E-MAIL MARKETING

Datenschutz und Rechtssicherheit im Online-Marketing

Von Svenja Florien Böhm, 15. September 2011

Ob für das E-Mail-Marketing, dem Customer-Relationship-Management oder im E-Commerce: Die Unternehmen sammeln Daten zur Verbesserung der Kundenansprache. Vielen Marketingverantwortlichen fehlt es an ausreichend Know-how beim Datenschutz. Besonders wenn Targeting-Maßnahmen zum Einsatz kommen. Wir sprachen dazu mit Fabian Niemann von der internationalen Anwaltssozietät Bird & Bird LLP und Stefan von Lieven, CEO von artegic, die auf der dmexco durch Bird & Bird LLP eine kostenlose Rechtsberatung zu diesem Thema anbieten.

Adzine: Herr von Lieven, warum ist es gerade jetzt zur dmexco das Thema Rechtsicherheit für sie so aktuell?

Stefan von Lieven: Das Thema Rechtssicherheit hat durch die insgesamt steigende Bedeutung des Online Dialogmarketings sowie insbesondere durch die sozialen Medien einen ganz neuen Fokus. Daher werden diese Aspekte zu einer strategischen Aufgabe - um nicht zwischen Unsicherheit zu den Fakten eigene Chancen zu verpassen oder hohe Risiken einzugehen. Die dmexco ist als Leitmesse für digitales Marketing genau der Ort, an dem sich die Branche auch außerhalb der Verbände und vor allem auch die Anwender zu solch wesentlichen Trends austauschen können. Die Nachfrage auf unser mittlerweile nahezu ausgebuchtes Angebot eines Rechts-Checks auf der dmexco zeigt, wie sehr in diesem Bereich auch von Seiten der Unternehmen ganz akut Aufklärungsbedarf besteht.

Fabian Niemann

Adzine: Herr Niemann, in den Medien ist Datenschutz längst angekommen. Doch wie sieht das in der Praxis bei Ihren Mandanten aus?

Fabian Niemann: Datenschutz war für uns als Kanzlei mit Schwerpunkt im Technologieumfeld schon immer ein zentrales Thema. Die Bedeutung in unserer Beratungspraxis hat in den letzten Jahren aber noch einmal extrem zugenommen und nimmt weiter zu. In vielen Unternehmen, insbesondere in den Bereichen Informationstechnologie, Telekommunikation und Internet sowie Marketing und Werbung ist es inzwischen ein Thema auf Geschäftsführer- bzw. Vorstandsebene. Der Grund hierfür liegt im technologischen Wandel und der zunehmenden Bedeutung von Daten. Hier wirft Datenschutz zunehmend nicht nur rechtliche Fragen auf, sondern er rückt auch in den Fokus des öffentlichen Bewusstseins. Online- und E-Mail-Marketing, soziale Netzwerke, Geodatendienste und Cloud Computing sind hier nur einige Beispiele. Datenschutzfragen sind immer öfter entscheidend dafür, ob ein bestimmtes Businessmodell überhaupt funktioniert. Dementsprechend steigt der Bedarf für High-End-Beratung im Datenschutz.

Adzine: Aktuelle Studien belegen: Datenschutz ist noch nicht in allen Unternehmen auf der Topagenda. Wird das Thema unterschätzt oder besteht schlichtweg Unkenntnis?

Fabian Niemann: Das kommt auf die Branche an. In den von mir eben erwähnten Branchen ist das Thema bekannt und wird – jedenfalls in Deutschland – auch nicht unterschätzt. Aufgrund des nach wie vor begrenzten Enforcements von Datenschutz durch die Aufsichtsbehörden gehen hier einige Unternehmen, insbesondere Start-ups bewusst Risiken ein. Anders ist die Situation in den meisten traditionellen Unternehmen, die Datenschutz "nur" ganz allgemein insbesondere im Bereich des Arbeitnehmerdatenschutzes und des Kundendatenschutzes trifft.

Während früher Datenschutz hier in fast keinem Unternehmen ein wichtiges Thema war, gibt es mittlerweile eindeutig zwei Gruppen. Die eine Gruppe – insbesondere börsengelistete Unternehmen und große Unternehmen im B2C-Bereich – nehmen Datenschutz als Teil der allgemeinen Compliance und von Public und Customer Relations sehr ernst. Die andere, wahrscheinlich nach wie vor deutlich größere Gruppe vernachlässigt das Thema immer noch mehr oder weniger. Entweder weil die allgemeine Compliance etwas vernachlässigt wird und daher die Bedeutung des Datenschutz für jedes Unternehmen und damit auch für das eigene Unternehmen verkannt wird. Oder weil das Thema in Zeiten der Krise in Unternehmen, die noch keinen Ärger mit Datenschutz hatten, schlicht hinten ansteht.

Adzine: Bei der Nutzung von Social Media im Marketing herrscht aktuell einiges an rechtlicher Unklarheit? Worauf muss ich achten?

Fabian Niemann: Auf diese Frage kann man auf hundert Seiten antworten. Sehr vereinfacht aber hilft es schon, wenn man vier Spielregeln beachtet: Erstens: Transparenz, d. h., die Kunden und sonstigen Betroffenen konkret, klar verständlich und nicht versteckt ausreichend vor der Datennutzung informieren. Zweitens: im Zweifel "Opt-in", d. h. bewusste und aktive Zustimmung des Betroffenen im Bereich des Social Media Marketings. Abweichungen davon besser nur mit rechtlicher Beratung. Drittens: keine Kooperationen, bei denen man nicht weiß, was der Partner mit Daten macht. Viertens: technisch verstehen, was genau passiert, und bei bedeutenden Thema fachlichen Rechtsrat einholen. Datenschutz ist wahrscheinlich das größte rechtliche Thema im Bereich Social Media, jedenfalls das, mit dem man am leichtesten einen PR-Gau erzeugen kann.

Adzine: Was sind aus Ihrer Praxis die typischen rechtlichen Missverständnisse und Fehler im Online-Dialogmarketing?

Fabian Niemann: Vorweg geschickt möchten ich sagen, dass die meisten spezialisierten Player in der Regel ein sehr gutes Verständnis vom Datenschutz haben. Diese haben Beratungsbedarf weniger aufgrund rechtlicher Missverständnisse, sondern aufgrund unklarer rechtlicher Regelungen, internationaler Aspekte sowie dem Versuch, die Grenzen auszuloten. Dagegen sind rechtliche Missverständnisse in normalen Unternehmen, die sich des Online-Dialogmarketings bedienen, sehr häufig und führen in der Praxis oft zu erheblichen Problemen mit Kunden im Nachinein. Die typischen Probleme sind hier oft schon die Basics: das Ob und Wie des Opt-ins sowie der Zweckbindungsgedanke, also der Grundsatz, dass einmal rechtmäßig gewonnene Daten nicht beliebig, sondern nur im Rahmen eines durch Gesetz oder Einwilligung gerechtfertigten Zweckes genutzt werden können. Daneben der allgemeine Irrglaube, das innerhalb eines Konzerns Daten frei geteilt werden können.   

Adzine: Das Thema rechtssichere Einwilligung ist für viele Marketingmanager immer noch eine Blackbox. Welche Punkte sind für eine rechtssichere Einwilligung essenziell?

Fabian Niemann: Eigentlich "nur" die Grundsätze des Datenschutzes, über die wir bereits oben gesprochenen haben. Namentlich Transparenz, also ausreichende und konkrete Information, beweissicherer (Double-)Opt-in sowie Zweckbindung.

Adzine: Die Systeme wachsen in den Unternehmen zusammen – gleichzeitig steigt die Menge der verfügbaren und verwalteten Daten. Was gibt es bei der Datenerhebung, -zusammenführung und -nutzung zu beachten?

Fabian Niemann: Neben den bereits erwähnten Punkten der Transparenz, Zweckbindung und des nicht bestehenden Konzernprivilegs insbesondere die Grundsätze der Datensparsamkeit (also personenbezogene Daten so wenig nutzen wie möglich), der Datenkontrolle und -löschung (d. h. die Fähigkeit, personenbezogene Daten jederzeit lokalisieren, ändern und bei Bedarf oder Löschungspflicht "löschen" zu können (Letzteres so gut dies eben bei digitalen Daten geht)) sowie der IT-Sicherheit. Daneben muss Datenschutz in der internen Compliance eingebunden und ernst genommen werden. Der Datenschutzbeauftragte muss entsprechend geschult sein und bei internationalen Sachverhalten die Möglichkeit haben, auf interne oder externe internationale Spezialisten zugreifen zu können. Es muss ein klares Zugriffsmanagement betrieben werden, Mandantenfähigkeit ist wichtig und datenschutzkonforme Verträge mit allen externen Dienstleistern, inklusive Konzernunternehmen, die Zugriff auf personenbezogene Daten haben, müssen bestehen. Das sind nur die wichtigsten Punkte. Im Zweifel kann ein Datenschutzaudit durch interne oder externe fachkundige Ressourcen helfen, Compliance herzustellen.

Adzine: Exakte und tiefe Kundenprofile sind wichtig für eine präzise und relevante Kommunikation. Was ist bei der Erhebung von personenbezogenen Verhaltensdaten und der Anreicherung von Daten zu beachten?

Fabian Niemann: Ein schwieriges Thema. Profiling ist ein rotes Tuch für die meisten Datenschützer. Hier hilft eigentlich nur eine wirksame Einwilligung oder eine Technik, die eine wirklich vollständige Anonymität erlaubt.**

Stefan von Lieven

Adzine: Herr von Lieven, welche Risiken gehen Unternehmen ein, wenn Sie das Thema Datenschutz und Zustimmungen im Online-Dialogmarketing nicht ernst nehmen?

Stefan von Lieven: Früher ging es in Marketing und CRM bei Unternehmen im Schwerpunkt um das Sammeln von Daten. Die zweckgebundene Verarbeitung und die korrekte Einholung und Verwaltung von Zustimmungen und Datennutzungserklärungen im Marketing war vielfach mangelhaft. Das reicht aber schon lange nicht mehr aus. Heute sind die rechtssichere Verwaltung und die gezielte Einholung von umfangreichen Zustimmungen für ausgefeilteres Targeting eine wichtige strategische Aufgabe im Marketing. Unternehmen, die dies nicht rechtzeitig erkennen und sich darauf einstellen, haben künftig klare Wettbewerbsnachteile. Denn dieser Paradigmenwechsel kann nicht ad hoc und oft auch nicht rückwirkend erfolgen. Unternehmen riskieren also, wesentliche Teile ihrer Kundendaten für das Marketing zu verlieren, weil sie diese nicht rechtlich einwandfrei erhoben haben. Und hier liegt das eigentliche wirtschaftliche Risiko – nicht in der Beschwerde Einzelner, wie vielfach fälschlicherweise angenommen.
*Wie können Unternehmen vorgehen, um das Thema Kundendaten und Zustimmungen im Dialogmarketing richtig umzusetzen?Der erste Schritt ist eine Analyse der bestehenden Kundendaten und der Erhebungs- und -verarbeitungsprozesse. Eine zentrale Rolle spielen dabei Altdaten, für die oft wenig Wissen hierzu besteht. In einem zweiten Schritt ist eine zentralisierte Verwaltung von Zustimmungen im Marketing – sog. Datennutzungserklärungen (DNE) – einzurichten, auf die alle Erhebungs- und Verarbeitungsprozesse zurückgreifen. Dabei ist insbesondere auch die differenzierte operative Verarbeitung je nach konkreten Zustimmungen wichtig. Dies ist meistens der komplizierteste Aspekt. Für das Thema E-Mail-Marketing und Online-Dialog haben wir dazu übrigens kürzlich mit dem Privacy Admission Control eine sehr charmante und weltweit einmalige Lösung entwickelt. Diese hilft auch für den dritten Schritt, die Migration von Bestandsdaten. Denn hier geht es um die Aktualisierung und die Ausweitung der Zustimmungen.
Herr von Lieven, Herr Niemann, vielen Dank für das Gespräch.*

Svenja Florien Böhm Über den Autor/die Autorin: