In wenigen Wochen tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Sie wird die Spielregeln im Marketing neu aufstellen. Doch noch lange nicht sind alle Unternehmen optimal auf die Regelungen eingestellt. Auch wenn die Marketing-Entscheider mit Hochdruck daran arbeiten, die Vorgaben bis zum 25. Mai umzusetzen, fühlen sich laut einer Umfrage des ECO-Verband aktuell nur 13 Prozent der Unternehmen rechtlich auf der sicheren Seite. 47 Prozent wollen sich noch eine geeignete Vorgehensweise überlegen.

Um in den komplexen Sachverhalt etwas Klarheit zu bringen, hat Christoph Bauer, CEO und Founder von ePrivacy, auf dem CPX Performance Marketing Gipfel sechs wesentliche Änderungen zusammengefasst, die die DSGVO für das Performance Marketing mit sich bringen wird.

1. Nichts ist mehr so wie früher

• Die DSGVO genießt einen sogenannten Anwendungsvorrang
• Das heißt: Das, was bisher gilt, wird nicht mehr gültig sein
  
• BDSG: Es gilt nur noch ein Rumpfgesetz ("Allgemeines Bundesdatenschutzgesetz")
• Das Telemediengesetz wird es in seiner jetzigen Form ebenfalls nicht mehr geben
  

2. Personenbezogene Daten

• Bisher galten als personenbezogene Daten unter anderem: Name, Adresse etc.
• Cookie-Adressen oder MC-IDs zählten bisher nicht zu den personenbezogenen Daten
• Mit der DSGVO gilt: Auch IP-Adressen, Cookie-IDs, digitale Fingerprints sowie User-IDs zählen zu den personenbezogene Daten.
• Normalerweise sind aber Online-Profile anonym und für anonyme Daten gilt die DSGVO nicht. Aber diese Einschätzung wird teilweise bestritten. Daher gilt es abzuwarten, wie es sich in diesem Fall entwickeln wird.

3. Berechtigte Interessen bei Online-Werbung

• Grundsätzlich gilt, dass jede Verarbeitung personenbezogener Daten eine Einwilligung benötigt.
• Doch der Artikel 6 Absatz 1 f. der Datenschutzgrundverordnung besagt: "Ist eine Datenverarbeitung erforderlich für den Zweck berechtigter Interessen des Datenverarbeiters und überwiegen die Interessen der Betroffenen nicht, so ist die Verarbeitung personenbezogener Daten auch ohne Einwilligung zulässig."
• Aber in welchen Fällen gilt ein "berechtigtes Interesse"? Als legitim soll dadurch unter anderem das Direktmarketing gelten, also auch die Online-Werbung.
• Bei der Abwägung, was genau als "legitim" gilt, sind die "redlichen Erwartungen" der Betroffenen zu berücksichtigen. Alles, was danach erwartbar "war", ist dann auch legitimiert.
• In diesem Zusammenhang gibt Bauer den Hinweis, dass Marketer die Chance nutzen sollen, die Erwartungen zu "gestalten" und zwar durch transparente Datenschutzhinweise.

4. Ein Opt-Out ist zwingend erforderlich

• Bei der Verarbeitung von Nutzerdaten unter anderem im Online-Marketing muss künftig zwingend ein Opt-Out möglich sein. Das gilt auch für die Fälle der Online-Werbung / Profilbildung gemäß Artikel 6 Absatz 1 f. der DSGVO.
• Die Information bezüglich des Widerspruchsrechts muss spätestens beim ersten Kontakt zum Beispiel beim Laden der Website gegeben sein, beispielsweise in der Datenschutzerklärung.

5. Gesteigerte Transparenzpflichten

• Der Artikel 13 der DSGVO steigert die Transparenzpflichten deutlich. Das führt dazu, dass die Datenschutzerklärungen umfangreich überarbeitet werden.
• Dazu muss der Katalog der Artikel 13 und 14 der DSGVO abgearbeitet werden. Wird dies nicht sorgfältig bearbeitet, drohen hohe Bußgelder.

6. Zukünftige Dokumentationspflicht

• Durch das Inkrafttreten der DSGVO hat jedes Unternehmen eine gesteigerte Dokumentationspflicht ("Rechenschaftspflicht").
• Folgende Punkte muss jedes Unternehmen sorgfältig dokumentieren: Verfahrensverzeichnisse, Rechtgrundlagen und wie die Rechte der Betroffenen gewährleistet werden
• Wer diese Punkte nicht dokumentiert, riskiert Bußgelder, die eine Höhe von bis zu vier Prozent des Unternehmensumsatzes erreichen können.