Data Driven Marketing nach den neuen EU-Datenschutzregeln – was ist möglich?

Nutzer-Daten. Sie sind die tragende Säule des modernen Marketings, allerdings nur für den, der es schafft, das immer größer werdende Volumen zu verwerten und für sich zu nutzen. Den individuellen Nutzer zur richtigen Zeit mit dem richtigen Angebot zu einer gewollten Handlung bewegen und daraus einen Wettbewerbsvorteil ziehen:  das ist die Herausforderung, der moderne Unternehmen in einer zunehmend vernetzten Welt gegenüberstehen. Und all dies immer unter Einhaltung der neuen Datenschutzrichtline DSGVO!

Das Zauberwort heißt datengetriebenes Marketing (Data Driven Marketing). Datensätze, die beispielsweise mittels Webanalyse- Tools generiert wurden, werden verknüpft, analysiert und zu exakten Datenmodellen zusammengeführt. Der Vorteil von Data Driven Marketing liegt darin, Kundenerlebnisse hochgradig zu individualisieren.

Die Vorteile des datengetriebenen Marketings bedingen allerdings die Einhaltung von geltenden Datenschutzregeln, die sich seit dem 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) und voraussichtlich 2019 mit der Einführung der ePrivacy – Verordnung erheblich verschärfen.

Hintergründe über die neuen EU- Datenschutzregeln DSGVO und ePrivacy-VO

Ziel der neuen Datenschutzregelungen ist es, personenbezogene Daten der Nutzer und ihren freien Verkehr besser unter Schutz zu stellen. Der bisherige Entwurf der ePrivacy–VO geht sogar noch weiter, indem sie den gesamten Bereich der elektronischen Kommunikation regeln soll, d.h. nicht nur personenbezogene Daten (z.B. Name, Adresse, Geburtsdatum von natürlichen Personen, aber auch IP-Adressen und Cookies), sondern auch die Übermittlung von Maschine-zu-Maschine-Kommunikation (z.B. SmartHome, vernetzte Autos) und somit die gesamte digitale Wirtschaft.

Ursprünglich sollte die ePrivacy-VO zusammen mit der DSGVO ab 25. Mai 2018 gelten. Dieser Zeitplan wird allerdings nicht eingehalten werden können, da sowohl das EU- Parlament, als auch die EU-Kommission verschiedene Entwürfe ausgearbeitet haben, die sich in verschiedenen Streitpunkten erheblich unterscheiden. Zudem ist noch nicht absehbar, ob es, wie schon bei der DSGVO, eine Übergangsfrist geben wird und wie lang sie sein wird.

Was hat sich durch die DSGVO geändert?

Seit dem 25. Mai 2018 gilt die DSGVO. Der Grundsatz der DSGVO, wie auch beim bisherigen BDSG, liegt darin, dass personenbezogene Daten nur mit Einwilligung (Opt-in) der betroffenen Person verarbeitet werden dürfen. Sie muss freiwillig erfolgen und darf gem. Art. 7 Abs. 4 DSGVO nicht Bedingung für die Erbringung einer Dienstleistung sein, wenn die Verarbeitung der Daten dafür nicht erforderlich ist (Kopplungsverbot). Die Einwilligung muss nachweisbar gespeichert werden und bei Nachfragen durch Aufsichtsbehörden oder dem Verbraucher selbst, abrufbar sein. Zudem muss der Einwilligende in transparenter und leicht verständlicher Weise darauf hingewiesen werden, dass er gem. Art. 7 Abs. 3 DSGVO ein jederzeitiges Widerrufsrecht hat.

Zusätzlich enthält die DSGVO eine Reihe von Erlaubnistatbeständen, die eine Verarbeitung von personenbezogenen Daten auch ohne Einwilligung ermöglichen. Dies gilt z.B., wenn die Daten für die Erfüllung von Verträgen erforderlich sind (Art. 6 Abs. 1 lit. (b) DSGVO) oder, wenn das Unternehmen ein berechtigtes Interesse an der Verarbeitung hat (Art. 6 Abs. 1 lit. (f) DSGVO). Ein solches berechtigtes Interesse besteht beispielsweise bei der Verarbeitung von Daten zur Reichweitenmessung, der Direktwerbung oder dem Einsatz von Analysetools. Voraussetzung ist, dass die schutzwürdigen Interessen der betroffenen Personen (z.B. Schutz der Privatsphäre) nicht den Interessen der Verantwortlichen überwiegen. Hier muss eine Interessenabwägung vorgenommen und darauf hingewiesen werden, dass der betroffenen Person ein Widerspruchsrecht zusteht (Opt-out). An die Interessenabwägung stellt die DSGVO hohe Anforderungen, zudem muss der Verarbeitende dem Betroffenen seine Gründe darlegen und diese auch dokumentieren.

Das für die Werbebranche wichtige Profiling wird in Art. 4 Abs. 4 DSGVO definiert, als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass die personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte (z.B. Alter), die sich auf eine natürliche Person beziehen, zu bewerten […]“. Mittels Profiling ist es möglich, Nutzerprofile auf Grundlage automatisch erhobener personenbezogener Daten zu erstellen und so Kundenangebote zu optimieren und persönliche Handlungsempfehlungen geben zu können. Entfaltet das automatisierte Profiling eine rechtliche oder ähnlich erhebliche beeinträchtigende Wirkung für den Betroffenen (z.B. eine Kreditentscheidung) ist eine Einwilligung notwendig, es sei denn, einer der in Art. 22 Abs. 2 DSGVO genannten Erlaubnistatbestände, greift ein. Für personalisierte Werbung wird weder eine Einwilligung, noch einer der Erlaubnistatbestände erforderlich sein, da sie bereits keine rechtliche oder ähnliche Wirkung für den Betroffenen entfaltet.

DSGVO: Handlungsempfehlungen für Unternehmen

Die DSGVO ähnelt in vielen Bereichen dem bisherigen BDSG, enthält aber auch einige Neuerungen. Werbetreibende sollten die neuen Regelungen, insbesondere im Hinblick auf die verschärften Bußgelder (bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs) oder Abmahnungen durch Wettbewerber, ernst nehmen. Information und Transparenz gegenüber dem Kunden, insbesondere im Rahmen der Interessenabwägung und das Einholen von Einwilligungen, wo sie erforderlich sind, werden den Unternehmen helfen. Zudem sollte auf die Praxis von Aufsichtsbehörden und zukünftiger Rechtsprechung geachtet werden.

Welche Neuerungen gibt es für das digitale Business durch die ePrivacy-Verordnung?

Im Gegensatz zur DSGVO, die in großen Teilen den bisherigen Regelungen gleicht, hat die ePrivacy-VO das Zeug, die digitale Werbewelt radikal über den Haufen zu werfen. Sie wird die so genannte Cookie- Richtlinie ersetzen und soll den Schutz der elektronischen Kommunikation sicherstellen.

Bisher basiert der größte Teil der digitalen Werbewirtschaft auf Cookies, mit denen Nutzer beispielsweise verfolgt werden (Tracking), um für die Customer-Journey-Analyse eine exakte Datenspeicherung über das Verhalten des Nutzers generieren zu können.

Die damalige Cookie-Richtlinie legte fest, dass Webseiten-Anbieter ihre Nutzer nur mit deren Einwilligung verfolgen dürfen, z.B. durch den Klick auf ein Banner mit dem Inhalt „Cookies akzeptieren“. Eine Richtlinie gilt im Gegensatz zu einer Verordnung nicht unmittelbar, sondern muss durch die Mitgliedsstaaten erst in nationales Recht umgesetzt werden. Deutschland hat dies nie getan, weshalb es statt einer Einwilligung meist nur die Information über den Einsatz von Cookies gibt. Das Benutzen der Website gilt als konkludente Einwilligung. Diese Praxis soll – zumindest tendenziell mit den derzeitigen Entwürfen – mit der ePrivacy-VO nicht mehr möglich sein.

Cookies, Einwilligung und Co.: Was würde sich ändern?

Erlaubt sind nur noch solche Cookies, die zur Diensterbringung oder aus Sicherheitsgründen erforderlich sind, oder die, in die der Betroffene eingewilligt hat. Der Unterschied zur DSGVO ist, dass es eine Interessenabwägung nicht geben soll, was die Verarbeitung der Kommunikation stark einschränken würde. Zudem soll es eine Sondervorschrift zur Einwilligung geben. Die Zugangssoftware (z.B. der Browser) muss künftig standardmäßig alle Cookies von Dritten (3rd-Party-Cookies) blocken und dem Nutzer in den Systemeinstellungen die Möglichkeit geben, dem Einsatz der Cookies zuzustimmen („Privacy by default“). Dadurch soll der Nutzer vor der Flut an „Cookie“-Bannern geschützt werden, besonders nutzerfreundlich ist diese Lösung allerdings sicherlich nicht, vielmehr wird der Webseitenbesuch für den Nutzer erschwert. Vor allem Anbietern von kostenlosen – weil werbefinanzierten – Diensten, wird die Finanzierungsgrundlage entzogen, wenn der User nicht einwilligt. Die Kontrolle der Datenverarbeitung durch Dritte liegt allein beim Anbieter der Software, die Kommunikationsverbindungen erlaubt.

ePrivacy-VO: Was können Unternehmen tun?

Zunächst ist es wichtig zu wissen, dass der bisherige Entwurf sehr umstritten ist, nicht zuletzt, weil die Widersprüche zwischen DSGVO (Interessenabwägung möglich) und ePrivacy-VO (keine Interessenabwägung, Einwilligung stets erforderlich) ein erhebliches Maß an Rechtsunsicherheit zur Folge hat. Es ist deshalb abzuwarten, welche Ergebnisse der Trilog zwischen EU- Parlament, Kommission und Rat liefert.

Für das wettbewerbsfähige Anbieten von personalisierten Angeboten und Werbung wird zukünftig wohl ein Nutzer-Login erforderlich sein, mit dessen Hilfe Permissions widerruflich gespeichert werden können und somit Content und Werbung personalisiert werden kann. Damit Nutzer nicht durch unzählige Zugangsdaten überfordert und dadurch abgeschreckt werden, wäre es für Unternehmen denkbar, sich einem Log-in-Pool anzuschließen. Sogenannte Log-in-Allianzen wollen Nutzern ein einfaches Anmeldeverfahren mit transparenter Datenverwaltung bieten, indem für verschiedene Online-Dienste die gleichen Login-Daten gelten.

Fazit

Die neuen EU-Datenschutzregelungen sollten für Unternehmen, die Data-Driven-Marketing einsetzen, als Gelegenheit gesehen werden, sich für Datenschutz zu sensibilisieren und einen guten Überblick über ihre Datenverarbeitung zu erlangen. Erst in den kommenden Wochen wird sich wirklich zeigen, wie sich das Institut DSGVO in der Praxis schlägt und welche Entwicklungen sich bezüglich der streitbaren ePrivacy-VO ergeben. Unternehmen, die sich auf das Kommende vorbereiten, werden im scheinbar undurchsichtigen Datenschutzrecht den Überblick behalten.

Dieser Artikel erschien am und wurde am aktualisiert.
Nach oben scrollen