skip to Main Content
Mainz +49 6131 144 560 Berlin +49 30 285 058 56 kanzlei@res-media.net

3 Tipps zu Datenschutz im Onlinemarketing – Was ist nach einem Jahr DSGVO wirklich wichtig?

Die Datenschutzbehörden haben die Möglichkeit, Verstöße gegen die Pflichten der Datenschutzgrundverordnung (DSGVO) mit Bußgeldern bis zu 20 Millionen EUR oder in Höhe von 4 % des weltweiten Jahresumsatzes zu belegen, je nachdem, welcher Betrag höher ist. Nach einem Jahr DSGVO haben sich Staub und Aufregung zwar etwas gelegt, doch von Entwarnung kann keine Rede sein. Mittlerweile ergingen laut Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Länder mit Stand Januar 2019 bundesweit in 41 Fällen Bußgeldbescheide. Es sollen derzeit noch „sehr viele“ weitere Bußgeldverfahren laufen.
 
Europaweit sieht es „schlimmer“ aus. Wie die Internet World Business berichtet, wurden über 200.000 Verstöße gemeldet. Europäische Datenschutzbehörden sollen wegen Vergehen gegen die DSGVO zusammen bislang Bußgelder in Höhe von 56 Millionen verhängt haben – wobei allerdings ein Bescheid an Google allein etwa 50 Millionen EUR ausmacht.
Für das Online-Marketing stellt sich daher die Frage, auf was Unternehmen besonders achten sollten:

Tipp 1: Datensicherheit

Einer der Fälle, der zu einem der o. g. Bußgelder in Deutschland geführt hat, war der Fall der Chat-Plattform Knuddels. Hacker griffen im September 2018 die Passwörter, E-Mail-Adressen und Pseudonyme von 330.000 Nutzern ab und veröffentlichten diese im Internet. Das Unternehmen hatte insbesondere die Passwörter im Klartext auf seinem Server gespeichert. Im November 2018 wurde ein Bußgeld in Höhe von 20.000,00 EUR verhängt.
Wie dieser Fall zeigt, ist es wichtig, dass Verantwortliche den Grundsatz der Datensicherheit aus Art. 32 DSGVO ernst nehmen, ein angemessenes Schutzniveau gewährleisten und die dazu geeigneten, technischen und organisatorischen Maßnahmen umsetzen. Nach dem Verordnungstext sind dabei zu berücksichtigen:
 
  • der Stand der Technik,
  • die Implementierungskosten,
  • die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung,
  • die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.
 
Hier wird nicht direkt mit Kanonen auf Spatzen geschossen, denn es besteht keine Verpflichtung, alle Maßnahmen, die technisch möglich sind, direkt umzusetzen. Vielmehr sind der zu betreibende Aufwand, der Stand der Technik und die entstehenden Kosten mit der Art der zu schützenden Daten in Relation zu stellen. Ein Anwendungsfall des Art. 32 DSGVO ist die Verpflichtung, beim Betrieb von Internetseiten auf anerkannte Verschlüsselungsmaßnahmen wie https und ssl/tls zurückzugreifen. Im Unternehmen selbst müssen personenbezogene Daten gegen Diebstahl, Hackerangriffe und Sabotage geschützt werden, insbesondere durch Maßnahmen wie Zugangs- und Zugriffskontrollen sowie der Einrichtung entsprechender Technik, um Hackerangriffe abzuwehren.

Tipp 2: Auftragsverarbeitungsverträge

In einem der genannten Fälle wurde im Dezember 2018 ein Bußgeld in Höhe von 5.000 EUR gegen das Unternehmen Kolibri verhängt, da man keinen Auftragsverarbeitungsvertrag mit einem Dienstleister geschlossen hatte, der Kundendaten im Auftrag verarbeitete. Es handelte sich um einen spanischen Dienstleister, der auf Anfragen zum Abschluss des erforderlichen Auftragsverarbeitungsvertrages nicht reagierte. Im Mai 2018 fragte das Unternehmen bei der Datenschutzbehörde nach, wie man reagieren solle. Die Behörde wies auf die Pflichten des Verantwortlichen hin, auf solche Vertragsschlüsse hinzuwirken. Das Muster könne man zur Verfügung stellen. Kolibri antwortete sinngemäß, dass man sich als kleines Unternehmen nicht in der Pflicht sehe, einen entsprechenden Vertrag zu erstellen und ggf. teuer übersetzen zu lassen. Der Dienstleister habe auch keine Informationen dazu übermittelt, wie seine internen Prozesse laufen. Nachdem Kolibri nicht einlenkte, erging der Bußgeldbescheid.
 
Unternehmen sollten überprüfen, ob sie für alle Datenverarbeitungen, in denen personenbezogene Daten wie Namen, Adressen, E-Mail-Adressen usw. betroffen sind und für die z. B. ein Cloud Anbieter beauftragt wurde, ein entsprechender Auftragsdatenverarbeitungsvertrag geschlossen wurde. Im Online-Marketing ist das E-Mail-Marketing ein besonders wichtiger Anwendungsfall, denn hier werden E-Mail-Adressen usw. von einem Dienstleister im Auftrag des Unternehmens verarbeitet.

Tipp 3: E-Mail-Marketing

betreiben zwar 95,4 Prozent der 5000 Top-Unternehmen im deutschsprachigen Raum aktiv E-Mail-Marketing, allerdings ist die Rechtssicherheit bei einem großen Teil nicht gegeben. 18,3 Prozent haben nach der Studie kein Double-Opt-In im Anmeldeprozess implementiert, so dass praktisch jeder jeden – auch Abmahnanwälte – ohne weitere Prüfung in den Verteiler eintragen können. 38 Prozent fragten bei der Anmeldung zu viele Daten ab. Nur 24 Prozent informierten darüber, was mit den eingegebenen Daten passiere. Nur 2 Prozent hätten eine Opt-Out-Option zum Tracking des individuellen Leseverhaltens implementiert.
 
Unternehmen, die E-Mail-Marketingbetrieben, sollten daher unbedingt sicherstellen und nochmals überprüfen, ob Sie
 
  • jeweils eine korrekte Einwilligung der Empfänger der Newsletter und Werbe-Mails eingeholt haben,
  • die Einwilligungen nachweisbar, also im DOI-Verfahren eingeholt haben,
  • Einwilligungen für Erfolgsmessungen, Tracking des Nutzerverhaltens, Anlegen von Nutzerprofilen benötigen und ggf. eingeholt haben,
  • jeweils ein Opt Out (Abmeldelinks) in die E-Mails eingebaut haben,
  • eine korrekte Datenschutzinformation in die Webseite integriert haben.

 

Bildnachweis für diesen Beitrag: gustavofrazao – stock.adobe.com
 

Das könnte Sie ebenfalls interessieren:

QUICK-CHECK Newsletter

Wir erstellen das Impressum und die Datenschutzinformation für Ihren Social Media-Kanal und geben Rechtshinweise zu Werbung, zum Urheberrecht u.v.m. Wir prüfen den Anmeldeprozess und erstellen erforderliche Rechtstexte wie das Impressum oder die Formulierungen für Ihre Datenschutzinformation. Dabei haften wir für die Richtigkeit unserer Beratung, auch für den Fall von Abmahnungen.

Quick Check Newsletter - Hier informieren

geschrieben von: Sabine Heukrodt-Bauer

Sabine Heukrodt-Bauer

Sabine Heukrodt-Bauer, LL.M.
Fachanwältin für Informationstechnologierecht
Fachanwältin für gewerblichen Rechtsschutz

 

 

 

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 -20
E-Mail: shb@res-media.net
Internet: http://www.res-media.net

Wie hat Ihnen der Beitrag gefallen?
[Total: 0 Average: 0]
Back To Top