BLOG

Sebastian Eisenbürger

Das beste Marketing ist KEIN Marketing

BLOG

Sebastian Eisenbürger

Das beste Marketing ist KEIN Marketing

Warum im Online-Marketing eine Portion Schizophrenie hilfreich sein kann – das Bundesdatenschutzgesetz

Viele Meinungen existieren zu den Themen Datenspeicherung, Personendaten, Auskunftspflichten, Löschanforderung… Jeder weiß es besser und jeder geht mit dem Thema im Online-Marketing um – irgendwie…

Ich kann mit diesem Artikel sicher keine Wahrheit schaffen – ich bemühe mich um Klarheit und um nützliche Informationen.

Eins vorweg: Ich bin kein Rechtsanwalt, sondern Marketer und juristischer Laie. Die Inhalte dieser Seite sind entsprechend NICHT als Rechtsberatung (oder vergleichbares) aufzufassen. Dieser Artikel hat auch keinen Anspruch auf Vollständigkeit und kann nicht als rechtliche Quelle herangezogen werden. Neben dem BDSG existieren noch weitere Gesetze, die im Online Marketing eine wichtige Rolle spielen, z.B. das TMG. Darauf gehe ich in diesem Artikel nicht ein.

Als Marketer kenne ich die Herausforderungen des Alltags im Online-Marketing, wenn es um das sensible Thema Umgang mit Personendaten geht und beleuchte hier das größte „Problem“, mit dem ich mich tagtäglich beschäftige: Dem Umgang mit Aufforderungen zur Löschung von Personendaten im Online-Marketing.

Das Bundesdatenschutzgesetz

Auf der Webseite www.gesetze-im-internet.de vom Ministerium für Justiz und für Verbraucherschutz lässt sich das Bundesdatenschutzgesetz (BDSG) aufrufen und lesen.

Wer Spaß daran hat, findet hier 48 Paragraphen voll mit juristischen Texten. 😉

Zusammengefasst lässt sich daraus eine „Faustformel“ ableiten:

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn sie durch Rechtsvorschrift oder durch die Einwilligung des Betroffenen (z. B. als Verbraucher oder Kunde) erlaubt wird.

(Quelle: Der Landesbeauftragte für Datenschutz Mecklenburg-Vorpommern)

Was sind personenbezogene Daten?

Personenbezogene Daten sind „Einzeldaten“. So werden solche Daten genannt, die Rückschlüsse auf „persönliche, sachliche und / oder tatsächliche Verhältnisse einer natürlichen Person zulassen“ (Quelle: Handelskammer Hamburg).

Als Beispiele führt die Handelskammer Handelskammer Hamburg wie den Namen, das Geburtsdatum und die Anschrift an. Auch Video-Aufzeichnungen gehören dazu.
Im Unternehmen kommen vor allem drei Bereiche datenschutzrechtlich in Betracht:

  1. Kundendaten
  2. Daten über Geschäftspartner
  3. Mitarbeiterdaten

Im Kontext des Online-Marketings interessieren uns im Moment vorrangig Kundendaten, bzw. Daten von Personen, die mit dem Unternehmen als Anbieter in Kontakt stehen (Interessenten und Kunden).

Erhoben, verarbeitet und gespeichert dürfen alle Daten werden, die für die Durchführung eines Vertrages erforderlich sind.

Das bedeutet, dass Daten wie ein Geburtsdatum (oder das Lebensalter) und eine E-Mail-Adresse nicht ohne weiteres abgefragt werden dürfen.

Um solche Daten abzufragen ist eine datenschutzrechtliche Belehrung des Betroffenen notwendig.

Personenbezogene Daten im Online-Marketing

Einige Online-Marketing-Kanäle, wie SEO, SEM, Bannerwerbung – ganz allgemein Werbung in Form von „Anzeigen“ – setzen gar keine Datenerhebung voraus.

In den ersten Jahren des Internets wurde Online-Marketing ausschließlich auf diese Art betrieben. Mit dem klassischen Print-Marketing als Vorbild waren es damals einfache Bilder mit werblichen Inhalten, die auf Webseiten veröffentlicht wurden.

Mit dem Aufkommen von Newslettern per E-Mail spielten personenbezogene Daten erstmalig eine Rolle im Online-Marketing.

Regularien gab es anfangs noch keine, was zum Spam-Phänomen im E-Mail-Marketing der frühen 2000er Jahre führte.

Das Online-Marketing entwickelte sich stetig weiter und immer mächtigere und „intelligentere“ Anwendungen wurden entwickelt. Heute sind wir in der Lage, sehr spezifisch Marketing zu betreiben.

Es existieren Technologien, die kleine Dateien auf dem Rechner des Anwenders hinterlegen (sogenannte „Cookies“). Diese Dateien können dazu verwendet werden, Rechner wiederzuerkennen.

Auch sogenannte technische „Fingerprints“ werden erstellt, um Rechner (und Anwender) zu identifizieren. Diese Fingerprints werden im Gegensatz zu Cookies nicht auf dem Rechner des Anwenders gespeichert, sondern auf dem Server des Betreibers. Dieser Wechsel des Speicherorts bringt Vor- und Nachteile mit sich.

Die Bannerwerbung hat sich nachhaltig verändert. Während bis vor einiger Zeit ausnahmslos statische Banner (als Bild, Animation oder Video) zum Einsatz kamen, ist moderne Online-Marketing-Software in der Lage, zu erkennen, welche Webseiten in der Vergangenheit besucht wurden (auch beispielsweise Produktseiten innerhalb von Online-Shops). Unter Verwendung dieser Daten wird „Retargeting“ betrieben, personenbezogene Werbe-Anzeigen.

Wahrscheinlich hat jeder von uns schon die Beobachtung gemacht: Nach dem Besuch eines Produkts in einem Online-Shop, zum Beispiel ein Sofa, sehen wir tagelang, wochenlang, manchmal auch monatelang auf den unterschiedlichsten Webseiten Werbebanner, die uns Sofas anbieten möchten.

Der Umgang mit personenbezogenen Daten im Online-Marketing

Letztendlich ist es so, dass die technischen Möglichkeiten im Online-Marketing einen immer größeren Umfang annehmen. Die Anpassung der rechtlichen Rahmenbedingungen geschieht mehr oder weniger stark zeitverzögert.

Der Missbrauch technischer Möglichkeiten ist ein nicht zu vernachlässigendes Thema. Die Entwicklung neuer Methoden bietet permanent neues Missbrauchspotenzial.
Vor allem in technisch neuen Bereichen (wie dem 1:1 Marketing und der Marketing Automation) gilt es für die Online-Marketing-Verantwortlichen äußerst sensibel vorzugehen.

Wichtig ist, jede Nutzung von personenbezogenen Daten, die nicht zur Ausführung eines Vertrags vonnöten sind, in einer Datenschutzerklärung zu beschreiben.
Zu den datenschutzrechtlichen Umständen beim Versand von Newslettern hat die IT Recht-Kanzlei eine übersichtliche Webseite zur Verfügung gestellt. Folgende Punkte sollten unbedingt beachtet werden:

  1. Verwendung des Double-Opt-In-Verfahren zur Erhebung von E-Mail-Adressen
  2. Außer der E-Mail-Adressen dürfen keine weiteren Daten als Pflichtangaben abgefragt werden (die Freiwilligkeit der Angabe muss beschrieben sein)
  3. Die Datenschutzerklärung muss die Nutzung der Daten zu werblichen Zwecken beinhalten.

Im Gegensatz zum personalisierten und automatisierten Marketing existieren zum Versand von Newslettern schon hinreichend Erfahrungen in der Welt der Justiz, sodass hier klare Regularien herrschen und offensichtliche Verstöße schnell abgemahnt werden.

Welche Daten dürfen genutzt werden?

Grundsätzlich gilt, dass Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten immer dann zulässig sind, wenn ein Gesetz dies erlaubt (für Unternehmen vor allem § 28 BDSG) oder wenn der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG.
[…]
Ferner gilt das sogenannte „Transparenz-Gebot”. Das bedeutet: Jeder Betroffene muss erkennen können, welche seiner personenbezogenen Daten wann, von wem, zu welchem Zweck und in welchem Umfang erhoben oder in sonst einer Weise verwendet wurden.

(Quelle: Handelskammer Hamburg)

Um das Transparenz-Gebot zur Anwendung zu bringen gibt der Gesetzgeber dem Betroffenen Rechte gegenüber dem datennutzenden Unternehmen.

Rechte des Betroffenen: Benachrichtigung, Auskunft, Berichtigung und Löschung von personenbezogenen Daten

Nach § 33 bis 35 BDSG hat der Betroffene folgende Rechte gegenüber dem datenspeichernden Unternehmen:

  1. Bei erstmaliger Speicherung seiner Daten muss der Betroffene davon in Kenntnis gesetzt werden, sofern die Speicherung ohne sein Wissen erfolgt ist.
  2. Der Betroffene kann jederzeit darüber Auskunft verlangen, welche Daten zu seiner Person gespeichert sind, zu welchem Zweck die Speicherung erfolgt und an welcher Stelle die Speicherung stattgefunden hat.
  3. Weiterhin besteht ein Recht des Betroffenen in der Berichtigung von fehlerhaften Daten.
  4. Außerdem müssen personenbezogene Daten auf Verlangen des Betroffenen oder nach den Voraussetzungen des § 35 BDSG gelöscht werden.

Die Schizophrenie des BDSG im Online-Marketing – Teil 1

Die Frage nach der Löschung von personenbezogenen Daten bewegt sehr viele Marketer. In der Praxis gestaltet sich dieser – theoretisch einfach und logisch klingende – Schritt als schwierig.

Löschung von Kundendaten?

Stellen wir uns dieses typische Szenario vor: Ein Kunde erhält nach erfolgter Einwilligung per Double-Opt-In einen Newsletter. Aus irgendeinem Grund ärgert sich der Kunde über das Unternehmen und fordert die Löschung seiner Daten.

Die meisten Unternehmen werden dem Kunden mitteilen, dass eine Löschung aufgrund der bestehenden oder vergangenen Geschäftsbeziehung aus steuerlichen und ggf. vertragsrechtlichen Gründen keine Löschung erfolgen kann. Stattdessen wird der Kundendatensatz mit einem Sperrvermerk versehen.

Dieses Szenario ist durch das BDSG gestattet, inklusive der Sperrung statt der Löschung. Es muss allerdings sichergestellt sein, dass die gesperrten Kundendaten nicht weiter verwendet werden (können).

Löschung von Interessentendaten?

Ändern wir ein Detail im Szenario ab. Es handelt sich nicht um einen Kunden, sondern um einen Interessenten, der außer über die Anmeldung zum Newsletter über das Double-Opt-In-Verfahren in keiner Beziehung zum Unternehmen steht.

Fordert diese Person das Unternehmen zur Löschung seiner Daten auf, kommt es in der Praxis zu mehreren Schwierigkeiten und das BDSG stößt an seine Grenzen.

Besitzansprüche?

Woher weiß ich als Unternehmer, dass es sich bei der zur Löschung auffordernden Person um den Besitzer der E-Mail-Adresse handelt?

Das weiß ich dann, wenn die Person sich über die zu löschende E-Mail-Adresse meldet – was ist bei einer Löschaufforderung per Brief, Fax oder Telefon?

Erneute Anmeldung?

Wie verhalte ich mich als Unternehmen juristisch einwandfrei, sollte eine gelöschte E-Mail-Adresse erneut zur Anmeldung verwendet werden?

Wie verhalte ich mich als Unternehmen juristisch einwandfrei, sollte eine Person, die ihre Kundendaten hat löschen lassen, sich mit einer bis dato unbekannten E-Mail-Adresse anmelden?

Sollte ich die Daten löschen oder mit einem Sperrvermerk versehen, sodass zukünftig sichergestellt ist, keine E-Mail-Nachrichten zuzustellen?

Mit gesundem Menschenverstand würde man argumentieren, dass die Person sich bewusst für eine erneute Anmeldung entscheidet und damit automatisch die früher erfolgte Löschung widerruft.

In wie weit gesunder Menschenverstand vor Gericht zum Tragen kommt, kann ich nicht einschätzen.

Die Schizophrenie des BDSG im Online-Marketing – Teil 2

Der andere Aspekt, der die Schizophrenie des Bundesdatenschutzgesetz erkennen lässt, ist die Intention sowohl von (seriösen) Online-Marketing-Verantwortlichen, als auch seitens des Gesetzgebers.

Das BDSG schützt Verbraucher vor dem Missbrauch ihrer Daten und gibt Unternehmen Regeln vor, wie sich im Umgang mit personenbezogenen Daten zu verhalten ist.

Das BDSG verfolgt dabei zwei Ziele. Zum einen die Datensparsamkeit, zum anderen die Eindämmung unseriöser Marketing-Maßnahmen.

Jedoch sind diese beiden Ziele vom Gesetzgeber nicht zu Ende gedacht. Marketing wird erst dann nachhaltig, relevant und sinngebend möglich, sobald Unternehmen Kenntnisse über den Interessenten oder Kunden besitzen, um diesem ausschließlich für ihn relevante Informationen zur Verfügung stellen zu können.

Um beide Ziele in Einklang zu bringen, müsste sich an den Gesetzestexten inhaltlich nicht viel ändern. Lediglich die Formulierung müsste angepasst werden, damit sich Interpretationsspielräume anpassen würden.

Letztendlich verfolgen seriöse Marketer das bewährte Konzept von Tante Emma: Kunden kennen, Kundenbedürfnisse befriedigen, Probleme lösen, Nutzen bringen.

Fazit

Ich bin kein Rechtsanwalt, sondern Marketer. Als solcher kann ich selbstverständlich keine rechtliche Beratung bieten. Ich habe mir bei der Erstellung dieses Artikels Mühe gegeben und alle Informationen wie üblich geprüft, dennoch enthält er nicht mehr und weniger als meine subjektive Meinung und Einschätzung als juristischer Laie. Fragen Sie sich bei der rechtlichen Beurteilung Ihren Rechtsanwalt.

Halten Sie sich im Online-Marketing an die „gängigen“ Regeln. An der Cookie-Richtlinie lässt sich erkennen, dass die Gesetzestexte im Bereich des Internet und der kommerziellen Angebote im Internet teilweise unklar sind.

Bleiben Sie am Ball, verfolgen Sie einschlägige Veröffentlichungen von spezialisierten Kanzleien und Verbänden aus dem Online-Bereich.
Lassen Sie sich juristisch von Spezialisten vertreten, denken Sie über den Beitritt zu einem der großen Verbände im Online-Bereich nach. Dort erhalten Sie in der Regel eine optimale rechtliche Unterstützung.

Zum Abschluss noch einige Links mit weiterführenden Inhalten:

  1. Trusted Shops
  2. Händlerbund
  3. IT-Recht-Kanzlei
  4. Internetkanzlei Rostock
  5. eRecht24

Als Marketer verschenke ich meine besten Tipps. Alles, was ich dafür brauche, ist Ihre E-Mail-Adresse:

2 Kommentare
  1. Genia Holsing

    Ich wäre an Informationen gerade zu dem anwältlich bisher wenig beleuchtetem Thema Datenschutz bei Marketing Automation interessiert. Es werden dann ja keine “Newsletter” in dem Sinne versendet, muss dennoch bei einer Registrierung ein Extra-Haken für E-Mail-Zusendung gesetzt werden, oder kann es in der Datenschutzerklärung abgefrühstückt werden? Habe ich sowohl so als auch anders gesehen. Manche Content-Angebote sind sogar an das Setzen eines solchen “Bin (mit allem) einverstanden” Haken gekoppelt, ohne gibt es eben kein Download. Haben Sie irgendwelche Erkentnisse oder Quellen?

    Antworten
    • Sai Siniq

      Hallo Genia,

      Ihre Frage gehört definitiv zu den nicht abschließend geklärten. Ich kann Ihnen juristisch nicht weiterhelfen, aber einen Tipp habe ich, wie SIe in jedem Fall sicher mit automatisierten E-Mails umgehen.
      Behandeln Sie E-Mail-Serien (und nichts anderes sind automatisiert versandte E-Mails schließlich) als “Service-Produkte”. Sie müssen Ihre E-Mail-Serien natürlich nicht verkaufen, vermitteln Sie den Interessenten aber durchaus den Wert der Serien.
      Motivieren Sie die Kunden und Interessenten so, sich speziell zu einer (oder mehreren) Serien anzumelden, also per Eintrag der E-Mail-Adresse in ein Formular. Dadurch ergeben sich zwei Vorteile: Der gefühlte Wert Ihres Anagebots steigt und rechtlich sind Sie aus dem Schneider.

      Viele Grüße
      Sai

      Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.