Datenschutz und ePrivacy im B2B – Stand 2019
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 und die Umsetzung der neuen EuGH-Vorgaben zur ePrivacy 2019 bedeuten nach wie vor eine Kraftanstrengung für deutsche Industrieunternehmen. Die befürchteten Abmahnwellen sind bislang zwar ausgeblieben, aber die Schonfrist ist vorüber und die Datenschutzbehörden in Deutschland und anderen europäischen Staaten greifen mittlerweile stärker durch.
Es geht um viel Geld. Gerade die großen Betriebe beschäftigen sich daher schon seit einigen Jahren mit der DSGVO-konformen Umstellung ihrer Strukturen und Prozesse. Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes. Sämtliche Dienstleistungsverhältnisse kamen folglich auf den Prüfstand, es müssen fortlaufend Verträge zur Auftragsdatenverarbeitung geschlossen und die Umsetzung der technisch- organisatorischen Maßnahmen an laufende Prozessänderungen angepasst werden. Die Umstellung aller Abläufe hat bei allen Unternehmen riesige zeitliche und finanzielle Ressourcen verschlungen. „Den wirtschaftlichen Schaden schätzen wir auf mehrere hunderttausend Euro“, bestätigt Ralf Fahner, Digital Industries Motion Control, Siemens AG.
Inhaltsverzeichnis
Abmahnwellen in Deutschland und Europa?
Mittlerweile wurden bereits Bußgelder in Europa und Deutschland verhängt, fehlende SSL-Verschlüsselungen oder die Verletzung von Informationspflichten wurden dabei oft zum Stein des Anstoßes. Empfindlich hohe Strafmaße sind jedoch gerade im B2B-Sektor nach wie vor unwahrscheinlich, denn Ziel der DSGVO ist nicht die Regulierung von Marktverhalten. Vorsicht ist aber bei grenzüberschreitender Verarbeitung personenbezogener Daten geboten. Informieren Sie sich am besten vorab, wie die Verfahren und Bußgelder der Datenschutz-Behörden Ihrer Partnerländer bisher ausgefallen sind, denn hier gibt es signifikante Diskrepanzen. Polen überwacht und mahnt zum Beispiel deutlich rigider als das sehr leger agierende Irland.
Verlust von 85 % der “alten” Adressen und Vorsicht bei neuen Leads
Industrieunternehmen, die ihre Adressbestände noch immer nicht überprüft oder bereinigt haben, sollten dies schleunigst nachholen. Die großen Player haben es vorgemacht: Bei Siemens wurden beispielsweise Adressbestände ohne dokumentiertes Opt-in aus Vor-DSGVO-Zeiten in Größenordnungen von bis zu 85 % gelöscht. Diese Maßnahme hatte weitreichende Folgen für Marketingstrategie und Geschäftsmodelle. „Durch die aktuelle DSGVO werden wir interessanten Content jetzt vermehrt über andere digitale Kanäle, wie Webseite oder Social Media spielen. Die starke Nutzung und der hohe Mitgliederanteil der Siemens-Communities zeigen, dass das ein richtiger und wichtiger Weg ist“, erläutert Fahner.
Bei neuen Leads ist unbedingt darauf zu achten, dass die Kontaktpersonen über die Art der Datennutzung informiert sind und dies auch auf Wunsch der Betroffenen nachgewiesen werden kann. Personenbezogene Daten dürfen nur so lange gespeichert werden wie zur Zweckerfüllung erforderlich sind. Danach müssen sie gelöscht werden. Aber es gibt durchaus verschiedene “Erlaubnis-Tatbestände”, die eine Datennutzung durch Firmen rechtfertigen. Dazu gehört das berechtigte Interesse eines Unternehmens an Werbung. Gründlich absichern muss man sich aber in jedem Fall bei allen Formen der E-Mail-Werbung, denn hierbei (auch Newsletter!) ist immer eine vorherige ausdrückliche Einwilligung des Adressaten erforderlich (§7 UWG).
„Um den umfangreichen Informationspflichten nachzukommen, sollten Unternehmen im unmittelbaren Nachgang zur elektronischen Aufnahme des Kontaktes eine Bestätigungsmail an den Messebesucher verschicken, in der er über die Speicherung seiner personenbezogenen Daten informiert, auf die Datenschutzerklärung des Unternehmens per Link verwiesen und auf das Widerspruchsrecht hingewiesen wird.“
(Rechtsanwältin Silvia Bauermeister, Referentin Recht/Business Development des AUMA – Verband der deutschen Messewirtschaft)
Datenschutz im Messe-Kontext: Was ist erlaubt?
Laut den Ergebnissen der bvik-Studie „B2B-Marketing- Budgets 2018“ behaupten sich Messen als wichtiges Marketing-Tool. Doch seit der Einführung der DSGVO stellt die Lead-Erfassung eine Herausforderung dar. Was hier zu beachten ist, hat die Rechtsanwältin Silvia Bauermeister, Referentin Recht/Business Development des AUMA – Verband der deutschen Messewirtschaft, wie folgt zusammengefasst: „Da auf dem Messestand die Besucher regelmäßig selbst ihre Daten an den Aussteller weitergeben, kann hier grundsätzlich von Einwilligung zur elektronischen Erfassung der Daten ausgegangen werden. In der Regel kann sich der Aussteller aber auch auf die Interessenabwägung als Erlaubnisnorm berufen. Ein berechtigtes Interesse des Ausstellers kann nämlich zum Beispiel auch die Verwendung der Kontaktdaten zu Werbezwecken sein. Neu seit Inkrafttreten der DSGVO sind die umfangreichen Informationspflichten für Unternehmen. Um diesen nachzukommen, sollte man im unmittelbaren Nachgang zur elektronischen Aufnahme des Kontaktes eine Bestätigungsmail an den Besucher verschicken, in der der Besucher über die Speicherung seiner personenbezogenen Daten informiert, auf die Datenschutzerklärung des Unternehmens per Link verwiesen und auf das Widerspruchsrecht hingewiesen wird. Sobald jedoch Unternehmens-Newsletter per E-Mail versandt werden, sollte man hierfür zuvor eine Einwilligungserklärung einholen.“
Fotos bei Events – eine Frage von Datenschutz?
Aufnahmen und Veröffentlichungen von Personen im Messe-Umfeld stehen bei allen B2B-Unternehmen auf der Tagesordnung. Kein Unternehmen kann und möchte einen leeren Messestand zur Event-Promotion oder -Berichterstattung nutzen. Aber Bildrechte greifen natürlich unmittelbar in die Persönlichkeitsrechte der Betroffenen ein. Und diese unterliegen zumindest in Deutschland und Europa einem starken Schutz: Recht am eigenen Bild, §§ 22, 23 KunstUrhG
Grundsätzlich gilt: Ist eine Person so abgebildet, dass sie erkannt werden kann, dann ist eine Einwilligung erforderlich – entweder ausdrücklich, stillschweigend oder vermutet.
Keine Einwilligung ist erforderlich, wenn
1. es sich um Personen der Zeitgeschichte handelt.
2. die Person nur Beiwerk ist (die Person kann weggelassen werden, ohne dass sich der Charakter des Bildes verändert).
3. es sich um größere Versammlungen und Aufzüge handelt, also Menschenansammlungen, bei der der einzelne als Bestandteil der Menge optisch untergeht.
Daraus kann nur leider kein Automatismus nach der Logik “Menschenansammlung = mehr als 5 Personen” abgeleitet werden!
Aber auch in diesem B2B-Kontext beginnt sich ein gewisser Pragmatismus zu etablieren, wenngleich dieser im Ernstfall nicht vom Unternehmen einklagbar ist. Es empfiehlt sich, Besucher vorab deutlich sichtbar über die geplante Nutzungsart der Fotos zu informieren (z. B. Veröffentlichung im Internet, Social Media, Publikationen). Dies gilt für Messebesucher gleichermaßen wie für das Standpersonal. Gerade bei letzterem ist eine intensive Aufklärung vor der Messe und eine Einholung von schriftlicher umfänglicher Nutzungsfreigabe ratsam. Nichts ist ärgerlicher, als im Nachhinein Fotos und Filmaufnahmen aufgrund von Unsicherheit oder Beanstandungen einzelner nicht verwenden zu können. Bei Besuchern hat sich ein Hinweis bei der Anmeldung und Bestätigung der Teilnahme bewährt, um sich abzusichern.
Tipp: Im Zweifels- und Streitfall ist es besser mit Interessenabwägung als mit datenschutzrechtlicher Einwilligung arbeiten.
Übrigens: Urheberrecht und Datenschutz sind auch beim Einbetten von Kartenausschnitten für die Anfahrtsbeschreibung zu der Veranstaltung zu beachten!
ePrivacy-Richtlinie: Was ist seit 2019 neu?
Nach der DSGVO regelt die Europäische Kommission mit der ePrivacy-Verordnung (ePVO) nun das Tracking des Nutzerverhaltens auf Webseiten. Einen ersten Eindruck davon gibt die sogenannte Orientierungshilfe der Datenschutzkonferenz (DSK) vom 5. April 2019. Aus Sicht der DSK ist das aktuell praktizierte Opt-out-Verfahren für eine Einwilligung zum Tracking der User-Daten nicht ausreichend.
Seit Herbst 2019 ist die bisher weitläufig lockere Praxis der Cookie-Information unten auf der Webseite mit gleichzeitigem Start des marketingorientierten Trackings nach Ansicht des EuGH nicht mehr erlaubt. Demnach ist eine aktive Einwilligung der Nutzer erforderlich, sofern es sich bei den Cookies um sog. “Third-Party-Cookies” oder Tracking-Cookies handelt. Zwar müssen die Vorgaben des EuGH erst noch in nationales Recht umgewandelt werden, aber es ist klar, dass sich die deutschen Gerichte an dieser europäischen Vorgabe orientieren werden. Zeitnah müssen daher die Informationstexte überarbeitet und Opt-in- bzw. Opt-out-Möglichkeiten geschaffen werden, um die geforderte Transparenz abzubilden. Auch B2B-Webseitenbetreiber sollten deshalb Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent-Tool einsetzen. Je nach CMS der eigenen Webseite und Komplexität des Webauftritts in verschiedenen Sprachen und Zielmärkten sind die Kosten für Lizenzen und programmiertechnische Umsetzung hoch und müssen ins Budget eingeplant werden. Für WordPress-Webseiten gibt es auch kostengünstige Varianten, die sehr gut funktionieren und leicht einzubinden sind.
„Um erfolgreich zu sein, müssen Unternehmen das Potenzial der digitalen Welt nutzen. Aus den Daten ihrer Interessenten und Kunden können Industrieunternehmen viel herausholen – sofern sie die Einwilligung der Betroffenen haben.“
(Marketing-Automation-Experte Martin Philipp, Geschäftsführer, SC-Networks / Evalanche)
Datenschutz und ePrivacy: Hemmschuh oder Chance für die deutsche Industrie?
Bei allen Nachteilen hat die DSGVO zu einem abteilungsübergreifenden Umdenken geführt: Das Kernstück der Kommunikation – die Daten der Kunden – müssen als Vertrauensvorschuss in die Qualität der Marke und ihrer Produkte gewertet werden. Das bedeutet, dass das Thema Content-Qualität eine völlig neue Bewertung erfahren hat. Die Einführung der DSGVO ist so zu einem Katalysator der Professionalisierung in der Kommunikation geworden. Nicht das Produkt, sondern der Kunde mit seinen Interessen und Rechten steht nun auch im B2B tatsächlich im Mittelpunkt. Mehrwert, Transparenz und Service sind die Gebote für starke Marken im globalen Wettbewerb. Gerade im B2B zählt Vertrauen. Dies sollten Unternehmen als Aufforderung und Chance in Zeiten der Digitalisierung begreifen. „Mit Daten ist alles möglich. B2B-Unternehmen, die jetzt und in Zukunft erfolgreich sein wollen, müssen das Potenzial unserer digitalen, datengenerierenden Welt nutzen. Aus den Daten ihrer Interessenten und Kunden können Industrieunternehmen viel herausholen – sofern sie die Einwilligung der Betroffenen haben“, bestätigt der Marketing-Automation-Experte Martin Philipp, Geschäftsführer von bvik-Fördermitglied SC-Networks / Evalanche.
Autor: Tanja Auernhamer, Leitung der bvik-Geschäftsstelle
√ Praxistipp: Lead-Generierung auf Messen
Erfassen Sie auf eingesammelten Visitenkarten bzw. auf Lead-Bögen jeweils Datum und Uhrzeit des Messe-Besuchs mit Unterschrift des beratenden Mitarbeiters und archivieren Sie diese sorgfältig. Vor Gericht können Zeugenaussagen von Mitarbeitern im Zweifelsfall als Beleg für eine Einverständniserklärung dienen – auch ohne explizite Unterschrift des Kunden.
Lesetipps
- DSGVO – ePrivacy – Bußgelder: Status quo 2019
(Blogbeitrag von Daniel Simon, Datenschutz-Experte)
- 1 Jahr DSGVO: Bilanz aus der Marketing-Praxis
(Blogbeitrag von bvik-Mitglied Michaela Jackel, Claranet) - Keine Angst vor Visitenkarten – Datenschutzkonforme Leadgenerierung auf Messen
(Blogbetrag von bvik-Themenpartner AUMA) - bvik-Checkliste “Datenschutz”
(für eingeloggte User kostenfrei zum Download!) - bvik-Themenseite “DSGVO: Datenschutz und Datensicherheit im B2B”