Zum Inhalt springen

Datenschutz im Online-Marketing

    migosens Blogbeitrag Online Marketing

    Internet und diverse Internetdienste erlauben es schnell und effizient unterschiedliche Zielgruppen zu erreichen und diese zielgerichtet werblich anzusprechen. Online-Marketing Maßnahmen sind für Werbende in der Regel kostengünstig und effektiver als die von uns bereits zuvor beleuchteten Offline Marketing-Maßnahmen. Inhalte und Werbemittel können nicht nur zielgruppenorientiert selektiert werden, sondern sogar auf das Verhalten einzelner Nutzer abgestimmt werden.

    Dieser Beitrag behandelt die Zulässigkeit und die Voraussetzungen der Verarbeitung personenbezogener Daten im Rahmen der Planung und der Durchführung von Online-Marketing Maßnahmen und die Möglichkeiten zur Generierung von Kontaktadressen zur Kundenansprache. Im Rahmen der datenschutzrechtlichen Bewertung einzelner Online-Marketing Maßnahmen ist eine Aufteilung in direktes und indirektes Marketing sinnvoll.

     

    Direktes Online-Marketing

    Direktes Online-Marketing erlaubt eine persönliche und individualisierte Ansprache und hilft dabei einen direkten Kundenkontakt und Kundenbindung herzustellen. Zum direkten Marketing gehört vor allem der E-Mail-Versand: Sei es ein Newsletter oder eine persönliche E-Mail.

     

    I. E-Mail-Werbung und Aufbau einer E-Mail-Empfängerliste

    Zu den beliebtesten und den am häufigsten genutzten Online-Marketing Kanälen gehört das E-Mail-Marketing. Dieses bietet eine kostengünstige Alternative zur postalischen Werbung. Dabei können mit geringem Aufwand mehrere Kunden und Interessenten parallel erreicht werden.

    Bei der Planung einer E-Mail-Marketing-Kampagne liegt die Herausforderung bei der Erstellung einer qualitativ hochwertigen und umfangreichen Empfängerliste. E-Mail-Adressen an sich sind die Grundvoraussetzung einer erfolgreichen E-Mail-Marketing-Kampagne. Dabei dürfen diese – im Rahmen der werblichen Ansprache – nicht ohne eine ausdrückliche Einwilligung verwendet werden. Um erforderliche Einwilligungen datenschutzkonform einzuholen und Kontakte zu generieren, sind verschiedene Lösungen denkbar.

     

    1. Newsletter-Anmeldung

    Bei Verwendung einer E-Mail-Adresse, die über eine Newsletter Anmeldung erhoben wurde, ist es wichtig darauf zu achten, nicht nur eine „einfache“ Einwilligung einzuholen. Es sollte darüber hinaus auch ein sogenanntes Double-Opt-In Verfahren eingeführt werden. Das heißt, die über eine öffentliche Webseite generierten E-Mail-Adressen und die dazu gehörigen Einwilligungen müssen zunächst durch den Versand eines Bestätigungslinks durch den Adressinhaber verifiziert werden.

    Hierbei muss berücksichtigt werden, dass die Verifizierungs-E-Mail keinerlei werbliche Inhalte beinhalten darf. Erst eine erfolgreich bestätigte Anmeldung über den Verifizierungslink gilt als eine wirksam erteilte Einwilligung für die Verwendung der E-Mail-Adresse zu werblichen Zwecken.

    Sollten die versendeten E-Mails auch eingebettete Pixel und/oder ähnliche Technologien beinhalten, die es erlauben das Nutzungsverhalten und die Interaktionen mit Newsletter-Inhalten auszuwerten (beispielsweise für die individualisierte Anpassung von künftigen Inhalten), ist hierfür eine zusätzliche Einwilligung erforderlich. Erteilt der Nutzer diese Einwilligung nicht, oder widerruft er nachträglich seine Einwilligung, dürfen die versendeten E-Mails keine Pixel oder ähnlichen Technologien (mehr) beinhalten.

     

    2. Whitepaper-Download

    Ähnlich wie Newsletter, sind sogenannte Whitepaper sowie diverse herunterladbare Unterlagen mit fachlichen oder praxisrelevanten Inhalten, eine gute Methode zur Generierung von potentiellen Kontaktdaten.

    Dieses Modell sieht in der Regel vor, dass die angebotenen Inhalte im Gegenzug zur Eingabe einer E-Mail-Adresse einmalig versendet werden. In diesem Fall stellt ebenfalls eine freiwillige und transparente Einwilligung die Voraussetzung für eine Verwendung der erfassten Daten zur werblichen Ansprache dar. Diese Einwilligung muss ebenfalls im Rahmen des Double-Opt-In Verfahrens (siehe oben) verifiziert werden.

     

    3. Gewinnspiele

    Die Teilnahme an einem Gewinnspiel setzt die Abgabe von Kontaktdaten – zur Benachrichtigung im Falle eines Gewinnes – voraus. Gewinnspiele bieten dem Unternehmen, das Betreiber des Gewinnspiels ist auch die Möglichkeit, erfolgreich Kontaktdaten für werbliche Zwecke zu generieren. Dabei sollte – neben der Anmeldung zu einem Gewinnspiel – auch eine wirksame und freiwillige Einwilligung für die Verwendung der erhobenen Daten unter anderem zur Marketing-Ansprache eingeholt werden. Es muss dabei unbedingt deutlich werden, dass neben der Teilnahme am Gewinnspiel auch in die Zusendung von Werbematerial eingewilligt wird.

    Freiwilligkeit ist in der Regel dann gegeben, wenn bei der Erteilung einer Einwilligung eine echte Wahlmöglichkeit besteht. Ein Vertragsabschluss beziehungsweise eine Gewinnspielteilnahme darf nicht von der Erteilung einer Einwilligung (zum Beispiel zu Marketingzwecken) abhängig gemacht werden. Mit der Freiwilligkeit einer Einwilligung im Rahmen der Teilnahme an einem Gewinnspiel hat sich das OLG Frankfurt (Urteil vom 27.06.2019 Az: 6 U 6/19) bereits beschäftigt. Das Gericht hat das „Freiwilligkeitsmerkmal“ dahingehend ausgelegt, dass dies „ohne Zwang“ erfolgen muss. Nach dem Beschluss muss die Teilnahme an einem Gewinnspiel und die an diese Teilnahme gekoppelte transparente Einwilligung freiwillig erfolgen. Dementsprechend soll der Verbraucher selbst darüber entscheiden, ob die Preisgabe seiner Daten als „Bezahlung“ für die Gewinnspielteilnahme angemessen ist.

    Die im Rahmen einer Gewinnspielanmeldung eingeholte Einwilligung muss klar und transparent formuliert werden. Zudem muss hier – ähnlich wie bei der Newsletter-Anmeldung – ebenfalls ein Double-Opt-In Verfahren für die Verifizierung der Anmeldung und der erteilten Einwilligung eingeführt werden.

     

    4. Adress-Einkauf

    Nach wie vor ist der Einkauf von E-Mail-Adressen bei Adresslieferanten datenschutzrechtlich vertretbar. Die Adresslieferanten als Quelle müssen sicherstellen und nachweisen können, dass die informierten Einwilligungen zur Weitergabe der E-Mail-Adressen an Dritte, sowie deren Verwendung für werbliche Zwecke vorliegen und diese auch dokumentiert sind. Bei Verwendung dieser Daten von Unternehmen ist eine Nennung der Datenquelle nach Art. 14 DSGVO erforderlich.

     

    5. Ausnahme: Bestandskunden

    Eine Einwilligung ist unter Umständen nicht erforderlich, sofern sich die werbliche E-Mail-Ansprache an Bestandskunden richtet.

    Dabei sollte folgendes beachtet werden:

    • Es dürfen lediglich die im Rahmen des bestehenden Kundenverhältnisses erfassten E-Mail-Adressen verwendet werden
    • Der Kunde muss vorab – zum Beispiel bei Vertragsabschluss oder bei Registrierung – darauf hingewiesen werden, dass seine Kontaktdaten unter anderem für eine werbliche Ansprache verwendet werden und, dass er der Verarbeitung jederzeit widersprechen kann
    • Es liegt kein Widerspruch des Kunden vor

    In diesem Fall ist eine Einwilligung für die Verwendung der E-Mail-Adressen nicht erforderlich. Die rechtliche Grundlage hierfür ist ein vorliegendes berechtigtes Interesse des Unternehmens. Die erforderliche Interessenabwägung muss für jede einzelne E-Mail-Kampagne durchgeführt und dokumentiert werden. Nach Auffassung der Datenschutzkonferenz, fällt eine Interessenabwägung in der Regel zu Gunsten eines werbenden Unternehmens aus, wenn es sich um Eigenwerbung für eigene ähnliche Produkte und Dienstleistungen handelt.

    II. Transparenz und Anforderungen an eine Einwilligung beim direkten Online-Marketing

    Bei der Erfassung einer E-Mail-Adresse für die werbliche Nutzung müssen sämtliche Grundsätze der Verarbeitung personenbezogener Daten sichergestellt werden.

    Es dürfen lediglich die für die Zweckerreichung erforderlichen Daten erfasst werden (Gebot der Datenminimierung und der Zweckgebundenheit). Darüber hinaus müssen transparente und eindeutige Informationen zum Umgang mit diesen Daten zur Verfügung gestellt werden.

    Im Falle der Einholung einer Einwilligung muss sichergestellt werden, dass diese freiwillig und eindeutig ist und zudem dokumentiert wird. Eine Einwilligung muss Informationen zu den Zwecken und der Dauer der Verarbeitung personenbezogen Daten, sowie einen Hinweis auf das bestehende Widerrufsrecht und den Weg zur Ausübung dieses Rechts beinhalten.

    Die elektronisch erteilte Einwilligung sollte in einem revisionssicheren System dokumentiert werden. Dabei sollte der Text beziehungsweise die zu dem Zeitpunkt der Erteilung einer Einwilligung geltende Versionierung einer Einwilligung sowie der Zeitstempel der Erteilung oder des Widerrufes einer Einwilligung gespeichert werden.

    Die erfassten Zeitstempel sind nicht nur als Nachweis der vorliegenden Einwilligung im Streitfall erforderlich, sondern auch um sicherstellen zu können, dass die ursprünglich erfasste Einwilligung immer noch gültig ist. So ist nach der Auffassung des LG München (Urteil vom 8. April 2010, Az. 17 HK O 138/10) eine Einwilligung für die werbliche Ansprache, die älter als 17 Monate ist und nicht verwendet wurde, nicht mehr gültig.

     

    Übersicht E-Mail Ansprache

    Online Marketing Blogbeitrag

    Indirektes Online-Marketing

    Im Gegenteil zum direkten Online-Marketing, sind die Kontaktdaten für indirekte Online-Marketing-Maßnahmen irrelevant. Indirektes Online-Marketing nutzt Werbemedien und Werbeflächen – wie beispielweise Webseiten und soziale Medien – die sich an die Allgemeinheit richten.

    Häufig werden bei der Planung einer indirekten Online-Marketing-Kampagne datenschutzrechtliche Fragen übersehen und gar nicht in Betracht gezogen. Auf den ersten Blick werden dabei tatsächlich keine personenbezogenen Daten verwendet. Es werden weder die Namen noch die Kontaktdaten von bestehenden beziehungsweise von potentiellen Kunden benötigt. Bei Einführung neuer Online-Marketing Maßnahmen und bei der Planung von neuen Kampagnen müssen aus rechtlicher Sicht nicht nur wettbewerbsrechtliche Vorgaben, sondern auch datenschutzrechtliche Regelungen berücksichtigt werden.

    Indirektes Online Marketing benötigt zwar nicht unbedingt personenbezogene Daten um eine initiale werbliche Ansprache durchzuführen, nutzt diese aber gegebenenfalls um werbliche Inhalte zielgerecht zu gestalten und um die Effizienz einzelner Kampagnen oder Marketing-Kanäle auszuwerten. Um dies zu ermöglichen, werden personenbezogene beziehungsweise personenbeziehbare Daten – wie Nutzungs- und Nutzerverhalten, allgemeine sozialdemografischen Daten – erhoben und ausgewertet.

     

    I. Indirektes Marketing im Internet – Einsatz von Cookies und ähnlichen Technologien

    Hauptziel aller indirekten Marketing-Maßnahmen im Internet ist es, den passenden potenziellen Kunden passende Angebote zum passenden Zeitpunkt anzuzeigen.

    Effizientes Suchmaschinenmarketing sowie sogenanntes Display Marketing stützen sich auf die Ergebnisse des Webseitentrackings. Durch Webseitentracking können Bewegungen von Nutzern im Internet nachverfolgt und dabei unter anderem die Perfomance von einzelnen Kampagnen und die Benutzerfreundlichkeit einzelner Webseiten ausgewertet werden.

    Außerdem ist Webseitentracking auch Grundlage für das Affiliate-Marketing. Dadurch wird eine Zuordnung einzelner Aktionen – wie beispielsweise ein Webseitenbesuch, ein Kauf oder eine Bestellung bei dem jeweiligen Affiliate-Partner möglich sein. Durch dieses Tracking können nicht nur die Perfomance einzelner Partner bewertet, sondern auch Provisionen abgerechnet werden.

    Wichtig ist, sich im Vorfeld darüber zu informieren unter welchen Voraussetzungen Webseitentracking durchgeführt werden darf. Insbesondere gilt es zu klären welche Technologien – wie beispielsweise Cookies, Zählpixel oder Web-Beacons – dabei eingesetzt werden dürfen.

    Durch die EuGH Entscheidung aus dem Vorjahr, die sich mit dem Setzen von Cookies beschäftigt, wurde die rechtliche Bewertung von Cookies und ähnlichen Technologien (im Weiteren nur noch „Cookies“) deutlich vereinfacht. Alle Cookies, die die Speicherung von Informationen oder den Zugriff auf Informationen – die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind – ermöglichen, dürfen lediglich mit einer freiwilligen und informierten Einwilligung eingesetzt werden. Ausgenommen davon sind sogenannte technisch erforderliche Cookies.

     

    1. Technisch erforderliche Cookies

    Hierbei handelt es sich lediglich um die Cookies, die essentiell sind, um Kernfunktionalitäten einer Webseite beziehungsweise eines Telemediendienstes zur Verfügung stellen zu können. So sind unter anderem Cookies eines Content Management Systems grundsätzlich technisch erforderlich. Bei einer Video-Streaming-Plattform sind zusätzlich die Cookies der jeweiligen Anbieter von audio-visuellen Inhalten oder Diensten technisch erforderlich. Bei der Bewertung der technischen Erforderlichkeit einzelner Cookies sollte zunächst überprüft werden, ob die Datenschutzgrundsätze, wie die Datenminimierung und die Zweckgebundenheit, sichergestellt werden.  Die Lebensdauer der technisch erforderlichen Cookies muss zudem auf das erforderliche Mindestmaß herabgesetzt werden.

     

    2. Einwilligungspflichtige Cookies

    Alle Cookies, die nicht technisch erforderlich sind, dürfen lediglich mit einer gültigen freiwilligen informierten Einwilligung gesetzt werden. Dies bedeutet allerdings nicht, dass mit einer initialen Feststellung des Erforderlichkeitsmerkmals die rechtliche Bewertung abgeschlossen ist.

    Da die Einwilligung die einzige rechtliche Grundlage für das Setzen der nicht technisch erforderlichen Cookies ist, sollte nach wie vor jedes einzelne Cookie und die dabei durchgeführten Datenverarbeitungen überprüft werden. Dies ist erforderlich, um eine wirksame und transparente Einwilligung formulieren und die Gewährleistung der Datenschutzprinzipien sicherstellen zu können.

    Sofern eine Datenverarbeitung dabei mehreren Zwecken dient sollte darauf geachtet werden, dass für alle Verarbeitungszwecke eine separate Einwilligung vorliegt. Zudem sollte eine Einwilligung beispielsweise Informationen zur Weitergabe der erfassten Daten an Dritte sowie zur Verwendung dieser Daten von Dritten zu eigenen Zwecken – wie in der Regel bei Einsatz der Google-Dienste – beinhalten.

    Zusätzlich muss die Zulässigkeit der Datenverarbeitungen überprüft werden. Öfter greifen Cookies und ähnliche Technologien auf sensible Informationen – wie zum Beispiel auf IP-Adressen – zu. Dies erfordert eine Einzelfallprüfung und muss explizit in der Einwilligung definiert werden.

     

    3. Praktische Hinweise für den Einsatz von Cookies und ähnlichen Technologien

    In erster Linie ist eine interne Bestandsaufnahme aller bereits eingesetzten und geplanten Cookies erforderlich. Dabei sollte Folgendes erfasst werden:

    • Cookie-Bezeichnung, Anbieter des Cookies und die durch das Cookie erfassten Datenarten
    • Zwecke, für die ein Cookie gesetzt wird
    • Die Tatsache, ob es sich um ein webseitenübergreifendes Tracking handelt und, ob gegebenenfalls eine Zusammenführung der Daten aus unterschiedlichen Quellen stattfindet
    • Die Tatsache, ob die durch das Cookie erfassten Informationen auch mit Dritten geteilt werden
    • Lebensdauer des Cookies

    Basierend auf dieser Übersicht muss eine Bewertung jedes einzelnen Cookies erfolgen. Dabei ist zu überprüfen, ob die jeweilige Datenverarbeitung erforderlich und zweckgebunden ist und ob die Grundsätze der Datenminimierung sichergestellt werden.

    Diese Übersicht darf zu einer Erstellung von Kategorien von Cookies – basierend auf den zutreffenden Zwecken – sowie der Erstellung der transparenten Einwilligungen dienen.

    Die hier erfassten Informationen können ebenfalls als Grundlage für die Erstellung einer Cookie-Policy zur Erfüllung der Informationspflichten nach Artikel 13 DS-GVO dienen.

    II. Social Media Marketing: Pixel und Plug-Ins

    Aufgrund der steigenden mobilen Nutzung des Internets, ändert sich auch das Medienverhalten im Internet. Die Nutzung von Social Media ist in den letzten Jahren sehr stark gestiegen, da diese am besten für eine schnelle Kommunikation und Information geeignet sind. Durch Social Media bekommen die Unternehmen eine Möglichkeit schnell eine Bindung zum Kunden oder Interessenten herzustellen. Deswegen sind die – im Rahmen von Social Media – betriebenen Marketing-Kampagnen besonders effektiv. Dabei setzen Unternehmen Zählpixel für die Auswertung von Nutzungsverhalten ein oder benutzen Social Media Plug-Ins.

     

    1. Zählpixel

    Zählpixel sind Codes, die auf Webseiten oder in versendeten E-Mails verbaut werden, um das Nutzungsverhalten tracken und auswerten zu können. Beim Einsatz von Zählpixeln – genauso wie bei den technisch nicht erforderlichen Cookies – ist stets eine Nutzereinwilligung erforderlich.

    Im Gegensatz zu anderen Tracking-Technologien, die unter anderem auch Conversion-Marketing und Retargeting ermöglichen, bieten die von Social Media Betreibern angebotenen Zählpixel Auswertungen, die nicht nur auf webseitenübergreifenden Nutzungsdaten basieren, sondern auch die Daten mit einbeziehen, die dem jeweiligen Social Media Betreiber freiwillig zur Verfügung gestellten wurden.

    Besucht zum Beispiel ein eingeloggter Facebook-Nutzer eine Webseite, auf der ein Facebook-Zählpixel gesetzt ist, so werden Informationen zu seinem Nutzungsverhalten auf der jeweiligen Seite mit den Informationen aus seinem Facebook-Profil zusammengeführt.

    Dies funktioniert auch umgekehrt. Webseiten, die einen Facebook-Zählpixel einsetzen, können einem eingeloggten Facebook-Nutzer die auf seine Person – Altersgruppe, Geschlecht, Wohnort, Interessen – zugeschnittenen werblichen Inhalte anzeigen.

    Diese übergreifenden Datenverarbeitungen müssen in jedem Fall Bestandteil einer Einwilligung, die für das Setzen solcher Zählpixel erforderlich ist, gemacht werden. Dem Webseitenbesucher muss eindeutig klar sein, dass diese Daten nicht nur vom Webseitenbetreiber selbst, sondern auch vom jeweiligen Social Media Dienstanbieter ausgewertet und dabei zusammengeführt werden.

     

    2. Social Media Plug-Ins: Links und eingebettete Inhalte

    Um Kunden und Interessenten auf die eigene Social Media Präsenz aufmerksam zu machen, kommen auf Webseiten häufig Social Media Plug-Ins zum Einsatz. Hier werden einfache Verlinkungen auf die jeweiligen Social Media Dienste gesetzt, oder auch einzelne Inhalte (Like-Button, Beiträge, Fotos und Videos) auf der Webseite eingebettet.

    Dabei handelt es sich um die Einbindung von Inhalten eines Dritten. Hier findet in der Regel die Datenverarbeitung nicht nur seitens des Webseitenbetreibers, der ein Social Media Plug-In einsetzt, sondern auch vom jeweiligen Social Media Anbieter statt. In der Regel werden direkt beim ersten Webseitenbesuch Daten wie beispielsweise die IP-Adresse, Browser- und Geräte-Informationen an die  Social Media Anbieter weitergegeben. Um dies aus datenschutzrechtlicher Sicht zu ermöglichen ist stets eine Einwilligung des Webseitenbesuchers erforderlich.

    In der Praxis kann diese Einwilligung vor allem über eine transparente und wirksame Einwilligung im Cookie-Banner abgefragt werden. Erteilt der Webseitennutzer die hier erforderliche Einwilligung nicht, so dürfen die eingebetteten Inhalte auf der Webseite nicht geladen werden.

    Alternativ kann diese Einwilligung auf der Webseite abgefragt werden, in dem der Webseitenbesucher standardmäßig deaktivierte Plug-Ins beziehungsweise Inhalte von Dritten mit einem Klick aktiviert. Dabei ist sicherzustellen, dass bis zur Erteilung dieser Einwilligung keine Datenverarbeitungen seitens eines Dritten stattfinden und, dass dem Nutzer eine transparente und informierte Einwilligung angeboten wird.

    Eine sehr pragmatische Lösung wäre hier eine Kombination dieser beiden Möglichkeiten zur Abfrage der Einwilligungen. Sofern sich der Umfang der im Cookie-Banner und im Rahmen der im Plug-In erteilten Einwilligungen unterscheidet, müssen zudem klare Regelungen zu den Abhängigkeiten der jeweiligen Einwilligungen definiert und festgelegt werden.

    Soweit lediglich eine Verlinkung auf die Unternehmensseite beim jeweiligen Social Media Anbieter erfolgt, empfiehlt es sich hier die Einbindung von statischen Links, die – standardmäßig – keine Daten erfassen. Die Datenverarbeitung seitens der Dienstleister, die soziale Medien betreiben, erfolgt erst dann, wenn der Nutzer auf einen solchen Link geklickt hat.

     

    Zum Autor:

    Iryna Shvets ist Consultant für Datenschutz. Bei der migosens GmbH beschäftigt sie sich mit den datenschutzrechtlichen Fragestellungen in der Telekommunikationsbranche. Dabei berät sie bei der datenschutzfreundlichen Gestaltung der Produkte und Dienstleistungen, Web- und App-Angeboten.

    Iryna Shvets studierte Rechtswissenschaften und hat einen LL.M. an der Kölner Forschungsstelle für Medienrecht erworben.