Insights

24. Mai 2018

Wir haben 3 DSGVO-Experten befragt und das empfehlen sie dir

Es geht ein Gespenst um im Online-Marketing. Sein Name lautet DSGVO. Tatsächlich hat es die EU-weite Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft tritt, in sich. Denn sie legt strikte und weitgehend neue Spielregeln für den Umgang mit personenbezogenen Daten fest. Wer diese nicht befolgt, muss mit Abmahnungen und empfindlichen Bußgeldern rechnen.

Das gilt bereits für kleine Webseitenbetreiber, die ein Kontaktformular auf ihrer Seite verwenden und es versäumen, eine individuell angepasste Datenschutzerklärung zu erstellen. Besonders betroffen sind Unternehmen, die Social Media Marketing betreiben. Dabei ist es nicht leicht, sich einen Überblick über die vielen Neuerungen zu verschaffen, vom notwendigen Durchblick ganz zu schweigen. Wir haben drei Experten dazu befragt, welche Auswirkungen die DSGVO speziell auf das Social Media Marketing hat und worauf Marketing Manager jetzt besonders achten sollten, um negative Folgen zu vermeiden.

Wichtige Eckpunkte der DSGVO

Sinn und Zweck der DSGVO ist es, EU-weit einheitliche und verbindliche Regeln für Unternehmen zu schaffen, die personenbezogene Daten verarbeiten:

In Kraft tritt die DSGVO am 25. Mai 2018.
Ab diesem Zeitpunkt gilt: Wer gegen die Datenschutzgrundverordnung verstößt, muss mit hohen Strafen rechnen. Im schlimmsten Fall können Geldbußen bis zu 20 Millionen Euro beziehungsweise bis zu 4 % des im vorangegangenen Geschäftsjahres erzielten Jahresumsatzes betragen.
Einen Unterschied zwischen B2B und B2C macht die Datenschutzgrundverordnung nicht.
Nach Art. 3 der DSGVO gilt die Verordnung für alle Mitgliedsstaaten der EU und für Organisationen und Unternehmen außerhalb der EU, wenn diese Daten von EU-Bürgerinnen und Bürgern verarbeiten.

Grundsätzlich kommt es nach dem 25. Mai stärker als bisher beim Umgang mit personenbezogenen Daten auf den konkreten Einzelfall an. Deshalb ist es deutlich schwerer für Unternehmen als in der Vergangenheit, sich an allgemeinen Richtlinien zu orientieren.

Für Rechtsanwalt Michael Lanzinger lassen sich die Schwerpunkte der DSGVO in Bezug auf Social Media mit den Begriffen „Informationspflichten“ und „Transparenz“ zusammenfassen. Der Social-Media-Bereich muss demnach transparenter werden, was vor allem bedeutet, dass Unternehmen Kunden ausführlicher als bisher über das Einholen und die Nutzung von Daten informieren müssen.

Rechtsanwalt Dr. Johannes Öhlböck meint dazu:

„Grundsätzlich sollte jedes Unternehmen überprüfen, wie die sozialen Netzwerke eingesetzt werden und wie die von Facebook und Co. zur Verfügung gestellten „Social Plugins“ datenschutzkonform angewendet werden können. Gleiches gilt für den Einsatz von Anzeige- und Marketingdiensten sowie Websiteanalysediensten.“

Dr. Johannes Öhlböck LL.M. ist Rechtsanwalt und beschäftigt sich mit IT-Recht und Datenschutzrecht.

Der Umgang mit Daten – zentrale Infos

Daten gelten als die Währung Nummer Eins des 21. Jahrhunderts. Wer sie in Zukunft rechtskonform sammeln und nutzen will, sollte sich spätestens jetzt genau mit den Anforderungen der DSGVO auseinandersetzen. Das gilt nicht nur für neue Leads, sondern auch für „Altdaten“, die schon mehrere Monate oder sogar Jahre alt sind.

Personenbezogene, pseudonymisierte und anonyme Daten – Definitionen

Die DSGVO unterscheidet drei Arten von Daten:

Personenbezogene Daten
Pseudonymisierte Daten
Anonyme Daten

Bei personenbezogenen Daten ist die Sache klar. Hier handelt es sich um „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, sagt Johannes Öhlböck. Doch wie verhält es sich mit pseudonymisierten und anonymen Daten?

Nur anonyme Daten fallen nicht in den Anwendungsbereich der DSGVO.

„Bei pseudonymisierten Daten lässt sich ein Personenbezug wiederherstellen, auch wenn dieser nach außen nicht erkennbar ist. Ein Beispiel dafür ist eine Kundennummer. Dagegen gibt es bei anonymen Daten, wie sie in Statistiken auftauchen, keinen Personenbezug.“ , meint Michael Lanzinger.

Wichtig: Sowohl personenbezogene als auch pseudonymisierte Daten fallen in den Anwendungsbereich der DSGVO. Nur anonyme Daten sind davon ausgenommen.

Tipps zum Umgang mit bereits gesammelten Daten

Die meisten Unternehmen beginnen nicht erst mit dem 25. Mai damit, Daten zu sammeln und zu verarbeiten. Deshalb stellt sich für sie die Frage, wie mit Altdaten umzugehen ist.

„Wenn die Nutzer bereits eine Einwilligung zur Datenverarbeitung abgegeben haben, die den jetzigen Voraussetzungen im Datenschutzrecht entsprochen haben, dann gelten diese auch nach dem 25.05.2018 weiter. Liegt eine solche Einwilligung noch nicht vor, ist es angesichts der diesbezüglich fehlenden Rechtsprechung ratsam, eine vorherige Einwilligung des Nutzers einzuholen.“ , sagt Johannes Öhlböck.

Wichtig ist, dass eine informierte und freiwillige Zustimmung vorliegt, die sich nachweisen lässt. Wer bisher für die Anmeldung zu Newslettern bereits das Double-Opt-in-Verfahren verwendet hat, ist auf der sicheren Seite. Andernfalls ist es empfehlenswert, dir eine neue Einwilligung auf Basis der DSGVO einzuholen. Ist dies nicht möglich, solltest du dir gut überlegen, ob du von einer Weiterverwendung der betreffenden Daten Abstand nimmst.

„Wesentliches Element der DSGVO ist eine informierte betroffene Person, die darüber aufgeklärt ist, wie sie ihre Rechte geltend machen kann.“ , sagt Johannes Öhlböck.

Daten sammeln – darauf solltest du achten

Plugins sind ein fester Bestandteil vieler moderner Webseiten. Der Haken daran ist: Auch die kleinen Helfer sammeln unbemerkt Daten. Das heißt glücklicherweise nicht, dass man in Zukunft auf sie verzichten muss.

„Eine Einbindung von Social Plugins, wie Facebooks „Gefällt mir“ Button oder ein „Tweet“-Button von Twitter, ist weiterhin möglich, allerdings muss darüber in der Datenschutzerklärung auf der Website informiert werden. Die Aktivierung eines Social Plugins sollte durch den Nutzer mittels Klick erreicht werden. Dadurch wird eine weitere Rechtsgrundlage für die Nutzung der Daten geschaffen, nämlich die der Einwilligung.“ , rät Johannes Öhlböck.

Das bedeutet im Einzelnen:

In der Datenschutzerklärung muss ein klarer Hinweis auf die Datenerhebung durch Social Plugins enthalten sein.
Viele Experten empfehlen außerdem eine 2-Klick-Lösung: Einem Seitenbesucher wird statt des Plugins ein Hinweis darauf angezeigt. Klickt der Besucher diesen an, wird er über die Erhebung von Daten informiert und kann seine Einwilligung abgeben.

Michael Lanzinger weist zusätzlich darauf hin, dass alternativ zum Beispiel bei Google-Analytics die Möglichkeit besteht, in den Einstellungen die Übermittlung von IP-Adressen zu unterbinden. Auch so bist du auf der sicheren Seite.

Sonderform Gewinnspiel

Aufpassen müssen Unternehmen in Zukunft auch dann, wenn sie auf sozialen Netzwerken Gewinnspiele veranstalten, um Leads zu sammeln. Dabei war es bisher gang und gäbe, die Teilnahme an dem Gewinnspiel, mit der Einwilligung zum Erhalt von Werbung zu koppeln. Das Kopplungsverbot der DSGVO macht damit Schluss.

Denn in Art. 7 Abs. 4 der DSGVO heißt es:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.”

Verwirrt? Deutlicher macht es der Erwägungsgrund 43 des Art. 7 Abs. 4 der DSGVO:

„Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.”

Einfacher ausgedrückt: In Zukunft ist es zumindest rechtlich zweifelhaft, eine Leistung (wie die Teilnahme an einem Gewinnspiel) davon abhängig zu machen, dass dir jemand Daten gibt, die du zur Erfüllung der Leistung nicht bräuchtest.

Die Lösung:

Du entkoppelst beide Leistungen, indem du den Teilnehmer gesondert um Erlaubnis fragst, ihm beispielsweise einen Newsletter zu schicken.
Wird der Gewinner veröffentlicht, sollte darauf vorher ein Hinweis gegeben werden.

Der Nachteil an dieser Vorgehensweise besteht darin, dass Gewinnspiele so weniger zur Leadgenerierung beitragen als bisher.

Grundsätzliche Ratschläge vom Experten

Wer sich bisher schon ein wenig mit der DSGVO befasst hat, wird schnell gemerkt haben: Mit Copy and Paste vorgefertigter Texte kommen Unternehmen nicht ans Ziel.

Michael Lanzinger ist selbstständiger Rechtsanwalt mit Kanzleisitz in Wels und einem Schwerpunkt auf Internetrecht.

Michael Lanzinger gibt Firmen und Social Media Managern folgende Ratschläge:

Habe ein Auge darauf, wie es andere machen. Das ist keine Garantie dafür, dass du es richtig machst, gibt aber erste Anhaltspunkte.
Achte darauf, wie die Großen auf die DSGVO reagieren. Schließlich stehen Google, Facebook und Co. besonders im Rampenlicht.
Lies dich ein. Beachte dabei besonders zentrale Aspekte wie die Informationspflichten in Art. 13 oder die Zustimmung nach Art. 7 der DSGVO.
Vergiss bei all den Diskussionen über Datenschutzbeauftragte die vermeintlichen Kleinigkeiten wie ein ordnungsgemäßes Impressum nicht.

Du hast trotz gründlicher Einarbeitung in das Thema DSGVO mehr Fragen als Antworten? Im Interview mit Swat.io gibt Datenschutzexperte Dr. Thomas Schwenke ausführliche Tipps zur Umsetzung der neuen Richtlinien:

Langfristig kann die DSGVO auch Vorteile haben

Auch wenn sich manch ein Verantwortlicher von den Neuerungen der DSGVO überfordert fühlt, sind sich unsere Experten einig: Es wird nichts so heiß gegessen, wie es gekocht wird. Wer sich ausreichend informiert und die Vorgaben der DSGVO rechtzeitig umsetzt, muss wenig Angst vor Abmahnungen haben.

Auf Dauer profitiert er vielleicht sogar von den Neuerungen der DSGVO. So hält Michael Lanzinger diese für eine gute Gelegenheit, die eigenen Workflows zu bereinigen und sich Gedanken darüber zu machen, welche Daten wirklich notwendig sind. Zudem ist Datensicherheit ein Punkt, der auch bei Kunden und potenziellen Kunden gut ankommt. Damit könnte sich die DSGVO trotz aller anfänglicher Hürden langfristig sogar als Glücksgriff erweisen.

Swat.io hat sich ebenfalls schon für die DSGVO vorbereitet. Seit 2017 arbeiten wir mit Unterstützung unserer externen Beratungsfirma und deren Rechtsanwälten an dem Thema. Wir konnten erfreulicherweise bereits alle Punkte erfüllen, die unsere Social Media Management Software und die dort verarbeiteten, personenbezogenen Daten betreffen. Lies hier nach was das genau zu bedeuten hat oder vereinbare gleich eine Demo, wenn du mit einem DSGVO-konformen Social Media Tool durchstarten möchtest!

Employee Advocacy Marketing mit LinkedIn – wie du mit LinkedIn Elevate dein Social Media Marketing optimierst

Die meisten Menschen trauen Empfehlungen, die von guten Freunden oder Bekannten getätigt werden, mehr als den Versprechungen eines Werbebanners. Advocacy Marketing stellt eine Möglichkeit dar, diese Tatsache für das eigene Unternehmen zu nutzen, indem man Kunden oder Angestellte zu Markenbotschaftern macht. Das weltweit größte berufliche Netzwerk LinkedIn bietet dafür optimale Voraussetzungen. Vor allem bringt es mit LinkedIn Elevate ein eigenes Tool speziell für Employee Advocacy mit. Hier erfährst du mehr darüber, welche Vorteile damit verbunden sind und wie du mit Elevate erfolgreich Advocacy Marketing betreibst.

Social Media Marketing Tipps

Julia Berndl war Junior Content Marketing Managerin bei Swat.io, dem Social Media Management Tool für professionelle Social Media Marketing-Teams. Wir unterstützen Unternehmen wie 3Österreich, Hitradio Ö3, ÖBB, CHIP.de, Focus Online und Burda Intermedia beim effizienten Management einer Vielzahl von Kanälen. Dabei deckt Swat.io alle wesentlichen Bereiche im Social Media Marketing ab: Community Management, Content Planung & Publishing, Social Media Customer Service, Analytics und Monitoring.