Was ist die DSGVO und welche Bedeutung hat sie für die Marketingbranche?

Zukunft des Marketings in EMEA
Inken Kuhlmann-Rhinow
Inken Kuhlmann-Rhinow

Aktualisiert:

Veröffentlicht:

Wenn Sie Marketer sind, setzen wir voraus, dass Sie darüber informiert sind, dass am 25. Mai 2018 die neue Datenschutz-Grundverordnung (DSGVO) der EU in Kraft tritt. Diese Rechtsvorschrift wird großen Einfluss auf die Arbeit von Marketern und darauf haben, wie Unternehmen die personenbezogenen Daten von EU-Bürgern einholen, speichern, verwalten und verarbeiten. In diesem Artikel werden einige Änderungen anhand konkreter Beispiele erläutert. Zudem erfahren Sie, wie diese Änderungen bei HubSpot und in der Branche aufgenommen werden.

what-is-gdpr-1 (2) copy

Bitte beachten: Dieser Blog-Beitrag stellt keine Rechtsberatung für Ihr Unternehmen im Hinblick auf die Einhaltung der EU-Verordnungen zum Datenschutz, wie die DSGVO, dar. Der Artikel soll lediglich Hintergrundinformationen zum besseren Verständnis der DSGVO vermitteln. Diese rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet. Wir möchten Sie deshalb ausdrücklich darauf hinweisen, dass Sie bei Beratungsbedarf über die Auslegung dieser Informationen für Ihr Unternehmen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten.

Um es kurz zu machen: Sie dürfen sich auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.

Beginnen wir zunächst mit einigen Statistiken, die leider ein recht pessimistisches Bild zeichnen. In einer Umfrage von HubSpot gaben 36 % der befragten Marketer an, schon einmal von der DSGVO gehört zu haben. Ebenso zeigte sich, dass 15 % der Unternehmen bisher noch keine Maßnahmen getroffen haben, um die Einhaltung der neuen Verordnung zu gewährleisten, und daher Gefahr laufen, sich der Nichterfüllung schuldig zu machen. Wir würden sogar so weit gehen, zu behaupten, dass ein besorgniserregendes Handlungsdefizit besteht und die Mehrheit der Unternehmen nicht hinlänglich auf die DSGVO vorbereitet ist. Wir sind jedoch optimistisch, dass dieser Blog-Artikel einen Beitrag dazu leisten kann, das Gespräch in Gang zu bringen und die Branche zum Handeln zu veranlassen.

→  DSGVO-Kit inkl. Handbuch & Webinar-Aufzeichnung [Kostenloser Download]

Es gibt zwei wichtige Teile der Verordnung, die wir hier erläutern möchten. Erstens: Selbst wenn Ihr Unternehmen außerhalb der EU ansässig ist, Sie aber Daten von Bürgerinnen und Bürgern der EU erfassen und verarbeiten, müssen Sie die Bestimmungen der DSGVO erfüllen. Zweitens: Bei Nichteinhaltung der DSGVO drohen empfindliche Strafen. Abhängig von der Art des Verstoßes müssen Unternehmen mit Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres Jahresumsatzes rechnen (je nachdem, was größer ist). Dieses harte Strafmaß zeigt deutlich, dass die Regulierungsbehörden es ernst meinen. Unternehmen können es sich also nicht leisten, die Verordnung zu ignorieren.

So düster das klingen mag, sollten wir an dieser Stelle erwähnen, dass wir die Verordnung durchaus für eine positive Maßnahme halten. Gute Marketer werden ihre Arbeit auch in Zukunft erfolgreich weiterführen können, denn dabei stehen die Menschen und ihre Anliegen im Vordergrund. Marketer werden sich jedoch noch mehr anstrengen müssen, um die Aufmerksamkeit potenzieller Kunden zu gewinnen und das Recht zu erwerben, mit ihnen kommunizieren zu dürfen.

Harte Arbeit allein wird dafür jedoch nicht ausreichen: Marketer werden noch eine Schippe drauf legen und kreativer werden müssen, um Erfolg zu haben. Es sei nochmals darauf hingewiesen, dass wir diese Entwicklung durchaus positiv sehen. Entwicklungen, die Verbrauchern mehr Macht geben und Marketer dazu zwingen, sich weiterzuentwickeln, sind zu begrüßen.

Unternehmen, die ihre eigenen Bedürfnisse vor die der Verbraucher gestellt, zweifelhafte Methoden angewendet oder sich ausschließlich auf Outbound-Taktiken verlassen haben, müssen sich hingegen warm anziehen. Sie werden sich auf ganz neue Gegebenheiten einstellen müssen, denn die DSGVO sorgt dafür, dass Marketingmethoden, wie der Erwerb von Kontaktlisten sowie das unaufgeforderte Zusenden von E-Mails und Spam, der Vergangenheit angehören.

Diese Methoden sind nicht nur veraltet, sondern werden von Verbrauchern auch als lästig empfunden und zeigen zudem immer weniger Wirkung. Inbound-Marketing bildet das Gegenstück zu diesen Taktiken: Beim Inbound-Ansatz steht der Verbraucher im Mittelpunkt und das Interesse des Verbrauchers wird mit nützlichem Content geweckt. Durch die neue Verordnung wird so manches Unternehmen seine Marketingstrategie anpassen müssen.

Sind Sie auf die DSGVO vorbereitet? Sehen Sie sich dazu unser Handbuch DSGVO für Marketer in unserem DSGVO-Kit an.

Welchen Einfluss hat die DSGVO auf meine Marketingaktivitäten?

Womöglich wissen Sie nicht so recht, wie Sie sich am besten über die DSGVO informieren können. Die neue Verordnung bringt einige Veränderungen mit sich. Daher haben wir für Sie ein DSGVO-Kit mit zahlreichen Informationen zur DSGVO zusammengestellt. Hier wird erklärt, was die DSGVO ist, wie sie zustande gekommen ist und welches die wichtigsten Veränderungen für die EU-Datenschutzgesetzgebung sind. Zudem steht ein Begriffsglossar zur Verfügung.

Vor dem Hintergrund dieser Informationen werden wir uns mit der Inbound-Marketing-Methodik beschäftigen und uns ansehen, welche DSGVO-Prinzipien Sie in den verschiedenen Phasen der Methodik berücksichtigen müssen:

Die Inbound-Marketing-Methodik im Rahmen der DSGVO

 

Phase 1 – Datenerfassung

Transparenz

Die DSGVO soll für mehr Transparenz zwischen den Organisationen, die Daten sammeln und verwalten (die „Datenverantwortlichen“) und den Personen, von denen personenbezogene Daten gesammelt werden (die „betroffenen Personen“), sorgen. Das bedeutet, dass jedes Unternehmen, das Besucher auf seine Website zieht und deren Daten mithilfe eines Formulars erfassen möchte, den betroffenen Personen klar mitteilen muss, für welche Zwecke ihre Daten verwendet werden. Die Personen müssen damit einverstanden sein, dass ihre Daten für diese Zwecke genutzt werden. Die Einverständniserklärung muss unmissverständlich, in klarer und einfacher Sprache formuliert und „informiert, spezifisch, eindeutig und widerrufbar“ sein. Die betroffenen Personen müssen zudem über ihr Recht zum Widerruf der Einwilligung informiert werden.

Beispiel: Andrea Meyer lebt in Deutschland und interessiert sich für Innenarchitektur. Sie wird im gesamten Artikel unsere Beispielperson sein. Nehmen wir an, Frau Meyer lädt von der FarbenFroh GmbH ein E-Book herunter, um sich über die Farbmöglichkeiten für ihr neues Haus zu informieren. Die FarbenFroh GmbH muss Frau Mayer genau erklären, für welche Zwecke ihre Daten verwendet werden.

Wenn die FarbenFroh GmbH beispielsweise nachverfolgen will, wie Frau Meyer die Website des Unternehmens nutzt, ihr per E-Mail Informationen zusenden oder die Daten an seine Niederlassungen außerhalb der EU weitergeben will, muss dies klar und deutlich kommuniziert werden, und Frau Meyer muss dieser Nutzung zustimmen. Wenn die FarbenFroh GmbH Frau Meyer per E-Mail Informationen zusenden möchte, reicht es zudem nicht aus, wenn das entsprechende Kontrollkästchen auf einem Formular bereits vorab ausgewählt wurde. Im Rahmen der DSGVO ist dieses sogenannte „Opt-Out-Verfahren“ nicht mehr zulässig.

Wichtig dabei ist: Wenn die FarbenFroh GmbH die Daten von Frau Meyer zu einem späteren Zeitpunkt der Kundenbeziehung für einen neuen Zweck verwenden möchte, muss das Unternehmen auch für diesen neuen Zweck die Einwilligung von Frau Meyer einholen. Unternehmen müssen demnach nicht nur zum Zeitpunkt der Datenerfassung transparent sein, sondern während des gesamten Marketingprozesses. Auch über die Verwaltung der personenbezogenen Daten nach Beendigung der Kundenbeziehung muss Klarheit herrschen.

Datenminimierung

Wenn Unternehmen Daten Personen erfassen, um Website-Besucher in Leads zu konvertieren, muss dabei beachtet werden, dass im Rahmen der DSGVO nur Daten erfasst werden dürfen, die dem Zweck angemessen und relevant sowie auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sind. Wenn Unternehmen also Daten erfassen, die als unnötig oder unverhältnismäßig erachtet werden, stellt dies einen Verstoß gegen die DSGVO dar.

Beispiel: Die FarbenFroh GmbH hat für potenzielle Kunden wie Frau Meyer eine Landing-Page erstellt, von der ein E-Book mit Farbgestaltungstipps für Wohnzimmer heruntergeladen werden kann. Bevor Frau Meyer das E-Book herunterladen kann, muss sie ein Formular der FarbenFroh GmbH ausfüllen. Hier ist es durchaus angemessen, dass das Unternehmen den Namen, die E-Mail-Adresse und sogar Einzelheiten zum geplanten Projekt von Frau Meyer erfassen möchte. Wenn jedoch versucht wird, Informationen über die Familienverhältnisse von Frau Meyer (z. B. ob sie verheiratet ist oder wie viele Kinder sie hat) oder ihren Gesundheitszustand zu erfassen, ist das als unverhältnismäßig anzusehen, denn diese Daten sind für ein Unternehmen für Maler- und Dekorationsbedarf nicht erforderlich.

Phase 2 – Datenspeicherung und -verarbeitung

Zweck- und Nutzungsbeschränkung

Unternehmen können die von ihnen erfassten und gespeicherten Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke nutzen. Die Daten dürfen ausschließlich zur Erfüllung der Zwecke genutzt werden, für die sie erhoben wurden. Wenn die Daten an andere Unternehmen weitergegeben oder geteilt werden sollen, muss dazu zunächst das Einverständnis der betroffenen Personen eingeholt werden.

Beispiel: Nachdem Frau Meyer das E-Book der FarbenFroh GmbH heruntergeladen hat, beschließt sie, sich für einen Onlinekurs über Maler- und Dekorationstechniken anzumelden. Wenn der Onlinekurs von einem Drittunternehmen im Auftrag der FarbenFroh GmbH durchgeführt wird, muss die FarbenFroh GmbH dafür sorgen, dass das Unternehmen, das den Kurs veranstaltet, die Einwilligung von Frau Meyer zur Nutzung ihrer Daten hat. Zudem darf der Kursveranstalter die Daten nur für die Zwecke nutzen, denen Frau Meyer zugestimmt hat.

Sicherheit

Nach der Erfassung der Daten müssen Unternehmen dafür sorgen, dass diese sicher und gemäß den Sicherheitsbestimmungen der DSGVO aufbewahrt werden. Das bedeutet, dass Unternehmen „geeignete technische und organisatorische Sicherheitsmaßnahmen“ treffen müssen, um die personenbezogenen Daten vor unbefugter Verarbeitung und unbeabsichtigtem Verlust, Offenlegung, Zugang, Vernichtung oder Veränderung zu schützen. Abhängig von der Art der erfassten Daten und der Art der Verwendung müssen Unternehmen die Daten mittels Pseudonymisierungs- und Verschlüsselungsmethoden schützen oder sie getrennt von anderen Daten in ihren Systemen speichern.

Beispiel: Die Daten von Frau Meyer sind in der Datenbank der FarbenFroh GmbH gespeichert. Das Unternehmen trägt daher die Verantwortung für eine sichere Aufbewahrung der Daten. Vor der Erfassung der Daten sollte die FarbenFroh GmbH sich überlegt haben, welche Arten von Daten erfasst werden sollen, und mit seinem Sicherheitsteam einen Plan ausgearbeitet haben, der den Standards der DSGVO entspricht.

Diese Standards sind von der Art der Verwendung und der Art der erfassten Daten abhängig. Für vertrauliche Daten, biometrische Daten und personenbezogene Daten von Kindern gelten beispielsweise höhere Standards. Zugriff auf die Daten haben nur Mitarbeiter, die im Rahmen des vorgesehenen Verwendungszwecks Zugang zu diesen Daten benötigen. Verträge mit anderen Unternehmen, die mit diesen Daten in Berührung kommen, müssen die entsprechenden Sicherheitsbestimmungen enthalten.

Richtigkeit

Betroffene Personen können Unternehmen jetzt jederzeit bitten, ihre Daten zu korrigieren oder zu aktualisieren, wenn die Informationen, die sie zu ihnen gespeichert haben, nicht mehr richtig sind.

Beispiel: Frau Meyer hat bei der FarbenFroh GmbH Farbe gekauft und sich beim Treueprogramm angemeldet, um per E-Mail Rabattangebote und neue Designideen zu erhalten. Einige Zeit später wechselt Frau Meyer den E-Mail-Anbieter und möchte, dass die FarbenFroh GmbH ihre Daten entsprechend ändert, damit die E-Mails an die neue E-Mail-Adresse gesendet werden.

Verantwortung

Unternehmen sind für die Erfüllung ihrer Verpflichtungen im Rahmen der DSGVO verantwortlich und müssen die Erfüllung in ihren Unterlagen nachweisen können (z. B. anhand von Einverständniserklärungen für alle erfassten Daten). Zudem müssen Unternehmen über Richtlinien zur Erfassung und Nutzung dieser Daten verfügen.

Unternehmen müssen möglicherweise einen Datenschutzbeauftragten (DSB) mit der Implementierung einer Richtlinie für „Privacy by Design“ (Datenschutz durch Technikgestaltung) oder „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Standardeinstellungen) beauftragen, um sicherzustellen, dass die potenziellen Auswirkungen eines Projekts oder einer Initiative auf die Privatsphäre von Personen berücksichtigt werden. Datenverantwortliche müssen dafür sorgen, dass Auftragnehmerverträge aktualisiert werden und sie die notwendigen Bestimmungen zum Schutz der Daten enthalten, die von Auftragnehmern in ihrem Auftrag verarbeitet werden.

Beispiel: Die FarbenFroh GmbH will eine Marketingkampagne starten, die auf Kunden wie Frau Meyer abzielt. Im Rahmen dieser Kampagne wird die Teilnahme an einem Webinar für Innenarchitektur angeboten, das von einem externen Schulungsunternehmen durchgeführt wird. Vor der Kampagne muss die FarbenFroh GmbH sicherstellen, dass ihr System in der Lage ist, sowohl die Einwilligung von Frau Meyer und den anderen Teilnehmern für sämtliche Verwendungszwecke (einschließlich der Weitergabe der Daten an das Schulungsunternehmen) einzuholen als auch die Einwilligung nachzuweisen. Zudem müssen Richtlinien erstellt werden, welche die Verwendung dieser Daten regeln. Der Vertrag mit dem Schulungsunternehmen muss die notwendigen Bestimmungen für Auftragsverarbeiter gemäß Artikel 28 der DSGVO enthalten.

Möchten Sie mehr über die DSGVO erfahren? Lesen Sie hier unseren DSGVO-Leitfaden.

Phase 3 – Ende einer Kundenbeziehung

Datenaufbewahrung

Unternehmen können personenbezogene Daten so lange aufbewahren, wie es für den festgelegten Zweck der Erfassung notwendig ist. Wenn Kundenbeziehungen aus irgendeinem Grund beendet werden, muss das Unternehmen über eine Datenaufbewahrungsrichtlinie verfügen, in der die Dauer der Aufbewahrung der Daten der betroffenen Personen und der Rechtfertigungsgrund für die Aufbewahrung der Daten für diesen Zeitraum festgelegt sein müssen.

Beim Entwurf der Aufbewahrungsrichtlinien müssen Unternehmen prüfen, ob Gesetze oder Bestimmungen vorhanden sind, die sie zur Aufbewahrung einiger dieser Daten für einen bestimmten Zeitraum verpflichten. Es kann z. B. sein, dass die Aufbewahrung von Finanzdaten für Prüfzwecke gesetzlich vorgeschrieben ist. Die Aufbewahrung dieser Daten ist zulässig und muss in den Aufbewahrungsrichtlinien der Unternehmen klar herausgestellt und gegenüber Frau Meyer deutlich kommuniziert werden. Auch in dieser Phase der Kundenbeziehungen gilt das Prinzip der Transparenz.

Beispiel: Frau Meyer ist mit der Renovierung Ihres Hauses fertig und benötigt keine weiteren Artikel von der FarbenFroh GmbH. Daher löst sie ihr Kundenkonto. Wenn das Unternehmen einige der Daten von Frau Meyer auch nach der Kontoauflösung weiterhin aufbewahren will, muss es sicherstellen, dass dabei die Bestimmungen seiner Datenaufbewahrungsrichtlinie erfüllt werden.

Löschung

Wenn betroffene Personen zu einem beliebigen Zeitpunkt die Löschung ihrer Daten verlangen, müssen Datenverantwortliche diesem Wunsch nachkommen und bestätigen, dass die Daten nicht nur aus den eigenen Systemen gelöscht wurden, sondern auch aus den Systemen eventueller Auftragnehmer, die die Daten im ihrem Auftrag verarbeitet haben.

Beispiel: Nachdem Frau Meyer einige Artikel der FarbenFroh GmbH bestellt hat, möchte sie jetzt Artikel bei einem Konkurrenzunternehmen bestellen, das bessere Produkte anbietet. Frau Meyer möchte, dass ihre Daten aus der Datenbank der FarbenFroh GmbH gelöscht werden. Sie schickt eine E-Mail mit der Bitte um Löschung ihrer Daten und erhält umgehend eine Bestätigung der Löschung. Das Unternehmen muss zudem dafür sorgen, dass die Daten von Frau Meyer auch aus der Datenbank seiner Auftragnehmer (etwa dem zuvor erwähnten Schulungsunternehmen) gelöscht werden.

Gründe, warum die DSGVO für Marketer positiv ist

Für Unternehmen bedeutet es einen großen Aufwand, die Einhaltung der DSGVO sicherzustellen. Wir stehen der Verordnung jedoch positiv gegenüber. Unserer Meinung nach gibt es hier drei große Veränderungen, die sich auf die Marketingbranche positiv auswirken werden:

1. Die Aufmerksamkeit von Kunden damit deutlich mehr wertgeschätzt

Marketer, die auch nach der Einführung der DSGVO bestehen wollen, müssen ihren Kunden einen noch höheren Mehrwert anbieten. Die Arbeit von Marketern wird also noch schwieriger. Sie werden sich in Zukunft richtig ins Zeug legen müssen, um Kunden zu werben und sich das Recht zu sichern, mit ihnen kommunizieren zu dürfen. Doch das sollte sie nicht abschrecken, denn die Aufmerksamkeit der Kunden ist für sie sehr wertvoll und wurde, wenn wir ehrlich sind, in den vergangenen Jahren häufig missbraucht.

2. Mehr Transparenz zwischen Kunden und den Unternehmen, die ihre Daten erfassen und verarbeiten

Wenn die DSGVO ihre Ziele erfüllen kann, bedeutet mehr Transparenz und Kontrolle für EU-Bürger darüber, wie ihre Daten von Unternehmen genutzt werden. Denn Transparenz spielt hier eine Schüsselrolle. Nur wenige Verbraucher sehen derzeit einen Nutzen darin, ihre Daten preiszugeben, tun es aber häufig dennoch, um einen Service oder ein Produkt verwenden zu können. Wenn Unternehmen, die Daten erfassen, zu mehr Transparenz gezwungen werden, müssen sie zwangsläufig mit den betroffenen Personen kommunizieren und ihnen einen Mehrwert anbieten. Wir gehen davon aus, dass eine bessere Kommunikation und größere Transparenz bei der Datenerfassung dazu beitragen wird, Verbrauchern die Gründe näher zu bringen, warum die Erfassung ihrer Daten auch für sie selbst sinnvoll sein kann.

3. Die Messlatte für Marketer wird angehoben

Machen wir uns nichts vor – durch die Einführung der DSGVO wird die Messlatte für Marketer (zwangsläufig) angehoben. Taktiken, die keinen DSGVO-konformen Einwilligungsmechanismus haben, werden bald der Vergangenheit angehören. Marketer sind damit gezwungen, umzudenken und innovative Methoden zu entwickeln. Es muss also ein besserer, kreativerer und durchdachterer Marketingansatz her, um unter diesen neuen Bedingungen bestehen und die DSGVO erfüllen zu können.

In dieser Hinsicht sehen wir die Einführung der DSGVO als Wendepunkt in der Marketingbranche. Viele Unternehmen müssen Ihren Marketingansatz zu Recht neu überdenken. Die DSGVO bietet jedoch auch eine einzigartige Chance für Unternehmen, Kunden die Bedeutung der Datenerfassung näher zu bringen, die letztendlich auch zu einer stärkeren Personalisierung, besseren Produkten und Services und einem effizienteren Datenumgang beiträgt. Unternehmen haben dieses Thema viel zu lange ignoriert und es besteht dringender Gesprächsbedarf. Wir freuen uns, zu dieser Diskussion beitragen zu können.

DSGVO-Kit herunterladen

Themen: DSGVO

Verwandte Artikel

Dieser Report enthält eine Analyse der Herausforderungen und Chancen von Marketingverantwortlichen.

KOSTENLOS HERUNTERLADEN