.

Beispiel:
☐ Mit meiner Bestellung akzeptiere ich die AGB und willige ein, dass meine Daten für Werbezwecke verwendet werden.
Diese Checkbox kombiniert zwei Einwilligungen und bezieht sich daher nicht auf einen bestimmten Fall. Das ist ab Mai in der Form nicht mehr erlaubt.

DSGVO-konform wären zwei getrennte Einwilligungserklärungen:
☐ Mit meiner Bestellung akzeptiere ich die AGB.
☐ Ja, bitte senden Sie mir Informationen zu neuen Produkten, Aktionen und besonderen Angeboten.

Explizit:
Implizite Zustimmungen oder vorausgefüllte Felder sind keine gültigen Einwilligungen. Auch Schweigen oder Untätigkeit gelten nicht als Einwilligung. Nutzer müssen aktiv eine Aktion ausführen, wie z.B. ein Kästchen ankreuzen oder einen Link anklicken. Die ausdrückliche Zustimmung gilt für alle Datenklassen, normale personenbezogene (z.B. E-Mail-Adresse) oder besonders sensible Daten (z.B. Sozialversicherungsnummer)

Achtung! Vorausgefüllte Einwilligungserklärungen, die bereits mit einem Häkchen als Zustimmung versehen sind, stellen keine gültige Einwilligungserklärung dar.

Tipp! Wir empfehlen, dass Verantwortliche auch bei der Verwendung von nicht-sensiblen Daten eine schriftliche Zustimmungserklärung einholen – im Hinblick auf Beweisgründe und Rechenschaftspflicht. Zustimmungserklärungen müssen außerdem in leicht verständlicher Sprache und leicht zugänglicher Form erfolgen.

Spezifisch:
Alle betroffenen Personen und beteiligten Parteien müssen angegeben sein. Eine Einwilligung wird für einen bestimmten Vorgang der Datenverarbeitung gegenüber einer bestimmten Person erteilt, welche eindeutig identifiziert werden muss. Auch beteiligte Dritte müssen genannt werden, andernfalls ist die Einwilligung ungültig.

Freiwillig:
Die Einwilligung darf nur nach freier Entscheidungsmöglichkeit und ohne Zwang stattfinden.

Achtung! Die Freiwilligkeit ist fragwürdig, wenn

  • zwischen dem Verantwortlichen und der betroffenen Person ein Ungleichgewicht besteht, z.B. wenn der Verantwortliche eine Behörde ist
  • die Erfüllung eines Vertrages bzw. die Erbringung einer Dienstleistung von der Zustimmung abhängig ist, obwohl die Zustimmung für die Erfüllung des Vertrages nicht notwendig ist

Dokumentation:
Alle Einwilligungen müssen dokumentiert und aufgezeichnet werden. Bei Einwilligungen, die online erfolgen, sind IP-Adresse, Zeitstempel, Text und URL der Einwilligung zu dokumentieren.

Opt-Out:
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Dieser Vorgang muss so einfach wie die Erteilung der Einwilligung sein.

Jedes Unternehmen, das digital wirbt, verarbeitet Daten. Seien Sie vorbereitet – bei Verstößen gegen die neue Verordnung gelten ab 25. Mai 2018 Höchststrafen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Mit den richtigen Vorkehrungen können diese Strafen vermieden werden.

Wenn Sie sich nicht sicher sind, ob Ihr Online-Marketing DSGVO-konform ist, schreiben Sie uns eine kurze Nachricht und wir helfen Ihnen weiter.

Denise Mallmann

Über Denise Mallmann

Begeistert sich für die Social-Media-Welt und hat in den USA Marketing studiert. Entwickelt gerne innovative Online-Strategien und entdeckt jeden Tag eine neue Möglichkeit, Facebook noch effektiver zu nutzen.

Antwort hinterlassen

Derzeit werden mehr Blog Beiträge geladen
Zurück nach oben