Zum Inhalt springen Zur Navigation springen
Datenschutz bei Marketing & Werbung nach DSGVO

Datenschutz bei Marketing & Werbung nach DSGVO

In den meisten Unternehmen sind die Marketingabteilung und der Datenschutzbeauftragte nicht gerade beste Freunde. Das ist nicht nur äußerst schade, sondern eine gute Zusammenarbeit kann Unternehmen auch eine Menge Ärger ersparen. Und manchmal geht auch unter Beachtung der datenschutzrechtlichen Vorgaben mehr, als man manchmal so denkt…

Marketing: Mehr als nur Werbung

Marketing gesamt bezeichnet alle Aktivitäten und Prozesse, die zur Entwicklung, Vermittlung, Lieferung und Austausch von Gütern an Kunden, Partnern und die Gesamtgesellschaft dienen. Schwerpunkt dieses Artikels ist der Vermittlungs-Aspekt, also die Kommunikation über Waren und Dienstleistungen, um sie einem Publikum bekannt zu machen. Dies wird in Fachkreisen auch Kommunikationspolitik oder Promotion genannt. Da hierbei Menschen direkt angesprochen werden, sind oftmals Verarbeitungen von personenbezogenen Daten relevant.

Was darf Werbung? Rechtliche Vorgaben neben dem Datenschutz

Wie so oft gibt es auch für Marketing und Werbung eine Vielzahl gesetzlicher Regelungen in unserem Rechtsstaat. Hauptregelwerk in Deutschland ist das Gesetz gegen den unlauteren Wettbewerb (UWG), das in den letzten Jahren auch immer wieder umfassend aktualisiert wurde, um gerade den Werbepraktiken im Internet Grenzen zu setzen.

Die EU ist inzwischen oft der Treiber neuer Regelungen, von dort kommen auch gänzlich neue Konzepte, die oft auf spezielle Auswüchse im Online-Marketing abzielen, wie 2021 der Digital Services Act, der sich insbesondere mit Tracking von Nutzerverhalten auseinandergesetzt hat.

Marken und Urheberrecht

Daneben ist für konkrete Marketingmaßnahmen auch immer wieder an das Immaterialgüterrecht, insbesondere in Form von Marken- und Urheberrecht zu denken. Auch hier gibt es Regelungen, die das Marketing einschränken können.

Wettbewerbsrecht

In Hinblick auf den Datenschutz spielt die DSGVO immer die zentralste Rolle, doch gerade in der Wechselwirkung mit dem Wettbewerbsrecht sind einige Themen umstritten. Aus dem UWG ergeben sich insbesondere Möglichkeiten von Konkurrenten und Verbraucherschutzorganisationen, unlautere Geschäftspraktiken zu verbieten und dafür Schadensersatz zu verlangen.

Die größte, bisher nicht abschließend geklärte Frage ist dabei, ob Verstöße gegen Datenschutzvorschriften rechtswidrige Wettbewerbsverstöße nach UWG sind. Das würde neben den bisherigen Bußgeldern der Aufsichtsbehörden eine breite Angriffsfläche bieten. Das Risiko wegen fehlendem Datenschutz zur Kasse gebeten zu werden, stiege stark an.

Vorlagefrage an den EuGH

Aktuell ist diese Frage zur Klärung dem EuGH vorgelegt. Der BGH möchte vom EuGH wissen, ob die DSGVO abschließend regelt, welche Ansprüche durch welche Berechtigten geltend gemacht werden können. Die DSGVO sieht vor, dass die von einer Datenverarbeitung selbst Betroffenen ihre Rechte (z.B. auf Auskunft, Berichtigung, Löschung etc.) gegenüber dem Datenverarbeiter geltend machen können. Zudem sind die Aufsichtsbehörden zur Kontrolle und bei Verstößen zur Sanktionierung berechtigt.

Nach § 3a UWG sind geschäftliche Handlungen, die gegen Gesetze verstoßen, wettbewerbswidrig („Rechtsbruch“). Nach § 8 UWG dürfen Verstöße gegen das UWG mit zivilrechtlichen Klagen auf Unterlassung und Schadensersatz durch Konkurrenten und Verbraucherschutzorganisationen angegriffen werden.

Wäre die DSGVO abschließend, so wäre es egal, ob ein bestimmter Datenschutzverstoß eine geschäftliche Handlung nach dem UWG darstellt. Denn abschließend heißt im juristischen Kontext, dass nur und ausschließlich die Regelungen aus dem einen Gesetz gelten, kein anderes Gesetz da „hineinfunken“ darf. Wäre die DSGVO also abschließend, könnte (wie bisher recht weitreichend angenommen) nur der Betroffene selbst wegen seinen eigenen Daten die Ansprüche aus der DSGVO geltend machen. Wäre die DSGVO aber hinsichtlich zivilrechtlicher Ansprüche nicht abschließend, so wäre es möglich, Datenschutzverstöße auch nach UWG zu ahnden.

Problemfelder der Markt- und Meinungsforschung mit der DSGVO

In den frühen Planungsphasen des Marketings spielen persönliche Daten insbesondere in der Markt- und Meinungsforschung oft eine Rolle. Nach dem alten BDSG war die Datenverarbeitung zu Zwecken der Marktforschung von bestimmten Vorschriften befreit, hierfür durften insbesondere auch persönliche Daten aus öffentlichen Quellen genutzt werden. Diese Privilegierung gibt es seit der DSGVO nicht mehr. Dies stellt die Marktforschung natürlich vor größere Hürden.

Insbesondere muss regelmäßig eine Einwilligung eingeholt werden, es müssen alle Zwecke und ggf. auch weitere Empfänger der (auch pseudonymisierten!) Daten offengelegt werden. Die Benennung eines Datenschutzbeauftragten ist für Marktforschungsunternehmen Pflicht. Für die organisatorischen Prozesse im Marktforschungsunternehmen besonders wichtig: Betroffene haben unter anderem umfassende Rechte auf Auskunft, Berichtigung und Löschung ihrer Daten. Dafür müssen interne Prozesse existieren.

Die DSGVO und Direktmarketing

Wer die Zielgruppe für das eigene Produkt identifiziert hat, möchte es entsprechend genau auch vermarken. Direktmarketing ist im Internet einfacher als früher, doch gerade hier setzt der Datenschutz Grenzen.

Wer eine Kundenkartei für Direktmarketingzwecke findet, sollte genau prüfen, ob bei deren Erstellung wirklich alle rechtlichen Vorgaben eingehalten wurden. Denn wirklich „neue“ Kunden sind selten rechtlich wirksam aufgeklärt worden. Es bestehen umfassende Transparenzpflichten, die auch alle Datenempfänger namentlich benennen müssen. Fehlt es daran, oder werden Daten für einen anderen Zweck genutzt als dem „Kunden“ bei seiner Einwilligung mitgeteilt, ist die Einwilligung unwirksam.

Sich auf fremde Anbieter zu verlassen, ist hierbei also riskant, zudem kommen umfassende Prüfpflichten auf einen zu. Doch auch bei der eigenen Erstellung von Kundenkarteien sollte von Anfang an auf transparente Aufklärung und ordentliche Dokumentation aller Einwilligungen geachtet werden.

Tiefere Einblicke für diverse Einzelthemen gibt es in dieser Übersicht der Datenschutzkonferenz.

Onlinemarketing: Zwischen DSGVO und TTDSG

Wer vorrangig im Internet Produkte vermarktet, ist mit den Dauerbrennern der DSGVO konfrontiert: Die meisten großen Digitalkonzerne stammen aus den USA, ebenso wie ihre Server. Onlinemarketing kommt so nur schwer ohne Datenübertragungen in Drittländer außerhalb der EU aus, die besonderen Regeln unterliegen. Tools, Softwares, Server: für die meisten digitalen Werkzeuge muss zudem eine Auftragsverarbeitung erfolgen – manchmal ist sogar eine gemeinsame Verantwortlichkeit gegeben, wie bei Facebook-Fanpages. In diesen Fällen sind Auftragsverarbeitungsvereinbarungen (AVVs) oder Verträge zur gemeinsamen Verantwortlichkeit erforderlich.

Mit dem TTDSG (seit 1.12.2021 Ersatz für das frühere Telekommunikationsgesetz (TKG)) hat sich für das Marketing weniger verändert, als befürchtet. Die seit Jahren angekündigte ePrivacy-Verordnung der EU wird aber irgendwann kommen, mit welchem Inhalt, lässt sich noch nicht abschätzen.

Erfolgsmessung der Werbemaßnahmen via Tracking

Das Tracking von Webseitenbesuchern durch das Internet ist seit Jahren ein wichtiges Instrument, um Erfolg von Werbemaßnahmen zu bewerten. Auch um Ladenhüter im eigenen Angebot zu identifizieren oder Hürden im Bestellprozess auszumachen, kann Tracking helfen. Tracking verfolgt den Weg der Nutzer durchs Internet nach – von welcher Seite kommen sie auf welche andere, welche Werbung wird angeklickt, wo wird ein Bestellprozess abgebrochen.

Gleichzeitig ist es eine der datenschutzrechtlich umstrittensten Praktiken, da umfassendes Tracking zu einem komplexen Persönlichkeitsprofil führen kann. Dabei sind vielleicht auch sensible und besonders geschützte Informationen z.B. zur Sexualität einer Person enthalten. Je nachdem, was und in welcher Intensität getrackt wird, ist die datenschutzrechtliche Problematik unterschiedlich groß.

Wichtige Fragen für einzelne Unternehmen sind daher besonders:

  • Wer trackt? Wenn Daten an Drittanbieter wie Google weitergegeben werden, die diese auch zu eigenen Zwecken verarbeiten, ist das kritischer, als wenn man nur selbst eine Statistik führt.
  • Wo wird getrackt? Verfolge ich nur den Weg meiner Kunden auf meiner eigenen Webseite? Oder beobachte ich durch Tracking Pixel, Cookies und Werbenetzwerke genau, welche Webseiten im gesamten Internet betrachtet werden?
  • Wie wird getrackt? Sind komplexe Algorithmen im Einsatz, die mir automatisch eine Prognose erstellen, welche Werbung am effektivsten für diesen Kunden sein soll? Automatische Entscheidungsfindungen sind datenschutzrechtlich problematisch.

Wie immer muss bei Datenverarbeitungen eine Rechtsgrundlage gegeben sein, für ein weniger invasives Tracking kommt eher ein berechtigtes Interesse in Betracht als für ein umfassendes Persönlichkeitsprofil. Einwilligungen müssen transparente Informationen geben, um wirksam zu sein.

In diesem Bereich sind auch neue Einschränkungen zu erwarten, wenn die ePrivacy-Verordnung kommt. Die bisher veröffentlichten Entwürfe haben dabei immer wieder an aktuelle Entwicklungen angepasste Konzepte zum Tracking in die Diskussion gebracht. Bis die ePrivacy-Verordnung aber verabschiedet wird, steht noch nichts fest.

Spezialschulungen für Marketingmitarbeiter als wirksame ToM

Ein Baustein des eigenen Datenschutzkonzepts sind immer auch Schulungen der eigenen Mitarbeiter. Wer als Auftragsverarbeiter tätig ist, muss die eigenen TOMs auch für die Auftraggeber bereithalten. Aufgrund der vielen und komplexen Anforderungen an den Datenschutz im Marketing sind spezifische Schulungen für das Marketing-Team empfehlenswert. Wer sich hier kümmert, kann das auch als besonders wirksame Schutzmaßnahme an Kunden kommunizieren. Die Sensibilisierung schützt das Unternehmen aber auch vor möglichen schlimmen Folgen – wenn die Datenschutzbehörde beanstandet, ist es zu spät, noch nachzubessern.

Frieden zwischen Marketing und Datenschutz

Datenschutzrechtliche Vorschriften stellen das Marketing vor besondere Herausforderungen. Manches geliebte Werkzeug ist nicht datenschutzkonform, es kann sich manchmal anfühlen, als würde der Datenschutzbeauftragte einem nur alles wegnehmen wollen. Aber Marketing kann auch anders funktionieren, und wer den Datenschutz früh mit einbezieht, kann konstruktive, neue Lösungen entwickeln. Diese können dann vielleicht sogar mehr als die Konkurrenz. Und dann… ist Datenschutz vielleicht doch endlich ein Vorteil für das Marketing.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Das ist ein sehr guter Artikel, denn in der Tat ist Marketing viel viel mehr als nur Werbung. Da spielen soviele Faktoren mit rein.

  • Für den normalen Verbraucher ist es annähernd fast unmöglich zu erkennen, wo seine Datenschutz- Rechte, bzw. die DSGVO überall in seinem täglichen Internet Surfverhalten ausgehebelt oder missachtet wird und er erkennt auch nicht wirklich, wo die Gesetze zu seinen Gunsten greifen.

    Man hat ein Verordnungsmonster erschaffen wohl wissend, dass die Meisten dieser Komplexität nicht gewachsen sind und es im Klagegang ganz schnell sehr teuer werden kann.

    Diesen Sachverhalt kennt man lachend mit vorgehaltener Hand jedoch ganz genau in der Branche. Man könnte ja noch damit Leben, dass Einkäufe oder anderes Konsumverhalten in Form von Nutzungsdaten und auch Profilerstellung der Werbebranche zugute kommt, doch gibt es immer wieder Bereiche am Datenschutz vorbei, wo die Erhebung von Daten und deren Übermittlung an Partner- Unternehmen einen direkten Eingriff in die Privatssphäre des Betroffenen auf einer höchst sensiblen Ebene darstellt.

    Ich spreche hier einmal von großen Email- Providern, die auf den eigenen Email Plattformen nicht nur ihre Werbung gegenüber dem Nutzer, durch das bereitstellen von kostenlosen Konten legitimieren, sondern sich automatisch gleichzeitig damit selber autorisieren, auch Email- Inhalte jeglicher Art zu erfassen, zu tracken, zu verwerten und an ihre Werbepartner (wenn auch nur anonymisiert) weiter zu geben. Solche Datenerhebungen von Email Inhalten sind im höchsten Maße verwerflich, egal welcher Natur diese sind, und mit Nichts was logisch wäre, zu begründen.

    Vielmehr wird dann mit Kontokündigung argumentiert wenn die Zustimmung hierzu verweigert wird, was einem Strafbestand der Nötigung gleichkommt. Niemand kann von Heute auf Morgen alle seine Mails sichern und sich noch gleich einen neuen Provider siuchen. Obwohl hier zu Gunsten von betroffenen Account-Inhabern bereits einschlägige Urteile existieren, macht man vielerorts stillschweigend im geheimen einfach so weiter. In weiteren Zusammenhang wäre auch die sogenannte netID Indentifier von Email Providern zu analysieren, die ein Login mit einer einmalig vergebenen ID Nummer bereitstellt für ausgesuchte Partner- Kaufplattformen. Bei aller Ernsthaftigkeit kann man hier keinen wirklichen Mehrwert für den Kunden erkennen. Die Frage die sich einem dabei stellt ist wie kann es sein, dass sich einfach ein paar Medien-Konzerne zusammen schließen und sich gemeinsam legitimieren, eigene Gesetzmäßigkeiten für eine neue Form zur internen Datenerhebung zu er-schaffen… mit dem Segen der Genehmigungsbehörden? Bei genaueren hinsehen erkennt man schnell, dass dies nur der eigenen kommerziellen Datenkralle, der eigens dahinter agierenden Provider dient.

    Ein netID Shopping Zertifikat also, das einem als Käufer ausweist, welches aber eigentlich überhaupt keines ist und, bei näherer Betrachtung bei Online Kaufplattformen kaum bis gar keine Beachtung findet, und man staune…, das schon seit seiner „Einführung“!? Wer also – soll (außer ein paar wenigen von Beginn an, ausgesuchten Partner Online Plattformen) dieses Anmelde- Verfahren denn wirklich unterstützen, das in Wirklichkeit so gut wie Niemand möchte? Jedenfalls, kein „Normal agierender Internet- Nutzer wie die Praxis zeigt! Auch der Online Markt scheint langfristig darin kein Erfolgsmodell zu sehen… . Verständlich! Warum wird dann an solchen Online Leichen auf Dauer überhaupt festgehalten schlimmer noch, von Datenschutz – u. Genehmigungsbehörden überhaupt auf lange Sicht geduldet und nicht einfach wieder abgeschafft? Geht es denn hier nicht auch um den Schutz von unsinnigen und unnötig erhobenen Kunden- Daten die an irgendwen wieder genauso unsinnig weitergegeben werden? Die DSGVO ist so ausgelegt, dass Unternehmen als Selbstverpflichtung Augenmerk darauf legen müssen, Datenerhebungen so sparsam wie möglich zu gestalten. Die NetID ist das beste Beispiel dafür, als gefühltes „Fünfte Rad am Wagen“ welches weder Onlinehandel – Plattformen noch weniger der Onlinekunde wirklich braucht. Foren sind thematisch immer ein guter Indikator für eine Bestätigung zumindest, bei den von mir Besuchten. Der Einzige Nutznießer und Gewinner aus diesem durchnummerierten Identitäts Blödsinn und Rohrkrepierer ist einmal mehr die Werbebranche… und diejenigen welche diesen bereitstellen.

    Man befasst sich permanent in der Werbebrache mit Prozessoptimierung, Synchronität, Implementieren von Abläufen, Konformität und, und und… . Es wäre endlich an der Zeit dass diejenigen Unternehmen, welche so scharf auf Nutzerdaten sind , für erhobene Daten an den Nutzer selbst bezahlen!

    Er hat daran genauso ein „berechtigtes Interesse“ wie alle anderen Akteuere im Netz auch. Mit welchem Recht maßen sich Konzerne und Unternehmen an, fremde Daten die eigentlich persönlicher nicht mehr sein könnten, einfach an Andere zu verkaufen? Ist denn der davon Betroffene nicht der Erste, der einen Anspruch auf eine monetäre Vergütung für sein Eigentum erwirken sollte ?

    Es wird Zeit, dass sich etwas gewaltig ändert.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.