Was das Datenschutzgesetz für Schweizer Agenturen bedeutet

Die EU hat ihre Datenschutz-Grundverordnung (DSGVO) mit dem Ziel verfasst, ihre Bürger online besser zu schützen. Dies aus Furcht vor einem überbordenden Einsatz von Big Data. Deshalb führt die EU unter anderem auch das sogenannte Marktortsprinzip ein. Ausschlaggebend ist dabei nicht der Pass eines Kunden, sondern sein Wohnort. Vereinfacht gesagt: Wer mit Menschen in der EU Geschäfte machen will, muss sich an die Gesetze der EU halten.

Zielmarkt eindeutig ausweisen

Was bedeutet das im Alltag? Die DSGVO betrifft das Marketing nur dann nicht, wenn sich ein Angebot eindeutig an den Schweizer Markt richtet. Sie muss aber berücksichtigt werden, wenn Angebote explizit auch aus dem EU-Raum bestellt werden können (ersichtlich beispielsweise an Preisangaben in Euro oder ausgewiesenen Transportkosten in die EU), wenn für das Angebot auch in einem EU-Land geworben wird oder wenn Profiling-Massnahmen auch Kunden, die in einem EU-Land wohnen, betreffen. Bei der Beratung von Agenturkunden spielt die DSGVO aber noch in einem weiteren Fall eine Rolle: Voraussichtlich Ende 2019 wird in der Schweiz das neue Datenschutzgesetz eingeführt. Dieses muss der DSGVO mehr oder weniger gleichgestellt sein, da sonst Sanktionen seitens der EU drohen. Es lohnt sich also, die DSGVO schon jetzt mitzudenken und Kunden auch in der Schweiz dieselben Rechte einzuräumen wie Kunden in der EU (minus das Recht auf Übertragbarkeit der Daten, das in der Schweiz wahrscheinlich nicht zur Anwendung kommen wird).

Verantwortlichkeiten

Was bei Kunden, die von ihrer Agentur mit Marketing-Automation oder ähnlichen Tools unterstützt werden, für Verwirrung sorgen kann: Verantwortlich für die Einhaltung der DSGVO ist der Kunde. Er kann seiner Agentur allenfalls ein Mandat erteilen, die DSGVO-Konformität für ihn zu managen. Klar ist aber, dass ein solcher Auftrag auch entschädigt werden muss. Als Agentur ist man grundsätzlich Auftragsverarbeiter und muss dafür sorgen, dass man auch im Kleingedruckten nicht anders aufgeführt ist. Für alle Dienste, die man im Rahmen dieser Arbeit hingegen selber an Drittpartner vergibt (zum Beispiel das Hosting), steht man auch selbst in der Pflicht. Die DSGVO-Konformität der Partner muss man sich vertraglich zusichern lassen – und die Drittparteien mit ihren Funktionen explizit in der obligatorischen Datenschutzerklärung auf der Website anführen.

Hauptgründe für Datensammlung

Bei der Beratung zu möglichen Strategien für eine Datensammlung bleiben mit der DSGVO nicht viele Optionen. Wenn Daten nicht aus rechtlichen Gründen erhoben werden müssen (zum Beispiel zur Einhaltung eines Vertrags), bleiben nur die willentliche Zustimmung oder das berechtigte Geschäftsinteresse. Die willentliche Zustimmung der Kunden, Werbematerial zu erhalten, gilt als Königsweg. Doch damit diese Einwilligung gesetzlich anerkannt wird, sind hohe Auflagen zu erfüllen. Die Kunden müssen in einer einfach verständlichen Sprache darüber informiert worden sein, welche Daten gesammelt werden, wozu, wie lange und an wen sie allenfalls weitergegeben werden (das sogenannte Opt-in).

Adressen, die über Wettbewerbe generiert wurden, sind so problematisch, dass von einer Verwendung abgeraten werden muss

Risiken der Opt-in-Strategie

Opt-ins bergen zwei Risiken. Zum einen stellen sie kurzfristig eine Hürde dar, bei welcher potenziell viele User abbrechen. Das zweite Risiko ist eher langfristiger Natur: Meldet sich ein Kunde einmal beispielsweise vom Newsletter ab, kann seine Adresse auf keine Art mehr verwendet werden. Erst muss eine neue Einwilligung zur Kontaktaufnahme vorliegen und die wird man sich so aufwendig verdienen müssen wie beim ersten Mal. Wegen des Grundsatzes der willentlichen Zustimmung entfällt künftig auch die Verwendung eingekaufter Adressen. Adressen, die über Wettbewerbe generiert wurden, sind ebenfalls so problematisch, dass von einer Verwendung abgeraten werden muss.

Möglichkeiten für Firmen

Die zweite Möglichkeit, das berechtigte Geschäftsinteresse, wird im Alltag deutlich häufiger zum Zug kommen, wenn es um das Sammeln und Auswerten von Daten geht. Es bedeutet, dass das Interesse eines Unternehmens das Interesse eines Individuums überwiegt. Das ist etwa der Fall, wenn Daten zur Nutzung der Firmenwebsite analysiert werden, um die Usability zu verbessern oder weil durch einen vorgängigen Kauf bereits eine Kundenbeziehung besteht. Letztlich wird man jeden Fall individuell betrachten müssen. Will der Agenturkunde auf der sicheren Seite stehen, muss er eine Rechtsberatung in Anspruch nehmen. Wer auf seiner Website Nutzerverhalten aber registriert wie beispielsweise, woher ein Zugriff auf welche Site erfolgt und wie lange sie danach genutzt wird, kann sich mit einem Hinweis auf ein Opt-out absichern. Die erhobenen Daten dürfen aber später nicht einem Lead zugeordnet werden können (Fingerprinting).

Offene Fragen zur Marketing-Automation

Die grösste «Baustelle» betrifft die Marketing-Automation. Zwar lässt sich relativ klar sagen, was möglich ist und was nicht. Doch die EU arbeitet derzeit an einer zusätzlichen Verordnung zur E-Privacy, welche die Nachhaltigkeit von Marketing-Automation infrage stellt. Im Verfahren zur E-Privacy gibt es auch Bestrebungen, verhaltensgestützte Werbung komplett zu verbieten. Tritt dieser Fall ein, verliert Marketing-Automation einen grossen Teil ihrer Möglichkeiten. Das klassische Modell der Marketing-Automation ist bereits jetzt nur noch über ein Opt-in möglich. Die bisherige Methode, etwa ein Whitepaper nur gegen die Angabe einer Mailadresse abzugeben, entfällt. Relevante Inhalte können aber genutzt werden, um Newsletter aufzuwerten und die Zahl der Anmeldungen zu erhöhen. Absehbar ist also, dass wegen der DSGVO die Ausrichtung auf relevante Inhalte im Content Marketing noch konsequenter erfolgen muss.

Bei dem Artikel handelt es sich um einen Gastbeitrag von Silvano Cerutti, Head of Content bei In Flagranti Communications, aus der Werbewoche 12/2018 vom 13. Juli 2018.