Online-Marketing und der Datenschutz

Fachbeitrag

Online-Marketing ist mittlerweile für Unternehmen ein fester Bestandteil der Werbestrategie. Kein Wunder, denn die Erfolgsquote ist hoch! Der Erfolg basiert zu einem großen Teil auf Nutzerdaten, denn mit Hilfe von Analyse- und Tracking-Tools ist es möglich, die Werbung bei der passenden Zielgruppe zu platzieren. Aber die Tools können noch viel mehr! Unter anderem kann der Erfolg der Online-Werbung exakt erfasst und ausgewertet werden. Wer Online-Marketing-Tools nutzt, sollte jedoch auf keinen Fall den Datenschutz außer Acht lassen! Wir haben die wesentlichen datenschutzrechtlichen Problemfelder des digitalen Marketings in diesem Beitrag zusammengetragen.

Was ist Online-Marketing und wieso ist es für Unternehmen so wichtig?

Online-Marketing umfasst alle digitalen Marketingaktivitäten im Internet. Unter den Begriff fallen beispielsweise Social Media Marketing, Influencer Marketing, Suchmaschinenmarketing und Affiliate-Marketing. Digitales Marketing ist sehr erfolgversprechend, weil es sich dabei häufig um personalisierte Werbung handelt. Die Werbung sehen also nur ausgewählte Zielgruppen. Das geht natürlich nur mit möglichst konkreten Angaben über den jeweiligen Nutzer. Die Angaben werden mithilfe von verschiedenen Tools auf unterschiedlichen Wegen gesammelt und analysiert. Der Erfolg von digitaler Werbung lässt sich außerdem viel genauer bestimmen als der Erfolg von Offline-Werbung. Über entsprechende Tools können Unternehmen auswerten, wie Nutzer auf eine bestimmte Werbung reagiert haben und die Werbestrategie möglichst erfolgsversprechend anpassen.

Über allen Teilbereichen des Online-Marketing schwebt Schrems II

Für die statistische Erfassung und Auswertung von Webseitennutzern, Reichweitenmessungen oder die Platzierung von personalisierter Werbung benötigt man entsprechende Tools und Plugins. Große Anbieter wie Google oder Facebook (Meta) haben ihre Server meist in den USA. Wer die gängigen Analyse Tools nutzt, übermittelt personenbezogene Daten wie die Geräte-ID, die IP-Adresse und Informationen zum Surfverhalten von Nutzern somit auf direktem Weg in die USA.

Seitdem der EuGH durch das Schrems II-Urteil das Privacy Shield gekippt hat, ist das aus datenschutzrechtlicher Sicht ein großes Problem. Drittländer müssen ein Schutzniveau aufweisen, welches mit dem europäischen Schutzniveau vergleichbar ist. Da kein Angemessenheitsbeschluss für die USA vorliegt, dürfen personenbezogene Daten nur nach Amerika übermittelt werden, wenn die Datenexporteure den Sicherheitsstandard über andere Garantien wie Binding Corporate Rules oder Standardvertragsklauseln (sog. SCCs) gewährleisten. Eine wesentliche Neuheit der aktuellen SCCs ist die Pflicht des Datenexporteurs, nach Klausel 14 eine Datentransfer-Folgenabschätzung (bzw. Transfer Impact Assessment – TIA) vorzunehmen. Der Exporteur muss sich vergewissern, dass sein Vertragspartner aus einem Drittstaat in der Lage ist, die Pflichten aus den neuen SCCs zu erfüllen. Einige Aufsichtsbehörden sind jedoch der Meinung, dass das bei Online-Marketinganbietern wie Google schlichtweg nicht möglich ist. Unternehmen müssen die Folgeabschätzung dokumentieren, um sie der zuständigen Aufsichtsbehörde im Zweifel vorgelegt zu können. Im Gegensatz zum guten alten Offline-Marketing bringt Online-Marketing also eine ganze Menge datenschutzrechtliche Verantwortung mit sich.

Was ändert sich durch das TTDSG beim Online-Marketing?

Neben der DSGVO muss auch das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) beim Online-Marketing beachtet werden. Das TTDSG ist immer dann einschlägig, wenn es um das Auslesen oder die Speicherung von Informationen auf Endgeräten mit Internetanschluss (z.B. Handys, Tablets oder PCs) geht. Da das TTDSG keinen Personenbezug voraussetzt, geht es über den Anwendungsbereich der DSGVO hinaus. Die Schutzgüter der Gesetze sind ebenfalls unterschiedlich. Während die DSGVO die informelle Selbstbestimmung schützt, dreht sich bei TTDSG alles um die Gewährleistung der Privatsphäre. Hinzu kommt, dass die Legitimationsmöglichkeiten der Gesetze voneinander abweichen. Eine rechtmäßige Datenverarbeitung im Sinne der DSGVO muss nicht zwangsläufig eine zulässige Datenverarbeitung nach § 25 TTDSG sein.

Welche Daten werden verarbeitet?

Wer Online-Marketing betreibt, sollte also nicht nur die DSGVO, sondern auch das TTDSG auf dem Schirm haben! Dementsprechend sollten Unternehmen nicht nur prüfen, ob sie personenbezogene Daten nach der DSGVO verarbeiten, sondern auch darauf achten, ob personenbezogene oder nicht-personenbezogene Daten beim Zugriff auf ein Endgerät abgegriffen oder gespeichert werden.

2-Stufen-Prüfung möglicher Rechtsgrundlagen

Wer festgestellt hat, dass die Datenverarbeitung den Anwendungsbereich der DSGVO und des TTDSG beruht, sollte eine 2-Stufen-Prüfung vornehmen. Unternehmen müssen prüfen, ob eine Einwilligungspflicht oder Einwilligungsfreiheit nach dem TTDSG vorliegt. Anschließend sollten sie sicherstellen, dass eine rechtmäßige Datenverarbeitung von personenbezogenen Daten im Sinne der DSGVO erfolgt. Für die Verwendung von Tracking Technologien wird man beispielsweise häufig zwei Einwilligungen einholen müssen. Eine Bündelung der Einwilligungen ist möglich. Wichtig ist, dass dem Nutzer klar ist, dass er durch das einmalige Betätigen einer Schaltfläche mehrere Einwilligungen abgibt. Praktisch ist auch, dass sich die Wirksamkeit der Einwilligung aus § 25 Abs. 1 S. 1 TTDSG nach denselben Maßstäben richtet wie die Einwilligung aus Art. 6 Abs.1 lit. a DSGVO. Grundsätzlich ist es natürlich auch denkbar die Verarbeitung von Daten über das individuelle Verhalten von Nutzern im Einzelfall auf vertragliche Verpflichtungen nach Art. 6 Abs. 1 lit. b DSGVO oder auf überwiegende berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu stützen.

Weitere Problemfelder beim Online-Marketing mit dem Datenschutz

Neben den Drittlandtransfers und der Thematik rund um das TTDSG und die DSGVO müssen Unternehmen beim Online-Marketing noch weitere datenschutzrechtliche Besonderheiten beachten.

Social Media Marketing

Social Media Marketing ist ein fester Bestandteil des Online-Marketings. Kein Wunder, dass Unternehmen auf ihre Accounts auf Plattformen wie Facebook, Instagram, LinkedIn oder TikTok kaum verzichten können. Die Zielgruppenanalyse übernehmen die Anbieter der Plattformen meist selbst. Nur ein Bruchteil der Informationen gelangt an die Betreiber des Social Media Accounts. Aber Achtung – die datenschutzrechtlichen Pflichten treffen den Account Betreiber und den Anbieter der Social Media Plattform gemeinsam! Sie sind nach Art. 26 DSGVO Mitverantwortliche. Wer einen Unternehmensaccount auf den gängigen Social Media Plattformen betreibt, unterliegt somit Informationspflichten und sollte auf seinem Account unbedingt auf eine Datenschutzerklärung und ein Impressum verweisen.

Affiliate Marketing

Mit Affiliate Marketing ist die Zusammenarbeit von einem Webseitenbetreiber mit einem Unternehmen gemeint. Das Unternehmen nutzt Werbemöglichkeiten auf der Webseite und zahlt an den Betreiber eine Provision, wenn ein Nutzer auf die Anzeige klickt oder einen Kauf abschließt. Das Konzept basiert auf der Analyse des Nutzerverhaltens. Um die Provision berechnen zu können, muss erfasst werden, über welche Webseite der Nutzer den jeweiligen Onlineshop besucht und was er kauft. Die Datenerhebung erfolgt regelmäßig über Cookies. Dabei handelt es sich jedoch nicht um Cookies, die technisch notwendig sind, um den Grundbetrieb einer Webseite zu gewährleisten. Beim Affiliate Marketing werden Cookies genutzt, die Nutzer umfassend tracken und als Instrumente zur Umsatzsteigerung fungieren. Auf eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und einen entsprechenden Cookie-Banner dürfen Unternehmen somit nicht verzichten!

Website Ausgestaltung

Der Einsatz von Online-Marketing-Tools wirkt sich auch auf die Gestaltung der Website aus. Die Datenschutzerklärung sollte umfassende Angaben zu den verwendeten Tracking- und Analyse-Tools enthalten. Unternehmen müssen Besucher außerdem auf ihrer Website darüber informieren, welche Daten zu welchem Zweck erhoben und ggf. Weitergegeben werden. Da Unternehmen den Einsatz der Tools in der Regel auf Einwilligungen stützen müssen, darf der Hinweis auf das Widerspruchsrecht auch nicht fehlen. Wenn Unternehmen Social Media Accounts haben, können die individuellen Datenschutzhinweise ebenfalls in die Datenschutzerklärung auf der Website eingebunden werden. Wichtig ist, dass die Gestaltung im Sinne von Art. 12 DSGVO präzise, transparent und verständlich erfolgt.

Ein Cookie Banner ist auch unerlässlich. Dabei sollten Betreiber von Websites ganz genau hinschauen, denn mittlerweile müssen die Consent Tools bestimmte Voraussetzungen erfüllen. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat sich in ihrer Orientierungshilfe zum Telemediengesetz ausdrücklich für einen „Ablehnen“ – Button neben dem „Zustimmen“ – Button in Cookie-Bannern ausgesprochen. Die Ansicht deckt sich auch mit dem Vorgehen der französischen Datenschutzbehörde.

Datenschutz spielt beim Online-Marketing eine große Rolle

Der Erfolg des Online-Marketings basiert zu einem großen Teil auf der Erfassung und Auswertung von Nutzerdaten. Mit der Verwendung von entsprechenden Analyse- und Tracking-Tools kommt allerdings auch eine ganze Menge Verantwortung, die Unternehmen in keinem Fall unterschätzen sollten!

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

3 Kommentare zu diesem Beitrag

  1. Guten Tag,
    Sie schreiben zutreffend zum Social Media Marketing :
    „Wer einen Unternehmensaccount auf den gängigen Social Media Plattformen betreibt, unterliegt somit Informationspflichten und sollte auf seinem Account unbedingt auf eine Datenschutzerklärung und ein Impressum verweisen.“

    Dazu wäre zu ergänzen, dass vorgenannte Pflichten nicht nur Unternehmen, sondern auch deren angestellte Mitarbeiter spiegelbildlich treffen, wenn und soweit sich diese auf ihren privaten (!) Social Media Accounts als Markenbotschafter ihres Unternehmens betätigen.

    Ein Aspekt, der bislang in der Praxis – mangels Rechtsprechung (?) – kaum berücksichtigt wird. Im Hinblick auf die für die Beteiligten gegebenen Risiken sollte dies Bestandteil jeden strategischen Social Media Marketings sein. Denn aus rechtlicher Perspektive sind Mitarbeiter als Markenbotschafter auch „Influencer“ im Sinne der für diese geltenden Vorschriften (für „typische“ Influencer existiert umfängliche Rechtsprechung).

    • Da haben Sie natürlich recht. Mitarbeiter werden häufig als Repräsentanten des Unternehmens wahrgenommen. Es ist in diesem Zusammenhang hilfreich, wenn Unternehmen sog. Social Media Guidelines (konkrete Handlungsempfehlungen zum Verhalten in sozialen Medien) festlegen. Nähere Informationen dazu finden Sie in diesem Artikel: Social Media Guidelines.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.