Was war das für eine Aufregung letztes Jahr um diese Zeit! Wie ein Damoklesschwert schwebte der 25. Mai über allen Unternehmen, der Termin für das Inkrafttreten der Datenschutzgrundverordnung (DSGVO). Die Unsicherheit war allerorten groß, die Anspannung hoch und die Furcht vor diesem Datum manchmal übertrieben.
Die Aufregung hat sich gelegt, die Strafandrohung bleibt
Mittlerweile, nach einem Jahr DSGVO, hat sich die Aufregung zwar etwas gelegt, doch Anlass zur Entwarnung gibt es mitnichten. Immerhin drohen Unternehmen, die gegen die DSGVO verstoßen, seit dem 25. Mai 2018 drakonische Strafen. Die Datenschutzbehörden können Bußgelder von bis zu 20 Millionen Euro verhängen beziehungsweise von vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Laut einer Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Länder ergingen bundesweit 41 Bußgeldbescheide (Stand Januar 2019). Es sollen derzeit noch „sehr viele“ weitere Bußgeldverfahren laufen. Europaweit sieht es „schlimmer“ aus. Wie die Internet World Business berichtet, wurden über 200.000 Verstöße gemeldet. Europäische Datenschutzbehörden sollen wegen Vergehen gegen die DSGVO zusammen bislang Bußgelder in Höhe von 56 Millionen verhängt haben – wobei allerdings ein Bescheid an Google allein etwa 50 Millionen Euro ausmacht.
Für Verantwortliche Online-Marketer stellt sich also die Frage, auf was es besonders zu achten gilt.
Tipp 1: Kümmern Sie sich um die Datensicherheit
Einer der Fälle, der zu einem der o.g. Bußgelder in Deutschland geführt hat, war der Fall der Chat-Plattform Knuddels. Hacker griffen im September 2018 die Passwörter, E-Mail-Adressen und Pseudonyme von 330.000 Nutzern ab und veröffentlichten diese im Internet. Das Unternehmen hatte insbesondere die Passwörter im Klartext auf seinem Server gespeichert. Im November 2018 wurde ein Bußgeld in Höhe von 20.000 Euro verhängt.
Wie dieser Fall zeigt, ist es wichtig, dass Verantwortliche den Grundsatz der Datensicherheit aus Art. 32 DSGVO ernst nehmen, ein angemessenes Schutzniveau gewährleisten und die dazu geeigneten, technischen und organisatorischen Maßnahmen (TOM) umsetzen. Dabei sind zu berücksichtigen:
- der Stand der Technik,
- die Implementierungskosten,
- die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung,
- die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.
Hier verlangt das Gesetz den Unternehmen nichts Unmögliches ab, denn es besteht keine Verpflichtung, alle Maßnahmen, die technisch möglich sind, sofort umzusetzen. Vielmehr sind der zu betreibende Aufwand, der Stand der Technik und die entstehenden Kosten mit der Art der zu schützenden Daten in Relation zu setzen. Ein Anwendungsfall des Art. 32 DSGVO ist die Verpflichtung, beim Betrieb von Internetseiten auf anerkannte Verschlüsselungsmaßnahmen wie https und ssl/tls zurückzugreifen. Im Unternehmen selbst müssen personenbezogene Daten gegen Diebstahl, Hackerangriffe und Sabotage geschützt werden. In Betracht kommen hier Zugangs- und Zugriffskontrollen sowie geeignete technische Maßnahmen, um Hackerangriffe abzuwehren.
1 Jahr #DSGVO: Die Aufregung hat sich gelegt, die Strafandrohung bleibt. Im #trurnitBlog gibt die bekannte Fach-Anwältin für IT-Recht @SHeukrodtBauer 3 Tipps, wie Sie Ihr #Onlinemarketing gegen Abmahnungen und Strafen absichern. @trurnitGruppe http://trurn.it/AY2c
Klicken zum Tweeten
Tipp 2: Schließen Sie alle notwendigen Auftragsverarbeitungsverträge
Gegen das Unternehmen Kolibri etwa wurde im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro verhängt, weil das Unternehmen keinen Auftragsverarbeitungsvertrag mit einem Dienstleister geschlossen hatte, der Kundendaten im Auftrag von Kolibri verarbeitete. Es handelte sich um einen spanischen Dienstleister, der auf Anfragen zum Abschluss des erforderlichen Auftragsverarbeitungsvertrages nicht reagierte.
Im Mai 2018 fragte das Unternehmen bei der Datenschutzbehörde nach, wie man reagieren solle. Die Behörde wies auf die Pflichten des Verantwortlichen hin, auf solche Vertragsschlüsse hinzuwirken. Das Muster könne man zur Verfügung stellen. Kolibri antwortete sinngemäß, dass man sich als kleines Unternehmen nicht in der Pflicht sehe, einen entsprechenden Vertrag zu erstellen und ggf. teuer übersetzen zu lassen. Der Dienstleister habe auch keine Informationen dazu übermittelt, wie seine internen Prozesse laufen. Nachdem Kolibri nicht einlenkte, erging der Bußgeldbescheid.
Sie sollten daher überprüfen, ob Sie für alle Datenverarbeitungen, in denen personenbezogene Daten wie Namen, Adressen, E-Mail-Adressen usw. betroffen sind, ein entsprechender Auftragsdatenverarbeitungsvertrag geschlossen wurde. Vergessen Sie dabei nicht die Cloud-Anbieter! Im Online-Marketing ist das E-Mail-Marketing ein besonders wichtiger Anwendungsfall, denn hier werden E-Mail-Adressen und andere persönliche Daten von einem Dienstleister im Auftrag des Unternehmens verarbeitet.
Tipp 3: Überprüfen Sie Ihre Prozesse beim E-Mail-Marketing
Laut der aktuellen Studie „E-Mail-Marketing Benchmarks 2019“ von Absolit betreiben zwar 95,4 Prozent der 5.000 Top-Unternehmen im deutschsprachigen Raum aktiv E-Mail-Marketing, allerdings ist die Rechtssicherheit bei einem großen Teil nicht gegeben. 18,3 Prozent haben nach der Studie keinen Double-Opt-In-Anmeldeprozess (DOI) implementiert, sodass praktisch jeder jeden in den Verteiler eintragen kann – ein willkommenes Einfallstor für Abmahn-Anwälte!
38 Prozent fragten bei der Anmeldung zu viele Daten ab. Nur 24 Prozent informierten darüber, was mit den eingegebenen Daten passiere. Nur zwei Prozent hätten eine Opt-Out-Option zum Tracking des individuellen Leseverhaltens implementiert.
Also, am besten checken Sie noch einmal folgende Punkte:
- Haben Sie jeweils eine korrekte Einwilligung der Empfänger der Newsletter und Werbe-Mails eingeholt?
- Sind die Einwilligungen nachweisbar, weil sie im DOI-Verfahren eingeholt wurden?
- Haben Sie Einwilligungen für Erfolgsmessungen, das Tracking des Nutzerverhaltens und das Anlegen von Nutzerprofilen eingeholt?
- Ist in jedem Newsletter ein Opt-Out (Abmeldelink) implementiert?
- Haben Sie eine korrekte Datenschutzinformation auf Ihrer Webseite integriert?
Können Sie fünfmal Ja sagen? Haben Sie alle nötigen Auftragsverarbeitungsverträge geschlossen sowie technisch und organisatorisch dafür gesorgt, dass die Daten Ihrer Kunden sicher sind? Sehr gut, dann wünsche ich Ihnen viel Erfolg im Online-Marketing!
Sabine Heukrodt-Bauer auf dem trurnit Forum 2019
Die Fachanwältin für Informationstechnologierecht (IT-Recht) und gewerblichen Rechtsschutz referiert am 21. Mai auf dem trurnit Forum über „Keyfacts Datenschutz im Online-Marketing“.
Mehr zum trurnit Forum 2019 und zur Anmeldung
Sabine Heukrodt-Bauer ist Fachanwältin für IT-Recht und gewerblichen Rechtsschutz sowie Gründerin der Mainzer Kanzlei RESMEDIA und Dozentin für IT-Recht an der Johannes-Gutenberg-Universität Mainz.