DSGVO-Special mit Plutte und Thaler: Much Ado About Nothing?

 

RĂŒckblicke sind eigentlich am Ende des Jahres ĂŒblich. Wir stĂŒrzen uns im Hochsommer drauf, denn im Mai 2018 hat sich die Zeitrechnung geĂ€ndert: v.DSGVO-Start und n.DSGVO-Start. Zeit zum Durchatmen – denn der große Knall blieb aus! An Tag 50 nach Inkrafttreten der Datenschutzgrundverordnung ziehen die Social Marketing Nerds Bilanz mit den Power-Juristen Niklas Plutte und Thomas Thaler.

Auf dem FB Ads Camp 2018 haben die beiden noch in die Glaskugel geschaut und versucht, die Konferenzbesucher mit Tipps vorzubereiten. Jetzt blicken sie auf die anfĂ€ngliche DSGVO-Zeit zurĂŒck:

 

 

No Drama, but


Die erste EinschĂ€tzung von Niklas lĂ€sst erst einmal aufatmen: Die große Abmahnwelle blieb aus – ein Rohrkrepierer war die DSGVO aber deshalb nicht. Auch wenn das große Drama nicht stattgefunden hat, können die ersten Nachfragen von Behörden jederzeit kommen. Deshalb: Es bleibt wichtig, die DSGVO nicht unter den Teppich zu kehren. (Ab Min. 00:04:30)

 

Vokabel-Spicker und DSGVO-Quick-Learnings:

Um hier auch einige Begriffe zu klĂ€ren, um im DSGVO-Smalltalk beim nĂ€chsten Marketing Stammtisch als Klugscheißer dastehen zu können:

 

“Personenbezogene Daten” bedeutet: ok, fast alles. IP-Adressen, Namen, E-Mail, etc.

Artikel 4 der DSGVO erklÀrt mehr: https://dsgvo-gesetz.de/art-4-dsgvo/

Sensible Daten wie Krankenakten sind nochmal eine andere Schublade!

 

Begriffe Erhebung / Verarbeitung: Der Begriff “Erhebung” wurde gestrichen. Jetzt wird alles verarbeitet. https://dsgvo-gesetz.de/art-6-dsgvo/

 

Wichtig sind die drei GrĂŒnde, nach denen die Daten verarbeitet werden dĂŒrfen:

  • Man hat die Berechtigung aus einem VertragsverhĂ€ltnis
  • Man hat die Einwilligung (Darf ich mit deinen Daten XY machen)
  • Man hat das berechtigtes Interesse (ein Erlaubnistatbestand)

 

Übrigens: Doppelt gemoppelt hilft nicht immer! Wenn ein Speicherungsgrund per Gesetz besteht, besser nicht noch einmal nach der Einwilligung fragen. (Ab Min. 00:07:18)

 

Das Ende der E-Mail-Adressen-Custom-Audiences-Ära

Was ist jetzt aber, wenn die E-Mail-Adresse auf Facebook hochgeladen wird, um beispielsweise Retargeting zu betreiben?

Kurz: Illegal!

Lang: Theoretisch könnte die Einwilligung des Kunden erfolgen. Berechtigte Interessen, E-Mail-Adressen bei der Datenkrake Facebook hochzuladen, wĂŒrden von Gerichten nicht gewillt werden.

 

Die Situation “Wo kein KlĂ€ger, da kein Richter” hat sich dramatisch geĂ€ndert, da jeder User nachverfolgen kann, ob die eigene E-Mail-Adresse hochgeladen wurde.

 

Sind Agenturen mit im Abmahn-boot, wenn ein Kunde eine Liste schickt? Niklas und Tom sehen beide definitiv in einem Boot sitzen!

(Ab Min. 00:23:44)

 

Facebook Pixel Blackbox

Der Datenverantwortliche trifft die Entscheidung und da Facebook den Pixel nicht von alleine einbaut, ist der Datenverantwortliche die Agentur etc.

Die einzige konforme Lösung momentan ist es, dass die Einwilligung des Nutzers eingeholt wird, bevor der Pixel feuert.

(Ab Min. 00:32:00)

 

Jetzt mal Tacheles: Was kann konkret passieren?

Nach deutschem Recht kannst du eine Abmahnung bekommen, also ein außergerichtliches Schreiben, dass vor der Einleitung eines Klageverfahrens an einen Gegner geschickt wird, sodass er die Möglichkeit der Korrektur bekommt.

Was das kostet? Im Bereich der 1.000 Euro schÀtzt Niklas. Und wahrscheinlich noch eine UnterlassungserklÀrung.

Ein Bußgeldbescheid ist davon losgelöst, denn das ist der öffentliche Bereich. Die Behörden können ein Bußgeld verhĂ€ngen, wenn gegen die DSGVO Richtlinien verstoßen wird – und das kann deutlich höher ausfallen.

Die Bußgelder werden auf kurz oder lang kommen – allerdings muss da auch die Zeit eingerechnet werden, die eine Behörde zum Verarbeiten braucht


(Ab Min. 00:46:50)

 

Die wichtigsten Schritte als Facebook Werbetreibender sind:

  • Bestandsanalyse: Wie sieht es aus?
  • Eigene DatenschutzerklĂ€rung
  • Opt Out und Einwilligungen (auch die Texte) ĂŒberprĂŒfen
  • AuftragsdatenverarbeitungsvertrĂ€ge
  • Verarbeitungsverzeichnis
  • Datenschutzbeauftrager: Muss einer bestellt werden?
  • Risiko-Nutzen-AbschĂ€tzung: Steht der Grenzbereich geschĂ€ftlich in Relation zum Risiko?

(Ab Min. 00:57:17)

 

Hilfe-Tools gibt es einige. Mit dem Tool Avalex von Niklas Plutte kann die eigene Webseite kostenlos scannen. Wer Lust hat, Kunde zu werden, bekommt ein Plugin, sodass die DatenschutzerklÀrung automatisch aktuell gehalten wird.

 

Avalex: https://avalex.de/

 

Als Tool fĂŒr die Einwilligung der Cookies empfiehlt Tom Trust Arc: https://www.trustarc.com/products/consent-manager/  

 

Kontakt:

 

Niklas Plutte:

Kanzlei Plutte: https://www.ra-plutte.de/

Avalex: https://avalex.de/

 

Thaler Tom:

https://www.facebook.com/thalertom

 

Artikel 4 der DSGVO zu personenbezogene Daten: https://dsgvo-gesetz.de/art-4-dsgvo/

RechtmĂ€ĂŸigkeit der Verarbeitung: https://dsgvo-gesetz.de/art-6-dsgvo/ Â