Grafik: Bernd Lynen - Fit für den Datenschutz

Fit für den Datenschutz

Wie sich die EU-Datenschutz-Grundverordnung auf das Marketing auswirkt


Die neue EU-Datenschutz-Grundverordnung kommt: Ab Mitte Mai 2018 läuft die Übergangsfrist aus. Das hat tiefgreifende Konsequenzen für den Umgang mit und den Einsatz von Kundendaten. Auch für das Marketing wird sich im Zuge der Umstellung einiges ändern. Dabei bringt die neue Datenschutz-Grundverordnung nicht nur Nachteile, sondern auch Vorteile. Entscheidend ist, dass Unternehmen ihre Aktionen, die Kundendaten betreffen, in Einklang mit den neuen Regeln bringen.


Das kann richtig teuer werden. Ein Empfänger eines Newsletters beschwert sich bei der Datenschutzbehörde, dass er von einem Unternehmen mit E-Mail-Werbung „zugespamt“ werde. Niemals habe er seine Zustimmung für die Zusendung von Infopost per Mail erteilt. Nun ist das Unternehmen in Zugzwang. Woher stammt diese E-Mail-Adresse? Ist es ein Bestandskunde? Ist es ein Empfänger, der über eine Werbeaktion gewonnen wurde? Liegt eine Zustimmung des Empfängers zur Nutzung seiner E-Mail-Adresse vor? Auf welche Anwendungsfälle erstreckt sich diese Zustimmung? Wer nicht einwandfrei dokumentieren kann, dass eine ausdrückliche Einwilligung dieses Nutzers vorliegt, die den Empfang des Newsletters abdeckt, dem drohen Strafen. Und diese können durchaus drastisch ausfallen: Bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – je nach dem, was höher ist. Für DAX-Konzerne könnten sich da Milliardensummen auftürmen.

Langsam wird es kritisch

Wer sich bislang noch nicht auf die neue Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) eingestellt hat, sollte jetzt dringend die erforderlichen Maßnahmen einleiten. Der erste wichtige Unterschied zu den bisherigen EU-Richtlinien, die der nationalen Gesetzgebung Rahmen und Richtung vorgaben: Es handelt sich bei der EU-DSGVO um ein Gesetz, das in allen EU-Staaten umgesetzt werden muss. Weitere Anpassungen sind nicht möglich – nur kleinere Präzisierungen an der einen oder anderen Stelle. Das bedeutet auch: Waren bisher bei Rechtsstreitigkeiten in diesem Bereich Gremien des jeweiligen EU-Mitgliedslandes zuständig, hat jetzt Brüssel das letzte Wort. Und dass der Wind da mitunter eisig werden kann, wissen alle, die in kartellrechtlichen Fragen schon mit der EU-Kommission zu tun hatten.

Doch was ändert sich genau, insbesondere für alle Maßnahmen, die das Marketing betreffen? Erstens – und das ist grundsätzlich positiv zu bewerten: Der Begriff der Pseudonymisierung wird grundsätzlich als geeignetes Instrument für den Datenschutz anerkannt. Das betrifft den Vorgang, wenn beim Speichern der Daten zu einer Person diese durch ein Pseudonym wie einen Zahlencode unkenntlich gemacht werden und so einer konkreten Person nicht zu geordnet werden können. Aber: Diese Pseudonymisierung bekommt keinen eigenen rechtlichen Status. Das bedeutet: Wer im Rahmen von Webtracking pseudonymisierte User-Profile anlegt, ist allein auf dieser Grundlage noch nicht auf der sicheren Seite. Schlimmer noch: Die EU sieht hier die Notwendigkeit für weitere Regelungen wie eine E-Privacy-Verordnung und will auch das Webtracking an eine ausdrückliche Zustimmung des Users knüpfen.

Webinar: EU-DSGVO und deren Anwendung im Marketing
Wir zeigen Ihnen praxisorientiert in einem Vorher-Nachher-Vergleich, welche Datenschutz- und Dokumentationspflichten Sie bei verschiedenen Kommunikationskanälen erfüllen müssen.
Zur Aufzeichnung

Viel Aufwand für Dokumentation

Ein zweiter Punkt: Der schiere Umfang an Auskunfts- und Informationspflichten, wie sie die neue EU-DSGVO festschreibt, sowie die Verpflichtung zur Datensparsamkeit auf der anderen Seite machen es in der Praxis sehr aufwändig, umfangreiche Datensammlungen zu Internetnutzern oder Kunden anzulegen – die allerdings die Basis für viele Analyseansätze und Lösungen im Kontext von Big Data bilden.

Ein Beispiel dafür bietet das Thema der so genannten Datenlecks oder Datenpannen: Wenn Unberechtigte Zugriff auf sensible Informationen wie Kundendaten bekommen haben, mussten bisher vor allem die zuständigen Datenschutzbehörden informiert werden. Das reicht jetzt nicht mehr: Zukünftig müssen Unternehmen Datenpannen ungeachtet der Datenkategorie veröffentlichen. Das heißt: Die Unternehmen müssen die Verbraucher informieren. Ein weiteres Beispiel betrifft den eingangs erwähnten Fall der Dokumentation. Es reicht eben nicht, sich einfach nur an die Datenschutzregeln zu halten. Unternehmen müssen das zukünftig auch beweisen können. Das heißt, sie benötigen die schriftlichen Belege dafür, dass sie sich datenschutzkonform verhalten. Das bedeutet natürlich erheblichen zusätzlichen Aufwand mit Blick auf die Dokumentation.

Die neue Verordnung hat auch Vorteile

Aber die neue EU-DSGVO hat durchaus auch Vorteile, besonders für Unternehmen in Deutschland. So wird dadurch eine einheitliche Regelung über nationale Grenzen hinweg getroffen. Die gab es bislang nicht. Und so hatten deutsche Unternehmen im Wettbewerb durchaus Nachteile, weil die Datenschutzregelungen der Bundesrepublik im Vergleich etwa zu denen in skandinavischen Ländern strenger ausfielen.

Das wird deutlich an der Abschaffung des so genannten Listenprivilegs, das besonders für das E-Mail-Marketing wichtig werden dürfte. Diese Regelung, die bis in die 70er-Jahre des letzten Jahrhunderts zurückreicht, besagt, dass ohne ausdrückliche Einwilligung nur bestimmte Listendaten zu Bestandskunden gespeichert werden dürfen, wie etwa Beruf, Branche, Titel etc. und in bestimmten Fällen auch die E-Mail-Adresse. Für Werbezwecke durften Unternehmen diese wiederum nur bei „berechtigtem Interesse“ nutzen, die grundsätzlich mit den schutzwürdigen Interessen der Empfänger abzuwägen waren. Ziemlich kompliziert.

Das Problem bestand in dem Nachweis des „berechtigten Interesses“. Damit ist jetzt insofern Schluss, als dass die EU-DSGVO eindeutig Marketingzwecke als berechtigtes Interesse festschreibt. Das heißt, personalisierte Werbung für kommerzielle Zwecke ist grundsätzlich erlaubt. Allerdings mit der Einschränkung, dass eine ausdrückliche Einwilligung der Nutzer vorliegen muss, die Unternehmen auch nachweisen können. Das ist sozusagen die Achillesferse im Einsatz von Kundendaten.

„Die neue EU-DSGVO ist eine echte Herausforderung. Bei Tracking, Kundendaten und Lösungen wie Targeting etc. werden wir nicht so weitermachen können wie bisher. Da müssen jetzt alle ihre Hausaufgaben machen, weil die Risiken groß sind. Aber die neue Verordnung ist auch eine Chance – nämlich durch Transparenz und Relevanz das Vertrauen der Konsumenten in das digitale Marketing zu stärken.“

(Bernd Lynen, Principal Sales Manager Digital Marketing T-Systems Multimedia Solutions)

 

Grafik: Bernd Lynen

Über den Experten

Bernd Lynen ist Principal Sales Specialist Digital Marketing bei T-Systems Multimedia Solutions. Er berät bei der Entwicklung und Realisierung von Automatisierung im Marketing und ist gefragter Sparringspartner für C-Level von Konzernen und großen Unternehmen im Mittelstand. Bernd Lynen ist Spezialist für Newsletter Marketing, Mobile Marketing und Strategieberatung für Customer Lifecycle Management. In seiner bisherigen beruflichen Laufbahn war er in verschiedenen Managementpositionen tätig, ist Trainer im Bereich Personal- und Teamentwicklung sowie Kundenmanagement, Serviceanalyse und Qualifizierung.

Die E-Privacy-Verordnung bremst das Tracking aus

Bislang regelten das Thema Cookies und elektronische Kommunikation die so genannte E-Privacy-Richtline von 2002 und die Cookie-Richtlinie von 2009. Die mussten nationale Gesetzgeber allerdings in eigenen Regelungen umsetzen, in Deutschlang zum Beispiel durch Ergänzungen des Telemediengesetzes und das Telekommunikationsgesetzes. Damit soll allerdings jetzt auch Schluss sein: Das EU-Parlament hat dem Entwurf für eine ergänzende E-Privacy-Verordnung, die denselben rechtlichen Status hätte wie die EU-DSGVO. Die wird das Daten-Sammeln erheblich erschweren. Wer zukünftig zum Beispiel ein Cookie setzen möchte, braucht das ausdrückliche – und dokumentierbare – Einverständnis des Internetnutzers. Die bisherigen Opt-out-Angebote reichen nicht mehr: Das geschieht meist über Banner, die beim ersten Aufrufen einer Website die Möglichkeit bieten, Cookies abzulehnen.

In Zukunft sollen Nutzer aktiv zustimmen, wenn sie einverstanden sind, dass ihr Internetverhalten über mehrere Webseiten hinweg per Tracking verfolgt wird. Geht es nach dem EU-Parlament, müssen Browser oder Smartphone zukünftig mit entsprechenden Standardeinstellungen ausgeliefert werden. Das bedeute: Nutzer entscheiden in den Grundeinstellungen, ob sie Tracking zustimmen. Was die EU strikt untersagen will, sind so genannte Tracking-Walls: Publisher oder Anbieter dürfen Nutzer nicht ausschließen, weil diese Cookies eine Absage erteilt haben. Aber: Noch ist diese E-Privacy-Verordnung nicht Gesetz. Es ist ein Entwurf, der derzeit in den EU-Institutionen diskutiert wird.