Datenschutz bei Marketing und Werbung – Das ist zu beachten

Fachbeitrag

In den meisten Unternehmen sind die Marketingabteilung und der Datenschutzbeauftragte nicht gerade beste Freunde. Das ist nicht nur äußerst schade, sondern eine gute Zusammenarbeit kann Unternehmen auch eine Menge Ärger ersparen. Und manchmal geht auch unter Beachtung der datenschutzrechtlichen Vorgaben mehr, als man manchmal so denkt…

Marketing: Mehr als nur Werbung

Marketing gesamt bezeichnet alle Aktivitäten und Prozesse, die zur Entwicklung, Vermittlung, Lieferung und Austausch von Gütern an Kunden, Partnern und die Gesamtgesellschaft dienen. Schwerpunkt dieses Artikels ist der Vermittlungs-Aspekt, also die Kommunikation über Waren und Dienstleistungen, um sie einem Publikum bekannt zu machen. Dies wird in Fachkreisen auch Kommunikationspolitik oder Promotion genannt. Da hierbei Menschen direkt angesprochen werden, sind oftmals Verarbeitungen von personenbezogenen Daten relevant.

Was darf Werbung? Rechtliche Vorgaben neben dem Datenschutz

Wie so oft gibt es auch für Marketing und Werbung eine Vielzahl gesetzlicher Regelungen in unserem Rechtsstaat. Hauptregelwerk in Deutschland ist das Gesetz gegen den unlauteren Wettbewerb (UWG), das in den letzten Jahren auch immer wieder umfassend aktualisiert wurde, um gerade den Werbepraktiken im Internet Grenzen zu setzen.

Die EU ist inzwischen oft der Treiber neuer Regelungen, von dort kommen auch gänzlich neue Konzepte, die oft auf spezielle Auswüchse im Online-Marketing abzielen, wie 2021 der Digital Services Act, der sich insbesondere mit Tracking von Nutzerverhalten auseinandergesetzt hat.

Marken und Urheberrecht

Daneben ist für konkrete Marketingmaßnahmen auch immer wieder an das Immaterialgüterrecht, insbesondere in Form von Marken- und Urheberrecht zu denken. Auch hier gibt es Regelungen, die das Marketing einschränken können.

Wettbewerbsrecht

In Hinblick auf den Datenschutz spielt die DSGVO immer die zentralste Rolle, doch gerade in der Wechselwirkung mit dem Wettbewerbsrecht sind einige Themen umstritten. Aus dem UWG ergeben sich insbesondere Möglichkeiten von Konkurrenten und Verbraucherschutzorganisationen, unlautere Geschäftspraktiken zu verbieten und dafür Schadensersatz zu verlangen.

Die größte, bisher nicht abschließend geklärte Frage ist dabei, ob Verstöße gegen Datenschutzvorschriften rechtswidrige Wettbewerbsverstöße nach UWG sind. Das würde neben den bisherigen Bußgeldern der Aufsichtsbehörden eine breite Angriffsfläche bieten. Das Risiko wegen fehlendem Datenschutz zur Kasse gebeten zu werden, stiege stark an.

Vorlagefrage an den EuGH

Aktuell ist diese Frage zur Klärung dem EuGH vorgelegt. Der BGH möchte vom EuGH wissen, ob die DSGVO abschließend regelt, welche Ansprüche durch welche Berechtigten geltend gemacht werden können. Die DSGVO sieht vor, dass die von einer Datenverarbeitung selbst Betroffenen ihre Rechte (z.B. auf Auskunft, Berichtigung, Löschung etc.) gegenüber dem Datenverarbeiter geltend machen können. Zudem sind die Aufsichtsbehörden zur Kontrolle und bei Verstößen zur Sanktionierung berechtigt.

Nach § 3a UWG sind geschäftliche Handlungen, die gegen Gesetze verstoßen, wettbewerbswidrig („Rechtsbruch“). Nach § 8 UWG dürfen Verstöße gegen das UWG mit zivilrechtlichen Klagen auf Unterlassung und Schadensersatz durch Konkurrenten und Verbraucherschutzorganisationen angegriffen werden.

Wäre die DSGVO abschließend, so wäre es egal, ob ein bestimmter Datenschutzverstoß eine geschäftliche Handlung nach dem UWG darstellt. Denn abschließend heißt im juristischen Kontext, dass nur und ausschließlich die Regelungen aus dem einen Gesetz gelten, kein anderes Gesetz da „hineinfunken“ darf. Wäre die DSGVO also abschließend, könnte (wie bisher recht weitreichend angenommen) nur der Betroffene selbst wegen seinen eigenen Daten die Ansprüche aus der DSGVO geltend machen. Wäre die DSGVO aber hinsichtlich zivilrechtlicher Ansprüche nicht abschließend, so wäre es möglich, Datenschutzverstöße auch nach UWG zu ahnden.

Problemfelder der Markt- und Meinungsforschung mit der DSGVO

In den frühen Planungsphasen des Marketings spielen persönliche Daten insbesondere in der Markt- und Meinungsforschung oft eine Rolle. Nach dem alten BDSG war die Datenverarbeitung zu Zwecken der Marktforschung von bestimmten Vorschriften befreit, hierfür durften insbesondere auch persönliche Daten aus öffentlichen Quellen genutzt werden. Diese Privilegierung gibt es seit der DSGVO nicht mehr. Dies stellt die Marktforschung natürlich vor größere Hürden.

Insbesondere muss regelmäßig eine Einwilligung eingeholt werden, es müssen alle Zwecke und ggf. auch weitere Empfänger der (auch pseudonymisierten!) Daten offengelegt werden. Die Benennung eines Datenschutzbeauftragten ist für Marktforschungsunternehmen Pflicht. Für die organisatorischen Prozesse im Marktforschungsunternehmen besonders wichtig: Betroffene haben unter anderem umfassende Rechte auf Auskunft, Berichtigung und Löschung ihrer Daten. Dafür müssen interne Prozesse existieren.

Die DSGVO und Direktmarketing

Wer die Zielgruppe für das eigene Produkt identifiziert hat, möchte es entsprechend genau auch vermarken. Direktmarketing ist im Internet einfacher als früher, doch gerade hier setzt der Datenschutz Grenzen.

Wer eine Kundenkartei für Direktmarketingzwecke findet, sollte genau prüfen, ob bei deren Erstellung wirklich alle rechtlichen Vorgaben eingehalten wurden. Denn wirklich „neue“ Kunden sind selten rechtlich wirksam aufgeklärt worden. Es bestehen umfassende Transparenzpflichten, die auch alle Datenempfänger namentlich benennen müssen. Fehlt es daran, oder werden Daten für einen anderen Zweck genutzt als dem „Kunden“ bei seiner Einwilligung mitgeteilt, ist die Einwilligung unwirksam.

Sich auf fremde Anbieter zu verlassen, ist hierbei also riskant, zudem kommen umfassende Prüfpflichten auf einen zu. Doch auch bei der eigenen Erstellung von Kundenkarteien sollte von Anfang an auf transparente Aufklärung und ordentliche Dokumentation aller Einwilligungen geachtet werden.

Tiefere Einblicke für diverse Einzelthemen gibt es in dieser Übersicht der Datenschutzkonferenz.

Onlinemarketing: Zwischen DSGVO und TTDSG

Wer vorrangig im Internet Produkte vermarktet, ist mit den Dauerbrennern der DSGVO konfrontiert: Die meisten großen Digitalkonzerne stammen aus den USA, ebenso wie ihre Server. Onlinemarketing kommt so nur schwer ohne Datenübertragungen in Drittländer außerhalb der EU aus, die besonderen Regeln unterliegen. Tools, Softwares, Server: für die meisten digitalen Werkzeuge muss zudem eine Auftragsverarbeitung erfolgen – manchmal ist sogar eine gemeinsame Verantwortlichkeit gegeben, wie bei Facebook-Fanpages. In diesen Fällen sind Auftragsverarbeitungsvereinbarungen (AVVs) oder Verträge zur gemeinsamen Verantwortlichkeit erforderlich.

Mit dem TTDSG (seit 1.12.2021 Ersatz für das frühere Telekommunikationsgesetz (TKG)) hat sich für das Marketing weniger verändert, als befürchtet. Die seit Jahren angekündigte ePrivacy-Verordnung der EU wird aber irgendwann kommen, mit welchem Inhalt, lässt sich noch nicht abschätzen.

Erfolgsmessung der Werbemaßnahmen via Tracking

Das Tracking von Webseitenbesuchern durch das Internet ist seit Jahren ein wichtiges Instrument, um Erfolg von Werbemaßnahmen zu bewerten. Auch um Ladenhüter im eigenen Angebot zu identifizieren oder Hürden im Bestellprozess auszumachen, kann Tracking helfen. Tracking verfolgt den Weg der Nutzer durchs Internet nach – von welcher Seite kommen sie auf welche andere, welche Werbung wird angeklickt, wo wird ein Bestellprozess abgebrochen.

Gleichzeitig ist es eine der datenschutzrechtlich umstrittensten Praktiken, da umfassendes Tracking zu einem komplexen Persönlichkeitsprofil führen kann. Dabei sind vielleicht auch sensible und besonders geschützte Informationen z.B. zur Sexualität einer Person enthalten. Je nachdem, was und in welcher Intensität getrackt wird, ist die datenschutzrechtliche Problematik unterschiedlich groß.

Wichtige Fragen für einzelne Unternehmen sind daher besonders:

  • Wer trackt? Wenn Daten an Drittanbieter wie Google weitergegeben werden, die diese auch zu eigenen Zwecken verarbeiten, ist das kritischer, als wenn man nur selbst eine Statistik führt.
  • Wo wird getrackt? Verfolge ich nur den Weg meiner Kunden auf meiner eigenen Webseite? Oder beobachte ich durch Tracking Pixel, Cookies und Werbenetzwerke genau, welche Webseiten im gesamten Internet betrachtet werden?
  • Wie wird getrackt? Sind komplexe Algorithmen im Einsatz, die mir automatisch eine Prognose erstellen, welche Werbung am effektivsten für diesen Kunden sein soll? Automatische Entscheidungsfindungen sind datenschutzrechtlich problematisch.

Wie immer muss bei Datenverarbeitungen eine Rechtsgrundlage gegeben sein, für ein weniger invasives Tracking kommt eher ein berechtigtes Interesse in Betracht als für ein umfassendes Persönlichkeitsprofil. Einwilligungen müssen transparente Informationen geben, um wirksam zu sein.

In diesem Bereich sind auch neue Einschränkungen zu erwarten, wenn die ePrivacy-Verordnung kommt. Die bisher veröffentlichten Entwürfe haben dabei immer wieder an aktuelle Entwicklungen angepasste Konzepte zum Tracking in die Diskussion gebracht. Bis die ePrivacy-Verordnung aber verabschiedet wird, steht noch nichts fest.

Spezialschulungen für Marketingmitarbeiter als wirksame ToM

Ein Baustein des eigenen Datenschutzkonzepts sind immer auch Schulungen der eigenen Mitarbeiter. Wer als Auftragsverarbeiter tätig ist, muss die eigenen TOMs auch für die Auftraggeber bereithalten. Aufgrund der vielen und komplexen Anforderungen an den Datenschutz im Marketing sind spezifische Schulungen für das Marketing-Team empfehlenswert. Wer sich hier kümmert, kann das auch als besonders wirksame Schutzmaßnahme an Kunden kommunizieren. Die Sensibilisierung schützt das Unternehmen aber auch vor möglichen schlimmen Folgen – wenn die Datenschutzbehörde beanstandet, ist es zu spät, noch nachzubessern.

Frieden zwischen Marketing und Datenschutz

Datenschutzrechtliche Vorschriften stellen das Marketing vor besondere Herausforderungen. Manches geliebte Werkzeug ist nicht datenschutzkonform, es kann sich manchmal anfühlen, als würde der Datenschutzbeauftragte einem nur alles wegnehmen wollen. Aber Marketing kann auch anders funktionieren, und wer den Datenschutz früh mit einbezieht, kann konstruktive, neue Lösungen entwickeln. Diese können dann vielleicht sogar mehr als die Konkurrenz. Und dann… ist Datenschutz vielleicht doch endlich ein Vorteil für das Marketing.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.