Achtung Bußgeld: 5 Datenschutzfallen im Online Marketing

Du arbeitest im Online Marketing und betrachtest das Thema Datenschutz mit einem Augenzwinkern? Keine Sorge, damit bist du nicht alleine. Die meisten Leute, die im Affiliate-, E-Commerce- oder SEO-Umfeld arbeiten, sind sich der Tragweite des Themas nicht bewusst.

Allerdings wäre das hilfreich, denn Verstöße gegen das Bundesdatenschutzgesetz (BDSG) werden mit Bußgeldern, je nach Schwere des Verstoßes, bis zu 300.000 Euro geahndet. Zumal die Strafen in absehbarer Zeit verschärft werden: Die von der EU beschlossene Grundverordnung und der Bußgeldrahmen belaufen sich auf bis zu 20 Millionen Euro oder im Fall eines Unternehmens auf bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres.

Vielleicht denkst du jetzt, dass dich das Thema Datenschutz im Geschäftsalltag nicht betrifft. Aber täusche dich nicht, das Spektrum an Bereichen, in denen unbewusst gegen die Vorschriften verstoßen werden kann, ist breit gefächert. Um dies zu verdeutlichen, haben wir die folgenden Beispiele zusammengetragen.

Gefahrenbereich 1: Webanalyse

Ohne Analyse-Tools geht im Online Marketing Umfeld gar nichts. Eines der häufigsten Tools ist Google Analytics, das hinsichtlich einer datenschutzkonformen Verwendung mehrere Tücken mit sich bringt. So genügt es beispielsweise nicht, den von Google bereitgestellten Standardtext in die Datenschutzerklärung einzubauen. Ergänzend gilt es einen Vertrag mit Google zu schließen und die IP-Erfassung abzuschalten. Wer diese Punkte missachtet, kann abgemahnt werden.

Gefahrenbereich 2: E-Mail Marketing

Die meisten Unternehmen setzen im E-Mail Marketing auf fertige Lösungen, insbesondere Mailchimp. Das Problem hierbei: Es droht die Gefahr, dass Datensätze mit Personenbezug (z.B. Mailadresse und Name) in Länder außerhalb der EU übertragen werden. Das Safe Harbor Abkommen, das einst rechtliche Sicherheit versprach, wurde vom Europäischen Gerichtshof gekippt. Wer die Daten dennoch übermittelt, riskiert eine Strafe. 

Gefahrenbereich 3: E-Commerce

Einzelne Mitarbeiter von Online-Shops hantieren mit Datensätzen, die ebenfalls personenbezogene Daten enthalten. Stolpersteine kann bereits die Unternehmensgröße sein: Wenn mehr als neun Personen entsprechende Daten verarbeiten oder Zugriff darauf haben (z.B. im Kundenservice), besteht die gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu bestellen. Unternehmen, die dieser Pflicht nicht nachkommen, droht ein sattes Bußgeld.

Gefahrenbereich 4: Social Media

Im Social Media Umfeld tut sich ein ähnliches Problem wie im E-Commerce auf. Mitarbeiter agieren mit Profilen von Verbrauchern, die sich oft mit Klarnamen in Verbindung bringen lassen. Deshalb können Social Media Aktivitäten die Bestellung eines Datenschutzbeauftragten zur Folge haben. Entscheidend ist letztlich die Gesamtanzahl der Mitarbeiter, die mit personenbezogenen Daten hantieren.

Gefahrenbereich 5: Auftragsdatenverarbeitung

Viele Unternehmen erfassen oder verarbeiten personenbezogene Daten nicht selbst, sondern lassen sich dabei unterstützen. Diese Unterstützung kann beispielsweise von Affiliate Netzwerken oder Agenturen stammen. Die eigentliche Verfahrensweise ist zwar zulässig, jedoch muss ihr ein detailliert abgestimmter Vertrag über die Auftragsdatenverarbeitung zugrunde liegen. Eine Beauftragung ohne Vertragsgrundlage kann hohe Geldstrafen nach sich ziehen.

Sicherstellung eines angemessenen Datenschutzniveaus

Die erwähnten Risiken sind keines auf die leichte Schulter zu nehmen. Abmahnungen können – insbesondere wenn sie berechtigt sind – große Schwierigkeiten nach sich ziehen. Ähnlich steht es um die Bußgelder. Erst im vergangenen Jahr wurde ein Unternehmen aus Bayern, das eine Auftragsverarbeitung ohne vertragliche Grundlage in Auftrag gab, zu einer Geldstrafe in Höhe von 50.000 Euro verdonnert.

Abmahnungen und Geldstrafen sind übrigens nicht die einzigen Gefahren, die mit einem unzureichenden Datenschutz einhergehen. Eine weitere Bedrohung stellt ein möglicher Imageschaden dar. Nie zuvor haben die Menschen auf dieses Thema so sensibel reagiert. Werden Probleme mit dem Datenschutz publik, können diese die Glaubwürdigkeit des Unternehmens nachhaltig schädigen und Kunden zum Abwandern bewegen.

In Anbetracht dieser Risiken ist es entscheidend, sich ausreichend abzusichern. Konkret bedeutet dies, alle relevanten Unternehmensprozesse zu identifizieren, um anschließend zu prüfen, ob sie sicher sind oder angepasst werden müssen.

Diese Aufgabe übernimmt ein Datenschutzbeauftragter. Wie schon dargestellt wurde, sind einige Unternehmen gesetzlich dazu verpflichtet, ihn zu bestellen – andere können ihn wiederum freiwillig bestellen.

Es gibt zwei Varianten – die Bestellung eines internen oder externen Datenschutzbeauftragten. Die interne Lösung empfiehlt sich primär für größere Unternehmen, in denen sich der Datenschutzbeauftragte seiner Tätigkeit in Vollzeit widmen kann. Immerhin spielt Kompetenz eine wichtige Rolle. Wer sich in die Rolle erst einarbeiten muss und gleichzeitig weiteren Aufgaben im Unternehmen nachgeben muss, läuft am Ende Gefahr, Fehler zu machen.

Kleine und mittlere Unternehmen sind meist besser dran, einen externen Datenschutzbeauftragten zu bestellen. Damit kaufen sie sich Unterstützung vom Fachmann ein, der den Datenschutz im Unternehmen herstellt und zugleich die Haftung übernimmt.

Welche Variante am Ende besser ist, muss stets individuell entschieden werden. Wichtig ist letztlich nur eine Sache: Verstöße gegen das Bundesdatenschutzgesetz sind unbedingt zu vermeiden, weil sonst ernsthafte Konsequenzen drohen.