Datenspeicherung und Cookies: Was sagt die DSGVO?
Nach der DSGVO gibt die Werbe-Einwilligung des Betroffenen leider keinen Freifahrtschein für das unbegrenzte Sammeln und Speichern der Daten zu einem Lead. Auch wenn als rechtliche Grundlage für die Datenverarbeitung die Einwilligung eingeholt wurde, sind trotzdem die Datenschutzgrundsätze nach Art. 5 DSGVO zu beachten. Auch der Verstoß gegen einen Datenschutzgrundsatz kann allein schon zu einem Bußgeld führen (Art. 83 Abs. 5 a DSGVO). Praktisch relevant im Bereich Lead-Generierung und Marketing-Automation sind in diesem Zusammenhang vor allem diese Grundsätze:
• Datenminimierung: Die Datenverarbeitung muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das bedeutet, dass die Profil-Daten, die für die Lead-Generierung auf den einzelnen Stufen der für einen speziellen Zweck eingerichteten Nurture-Strecke abgefragt werden, tatsächlich benötigt werden müssen.
• Speicherbegrenzung: Die Daten dürfen nur solange gespeichert werden, wie dies zur Erreichung des Marketing-Zwecks erforderlich ist. Es muss daher in einem Prüf- und Löschkonzept von vorherein festgelegt werden, wann welche Daten ggf. nicht mehr benötigt und gelöscht werden können.
Für Cookies gilt aktuell EU-Richtlinie 2009/136/EG zur Änderung u. a. der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 25. November 2009 (Cookie-RiLi). Diese wurde allerdings in Deutschland nicht in nationales Recht umgesetzt, da man der Auffassung war, dass der bereits bestehende § 15 Abs. 3 TMG alles enthält, was die Cookie-RiLi erfordert, nämlich eine Opt-Out-Lösung.
Die DSGVO selbst enthält keine Sonderregelungen für den Einsatz von Cookies. Allerdings soll die Cookie-RiLi insoweit durch die geplante E-Privacy-VO abgelöst werden, die die DSGVO insoweit ergänzen soll und die die speziellere Regelung darstellt.
Die E-Privacy-VO liegt erst im Entwurf vor, sodass derzeit noch nicht mit aller Rechtssicherheit gesagt werden kann, in welcher Fassung sie am Ende beschlossen wird und wie Cookies im E-Mail-Marketing zukünftig zu behandeln sind. Es sind also momentan zwei Szenarien denkbar:
- Die E-Privacy-VO tritt nicht rechtzeitig in Kraft:
Dann richtet sich die Zulässigkeit von personalisiertem Tracking ab dem 25.05.2018 erst einmal nur nach der DSGVO. Danach kommt als Rechtsgrundlage grundsätzlich entweder
• eine zusätzliche Einwilligung des Betroffenen für das Tracking
• oder das berechtigte Interesse des Werbetreibenden
in Betracht. Allerdings steht das berechtigte Interesse dabei eher auf „wackeligen Füßen“, denn es ist unklar, ob ein berechtigtes Interesse des Werbetreibenden für das Tracking tatsächlich ausreichend ist. Ein Argument dafür wäre zwar, dass es sich bei den Werbeinteressen der Onlinebranche um „berechtigte Interessen“ im Sinne der DSGVO handeln kann, wie Erwägungsgrund 47 zeigt. Dieser stellt ausdrücklich klar, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann.
Allerdings zeigt die E-Privacy-VO ganz deutlich, dass die EU eine Einwilligungslösung hinsichtlich der Cookies will und nur in wenigen Ausnahmefällen Cookies ohne Einwilligung zulassen wird. Tritt die E-Privacy-VO nicht rechtzeitig in Kraft, muss für das Einsetzen von Cookies usw. also eine Einwilligung eingeholt werden (z. B. über die bereits bekannten Cookie-Banner oder über die Einwilligung in Online-Formularen).
- Die E-Privacy-VO tritt rechtzeitig in Kraft:
Nach der E-Privacy-VO in der aktuell vorliegenden Entwurfsversion ist jede Überwachung der elektronischen Kommunikation grundsätzlich verboten, es sei denn, sie ist über eine Ausnahmeregelung erlaubt. Art. 8 E-Privacy-VO regelt dazu für den Einsatz von Cookies, Webbeacons usw., dass ihr Einsatz erlaubt ist,
• wenn sie „für die Messung des Webpublikums nötig“ ist,
• sofern der Betreiber des Dienstes die Messung selbst durchführt (First-Party-Cookies).
Zunächst ist momentan vollkommen offen, ob auch Tracking im Lead-Management innerhalb einer Nurture-Strecke unter die Ausnahme „Messung des Webpublikums“ fallen kann. Vom Wortlaut her ist damit eher die Messung des Nutzerverhaltens auf einer Webseite gemeint. Die zweite Voraussetzung ist insbesondere bei der Nutzung von Cloud-Diensten im E-Mail-Marketing nicht gegeben, auch wenn die Messung letztlich nur im Rahmen einer Auftragsverarbeitung erfolgt (Third-Party-Cookies).
Auch bei diesem Szenario müsste daher wahrscheinlich tatsächlich jeweils die Einwilligung des Betroffenen eingeholt werden.
Das Einholen der Einwilligung soll nach Art. 9 E-Privacy-VO zwar über „technisch mögliche und effektive“ Browser-Einstellungen möglich sein, allerdings ist noch vollkommen offen, wie diese auszusehen haben und wie sich insbesondere der Grundsatz des Privacy by Designs nach Art. 25 DSGVO darauf auswirkt.
Der Entwurf der E-Privacy-VO ist stark umstritten und es bleibt abzuwarten, ob hier noch nachgebessert wird.
• Datenminimierung: Die Datenverarbeitung muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das bedeutet, dass die Profil-Daten, die für die Lead-Generierung auf den einzelnen Stufen der für einen speziellen Zweck eingerichteten Nurture-Strecke abgefragt werden, tatsächlich benötigt werden müssen.
• Speicherbegrenzung: Die Daten dürfen nur solange gespeichert werden, wie dies zur Erreichung des Marketing-Zwecks erforderlich ist. Es muss daher in einem Prüf- und Löschkonzept von vorherein festgelegt werden, wann welche Daten ggf. nicht mehr benötigt und gelöscht werden können.
Wie geht das zukünftig mit dem personalisierten Tracking mit Zähl-Pixeln, Cookies & Co?
Für Cookies gilt aktuell EU-Richtlinie 2009/136/EG zur Änderung u. a. der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 25. November 2009 (Cookie-RiLi). Diese wurde allerdings in Deutschland nicht in nationales Recht umgesetzt, da man der Auffassung war, dass der bereits bestehende § 15 Abs. 3 TMG alles enthält, was die Cookie-RiLi erfordert, nämlich eine Opt-Out-Lösung.
Die DSGVO selbst enthält keine Sonderregelungen für den Einsatz von Cookies. Allerdings soll die Cookie-RiLi insoweit durch die geplante E-Privacy-VO abgelöst werden, die die DSGVO insoweit ergänzen soll und die die speziellere Regelung darstellt.
Die E-Privacy-VO liegt erst im Entwurf vor, sodass derzeit noch nicht mit aller Rechtssicherheit gesagt werden kann, in welcher Fassung sie am Ende beschlossen wird und wie Cookies im E-Mail-Marketing zukünftig zu behandeln sind. Es sind also momentan zwei Szenarien denkbar:
- Die E-Privacy-VO tritt nicht rechtzeitig in Kraft:
Dann richtet sich die Zulässigkeit von personalisiertem Tracking ab dem 25.05.2018 erst einmal nur nach der DSGVO. Danach kommt als Rechtsgrundlage grundsätzlich entweder
• eine zusätzliche Einwilligung des Betroffenen für das Tracking
• oder das berechtigte Interesse des Werbetreibenden
in Betracht. Allerdings steht das berechtigte Interesse dabei eher auf „wackeligen Füßen“, denn es ist unklar, ob ein berechtigtes Interesse des Werbetreibenden für das Tracking tatsächlich ausreichend ist. Ein Argument dafür wäre zwar, dass es sich bei den Werbeinteressen der Onlinebranche um „berechtigte Interessen“ im Sinne der DSGVO handeln kann, wie Erwägungsgrund 47 zeigt. Dieser stellt ausdrücklich klar, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann.
Allerdings zeigt die E-Privacy-VO ganz deutlich, dass die EU eine Einwilligungslösung hinsichtlich der Cookies will und nur in wenigen Ausnahmefällen Cookies ohne Einwilligung zulassen wird. Tritt die E-Privacy-VO nicht rechtzeitig in Kraft, muss für das Einsetzen von Cookies usw. also eine Einwilligung eingeholt werden (z. B. über die bereits bekannten Cookie-Banner oder über die Einwilligung in Online-Formularen).
- Die E-Privacy-VO tritt rechtzeitig in Kraft:
Nach der E-Privacy-VO in der aktuell vorliegenden Entwurfsversion ist jede Überwachung der elektronischen Kommunikation grundsätzlich verboten, es sei denn, sie ist über eine Ausnahmeregelung erlaubt. Art. 8 E-Privacy-VO regelt dazu für den Einsatz von Cookies, Webbeacons usw., dass ihr Einsatz erlaubt ist,
• wenn sie „für die Messung des Webpublikums nötig“ ist,
• sofern der Betreiber des Dienstes die Messung selbst durchführt (First-Party-Cookies).
Zunächst ist momentan vollkommen offen, ob auch Tracking im Lead-Management innerhalb einer Nurture-Strecke unter die Ausnahme „Messung des Webpublikums“ fallen kann. Vom Wortlaut her ist damit eher die Messung des Nutzerverhaltens auf einer Webseite gemeint. Die zweite Voraussetzung ist insbesondere bei der Nutzung von Cloud-Diensten im E-Mail-Marketing nicht gegeben, auch wenn die Messung letztlich nur im Rahmen einer Auftragsverarbeitung erfolgt (Third-Party-Cookies).
Auch bei diesem Szenario müsste daher wahrscheinlich tatsächlich jeweils die Einwilligung des Betroffenen eingeholt werden.
Das Einholen der Einwilligung soll nach Art. 9 E-Privacy-VO zwar über „technisch mögliche und effektive“ Browser-Einstellungen möglich sein, allerdings ist noch vollkommen offen, wie diese auszusehen haben und wie sich insbesondere der Grundsatz des Privacy by Designs nach Art. 25 DSGVO darauf auswirkt.
Der Entwurf der E-Privacy-VO ist stark umstritten und es bleibt abzuwarten, ob hier noch nachgebessert wird.