Tracking & personalisiertes Marketing unter DSGVO

Stellungnahme zum DSK Positionspapier
Ressourcen / Blog / Tracking & personalisiertes Marketing unter DSGVO
Veröffentlicht von Usercentrics
Lesedauer: 9 Minuten
Apr 11, 2019

War’s das jetzt? Tracking und personalisiertes Marketing unter DSGVO

Lange hat sie sich angekündigt und ihren Schatten weit voraus geworfen. Die DSGVO galt vor ihrem Inkrafttreten als Schreckgespenst einer ganzen Branche – der Untergang des Online Marketings stand bevor. Doch was nun seit fast einem Jahr Bestand hat, hat die Online-Marketing-Landschaft bei weitem nicht so grundlegend verändert, wie befürchtet. Denn wer gewissenhaftes Marketing betreibt und Transparenz auch schon vor dem 25. Mai 2018 unter seinen Grundwerten aufführte, der hatte auch keine horrenden Bußgelddrohungen oder gar den Niedergang seines Unternehmens zu befürchten.

Die DSGVO soll, anders als ihr Ruf, als Harmonisierer auftreten und das Online-Marketing zumindest in Europa ausbalancieren. Die Grundverordnung vereinheitlicht die Verarbeitung von personenbezogenen Daten für Zwecke des Marketings und stellt mal klare, mal weniger klare Regeln auf. Die Reaktionen darauf sind gemischt und reichen von stillem Gehorsam bis hin zu blankem Entsetzen. Auf jeden Fall ist der DSGVO nicht zu entkommen, nein, sie ist gekommen, um zu bleiben.

Doch gerade vor dem Hintergrund eines stetig sinkenden Vertrauens der Endverbraucher bedingt durch allzu aggressives personalisiertes Targeting, macht die DSGVO das Online-Marketing nicht zum Glücksspiel, sondern bietet vielmehr die Chance für einen Neustart.

Was sind personenbezogene Daten und wie werden diese durch die DSGVO geschützt?

Die Datenschutzgrundverordnung eröffnet ein neues Kapitel für das digitale Marketing und rückt eine Sache ganz klar in den Fokus: personenbezogene Daten. Sie sind der Dreh- und Angelpunkt der Grundverordnung und werfen nach wie vor Fragen auf. Als Leitsatz soll jedoch gelten: Gehe mit den Daten deiner Nutzer verantwortungsvoll um!

Dabei ist die Definition von personenbezogenen Daten denkbar einfach. Bei personenbezogenen Daten handelt es sich um „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Nr. 1 DSGVO). Was das heißt? Dass jede Information, die einer natürlichen Person zugeordnet ist, eine personenbezogene Information ist.

Eine natürliche Person wird beispielsweise direkt oder indirekt über die Zuordnung zu einer Kennung wie Name, Nummer, Standort oder Online-Kennung identifizierbar. Insofern versteht die DSGVO alle Daten als personenbezogen, die eine Person eindeutig identifizieren. Hier ist es völlig unerheblich, ob es sich um berufliche, private oder Details aus dem öffentlichen Leben handelt. Denn es kommen auch Fotos, Adressen (auch E-Mail), Bankverbindungen und medizinische Informationen hinzu. Ferner gelten auch Beiträge in sozialen Netzwerken sowie biometrische und genetische Daten als „personenbezogen“.

Wichtig ist, dass jede Verarbeitung personenbezogener Daten einer entsprechenden Rechtsgrundlage bedarf. Dies kann im Fall von Tracking, Retargeting und Profiling nach Ansicht der Aufsichtsbehörden nur eine Einwilligung sein. Doch wie kommt es zur Einwilligung?

Gegenseitiges Einvernehmen nach DSGVO

Eine rechtskräftige und DSGVO-konforme Einwilligung muss zahlreiche Kriterien erfüllen, die es auch auf den Usecase von Webseiten und Apps anzuwenden gilt. Maßgeblich ist dabei immer die Perspektive des Nutzers und was dieser rational erwarten und verstehen kann.

Zu diesen Kriterien gehört allen voran die Freiwilligkeit. Hierbei muss die Person eine echte Wahlfreiheit haben und die Datenverarbeitung ablehnen oder annehmen können.

Wer Transparent sein will, muss informieren!

Hier sind die klassischen Fragen nach dem wer, was, warum und wie lange ausschlaggebend. So will der Nutzer u.a. wissen, wer die Daten bekommt, aber auch zu welchem Zweck diese gesammelt werden und wie lange diese gespeichert werden. Auch das Land, welches die Daten verarbeitet, sowie die Rechtsgrundlage auf deren Basis die Daten erhoben werden, ist zu nennen. Ferner müssen die Datenschutzerklärung des Technologie-Anbieters sowie die Information über Drittanbieter offengelegt werden.

Nur wer diese Informationen erhält, kann der Verarbeitung personenbezogener Daten auch explizit zustimmen. Etwas schwieriger gestaltet sich der Begriff des „berechtigten Interesses“, bei dem es darum geht, über welche Services der Nutzer von vornherein Bescheid weiß bzw. sich im Klaren darüber sein muss, dass zum korrekten Ausführen des jeweiligen Dienstes diese oder jene Daten erhoben werden „müssen“.

Was gilt es noch zu beachten?

Ein bloßes Weitersurfen des Users gilt demnach nicht als Einwilligung. Denn diese muss nach wie vor explizit erfolgen. Darüber hinaus gilt es den User darüber zu informieren, welcher Drittanbieter, welche Daten erhält. Sind beispielsweise Facebook oder Google im Spiel, muss dies granular aufgelistet sein. Allgemeine Hinweise und pauschale Angaben sind nach der DSGVO ein unnötiges Risiko.

Willigt der Nutzer nicht ein, so muss technisch sichergestellt sein, dass keine Daten erhoben oder verarbeitet werden. Als Leitsatz gilt: Keine Datenverarbeitung vor Opt-In. Ebenfalls unterliegen Website-Betreiber der Nachweispflicht im Falle einer Prüfung. Sämtliche Einwilligungen müssen dokumentiert und die Historie vollständig vorzulegen sein. Dabei sollten diverse Eckdaten mitgeschrieben werden, wie etwa Timestamp, User-Agent, Version der Texte und Logfiles, die bestätigen, dass vor dem Opt-In keine Cookies ausgespielt wurden.

Nein, heißt nein!

Den letzten Eckpfeiler für eine DSGVO-konforme Einwilligung ist der Opt-Out bzw. das Widerrufsrecht zur Verarbeitung personenbezogener Daten. Dies muss jederzeit und ohne Begründung möglich sein. Ebenfalls gilt es diese Informationen und den tatsächlichen Widerrufs-Vorgang so einfach wie möglich zu gestalten. Von umständlichen Weiterleitungen ist dringend abzuraten. Denn sobald der Opt-Out vorliegt, gilt es sämtliche Marketing-Maßnahmen, die vom User widerrufen worden sind, sofort einzustellen. Mehr erfahren

Das mag zunächst nach einem Haufen Arbeit klingen, doch ist die DSGVO nicht dazu gedacht, den Webseiten-Betreiber zu knebeln. Ganz im Gegenteil, sie bietet die Möglichkeit im gegenseitigen Einvernehmen und dank hoher Aussagekraft ein transparentes und tatsächliches Consumer-First-Marketing nebst Hyper-Personalisierung zu ermöglichen.

Doch wie kann ich personenbezogene Daten nach wie vor im Performance-Marketing nutzen? Was muss ich dabei beachten?

Mehr Rechte für den User!

Die DSGVO mag auf den ersten Blick tonnenschwer auf den Schultern der Online-Marketer lasten, doch sie stößt auch neue Türen auf.

Sehen wir uns also die drei häufigsten Anwendungsfälle an – das Profiling, das Retargeting und das Tracking.

Wer sind wir und wenn ja wie viele? Die DSGVO und das Profiling

Das Profiling ist eine automatisierte Verarbeitung personenbezogener Daten. Diese werden beispielsweise dafür verwendet, bestimmte persönliche Aspekte im Zusammenhang mit einer natürlichen Person zu nutzen. Zweck ist es, das individuelle Verhalten beispielsweise unter Zuhilfe eines Algorithmus vorherzusagen und Entscheidungen abzuleiten.

Im Grunde benötigt man auch hier in der regel eine Einwilligung, insbesondere, wenn sog. Cookie-Matching stattfindet. Werden hingegen die Daten dazu genutzt, ein Gruppenverhalten zu prognostizieren, kann man sich ggfs. auch auf eine Interessenabwägung berufen. Eine Einwilligung ist jedoch in jedem Fall der sicherere Weg.
Webseiten-Betreiber müssen ihr Profiling nun jedoch nicht komplett auf links drehen, aber eine rechtzeitige Prüfung des Profiling ist gerade im Hinblick auf geahndete Verstöße anzuraten.

Natürliche Personen haben unter dem Begriff des Profiling bestimmte Rechte. Dies ist unter anderem das Recht auf „Vergessenwerden“, aber auch das Recht auf ausreichende Informationen. Ferner gilt es das Recht auf Löschung der Daten einzuhalten und eine Kopie der personenbezogenen Daten kostenlos zur Verfügung zu stellen. Auch der Erhalt der Daten in einem elektronisch häufig verwendeten Format ist zu gewährleisten, sowie das Widerspruchsrecht und das Recht, das Profiling zu beenden.

Benötige ich für Profiling eine Nutzer-Einwilligung?

Vergissmeinnicht! Oder doch? Die DSGVO und das Retargeting

Beim Einsatz von Retargeting handelt es sich um Werbe-Cookies. Diese bedürfen in jedem Falle einer Einwilligung.

Denn die allgemeine Rechtslage beim Retargeting unterscheidet sich nicht von anderen Targeting-Verfahren. Sofern personenbezogene Daten erhoben oder verarbeitet werden, darf dies nur bei vorliegender Einwilligung passieren. Dabei ist der Umstand, dass sich eine konkrete Person für ein konkretes Produkt interessiert, bereits personenbezogen. Ist der User angemeldet oder erfolgt eine Identifikation des Users im Nachgang, wenn er wieder auf der Seite landet, handelt es sich um personenbezogene Daten. In jedem Fall bedarf es also einer Zustimmung zur Verarbeitung des Surf- und Kaufverhaltens zu Marketingzwecken.

Liegt keine Einwilligung vor, dürfen anonyme oder pseudonyme Informationen über den Nutzer nicht mit seinen realen Daten oder seinem Nutzerprofil kombiniert werden. Eine Löschung muss erfolgen, sobald sich der Kunde wieder auf der Website befindet. Nutzungsprofile zu Werbezwecken dürfen erstellt werden, wenn sie pseudonymisiert sind und keinen Rückschluss auf die reale Person zulassen. Ferner muss ein Widerspruchsrecht angeboten und diesem Folge geleistet werden. Die Integration eines transparenten Hinweises in der Datenschutzerklärung runden diesen Vorgang ab.

Benötige ich für Retargeting nach DSGVO eine Nutzer-Einwilligung?

Fährtenlesen erlaubt? Tracking unter der Lupe

Der Einsatz einer Tracking-Technologie in Zeiten von DSGVO bedarf laut Ansicht der Aufsichtsbehörden immer eine Einwilligung. Wer Tracking und Marketing über personenbezogene Daten nutzen will, sollte sich vorab die Frage stellen, ob er dafür überhaupt ein Tracking Tool benötigt und wenn ja, ob es zwingend ein Third-Party-Tool sein muss.

Grundsätzlich muss jeder, der Daten verarbeitet oder speichert gemäß den Regelungen de DSGVO agieren. Für die Verwendung von Third Party Technologien bedeutet das: Nutze ich als Webseitenbetreiber eine Third Party Technologie, die nicht DSGVO-konform ist, ist meine Webseite es automatisch auch nicht.

Anlässlich des Safer Internet Days überprüfte das BayLDA die Webseiten bayerischer Top-Unternehmen. Im Fokus stand dabei die Frage, ob diese Webseiten die DSGVO beim Thema Consent Management sauber umsetzen (Einholen und Dokumentation der User-Einwilligungen). Das Ergebnis war ernüchternd: Keine einzige der untersuchten Webseiten trackt DSGVO-konform. Mehr erfahren

Damit Tracking datenschutzkonform umgesetzt werden kann, sollten folgende Punkte berücksichtigt und eingehalten werden:

  • Hinweise in der Datenschutzerklärung, die u.a. die Grundfunktionen des jeweiligen Tracking- Tools erklären, müssen gegeben sein.
  • Opt-Out-Verfahren müssen möglichst einfach zu finden und einzustellen sein. Dabei sollte man sich nicht nur auf der jeweiligen Domain, sondern generell vom Tracking-Tool abmelden können
  • Pseudonymes Tracking via gekürzter IP-Adressen, wobei Klarnamen und Adressen nicht gespeichert werden, sollte möglich sein
  • Hinweise in der Datenschutzerklärung, die u.a. die Grundfunktionen des jeweiligen Tracking- Tools erklären, müssen gegeben sein
  • Die Speicherdauer der Daten sollte möglichst niedrig angelegt sein.
  • Auftragsverarbeitungsverträge, wie etwa mit Google, sollten abgeschlossen werden – Technologien, wie Google Analytics werden dann datenschutzkonform auf einer Webseite verwendet
  • Gemäß Artikel 28 DSGVO Garantien bei Drittstaaten geboten werden, sollten Anbieter die Daten außerhalb der EU verarbeiten. Zu diesen zuvor genannten Garantien zählen Modelverträge sowie Zertifizierungen, aber auch die Anerkennung von Drittstaaten als Anbieter von Datenverarbeitung

Alles wird gut! Und besser!

Der achtlose Umgang mit Daten bis hin zu großem Datenmissbrauch hat in jüngster Zeit zu Skandalen mit enormen Medienecho und nicht zu schätzendem Schaden geführt. Den größten Schaden hat dabei jedoch das Vertrauensverhältnis zu den Usern genommen. Hinsichtlich des Datenschutzes ist es zu einem großen Vertrauensbruch zwischen Marketer und User gekommen, den die DSGVO nun kitten könnte.

Der User will ausführlich über die Erfassung und die Weiterverarbeitung personenbezogener Daten informiert werden und bekommt dieses Recht nun zugesprochen. Dies bedeutet jedoch nicht das Ende des Online Marketings, wie wir es kennen. Der Marketer muss die Privatsphäre und den respektvollen Umgang mit personenbezogenen Daten in den Fokus stellen, was durchaus eine verbesserte Kommunikation mit dem User zur Folge haben wird. Doch auch wenn Unternehmen bereits DSGVO-konform handeln, ist es ihr Auftrag, dies auch zu beweisen und darüber aktiv zu informieren. Wer sich dem widersetzt riskiert nicht nur erhebliche Bußgelder, sondern gefährdet das Vertrauensverhältnis zu seinen Kunden zunehmend und schadet nicht nur sich selbst, sondern auch der gesamten Branche.

Die neue Datenschutzgrundverordnung gängelt den Marketer nicht, da die Kommunikation zwischen Unternehmen und User bei der Einhaltung der neuen Richtlinien nur dazugewinnen kann. Denn je besser das Gefühl und die Erfahrungen der User sind, desto eher teilen sie in Zukunft ihre personenbezogenen Daten mit dem Marketer. Nur wer bewusst und umsichtig seine Tracking-Mechanismen unter die Lupe nimmt und diese entsprechend anpasst, muss den langen Arm des Gesetzes nicht mehr fürchten, sondern kann sich über entscheidende Wettbewerbsvorteile durch gesteigertes Vertrauen in sein Unternehmen freuen.

Darüber hinaus setzen sich am Markt auch immer stärker Standards wie das Transparency and Consent Framework (TCF) des IAB (Interactive Advertising Bureau) durch. Dieses bietet eine technische Standard-Infrastruktur für die Abfrage und Übermittlung von Consents zwischen Advertisern, Verlagen und ihren Technologiepartnern. Die korrekte Übergabe einer Einwilligung wird somit zu einem großen Vorteil. Denn es gilt: Ohne Übermittlung der entsprechenden Consent-ID keine Auslieferung der Werbemittel. Selbst der Internetriese Google hat nun einen Vertrag mit dem IAB geschlossen, der die schnellstmögliche Umsetzung des Frameworks vorsieht.

Informieren Sie ihre Nutzer also gemäß Art. 13 DSGVO über die Verarbeitung ihrer Daten und räumen ihnen die notwendige Datenhoheit ein. Auch durch das Einräumen bestehender Widerspruchsrechte helfen Sie dabei, das Vertrauen weiter zu stärken. Ihre User werden es Ihnen danken und sich erkenntlich zeigen, denn wer mit Vernunft und Transparenz arbeitet, gestaltet das vertrauensvolle Online-Marketing der Zukunft mit. Darüber hinaus können Sie bereits jetzt durch intelligentes Consent Management dafür sorgen, dass Ihre Werbung weiterhin ausgespielt wird. Consent Management Plattformen (CMPs) wie Usercentrics helfen Ihnen, die Einwilligungen Ihrer Webseitenbesucher programmatisch einzuholen, zu verwalten und zu dokumentieren.

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.