Datenschutz im Online Marketing und Social Media im Rahmen der DSVGO

Am 25. Mai 2018 ist die Übergangsfrist zur Umsetzung der EU-Datenschutzgrund- verordnung (DSGVO) abgelaufen und be- troffene Unternehmen müssen diese ab diesem Datum umgesetzt haben.

Für international im Online-Bereich tätige Unternehmen gibt es jedoch auch wesentliche Vereinfachungen.

Grundsätzliches

Die DSGVO kommt nur dann zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Als Verarbeitung wird unter anderem das Speichern, Auswerten oder auch die Gewährung einer Zugriffsanfrage durch Dritte gewertet.

Die DSGVO gilt für alle in der EU tätigen Unternehmen unabhängig von einem allfälligen Sitz, also beispielsweise auch für US-Unternehmen wie Facebook oder WhatsApp, da diese persönliche Daten von EU-Bürgern verarbeiten.

Neben hohen Bussgeldern ist auch neu, dass jeder Betroffene und nicht nur die geschädigte Person ein Unternehmen abmahnen kann, was bedeutet, dass nun auch Wettbewerber oder Verbraucherschützer das Recht dazu haben. Unternehmen haben mit der Einführung der DSGVO die Nachweispflicht, was sie mit personenbezogenen Daten machen.

Da die praktische Erfahrung im Umgang mit der DSGVO noch fehlt, herrscht grosse Verunsicherung bei Unternehmen bis sich die Rechtsprechung mit den ent- scheidenden Fragen auseinandergesetzt haben wird und sich entsprechend Handlungsempfehlungen herauskristallisieren werden.

Im Folgenden soll kurz auf ausgewählte Bereiche des Onlinemarketing und Social Media eingegangen werden, um Unternehmen auf die verschiedenen Fragestellungen zu sensibilisieren. Die einzelnen Ausführungen erheben keinen Anspruch auf Vollständigkeit und sind je- weils im Einzelfall zu prüfen.

Gesetzliche Erlaubnis oder Einwilligung

Laut DSGVO ist die Verarbeitung von personenbezogenen Daten (wie dies auch unter den früher geltenden Datenschutzgesetzen der Fall war) grundsätzlich verboten. In der Praxis ist es jedoch schlicht unmöglich, keine personenbezogenen Daten zu verarbeiten, weshalb es von diesem Grundsatz Ausnahmen gibt, sofern ein Gesetz eine Ausnahme vorsieht oder die Einwilligung der jeweils betroffenen Person vorliegt.

Artikel 6 Absatz 1 der DSGVO definiert, wann eine Verarbeitung von personenbezogenen Daten rechtmässig ist. Dies ist insbesondere der Fall, wenn eine Einwilligung der betroffenen Person vorliegt (lit. a), die Verarbeitung zur Erfüllung eines Vertrages notwendig ist (lit. b) oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (lit. c).

Onlinemarketing

1. Direktmarketing als berechtigtes Interesse

Marketing Massnahmen können als berechtigtes Interesse gemäss Art. 6 Abs 1 lit. f. DSGVO angesehen werden, jedoch darf das schutzwürdige Interesse des Einzelnen das wirtschaftliche Interesse des Unternehmens im Einzelfall nicht über- wiegen. Wie genau diese beiden sich ge- genüberstehenden Interessen gewichtet werden, lässt sich pauschal nicht sagen, dennoch sprechen einige Aspekte dafür, dass das berechtigte Interesse am Online- marketing die schutzwürdigen Interessen des Einzelnen überwiegen.

Zu diesem Schluss kann man kommen,

wenn Onlinemarketing-Massnahmen durch den Nutzer zu erwarten sind;
wenn das Unternehmen den Nutzer ausführlich und transparent aufklärt (insbesondere auch über den Schutz ihrer personenbezogenen Daten);
wenn nur unspezifische Daten verarbeitet werden (z. B. nur Email-Adressen);
wenn der Nutzer der Datenverarbeitung widersprechen kann und
wenn die Beeinträchtigung für den Nutzer nur geringfügig ist.

Ob die Interessen im Endeffekt jedoch tat sächlich so abgewogen werden und damit Onlinemarketing als berechtigtes Interesse eines Unternehmens ausgelegt wird, kann heute noch nicht abschliessend beurteilt werden, da dies nicht aus der DSGVO hervorgeht.

2. Social Media

Monitoring

Unternehmen nutzen immer häufiger Social Media Monitoring, um topaktuelle Trends und Meinungstendenzen herauszufiltern und damit ihre Marketing Massnahmen und Strategien an ihrer Zielgruppe ausrichten zu können.

Einzelne Aussagen von Nutzern in Social Networks (Social Listening) werden dabei anonymisiert analysiert, interpretiert und entsprechend genutzt. Rechtmässig ist ein solches Vorgehen nur dann, wenn das Social Media Profil des jeweiligen Nutzers öffentlich zugänglich, also von jedem einsehbar, ist oder einzelne Posts keiner natürlichen Person mehr zugeordnet werden können.

Jedoch sind die betroffenen Personen nach dem erstmaligen Abspeichern ihrer Daten darüber zu informieren. Auch bei Social Media Monitoring ist die Informationspflicht gemäss Art. 14 DSGVO ein- zuhalten.

Die betroffene Person hat gemäss Artikel 22 Absatz 1 DSGVO das Recht, nicht einer ausschliesslich auf einer automatischen Verarbeitung – einschliesslich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. In der Praxis hat dies zur Folge, dass Social Media Monitoring eine Einwilligung verlangt.

Marketing

Werden Social Media Profile im Marketing eines Unternehmens verwendet, so gilt die Impressumspflicht, unabhängig von der genutzten Social Media Plattform.

Bei der Einbindung von Social Media Plug-Ins auf Webseiten ist aus daten- schutzrechtlicher Sicht Vorsicht geboten, da die jeweiligen Social Media Plattformen, respektive deren Anbieter, einen unbeschränkten Zugriff auf die Daten der Nutzer der Unternehmenswebseite erhalten. Grundsätzlich sollte darauf geachtet werden, dass der Nutzer solche Plug-Ins selbst aktivieren muss.

Die Einbindung von Social Widgets und Social Media Inhalten auf der Webseite eines Unternehmens sind erlaubt, solange es sich um öffentlich zugängliche Posts handelt.

Social Media Plattformen als Auftragsdatenverarbeiter

Social Media Plattformen übernehmen grundsätzlich die Rolle des Datenverantwortlichen. In der Zusammenarbeit mit Unternehmen können sie je nach Konstellation jedoch auch als Auftragsdatenverarbeiter fungieren. Verarbeitet die jeweilige Social Media Plattform beispielsweise Nutzerinformationen im Auf- trag eines Werbekunden, dann wäre der Werbekunde grundsätzlich für die Einhaltung der Datenschutzbestimmungen zuständig, was diesen verpflichtet, eine angemessene Rechtsgrundlage für die Verarbeitung der Daten durch die Social Media Plattform zu schaffen (z.B. Einwilligung des Nutzers). Zusätzlich sollten die Unternehmen, wenn der Anbieter der Social Media Plattform als Auftragsdatenverarbeiter agiert, in den jeweiligen Verträgen mit dem Anbieter der Social Media

Plattform einen entsprechenden Zusatz vereinbaren.

3. Tracking Codes

Es ist davon auszugehen (jedoch nicht sicher), dass die Nutzung von Analyse-Tools und Pixel Technologien (sog. Tracking Codes) ein berechtigtes Interesse darstellen und die Nutzer mit dieser Art der Datenverarbeitung rechnen müssen.

Grundsätzlich können solche Tracking Codes nur mit einer Opt-Out Funktion datenschutzkonform genutzt werden. Die meisten Anbieter des jeweiligen Tracking Codes bieten dafür zurzeit jedoch keine Lösungen an, weshalb die Unter- nehmen eigene Lösungen finden müssten.

Problematisch ist dabei, dass Tracking Codes Daten tracken, sobald eine Webseite aufgerufen wird und nicht erst nach allfälliger Zustimmung des Nutzers. Die Opt-Out Funktion müsste aber erfolgen, bevor die Daten getrackt und übertragen werden. Dieses Problem kann zwar auf verschiedene Weisen umgangen werden (z. B. eine vorgeschaltete Landingpage mit allen Informationen und Opt-Out Funktion), in den meisten Fällen wäre die User-Journey aber alles andere als angenehm. Jedoch ist klar, dass simple Hinweise in der jeweiligen Datenschutzerklärung über die genutzten Tracking Codes nicht ausreichend sind, fehlen dürfen diese jedoch keines- falls, wenn solche Technologien genutzt werden. In der Datenschutzerklärung, in welcher der Nutzer über die Verwendung solcher Tools aufgeklärt wird, muss ein Link eingebaut werden, um dem Nutzer die Möglichkeit zu geben, das Tracking abzuschalten. Um Datenschutzverstösse zu vermeiden, sollte bei der Verwendung von Google Analytics außerdem ein zusätzliches Codeschnipsel eingebunden werden, welches für die Kürzung der IP-Adressen der Nutzer und somit für eine Anonymisierung beim Tracken sorgt.

Zusätzlich gilt zu erwähnen, dass das Hochladen von Email-Adressen und das automatische Hinzufügen von Nut- zern in Gruppen für Targeted Advertising (z.B. Custom Audiences auf Facebook) ohne vorab eingeholte Einwilligung des Nutzers (Opt-In) nicht datenschutzkon- form sind.

4. Einwilligung (Opt-in)

Massgebliche Komponente der DSGVO stellen die neuen Anforderungen an die Einwilligungshandlung des Betroffenen dar. Überwiegen die berechtigten Interessen eines Unternehmens nicht klar oder bestehen Bedenken an der Zulässigkeit der Datenverarbeitung, wird eine aktive und eindeutig bestätigende Einwilligung der betroffenen Person zwingend verlangt. Die elektronische Einwilligung (Tick-Box) ist erlaubt.

Unternehmen haben der betroffenen Person detailliert darzulegen, welche Daten von der Erhebung betroffen sind und welchem konkreten Zweck die Datenverarbeitung dient. Stehen mehrere unterschiedliche Zwecke im Fokus, so ist dies darzulegen und jedem dieser Zwecke muss gesondert zugestimmt werden. Eine Zustimmung muss freiwillig erfolgen und die betroffene Person muss vollständig informiert worden sein, auch über die ihr zustehenden Rechte (informed consent).

Zudem ist das sogenannte Kopplungsverbot zu beachten: Das Zustande- kommen eines Vertrags darf nicht von der Einwilligung des Nutzers in die Datenverarbeitung abhängig gemacht werden.

Fazit

Mit der DSGVO wird es Unternehmen ermöglicht, personenbezogene Daten zu Marketingzwecken zu nutzen, sofern diese in öffentlich zugänglichen Listen oder Verzeichnissen abrufbar sind und die geltenden Datenschutzrechte dabei eingehalten werden. Die Rechtmässigkeit ist jedoch nur dann gegeben, wenn die unternehmerischen Interessen diejenigen des Nutzers überwiegen und dessen Rechte nicht beschränken.

Eine Einwilligung, egal für welche Form der Datenverarbeitung, sollte jeweils die letzte Wahl sein, da die gesetzlichen Ausnahmen festgelegt sind und eine Einwilligung auch immer datenschutzkonform gestaltet werden muss, was Unternehmen im Einzelfall vor grössere Herausforderungen stellen könnte.

Sowohl beim E-Mail-Marketing als auch bei besonderen Datenkategorien ist eine Einwilligung jedoch immer einzuholen, da dies gesetzlich vorgeschrieben ist.

Die DSGVO ist sehr umfangreich und sollte in ihrer Gesamtheit auch beachtet und umgesetzt werden. Dieser Beitrag beleuchtet nur einen kleinen Auszug aus den Bestimmungen und gibt teilweise die persönliche Meinung des Autors wider. Es wird jedem Unternehmen empfohlen, die eigenen Strategien und Umsetzungsbemühungen zum Datenschutz einzeln rechtlich prüfen zu lassen, um mit den geltenden Gesetzen konform zu sein.

Dieser Beitrag wurde von RA Sergio Leemann verfasst.

ArchivGastautor/-in15. August 2018