Leitfaden für den Datenschutz im Marketing

Die DSGVO ist seit dem Frühjahr 2018 in Kraft und sie betrifft alle Unternehmensbereiche – somit auch das Marketing. Gerade hier haben neue Gerichtsurteile erneuten Handlungs- und Nachbesserungsbedarf in einigen Bereichen aufgezeigt. Deren Umsetzung sollte als obligatorisch angesehen werden, da es bei deren Missachtung schnell teuer werden kann – denn auch die Bußgelder wurden angepasst.

E-Mails, Blogs und Social-Media: Marketers sind in vielen digitalen Bereichen zu Hause. Dabei wird personalisiertes Marketing immer wichtiger. Dieses ist natürlich nur mit personenbezogenen Daten möglich – eine Umsetzung der DSGVO ist daher Pflicht. Die Anwendung der DSGVO auf die einzelnen Marketing-Bereiche kann auf den ersten Blick etwas unübersichtlich wirken, doch systematisch betrachtet bedarf es lediglich der Umsetzung einiger wichtiger Punkte bzw. der Einführung einiger Standard-Prozesse, um die DSGVO in den Marketing-Alltag zu integrieren. Wir haben die wichtigsten Bereiche für Sie beleuchtet und wissen, worauf Sie achten müssen:

Inhalt des Leitfadens

1. Personenbezogene Daten: Grundlegende Übersicht und eindeutige Verarbeitungsgrundlage

Was fällt alles unter personenbezogene Daten? Welche rechtliche Grundlage rechtfertigt die Verarbeitung personenbezogener Daten? Welche Gründe müssen greifen, damit die Verarbeitung weiter gerechtfertigt werden kann?

2. Daten-Altbestand: Systematische Überprüfung und geltende Rechtsgrundlage

Bei welchen Marketing-Medien bedarf es einer Überprüfung? Dürfen vor der DSGVO verwendete Daten noch im Marketing verwendet werden? Können Daten, die nicht mehr verwendet werden dürfen, reaktiviert werden?

3. Kontaktformulare: Neue Website-Verschlüsselung und relevante Datenverarbeitungsgrundsätze

Welche Verschlüsselung brauchen Kontaktformulare? Nach welchen gesetzlichen Datenverarbeitungsgrundsätzen dürfen personenbezogene Daten überhaupt verarbeitet werden?

4. Newsletter / Kampagnen: Gesetzliches Double-Opt-In und Widerruf-Button

Wie funktioniert ein richtiges Double-Opt-In-Verfahren? Wie muss ein korrekter Widerruf-Button eingebunden werden? Wie ist das vorgeschriebene Impressum in Newslettern umzusetzen?

5. Anmeldeformular: Relevante Inhalte und besondere Hinweise

Welche Inhalte sind in einem datenschutzrechtlich korrekten Anmeldeformular zwingend?  Welche besonderen Hinweise schaffen Transparenz und Vertrauen?

6. E-Mail-Marketing: Wichtiger Auftragsverarbeitungsvertrag und länderübergreifendes Privacy-Shield

Wieso ist ein Auftragsverarbeitungsvertrag mit E-Mail-Versanddienstleistern elementar? Welche Bestandteile braucht ein korrekter Auftragsverarbeitungsvertrag? Rechtsgrundlage für ein Hosting außerhalb der EU (Privacy Shield)? Extra: Muster für einen Auftragsverarbeitungsvertrag

7. Cookie-Nutzung / Tracking: Neues Urteil und dringender Handlungsbedarf

Welche Auswirkungen hat das neue EuGH-Urteil für die Cookie-Nutzung und das Thema Tracking? Welcher konkrete Handlungsbedarf besteht?

8. Targeting: Verbreitete Arten und gesetzliches Verbotsprinzip

Welche Targeting-Arten sind datenschutzrechtlich relevant? Wie kann Targeting trotz des gesetzlichen Verbotsprinzips datenschutzrechtlich unbedenklich eingesetzt werden?

9. Social Plugins: Alte Buttons und neue Lösungen

Was gibt es bei der Einbindung von Social-Share-Buttons zu beachten? Welche Lösungen gibt es für die datenschutzrechtlich korrekte Verwendung von Social-Share-Buttons?

10. Social Media: Unbekannte Datenschutzerklärung und heikle Anfragen

Wie werden Social-Media-Präsenzen datenschutzrechtlich korrekt betrieben? Sonderfall Facebook: Was gibt es hier nach einem Gerichtsurteil zu beachten? Wie können datenschutzrechtlich relevante Inhalte korrekt auf Facebook, Instagram, Twitter, LinkedIn und Xing eingebunden werden?

11. Lead-Löschpolitik: Umfassendes Konzept und gesetzliche Fristen?

Welche personenbezogenen Daten müssen wann gelöscht werden? Was sind die gesetzlichen Fristen? Wie kann ein datenschutzrechtlich korrekter Löschprozess im Unternehmen etabliert werden? Extra: Beispiel eines Löschkonzepts

12. Verfahrensverzeichnis: Zwingende Maßnahmendokumentation und wichtige Inhalte

Verfahrensverzeichnis und technisch-organisatorische Maßnahmen (TOM): Wann sind sie notwendig, wie anzuwenden und was sind die zwingenden Inhalte? Extra: Muster für die korrekte TOM-Dokumentation

13. Website: Relevante Inhalte und kritische Selbstbewertungen

Impressum, Datenschutzerklärung und weitere datenschutzrechtlich relevante Inhalte | Thema Selbstbewertungen: rechtliche Problematik und Lösungsansatz

14. Betroffenenanfragen: Sinnvolle Prozessetablierung und gesetzliche Beantwortungsfristen

Was fällt unter eine Betroffenenanfrage und wie ist damit umzugehen? Gesetzliche Vorgaben beim Umgang mit Betroffenenanfragen | Extra: Step-by-Step-Beispiel eines korrekten Vorgehens bei Betroffenenanfragen

15. Datenschutzpanne: Wichtige Teamsensibilisierung und verfügbarer Notfallplan

Rechtliche Hintergründe von Teamsensibilisierungen | Vorgehen im Datenschutznotfall | Extra: Muster für einen Notfallplan für Datenschutzpannen