Am 25. Mai 2018 tritt die Datenschutzgrundverordnung in Kraft. Machen Sie Ihr Online Marketing rechtzeitig fit für die neue Rechtslage. Wir zeigen Ihnen, was Sie bei Ihren Online Marketing Aktivitäten beachten müssen.
Allgemeine Grundsätze der Datenschutzgrundverordnung:
Best Practices für verschiedene Anbieter:
Hinweis: Sie finden in diesem Artikel unsere Empfehlungen für den datenschutzkonformen Einsatz von verschiedenen Online Marketing Tools. Unsere Empfehlungen können keine Rechtsberatung durch einen Fachanwalt ersetzen. Wir übernehmen keine Haftung für die Korrektheit und Vollständigkeit der Informationen.
Bevor wir spezifisch auf Google Analytics, Facebook und weitere Tools eingehen, wollen wir die allgemeinen Grundsätze erläutern:
Als personenbezogene Daten gelten nicht nur klassische Personenidentifikationsmerkmale wie Name, Geburtsdatum, E-Mail-Adresse oder IP-Adresse. Auch zufallsgenerierte Cookie-IDs gelten als personenbezogene Daten.
Daher betrifft die Datenschutzgrundverordnung so gut wie alle Online Marketing Aktivitäten. Denn diese basieren in der Regel darauf, dass eine zufallsgenerierte User-ID erzeugt und in einem Cookie gespeichert wird.
Die Erhebung bzw. Verarbeitung von personenbezogenen Daten muss auf einer geeigneten Rechtsgrundlage basieren. Die Datenschutzgrundverordnung nennt folgende mögliche Rechtsgrundlagen:
Beim Einsatz von Webanalyse-Tools und Remarketing wird meistens mit einem berechtigten Interesse sowie einer geringen Beeinträchtigung der Nutzerinteressen argumentiert (solange nur anonyme Cookie-IDs und keine echten Personenidentifikationsmerkmale verwendet werden). Eine vorherige explizite Zustimmung ist daher nicht notwendig.
Das Vorliegen eines berechtigten Interesses ist allerdings Auslegungssache. Ob die genannte Argumentation rechtlich standhält, wird die Rechtsprechung erst in einigen Jahren zeigen. Eine hundertprozentige Sicherheit bietet daher nur das vorherige Einholen einer expliziten Zustimmung. Da nur wenige Nutzer explizit die Datenschutzhinweise akzeptieren, wäre das aber mit massiven Einschränkungen der Online Marketing Aktivitäten und einem Wettbewerbsnachteil gegenüber anders handelnden Mitbewerbern verbunden. Die meisten Unternehmen verzichten daher auf eine vorherige Zustimmung und warten die Rechtsprechung ab.
In einigen Sonderfällen liegt ein erhöhtes Schutzinteresse vor. Dies betrifft beispielweise Websites mit sensiblen Themen, wie zum Beispiel Gesundheitsthemen. Hier empfehlen wir vorab die Zustimmung einzuholen. Bei manchen Werbenetzwerken ist Remarketing in solchen Fällen sogar - unabhängig von der Rechtslage - anbieterseitig untersagt.
In allen Fällen müssen sie die Nutzer aussagekräftig und verständlich über die Datenverarbeitung informieren. Stellen Sie daher schnell und einfach auffindbar eine Datenschutzerklärung auf, die folgende Informationen für jeden Anbieter enthält:
Hier finden Sie ein Beispiel: Unsere Muster-Datenschutzerklärung für Google Analytic oder unsere Muster-Datenschutzerklärung für das Meta-Pixel (Facebook-Pixel).
Außerdem bieten wir eine Liste der Cookies, die von verschiedenen Google Tools gesetzt werden. Damit können Sie in Ihrer Datenschutzerklärung ergänzen, welche Cookies mit welcher Speicherdauer und mit welchem Zweck gespeichert werden.
Auf jeden Fall müssen Sie dem Nutzer eine effektive Widerspruchsmöglichkeit geben, durch die eine weitere Datenerhebung effektiv unterbunden wird.
Dabei gilt das sogenannte Kopplungsverbot: Die Website muss - sofern keine zwingenden technischen oder rechtlichen Gründe dagegensprechen - auch nach dem Widerspruch bestmöglich nutzbar bleiben. Ein Hinweis wie "Verlassen Sie die Website, wenn Sie mit der Datenerhebung nicht einverstanden sind" ist nicht ausreichend.
Eine Widerspruchsmöglichkeit kann ein Button in der Datenschutzerklärung sein. Wenn ein Nutzer auf den Button klickt, muss ein Optout-Cookie gesetzt werden. Bevor Tracking- und Remarketing-Codes ausgespielt werden, muss das Vorhandensein des Cookies geprüft werden. Wie Sie das umsetzen, besprechen Sie am besten mit Ihrer Webagentur oder Ihrer Online Marketing Agentur.
Die Datenschutzgrundverordnung definiert außerdem das Recht auf Löschung der erhobenen Daten. Die meisten Anbieter im Bereich Online Marketing bieten dafür bisher keine geeigneten Möglichkeiten an. Google Analytics hat für Mai 2018 eine derartige Funktion angekündigt. Implementieren Sie diese Funktionen, sobald sie verfügbar sind.
Die Datenschutzgrundverordnung schreibt den Grundsatz der Datenminimierung vor:
Übertragen Sie daher nur so viele Daten wie notwendig und befristen Sie, wenn möglich, die Speicherdauer. Google Analytics bietet beispielsweise seit April 2018 eine neue Möglichkeit, um die Speicherdauer von nutzerbezogenen Daten zu befristen.
Google Analytics bietet sehr viele Möglichkeiten, um für bestmögliche Datenschutzkonformität zu sorgen (IP-Anonymisierung, Browser-Addons zum Optout, Befristung der Datenaufbewahrung, Löschung von Daten, ...).
Aufgrund der Vielfalt der möglichen und empfohlenen Maßnahmen haben wir eine eigene Checkliste für den rechtskonformen Einsatz von Google Analytics erstellt:
Sie wollen sicher gehen und die Überprüfung durch Experten durchführen lassen? Fragen Sie direkt bei uns nach einem Angebot.
Für Remarketing über Google AdWords können Sie wahlweise Remarketing über Google Analytics, Google AdWords Remarketing Tag oder das DoubleClick-Remarketing-Pixel verwenden.
Wenn Sie Remarketing über Google Analytics verwenden, folgen Sie einfach unserer Checkliste für den datenschutzkonformen Einsatz von Google Analytics.
Wenn Sie direkt den Google AdWords Remarketing Tag oder DoubleClick verwenden, beachten Sie folgende Punkte:
Remarketing-Funktionalitäten sind aus Datenschutzschutzsicht kritischer als reines Webtracking, wie beispielsweise über Google Analytics oder Piwik. Grund dafür ist: Beim Webtracking kann die Aktivität eines Nutzers auf einer einzelnen Website nachverfolgt werden (1st Party Tracking). Beim Remarketing kann die Aktivität eines Nutzers über verschiedene Websites übergreifend nachverfolgt werden (3rd Party Tracking).
Bei der Interessensabwägung zwischen dem "berechtigten Interesse des Website-Betreibers" und dem "Schutzinteresse des Nutzers" ist daher nicht eindeutig, welches Interesse schwerer wiegt. Somit ist auch nicht eindeutig, ob Remarketing-Funktionen ebenso wie Webtracking ohne vorherige explizite Zustimmung des Nutzers eingesetzt werden dürfen. Dies wird erst die Rechtsprechung in den kommenden Jahren entscheiden. Von den deutschen Datenschutzbehörden gibt es jedoch erste Signale, dass der Einsatz von Remarketing auch ohne vorherige Einwilligung zulässig ist und ein Optout ausreicht.
Viele Unternehmen setzen Remarketing vorerst weiterhin ohne vorherige Zustimmung ein – weil sich sonst deutliche Einschränkungen bzw. Wettbewerbsnachteile ergeben. Für eine 100% rechtssichere Lösung müssten Sie vorab die Zustimmung einholen und die daraus resultierenden Einschränkungen für Ihre Online Marketing Aktivitäten in Kauf nehmen.
Beim Google AdWords Conversion Tracking gibt es keine Einstellungsmöglichkeiten, die den Datenschutz betreffen. Allerdings sollten Sie diese beiden allgemeinen Maßnahmen setzen:
In die Datenschutzerklärung können Sie beispielsweise folgenden Text aufnehmen. Der gelb markierte Text sollte angepasst werden.
Wir verwenden das Google AdWords Conversion Tracking, um den Erfolg unserer Werbemaßnahmen zu messen. Nach bestimmten Zielerreichungen auf unserer Website ("Conversions") - wie dem Abschluss einer Bestellung oder die Anmeldung zu unserem Newsletter - wird diese Zielerreichung von Google erfasst. Google kann damit die Anzahl der Zielerreichungen messen. Darüber hinaus wird Google anhand von zuvor gesetzten Cookies zuordnen, welche Werbeanzeigen vorher angeklickt wurden und somit für die Zielerreichung ausschlaggebend waren. Google verarbeitet diese Daten auf Servern in den USA, wird sie jedoch nicht mit persönlichen Daten aus Ihrem Google-Konto in Verbindung bringen.
Der Google Tag Manager wird zur Einbindung von Tracking- und Remarketing-Codes verwendet. Bei allen darüber eingebundenen Codes müssen Sie selbstverständlich die Datenschutzsbestimmungen einhalten.
Der Google Tag Manager selbst speichert jedoch keine Daten. Daher müssen Sie den Tag Manager nicht in den Datenschutzbedingungen erwähnen und auch sonst keine Maßnahmen ergreifen.
Der Einbau eines Facebook Pixels ist mit dem Einbau eines Google AdWords Remarketing Tags vergleichbar. Das ist vermutlich auch ohne vorherige Zustimmung erlaubt, jedoch noch nicht mit Sicherheit entschieden.
Jedenfalls sollten Sie dabei folgende Punkte beachten:
Sie können Personenidentifikationsmerkmale wie E-Mail-Adressen oder Telefonnummern übertragen, um daraus eine "Custom Audience" zu bilden und diese Nutzer gezielt auf Facebook anzusprechen. Dies kann durch das Hochladen der Kundenliste oder direkt über das Facebook Pixel erfolgen.
Dazu müssen Sie die Nutzer auf die Übertragung der Daten an Facebook hinweisen und vorab ihre explizite Zustimmung dazu einholen. Die Formulierung sollte dabei spezifisch auf Facebook bezogen sein. Eine allgemeine Formulierung wie "Ihre Daten werden zu Marketingzwecken verwendet" ist nicht ausreichend.