Die EU‑Datenschutz‑Grundverordnung (DSGVO) nähert sich mit Riesenschritten und tritt in weniger als drei Monaten in Kraft. Sie wurde lange diskutiert und doch von vielen Unternehmen fast genauso lange ignoriert, mit dem Ergebnis, dass heute eine gewisse Grundverunsicherung im Markt zu spüren ist.

Verunsicherung war allerdings noch nie ein guter Ratgeber, ist sie doch selten zielführend und oft mit Missverständnissen behaftet. Es ist daher an der Zeit, in klaren Worten herunterzubrechen, was die Verordnung ganz konkret für Digital-Marketingtreibende bedeutet und warum sie kein unüberwindbares Hindernis ist.

Was ist der Grundgedanke der EU-Datenschutz‑Grundverordnung (DSGVO)?

Ziel der DSGVO ist es, die rechtliche Situation in der EU mit Bezug auf personenbezogene Daten zu modernisieren, die Rechte des Einzelnen zu stärken und die EU-Regularien einheitlicher zu gestalten. Das ist grundsätzlich positiv zu bewerten, denn einheitliche Datenschutz-Standards sorgen für mehr Rechtssicherheit im europäischen Raum.

Für Marketingtreibende im E-Commerce heißt das konkret: Sie sollten die ihnen vorliegenden Daten jetzt auf ihre Konformität mit der DSGVO prüfen. Dabei gilt zu beachten: Die DSGVO legt genaue Maßstäbe fest, was als personenbezogenes Datum zu werten ist und welche Form der Einwilligung des Nutzers jeweils vorliegen muss, damit dieses zu Marketingzwecken verwendet werden darf.

Wie definiert die DSGVO personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; also jegliche Form von Daten, die direkt oder indirekt Rückschlüsse auf eine Person zulassen, wie Name, E-Mail-Adresse oder Telefonnummer.

Marketingtreibende sollten wo immer möglich Verschlüsselungstechniken heranziehen. Diese sorgen für eine sicherere Datenverarbeitung, da sich hier Daten wenn überhaupt nur unter Hinzuziehung zusätzlicher Informationen zuordnen  lassen. Dabei ist darauf zu achten, dass technische und organisatorische Maßnahmen getroffen werden, die eine direkte Zuweisung dieser Daten zu einer Person nicht oder nur mit einem erheblichen Aufwand ermöglichen. Pseudonymisierungen werden von der DSGVO ausdrücklich empfohlen, um ein angemessenes Schutzniveau der Nutzer zu gewährleisten.

Nicht empfehlenswert ist es hingegen, sensible Daten für Marketingzwecke zu verwenden. Darunter zu verstehen sind Daten etwa zu Ethnizität, Herkunft, politischer Einstellung oder weltanschaulichen Ansichten. Hier schreibt die DSGVO eine explizite Einwilligung des Nutzers zum konkreten Verwendungszweck vor, was nur mit großem Aufwand und äußerster Sorgfalt realisiert werden kann.  

Was bedeutet die DSGVO für mein Online Marketing?

Grundsätzlich gilt: Cookie IDs, Mobile Advertising IDs, "gehashte" E-Mail-Adressen und anderen technische Identifikatoren, die dazu dienen, Nutzern maßgeschneiderte, personalisierte Werbebotschaften anzuzeigen, werden von der DSGVO als personenbezogene Daten in pseudonymisierter Form gesehen - und damit als geeignet, um eine sichere Datenverarbeitung zu gewährleisten. Es gelten hier die gleichen Regeln wie für anderweitig pseudonymisierte Informationen. Doch welche sind das?

Wann darf ich pseudonyme Informationen für mein Online-Marketing nutzen?

Die DSGVO legt fest, unter welchen Voraussetzungen pseudonyme Informationen für Marketingzwecke verwendet werden dürfen. Hier sind zwei Grundsätze von zentraler Bedeutung, mindestens einer davon muss erfüllt sein.

Grundsatz Nummer 1: Eine wirksame, das heißt eindeutige Einwilligung des Nutzers liegt vor: Dies bedeutet nicht automatisch den vieldiskutierten expliziten Opt-In. Für pseudonyme, nicht-sensible Daten genügt auch eine andere Form eindeutiger Einwilligung. Achten Sie darauf, dass Sie auf Ihren Seiten ausführliche und einfach verständliche Informationen zur Nutzung von Daten bereitstellen und dass Ihr Marketing-Partner entsprechende Kontrollmöglichkeiten für Nutzer bereitstellt.

Grundsatz Nummer 2: Sie haben ein legitimes Interesse zur Datennutzung: Dieses ist dann gegeben, wenn die Daten etwa für direkte Marketingzwecke verwendet werden sollen und die Interessen des Betroffenen gewahrt bleiben.

Was muss ich als nächstes tun?

Im Wesentlichen sind drei Dinge von zentraler Bedeutung:

1. Stellen Sie zunächst sicher, dass Sie Ihre Nutzer auf Ihren Seiten entsprechend informieren, welche Daten Sie zu welchen Zwecken verwenden. Ihre Marketing-Partner sollten Ihnen dabei helfen können.
   
   
2. Stellen Sie sicher, dass Ihre Marketing-Partner DSGVO-konform arbeiten und entsprechende Kontrollmechanismen bereitstellen, über die Nutzer ihre Einstellungen steuern können.
   
   
3. Verfallen Sie nicht in übertriebenen Aktionismus, aber auch nicht in Lethargie. Haben Sie bisher datenschutzkonform gearbeitet, sollte die DSGVO wenig Überraschendes für Sie bereit halten. Nutzen Sie die Vielzahl an im Internet verfügbaren Checklisten und Quellen, um sicherzustellen, dass Ihre Datenbestände DSGVO-konform sind. Sollten Sie das noch nicht getan haben, ist jetzt der richtige Augenblick dafür.