Datenschutz im Online Marketing – Auswirkungen der DSGVO

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung in Kraft. Machen Sie Ihr Online Marketing rechtzeitig fit für die neue Rechtslage. Wir zeigen Ihnen, was Sie bei Ihren Online Marketing Aktivitäten beachten müssen.

Allgemeine Grundsätze der Datenschutzgrundverordnung:

Best Practices für verschiedene Anbieter:

Hinweis: Sie finden in diesem Artikel unsere Empfehlungen für den datenschutzkonformen Einsatz von verschiedenen Online Marketing Tools. Unsere Empfehlungen können keine Rechtsberatung durch einen Fachanwalt ersetzen. Wir übernehmen keine Haftung für die Korrektheit und Vollständigkeit der Informationen.

Allgemeine Grundsätze in der Datenschutzgrundverordnung

Bevor wir spezifisch auf Google Analytics, Facebook und weitere Tools eingehen, wollen wir die allgemeinen Grundsätze erläutern:

Personenbezogene Daten

Als personenbezogene Daten gelten nicht nur klassische Personenidentifikationsmerkmale wie Name, Geburtsdatum, E-Mail-Adresse oder IP-Adresse. Auch zufallsgenerierte Cookie-IDs gelten als personenbezogene Daten.

Daher betrifft die Datenschutzgrundverordnung so gut wie alle Online Marketing Aktivitäten. Denn diese basieren in der Regel darauf, dass eine zufallsgenerierte User-ID erzeugt und in einem Cookie gespeichert wird.

Rechtsgrundlage für die Datenerhebung - vorherige Zustimmung notwendig?

Die Erhebung bzw. Verarbeitung von personenbezogenen Daten muss auf einer geeigneten Rechtsgrundlage basieren. Die Datenschutzgrundverordnung nennt folgende mögliche Rechtsgrundlagen:

  • Explizite Zustimmung: Die Verarbeitung ist rechtmäßig, wenn der Nutzer vorab informiert wurde und explizit zugestimmt hat. Ein Hinweis der Art "Mit dem Benutzen der Website sind Sie mit der Datenverarbeitung einverstanden" ist nicht ausreichend.
  • Erforderlichkeit: Personenbezogene Daten dürfen erhoben und verarbeitet werden, wenn dies zur Vertragserfüllung zwingend erforderlich ist - beispielsweise die Erhebung einer Lieferadresse bei einer Bestellung. Gleiches gilt, wenn die Erhebung aus gesetzlichen Gründen vorgeschrieben ist.
  • Berechtigtes Interesse: Die Datenschutzgrundverordnung erlaubt außerdem eine Datenverarbeitung, wenn ein "berechtigtes Interesse" vorliegt und gleichzeitig die Schutzinteressen des Nutzers nicht überwiegen.

Beim Einsatz von Webanalyse-Tools und Remarketing wird meistens mit einem berechtigten Interesse sowie einer geringen Beeinträchtigung der Nutzerinteressen argumentiert (solange nur anonyme Cookie-IDs und keine echten Personenidentifikationsmerkmale verwendet werden). Eine vorherige explizite Zustimmung ist daher nicht notwendig.

Das Vorliegen eines berechtigten Interesses ist allerdings Auslegungssache. Ob die genannte Argumentation rechtlich standhält, wird die Rechtsprechung erst in einigen Jahren zeigen. Eine hundertprozentige Sicherheit bietet daher nur das vorherige Einholen einer expliziten Zustimmung. Da nur wenige Nutzer explizit die Datenschutzhinweise akzeptieren, wäre das aber mit massiven Einschränkungen der Online Marketing Aktivitäten und einem Wettbewerbsnachteil gegenüber anders handelnden Mitbewerbern verbunden. Die meisten Unternehmen verzichten daher auf eine vorherige Zustimmung und warten die Rechtsprechung ab.

In einigen Sonderfällen liegt ein erhöhtes Schutzinteresse vor. Dies betrifft beispielweise Websites mit sensiblen Themen, wie zum Beispiel Gesundheitsthemen. Hier empfehlen wir vorab die Zustimmung einzuholen. Bei manchen Werbenetzwerken ist Remarketing in solchen Fällen sogar - unabhängig von der Rechtslage - anbieterseitig untersagt.

Qualifizierte Datenschutzerklärung

In allen Fällen müssen sie die Nutzer aussagekräftig und verständlich über die Datenverarbeitung informieren. Stellen Sie daher schnell und einfach auffindbar eine Datenschutzerklärung auf, die folgende Informationen für jeden Anbieter enthält:

  • Zweck bzw. Rechtsgrundlage der Datenerhebung
  • Umfang der Datenerhebung bzw. Auflistung der erhobenen Daten
  • Speicherdauer der erhobenen Daten
  • Nennung von Widerspruchsmöglichkeiten
  • Wenn zutreffend: Hinweis über Verarbeitung durch externe Dienstleister (Unternehmen, abgeschlossener Auftragsdatenverarbeitungsvertrag)

Hier finden Sie ein Beispiel: Unsere Muster-Datenschutzerklärung für Google Analytics.

Widerspruchsmöglichkeit (Optout) und Löschung von Daten

Auf jeden Fall müssen Sie dem Nutzer eine effektive Widerspruchsmöglichkeit geben, durch die eine weitere Datenerhebung effektiv unterbunden wird.

Dabei gilt das sogenannte Kopplungsverbot: Die Website muss - sofern keine zwingenden technischen oder rechtlichen Gründe dagegensprechen - auch nach dem Widerspruch bestmöglich nutzbar bleiben. Ein Hinweis wie "Verlassen Sie die Website, wenn Sie mit der Datenerhebung nicht einverstanden sind" ist nicht ausreichend. 

Eine Widerspruchsmöglichkeit kann ein Button in der Datenschutzerklärung sein. Wenn ein Nutzer auf den Button klickt, muss ein Optout-Cookie gesetzt werden. Bevor Tracking- und Remarketing-Codes ausgespielt werden, muss das Vorhandensein des Cookies geprüft werden. Wie Sie das umsetzen, besprechen Sie am besten mit Ihrer Webagentur oder Ihrer Online Marketing Agentur.

Die Datenschutzgrundverordnung definiert außerdem das Recht auf Löschung der erhobenen Daten. Die meisten Anbieter im Bereich Online Marketing bieten dafür bisher keine geeigneten Möglichkeiten an. Google Analytics hat für Mai 2018 eine derartige Funktion angekündigt. Implementieren Sie diese Funktionen, sobald sie verfügbar sind.

Datenminimierung und Speicherbegrenzung

Die Datenschutzgrundverordnung schreibt den Grundsatz der Datenminimierung vor:

  • Erheben Sie nur so viele Daten wie für den Zweck notwendig.
  • Speichern Sie die Daten nur so lange wie für den Zweck notwendig.

Übertragen Sie daher nur so viele Daten wie notwendig und befristen Sie, wenn möglich, die Speicherdauer. Google Analytics bietet beispielsweise seit April 2018 eine neue Möglichkeit, um die Speicherdauer von nutzerbezogenen Daten zu befristen.

Google Remarketing

Für Remarketing über Google AdWords können Sie wahlweise Remarketing über Google Analytics, Google AdWords Remarketing Tag oder das DoubleClick-Remarketing-Pixel verwenden.

Best Practices für den datenschutzkonformen Einsatz von Google AdWords

Wenn Sie Remarketing über Google Analytics verwenden, folgen Sie einfach unserer Checkliste für den datenschutzkonformen Einsatz von Google Analytics.

Wenn Sie direkt den Google AdWords Remarketing Tag oder DoubleClick verwenden, beachten Sie folgende Punkte:

  • Datenschutzerklärung: Weisen Sie in der Datenschutzerklärung auf die Verwendung von Remarketing über Google AdWords hin.
  • Widerspruchsmöglichkeit: Weisen Sie auf die Optout-Möglichkeiten hin. Google bietet hier zwei Möglichkeiten an, die Sie beide verlinken sollten: Die Google AdSettings sowie die anbieterübergreifende Deaktivierungsseite der Network Advertising Initiative.

Vorherige Zustimmung für Remarketing notwendig?

Remarketing-Funktionalitäten sind aus Datenschutzschutzsicht kritischer als reines Webtracking, wie beispielsweise über Google Analytics oder Piwik. Grund dafür ist: Beim Webtracking kann die Aktivität eines Nutzers auf einer einzelnen Website nachverfolgt werden (1st Party Tracking). Beim Remarketing kann die Aktivität eines Nutzers über verschiedene Websites übergreifend nachverfolgt werden (3rd Party Tracking).

Bei der Interessensabwägung zwischen dem "berechtigten Interesse des Website-Betreibers" und dem "Schutzinteresse des Nutzers" ist daher nicht eindeutig, welches Interesse schwerer wiegt. Somit ist auch nicht eindeutig, ob Remarketing-Funktionen ebenso wie Webtracking ohne vorherige explizite Zustimmung des Nutzers eingesetzt werden dürfen. Dies wird erst die Rechtsprechung in den kommenden Jahren entscheiden. Von den deutschen Datenschutzbehörden gibt es jedoch erste Signale, dass der Einsatz von Remarketing auch ohne vorherige Einwilligung zulässig ist und ein Optout ausreicht.

Viele Unternehmen setzen Remarketing vorerst weiterhin ohne vorherige Zustimmung ein – weil sich sonst deutliche Einschränkungen bzw. Wettbewerbsnachteile ergeben. Für eine 100% rechtssichere Lösung müssten Sie vorab die Zustimmung einholen und die daraus resultierenden Einschränkungen für Ihre Online Marketing Aktivitäten in Kauf nehmen.

Google AdWords Conversion Tracking

Beim Google AdWords Conversion Tracking gibt es keine Einstellungsmöglichkeiten, die den Datenschutz betreffen. Allerdings sollten Sie diese beiden allgemeinen Maßnahmen setzen:

  • Datenschutzerklärung: Weisen Sie in der Datenschutzerklärung auf die Verwendung des AdWords Conversion Trackings hin. Beschreiben Sie darin u.a., auf welchen Seiten bzw. bei welchen Aktionen (typischerweise nach einer Bestellung, Newsletter-Anmeldung o.Ä.) das AdWords Conversion Tracking eingebunden ist.
  • Widerspruchsmöglichkeit: Google AdWords stellt kein Optout zur Verfügung. Sie sollten in der Datenschutzerklärung daher eine selbstprogrammierte Optout-Möglichkeit anbieten.

In die Datenschutzerklärung können Sie beispielsweise folgenden Text aufnehmen. Der gelb markierte Text sollte angepasst werden.

Wir verwenden das Google AdWords Conversion Tracking, um den Erfolg unserer Werbemaßnahmen zu messen. Nach bestimmten Zielerreichungen auf unserer Website ("Conversions") - wie dem Abschluss einer Bestellung oder die Anmeldung zu unserem Newsletter - wird diese Zielerreichung von Google erfasst. Google kann damit die Anzahl der Zielerreichungen messen. Darüber hinaus wird Google anhand von zuvor gesetzten Cookies zuordnen, welche Werbeanzeigen vorher angeklickt wurden und somit für die Zielerreichung ausschlaggebend waren. Google verarbeitet diese Daten auf Servern in den USA, wird sie jedoch nicht mit persönlichen Daten aus Ihrem Google-Konto in Verbindung bringen.

Google Tag Manager

Der Google Tag Manager wird zur Einbindung von Tracking- und Remarketing-Codes verwendet. Bei allen darüber eingebundenen Codes müssen Sie selbstverständlich die Datenschutzsbestimmungen einhalten.

Der Google Tag Manager selbst speichert jedoch keine Daten. Daher müssen Sie den Tag Manager nicht in den Datenschutzbedingungen erwähnen und auch sonst keine Maßnahmen ergreifen.

Facebook Pixel

Der Einbau eines Facebook Pixels ist mit dem Einbau eines Google AdWords Remarketing Tags vergleichbar. Das ist vermutlich auch ohne vorherige Zustimmung erlaubt, jedoch noch nicht mit Sicherheit entschieden.

Jedenfalls sollten Sie dabei folgende Punkte beachten:

  • Datenschutzerklärung: Weisen Sie in der Datenschutzerklärung auf die Verwendung des Facebook Pixels hin. Beschreiben Sie darin u.a., auf welchen Seiten es eingebunden ist (oft auf der gesamten Website) und welche Aktionen neben den Seitenaufrufen erfasst werden (beispielsweise Bestellungen oder Newsletter-Anmeldung).
  • Widerspruchsmöglichkeit: Facebook bietet zwar ein Optout in den Datenschutzeinstellungen an. Diese Einstellungsmöglichkeit steht allerdings nur registrierten Facebook-Nutzern zur Verfügung. Aus Datenschutz-Sicht ist das unzureichend. Die Widerspruchsmöglichkeit muss allen Nutzern zur Verfügung stehen. Sie müssen daher zwingend eine eigene Optout-Möglichkeit programmieren und in Ihrer Datenschutzerklärung darauf hinweisen.
  • Keine personenbezogenen Daten ohne Zustimmung übertragen: Das Facebook Pixel kann so erweitert werden, dass Sie neben den standardmäßig erhobenen Daten (Seitenaufrufe, Cookie-IDs), auch E-Mail-Adressen oder Telefonnummern zum Nutzerabgleich übertragen können ("erweiterter Nutzerabgleich"). Derartige Daten dürfen Sie keinesfalls ohne vorherige Zustimmung übertragen.

Facebook Custom Match und erweiterter Nutzerabgleich

Sie können Personenidentifikationsmerkmale wie E-Mail-Adressen oder Telefonnummern übertragen, um daraus eine "Custom Audience" zu bilden und diese Nutzer gezielt auf Facebook anzusprechen. Dies kann durch das Hochladen der Kundenliste oder direkt über das Facebook Pixel erfolgen.

Dazu müssen Sie die Nutzer auf die Übertragung der Daten an Facebook hinweisen und vorab ihre explizite Zustimmung dazu einholen. Die Formulierung sollte dabei spezifisch auf Facebook bezogen sein. Eine allgemeine Formulierung wie "Ihre Daten werden zu Marketingzwecken verwendet" ist nicht ausreichend.