Was ist bei Unternehmenswebseiten und im Online-Marketing zu beachten?
Grundlagen zur DSGVO
Im unserem Teil "Alles neu macht der Mai: Online Business in Zeiten der DSGVO" zur DSGVO sind wir allgemein auf die Änderungen für Unternehmen und Agenturen mit Blick auf das Online-Geschäft eingegangen.
In diesem Teil legen wir den Fokus verstärkt auf die Themen Unternehmenswebseiten und Online-Marketing. Gerade diese beiden Aktionsbereiche bedienen sich unterschiedlicher Technologien zum Umgang mit personenbezogenen Daten - eine allen voran sind Cookies. Wie diese in Zukunft genutzt werden können beleuchten wir nachstehend.
Dabei gehen wir auf die bereits angerissenen Legitimierungen „berechtigtes Interesse“ sowie „Einwilligung" ein, welche zukünftig über die Rechtmäßigkeit der Datenverarbeitung im Online-Marketing entscheiden werden.
Was bedeutet „berechtigtes Interesse“ und Einwilligung?
Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, es sei denn es ist durch die DSGVO erlaubt bzw. rechtmäßig.
Berechtigtes Interesse
Als berechtigtes Interesse werden unter anderem folgende Erwägungsgründe genannt:
- Vertragserfüllung und -abschluss
Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist. Dies ist z. B. der Fall bei einer Bestellung in einem Onlineshop. Ohne die Angaben einer Adresse oder E-Mail wäre es dem Onlinehändler nicht möglich eine Bestellung auszuliefern oder bei Unklarheiten Kontakt aufzunehmen.
- Erfüllung rechtlicher Pflichten
Unternehmen sind aufgrund anderer Gesetze dazu verpflichtet bestimmte Daten zu dokumentieren bzw. über einen bestimmten Zeitraum aufzubewahren. In diesem Zusammenhang seien die steuerrechtlichen Aufbewahrungspflichten genannt. Hierdurch müssen z. B. Rechnungen bis zu 10 Jahre aufbewahrt werden.
- Netz- und Informationssicherheit
Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu Servern oder anderen Computer-Systemen zu verwehren oder das Einschleusen von Schadcode zu vermeiden. Hierzu kann es erforderlich sein, z. B. IP-Adressen zu protokollieren.
- Direktwerbung
Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine, im berechtigten Interesse dienende, Verarbeitung betrachtet werden. Maßgeblich wird hier die Ausgestaltung, u. a. Pseudonymisierung der Dienste von Plattformen wie Google oder Facebook sein.
Über all diesen Erwägungsgründen bleibt jedoch immer das Interesse der betroffenen Personen abzuwägen und zu bewerten ob ein Risiko für Privatsphäre des Einzelnen höher zu bewerten ist als das betriebliche Interesse.
Dabei sind auch der Zeitpunkt und der Transparenzgrad der Informationen erheblich. Dementsprechend sind betroffene Personen vor der Datenverarbeitung über den konkreten Zweck oder die Zwecke in einer klaren und einfachen Sprache zu informieren.
Einwilligung
Dem berechtigten Interesse steht die Einwilligung der betroffenen Person gegenüber. Vergleichbar sind hier die Anforderungen wie beim Opt-In-Verfahren für Newsletter zu nennen.
- Ausdrücklich
Die Einwilligung sollte durch eine eindeutig bestätigende Handlung erfolgen. Das heißt, dass Unternehmen sich z. B. die Einwilligungen für bestimmte Verarbeitungsmaßnahmen über die Aktivierung von Checkboxen bestätigen lassen können.
Hierbei ist jedoch zu beachten, dass die Checkboxen lediglich vom User, z. B. durch einen Klick auf diese aktiviert werden sollen. Vorausgewählte Checkboxen oder das Stillschweigen des Users stellen keine Einwilligung dar und sind unzulässig.
Die Einwilligung ist formfrei, d. h. sie kann von der betroffenen Person in schriftlicher, elektronischer oder mündlicher Form abgegeben werden.
- Freiwillig und Kopplungsverbot
Die Einwilligung ist dann freiwillig erteilt, wenn der User selbstständig und eigenverantwortlich entscheiden kann, welche personenbezogenen Daten er gegenüber einem Unternehmen abgibt. In diesem Zusammenhang ist es untersagt die Einwilligung mit der Erbringung von Dienstleistungen zu koppeln, wenn diese nicht für die Erfüllung erforderlich sind.
Ein gern genanntes Beispiel für derartige Kopplungen stellen Pflichtangaben für die Newsletterbestellung dar. Unternehmen neigen gerne dazu viele Angaben verpflichtend abzufragen, wie z. B. Namen, Geschlecht und Geburtsdatum, um den Newsletter zu personalisieren bzw. zu individualisieren. Dieses Vorgehen ist nachvollziehbar, jedoch im Hinblick auf den Datenschutz nicht erforderlich, da für die Zusendung des Newsletters lediglich die E-Mail-Adresse notwendig ist.
- Umfang und Abgrenzung
Einwilligungen sollten für jeden Verarbeitungszweck gesondert eingeholt werden. Sollen personenbezogene Daten für mehrere Zwecke verarbeitet werden, so muss die betroffene Person, insbesondere bei elektronischer Aufforderung, hierzu in verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache informiert und von anderen Sachverhalten klar unterschieden werden.
Dies bedeutet für Unternehmen, dass sie personenbezogene Daten wie die E-Mail-Adresse, die sie z. B. im Rahmen einer Onlinebestellung erhalten haben und für die Newsletter nutzen möchten, innerhalb des Bestellprozesses klar abgrenzen müssen, beispielsweise durch optische Hervorhebung. Darüber hinaus sollte durch eine aktivierbare Checkbox zum Bestellen des Newsletters die Einwilligung eingeholt werden – bitte beachten Double-Opt-In bei Newslettern erforderlich.
- Widerrufsbelehrung
Die betroffene Person hat das Recht ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der, aufgrund der Einwilligung bis zum Widerruf, erfolgten Verarbeitung nicht berührt.
Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
In der Praxis hat sich die Integration des folgenden Hinweises als praktikabel gezeigt:
Ich möchte aktuelle Informationen und Angebote der Max Mustermann GmbH per E-Mail erhalten. Mir ist bekannt, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft kostenlos und formlos widerrufen kann. Für einen gültigen Widerruf fallen lediglich die Übermittlungskosten nach den Basistarifen (z. B. Telefon, Fax, E-Mail, Briefporto) an.
- Dokumentation
Wie festgestellt ist die Einwilligung grundsätzlich formlos. Da Unternehmen jedoch eine Nachweispflicht haben, empfiehlt es sich die Einwilligungen entsprechend zu protokollieren und zu dokumentieren.
Hierzu sollte jede Einwilligung, z. B. Newsletter, Retargeting, Web Analytics gesondert protokolliert und in zulässiger Form dokumentiert werden.
Hat das Einfluss auf meine Unternehmenswebseite?
Ja, da die DSGVO Unternehmer verpflichtet, die betroffenen Personen - also die User, vorab in leicht zugänglicher Form sowie in einer klaren und einfachen Sprache konkret darüber zu informieren, welche personenbezogenen Daten nach berechtigtem Interesse bzw. nach Einwilligung bezogen werden.
Richtet sich das Angebot der Webseite an Kinder, dann sollte die Information in einer kindgerechten Sprache erfolgen. In diesem Fall ist zusätzlich zu berücksichtigen, dass die sorgeberechtigte Person, z. B. die Eltern der Verarbeitung personenbezogener Daten ihres Kindes zustimmen muss.
Da dieser Informationspflicht nicht durch einen Einzeiler Rechnung getragen werden kann, liegt die Lösung eventuell in einem Overlay-Konzept, welches initial informiert und zu weiterführenden Informationen, z. B. Datenschutzerklärung verweist. Darüber hinaus könnten mit diesem Konzept die Einwilligungen für Web Analytics, Online- oder Social Media-Marketing eingeholt werden.
Grafik aktualsisiert zum 21.08.19 zum EuGH Urteil C-40/17 vom 29.07.19
Die zeroseven design studios haben hierzu eine Lösung erarbeitet, welche genau dies im Rahmen von TYPO3 Webauftritten ermöglicht. Dabei wird jedoch kein Einfluss auf individuell voreingestellte Web-Browser-Konfigurationen genommen.
Als einen ersten Schritt empfiehlt es sich die Datenschutzerklärung daraufhin zu prüfen, ob alle Verarbeitungszwecke personenbezogener Daten aufgeführt sind, diese leicht zugänglich ist und ob sie in einer klaren und einfachen Sprache formuliert wurde.
Verstöße gegen die Informationspflichten, falsche oder fehlende Informationen in der Datenschutzerklärung können neben den in Teil Eins beschriebenen Bußgeldern auch unter wettbewerbsrechtlichen Aspekten Abmahnungen von Mitbewerbern, Verbänden und lauernden Interessengruppen nach sich ziehen.
Welchen Einfluss hat das auf mein Online Marketing?
Wie in der obigen Abbildung dargestellt ist die Zulässigkeit einiger Anwendungen mit berechtigtem Interesse oder Einwilligung denkbar. Bei anderen Anwendungen hingegen kommt es darauf an, wie die Anbieter, z. B. Google oder Facebook die Ausgestaltung u. a. durch Pseudonymisierung umsetzen. Facebook hat in diesem Zusammenhang verkündet, dass es seine Services gemäß der DSGVO gestalten wird.
Unserer Auffassung nach wird es jedoch in dem einen oder anderen Fall wegweisende Urteile benötigen. Diese richterlichen Entscheidungen müssen die fehlende Klarheit in die Interpretation der teilweise schwammigen Formulierungen der DSGVO sowie der aktuell heiß diskutierten und anstehenden ePrivacy Verordnung (diese geht ausschließlich von Einwilligungen aus) bringen.
Zur Bewertung der Zulässigkeit einer Anwendung hilft es sich initial darüber Gedanken zu machen, was von der betroffenen Person von einem Unternehmen als üblich bzw. typischerweise als erwartbar betrachtet werden kann. Dass ein Unternehmen für seine Produkte oder Dienstleistung werben wird, dürfte hierbei unbestritten sein.
Hierbei ist jedoch auch der Grad der Beeinträchtigung der betroffenen Person zusätzlich zu berücksichtigen. In unserem Beispiel könnte unterstellt werden, dass der User erwartet, im Internet Werbebanner der zuvor besuchten Webseite anzutreffen, jedoch u. U. nicht, dass ein Interessensprofil erzeugt wurde, welches je nach Event und persönlichem Moment oder gar Befinden, zielgenau Werbebotschaften aussteuert und somit direkt Einfluss auf das Leben und die Entscheidung der betroffenen Person nimmt.
Web Analytic
Web Analytics Tools wie z. B. Google Analytics und Matomo (ehemals Piwik) messen in ihren Basisversionen Reichweiten und Userströme auf und von einer Webseite pseudonymisiert. In Google Analytics ist hierzu die IP-Adresse zu kürzen, darüber hinaus ist eine Auftragsdatenverarbeitungsvereinbarung mit Google abzuschließen. Klicken Sie hierzu lediglich diesen Link und senden das Formular ausgefüllt an Google. In wenigen Tagen erhalten Sie es gegengezeichnet zurück.
In der Datenschutzerklärung der Webseite sollten Sie über die entsprechende Funktionsweise des Web Analytics Tools informieren sowie den Opt-Out-Link bzw. Checkbox zum Deaktivieren bereithalten.
Demnach können die Web Analytics Tools in ihren Basisversionen nach der DSGVO als zulässig betrachtet werden.
Social Plugins und Conversion Pixel
Bereits im März 2016 entschied das OLG Düsseldorf höchstrichterlich, dass die Integration von sog. Social Plugins zum Teilen von Inhalten in sozialen Netzwerken sowie zum Anzeigen interessen- und verhaltensbasierter Werbung unzulässig ist.
Hierbei ist zu differenzieren, ob es in Verbindung mit dem berechtigten Interesse erwartbar bzw. der Grad der Beeinträchtigung betroffener Personen erheblich war.
Wenn das berechtigte Interesse als Legitimation ausscheidet, kommt jedoch eine Einwilligung zumindest in Betracht.
Die zeroseven design studios haben zum unbedenklichen Teilen der Webseiteninhalte frühzeitig eine adäquate Lösung entwickelt. Statt die Social Plugins der jeweiligen Social Media Plattformen zu integrieren, wurde eine TYPO3 Extension entwickelt, die die individuell definierten OG- oder TwitterCard-Tags der jeweiligen Webseite setzt und der Plattform mitteilt, wo es diese auslesen kann. Dabei werden keine personenbezogenen Daten übermittelt.
Tracking und Cross-Device-Tracking
Tracking ermöglicht das Verhalten von Usern über mehrere Onlineangebote bzw. sogar über Geräte (Devices: z. B. PC, Tablet oder Smartphone) hinweg zu verfolgen und damit interessen- und verhaltensbezogene User-Profile in Cookies oder auf Servern der Marketingdienstleister (z. B. Google oder Facebook) abzulegen.
Die Zulässigkeit ist auch hier erneut unter dem Aspekt der Ausgestaltung zu bewerten, insbesondere wenn berechtigtes Interesse zur Legitimierung herangezogen wird. Mittels der Einwilligung bei entsprechender Vorabinformation dürfte das Tracking zulässig sein.
Custom Audience
Custom Audiences sind Zielgruppen, die für Werbezwecke, z. B. Facebook Ads definiert werden. Diese können z. B. durch einen Conversion Pixel auf Ihrer Webseite generiert werden. Damit können Sie gezielt Werbung an entsprechende interessen- und verhaltensbezogene Zielgruppensegmente aussteuern.
Auch hierbei ist die Zulässigkeit abhängig von der Ausgestaltung sowie der überwiegenden Interessen der betroffenen Personen. Hierbei sind Antworten auf Fragen wie die folgenden zu finden:
- Wie werden Daten, insbesondere bei der Custom Audience from File abgeglichen?
- Ist die Pseudonymisierung durch die Plattform gewährleistet?
- Besteht eine Auftragsdatenverarbeitungsvereinbarung?
In unseren zwei Teilen zur DSGVO haben wir sicherlich nicht alle Aspekte und Facetten beleuchtet, jedoch einen ersten Eindruck darüber bieten können, welche Einschnitte sie für Ihr Online Business darstellen kann.
Vieles ist derzeit nicht abschließend geklärt oder kann technisch heute bereits umgesetzt werden. Anderes wird richterlicher Entscheidungen benötigen. Doch für eines sorgt die DSGVO und das ist auch gut so - sie sensibilisiert uns, stellt uns vor die Wahl, wie offen und transparent wir als User sein möchten und wie Sie als Unternehmen mit diesem Wissen vernünftig und maßvoll umgehen.
Datenschutzkonformer Betrieb von Websites
Einen datenschutzkonformer Betrieb von Website ist gesetzlich vorgeschrieben. Unsere Lösungen helfen Ihnen dabei Ihre Website nach DSGVO Richtlinien zu betreiben.
Leidenschaft für evidenzbasierte Markenkommunikation. Als Ihr Partner teile ich Werte, Haltung und praxisnahe Einsichten in meinen Beiträgen.