Wie steht es um Ihren Marketing-Datenschutz? Der Countdown läuft!

Haben Sie alle Einwilligungen von ihren Kunden? Läuft Ihre Werbung rechtlich unbedenklich? Sind Ihre Kunden ausreichend über die Nutzung ihrer Daten informiert? Ab Mai 2018 wird mit der DSGVO europaweit die Nutzung von personenbezogenen Daten geregelt. Wir haben  relevante Inhalte von Experten zu einem B2B-Datenschutz-Überblick zusammengefasst.

 

Marketing und Datenschutz

 

Inhalt: 

  • Ihr DSGVO-Content Paket: Grundlagen-Webinar, Prozess-orientiertes Praxis-Whitepaper

  • EU-Datenschutz-Grundverordnung: FAQ zum Marketing-Datenschutz

  • Pflichten und Aspekte des Marketing-Datenschutzes

    • Datenminimierung

    • Informationspflicht

    • Datenschutz in einer vernetzten B2B-Unternehmenslandschaft

    • Sämtliche Datenschutz-Erklärungen müssen upgedated werden

  • Was bedeutet die DSGVO für die Arbeit mit Dienstleistern?

 

Datenschutz im Marketing ist seit Beginn der Digitalisierung ein konstantes, gleichsam ungeliebtes Thema. Mit der Verabschiedung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2016 und dem dadurch erhöhten Bußgeld für Datenschutzverstöße, ist der unbedachte Umgang mit Daten zum Existenzrisiko für das gesamte Unternehmen geworden. Bis 2018 haben Unternehmen nun Zeit, die Bestimmungen der neuen und europaweit gültigen Datenschutz-Grundverordnung umzusetzen.

 

 

Das DSGVO-Info-Paket für B2B-Marketer:

Grundlagen-Webinar + Prozess-orientiertes Praxis-Whitepaper

Keine Lust zu lesen? Wir haben auch ein DSGVO-Video für Sie

In diesem Grundlagen-Webinar erklärt Ihnen einen Experte für Datensicherheit alles Grundlegende zu den Änderungen durch die EU-DSGVO:

  • Welche Unternehmen von der DSGVO betroffen sind
  • Warum Ihr aktueller Marketing-Datenschutz wahrscheinlich viel zu löchrig ist
  • Erste Schritte für Praxismaßnahmen

 

>> Jetzt Webinar-Aufzeichnung ansehen

 

Einladung zum Webinar über DSGVO-konformen Marketing-Datenschutz.

 

Whitepaper: B2B-Kontaktprozesse unter der EU-DSGVO in der Praxis

Die EU-DSGVO verlangt Unternehmen ein erhöhtes Maß an Daten-Transparenz, Informationspflichten und Prozess-Dokumentation ab. In diesem Whitepaper finden Sie Praxisbeispiele für Prozesse und Strukturen, mit denen B2B-Unternehmen  die Anforderungen bewältigen können.

  • konkrete Beispiele für gängige Kontaktprozesse in B2B-Marketing und Vetrieb
  • Praxistipps für Unternehmensstruktur, Verantwortlichkeiten und Technologien

 

>> Jetzt DSGVO-Whitepaper herunterladen

 

Das Whitepaper liefert Beispiele für DSGVO-konforme B2B-Kontaktprozesse

 

 

//Disclaimer: Der folgende Artikel stellt keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen gesammelt, können aber absolut keine Garantie auf die Richtigkeit geben.

 

 

EU-Datenschutz-Grundverordnung: FAQ zum Marketing-Datenschutz

Welche Änderungen birgt die neue Grundverordnung für die Arbeit mit Daten im Marketing?

 

Klar ist: Im B2B-Sektor werden viele Unternehmen bis zum 25.05.2018 ihre Prozesse zur Datenverarbeitung und Datensammlung anpassen müssen. Darunter fallen nicht nur die Konsumentendaten, sondern Daten aller natürlichen Personen in der EU. Das sind die wichtigsten Fragen zum Marketing-Datenschutz in Bezug auf die EU-DSGVO:

 

 

Was sind personenbezogene Daten? (Art. 4 Nr. 1 DSGVO)

„Alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.“

 

 

Wann darf ein Unternehmen personenbezogene Daten verarbeiten? (Art. 6 DSGVO)

Personenbezogene Daten dürfen nur unter diesen Umständen verarbeitet werden (Fokus auf B2B-Relevanz):

 

  • Bei Vorliegen einer Einwilligung (Art. 6 Abs. 1 lit.a DSGVO), die eine betroffene Person für den bestimmten Fall erteilt hat.
  • Das Vorbereiten und Eingehen eines Vertrages mit einer betroffenen Person (Art. 6 Abs. 1 lit.b DSGVO)
  • Bei Vorliegen eines „berechtigten Interesses“ (Art. 6 Abs. 1 lit.f DSGVO)
  • In Erwägungsgrund 47 erläutert die DSGVO genauer, was ‚berechtigte Interessen‘  sein könnten: „…wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ ABER: „Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen.“

 

Heißt im Falle einer nicht vorliegenden Einwilligung: Ein Geschäft vor 20 Jahren begründet vielleicht noch bei Hochinvestitionsgütern ein berechtigtes Interesse an beispielsweise der neuen Maschinengeneration – ein genauso alter Kaufvertrag über Werkstoffe wohl eher nicht, wenn seitdem keine Kommunikation mehr stattgefunden hat.

 

 

Welche Informationspflichten hat das datenverarbeitende Unternehmen?

Art. 13 DGSVO und Art. 14 DSGVO bieten eine lange, konkrete Liste mit Informationen, die im Zuge der Datenverarbeitung den betroffenen Personen zur Verfügung gestellt wurden. Dabei ist es unerheblich, ob die Daten direkt bei der betroffenen Person erhoben wurden oder aus anderen Quellen stammen. Für die Übermittlung gelten zeitliche Fristen zu beachten.

 

Besonders beachtenswert ist auch Artikel 34 DSGVO, der besagt, dass bei einem Datenleck im verarbeitenden Unternehmen jede betroffene Person benachrichtigt werden muss, wenn „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ im Raume steht.

 

 

Wie ist die Zusammenarbeit mit Auftragsverarbeitern geregelt (z.B. Call Center)?

Diesem Prozess widmet die EU-DSGVO einen eigenen ausführlichen Artikel (28). Unterm Strich lässt sich sagen, dass die Auftragsverarbeiter deutlich mehr Verantwortung übernehmen müssen. So ist die Weitergabe an einen weiteren Dienstleister, wie häufig in der B2B-Marktforschung oder dem Telefonmarketing üblich, nicht mehr ohne weiteres üblich.

 

In jedem Fall sollte stets ein EU-DSGVO-konformer Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Der Verband Bitkom hat eine solche Vertragsvorlage erstellt.

 

 

Welche Rechte haben betroffene Personen?

Eine lange Liste an Artikeln regelt die Rechte der Betroffenen. Wichtig sind dabei vor allem die bereits angesprochenen Artikel 13 und 14, die Artikel 15 bis 22 sowie Artikel 34 und 12. In letzterem heißt es: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

 

 

Wer kann Unternehmen bei Behörden melden?

Prinzipiell kann jede betroffene Person bei der zuständigen Behörde eine Meldung eingeben. In Deutschland sind dies die Datenschutzbeauftragten der Bundesländer.

 

 

 

 

 

Pflichten und Aspekte des Marketing-Datenschutzes

 

Einwilligung- und Nachweispflicht

So wirkt sich die Verordnung auch auf den Datenschutz im Marketing und bei der Lead-Generierung aus. Beispielsweise die Pflicht, eine ausdrückliche Einwilligung der Daten-Owner einzuholen, bevor die Daten für Marketingzwecke verwendet werden dürfen. Werbung ruft schon jetzt kaum Begeisterung beim Empfänger hervor und eine kurze Information darüber, wie der Absender an die Adresse gekommen ist würde viel zur Akzeptanz von Marketing beitragen. Rechtlich auf der sicheren Seite sind Sie, wenn Sie das bereits etablierte, im Industriemarketing aber noch nicht verbreitete Double-Opt-in Verfahren nutzen. So kann die Einwilligung elektronisch in Ihrem CRMSystem archiviert werden und Sie erfüllen dadurch die geforderte Nachweispflicht.

 

 

Datenminimierung

Die Pflicht zur Datenminimierung gestaltet das Sammeln von Leads in der Praxis schwieriger, da nun nur noch die für den jeweiligen Zweck relevanten Angaben abgefragt werden dürfen. Ein Erheben der Daten „auf Vorrat“ ist nun rechtlich nicht mehr erlaubt. Deshalb müssen Sie Ihr Lead Nurturing anpassen, um die passenden Angaben mit weiteren Aktionen abfragen zu dürfen.

 

 

Informationspflicht

Wenn Sie nun den Lead offline auf einer Messe eingesammelt haben und die Person gibt Ihnen ihre Visitenkarte, dann muss sie in der ersten Kontaktaufnahme (z.B. Newsletter, Follow-Up E-Mail, Anruf des Vertriebs) von Ihnen über Ihre Datenschutzbestimmungen informiert werden. Diese Anforderung gilt auch bei allgemein zugekauften Adressen oder personenbezogenen Daten.

 

Nutzen Sie zur Datenverarbeitung die Dienstleistungen Dritter, dann müssen Sie Ihre Daten-Owner darüber informieren.

Weitere Informationen über die Änderungen, die 2018 auf Ihr Unternehmen zukommen, können Sie im hier nachlesen.

 

Dass die Datenabfrage bei der Online-Leadgenerierung unter der neuen Datenschutzverordnung auf Rechtmäßigkeit überprüft werden muss, ist klar. Besonders bei der „Identifizierung“ des Besuchers auf der Formularseite stellen sich zunächst neue datenschutzrechtliche Fragen. Aktuell regeln das Bundesdatenschutzgesetz (BDSG) bzw. das Telemediengesetz (TMG), ob und wie personenbezogene Daten der Besucher erhoben, gespeichert und verarbeitet werden dürfen.

Der Grund für diese strenge Regelung liegt darin, dass bei Ihren Kunden ein berechtigtes Interesse darin besteht, den Umgang mit personenbezogenen Daten mit einer rechtlichen Grundlage abzustecken. Sie können nicht nur Ihre eigenen Marketingmaßnahmen gezielter ausspielen, auch das Verhalten der Kunden wird dadurch transparenter. Das führt bei vielen Verbrauchern zu Unbehagen und Misstrauen. Eine offene und ehrliche Kommunikation darüber, was mit den jeweiligen Daten passiert und wie diese verwendet werden, wird von Ihren Interessenten positiv aufgenommen.

 

 

Video: Medienrechtsanwälte über die EU-DSGVO und den neuen Datenschutz im Marketing

 

 

 

Marketing-Datenschutz in einer internationalen B2B-Unternehmenslandschaft

Das DSGVO gilt für alle EU-Unternehmen. Bei der Kooperation mit Nicht-EU-Dienstleistern gelten wiederum andere Vorgaben. Seit dem 12. Juli 2016 ist die „Privacy Shield“-Vereinbarung mit den USA in Kraft getreten. Damit betrachtet die EU-Kommission die Vorgaben zum Schutz der personenbezogenen Daten von EU-Bürgern in den USA als angemessen.

 

Somit ist die Zusammenarbeit mit Dienstleistern aus den USA zum Datenmanagement gesichert. Die Privacy Shield Vereinbarung wird aber nicht von der DSGVO abgelöst. Bei der Zusammenarbeit mit Dienstleistern außerhalb der USA oder EU müssen Sie darauf achten, dass die Datenschutzbestimmungen der DSGVO eingehalten werden.

 

Im Unternehmen wird die Position des Datenschutzbeauftragten weiter gefestigt, da dieser nun die Aufgabe hat, die datenschutzkonforme Nutzung nach DSGVO, der gesammelten Daten zu gewährleisten. Wie genau die Zusammenarbeit zwischen Privacy Shield und DSGVO ablaufen wird und was die Aufgaben Ihres Datenschutzbeauftragten sein werden, lesen Sie im hier Beitrag unseres Fachportals Marconomy.

 

 

Sämtliche Datenschutz-Erklärungen müssen upgedated werden

Laut einer Umfrage des Digitalverbands Bitkom aus dem Jahr 2016 verwendet jedes dritte Unternehmen (35 Prozent) mehr als eine Datenschutzerklärung. Unterschiede gibt es beispielsweise bei Webseite und Papierformularen oder Kundengruppen. Insbesondere bei größeren Unternehmen haben unterschiedliche Bereiche unterschiedliche Datenschutzerklärungen.

 

Klar ist: Je mehr unterschiedliche Erklärungen Sie haben, desto mehr Arbeit kommt auf Ihr Unternehmen zu, denn „mit der Einführung der EU-Datenschutz-Grundverordnung müssen sämtliche Datenschutzerklärungen auf den neuesten Stand gebracht werden“, so Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit im Interview mit Marconomy.

 

Der Zweck davon ist auch, dass es einheitliche und europaweite Voraussetzungen zur Handhabe der einzelnen Datenschutz-Verträge, -Klauseln und -Informationen gibt.

Welche neue Verordnung und zusätzliche Informationspflichten die formalen Vorgaben für Einwilligungen verschärft haben, lesen Sie in der FAQ von Bitkom zur neuen Datenschutz-Grundverordnung.

 

 

Was bedeutet die DSGVO für die Arbeit mit Dienstleistern?

Für viele Unternehmen lohnt es sich nicht, eine eigene, leistungsfähige Infrastruktur für E-Mail-Marketing und Lead Management aufzubauen. Doch bei der Wahl von Drittanbietern ist darauf zu achten, dass diese sich auch an die gesetzlichen Regelungen und Vorschriften halten.

 

Dazu zählen diverse Datensicherheitsgebote wie Zutrittskontrollen, Weitergabekontrollen sowie ein Trennungsgebot. Wenn Sie auf Nummer sicher gehen wollen, dann achten Sie bei der Dienstleisterwahl auf zertifizierte Anbieter. Vertrauenwürdige Zertifikate sind zum Beispiel:

 

  • ISO 27001
  • TÜV für Datensicherheit und Softwarequalität
  • Certified Senders Alliance in Sachen E-Mail-Marketing

 

Doch egal, wie sehr der Dienstleister sich darum bemüht, die gesetzlichen Grundlagen zu erfüllen: Letztendlich ist auch Ihr Unternehmen dafür haftbar, dass mit Ihren Daten und den Daten Ihrer Kunden ordnungsgemäß umgegangen wird. Ein EU-DSGVO-konformer Auftragsdatenverarbeitungsvertrag hilft dabei, Dienstleister juristisch in die Pflicht zu nehmen. Bitkom bietet hierfür ein Vertragsmuster.

 

Auch bei der Planung von Kampagnen ist darauf zu achten, dass die Vorgaben eingehalten werden. Egal ob bei Newsletter, Lead-Kampagne oder Werbemailing: Datenschutzhinweise, Impressum, Abmeldelink mit Widerrufsmöglichkeit müssen immer dabei sein.

 

Weiterführende Themen über Datenschutz und Datensicherheit – inklusive praktischen Checklisten – finden Interessierte hier oder im kostenfreien E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“.

 

Egal ob Lead-Management, Online Marketing, Social Media Marketing oder die Entwicklung von Automatisierten Marketing, der Großteil der digitalen Marketinginstrumente ist datengetrieben. Deshalb wird Datenschutz im Marketing weiterhin ein relevantes Thema bleiben – so nervig die Thematik für Nicht-Juristen auch sein mag. Doch warum die Umstellungen durch die DSGVO auch eine Chance sein kann, lesen Sie hier im PR-Journal.

 

 


Bildquelle: Pexels/CC0

Patrick Lehnis

Bereits während des Studiums hat Patrick Lehnis als Werksstudent in B2B- Marketing- und Kommunikationsagenturen mit Industriemarketing Kontakt gehabt. Als Trainee bei Vogel Business Media verbindet er im Rahmen des Industriemarketing-Blogs sein Wissen aus Studium und Praxis.
Simple Share Buttons