Datenschutz im Marketing

DSGVO im Marketing – eine Checkliste

Seit im Frühjahr 2018 die Datenschutzgrundverordnung in Kraft getreten ist, hat sich für Unternehmen im Datenschutz einiges geändert. Dass die DSGVO auch den Marketing-Bereich betroffen hat, sollte klar sein. Aber wurde bereits alles umgesetzt? Wir haben eine Checkliste für das datenschutzkonforme Marketing in Unternehmen zusammengestellt.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2019-07-29

Logo
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Greift die EU-DSGVO auch im Marketing? Welche Daten dürfen im Marketing noch verwendet werden? Und wie sieht es mit dem Datenschutz im Marketing ganz allgemein aus? Damit für Marketers ein reibungsloser Arbeitsablauf möglich ist, sollten sie sich bereits im Vorfeld diese Fragen stellen. Wir haben die passenden Antworten.

Personalisiertes Marketing und die DSGVO

Marketing, vor allem personalisiertes Marketing, läuft über personenbezogene Daten. Sollen also Namen, E-Mail-Adressen, IP-Adressen o.ä. verarbeitet werden, greift hier die DSGVO: Kunden müssen jedoch der Verarbeitung ihrer Daten zustimmen. Je transparenter ein Unternehmen dabei mit dem Umgang der Daten umgeht, umso mehr Vertrauen gewinnen sie so zu den Kunden. Dieser Faktor ist nicht außer Acht zu lassen, denn ganze 57% der Verbraucher vertrauen nicht einmal großen Marken, was den korrekten Umgang mit ihren Daten angeht. Marketing-Abteilungen müssen daher ein großes Stück Vertrauen (wieder) gewinnen – dabei sollten folgende Bereiche gleich zu Beginn in den Fokus rücken:

  • Kontaktformulare auf Webseiten: Webseiten müssen durch ein Sicherheitszertifikat ausreichend verschlüsselt sein (http via TLS 1.3 oder TLS 1.2 mit den sicheren Verschlüsselungsalgorithmen). Werden Kontaktformulare verwendet, dürfen diese nur über solche verschlüsselten Seiten laufen und ausschließlich solche Daten abfragen, die für das jeweilige Anliegen wirklich gebraucht werden (Datensparsamkeit). Der User muss zudem darüber informiert werden, wie seine Daten verarbeitet werden, also z.B., dass seine Daten übertragen und eventuell gespeichert werden.

  • E-Mail-Marketing, Lead-Kampagne und Newsletter: Auch wenn nicht explizit von der DSGVO vorgegeben, empfiehlt sich aus Gründen der Nachweisbarkeit nach wie vor ein Douple-Opt-in-Verfahren. Das heißt konkret: (potenziellen) Kunden dürfen nur Newsletter geschickt werden, wenn diese sich zuvor angemeldet und anschließend in einer darauf folgenden Bestätigungsmail den darin enthaltenen Bestätigungslink für den Erhalt des Newsletters als Zustimmung getätigt haben. Newsletter und andere abonnierte Mails selbst benötigen neben einem vollständigen Impressum am Ende der E-Mail auch einen Abmeldelink (oder Kontaktdaten zur Abmeldung), der es den Interessenten ermöglicht, ihre Einwilligung zum Erhalt des Newsletters für die Zukunft zu widerrufen.

  • Cookie-Nutzung: Auch IP-Adressen und auch sonstige Online-Kennungen (wie Cookies) werden als personenbezogene Daten nach der DSGVO eingestuft. Da die DSGVO die Rechtsunsicherheit zum Thema Cookie-Banner nicht ausgeräumt hat, empfiehlt es sich einen vollständigen Cookie-Banner auf der Website aufzunehmen. Mit Hilfe dieses Banners wird die Einwilligungserklärung des Websitebenutzers zur Nutzung der durch die Cookies erhaltenen Daten eingeholt – ansonsten dürfen z.B. die durch Cookies getrackten IP-Adressen nicht verwendet werden.
    Übrigens: Auf die Verwendung von Tracking-Diensten, wie z. B. Google Analytics, muss in der Datenschutzerklärung auf der Website ausdrücklich verwiesen werden. Zudem müssen die so gewonnen Daten für die Verwendung im Marketing anonymisiert werden.

  • Auftragsverarbeitungsvertrag: Einen AV-Vertrag muss ein Unternehmen laut DSGVO dann abschließen, wenn es personenbezogene Daten zur Verarbeitung an Dritte (Auftragsverarbeiter) weitergibt. Für einen korrekten Datenschutz im Marketing bedeutet das, dass Marketers einen solchen Vertrag mit Google abschließen müssen, sollten sie Google Analytics verwenden.

  • Social Plugins bzw. Social-Share-Buttons: Der Einsatz von Social Plugins ist laut DSGVO nicht mehr zulässig. Der Grund: Die Social-Media-Buttons zum Teilen und Liken übersenden oftmals auch bereits dann Daten über den Website-User an ihre jeweilige Plattform, wenn dieser den Button noch gar nicht betätigt hat. Übrigens muss der Website-User weder bei betreffender Plattform registriert noch eingeloggt sein, damit diese Plugins Daten über ihn sammeln. Umgehen kann man das Problem entweder mit der 2-Klick-Lösung, bei der der Social-Button erst vom User proaktiv aktiviert werden muss oder durch die sog. Shariff-Lösung. Hier wird eine direkte Verbindung zum jeweiligen Social-Media-Netzwerk aufgebaut, wenn der User aktiv auf den angezeigten Button klickt. Bei beiden Lösungen sind die Social-Media-Buttons aber keine direkten Plug-Ins mehr, sondern nur noch Grafiken mit entsprechender Verlinkung.

  • Recht auf Vergessenwerden: Der Kunde hat durch die DSGVO ein Recht auf die Löschung all seiner Daten. Dies ist eine Chance für Unternehmen, denn viele CRMs sind mit kalten Leads überladen. Wollen uninteressierte potenzielle Kunden künftig gelöscht werden, erledigt sich dieses Problem von selbst.

  • Überprüfung von Bestandsdaten: Bereits erhobene Marketing-Daten sollten hinsichtlich dieser Maßnahmen ebenso wie bestehende Mailing-Listen überprüft werden, damit eine Einhaltung des Datenschutzes im Marketing gewährleistet wird.

Marketing-Vorteile durch Datenschutz

Ist die DSGVO für den Marketing-Bereich also eine Hürde? Keineswegs, denn die Daten, die für das Marketing nach Umsetzung all dieser Maßnahmen gewonnen werden, sind quasi Gold wert: Denn so ist ein deutlich erhöhtes nutzerzentriertes Marketing möglich, dem die Kunden ausdrücklich zugestimmt haben und das gezielt ausgespielt werden kann.

Übrigens: Zum DSGVO-konformen Marketing und einem korrekten Umgang mit personenbezogenen Daten gehört es auch, eventuell eintretende Datenschutzverstöße innerhalb von 72 Stunden zu melden. Alle Informationen und ein Leitfaden bei Datenschutzverstöße im Unternehmen gibt’s hier.

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 29. Juli 2019

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr