Die neue Datenschutz-Grundverordnung DSGVO – Tipps bei der Umsetzung? Teil 2

Im zweiten Teil dieses Blogs möchte ich noch weiter auf konkrete Anforderungen und die zurzeit vorherrschenden Unklarheiten im Rahmen der DSGVO eingehen. Dazu kommen konkrete Tipps für die Umsetzung im Unternehmen. Sie haben den ersten Teil verpasst? Hier geht es zu Teil 1.

Die DSGVO ist nicht nur eine teure Belastung und vermeintliche Schikane für Unternehmen, welche mit Kundendaten umgehen wollen, sondern sie ist auch eine Chance, den Nutzern auf verständliche und wertschaffende Art zu vermitteln, welchen Vorteil er oder sie haben, wenn bestimmte Daten gesammelt und für die Kommunikation zum Kunden oder Interessenten eingesetzt werden. Die Sensitivität an den eigenen Daten kann dadurch zunehmen. Mit der DSGVO kann die eigene Marke gestärkt werden, indem Vertrauen zwischen Unternehmen und Nutzer geschaffen wird. Das erfordert Klarheit, Transparenz, Einfachheit und Authentizität.

Hier einige Tipps, welche für die Speicherung und Nutzung von personenbezogenen Daten für Werbezwecke generell zur Anwendung kommen. Es geht selbstredend nicht nur, aber auch um E-Mail Marketing und die Verwendung von personenbezogenen Daten für die Segmentierung von Zielgruppen und die Ansprache in automatisierten Marketing-Kampagnen. Um einen Interessenten oder Kunden in Zukunft mit Werbung anschreiben zu dürfen, braucht es grundsätzlich eine Einwilligung durch den Empfänger. Die Anforderungen sind wie folgt:

  • Im Sinne der Freiwilligkeit der Einwilligung zur Nutzung personenbezogener Daten ist eine aktive bestätigende Handlung durch den Nutzer erforderlich. Es besteht ein Kopplungsverbot der Einwilligung zu Werbezwecken an die Erbringung von kostenpflichtigen Leistungen durch das Unternehmen. Das würde der Freiwilligkeit widersprechen.
  • Es entsteht eine Rechenschaftspflicht bezüglich der freiwilligen Einwilligung und der erfassten Nutzerdaten. Dies ergibt eine Umkehr der Beweislast zulasten des Unternehmens. Spätestens hier wird man nicht um das Double-Opt-in herumkommen.
  • Der Zweck der Datenverarbeitung muss erläutert werden. Dies beinhaltet auch Angaben, wer über die Einwilligung zur Datenverarbeitung an der Verwendung der Daten berechtigt ist und auf welchem Medium Werbung in Zukunft ausgespielt werden kann.
  • Die Einwilligung muss unmissverständlich Eine elektronische Einwilligung ist erlaubt. Da sie beweisbar sein muss, empfiehlt sich dringend ein Double-Opt-in. Vorangekreuzte Kästchen sind unzulässig, das «Verstecken» der Einwilligung in den AGB ebenso.
  • Ein Hinweis auf das jederzeitige Widerrufsrecht ist Pflicht, daraus ergibt sich auch die Notwendigkeit des Anbringens eines Abmeldebuttons am Ende jeder Mail. Dieser darf nicht auf Landing-Pages enden, wo schikanös die Ernsthaftigkeit der Abmeldung erneut in Frage gestellt wird.
  • Die Kommunikation zum Nutzer für die Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Dies ist der Vertrauensgrundsatz und macht die DS-GVO zur Chance in der Unternehmenskommunikation.

Wie ist mit Daten bzw. der Einwilligung zu verfahren, welche im Vorfeld der DSGVO einer rechtmässigen Einwilligung entsprachen? Grundsätzlich müssen die bisherigen Zusagen den neuen Anforderungen genügen. Es darf angenommen werden, dass nicht alle bisherigen Einwilligungsverfahren einem (nachträglichen) Double-Opt-in unterzogen werden. Der bisherige Empfänger von Werbung wird nicht plötzlich auf ein Double-Opt-in bestehen, nur weil die DSGVO in Kraft ist. Problematisch bleibt aber immer die Beweispflicht in einem Beschwerdefall. Für eCommerce-Anbieter würde eine konkrete Umsetzung des Erfordernisses nach Double-Opt-in eine empfindliche Einbusse der anschreibbaren Empfänger und damit eine Umsatzeinbusse bedeuten. Man wird mit Spannung auf die Haltung der grossen Anbieter warten. Ich verweise auf Teil 1: Unternehmen in der Schweiz werden nicht das primäre Ziel der Aufsichtsbehörden sein, und sie können nur über die Amtshilfe belangt werden. Das gibt Zeit bis zur Übernahme der Bestimmungen im Schweizer Datenschutzrecht per 2020. Vorauseilender Gehorsam empfiehlt sich in einer Risikoabwägung nicht.

Dringend empfohlen wird aber die sofortige Einführung des Double-Opt-in für neue Empfänger in weiser Voraussicht der zukünftigen rechtlichen Anforderungen. Achten Sie dabei auf ein technisches System, das die Berechtigung genau abspeichern und diese Angaben einfach exportieren kann sowie von Beginn weg technisch darauf ausgerichtet ist (pricacy by design and by default).

Was passiert mit Einwilligungen, wenn die Daten über längere Zeit nicht genutzt werden? Wenn personenbezogene Daten über mehr als 18 Monate nicht eingesetzt werden, gilt die Einwilligung gemäss einem deutschen Gerichtsurteil als erloschen. Alte Datenbestände dürfen deshalb nicht irgendwann und nach Belieben wieder angeschrieben werden. Aktive und qualitative Pflege des eigenen Adressbestandes werden zur Pflicht. Hier empfiehlt sich eine (regelmässige) technische Datenvalidierung durch Spezialisten, damit bei Anschrift an die Empfänger der SPAM-Indikator bei den Mail-Providern nicht schon von Beginn weg rot leuchtet, dadurch die Sender-Reputation sinkt und die tatsächliche Zustellrate in der Inbox der Empfänger massiv leidet.

In vielen Fällen besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten im Unternehmen. Dies ist der Fall, wenn regelmässig sensible (Kunden-)Daten verarbeitet werden. Im Dialogmarketing alleine ist das meistens nicht der Fall.

Massnahmen des Behavioral Advertising, insbesondere Targeting Massnahmen an bestimmte Nutzer, sind nicht einwilligungspflichtig, solange die Anonymität der Nutzer durch die Anbieter gewährleistet werden. Die geplante ePrivacy Verordnung mag diese Situation in Zukunft erschweren, so die Befürchtungen der Branche.

Moderne Versand-System tracken aber das Leseverhalten der bekannten und identifizierbaren Empfänger sehr gründlich (Link-Tracking, Scoring von Klick- und Leserverhalten, etc.). Falls diese Informationen zum Beispiel für Lead-Nurturing Aktivitäten oder für die Zielgruppen-Segmentierung verwendet werden, gehen diese Handlungen über das reine Double-Opt-In hinaus. Die Auskunft über die Verwendung der personenbezogenen Daten in der Datenschutzerklärung des Unternehmens schafft Abhilfe.

Was braucht es in Zukunft an konkreten Massnahmen in der Interaktion mit dem Nutzer auf einer Webseite, bei der Verwendung von anonymen Daten (Targeting) und bei der Verwendung von personenbezogenen Daten für die aktive Unternehmenskommunikation, um sich im Datenschutz rechtskonform zu verhalten:

  • E-Mail Marketing: Double-Opt-in für alle elektronischen Werbemassnahmen vom Unternehmen zum Nutzer (Interessent oder Kunde). Alternativ sind Schriftform oder das Telefonat mit Aufzeichnung zulässig.
  • Datenschutzerklärung, welche beschreibt, wie die Erhebung, Verarbeitung und Nutzung personenbezogener Daten abläuft. Darin werden Erklärungen abgegeben:
    • Verwendung von Cookies
    • Funktionsweise der Webseiten-Analyse
    • Weitergabe von Informationen an die vom Nutzer aktivierten Social Media Anbieter
    • Vorgehen bei Gewinnspielen
    • Vorgehen bei der Newsletteranmeldung und -kommunikation
    • Vorgehen bei Downloads über die Webseite bzw. die Datenspeicherung von Kontaktdaten
    • Verwendung der personenbezogenen Daten für Segmentierungsmassnahmen und zielgruppengerechte Ansprache im Rahmen des Bestandskundenmarketing
    • Weitergabe von personenbezogenen Daten an Dritte
    • Angaben zur Auskunft über die Speicherung von personenbezogenen Daten, Berichtigungen, Löschungen und Sperrungen
    • Angabe eines Datenschutzbeauftragten im Unternehmen, an den mach sich im Zusammenhang mit personenbezogenen Daten wenden und Erkundigungen einziehen kann
  • Cookie-Banner auf der Webseite: Darin wird Auskunft gegeben, wie nutzerbezogene Cookies gesetzt werden, wie diese Daten verwendet und analysiert werden und ob bzw. wie die Cookies nach einer Web-Sitzung weiterhin eingesetzt werden. Bei Nichtakzeptanz von Cookies kann der Anbieter dem Nutzer bestimmte Seiten unzugänglich machen. Häufig wird an dieser Stelle auf die Datenschutzerklärung verwiesen.

Alle drei Bereiche erfordern eine aktive Einwilligung des Nutzers. In den letzten Wochen wurden auch Mailings an Kunden verschickt, in denen einfach auf die neue Datenschutzerklärung hingewiesen bzw. verlinkt wurde, ohne Tätigwerden des Empfängers. Dies erscheint mir nicht rechtskonform, selbst wenn die Dienstleistung kostenlos ist. Gerade wenn es um die Analysen von personenbezogenen Daten geht, um das Profiling und die Segmentierung von Kunden für die personalisierte Anspracht, ist die Situation doch viel kritischer als bei der Einholung eines simplen Re-Optins, worin es ja nur um die Zustellung von Werbung geht, aber eben nicht um die Analyse von personenbezogenen Daten.

Die gegenwärtige Diskussion um die neue ePrivacy-Verordnung mag zu einer weiteren Verschärfung bezüglich der Einwilligung von personenbezogenen aber auch der Verwendung von anonymen Daten führen. Der Einfluss des Facebook-Datenskandals auf den Gesetzgebungsprozess wird mit Spannung erwartet. Es gilt mit Interesse zu verfolgen, welche Lobby sich am Schluss durchsetzen wird. Datenschutz wird nicht langweilig. Aber ist er auch durchsetzbar? Und für KMU bezahlbar?

Und abschliessend: Aussagen von Anwälten und anderen Spezialisten zur Umsetzung der DSGVO sind widersprüchlich (und umsatzfördernd). Das resultiert nicht zuletzt aus den unpräzis formulierten Bestimmungen des Gesetzes selbst. Eine unternehmerische Risikoabwägung auf der Basis des oben Beschriebenen hilft; „best-practice“ Verhaltensweisen werden sich herauskristallisieren; Gerichte werden in Musterfällen entscheiden müssen; Schweizer Unternehmen sind nicht auf dem Primärschirm der EU-Behörden; vorauseilender Gehorsam ist ein schlechter Ratgeber; kluges präventives Verhalten und die Evaluation einer geeigneten technischen Infrastruktur allerdings schon.

Urs Thüring, Mayors AG, April 2018


Zurück zur Übersicht

Leave a Reply

You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>