Im ersten Moment mögen die Anforderungen der General Data Protection Regulation GDPR –, deutsch Datenschutz-Grundverordnung, kurz DSGVO – hoch erscheinen. Ganz besonders für kleine und mittlere Unternehmen! Im Wesentlichen sind es aber nur drei Schlüsselbereiche, mit denen sich ein Marketingexperte ausgiebig befassen muss: Data Permission, Data Access und Data Focus.
Data Permission
Bei der Datengenehmigung geht es um die Verwaltung von „E-MailOpt-ins“ – also Personen, die von Ihnen Informationen via E-Mail erhalten möchten. Der zufolge dürfen Sie ohne Zustimmung nie (mehr) davon ausgehen, dass Personen von Ihnen kontaktiert werden wollen. In Zukunft muss das Einverständnis in einer „frei gegebenen, spezifischen, informierten und unmissverständlichen“ Art und Weise ausgedrückt und durch eine „eindeutige bestätigende Handlung“ unterstrichen werden. Die Formulierung scheint komplex, die Umsetzung ist es aber nicht. Denn in der Praxis bedeutet dies lediglich, dass Leads, Kunden, Partner usw. bestätigen müssen, dass sie kontaktiert werden möchten. Sie müssen sicherstellen, dass Ihre Interessenten und Kunden Ihnen aktiv die Zustimmung dazu erteilt haben, dass sie durch Sie resp. Ihr Unternehmen kontaktiert werden möchten. Nur davon auszugehen, genügt nicht (mehr)!
Das „Recht auf Vergessenwerden“ bzw. die Löschpflicht ist zu einem der am meisten diskutierten Urteile in der Geschichte des EU-Gerichtshofs geworden. Die Einführung der Datenschutz-Grundverordnung bietet Einzelpersonen die Chance, mehr Kontrolle darüber zu erlangen, wie ihre Daten gesammelt und genutzt werden – einschliesslich der Möglichkeit, auf sie zuzugreifen oder sie entfernen (vergessen gehen) zu lassen. Als Marketing-Profi liegt es in Ihrer Verantwortung sicherzustellen, dass Ihre Benutzer jederzeit einfach auf ihre eigenen Daten zugreifen und Ihnen auch die Zustimmung für deren Verwendung wieder entziehen können. In der Praxis kann dies in Form eines AbmeldeLinks innerhalb Ihrer E-Mail-Marketingvorlage und der Verknüpfung mit einem Benutzerprofil passieren, mit welchem Benutzer ihre E-MailEinstellungen verwalten können.
Oft neigen wir dazu, mehr Daten von einer Person zu sammeln, als tatsächlich benötigt werden. Oder muss man wirklich das Alter von jemandem kennen, bevor er einen Newsletter abonnieren kann? Wahrscheinlich eher nicht. Aus diesem Grund verlangt die GDPR, dass Sie die Verarbeitung der von Ihnen erfassten personenbezogenen Daten rechtlich begründen können. Machen Sie sich keine Sorgen. Das ist nicht ganz so umständlich, wie es klingt. Es bedeutet lediglich, dass Sie sich auf die Daten konzentrieren müssen, die Sie wirklich brauchen, und aufhören sollten, nach dem „nice-to-have“ zu fragen. Wenn Sie die Alterskategorie eines Besuchers wirklich kennen müssen und nachweisen können, warum Sie diese Informationen benötigen, dürfen Sie weiterhin ohne schlechtes Gewissen danach fragen. Ansonsten sollten Sie jedoch keine unnötigen Daten sammeln, sondern sich auf grundlegende Angaben beschränken.
Entspricht Ihre Webseite den Anforderungen der neuen Datenschutz-Grundverordnung? Die Verordnung hat einen grossen Einfluss auf das Website-Design, der noch weiter wirkt, wenn Sie Ihre Website in andere digitale Aktivitäten wie E-Mail-Marketing, soziale Medien und E-Commerce integrieren. Im Folgenden finden Sie die wichtigsten Kriterien, nach welchen Sie Ihre Website überprüfen und, wo nötig, Änderungen vornehmen sollten. Die Quintessenz all dieser Empfehlungen ist, die freiwillige, spezifische und informierte Einwilligung zu stärken:
Wie im ersten Teil bereits erwähnt, müssen Sie sicherstellen, dass Ihre Interessenten und Kunden aktiv die Zustimmung erteilt haben, dass sie kontaktiert werden möchten. Daher wird ein standardmässig angekreuztes Kontrollfeld ab dem 25. Mai 2018 nicht mehr akzeptiert (links) – „Optins“ müssen ab Beginn der neuen Regelung eine bewusste Entscheidung sein (rechts). Anstatt beispielsweise anzunehmen, dass Besucher, welche ein Webformular ausfüllen, Ihre Marketing-EMails erhalten möchten (links), bitten Sie die Besucher nun, sich speziell für Ihren Newsletter anzumelden. Das wiederum tun diese erst, indem sie das Anmeldefeld ankreuzen (rechts).
Benutzer sollten in der Lage sein, aus unterschiedlichen Verarbeitungsarten wählen resp. für jede eine individuelle Einwilligungen erteilen zu können. Beispielsweise können dies spezifische Arten der Kontaktaufnahme sein (per Post, E-Mail oder Telefon).
Es muss für Benutzer genauso einfach sein, Ihnen die Genehmigung zur Verwendung ihrer Daten zu entziehen, wie es vormals war, sie Ihnen zu erteilen. Benutzer müssen wissen, dass sie stets das Recht haben, ihre Zustimmung zu widerrufen. Je nach digitalem Instrument, das Sie einsetzen, bedeutet dies, dass die Abmeldung aus den Optionen bestehen kann, die Zustimmung zu bestimmten Kommunikationsströmen selektiv zurückzuziehen (siehe Beispiel bei Abschnitt „Data Access), einfach die Regelmässigkeit der E-Mail-Nachrichten zu ändern oder die gesamte Kommunikation vollständig zu stoppen.
Wenn Sie ein E-Commerce-Unternehmen sind, verwenden Sie wahrscheinlich ein Zahlungs-Gateway für Finanztransaktionen. Dann sammelt Ihre Website möglicherweise personenbezogene Daten, bevor sie die Daten an das Zahlungs-Gateway übermittelt. Wenn dieser Fall zutrifft und Ihre Website diese persönlichen Daten speichert, nachdem die Informationen weitergegeben wurden, müssen Sie Ihre Webprozesse ändern. Alle persönlichen Informationen müssen nach einer angemessenen Zeitspanne, z.B. nach 60 Tagen, entfernt werden. In den GDPR-Richtlinien wird nicht explizit auf die Anzahl der Tage verwiesen. Es liegt also bei Ihnen zu entscheiden, was in Ihrem Fall als angemessen und notwendig angesehen werden kann.
Bei Cookies handelt es sich um kleine Dateien, die beim Browsen durch das Internet automatisch an Ihren Computer versandt und dort gespeichert werden. Diese Daten können sehr aussagekräftig hinsichtlich Ihrer Aktivitäten und Präferenzen sein und lassen sich zur Identifikation Ihrer Person verwenden. Aus diesem Grund sind Cookies ein wesentlicher Bestandteil der GDPR. Neu und zwingend müssen Sie auf Ihrer Website das Einverständnis bei den Benutzern einholen, dass Cookies gesammelt und verwendet werden dürfen. Gemäss der GDPR muss ein Cookie-Hinweis folgende Merkmale enthalten:
SSL steht für „Secure Sockets Layer“. Es handelt sich dabei um ein Protokoll, welches sicherstellt, dass die Daten zwischen Browser und besuchter Website (https://) verschlüsselt übertragen werden. Die Website muss derart geschützt werden, dass unbefugte oder unrechtmässige Verarbeitung und unbeabsichtigter Verlust, Zerstörung oder Schädigung z.B. von Datensätzen oder personenbezogenen Daten durch geeignete technische und organisatorische Massnahmen verhindert werden. Der Verantwortliche muss daher sicherstellen, dass seine komplette Website (insbesondere Kontaktformulare, Newsletter-Anmeldungen) vor verbotenen Zugriffen geschützt ist. Das bedeutet, dass Websites, die offensichtlich personenbezogene Daten übertragen, auf jeden Fall eine SSL-Verschlüsselung aufnehmen müssen. Hierbei darf kein einziges Element (wie z.B. die Newsletter-Anmeldung) durch den Seitenbetreiber vergessen werden. Nebst der GDPR-Konformität hat die SSL-Verschlüsselung noch weitere Vorteile:
Wie anfangs bereits erwähnt, ist es wichtig, dass Ihre Website-Benutzer über den Umgang mit Ihren Daten informiert sind. Genau das machen Sie, indem Sie auf Ihrer Website eine Datenschutzerklärung stellen. Mit dieser informieren Sie den Besucher darüber, welche Daten gesammelt und welche Drittanbieter-Tools eingesetzt werden. Zudem erläutern Sie, wie der Besucher die Datenerfassung von sich aus verhindern kann (Stichwort „Opt-out“). Die Datenschutzerklärung ist Pflicht und bildet das Herzstück all Ihrer Datenschutz-Massnahmen! Wenn Sie sich hierfür einen teuren Juristen sparen möchten, ist die einzige realistische Umsetzungsmöglichkeit für Kleinunternehmen, die Erstellung mittels Datenschutz-Generator oder einer Vorlage. Entscheidend ist dabei, dass Sie selbst wissen müssen, welche Daten Sie sammeln, an welche Drittanbieter Sie diese senden und dass Sie darauf in der Datenschutzerklärung vollständig hinweisen. Beim Datenschutz-Generator müssen Sie einerseits korrekt angeben, welche Dienste Sie einsetzen. Andererseits heisst das jedoch nicht, dass Sie einen Dienst nicht angeben müssen, wenn dieser vom Generator nicht abgedeckt wird. Wer möchte, darf sich gerne unsere Datenschutzerklärung ansehen (ohne Gewähr) und sich die benötigten Bausteine kopieren bzw. schauen und vergleichen, ob bei der eigenen Erklärung evtl. noch etwas fehlt.
Die in diesem Blog gemachten Aussagen sind als Praxisempfehlung zu verstehen. Jegliche Haftungsansprüche gegenüber dem Autor sind ausgeschlossen.
15. August 2018 | Geschrieben von Adam Barta