DSGVO und SEA

In wenigen Wochen tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Ab dem 25. Mai haben Internetnutzer in der EU mehr Macht über ihre Daten. Aber was bedeutet das eigentlich für Werbung im Internet? Schließlich arbeiten wir jeden Tag mit sensiblen Kundeninformationen – oder? Sind AdWords-Werbeanzeigen von der Datenschutzrichtlinie betroffen? Wie DSGVO und SEA zusammenhängen und was Du jetzt tun musst, um Dein Online-Marketing rechtssicher zu machen, erklären wir Dir im Blog. 

Kleiner Disclaimer: Wir beschäftigen uns als Online-Marketing-Agentur natürlich damit, dass alle rechtlichen Rahmenbedingungen erfüllt sind. Das gilt auch für die neue DSGVO. Unsere Kunden müssen keine Sorge haben, dass sie unabsichtlich gegen diese Richtlinien verstoßen. Wir haben ebenfalls unser Bestes getan, um diesen Blogpost so informativ und korrekt wie möglich zu gestalten. Dennoch ersetzt die Lektüre keinen Besuch beim Anwalt oder bei einem spezialisierten Dienstleister für Datenschutz-Fragen. Wenn Du also wissen willst, ob Deine Seite fit für die DSGVO ist, sprichst Du idealerweise noch einmal mit einem Experten.

Consent ist sexy – das gilt im Schlafzimmer und auf Deiner Webseite

Grundpfeiler des DSGVO ist das Selbstbestimmungsrecht über die eigenen Daten. Jeder Internetnutzer soll die Möglichkeit haben, über die Nutzung seiner persönlichen Daten zu bestimmen, den Datenfluss zu kontrollieren und sich über ihren Einsatz zu informieren. Das Zauberwort heißt Consent: Unternehmen dürfen personenbezogene Daten nur nach Zustimmung der betroffenen verwenden, auswerten und analysieren. Zudem müssen sie dabei sehr vorsichtig und sparsam mit ihren Informationen umgehen. Personenbezogene Daten haben viele Gesichter:

  • Name, Anschrift und Sozialversicherungsnummer
  • Demographische Angaben wie Alter, Geschlecht, Einkommen oder sexuelle Orientierung
  • Verhaltensdaten wie vergangene Suchanfragen, Einkaufshistorie, Browserverlauf
  • IP-Adressen und Standortdaten
  • E-Mails, Fotos, Videos, Blogs oder Kommentare
  • Daten, die mit Tracking-Cookies von Tools wie Google Analytics oder Searchmetrics entstehen

Kurzum: Alles, was eine Person im Internet eindeutig identifiziert, unterliegt einem besonderen Schutz und darf nur mit Einwilligung weiterbenutzt werden. Jeder Nutzer hat ein Recht auf transparente Information, Auskunft und Löschung. So viel zu den Basics.

Aber was hat die DSGVO mit Online-Marketing zu tun? Der springende Punkt ist, dass Werbung im Internet auf Cookies und IP-Daten beruht. Jede Werbeanzeige mit Targeting spricht eine bestimmte Person an. Das zeigt sich vor allem dann, wenn jemand mit Remarketing wochenlang eine Anzeige für etwas bekommt, was er sich einmal im Internet angesehen hat.

Ob personalisierte Werbung, Remarketing oder AdSense-Anzeige: Werbung im Internet arbeitet immer in irgendeiner Form mit persönlichen Daten. Wie können wir also SEA weiterhin realisieren und uns gleichzeitig an die neuen Regeln und Gesetze halten?

Werbeanzeigen und Datenschutz – das musst Du jetzt beachten

Bei SEA dreht sich alles um die richtige Zielgruppe. Wer genau weiß, welche Internetnutzer Interesse an einem Produkt oder einer Dienstleistung haben, kann diese Menschen auch gezielt ansprechen. Personalisierte Werbung erhöht nachweislich die Conversionrate und verringert auf lange Sicht auch das schlechte Image von Werbung im Internet. Denn wenn sich die Werbeanzeigen an den aktuellen Wünschen orientieren, bieten sie im Idealfall einen Mehrwert: Die richtigen Informationen und Produkte zur richtigen Zeit.

Nach der Logik der DSGVO ist das allerdings ein Problem: Schließlich brauchen wir Daten, um diesen Nutzern zielgerichtet personalisierte Werbung auszuspielen. Das gilt vor allem beim Remarketing oder bei der Zusammenführung von bestehenden Kundendaten und der Webanalyse. Berechtigte Interessen bilden eine Ausnahme bei den engen Regeln zum Datenschutz – und dazu zählt auch die Eigenwerbung. Dabei gilt der Grundsatz, dass Datenschutzrechte und Werbeinteresse abgewogen werden müssen.

Fall 1: Du machst Werbung mit AdWords-Werbeanzeigen bei Google

Du bist ein kleiner Einzelkämpfer und schaltest regelmäßig Werbung über AdWords oder auf Facebook. Du nutzt gerne die Targeting-Möglichkeiten, die diese Plattformen bieten, um Deine Zielgruppe anzusprechen und auf Deine Webseite zu locken. Glücklicherweise betrifft das Gesetz zur Datenverarbeitung nur Plattformen, die Daten verarbeiten und auf denen Deine Ads erscheinen. Als Werbetreibender nutzt Du zwar Daten, aber verarbeitest sie selbst nicht und Du hast ein berechtigtes Interesse daran, Werbung zu schalten. Du musst also keine zusätzlichen Schutzmaßnahmen für die Werbeanzeigen treffen, solange Du selbst keine eigenen Daten erhebst. Das entbindet Dich allerdings nicht von der Pflicht, alle anderen Grundlagen der DSGVO zu erfüllen. Vor allem, wenn Du mit Google Analytics arbeitest, um Deinen Traffic zu analysieren, solltest Du auf die zusätzliche Anonymisierungsoption setzen und einen Datenschutzhinweis setzen.

Handlungsbedarf: Datenschutzhinweis überprüfen und überarbeiten, Google Analytics-Konto und Analyse-Code mit der IP-Anonymisierung updaten, gegebenenfalls einen Auftragsdatenverarbeitungsvertrag mit Google abschließen, alle anderen Aspekte der DSGVO beachten.

Google AdSense, Displaywerbung und der Datenschutz Deiner User

Google macht es sich einfach: Mit den neuen Nutzungsverträgen schiebt das Unternehmen die Verantwortung für die Zustimmung der Endnutzer nämlich auf alle Seiten, die im Display-Netzwerk Werbung schalten (die Publisher). Die Webseiten, die mit ihren Werbeeinblendungen Geld verdienen, müssen sich jetzt um das Einverständnis der Nutzer kümmern. Der Nutzer muss ganz klar darauf aufmerksam gemacht werden, dass er Informationen wie Alter, Interesse und Standort freiwillig für Werbezwecke offen legt. Und es muss die Möglichkeit geben, dieser Datennutzung zu widersprechen.

Das bringt Nutzern von AdSense natürlich einige Nachteile. Zum einen müssen sie sich darum kümmern, dass ihre Webseite alle neuen Regeln der DSGVO erfüllt und zum Beispiel Verträge mit allen beteiligten Unternehmen schließen (Hoster, Virensoftware für den Server, Google, Newsletterdienstleister, im härtesten Fall sogar mit dem Reinigungsunternehmen der Büroräume). Zudem geht ihnen damit ein Teil ihres Umsatzes verloren. Wer Widerspruch gegen personalisierte Werbung einlegt, bekommt bisher einfach gar keine Banner mehr angezeigt. Ab Mai will Google erstmals komplett unpersonalisierte Werbung anbieten. Diese richtet sich nach dem Inhalt der Seite, auf der sie erscheint und ist erheblich schlechter bezahlt als klassische Displaywerbung.

Google wollte Ende April oder Anfang Mai ein Tool vorstellen, dass es den Publishern einfacher macht, DSGVO-gerechte Bannerwerbung zu schalten. Bisher gab es dazu allerdings noch kein weiteres Update.

Update vom 28.04.2018

Zu früh gelästert! Google hat am 26. April seine neuen Features für Publisher vorgestellt. Zum einen bietet das Unternehmen über die Google Suite relativ bequem eine Möglichkeit, Verantwortliche im Unternehmen zu benenennen und sich über ein zentrales Portal um die Zustimmungserklärung zur Datenverarbeitung zu kümmern. Alle Nutzer von Analytics, Optimize, Tag Manager und Attribution können die Google Suite nutzen, um ein Unternehmen einzutragen.

Für AdSense gibt einen einen neuen Artikel in der Knowledge Base, der sich um die DSGVO dreht. Google weist hier deutlich darauf hin, dass die Publisher in der Pflicht stehen, sich um die Zustimmungserklärungen zu kümmern. Außerdem gibt es Links zu einem Cookie Consent Gathering Tool für Desktop und Mobile, das aktuell aber noch nicht zu funktionieren scheint. Auch AMP-Seiten bekommen ein eigenes, optimiertes Consent-Tool. Außerdem gibt es jetzt tatsächlich die Option, nicht-personalisierte Werbung zu schalten, wenn ein Nutzer alle Cookieoptionen ablehnt.

Fall 2: Du bietest auf Deiner Webseite Platz für Bannerwerbung über AdSense

Du hast eine kleine, private Webseite oder einen tollen Blog. Damit Du damit ein wenig Geld verdienst, bietest Du in der Seitenleiste Platz für Bannerwerbung über Google. Du meldest Dich bei Google AdSense an, definierst die Orte, an denen Werbung erscheinen darf und verdienst Geld mit jedem Klick auf die Anzeigen. Für jeden Besucher gibt es andere Werbung, abhängig davon, wie seine Interessen liegen und welche Werbeanzeigen Google für ihn auswählt. Ab dem 25. Mai musst Du allerdings darauf achten, dass Deine Nutzer, Fans und Leser darüber informiert werden, dass sie auf Deiner Seite personalisierte Werbung zu Gesicht bekommen – auch, wenn Du selber aktiv gar keine Daten erhebst. Die Daten Deiner User werden auf Deiner Seite gesammelt und an Google weitergeleitet. Auch Du brauchst eine ausführliche Datenschutzerklärung und musst Dich darum kümmern, dass die Nutzer jederzeit transparent über ihre Informationen entscheiden können.

Handlungsbedarf: Auftragsdatenverarbeitungsvertrag mit Google abschließen, Datenschutzhinweis überarbeiten, überprüfen, welche Nutzerdaten wirklich gesammelt werden, Einverständnis über Cookie-Nutzung einholen, Zustimmung zur Datenverarbeitung zu Werbezwecken einholen, Rechte zu Rechte über Auskunft, Rückgabe, Korrektur, Vervollständigung oder Löschung beachten, unpersonalisierte Werbebanner erlauben, alle anderen Aspekte der DSGVO beachten.

Online-Marketing und DSGVO: Auf diese Punkte solltest Du achten

  • Double-Opt-In bei Newslettern oder beim E-Mail-Marketing: Deine Leads müssen zweimal bestätigen, dass sie wirklich Nachrichten von Dir bekommen wollen. Dazu tragen sie sich mit ihrer Mailadresse bei Dir ein und bekommen dann eine E-Mail mit einem Bestätigungslink, den sie betätigen müssen. Bei vielen Anbietern wie Mailchimp ist dieses Format mit wenigen Klicks eingerichtet.
  • Du musst alle Links zu Youtube oder zu anderen sozialen Netzwerken kritisch prüfen und sie gegebenenfalls überarbeiten. Gerade Social-Media-Buttons und Facebook-Pixel können datenschutztechnisch problematisch werden. Wie Du Youtube-Videos rechtssicher auf Deiner Seite einbindest, erfährst Du hier.
  • Achte darauf, dass Du Google Analytics die IP-Adressen Deiner Besucher pseudonymisierst übermittelst. Dafür musst Du den Tracking-Code von Analytics updaten. Wie das geht, erfährst Du hier. 
  • Du musst Deine Datenschutzerklärung definitiv auf den neuesten Stand bringen. Ein Rechtsanwalt hilft Dir dabei, die wichtigsten Punkte abmahnsicher abzudecken.
  • Alle erhobenen Daten müssen protokolliert, gesichert und auf Nachfrage angegeben werden.
  • Du hast ein Kontaktformular? Erkläre im Datenschutzhinweis unbedingt, was es damit auf sich hat und was mit den Daten geschieht!
  • Gibt es bei Dir Content, der hinter einer Zahlschranke liegt oder andersweitig beschränkt ist? Irgendwie musst Du feststellen, wer Zugiff hat und wer nicht. Stelle unbedingt sicher, dass Du nur die für die Dienstleistung unabdinglichen Daten erhebst und nutzt.
  • Überdenke genau, wo Du welche Daten erhebst und wie Du damit umgehst. Brauchst Du im Kontaktformular wirklich die Telefonnummer Deiner Kunden? Welche Informationen speicherst Du wo? Wenn Du hier so sparsam wie möglich agierst, bist Du auf einem guten Weg.

Einen umfassenden und sehr ausführlichen Artikel zum dem Thema findest Du bei Dr. Schwenke, der den DSGVO-Guide für t3n geschrieben hat.

Fazit: DSGVO: Kein Grund zur Panik

Die Datenschutzgrundverordnung hat eigentlich ein großartiges Ziel: Den Nutzern die Macht über ihre eigenen Daten zurückgeben. Allerdings sind viele Experten der Ansicht, dass die EU-Kommission ein wenig über das Ziel hinausgeschossen ist. Im Herbst wird es dann noch einmal spannend: Dann wird die neue ePrivacy-Verordnung besprochen und beschlossen. Das könnte ebenfalls noch einmal weitere Veränderungen mit sich bringen. Beim Online-Marketing gibt es einige Punkte, die demnächst stärker in den Fokus rücken. Eine gute Gelegenheit, um sich einmal Gedanken über den Datenschutz zu machen.


Wie findet Ihr die Regeln der DSGVO? Überzogen, angemessen, verwirrend? Lasst es uns in den Kommentaren wissen! 

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.