DS-GVO: Achtet bei der Agenturwahl auf Datenschutz-Compliance

In Deutschland macht sich derzeit Panik breit, meine lieben Leute, denn die DS-GVO (Datenschutz-Grundverordnung) bzw. BDSG-neu sorgt für allerlei Verwirrung, Hektik, Missverständnisse und Tumulte in der Online-Marketing-Branche. Dabei wird hier wieder einmal deutlich heißer gekocht als gegessen. Trotzdem sollte jedes Unternehmen, das in Zukunft eine Agentur beauftragen möchte, auf die Datenschutz- bzw. DSGVO-Compliance dieser Agentur achten – ansonsten macht auch ihr euch strafbar.

via GIPHY

DS-GVO: Was macht die denn so?

Wie ihr euch denken könnt, kann und möchte ich euch keine rechtliche Beratung bieten. Trotzdem können wir natürlich erklären, was aus unserer Sicht in Bezug auf die DS-GVO beachtet werden muss und wie eine Agentur ab sofort arbeiten sollte. Im Grunde geht es darum, Unternehmen mehr zum Datenschutz anzuhalten und die Strafen gegenüber der bislang gültigen BDSG (Bundesdatenschutzgesetz) höher anzusetzen – quasi als Anreiz zum daran halten.

Neue Betroffenenrechte

Das wohl Wichtigste ist, dass es neue Betroffenenrechte gibt. Diese lauten dabei wie folgt:

• Privacy by Design (TOMs)
• Privacy by Default (Cookies standardmäßig aus)
• Recht auf Datenübertragbarkeit

Rechtfertigungsgründe für Datensammler

Außerdem müssen alle Unternehmen sich rechtfertigen, warum Daten gesammelt werden. Das kann durch drei verschiedene Punkte begründet werden. Wichtig zu verstehen ist, dass ihr euch per UND/ODER auf eines oder mehrere beziehen könnt. Das Gute dabei ist, dass ein Grund in 99% der Fälle genügt:

1. Einwilligung des Betroffenen (Akzeptieren der Cookies auf Webseite, DOI)
2. Vertrag oder ähnliche Verbindung (Kunden, Interessenten, Leads)
3. Berechtigtes Interesse & Notwendigkeit (jedes legale & wirtschaftl. Interesse)

Datenschutzerklärung

Auch die Datenschutzerklärung will überarbeitet werden. Das geschieht im besten Fall in Zusammenarbeit mit einem Anwalt. Bei Bedarf kann jedoch auch der eRecht24-Generator genutzt werden, der bereits auf die DSGVO angepasst wurde.

Mindestinhalt einer Datenschutzinformation, u.a. 

• Namen und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
• Kontaktdaten des Datenschutzbeauftragten
• Zwecke und Rechtsgrundlagen der Datenverarbeitung
• Berechtigtes Interesse oder Einwilligung etc.?
• Berechtigtes Interesse muss begründet sein (z.B. Direktmarketing)
• die berechtigten Interessen an einer Datenverarbeitung
• Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
• Dauer der Datenspeicherung (Löschkonzept)
• Bestehen von Betroffenenrechten wie Auskunft, Berichtigung, Löschung, Sperrung, Widerrufsrecht, Widerspruchsrecht, Datenübertragbarkeit

Direktmarketing als „berechtigtes Interesse“

Jetzt kommen wir zu meinem Lieblingspunkt: Viele Menschen glauben, dass unter diesen neuen Regelungen für alles und jeden eine Einwilligung eingeholt werden muss (s. oben, Rechtfertigung #1), was aber gar nicht der Fall ist. Glücklicherweise können sowohl wir Agenturen als auch die meisten Unternehmen ein „berechtigtes Interesse“ hervorbringen – Direktmarketing. Dieses ist innerhalb der DS-GVO gesetzlich anerkannt und somit eine (zumindest derzeit) verlässliche Säule.

via GIPHY

Was heißt das in Bezug auf Tracking & Retargeting?

Wer in Zukunft via Google Analytics tracken will, braucht dafür also ENTWEDER das Einverständnis des Betroffenen (Opt-In) ODER ein „berechtigtes Interesse“. Da die Bedingungen ein UND/ODER sind, reicht es, sich auf das berechtigte Interesse zu berufen, um kein Opt-In notwendig zu machen. Analytics, Hotjar und viele weitere Tools könnten also wie bisher genutzt werden, ohne, dass dafür an der Webseite etwas geändert werden muss – davon abgesehen, dass in der Datenschutzerklärung Opt-Out-Möglichkeiten stehen müssen.

Denkt aber daran, dass ihr das berechtigte Interesse mit einer Notwendigkeit begründet. So ist es z.B. notwendig, Google Analytics zu nutzen, um dem berechtigten Interesse des Direktmarketing nachkommen zu können. Es kann aber auch notwendig sein, Hotjar zu nutzen, um die User Experience der Webseite (User mag den Kauf-Button lieber rechts statt links) zu verbessern, was wiederum durch das berechtigte Interesse Marketing gestützt ist.

Lediglich zwei Sachen können uns einen Strich durch die Rechnung machen:

1. Nutzererwartungen
2. Personenbezogene Daten

Immer dann, wenn ein Nutzer eine Marketing-Methode mit gesundem Menschenverstand nicht erwarten würde, sind die Interesse des Betroffenen am Überwiegen, sodass ein Opt-In, also die Einwilligung des Betroffenen, notwendig wird. Das ist laut rechtlichen Einschätzungen von bekannten Rechtsvertretern z.B. dann der Fall, wenn es sich um Cross Device Marketing handelt. Betreibt ihr also einen Shop, trackt euren Nutzer via Desktop und wollt dann mit Google AdWords im Retargeting Anzeigen auf dem Smartphone des Nutzers ausspielen, müsstet ihr vorher eine Einwilligung einholen. Das geht z.B. via Opt-In beim Webseiten-Besuch. Eine gute Agentur (*zwinker*) kennt hier aber ein paar Tricks.

Problem #2 sind personenbezogene Daten. Immer dann, wenn diese nicht anonymisiert sind und wir keine Notwendigkeit dafür anführen können (was fast immer der Fall sein wird), wird eine Einwilligung durch den User zur Verarbeitung notwendig. Glücklicherweise anonymisieren die meisten Tools Daten. Egal ob Google Analytics, Hotjar, SimilarTech & Web, InfluencerDB und Co. Wer aber ein Tool verwendet, welches volle IPs oder weitere personenbezogene Infos zeigt, der braucht die Einwilligung.

Warum Agenturen Compliance nachweisen sollten

Das, was ich eben kurz zusammengefasst habe, ist nur ein Bruchteil der DS-GVO. So gibt es auch die Pflicht folgende Dokumente zu erstellen:

• Verfahrensverzeichnisse
• Technische & Organisatorische Maßnahmen
• Datenschutzfolgeabschätzungen
• Arbeitsdatenverarbeitungsverträge (AdV- bzw. bald AV-Verträge)
• Interne Datenschutzregeln
• Home Office Datenschutzregeln
• Verhalten im Fall einer Datenschutzverletzung

Darüber hinaus wird ein DSB bzw. Datenschutzbeauftragter (intern/extern) notwendig, wenn mehr als 10 bzw. 20 Mitarbeiter dauerhaft mit personenbezogenen Daten zu tun haben (je nachdem, ob manuell oder automatisiert). Dabei spielt es keine Rolle, ob dies Freelancer oder Festangestellte Personen sind.

Bezüglich des AdV-Vertrags kommt bei einer Agentur übrigens zum Tragen, dass diese nicht nur mit etwaigen Dienstleistern geschlossen werden müssen, die Kundendaten im Auftrag der Agentur verarbeiten, sondern auch mit dem Kunden. Denn die Agentur verarbeitet im Auftrag des Kunden seine oder sogar Kunden-Kundendaten. Mit der Beweislast-Umkehr ist erstmals nicht nur der Datenverarbeiter (Agentur) haftbar, sondern auch der Auftraggeber (Kunde). Nutzt ihr also eine Agentur, die nicht DSGVO-Compliant arbeitet, könntet ihr Probleme bekommen.

Die Strafen für Verstöße gegen die DS-GVO können bis zu 4% des weltweiten Jahresumsatzes bzw. 20 Millionen Euro betragen.

Was sollte also bei der Agentur-Auswahl beachtet werden?

Wenn ihr euch für eine Online-Marketing-Agentur entscheidet, fragt, ob diese DSGVO-Compliance nachweisen kann. Fordert Dokumente an, wie interne Verhaltensregeln zum Datenschutz, die angelegten Verfahrensverzeichnisse oder auch die TOMs. Besteht zudem auf einen AdV-Vertrag, denn es muss geregelt werden, für was und wie lange eure personenbezogenen Daten verarbeitet werden – auch in Bezug auf Haftung.

Habt ihr all dies gemacht, müsst ihr auch beachten, dass die Agentur der Wahl die neuesten Vorschriften bei der Nutzung von Google Analytics, AdWords, Retargeting & Remarketing, Facebook Pixel, Custom Audiences, E-Mail-Marketing und Co. kennen und umsetzen sollte. Fragt danach und lasst euch keinen Bären aufbinden. Also Augen auf, bei der Agentur-Wahl!

via GIPHY

Wer Fragen zu diesem äußerst komplexen Thema hat, kann sich auch gerne bei mir über soziale Netze oder via Mail melden.

Auch interessant:

Die „2-Euro-Instagram-Strategie“ für mehr Wachstum & Follower SEO & Paketpreise: Deshalb sind „Pakete“ unseriös und zu meiden Facebook Insights: Unser 1×1 der Zielgruppen-Findung