Datenschutz und IT-Sicherheit

Wie DS-GVO-konform ist Online-Marketing?

Im Datenschutz gibt es viel zu beachten und die Umsetzung der gesetzlichen Vorgaben kann manchmal Fragen aufwerfen. Bekannte Beispiele hierfür sind das Online- und das E-Mail-Marketing. Wann darf eine Organisation diese Art von Marketing nutzen und wann nicht?

Grundsätzlich muss man bei dieser Form von Werbung bzw. Datensammlung nicht nur die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) beachten, sondern u.a. auch das Gesetz gegen den unlauteren Wettbewerb (UWG).

Digitales Marketing unter der Lupe

Das digitale Marketing wird immer mehr zu einem wichtigen Baustein für Unternehmen und andere Organisationen weltweit, so auch in NRW. Gerade in Städten wie Köln, Düsseldorf, Bonn, Wuppertal, usw. entwickelt sich die Digitalisierung immer weiter.

Dabei gibt es verschiedene Möglichkeiten die Daten potentieller Kunden aber auch Bestandskunden zu nutzen. Nicht alles davon ist erlaubt und nicht jedem Unternehmen ist bekannt, welche Wege vor allem im Datenschutz genutzt werden dürfen.

Wir haben in unserem Datenschutz-Blog schon öfter über das Thema Cookies berichtet. (Mehr lesen Sie hier.) Die damit meist verbundene Art der Online-Werbung geht in der Regel mit dem Tracken von Daten einher. Das bedeutet, dass Daten von Usern über entsprechende Tools gesammelt werden, um unter anderem auf diese zugeschnittenen Werbeanzeigen und Angebote zu erstellen und entsprechend anzuzeigen.

Cookie-Einstellungen und der Datenschutz

Diese Cookies unterliegen längst gewisser gesetzlicher Grundlagen, damit der Nutzer der Website auch einen gewissen Einfluss auf die Nutzung seiner Daten hat. Lesen Sie mehr dazu hier. Nicht zu unterschätzen ist dabei aber auch die kriminelle Energie von Hackern, die nicht zuletzt auch versuchen, personenbezogene Daten über Fake-Webseiten oder auch das Hacken von Bestandsseiten abzugreifen.

Neben den Einstellungen, die jeder Homepagebetreiber bei der Verwendung von Cookies beachten muss, sollte daher auch die Sicherheit der verwendeten Dienste geprüft werden. Darüber hinaus werden natürlich auf der Homepage entsprechend die bekannten Trackingdienste tätig, die auf verschiedenste Art und Weise personenbezogene Daten verarbeiten und teilweise Nutzerprofile erstellen.

E-Mail-Werbung

Neben dem komplexen Thema des Profilings von Nutzerdaten auf einer Homepage, gibt es auch noch die E-Mail-Werbung, welche dadurch ermöglicht wird, dass der Betroffene seine E-Mail-Adresse in irgendeiner Form zu Verfügung gestellt hat.

Um diese zu nutzen, müssen die Verantwortlichen aber die entsprechenden Voraussetzungen schaffen, dazu gehören:

  • Der E-Mail-Empfänger muss vorher ausdrücklich einer werblichen Nutzung zugestimmt haben (oder ein besonderes Verfahre nach §7 Abs. 2 Nr. 3 UWG)
  • es darf kein Widerspruch des Betroffenen vorliegen
  • die E-Mail-Adresse muss vor dem ersten Versand einer E-Mail-Adresse auf Richtigkeit geprüft werden (z.B. Verifizierung durch Bestätigungsmail) und
  • in jeder Werbe-E-Mail muss auf das Widerspruchsrecht hingewiesen werden.

Darüber hinaus gibt es eine Ausnahme (§7 Abs. 3 UWG), welche auch als Bestandskundenwerbung per E-Mail bezeichnet wird:

„Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn

  1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
  2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  3. der Kunde der Verwendung nicht widersprochen hat und
  4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.“

Überprüfungspflicht bei Werbe-E-Mails

Wie oben beschrieben, hat jeder Verantwortliche dafür Sorge zu tragen, dass die verwendete E-Mail-Adresse auch korrekt angegeben wurde, bevor die erste Werbemail verschickt wurde. So soll unter anderem verhindert werden, dass personenbezogene Daten falsch übermittelt oder E-Mail-Adressen betrügerisch genutzt werden.

Um dies zu prüfen, macht es Sinn, dass der Nutzer die verwendete E-Mail-Adresse im Anschluss an die Registrierung der E-Mail-Adresse bestätigen muss. Meist geschieht dies durch eine Begrüßungsmail, in der er dazu aufgefordert wird.

Werbemails Datenschutz – Was sagt die DS-GVO zur Bestandskundenwerbung?

Einen eigenen Artikel hat die DS-GVO nicht, welchen den Umgang mit Werbemails speziell regelt, allerdings geben deren Grundlagen in der Umsetzung feste Vorgaben zum Umgang mit personenbezogenen Daten. Grundsätzlich kann man bei Bestandskundenwerbung zugrunde legen, dass es sich bei dieser Direktwerbung um ein berechtigtes Interesse des Unternehmens handelt und somit eine Grundlage für die Verarbeitung der personenbezogenen Daten vorliegt.

Trotz alle dem muss der Betroffene über die Bestandskundenwerbung rechtzeitig und eindeutig informiert werden. Das kann im Rahmen der Datenschutzhinweise passieren. Der Verantwortliche sollte sich bei jeder Art von Werbung an den Vorgaben des UWG orientieren und demnach dessen Grundlagen auch auf den Datenschutz übertragen.

Die Verarbeitung von personenbezogenen Daten unterliegt in allen Fällen den Grundlagen des Datenschutzes und Vorgaben der DS-GVO. Daher müssen alle diese u.a. auch entsprechend berücksichtigt und dokumentiert werden in dem Verzeichnis der Verarbeitungstätigkeiten (VVT), gesichert und dokumentiert sein durch technische und organisatorische Maßnahmen (TOM) und die Betroffenenrechte einhalten. Prüfen Sie in jedem Fall auch, welche Art von Auftragsverarbeitung ggf. vorliegt.

DS-GVO-konforme Werbung

Der (externe) Datenschutzbeauftragte sollte auch das Erstellen von Werbung vor allem im Bereich der personalisierten Werbung betreuen und auf mögliche Schwachstellen hinweisen. Der Datenschutz darf im Bereich der Werbung nicht vernachlässigt werden.

Die Werbung kann in einer breit gefächerten Form auftreten (z.B. Werbung in Newslettern, Werbe-Emails, Werbenachrichten, Banner-Werbung, Pop-up-Werbung auf der Homepage usw.) und ist nicht immer als solche direkt einzuschätzen. Besonderes Augenmerk sollte man auch auf die Werbung in E-Mail-Signaturen legen, welche gesondert geprüft und beurteilt werden muss.

Auch eingebundene Tracking-Dienste, die verhaltensbasierte Werbung schalten, müssen vom Verantwortlichen entsprechend gekennzeichnet und in den Vorgaben vom Datenschutz berücksichtigt werden.

Es gilt also für den (externen) Datenschutzbeauftragten sowohl die eigenen Werbemaßnahmen im Onlinemarketing zu prüfen, als auch die externen Dienste zu beurteilen und notwendige Schritte im Datenschutz einzuleiten.

Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und berät Sie mit einem Team aus Datenschutz, IT-Sicherheit und Steuerrecht gerne auch in dem Bereich DS-GVO-konformes Marketing. Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Werbemails und Datenschutz – Was darf verschickt werden?