Neue EU-Datenschutz-Grundverordnung: Welche Chancen und Risiken hat die DSGVO für das Performance Marketing?

0

Der Countdown läuft: Ab dem 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) von allen Unternehmen in der Europäischen Union anzuwenden. Dabei ist die DSGVO eigentlich bereits seit dem 24. Mai 2016 in Kraft, allen betroffenen Unternehmen wurde aber ein Übergangszeitraum von zwei Jahren eingeräumt. Nichtsdestotrotz haben viele Unternehmen die Neuregelung erst seit kurzem auf dem Radar. Da die DSGVO jedoch ab dem Stichtag ohne Ausnahme umzusetzen ist, wird es für Unternehmen und insbesondere primär datenverarbeitende Unternehmen höchste Zeit, sich mit dem Thema zu beschäftigen. Nicht zuletzt bringt die neue EU-Verordnung auch einige tiefgreifende Änderungen für das Performance-Marketing mit sich, die wir hier näher beleuchten wollen.

Datenschutzregularien sollen vereinheitlicht werden

Das Ziel der DSGVO besteht grundsätzlich darin, den Schutz von Grundfreiheiten und Grundrechten natürlicher Personen in Bezug auf personenbezogene Daten inklusive deren Erhebung, Verkehr und Verarbeitung zu verbessern. Ein weiteres Primärziel ist die Vereinheitlichung der Datenschutzregularien in allen EU-Staaten, um somit einen einheitlichen Rechtsrahmen für die Datenverarbeitung zu gewährleisten und einen EU-Binnenmarkt für Daten zu schaffen. Das bedeutet im Übrigen auch, dass überall in der EU die gleichen Wettbewerbsbedingungen hinsichtlich der Datenschutzstandards geschaffen werden. Mit der neuen EU-Datenschutz-Grundverordnung wird die derzeit noch geltende Datenschutzrichtlinie 95/46/EG ebenso abgelöst wie ein Großteil des Bundesdatenschutzgesetzes (BDSG).

DSGVO: Die wichtigsten Neuerungen

Mit der DSGVO gehen einige Veränderungen einher, von denen einige massiv, andere wiederum kaum spürbar ausfallen. Im Fokus stehen dabei die Transparenz, die Rechtmäßigkeit, die Zweckbindung, die Integrität sowie die Vertraulichkeit im Rahmen der Datenerhebung und Verarbeitung. Hinzu kommt neben dem Prinzip der erweiterten Datensparsamkeit und Datenminimierung auch eine erweiterte Rechenschaftspflicht für Unternehmen. Konkret lassen sich die wichtigsten Änderungen der neuen EU-Datenschutz-Grundverordnung wie folgt zusammenfassen:

  • Die neue Datenschutzregelung gilt auch für Unternehmen mit Sitz außerhalb der EU, also beispielsweise auch für Facebook oder Google. Künftig spielt der Ort der Datenverarbeitung keine Rolle mehr, sondern nur noch die Frage, ob Daten von EU-Bürgern verarbeitet werden.
  • Die Informationsrechte von Betroffenen haben sich erweitert, sodass diese von Unternehmen künftig umfangreicher über die Datennutzung zu informieren sind. Diese Informationsrechte umfassen unter anderem die Kontaktdaten des Datenschutzbeauftragten sowie Informationen über die Speicherdauer der erhobenen Daten.
  • Betroffene können das sogenannte “Recht auf Vergessen” gegenüber einem Unternehmen geltend machen. Dementsprechend sind alle Daten so zu hinterlegen, dass diese auf Wunsch restlos beseitig werden können. Nicht betroffen sind aus den erhobenen Datensätzen gewonnene schätzungsbasierte Daten wie beispielsweise die Zuordnung zu einer Konsumentengruppe.
  • Unternehmen sind künftig angehalten, den Datenschutz durch datenschutzrechtliche Grundeinstellungen schon beim Planen neuer Techniken zur Datenverarbeitung zu berücksichtigen. Im Rahmen des “Privacy by design und by default”-Konzepts geht es vornehmlich um die Datensparsamkeit durch die datenschutzfreundlichsten Voreinstellungen als Grundeinstellung.
  • Ebenfalls neu ist das Konzept der Rechenschaftspflicht (“Accountability Principle”). Dieses schreibt Unternehmen vor, die Prinzipien des Datenschutzes nicht nur einzuhalten, sondern diese Einhaltung auch noch schriftlich zu belegen. Damit ist künftig grundsätzlich alles, angefangen von Einwilligungen über direkte Kommunikation bis hin zu Kundeninteraktionen, zu speichern.
  • Datenschutzverstöße müssen ab dem 25. Mai 2018 unabhängig von der Art der Daten bei der zuständigen Behörde gemeldet werden, sofern ein Datenschutzrisiko besteht. Neben der Aufsichtsbehörde, die innerhalb von 72 Stunden benachrichtigt werden muss, müssen auch die Betroffenen zeitnah und “ohne unangemessene” Verzögerung über einen Datenschutzverstoß informiert werden.
  • Ein weiterer großer Punkt ist die Erhöhung der Bußgelder für Datenschutzverstöße. Anstelle der bisherigen Maximalstrafe von 300.000 Euro tritt nun eine umsatzbasierte Regelung. Die Strafen können sich nun auf bis zu vier Prozent des globalen Jahresumsatzes eines Unternehmens belaufen.
  • Eine gute Nachricht für international operierende Unternehmen ist hingegen die Reduktion von Bürokratie. Künftig ist nämlich nur noch die Datenschutzbehörde des Ortes zuständig, an dem sich der Hauptsitz des Unternehmens befindet. Alles Weitere müssen die Datenschutzbehörden intern abstimmen.

Folgen der DSGVO für das Performance-Marketing

Trotz der kompletten Neufassung der Erlaubnistatbestände für die Verarbeitung personenbezogener Daten ändert sich unter dem Strich nur an wenigen Punkten Signifikantes. Nach wie vor dürfen Daten durch Unternehmen verarbeitet werden, sofern ein berechtigtes Interesse besteht und das Interesse der Betroffenen nicht überwiegt. Da die Anforderungen der DSGVO an das berechtigte Interesse gegenüber der aktuellen Rechtslage gesenkt wurden, dürfen Unternehmen nun in deutlich mehr Fällen Daten verarbeiten, sofern der Betroffene nicht ausdrücklich widerspricht. Dies ist beispielsweise zur Betrugsbekämpfung, zur IT-Sicherheit aber auch zu Werbezwecken möglich. Laut der neuen Verordnung stellt im Übrigen auch personalisierte Werbung ein Interesse für kommerzielle Unternehmen dar.

Ein weiteres Beispiel für die Lockerung bisheriger Regelungen ist die Abschaffung des in Zeiten von Big Data längst überholten § 28 Abs. 3 des BDSG, der noch aus den 1970er-Jahren stammt. Ab Ende Mai 2018 ist also auch die gezielte Werbeansprache bzw. Neukundengewinnung nicht mehr nur mit den sogenannten Listendaten möglich. Damit herrschen für in Deutschland ansässige Unternehmen hinsichtlich des Einsatzes von Performance-Marketing auch endlich die gleichen Bedingungen wie in den meisten anderen EU-Ländern, in denen eine solche Listenregelung niemals existiert hat.

Gemäß der neuen Datenschutz-Grundverordnung kann die Datenverarbeitung nach wie vor aber auch durch die ausdrückliche Einwilligung legitimiert werden. Diese Einwilligung ist allerdings mit höheren Hürden versehen worden. Grundvoraussetzung für eine gültige Einwilligung ist neben der umfassenden Information über die Datennutzung und dem jederzeit möglichen Widerruf auch die freie Entscheidung über die Einwilligung.

Eine tiefgreifende Änderung besteht im Bereich der Einwilligungsabgabe. Während es bisher noch möglich war, diese im Rahmen eines Opt-Out-Verfahrens (z.B. Deaktivieren einer Checkbox) zu geben, sind fortan aktive Handlungen des Betroffenen nötig. So zum Beispiel das Aktivieren einer Checkbox im Opt-In-Verfahren. Einwilligungen von Minderjährigen unter 16 Jahren sollen überdies nur noch dann gültig sein, wenn die Erziehungsberechtigten zustimmen.

Risiken der DSGVO für das Performance-Marketing

Da sich ein Großteil der Neuregelung bereits jetzt im ohnehin strengen BDSG wiederfindet, sind die Risiken für das Performance-Marketing geringer als befürchtet. Nichtsdestotrotz erschweren vor allem die erhöhten Anforderungen an die Einwilligung zur Datenverarbeitung die unspezifische Ansprache von Zielgruppen mit Werbung. Das wiederum kann dazu führen, dass viele für den Nutzer kostenfreie Inhalte aus dem Netz verschwinden, da die Finanzierung über Werbung nicht mehr gewährleistet werden kann, da Werbebudgets abgezogen werden.

Michael Neuber, Justiziar des Bundesverbands Digitale Wirtschaft (BVDW) warnt durch die unklare Formulierung der Verordnung zudem vor dem Risiko, dass “jedes Datenbit je nach Verarbeitungskontext plötzlich als personenbezogenes Datum definiert werden kann”. Dies wiederum baut weitere Hürden für das Performance-Marketing ein, da zusätzliche Einwilligungen notwendig werden.

Unternehmen, die beispielsweise mit Cookies für das hauseigene Tracking arbeiten und diese mit Cookies von Tracking-Dienstleistern kombinieren, sind damit ab nächstem Jahr mit deutlich mehr Aufwand konfrontiert, da gleich mindestens zwei Einwilligungen eingeholt werden müssen. Dieser Umstand wird wiederum höchstwahrscheinlich zu einer steigenden Bedeutung von First-Party-Daten führen, die selbst erhoben und nicht über Dienstleister zugekauft werden. Im Umkehrschluss werden Targeting-Dienstleister die DSGVO langfristig am stärksten zu spüren bekommen.

Chancen der DSGVO für das Performance-Marketing

Durch die angestrebte Transparenz gegenüber den Betroffenen bietet die DSGVO jedoch auch zahlreiche Chancen für das Performance-Marketing. Dadurch, dass die Betroffenen deutlicher in den Datenverarbeitungsprozess einbezogen werden und mehr Souveränität über ihre Daten erlangen, kann sich ein echtes “Consumer-First-Marketing” auf Vertrauensbasis entwickeln. Dies wiederum stärkt die Beziehung zwischen Kunden bzw. potenziellen Kunden und den Unternehmen, da das Online-Marketing aus dem Schatten der Anonymität des unsichtbaren Datenfischens tritt.

Hinzu kommen gerade für deutsche Unternehmen die zusätzlichen Freiheiten durch die Harmonisierung der Datenschutzregelungen auf der europäischen Ebene, wie es durch den bereits angesprochenen Wegfall des § 28 Abs. 3 des BDSG der Fall ist. Auch birgt der einheitlich hohe Datenschutzstandard innerhalb der EU die Chance zur Entwicklung neuer Marketing-, Datenverarbeitungs- und Trackingsysteme, die sich auch anderswo auf der Welt etablieren könnten. Schließlich haben auch Menschen in den USA sowie Asien ein wachsendes Datenschutzbedürfnis und schielen dementsprechend auf die Entwicklung in Europa.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here