Datenschutz im Online Marketing und Social Media im Rahmen der DSVGO
Am 25. Mai 2018 ist die Übergangsfrist zur Umsetzung der EU-Datenschutzgrund- verordnung (DSGVO) abgelaufen und be- troffene Unternehmen müssen diese ab diesem Datum umgesetzt haben.
Für international im Online-Bereich tätige Unternehmen gibt es jedoch auch wesentliche Vereinfachungen.
Grundsätzliches
Die DSGVO kommt nur dann zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Als Verarbeitung wird unter anderem das Speichern, Auswerten oder auch die Gewährung einer Zugriffsanfrage durch Dritte gewertet.
Die DSGVO gilt für alle in der EU tätigen Unternehmen unabhängig von einem allfälligen Sitz, also beispielsweise auch für US-Unternehmen wie Facebook oder WhatsApp, da diese persönliche Daten von EU-Bürgern verarbeiten.
Neben hohen Bussgeldern ist auch neu, dass jeder Betroffene und nicht nur die geschädigte Person ein Unternehmen abmahnen kann, was bedeutet, dass nun auch Wettbewerber oder Verbraucherschützer das Recht dazu haben. Unternehmen haben mit der Einführung der DSGVO die Nachweispflicht, was sie mit personenbezogenen Daten machen.
Da die praktische Erfahrung im Umgang mit der DSGVO noch fehlt, herrscht grosse Verunsicherung bei Unternehmen bis sich die Rechtsprechung mit den ent- scheidenden Fragen auseinandergesetzt haben wird und sich entsprechend Handlungsempfehlungen herauskristallisieren werden.
Im Folgenden soll kurz auf ausgewählte Bereiche des Onlinemarketing und Social Media eingegangen werden, um Unternehmen auf die verschiedenen Fragestellungen zu sensibilisieren. Die einzelnen Ausführungen erheben keinen Anspruch auf Vollständigkeit und sind je- weils im Einzelfall zu prüfen.
Gesetzliche Erlaubnis oder Einwilligung
Laut DSGVO ist die Verarbeitung von personenbezogenen Daten (wie dies auch unter den früher geltenden Datenschutzgesetzen der Fall war) grundsätzlich verboten. In der Praxis ist es jedoch schlicht unmöglich, keine personenbezogenen Daten zu verarbeiten, weshalb es von diesem Grundsatz Ausnahmen gibt, sofern ein Gesetz eine Ausnahme vorsieht oder die Einwilligung der jeweils betroffenen Person vorliegt.
Artikel 6 Absatz 1 der DSGVO definiert, wann eine Verarbeitung von personenbezogenen Daten rechtmässig ist. Dies ist insbesondere der Fall, wenn eine Einwilligung der betroffenen Person vorliegt (lit. a), die Verarbeitung zur Erfüllung eines Vertrages notwendig ist (lit. b) oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (lit. c).
Onlinemarketing
1. Direktmarketing als berechtigtes Interesse
Marketing Massnahmen können als berechtigtes Interesse gemäss Art. 6 Abs 1 lit. f. DSGVO angesehen werden, jedoch darf das schutzwürdige Interesse des Einzelnen das wirtschaftliche Interesse des Unternehmens im Einzelfall nicht über- wiegen. Wie genau diese beiden sich ge- genüberstehenden Interessen gewichtet werden, lässt sich pauschal nicht sagen, dennoch sprechen einige Aspekte dafür, dass das berechtigte Interesse am Online- marketing die schutzwürdigen Interessen des Einzelnen überwiegen.
Zu diesem Schluss kann man kommen,
wenn Onlinemarketing-Massnahmen durch den Nutzer zu erwarten sind;
wenn das Unternehmen den Nutzer ausführlich und transparent aufklärt (insbesondere auch über den Schutz ihrer personenbezogenen Daten);
wenn nur unspezifische Daten verarbeitet werden (z. B. nur Email-Adressen);
wenn der Nutzer der Datenverarbeitung widersprechen kann und
wenn die Beeinträchtigung für den Nutzer nur geringfügig ist.
Ob die Interessen im Endeffekt jedoch tat sächlich so abgewogen werden und damit Onlinemarketing als berechtigtes Interesse eines Unternehmens ausgelegt wird, kann heute noch nicht abschliessend beurteilt werden, da dies nicht aus der DSGVO hervorgeht.
2. Social Media
Monitoring
Unternehmen nutzen immer häufiger Social Media Monitoring, um topaktuelle Trends und Meinungstendenzen herauszufiltern und damit ihre Marketing Massnahmen und Strategien an ihrer Zielgruppe ausrichten zu können.
Einzelne Aussagen von Nutzern in Social Networks (Social Listening) werden dabei anonymisiert analysiert, interpretiert und entsprechend genutzt. Rechtmässig ist ein solches Vorgehen nur dann, wenn das Social Media Profil des jeweiligen Nutzers öffentlich zugänglich, also von jedem einsehbar, ist oder einzelne Posts keiner natürlichen Person mehr zugeordnet werden können.
Jedoch sind die betroffenen Personen nach dem erstmaligen Abspeichern ihrer Daten darüber zu informieren. Auch bei Social Media Monitoring ist die Informationspflicht gemäss Art. 14 DSGVO ein- zuhalten.
Die betroffene Person hat gemäss Artikel 22 Absatz 1 DSGVO das Recht, nicht einer ausschliesslich auf einer automatischen Verarbeitung – einschliesslich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. In der Praxis hat dies zur Folge, dass Social Media Monitoring eine Einwilligung verlangt.
Marketing
Werden Social Media Profile im Marketing eines Unternehmens verwendet, so gilt die Impressumspflicht, unabhängig von der genutzten Social Media Plattform.
Bei der Einbindung von Social Media Plug-Ins auf Webseiten ist aus daten- schutzrechtlicher Sicht Vorsicht geboten, da die jeweiligen Social Media Plattformen, respektive deren Anbieter, einen unbeschränkten Zugriff auf die Daten der Nutzer der Unternehmenswebseite erhalten. Grundsätzlich sollte darauf geachtet werden, dass der Nutzer solche Plug-Ins selbst aktivieren muss.
Die Einbindung von Social Widgets und Social Media Inhalten auf der Webseite eines Unternehmens sind erlaubt, solange es sich um öffentlich zugängliche Posts handelt.
Social Media Plattformen als Auftragsdatenverarbeiter
Social Media Plattformen übernehmen grundsätzlich die Rolle des Datenverantwortlichen. In der Zusammenarbeit mit Unternehmen können sie je nach Konstellation jedoch auch als Auftragsdatenverarbeiter fungieren. Verarbeitet die jeweilige Social Media Plattform beispielsweise Nutzerinformationen im Auf- trag eines Werbekunden, dann wäre der Werbekunde grundsätzlich für die Einhaltung der Datenschutzbestimmungen zuständig, was diesen verpflichtet, eine angemessene Rechtsgrundlage für die Verarbeitung der Daten durch die Social Media Plattform zu schaffen (z.B. Einwilligung des Nutzers). Zusätzlich sollten die Unternehmen, wenn der Anbieter der Social Media Plattform als Auftragsdatenverarbeiter agiert, in den jeweiligen Verträgen mit dem Anbieter der Social Media
Plattform einen entsprechenden Zusatz vereinbaren.
3. Tracking Codes
Es ist davon auszugehen (jedoch nicht sicher), dass die Nutzung von Analyse-Tools und Pixel Technologien (sog. Tracking Codes) ein berechtigtes Interesse darstellen und die Nutzer mit dieser Art der Datenverarbeitung rechnen müssen.
Grundsätzlich können solche Tracking Codes nur mit einer Opt-Out Funktion datenschutzkonform genutzt werden. Die meisten Anbieter des jeweiligen Tracking Codes bieten dafür zurzeit jedoch keine Lösungen an, weshalb die Unter- nehmen eigene Lösungen finden müssten.
Problematisch ist dabei, dass Tracking Codes Daten tracken, sobald eine Webseite aufgerufen wird und nicht erst nach allfälliger Zustimmung des Nutzers. Die Opt-Out Funktion müsste aber erfolgen, bevor die Daten getrackt und übertragen werden. Dieses Problem kann zwar auf verschiedene Weisen umgangen werden (z. B. eine vorgeschaltete Landingpage mit allen Informationen und Opt-Out Funktion), in den meisten Fällen wäre die User-Journey aber alles andere als angenehm. Jedoch ist klar, dass simple Hinweise in der jeweiligen Datenschutzerklärung über die genutzten Tracking Codes nicht ausreichend sind, fehlen dürfen diese jedoch keines- falls, wenn solche Technologien genutzt werden. In der Datenschutzerklärung, in welcher der Nutzer über die Verwendung solcher Tools aufgeklärt wird, muss ein Link eingebaut werden, um dem Nutzer die Möglichkeit zu geben, das Tracking abzuschalten. Um Datenschutzverstösse zu vermeiden, sollte bei der Verwendung von Google Analytics außerdem ein zusätzliches Codeschnipsel eingebunden werden, welches für die Kürzung der IP-Adressen der Nutzer und somit für eine Anonymisierung beim Tracken sorgt.
Zusätzlich gilt zu erwähnen, dass das Hochladen von Email-Adressen und das automatische Hinzufügen von Nut- zern in Gruppen für Targeted Advertising (z.B. Custom Audiences auf Facebook) ohne vorab eingeholte Einwilligung des Nutzers (Opt-In) nicht datenschutzkon- form sind.
4. Einwilligung (Opt-in)
Massgebliche Komponente der DSGVO stellen die neuen Anforderungen an die Einwilligungshandlung des Betroffenen dar. Überwiegen die berechtigten Interessen eines Unternehmens nicht klar oder bestehen Bedenken an der Zulässigkeit der Datenverarbeitung, wird eine aktive und eindeutig bestätigende Einwilligung der betroffenen Person zwingend verlangt. Die elektronische Einwilligung (Tick-Box) ist erlaubt.
Unternehmen haben der betroffenen Person detailliert darzulegen, welche Daten von der Erhebung betroffen sind und welchem konkreten Zweck die Datenverarbeitung dient. Stehen mehrere unterschiedliche Zwecke im Fokus, so ist dies darzulegen und jedem dieser Zwecke muss gesondert zugestimmt werden. Eine Zustimmung muss freiwillig erfolgen und die betroffene Person muss vollständig informiert worden sein, auch über die ihr zustehenden Rechte (informed consent).
Zudem ist das sogenannte Kopplungsverbot zu beachten: Das Zustande- kommen eines Vertrags darf nicht von der Einwilligung des Nutzers in die Datenverarbeitung abhängig gemacht werden.
Fazit
Mit der DSGVO wird es Unternehmen ermöglicht, personenbezogene Daten zu Marketingzwecken zu nutzen, sofern diese in öffentlich zugänglichen Listen oder Verzeichnissen abrufbar sind und die geltenden Datenschutzrechte dabei eingehalten werden. Die Rechtmässigkeit ist jedoch nur dann gegeben, wenn die unternehmerischen Interessen diejenigen des Nutzers überwiegen und dessen Rechte nicht beschränken.
Eine Einwilligung, egal für welche Form der Datenverarbeitung, sollte jeweils die letzte Wahl sein, da die gesetzlichen Ausnahmen festgelegt sind und eine Einwilligung auch immer datenschutzkonform gestaltet werden muss, was Unternehmen im Einzelfall vor grössere Herausforderungen stellen könnte.
Sowohl beim E-Mail-Marketing als auch bei besonderen Datenkategorien ist eine Einwilligung jedoch immer einzuholen, da dies gesetzlich vorgeschrieben ist.
Die DSGVO ist sehr umfangreich und sollte in ihrer Gesamtheit auch beachtet und umgesetzt werden. Dieser Beitrag beleuchtet nur einen kleinen Auszug aus den Bestimmungen und gibt teilweise die persönliche Meinung des Autors wider. Es wird jedem Unternehmen empfohlen, die eigenen Strategien und Umsetzungsbemühungen zum Datenschutz einzeln rechtlich prüfen zu lassen, um mit den geltenden Gesetzen konform zu sein.
Dieser Beitrag wurde von RA Sergio Leemann verfasst.