Datenschutz im Online Marketing – so wirken die DSGVO und das TDDDG (bis 13.05.2024 TTDSG)
Inhaltsnavigation
- TDDDG und DSGVO: Nötige Änderungen und Optimierungen in Ihrem Online Marketing
- Schritt 1: Welche personenbezogenen (DSGVO) und nicht personenbezogenen (TDDDG) Daten werden erhoben?
- Schritt 2: Die Rechtsgrundlagen der Datenverarbeitung prüfen - Prüfung in zwei Stufen.
- Schritt 3: Rechtsgrundlage zur Datenweitergabe überprüfen
- Schritt 4: Die Datenschutzerklärung und Einwilligungstexte anpassen
- Schritt 5: Auf kommende Anfragen und Widersprüche vorbereiten
Anforderungen der DSGVO an das Online Marketing
Im Bereich des Online Marketings stellt die DSGVO einige Anforderungen. Das Selbstbestimmungsrecht über die eigenen Daten ist Schutzziel der DSGVO. Als personenbezogene Daten gelten hierbei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei Verstößen gegen das Recht drohen Bußgelder, im Extremfall sind Forderungen in Millionenhöhe möglich.
Zudem ist das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zu beachten. Dieses ist am 14.05.2024 in Kraft getreten und hat das seit 01.12.2021 geltende Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) abgelöst. Dieses soll die Privatsphäre und Vertraulichkeit von Endeinrichtungen schützen, welche Endnutzer verwenden.
Dabei ist wichtig: Der Schutzbereich ist weiter, denn er umfasst alle Informationen (personenbezogene wie nicht-personenbezogene) und findet Anwendung bei allen Personen (natürlichen wie juristischen).
Mit den folgenden fünf Schritten verschaffen Sie sich einen ersten wichtigen Überblick über nötige Änderungen und Optimierungen im Bereich Ihres Online Marketings.
Hinweis: Unternehmen müssen ein Verzeichnis von Verarbeitungstätigkeiten führen. Die hierin enthaltenen Beschreibungen der Verarbeitungsprozesse können für die Erstellung einer derartigen Übersicht und für die Beantwortung der nachfolgenden Fragen verwendet werden.
Schritt 1: Welche personenbezogenen (DSGVO) und nicht-personenbezogenen (TDDDG) Daten werden erhoben?
DSGVO: Unternehmen sollten sich zuerst eine Übersicht über sämtliche verwendeten personenbezogenen Daten erarbeiten. Bei welchen Prozessen im Online Marketing kommt es zur Erhebung und Verarbeitung personenbezogener Daten? Woher kommen diese Informationen und an wen erfolgt die Weitergabe? Welche Tools sind im Einsatz?
TDDDG: Unternehmen sollten sich zudem eine Übersicht erstellen und prüfen, wann Informationen (personenbezogene wie nicht-personenbezogene) beim Zugriff auf ein Endgerät dort abgegriffen bzw. dort abgelegt werden.
Schritt 2: Die Rechtsgrundlagen der Datenverarbeitung prüfen Prüfung in zwei Stufen
Im Anschluss müssen Sie die geltende Rechtsgrundlage für jeden relevanten Vorgang im Online Marketing überprüfen.
2-Stufen-Prüfung
Prüfen Sie zweistufig, wenn Sie Daten via Cookies oder vergleichbaren Technologien verarbeiten (u. a. erheben):
- Stufe 1:
Prüfung nach TDDDG – Speichern von und Zugriff auf Informationen (personenbezogene wie nicht-personenbezogene) in Endeinrichtungen:
Besteht Einwilligungspflicht oder Einwilligungsfreiheit nach TDDDG? - Stufe 2:
Prüfung nach DSGVO
Entspricht die Verarbeitung der so gewonnenen personenbezogenen Daten der DSGVO (u. a. auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt?).
Haben die Besucher den Prozessen explizit zugestimmt oder gibt es eine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen wie nicht-personenbezogenen Daten?
Hinweis: Bereits vor dem 25.05.2018 eingeholte Einwilligungen bleiben nur gültig, wenn diese den bisherigen Regelungen entsprochen haben (z. B. Widerrufsbelehrung samt Hinweis auf eine jederzeitige Widerrufbarkeit enthielten) und unverändert geblieben sind. Wurden diese auf Grundlage des BDSG und TMG alter Fassung erbracht, müssen Sie in der Regel keine neue Einwilligung einholen.
Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann im Anwendungsbereich der DSGVO (nicht des TDDDG!) auf die Rechtsgrundlage „berechtigtes Interesse (Art. 6 Abs. 1 f DSGVO)“ gestützt werden. Hierbei muss eine Interessenabwägung erfolgen. Bei dieser müssen die Interessen des Unternehmens gegen die Interessen der Kunden abgewogen werden. Unternehmen können gestützt auf diese Rechtsgrundlage u. a. Daten verarbeiten für Zwecke wie die Steigerung der Usability und die Optimierung der eigenen Angebote ebenso wie für die Eigenwerbung für Eigenprodukte (allgemeine Rechtsvorgaben und Ausnahmen siehe generelle Hinweise im Kapitel SEA: AdWords & Retargeting/ Remarketing). Diese gelten als berechtigte Interessen eines Unternehmens, sofern Interessen der Kunden nicht überwiegen.
Schritt 3: Rechtsgrundlage zur Datenweitergabe überprüfen
Geben Sie die erhobenen Daten für das Online Marketing an einen Online-Marketing-Dienstleister weiter, müssen Sie mit dem Anbieter vorab einen Vertrag über Auftragsverarbeitung abschließen. Hat der Dienstleister seinen Sitz außerhalb der EU bzw. des EWR, sind zusätzliche Garantien notwendig, die ein angemessenes Datenschutzniveau im Drittland gewährleisten. Zu diesen Garantien (Art. 44 ff. DSGVO) gehören u. a. die EU-Standardvertragsklauseln (SCC) sowie eine Einwilligung, die ausdrücklich eine Datenübermittlung in ein Drittland umfasst. SCC genügen für sich nicht automatisch als Grundlage für die Übermittlung in ein Drittland. Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien EDSA hierzu veröffentlicht. Diese geben Hinweise, ob und in welchen Konstellationen SCC, ggf. ergänzt um zusätzliche vertragliche Zusicherungen seitens des Vertragspartners als ausreichend angesehen werden können.
Schritt 4: Die Datenschutzerklärung und Einwilligungstexte anpassen
Die DSGVO und das TDDDG erhöhen die Transparenz- und Informationspflichten gegenüber betroffenen Nutzern. Daher müssen Sie die Datenschutzerklärung auf der Website und die Einwilligungstexte zur Datenverarbeitung (Cookie-Banner) anpassen. Daher müssen Sie die Datenschutzerklärung auf der Website und die Einwilligungstexte zur Datenverarbeitung (Cookie-Banner) anpassen. Eine gute Orientierung liefern die Artikel 12 bis 14 der DSGVO und § 25 TDDDG. Sie müssen Informationen u. a. zur Rechtsgrundlage, zur Interessenabwägung (nur bei DSGVO, nicht bei TDDDG!) und den Abwägungsgründen, zur Aufbewahrungsfrist für persönliche Daten und zu den Rechten der Seitenbesucher auf der Website hinterlegen, falls Sie ein Produkt oder eine Dienstleistung online anbieten.
Hinweis:
- Prüfen Sie anhand der IHK-Checkliste Datenschutzerklärung, ob Sie alle Pflichtangaben bei den Beschreibungen der einzelnen Verarbeitungsschritte aufgeführt haben.
- Bei der Formulierung der einzelnen Textbausteine können Sie Datenschutz-Generatoren verwenden. Diese fragen strukturiert einzelne Datenverarbeitungstätigkeiten (z. B. Kontaktformular, Tracking-Tools, Newsletter-Abo, Social Plugins) ab und liefern kostenlos entsprechende Textbausteine.
Schritt 5: Auf kommende Anfragen und Widersprüche vorbereiten
Wenn Ihr Unternehmen
a) Anbieter digitaler Dienste ist und auf Informationen (personenbezogene wie nicht-personenbezogene), die auf Endeinrichtungen der Nutzer gespeichert sind, zugreift oder diese dort ablegt (1. Stufe der Prüfung) und
b) personenbezogene Daten verarbeitet (2. Stufe der Prüfung),
gelten jetzt umfangreichere Dokumentations- und Rechenschaftspflichten. Die Marketingabteilung sollte auf Anfragen über Einzelheiten der Datenverarbeitung vorbereitet sein. Zudem müssen Sie sicherstellen, dass das Widerrufs- bzw. Widerspruchsrecht umgesetzt werden kann.
Hinweise:
Ein Widerrufsrecht gilt bei Einwilligungen. Einer Marketingmaßnahme, die bei einer nach DSGVO zu prüfenden Datenverarbeitung auf der Rechtsgrundlage „berechtigtes Interesse“ beruht, kann jederzeit unter Angabe von Gründen widersprochen werden.
Legen Sie in Ihrem Unternehmen fest, wer befugt und zuständig ist, von Betroffenen ausgeübte Rechte zu bearbeiten.
Tipps der IHK München zu verschiedenen Online Marketing Aktivitäten
Damit Ihre Aktivitäten im Online Marketing den Bestimmungen des TDDDG und der DSGVO entsprechen, müssen Sie einige Regeln beachten. Die folgenden Informationen helfen bei der rechtskonformen Umsetzung typischer Prozesse im Online Marketing. Zudem gibt es wettbewerbsrechtliche Spielregeln, die eingehalten werden müssen.
E-Mail Marketing / Newsletter
Das E-Mail Marketing mit Newslettern gehört auch in Zeiten von Social Media zu den wichtigen Marketing-Kanälen. Die werbliche Nutzung persönlicher Daten ist derzeit geregelt durch die Datenschutzgrundverordnung (DSGVO) und das Gesetz gegen unlauteren Wettbewerb (UWG) geregelt. In Zeiten vor der DSGVO galt das Bundesdatenschutzgesetz (BDSG) alter Fassung und das UWG. Sehr viel hat sich dabei nicht geändert.
Was fordert die DSGVO im E-Mail Marketing und bei Newslettern?
Die Regeln zur rechtswirksamen Einwilligung in das Newsletter-Marketing entsprechen überwiegend den vor der DSGVO geltenden Regelungen. Nur das Simplizitätsgebot ist neu und dieses ist beim Newsletter-Marketing bereits der Standard. In der Folge müssen Sie in der Regel keine neue Einwilligung einholen, falls Sie diese zuvor den Bestimmungen nach BDSG und TMG alter Fassung entsprechend eingeholt haben.
Neu ist, dass die DSGVO erlaubt, die E-Mail-Adressen von Bestandskunden für die Eigenwerbung von Produkten und Dienstleistungen zu verwenden, wenn das Unternehmen den Kunden vorab entsprechend (z. B. im Angebot, bei Vertragsabschluss) informiert und dieser nicht widersprochen hat. Rechtsgrundlage ist das berechtigte Interesse (Art. 6 Abs. 1 f DSGVO) unter Beachtung der allgemeinen Rechtsgrundsätze „faire Verfahrensweise“ und „angemessener Verwendungszweck“ (siehe unten). Die Einholung einer Einwilligung ist in diesem Fall nicht erforderlich.
Hinweis: Die Deutsche Datenschutzkonferenz (DSK) hat in ihrem Positionspapier „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ Folgendes zur Nutzung der E-Mail-Adressen von Bestandskunden festgelegt:
„E-Mail-Adressen, die unmittelbar von den betroffenen Personen im Rahmen einer Geschäftsbeziehung (Bestandskunden) erhoben wurden, können grundsätzlich für E-Mail-Werbung genutzt werden, wenn dieser Zweck der E-Mail-Werbung entsprechend Art. 13 Abs. 1 lit c DS-GVO den betroffenen Personen bei der Datenerhebung transparent dargelegt worden ist. Überwiegende schutzwürdige Interessen der betroffenen Person nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.“
Pflichten nach TDDDG
Das TDDDG schützt Nutzer von digitalen Diensten gegen unbefugte Kenntnisnahme bei der Nutzung von Endeinrichtungen. Ferner gewährleistet es den Schutz der Privatsphäre und Vertraulichkeit, indem Dritte nicht unbefugt auf Endeinrichtungen der Nutzer Informationen speichern oder auslesen dürfen (Schutz der Privatsphäre vor Verletzungen). Dies haben Anbieter von digitalen Diensten durch technische und organisatorische Vorkehrungen (§ 19 TDDDG) sicherzustellen.
Prüfen Sie, ob Sie diese Vorkehrungen umgesetzt haben. Ferner ist zu prüfen, ob für das Speichern von Informationen in Endeinrichtungen oder für den Zugriff auf dort gespeicherte Informationen nach TDDDG eine Einwilligungspflicht besteht oder nicht besteht, weil einer der beiden Ausnahmetatbestände des § 25 Abs. 2 TDDDG greift.
Prüfen und dokumentieren Sie diese Vorgaben. Passen Sie im Bedarfsfall Ihre Informationshinweise, ihre Datenschutzerklärung und ein ggf. erforderliches Cookie-Banner an.
Die Informationspflichten nach DSGVO
Die Einwilligung oder die Direktwerbung als Datensverarbeitung im berechtigten Interesse reichen allerdings nicht aus, um die rechtlichen Anforderungen der DSGVO vollständig umzusetzen. Zusätzlich müssen Sie Informationshinweise (Art. 13, 14 DSGVO) erstellen, in denen Sie über die Erhebung und Verarbeitung der Daten informieren. Art. 13 und Art. 14 DSGVO legen den Inhalt dieser Informationspflichten fest. Besonders wichtig sind:
- Ausführliche Informationen zum Zweck der personenbezogenen Datenverarbeitung.
- Die Nennung der geltenden Rechtsgrundlage: für das E-Mail Marketing müssen Sie Art. 6 Abs. 1 a (Einwilligung) oder Art. 6 Abs. 1 f DSGVO aufführen.
- Die Information bezüglich der Dauer der Speicherung personenbezogener Daten (Aufbewahrungsfrist)
- Belehrung über Betroffenenrechte: Hierzu gehört auch die Belehrung der Seitenbesucher über das Recht, die gegebene Einwilligung in die Datenverarbeitung jederzeit zu widerrufen.
Wie sieht die rechtskonforme Einwilligung zum Newsletter Marketing aus?
Für die Sammlung von E-Mail Adressen ist nur das Double-Opt-in-Verfahren zulässig. Dabei tragen Besucher der Website zuerst ihre E-Mail Adresse in einem Feld zur Newsletter-Anmeldung ein und erhalten dann eine E-Mail mit einem Bestätigungslink. Erst durch Klicken auf den Bestätigungslink gilt die Einwilligung als rechtskonform erteilt.
Wichtig: Protokollieren Sie die Registrierung. Sie müssen den Zeitpunkt der Zustimmung später nachweisen können. Beim Anmeldeformular darf es keine vorausgewählten Checkboxen geben, die der Anwender aktiv entfernen muss ("Opt-out").
Was passiert mit alten Kontakten?
Haben Sie die gesammelten E-Mail Adressen über das Opt-in-Verfahren generiert und können Sie den Zeitpunkt nachweisen, ist die weitere Nutzung erlaubt. Wenn es keine eindeutige Zustimmung durch den Anwender gibt, müssen Sie eine neue Erlaubnis einholen und dürfen Ihre Newsletter erst dann verschicken.
SEA: AdWords & Retargeting/ Remarketing
SEA (Search Engine Advertising) ist Suchmaschinenwerbung, hier geht alles um die richtige Zielgruppe. In Zeiten des TDDDG und der DSGVO bedarf es für Suchmaschinenwerbung einer Einwilligung des Betroffenen. Die Datenschutzaufsichtsbehörden vertreten die Auffassung, dass alle Informationen, mit denen sich eine Person im Internet eindeutig identifizieren lässt (siehe FAQ), nur mit expliziter Einwilligung dieser Person weiterbenutzt werden dürfen. Jeder Anwender hat zudem das Recht auf transparente Auskunft und Löschung der eigenen Daten.
Marketing im Internet basiert auf der Erhebung von IP-Adressen und der Nutzung von Cookies. Das wird besonders beim Remarketing deutlich: Hat sich jemand beim Surfen im Internet ausführlich bezüglich eines bestimmten Produkts informiert, sieht die Person in der Folge für viele Tage Werbeanzeigen zum Produkt.
SEA nutzen und die Regeln der DSGVO einhalten
Wer interessiert sich für was? Die richtige Zielgruppe für ein Produkt lässt sich nur mit Kenntnis über die Interessen der Personen ansprechen. Unternehmen erhöhen mit personalisierter Werbung die Conversionsrate, im Idealfall sehen Personen beim Surfen im Internet Werbeanzeigen, die sich an den aktuellen Wünschen orientieren. Das Ziel: Die richtigen Produkte und Dienstleistungen den richtigen potenziellen Kunden zum richtigen Zeitpunkt anzeigen. Als Rechtsgrundlage bietet die DSGVO neben einer Einwilligung hier auch die Rechtsgrundlage „berechtigten Interesse (Verarbeitung von Daten zur Direktwerbung)“ an. Zu diesem berechtigten Interesse zählt auch Eigenwerbung, wobei Werbeinteresse und Datenschutzrechte abzuwägen sind.
Hinweise:
- Beachten Sie bei der Interessenabwägung auch die allgemeinen Grundsätze aus Art. 5 Abs. 1 DS-GVO, also insbesondere:
- faire Verfahrensweise (keine mit einem negativen Image verbundene Werbung)
- Angemessenheit des Verarbeitungszwecks
- in einer für die betroffene Person nachvollziehbaren Weise (insbesondere Nennung der Quelle der Daten)
- Werbliche Nutzung besonderer Datenkategorien:
Beruht eine Werbung auf der Verarbeitung sog. „besonderer Kategorien personenbezogener Daten“ (Art. 9 DS-GVO), so ist hierfür eine ausdrückliche Einwilligung der betroffenen Person erforderlich. Art. 9 DSGVO bestimmt, in welchen Fällen besondere Datenkategorien ausnahmsweise verarbeitet werden dürfen. Er enthält keine Befugnisnorm, dass besondere Kategorien personenbezogener Daten für Zwecke der Werbung verarbeitet werden dürfen. Somit ist die Verarbeitung für Werbezwecke nur zulässig, wenn der Betroffene hierin ausdrücklich eingewilligt hat.
Zu den besonderen Kategorien personenbezogener Daten gehören auch Gesundheitsdaten. Daher haben z. B. Unternehmen und Berufe des Gesundheitswesens (Apotheken, Sanitätshäuser, Optiker, Orthopäden usw.) dies zu beachten.
Für Werbetreibende gilt: Die gesetzlichen Vorgaben zur Datenverarbeitung betreffen Websiten, die personenbezogene Daten erheben und verarbeiten. Sie gelten für Webseiten, auf denen die Werbung angezeigt wird und somit für Adsense-Kunden. Werbetreibende müssen zudem Maßnahmen treffen und zusätzlich die Vorgaben des TDDDG umsetzen, wenn sie als Anbieter digitaler Dienste auf Informationen (personenbezogene wie nicht personenbezogene) in Endeinrichtungen der Nutzer zugreifen oder solche dort speichern.
Für Werbende gilt: Wer auf seiner Internetseite Werbung schaltet und dafür zum Beispiel das Angebot von Google Adsense nutzt, muss sich um das Einverständnis der Besucher kümmern. Es muss eine Möglichkeit zum Widerspruch der Datennutzung für Werbezwecke gegeben sein und die Nutzer müssen darüber informiert werden, dass sie Informationen wie Interessen und den Standort freiwillig für Werbezwecke offen legen. Google will alternativ unpersonalisierte Werbung anbieten, deren Zielgruppenspezifikation eventuell ungenauer sein könnte als die der personalisierten Werbung.
Tracking mit Google Analytics & Matomo
Betreiber von Websites haben ein berechtigtes Interesse daran, mehr über die Besucher der Website zu erfahren. Im Bereich des Online Marketings sind die Programme von Google führend, zur Analyse des Traffics nutzen zahlreiche Webadministratoren das Angebot von Google Analytics. Eine beliebte Alternative ist Matomo (ehemals Piwik).
Was ist das Problem beim Tracking?
Ist Software wie Google Analytics oder Matomo auf Ihrer Website aktiv, werden personenbezogene Daten (IP-Adressen) an Dritte übertragen. Damit sind die Datenschutzbestimmungen und die ePrivacy-Regelungen des TDDDG zu beachten. Um die Dienste rechtskonform zu gestalten, müssen Sie Folgendes beachten.
Wie lässt sich das Tracking TDDDG- und DSGVO-konform nutzen?
Die Aufsichtsbehörden haben sich bundesweit dahin verständigt, dass Dienste zur statistischen Analyse nach TDDDG einwilligungspflichtig sind. Dies betrifft Tracking-Tools zur reinen Reichweitenmessung und solche, die nicht nur das reine Nutzerverhalten auf der Website tracken, sondern zudem ein umfassendes "Internetprofil" einer Websitennutzers erstellen. Für eine Weiterverarbeitung dieser so erhobenen Daten benötigen verantwortliche Stellen ebenfalls eine Rechtsgrundlage (z. B. Einwilligung, Vertrag).
Sofern ein Tracking-Dienstleister die Tracking-Daten auf seinen Servern verarbeitet, ist mit diesem ein Auftragsdatenverarbeitungsvertrag abzuschließen. Wer Google Analytics einsetzen möchte, sollte hierbei die Vorgaben aus dem Beschluss der Datenschutzkonferenz (DSK) vom 12.05.2020 zu Google Analytics beachten.
Wann ist ein Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag) notwendig?
Ob ein AV-Vertrag erforderlich ist, hängt vom Ort der Datenerfassung und -verarbeitung ab. Wird Matomo auf einem eigenen Webserver installiert, muss kein AV-Vertrag mit Matomo geschlossen werden. Erfolgt die Nutzung per Cloud-Hosting, befinden sich die Nutzerdaten auf den Servern von Matomo und ein Vertrag zur Auftragsdatenverarbeitung muss abgeschlossen werden. Bei Google Analytics landen die gesammelten Daten immer auf den Google-Servern. Google bietet hierfür einen AV-Vertrag an. Die DSK hält in ihrem Beschluss zu Google Analytics den Abschluss eines Vertrags über eine gemeinsame Verantwortung für notwendig.
Social Media
Aktivitäten im Bereich Social Media sind für das Online Marketing der Unternehmen von großer Bedeutung. Auf den Einsatz der Schaltflächen von Facebook, Twitter und Co. möchte kaum jemand verzichten. Mit der Verwendung der Social Media Plugins auf den eigenen Webseiten erweitern Sie Reichweite und Traffic auf einfache Weise.
Was stört Datenschützer an den Social Media Plugins?
Social Media Plugins funktionieren prinzipiell gleich: Sobald eine Internetseite mit integriertem Plugin lädt, findet eine Erhebung personenbezogener Daten in Form der IP-Adresse statt, die u. a. zur Erstellung von Persönlichkeitsprofilen verwendet werden kann. Sind die Plugins in der Standard-Konfiguration eingebunden, erfolgt stets eine Datenerfassung, ohne dass zuvor auf die Schaltfläche geklickt wird. Seitenbesucher müssen nicht beim Anbieter eingeloggt oder registriert sein. Der Besucher der Website weiß nichts von der im Hintergrund erfolgenden Erfassung seiner Daten. Dieses Vorgehen ist nach den Bestimmungen der DSGVO unzulässig. Für die Plugins gilt ein Verbot mit Erlaubnisvorbehalt – die Besucher müssen der Funktion zustimmen.
Wie werden Social Media Plugins im Online Marketing nach Regeln des TDDDG und der DSGVO eingesetzt?
Die Einbindung ist rechtmäßig möglich, soweit vorher eine Einwilligung des Nutzers nach TDDDG und nach DSGVO eingeholt und in der Datenschutzerklärung über den Einsatz informiert wird.
DSGVO: Damit Sie Social Media Plugins für das Online Marketing auf Ihren Internetseiten einsetzen können, gibt es zwei Möglichkeiten, welche die Datenschutzaufsichtsbehörden derzeit nicht monieren: die 2-Klick-Lösung und die Shariff-Lösung.
Wenn Sie die 2-Klick-Variante verwenden, sind die Plugins beim Laden der Webseite deaktiviert und haben keine Funktion. Erst durch einen Klick auf ein entsprechendes Symbol lassen sich diese aktivieren, mit dem Klick gibt der Anwender seine Einwilligung zur Erhebung bezogener Daten. Der Betreiber der Website muss diese Einwilligung nachweisen können und ist daher zur Protokollierung verpflichtet. Das Double Opt-In-Verfahren ist dafür der sichere Weg, das auch bei der Anmeldung zu einem Newsletter zum Einsatz kommt. Die Shariff-Lösung ist die Weiterentwicklung des 2-Klick-Verfahrens. Bei der Shariff-Lösung wird die IP-Adresse des Servers übertragen, auf dem die Website gehostet ist. Die IP-Adresse der Seitenbesucher wird nicht übermittelt und es findet kein Austausch personenbezogener Informationen statt.
Cookies und Cookie Hinweise
Cookies sind kleine Dateien, in denen Daten über den Nutzer auf einem lokalen Medium gespeichert werden. Mithilfe der Cookies lässt sich der Anwender eindeutig identifizieren und sein Surfverhalten nachvollziehen. Im Bereich des Online Marketings verlieren Cookies zunehmend an Bedeutung, da verschiedene Faktoren die Fähigkeit zur Datenerfassung mehr und mehr einschränken. Die noch zu verabschiedende E-Privacy-Verordnung wird den Einsatz von Cookies neu regeln. Das Gesetzgebungsvorhaben zählt zu den umstrittensten in der EU, so dass mit einer zeitnahen Verabschiedung nicht zu rechnen ist. Aus diesem Grund hat der Gesetzgeber den Einsatz von Cookies und vergleichbaren Technologien technologieneutral ab 01.12.2021 vorübergehend bis zum Inkrafttreten einer E-Privacy-Verordnung über das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) neu geregelt.
Was minimiert den Nutzen der Cookies für das Online Marketing?
Nutzer möchten anonymer im Internet surfen. Viele Browser integrieren daher heute Ad-Blocker mit Cookie-Blocker. Der Weg durch das Internet und von Produkt zu Produkt lässt sich dann nicht mehr nachverfolgen. Zudem löschen einige Nutzer Cookies regelmäßig oder installieren andere Programme, die Cookies von Online-Werbung blockieren.
Worauf ist bei der Verwendung von Cookies zu achten?
Aufgrund der Vorschriften in der EU müssen Websiten auf die Verwendung hinweisen und die Zustimmung für die Nutzung einholen – was viele Nutzer stört. Die Bundesregierung hat den Einsatz von Cookies seit 01.12.2021 über das TDDDG vorübergehend bis zu einem Inkrafttreten einer E-Privacy-Verordnung geregelt. Damit beendet sie den Streit, ob sie die „Cookie-Richtlinie“ der EU in Deutschland über die Regelung des § 15 Abs. 3 Telemediengesetz (TMG) alter Fassung ausreichend umgesetzt hat. Sie vertrat bislang den Standpunkt, das getan zu haben. Die Cookie-Richtlinie schreibt eine Einwilligung vor, um Cookies verarbeiten zu dürfen. § 25 TDDDG setzt diese Vorgabe nunmehr um. Kommen Cookies und vergleichbare Technologien auf einer Webseite zum Einsatz, müssen die Rechtsgrundlagen für das Verwenden von Cookies, die Verarbeitungszwecke, die Aufbewahrungsdauer, die Möglichkeit zum Widerspruch und die Folgen eines Widerspruchs in der Datenschutzerklärung genannt werden. Beim Einsatz von einwilligungspflichtigen Cookies sollte über ein sog. Cookie-Banner über Art und Verarbeitungszwecke informiert werden. Hinweise zur Formulierung von Cookie-Consent-Bannern
Hinweise zu digitalen Diensten (u. a. TDDDG, zur Formulierung von Cookie-Consent-Bannern) DSK Orientierungshilfe Telemedien 2021
Der rechtlich sichere Weg
Keine Einwilligung benötigen Seitenbetreiber, wenn sie Cookies einsetzen, um die Sicherheit der Website (Achtung: Sicht des Nutzers ist maßgeblich!) zu gewährleisten. Zur sicheren Umsetzung im Übrigen holen Seitenbetreiber die Einwilligung der Besucher nach TDDDG und ggf. nach DSGVO zur Nutzung von Cookies ein und zeigen den Einwilligungstext beim ersten Besuch der Website an. Der Text muss die erhobenen Daten und deren Verwendungszweck so gut wie möglich beschreiben. Der Nutzer muss den Text mit einem Klick bestätigen und so seine Einwilligung abgeben.
FAQ: Häufige Fragen und Antworten zum Online Marketing und der DSGVO
Beziehen sich die Informationen auf eine identifizierte oder identifizierbare natürliche Person, handelt es sich um personenbezogene Daten. Dazu gehören:
- Name und Anschrift
- Demografische Angaben wie Alter, Geschlecht und Einkommen
- Suchanfragen und der Browserverlauf
- IP-Adressen und Standortdaten
- E-Mails, Fotos und Videos
- Mit Tracking-Software erhobene Daten über Seitenbesucher
Wenn ein anderes Unternehmen in Ihrem Auftrag Daten verarbeitet und als Auftragsverarbeiter auftritt (siehe Kapitel 4 DSGVO), ist ein AV-Vertrag notwendig. Alternative Bezeichnungen für diese Vertragsform sind Auftragsdatenverarbeitung-Vertrag (ADV-Vertrag) oder in Englisch Data Processing Agreement (DPA). Damit ist ein AV-Vertrag unter anderem mit folgenden Dienstleistern notwendig:
- Anbieter von Cloud-Speicher
- Newsletter-Dienste
Hinweis: Da bei Google Adsense Google und die Kunden unabhängig voneinander als Verantwortliche gelten, ist kein AV-Vertrag notwendig. Den Vertrag für Google AdWords finden Kunden in den Konto-Einstellungen.
- Hosting-Anbieter
Zusammenfassung
Online Marketing mit personenbezogener Werbung ist auf die Erfassung persönlicher Informationen angewiesen. Durch die Regelungen der DSGVO haben die Bürger in der EU mehr Macht über ihre eigenen Daten und im Online Marketing tätige Unternehmen müssen ihre Webseiten und Dienstleistungen anpassen. Anbieter von digitalen Diensten haben die Vorgaben des TDDDG zu beachten und Endeinrichtungen der Nutzer zu schützen. Beim Tracking, E-Mail-Marketing, SEA, dem Einbinden von Social Media Plugins und der Verwendung von Cookies sind Anpassungen notwendig. Erfahren Sie jetzt mehr über die richtige Umsetzung der Bestimmungen.