DSGVO-Special mit Plutte und Thaler: Much Ado About Nothing?
RĂŒckblicke sind eigentlich am Ende des Jahres ĂŒblich. Wir stĂŒrzen uns im Hochsommer drauf, denn im Mai 2018 hat sich die Zeitrechnung geĂ€ndert: v.DSGVO-Start und n.DSGVO-Start. Zeit zum Durchatmen – denn der groĂe Knall blieb aus! An Tag 50 nach Inkrafttreten der Datenschutzgrundverordnung ziehen die Social Marketing Nerds Bilanz mit den Power-Juristen Niklas Plutte und Thomas Thaler.
Auf dem FB Ads Camp 2018 haben die beiden noch in die Glaskugel geschaut und versucht, die Konferenzbesucher mit Tipps vorzubereiten. Jetzt blicken sie auf die anfĂ€ngliche DSGVO-Zeit zurĂŒck:
No Drama, butâŠ
Die erste EinschĂ€tzung von Niklas lĂ€sst erst einmal aufatmen: Die groĂe Abmahnwelle blieb aus – ein Rohrkrepierer war die DSGVO aber deshalb nicht. Auch wenn das groĂe Drama nicht stattgefunden hat, können die ersten Nachfragen von Behörden jederzeit kommen. Deshalb: Es bleibt wichtig, die DSGVO nicht unter den Teppich zu kehren. (Ab Min. 00:04:30)
Vokabel-Spicker und DSGVO-Quick-Learnings:
Um hier auch einige Begriffe zu klĂ€ren, um im DSGVO-Smalltalk beim nĂ€chsten Marketing Stammtisch als KlugscheiĂer dastehen zu können:
âPersonenbezogene Datenâ bedeutet: ok, fast alles. IP-Adressen, Namen, E-Mail, etc.
Artikel 4 der DSGVO erklÀrt mehr: https://dsgvo-gesetz.de/art-4-dsgvo/
Sensible Daten wie Krankenakten sind nochmal eine andere Schublade!
Begriffe Erhebung / Verarbeitung: Der Begriff âErhebungâ wurde gestrichen. Jetzt wird alles verarbeitet. https://dsgvo-gesetz.de/art-6-dsgvo/
Wichtig sind die drei GrĂŒnde, nach denen die Daten verarbeitet werden dĂŒrfen:
- Man hat die Berechtigung aus einem VertragsverhÀltnis
- Man hat die Einwilligung (Darf ich mit deinen Daten XY machen)
- Man hat das berechtigtes Interesse (ein Erlaubnistatbestand)
Ăbrigens: Doppelt gemoppelt hilft nicht immer! Wenn ein Speicherungsgrund per Gesetz besteht, besser nicht noch einmal nach der Einwilligung fragen. (Ab Min. 00:07:18)
Das Ende der E-Mail-Adressen-Custom-Audiences-Ăra
Was ist jetzt aber, wenn die E-Mail-Adresse auf Facebook hochgeladen wird, um beispielsweise Retargeting zu betreiben?
Kurz: Illegal!
Lang: Theoretisch könnte die Einwilligung des Kunden erfolgen. Berechtigte Interessen, E-Mail-Adressen bei der Datenkrake Facebook hochzuladen, wĂŒrden von Gerichten nicht gewillt werden.
Die Situation âWo kein KlĂ€ger, da kein Richterâ hat sich dramatisch geĂ€ndert, da jeder User nachverfolgen kann, ob die eigene E-Mail-Adresse hochgeladen wurde.
Sind Agenturen mit im Abmahn-boot, wenn ein Kunde eine Liste schickt? Niklas und Tom sehen beide definitiv in einem Boot sitzen!
(Ab Min. 00:23:44)
Facebook Pixel Blackbox
Der Datenverantwortliche trifft die Entscheidung und da Facebook den Pixel nicht von alleine einbaut, ist der Datenverantwortliche die Agentur etc.
Die einzige konforme Lösung momentan ist es, dass die Einwilligung des Nutzers eingeholt wird, bevor der Pixel feuert.
(Ab Min. 00:32:00)
Jetzt mal Tacheles: Was kann konkret passieren?
Nach deutschem Recht kannst du eine Abmahnung bekommen, also ein auĂergerichtliches Schreiben, dass vor der Einleitung eines Klageverfahrens an einen Gegner geschickt wird, sodass er die Möglichkeit der Korrektur bekommt.
Was das kostet? Im Bereich der 1.000 Euro schÀtzt Niklas. Und wahrscheinlich noch eine UnterlassungserklÀrung.
Ein BuĂgeldbescheid ist davon losgelöst, denn das ist der öffentliche Bereich. Die Behörden können ein BuĂgeld verhĂ€ngen, wenn gegen die DSGVO Richtlinien verstoĂen wird – und das kann deutlich höher ausfallen.
Die BuĂgelder werden auf kurz oder lang kommen – allerdings muss da auch die Zeit eingerechnet werden, die eine Behörde zum Verarbeiten brauchtâŠ
(Ab Min. 00:46:50)
Die wichtigsten Schritte als Facebook Werbetreibender sind:
- Bestandsanalyse: Wie sieht es aus?
- Eigene DatenschutzerklÀrung
- Opt Out und Einwilligungen (auch die Texte) ĂŒberprĂŒfen
- AuftragsdatenverarbeitungsvertrÀge
- Verarbeitungsverzeichnis
- Datenschutzbeauftrager: Muss einer bestellt werden?
- Risiko-Nutzen-AbschÀtzung: Steht der Grenzbereich geschÀftlich in Relation zum Risiko?
(Ab Min. 00:57:17)
Hilfe-Tools gibt es einige. Mit dem Tool Avalex von Niklas Plutte kann die eigene Webseite kostenlos scannen. Wer Lust hat, Kunde zu werden, bekommt ein Plugin, sodass die DatenschutzerklÀrung automatisch aktuell gehalten wird.
Avalex: https://avalex.de/
Als Tool fĂŒr die Einwilligung der Cookies empfiehlt Tom Trust Arc: https://www.trustarc.com/products/consent-manager/ Â
Kontakt:
Niklas Plutte:
Kanzlei Plutte: https://www.ra-plutte.de/
Avalex: https://avalex.de/
Thaler Tom:
https://www.facebook.com/thalertom
Artikel 4 der DSGVO zu personenbezogene Daten: https://dsgvo-gesetz.de/art-4-dsgvo/
RechtmĂ€Ăigkeit der Verarbeitung: https://dsgvo-gesetz.de/art-6-dsgvo/ Â