Am 25.05.2018 tritt die DSGVO in Kraft
Die Flut an neuen Pflichten für datenverarbeitende Unternehmen durch die EU-DSGVO ist immens. Über Sinn und Zweck lässt sich trefflich streiten. Tatsache ist, dass die neue DSGVO das Online Marketing nicht erleichtert. Die Menge an Dokumentations- und Informationspflichten ist auf den ersten Blick erschreckend. Neben der traditionellen Datenverarbeitung sollten Unternehmen besonders die Datenerfassung Ihrer Webseite und das E-Mail Marketing (Newsletter) auf den Prüfstand stellen. Die DSGVO ist bereits im Mai 2016 in Kraft getreten und ist verbindlich, ausnahmslos für alle Unternehmen ab dem 25. Mai 2018 anzuwenden. Die Übergangsfrist ist dann abgelaufen.
Das überaus umfangreiche Ordnungswerk der EU-
zielt besonders auf große datenverarbeitende Unternehmen ab. Die damit auch im besonderen Focus stehen, da bis zu 4% des weltweiten Umsatzes oder 20 Millionen Euro bei schweren Verstößen als Strafe verhängt werden können.Aber auch in kleineren und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorgehalten werden um sich vor Abmahnungen und Bußgeldern zu schützen. Es gilt der Grundsatz: Die Einhaltung des Datenschutzes muss nachgewiesen werden können. Die Industrie und Handelskammern und auch der Zentralverband des deutschen Handwerks versuchen hier umfassend aufzuklären.
Mit Skepsis sind die vielen kostenpflichtigen Leitfäden und Angebote aus windigen Internet Marketer Quellen zu sehen. Die Marketer versuchen aus der aktuellen Unsicherheit vor dem 25.03.2018 den flotten Euro zu machen. Das Internet ist voll mit kostenpflichtigen Angeboten ( Leitfaden DSGVO ) bis zum alles totschlagenden E-Book als letzte Rettung.
Lassen Sie sich hiervon nicht verunsichern, denn alle wichtigen Aspekte des DSGVO sind auch in offiziellen Kanälen sauber nachzulesen. Gerade der ZDH hat das neue DSGVO sehr verständlich aufgedröselt.
DSGVO » Auswirkungen auf das Online Marketing
Neben den Datenschutzvorschriften im allgemeinen Geschäftsverkehr betrifft das Regelwerk der DSGVO natürlich das Online Marketing der Unternehmen. Im Mittelpunkt steht dabei die Webseite als zentrales Instrument des Content-Marketing sowie das E-Mail-Marketing mit dem klassischen Newsletter. Als Grundregel sollte man sich verinnerlichen das Besucher der Homepage, in einer klaren Art und Weise, über jegliche Art der Datenerhebung zu informieren sind. Dies geschieht typischer Weise auf der von überall zugänglichen Seite Datenschutz. Ein besonderes Augenmerk gilt den Cookies. Daten, die über einen Cookie vom Webseitenbesucher gesammelt werden, weisen in aller Regel einen Personenbezug auf, da sie sich (mit vertretbarem Aufwand) einer bestimmten Person zuordnen lassen.
Cookies und DSGVO
Für das Sammeln von Daten durch Cookies gelten folgende Voraussetzungen:
- Die Datenerhebung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
- Die Datenerhebung für die Erfüllung eines Vertrages erforderlich ist
- Die Datenerhebung im öffentlichen Interesse ist
- Die Datenerhebung im berechtigten Interesse des Verantwortlichen oder Dritten ist.
- Die Datenerhebung im besonderen Interesse des Besucher ist
Für alle diese Voraussetzungen gilt:
Der Besucher muss über die Datenerhebung durch Cookies informiert werden und er muss einwilligen. Ein Cookie Hinweis in Form eines Pop-Up, beim Betreten der Webseite, ist also obligatorisch, solange die DSGVO in dieser Form Bestand hat und Cookies zum Einsatz kommen, die über die Session Funktionalität hinausgehen .
[space_box id=““ height=“10″][/space_box]
Möglicherweise wird diese Regelung in einer zukünftigen Fassung wegfallen da solche Pop-Up durchaus belästigen und der Einsatz von Cookies dann als allgemeines Wissen beim Betreten einer Webseite vorausgesetzt wird.
Datenschutzseite und DSGVO
Auch die bereits verpflichtende Datenschutzseite sollte unbedingt auf den Prüfstand gestellt werden. Hier muss der Besucher umfassender als bisher über die Datenerhebung auf der Website informiert werden. Alle Skripte, Cookies und Formulare die Daten erfassen oder weiterleiten müssen transparent erklärt werden:
- Datenschutzerklärung für die Log-Dateien auf dem Server
- Die Verschlüsselte Datenübertragung der Webseite durch SSL
- Die Datenerhebung durch Kontaktformulare
- Datenschutzerklärung für evtl Kommentarfunktionen
- Hinweis auf einen Newsletter (falls verwendet)
- Datenschutzerklärung für Web Fonts (nicht nur für Google Web Fonts)
- Datenschutzerklärung für Google Maps (falls verwendet)
- Datenschutzerklärung für Social Buttons (Gilt nur für Buttons die Daten per Script weiterleiten)
- Datenschutzerklärung für YouTube (falls verwendet)
- Datenschutzerklärung für Google Analytics (falls verwendet, auf IP Anonymisierung achten)
- Datenschutzerklärung für andere Auswerte- und Tracking-Tools (falls verwendet)
- Datenschutzerklärung für Google AddWords (falls verwendet)
- Datenschutzerklärung für Amazon Partnerprogramm (falls verwendet)
- Datenschutzerklärung für Facebook Tracking Pixel (falls verwendet)
- Hinweis auf Recht für Auskunft, Berichtigung, Löschung und Sperrung von Nutzer Daten (falls erhoben)
- Bei mehr als 10 datenverarbeitenden Personen im Unternehmen ist ein Hinweis auf den Datenschutzbeauftragten obligatorisch
Allgemein sollte man folgende Regel beachten:
Auf der Datenschutzseite muss alles transparent und verständlich erklärt werden was mit der Erhebung von Nutzerdaten in Verbindung zu bringen ist.
[space_box id=““ height=“20″][/space_box]
Newsletter und DSGVO
Dem Newsletter ist als Marketing Instrument, mit dem Inkrafttreten der DSGVO am 25.05.2018, besondere Aufmerksamkeit zu widmen um gesetzeskonform zu bleiben. Die DSGVO soll ein EU einheitliches Regelwerk zum Schutz personenbezogener Daten schaffen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine natürliche Person beziehen. Entscheidend ist, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Bei Daten, die typischerweise bei einer Newsletter-Anmeldung abgefragt werden (wie Name und E-Mail-Adresse), liegt solch ein Personenbezug immer vor. Damit ändert sich durch die DSGVO nichts im Vergleich zur bisherigen Rechtslage in Deutschland.
Besonders interessant ist der Art. 95 DSGVO. Danach gilt der § 7 Abs. 3 UWG als „besondere Regelung“ auch nach dem 25.05.2018. Newsletter-Werbung ist damit im Rahmen bestehender Kundenverhältnisse weiterhin ohne Einwilligung möglich.
Um Bestandskunden auch ohne Einwilligung Newsletter zukommen zu lassen, müssen die Voraussetzungen des § 7 Abs.3 UWG vollständig eingehalten werden. Die Zusendung ist zulässig, wenn:
- Der Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen E-Mail Adresse erhalten hat.
- Der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet.
- Der Kunde der Verwendung nicht widersprochen hat.
- Der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann.
Wer absolut sicher gehen will sollte die Einwilligung in E-Mail-Werbung bei Aufnahme einer neuen Geschäftsbeziehungen nach dem 25.05.2018 ausdrücklich einzuholen. Zu beachten ist, dass die beworbene Person jederzeit die Möglichkeit hat, der Verwendung, den sie betreffenden Daten, zu widersprechen (Newsletterabmeldung).
Was die DSGVO unter einer Einwilligung versteht, wird in Art. 4 Abs. 11 DSGVO eindeutig festgelegt. Danach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung. Auf deutsch: Die Einholung der Einwilligung zum Newsletterempfang hat durch eine eindeutig bestätigende Handlung zu erfolgen (Opt-In). Etwa indem der mögliche Adresat ein nicht vorangekreuztes Kästchen anklicken muss. Bereits vorangekreuzte Kästchen / vorausgewählte Dropdowns sind unzulässig.
Der Art. 7 DSGVO gibt weitere formelle und materielle Anforderungen an eine wirksame Einwilligung vor. Der Webseitenbetreiber muss nachweisen, dass der Interessent in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat (Dokumentationspflicht). Wie der Nachweis der Einwilligung konkret zu erbringen ist, lässt die Vorschrift schlauerweise offen. Hier ist man sich wohl bewusst, das die technische Umsetzung, gerade für kleinere Unternehmen eine nicht zu nehmende finanzielle Hürde darstellt. Fakt ist aber dass, das Opt-in-Verfahren nicht ausreicht! Hier gibt es bereits Gerichtsentscheidungen die das klar verneinen.
Die derzeit rechtssicherste Möglichkeit eine beweisbare Einwilligung einzuholen ist das Douple-Opt-in Verfahren.
Beim Double Opt-in Verfahren gibt der User zunächst durch Klicken eines Feldes oder das Setzen eines Häkchens an, dass er zukünftig per Mail Informationen erhalten möchte. In einem zweiten Schritt wird eine Bestätigungsmail an die hinterlegte Adresse gesendet. In dieser Mail muss der Empfänger den Erhalt von Werbe- oder Infomails über den Klick auf einen Bestätigungslink bestätigen. Es besteht hierbei immer noch die Möglichkeit, den Newsletter zu stornieren. Auf diese Weise wird vermieden, dass der Nutzer missbräuchlich für ein Newsletter-Abonnement angemeldet wird oder dass Fehler bei der Adresseingabe dazu führen, dass er keine Nachrichten erhält.
[space_box id=““ height=“10″][/space_box]
Um rechtssicher zu bleiben ist beim Double-Opt-in, wie schon erwähnt, die Dokumentationspflicht DSGVO zu beachten. Datum, Uhrzeit und die IP-Adresse der Eintragung sollten protokolliert und so abgespeichert werden, sodass das Protokoll jederzeit ausgedruckt und notfalls bei Abmahnungen vorgelegt werden kann.
Zusammenfassung » DSGVO und Online-Marketing
Als umfangreichste Aufgabe durch die DSGVO ist sicherlich die unternehmensweite Dokumentations- und Auskunftspflicht zu personenbezogenen Daten zu sehen. Auch das Recht auf Löschung ist schwierig umzusetzen, wenn man nicht weiß wo Daten abgelegt werden.
Die Auswirkungen des DSGVO auf das Online-Marketing der Unternehmen sind überschaubarer. Hier zusammenfassend die wichtigsten Baustellen:
- Ein Cookie Hinweis auf der Webseite ist, Stand 2018, fast immer notwendig
- Die Datenschutzseite ist Pflicht und muss nach obigen Gesichtspunkten geprüft und aktualisiert werden
- Newsletteranmeldung nur noch mit dem Double-Opt-In Verfahren
- Nachweisbarkeit der Newsletteranmeldung und einfache Abmeldung sicherstellen
- Umstellung der Website auf SSL Verschlüsselung (HTTPS-Protokoll)
Bei Beachtung obiger 5 Punkte kann sowohl der Chef als auch, der für Online-Marketing, verantwortliche Mitarbeiter wieder ruhig schlafen.
Nicht vergessen sollte man auch die Archivierungspflicht des E-Mail Verkehrs im Unternehmen.
Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit und ist im Besonderen keine Rechtsberatung / Online-Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes.
[space_box id=““ height=“10″][/space_box]
Sollten Sie Hilfe bei der Umsetzung des DSGVO im Bereich Ihres Online-Marketing benötigen benutzen Sie gerne das Kontaktformular oder rufen uns an.
[space_box id=““ height=“20″][/space_box]
[contact-form-7 id=“6921″ title=“Kontakform Honypot_Seiten“]