3 Tipps zum Datenschutz im Onlinemarketing – Was ist nach einem Jahr DSGVO wirklich wichtig?

Die Datenschutzbehörden haben die Möglichkeit, Verstöße gegen die Pflichten der Datenschutzgrundverordnung (DSGVO) mit Bußgeldern bis zu 20 Millionen EUR oder in Höhe von 4 % des weltweiten Jahresumsatzes zu belegen, je nachdem, welcher Betrag höher ist. Nach einem Jahr DSGVO haben sich Staub und Aufregung zwar etwas gelegt, doch von Entwarnung kann keine Rede sein. Mittlerweile ergingen laut Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Länder mit Stand Januar 2019 bundesweit in 41 Fällen Bußgeldbescheide. Es sollen derzeit noch „sehr viele“ weitere Bußgeldverfahren laufen.

 

Europaweit sieht es „schlimmer“ aus. Wie die Internet World Business berichtet, wurden über 200.000 Verstöße gemeldet. Europäische Datenschutzbehörden sollen wegen Vergehen gegen die DSGVO zusammen bislang Bußgelder in Höhe von 56 Millionen verhängt haben – wobei allerdings ein Bescheid an Google allein etwa 50 Millionen EUR ausmacht.

Für das Online-Marketing stellt sich daher die Frage, auf was Unternehmen besonders achten sollten:

Einer der Fälle, der zu einem der o. g. Bußgelder in Deutschland geführt hat, war der Fall der Chat-Plattform Knuddels. Hacker griffen im September 2018 die Passwörter, E-Mail-Adressen und Pseudonyme von 330.000 Nutzern ab und veröffentlichten diese im Internet. Das Unternehmen hatte insbesondere die Passwörter im Klartext auf seinem Server gespeichert. Im November 2018 wurde ein Bußgeld in Höhe von 20.000,00 EUR verhängt.

Wie dieser Fall zeigt, ist es wichtig, dass Verantwortliche den Grundsatz der Datensicherheit aus Art. 32 DSGVO ernst nehmen, ein angemessenes Schutzniveau gewährleisten und die dazu geeigneten, technischen und organisatorischen Maßnahmen umsetzen. Nach dem Verordnungstext sind dabei zu berücksichtigen:

 

 

Hier wird nicht direkt mit Kanonen auf Spatzen geschossen, denn es besteht keine Verpflichtung, alle Maßnahmen, die technisch möglich sind, direkt umzusetzen. Vielmehr sind der zu betreibende Aufwand, der Stand der Technik und die entstehenden Kosten mit der Art der zu schützenden Daten in Relation zu stellen. Ein Anwendungsfall des Art. 32 DSGVO ist die Verpflichtung, beim Betrieb von Internetseiten auf anerkannte Verschlüsselungsmaßnahmen wie https und ssl/tls zurückzugreifen. Im Unternehmen selbst müssen personenbezogene Daten gegen Diebstahl, Hackerangriffe und Sabotage geschützt werden, insbesondere durch Maßnahmen wie Zugangs- und Zugriffskontrollen sowie der Einrichtung entsprechender Technik, um Hackerangriffe abzuwehren.

In einem der genannten Fälle wurde im Dezember 2018 ein Bußgeld in Höhe von 5.000 EUR gegen das Unternehmen Kolibri verhängt, da man keinen Auftragsverarbeitungsvertrag mit einem Dienstleister geschlossen hatte, der Kundendaten im Auftrag verarbeitete. Es handelte sich um einen spanischen Dienstleister, der auf Anfragen zum Abschluss des erforderlichen Auftragsverarbeitungsvertrages nicht reagierte. Im Mai 2018 fragte das Unternehmen bei der Datenschutzbehörde nach, wie man reagieren solle. Die Behörde wies auf die Pflichten des Verantwortlichen hin, auf solche Vertragsschlüsse hinzuwirken. Das Muster könne man zur Verfügung stellen. Kolibri antwortete sinngemäß, dass man sich als kleines Unternehmen nicht in der Pflicht sehe, einen entsprechenden Vertrag zu erstellen und ggf. teuer übersetzen zu lassen. Der Dienstleister habe auch keine Informationen dazu übermittelt, wie seine internen Prozesse laufen. Nachdem Kolibri nicht einlenkte, erging der Bußgeldbescheid.

 

Unternehmen sollten überprüfen, ob sie für alle Datenverarbeitungen, in denen personenbezogene Daten wie Namen, Adressen, E-Mail-Adressen usw. betroffen sind und für die z. B. ein Cloud Anbieter beauftragt wurde, ein entsprechender Auftragsdatenverarbeitungsvertrag geschlossen wurde. Im Online-Marketing ist das E-Mail-Marketing ein besonders wichtiger Anwendungsfall, denn hier werden E-Mail-Adressen usw. von einem Dienstleister im Auftrag des Unternehmens verarbeitet.

Laut der aktuellen Studie „E-Mail-Marketing Benchmarks 2019“ von Absolit

betreiben zwar 95,4 Prozent der 5000 Top-Unternehmen im deutschsprachigen Raum aktiv E-Mail-Marketing, allerdings ist die Rechtssicherheit bei einem großen Teil nicht gegeben. 18,3 Prozent haben nach der Studie kein Double-Opt-In im Anmeldeprozess implementiert, so dass praktisch jeder jeden – auch Abmahnanwälte – ohne weitere Prüfung in den Verteiler eintragen können. 38 Prozent fragten bei der Anmeldung zu viele Daten ab. Nur 24 Prozent informierten darüber, was mit den eingegebenen Daten passiere. Nur 2 Prozent hätten eine Opt-Out-Option zum Tracking des individuellen Leseverhaltens implementiert.

 

Unternehmen, die E-Mail-Marketingbetrieben, sollten daher unbedingt sicherstellen und nochmals überprüfen, ob Sie