DSGVO-Special mit Plutte und Thaler: Much Ado About Nothing?
Rückblicke sind eigentlich am Ende des Jahres üblich. Wir stürzen uns im Hochsommer drauf, denn im Mai 2018 hat sich die Zeitrechnung geändert: v.DSGVO-Start und n.DSGVO-Start. Zeit zum Durchatmen – denn der große Knall blieb aus! An Tag 50 nach Inkrafttreten der Datenschutzgrundverordnung ziehen die Social Marketing Nerds Bilanz mit den Power-Juristen Niklas Plutte und Thomas Thaler.
Auf dem FB Ads Camp 2018 haben die beiden noch in die Glaskugel geschaut und versucht, die Konferenzbesucher mit Tipps vorzubereiten. Jetzt blicken sie auf die anfängliche DSGVO-Zeit zurück:
No Drama, but…
Die erste Einschätzung von Niklas lässt erst einmal aufatmen: Die große Abmahnwelle blieb aus – ein Rohrkrepierer war die DSGVO aber deshalb nicht. Auch wenn das große Drama nicht stattgefunden hat, können die ersten Nachfragen von Behörden jederzeit kommen. Deshalb: Es bleibt wichtig, die DSGVO nicht unter den Teppich zu kehren. (Ab Min. 00:04:30)
Vokabel-Spicker und DSGVO-Quick-Learnings:
Um hier auch einige Begriffe zu klären, um im DSGVO-Smalltalk beim nächsten Marketing Stammtisch als Klugscheißer dastehen zu können:
“Personenbezogene Daten” bedeutet: ok, fast alles. IP-Adressen, Namen, E-Mail, etc.
Artikel 4 der DSGVO erklärt mehr: https://dsgvo-gesetz.de/art-4-dsgvo/
Sensible Daten wie Krankenakten sind nochmal eine andere Schublade!
Begriffe Erhebung / Verarbeitung: Der Begriff “Erhebung” wurde gestrichen. Jetzt wird alles verarbeitet. https://dsgvo-gesetz.de/art-6-dsgvo/
Wichtig sind die drei Gründe, nach denen die Daten verarbeitet werden dürfen:
- Man hat die Berechtigung aus einem Vertragsverhältnis
- Man hat die Einwilligung (Darf ich mit deinen Daten XY machen)
- Man hat das berechtigtes Interesse (ein Erlaubnistatbestand)
Übrigens: Doppelt gemoppelt hilft nicht immer! Wenn ein Speicherungsgrund per Gesetz besteht, besser nicht noch einmal nach der Einwilligung fragen. (Ab Min. 00:07:18)
Das Ende der E-Mail-Adressen-Custom-Audiences-Ära
Was ist jetzt aber, wenn die E-Mail-Adresse auf Facebook hochgeladen wird, um beispielsweise Retargeting zu betreiben?
Kurz: Illegal!
Lang: Theoretisch könnte die Einwilligung des Kunden erfolgen. Berechtigte Interessen, E-Mail-Adressen bei der Datenkrake Facebook hochzuladen, würden von Gerichten nicht gewillt werden.
Die Situation “Wo kein Kläger, da kein Richter” hat sich dramatisch geändert, da jeder User nachverfolgen kann, ob die eigene E-Mail-Adresse hochgeladen wurde.
Sind Agenturen mit im Abmahn-boot, wenn ein Kunde eine Liste schickt? Niklas und Tom sehen beide definitiv in einem Boot sitzen!
(Ab Min. 00:23:44)
Facebook Pixel Blackbox
Der Datenverantwortliche trifft die Entscheidung und da Facebook den Pixel nicht von alleine einbaut, ist der Datenverantwortliche die Agentur etc.
Die einzige konforme Lösung momentan ist es, dass die Einwilligung des Nutzers eingeholt wird, bevor der Pixel feuert.
(Ab Min. 00:32:00)
Jetzt mal Tacheles: Was kann konkret passieren?
Nach deutschem Recht kannst du eine Abmahnung bekommen, also ein außergerichtliches Schreiben, dass vor der Einleitung eines Klageverfahrens an einen Gegner geschickt wird, sodass er die Möglichkeit der Korrektur bekommt.
Was das kostet? Im Bereich der 1.000 Euro schätzt Niklas. Und wahrscheinlich noch eine Unterlassungserklärung.
Ein Bußgeldbescheid ist davon losgelöst, denn das ist der öffentliche Bereich. Die Behörden können ein Bußgeld verhängen, wenn gegen die DSGVO Richtlinien verstoßen wird – und das kann deutlich höher ausfallen.
Die Bußgelder werden auf kurz oder lang kommen – allerdings muss da auch die Zeit eingerechnet werden, die eine Behörde zum Verarbeiten braucht…
(Ab Min. 00:46:50)
Die wichtigsten Schritte als Facebook Werbetreibender sind:
- Bestandsanalyse: Wie sieht es aus?
- Eigene Datenschutzerklärung
- Opt Out und Einwilligungen (auch die Texte) überprüfen
- Auftragsdatenverarbeitungsverträge
- Verarbeitungsverzeichnis
- Datenschutzbeauftrager: Muss einer bestellt werden?
- Risiko-Nutzen-Abschätzung: Steht der Grenzbereich geschäftlich in Relation zum Risiko?
(Ab Min. 00:57:17)
Hilfe-Tools gibt es einige. Mit dem Tool Avalex von Niklas Plutte kann die eigene Webseite kostenlos scannen. Wer Lust hat, Kunde zu werden, bekommt ein Plugin, sodass die Datenschutzerklärung automatisch aktuell gehalten wird.
Avalex: https://avalex.de/
Als Tool für die Einwilligung der Cookies empfiehlt Tom Trust Arc: https://www.trustarc.com/products/consent-manager/
Kontakt:
Niklas Plutte:
Kanzlei Plutte: https://www.ra-plutte.de/
Avalex: https://avalex.de/
Thaler Tom:
https://www.facebook.com/thalertom
Artikel 4 der DSGVO zu personenbezogene Daten: https://dsgvo-gesetz.de/art-4-dsgvo/
Rechtmäßigkeit der Verarbeitung: https://dsgvo-gesetz.de/art-6-dsgvo/