DSGVO-Special mit Plutte und Thaler: Much Ado About Nothing?

 

R√ľckblicke sind eigentlich am Ende des Jahres √ľblich. Wir st√ľrzen uns im Hochsommer drauf, denn im Mai 2018 hat sich die Zeitrechnung ge√§ndert: v.DSGVO-Start und n.DSGVO-Start. Zeit zum Durchatmen – denn der gro√üe Knall blieb aus! An Tag 50 nach Inkrafttreten der Datenschutzgrundverordnung ziehen die Social Marketing Nerds Bilanz mit den Power-Juristen Niklas Plutte und Thomas Thaler.

Auf dem FB Ads Camp 2018 haben die beiden noch in die Glaskugel geschaut und versucht, die Konferenzbesucher mit Tipps vorzubereiten. Jetzt blicken sie auf die anf√§ngliche DSGVO-Zeit zur√ľck:

 

 

No Drama, but…

Die erste Einschätzung von Niklas lässt erst einmal aufatmen: Die große Abmahnwelle blieb aus Рein Rohrkrepierer war die DSGVO aber deshalb nicht. Auch wenn das große Drama nicht stattgefunden hat, können die ersten Nachfragen von Behörden jederzeit kommen. Deshalb: Es bleibt wichtig, die DSGVO nicht unter den Teppich zu kehren. (Ab Min. 00:04:30)

 

Vokabel-Spicker und DSGVO-Quick-Learnings:

Um hier auch einige Begriffe zu klären, um im DSGVO-Smalltalk beim nächsten Marketing Stammtisch als Klugscheißer dastehen zu können:

 

‚ÄúPersonenbezogene Daten‚ÄĚ bedeutet: ok, fast alles. IP-Adressen, Namen, E-Mail, etc.

Artikel 4 der DSGVO erklärt mehr: https://dsgvo-gesetz.de/art-4-dsgvo/

Sensible Daten wie Krankenakten sind nochmal eine andere Schublade!

 

Begriffe Erhebung / Verarbeitung: Der Begriff ‚ÄúErhebung‚ÄĚ wurde gestrichen. Jetzt wird alles verarbeitet. https://dsgvo-gesetz.de/art-6-dsgvo/

 

Wichtig sind die drei Gr√ľnde, nach denen die Daten verarbeitet werden d√ľrfen:

  • Man hat die Berechtigung aus einem Vertragsverh√§ltnis
  • Man hat die Einwilligung (Darf ich mit deinen Daten XY machen)
  • Man hat das berechtigtes Interesse (ein Erlaubnistatbestand)

 

√úbrigens: Doppelt gemoppelt hilft nicht immer! Wenn ein Speicherungsgrund per Gesetz besteht, besser nicht noch einmal nach der Einwilligung fragen. (Ab Min. 00:07:18)

 

Das Ende der E-Mail-Adressen-Custom-Audiences-√Ąra

Was ist jetzt aber, wenn die E-Mail-Adresse auf Facebook hochgeladen wird, um beispielsweise Retargeting zu betreiben?

Kurz: Illegal!

Lang: Theoretisch k√∂nnte die Einwilligung des Kunden erfolgen. Berechtigte Interessen, E-Mail-Adressen bei der Datenkrake Facebook hochzuladen, w√ľrden von Gerichten nicht gewillt werden.

 

Die Situation ‚ÄúWo kein Kl√§ger, da kein Richter‚ÄĚ hat sich dramatisch ge√§ndert, da jeder User nachverfolgen kann, ob die eigene E-Mail-Adresse hochgeladen wurde.

 

Sind Agenturen mit im Abmahn-boot, wenn ein Kunde eine Liste schickt? Niklas und Tom sehen beide definitiv in einem Boot sitzen!

(Ab Min. 00:23:44)

 

Facebook Pixel Blackbox

Der Datenverantwortliche trifft die Entscheidung und da Facebook den Pixel nicht von alleine einbaut, ist der Datenverantwortliche die Agentur etc.

Die einzige konforme Lösung momentan ist es, dass die Einwilligung des Nutzers eingeholt wird, bevor der Pixel feuert.

(Ab Min. 00:32:00)

 

Jetzt mal Tacheles: Was kann konkret passieren?

Nach deutschem Recht kannst du eine Abmahnung bekommen, also ein außergerichtliches Schreiben, dass vor der Einleitung eines Klageverfahrens an einen Gegner geschickt wird, sodass er die Möglichkeit der Korrektur bekommt.

Was das kostet? Im Bereich der 1.000 Euro schätzt Niklas. Und wahrscheinlich noch eine Unterlassungserklärung.

Ein Bußgeldbescheid ist davon losgelöst, denn das ist der öffentliche Bereich. Die Behörden können ein Bußgeld verhängen, wenn gegen die DSGVO Richtlinien verstoßen wird Рund das kann deutlich höher ausfallen.

Die Bußgelder werden auf kurz oder lang kommen Рallerdings muss da auch die Zeit eingerechnet werden, die eine Behörde zum Verarbeiten braucht…

(Ab Min. 00:46:50)

 

Die wichtigsten Schritte als Facebook Werbetreibender sind:

  • Bestandsanalyse: Wie sieht es aus?
  • Eigene Datenschutzerkl√§rung
  • Opt Out und Einwilligungen (auch die Texte) √ľberpr√ľfen
  • Auftragsdatenverarbeitungsvertr√§ge
  • Verarbeitungsverzeichnis
  • Datenschutzbeauftrager: Muss einer bestellt werden?
  • Risiko-Nutzen-Absch√§tzung: Steht der Grenzbereich gesch√§ftlich in Relation zum Risiko?

(Ab Min. 00:57:17)

 

Hilfe-Tools gibt es einige. Mit dem Tool Avalex von Niklas Plutte kann die eigene Webseite kostenlos scannen. Wer Lust hat, Kunde zu werden, bekommt ein Plugin, sodass die Datenschutzerklärung automatisch aktuell gehalten wird.

 

Avalex: https://avalex.de/

 

Als Tool f√ľr die Einwilligung der Cookies empfiehlt Tom Trust Arc: https://www.trustarc.com/products/consent-manager/ ¬†

 

Kontakt:

 

Niklas Plutte:

Kanzlei Plutte: https://www.ra-plutte.de/

Avalex: https://avalex.de/

 

Thaler Tom:

https://www.facebook.com/thalertom

 

Artikel 4 der DSGVO zu personenbezogene Daten: https://dsgvo-gesetz.de/art-4-dsgvo/

Rechtmäßigkeit der Verarbeitung: https://dsgvo-gesetz.de/art-6-dsgvo/