.svg)
Falls Sie noch nichts von der neuen DSGVO gehört haben, ist dieser Beitrag genau das Richtige für Sie.
Im Ernst, die DSGVO ist eine große Sache; sie verändert die Spielregeln grundlegend, und Sie müssen darauf reagieren. Am besten sofort.
Deshalb haben wir diese Checkliste zur DSGVO-Konformität für Digital-Marketer zusammengestellt.
Das Wichtigste zuerst: Dieses neue Gesetz tritt am 25. Mai 2018 in Kraft und betrifft alle Digital- und E-Mail-Vermarkter in der EU. Es versteht sich von selbst, dass man es nicht ignorieren darf. Die Auswirkungen werden enorm sein. Beginnen Sie jetzt mit den Vorbereitungen.
Was ist die DSGVO?
Die DSGVO, die das ursprüngliche Datenschutzgesetz von 1998 ablöst, soll Verbraucher und Unternehmen gleichermaßen schützen, indem sie die Erhebung und Weitergabe von Daten vereinheitlicht. Künftig dürfen Verbraucherdaten nur noch für den Zweck verwendet werden, für den sie erhoben wurden. Die Art und Weise, wie Sie Kundendaten weitergeben, ändert sich, unabhängig davon, wo auf der Welt die Daten gespeichert und verarbeitet werden. Jeder einzelne der 500 Millionen Bürger der EU ist davon betroffen.
Die offizielle Definition der DSGVO lautet:
„jede freiwillige, spezifische, informierte und eindeutige Willensbekundung, mit der die betroffene Person durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis zur Verarbeitung der sie betreffenden personenbezogenen Daten zum Ausdruck bringt“.
Personenbezogene Daten sind alle Informationen, anhand derer eine Person identifiziert werden kann, selbst so detaillierte Merkmale wie die politische Zugehörigkeit. Auch IP-Adressen gelten mittlerweile als personenbezogene Daten.
Wir leben in einer Welt, in der Erst- und Drittparteien-Daten die digitale Welt bestimmen, die durch soziale Medien und Smartphones revolutioniert wurde. Doch die neue Verordnung wird die Spielregeln für Marketingfachleute grundlegend verändern.
Wen wird das betreffen?
Die Rechtsvorschriften betreffen jeden, der personenbezogene Daten für Marketingzwecke nutzt. Ganz gleich, ob es sich um E-Mail-Marketing oder Werbung in sozialen Medien handelt – Sie sind davon betroffen.
Deutlich stärker betroffen sein werden diejenigen, die Daten von Dritten nutzen, z. B. gemietete E-Mail-Listen. Im Grunde genommen werden Sie diese nicht mehr verwenden können, da Sie von den Personen auf der Liste nicht persönlich eine Einwilligung eingeholt haben. Außerdem können Sie nicht nachweisen, dass diese Ihnen die Erlaubnis erteilt haben, sie zu kontaktieren.
Darüber hinaus werden auch die Eigentümer dieser Listen von Drittanbietern darunter leiden. Sofern sie keine erneute Einwilligung für ihre Listen einholen können, werden diese Listen überflüssig. Sie müssen nachweisen können, dass Sie eine direkte Beziehung zu der Person haben, die Sie kontaktieren möchten. Andernfalls dürfen Sie diese Person nicht kontaktieren und dürfen ihre Daten zudem nicht speichern. Daten müssen stets rechtmäßig und für einen bestimmten Zweck verarbeitet werden. Sobald dieser Zweck erfüllt ist, sollten die betreffenden Daten gelöscht werden.
Sollte eine Person darüber hinaus wünschen, dass ihre Daten aus Ihrer Datenbank gelöscht werden, und diese nicht mehr für den Zweck verwendet werden, für den sie erhoben wurden, hat sie das Recht, dies zu verlangen. Dies wird gemeinhin als „Recht auf Vergessenwerden“ bezeichnet.
Genauer gesagt gilt die DSGVO für „Verantwortliche“ und „Auftragsverarbeiter“ von Daten. Selbst wenn diese ihren Sitz außerhalb der EU haben, unterliegen sie dennoch der DSGVO, solange sie Daten von EU-Bürgern verarbeiten.
Die eigentliche Erfassung von Lead-Daten durch Unternehmen wie Google und Facebook dürfte von der DSGVO unberührt bleiben, vor allem weil diese bereits direkte Beziehungen zu ihren Kunden unterhalten. Solche Netzwerke dürften daher enorm von der Verordnung profitieren, da Marketingfachleute möglicherweise mit einem Rückgang ihrer eigenen First-Party-Daten rechnen müssen und daher stärker auf soziale Netzwerke angewiesen sein werden, um Verbraucher zu erreichen.
Was wird sich also ändern?
Sicherlich sind Ihnen schon hin und wieder alarmierende Artikel untergekommen, in denen Marken und deren reflexartige Reaktionen auf die Gesetzgebung beschrieben werden – manche Marken gehen sogar so weit, ihre E-Mail-Datenbank komplett zu löschen. Dabei ist eigentlich nur erforderlich, die eigenen Angelegenheiten in Ordnung zu bringen.
Selbst wenn Sie derzeit über eine Opt-in-Einwilligung für Ihre Datenbank verfügen, reicht dies wahrscheinlich nicht aus. Auch wenn Sie bereits zuvor Kontakt zu einer Person hatten, müssen Sie deren Einwilligung erneut einholen. UND Sie müssen dies dokumentieren. Das ist der springende Punkt: Sie müssen nachweisen können, dass ein Nutzer erklärt hat, Ihre Marketingnachrichten erhalten zu wollen, wann er seine Einwilligung erteilt hat und auf welche Weise.
Und Sie müssen darlegen, WIE die Daten verwendet werden. Selbst wenn Ihnen jemand seine Visitenkarte gegeben und gesagt hat: „Bitte kontaktieren Sie mich“, reicht das nicht aus. Selbst eine mündliche Vereinbarung ist im Hinblick auf die DSGVO nicht ausreichend. Die Einwilligung muss nachweisbar sein und dokumentiert werden.
Ohne die ausdrückliche Zustimmung dieser Nutzer besteht die einzige Alternative darin, dass Sie über eine Datenbank mit Nutzerdaten verfügen, die völlig überflüssig ist. Das ist eine Situation, die kein Unternehmen will und die katastrophale Folgen hätte.
Was ist mit dem Brexit?
Daran führt kein Weg vorbei – die Gesetzgebung wird umgesetzt, unabhängig vom Brexit. Zum Zeitpunkt des Inkrafttretens der DSGVO wird das Vereinigte Königreich noch Teil der EU sein. Wir wissen bereits, dass das Vereinigte Königreich frühestens in zwei Jahren austreten wird. Die britische Regierung hat bereits bestätigt, dass die Änderungen dennoch umgesetzt werden.
Möglicherweise werden die Vorschriften nach Abschluss des Brexits noch einmal überarbeitet, aber es macht wenig Sinn, dieser Möglichkeit vorzugreifen! Die DSGVO tritt in Kraft, und die Unternehmen müssen sich daran halten.
Wie sieht es mit Retargeting über benutzerdefinierte Zielgruppen aus?
Man könnte argumentieren, dass die Daten, da sie vor dem Hochladen auf Facebook bereits gehasht wurden, nicht identifizierbar sind. Das ändert jedoch nichts daran, dass es sich um personenbezogene Daten handelt – denn sobald der Upload bei Facebook angekommen ist, werden sie weiterhin mit den personenbezogenen Daten einer bestimmten Person auf Facebook abgeglichen. Im Grunde genommen versuchen Sie also immer noch, diese Person herauszufiltern und sie mit Werbung anzusprechen.
Vor Inkrafttreten der DSGVO konnten Sie Ihre Bereinigung zur erneuten Einwilligung potenziell als Werbekampagne durchführen. Mit Facebook-Lead-Anzeigen konnten Sie diesen Prozess vereinfachen und darüber hinaus Ihre Daten durch zusätzliche Fragen anreichern. Betrachten Sie die erneute Einwilligung als Chance, Ihre Datenbank anzureichern.
Wie wirkt sich die DSGVO auf das Retargeting über Facebook Custom Audiences, LinkedIn Matched Audiences oder Google Customer Match aus?
Durch den Einsatz der Lösungen von Driftrock zur Synchronisierung von Zielgruppen können Sie sicherstellen, dass Sie die Anforderungen der DSGVO erfüllen. Unsere Software synchronisiert Ihre CRM-Listen und -Segmente alle drei Stunden. Sobald sich also jemand aus Ihrem CRM abmeldet, wird er aus Ihrer benutzerdefinierten Zielgruppe auf Facebook, LinkedIn oder in den Google Matched Audiences entfernt. Erfahren Sie mehr über unsere DSGVO-Lösungen für das digitale Marketing.
Welche Folgen hat die Nichteinhaltung?
Im Ernst – Sie sollten gar nicht erst auf die Idee kommen, zu versuchen, sich da herauszuwinden. Bei Verstößen gegen die DSGVO drohen Geldstrafen von bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes.
Bedenken Sie außerdem: Mit der zunehmenden Verbreitung der DSGVO werden sich die Verbraucher dieser Verordnung immer bewusster und wissen somit um ihre Rechte, ihre Möglichkeit, Beschwerde einzulegen, sowie um die Möglichkeit, Schadenersatz zu fordern. Sie wollen sicher nicht auf der Verliererseite stehen – das Risiko für den Ruf Ihrer Marke ist es einfach nicht wert.
Denken Sie mal an PPI – vor zehn Jahren hatte noch niemand davon gehört. Heute ist es fest im Bewusstsein der Verbraucher verankert, ebenso wie die Möglichkeit einer Entschädigung.
Sollten Sie Zweifel hinsichtlich eines Teils Ihrer Daten oder der Art und Weise haben, wie diese ursprünglich erhoben wurden (d. h. es ist unklar, ob eine Einwilligung eingeholt wurde), ist es in der Regel sicherer, die Daten einfach zu löschen, anstatt zu versuchen, eine erneute Einwilligung einzuholen.
Wie bekomme ich am besten eine neue Genehmigung?
Zunächst einmal müssen Sie darauf vorbereitet sein, dass manche Personen nicht auf Ihre Anfrage zur erneuten Einwilligung reagieren. Es ist sehr wahrscheinlich, dass sich Ihre Kontaktdatenbank durch diese Maßnahme erheblich verkleinern wird. Für Marketingfachleute könnte dies ein regelrechtes Desaster bedeuten. Und wenn Sie keine erneute Einwilligung erhalten, bleibt Ihnen nur noch die Möglichkeit, die Daten des jeweiligen Nutzers zu löschen. Dies ist die mit Abstand sicherste Option, um Sanktionen zu vermeiden.
Sie haben natürlich die Möglichkeit, nie wieder Kontakt zu EU-Kunden aufzunehmen, da die Rechtsvorschriften nur die EU betreffen. Für die meisten Unternehmen in der EU dürfte dies jedoch keine sinnvolle Option sein.
Bevor Sie eine erneute Einwilligung einholen, sollten Sie sich zunächst einige Fragen stellen, um sicherzugehen, dass Sie tatsächlich darauf hinweisen möchten, dass Sie personenbezogene Daten einer Person gespeichert haben. Selbst wenn Sie Daten von jemandem gespeichert haben, der ein PDF von Ihrer Website heruntergeladen hat, kann nicht davon ausgegangen werden, dass diese Person damit einverstanden ist, in Ihren E-Mail-Verteiler aufgenommen zu werden.
- Hätten Sie diese Daten überhaupt jemals haben dürfen?
- Woher stammen die Daten? Sind es eigene Daten oder Daten von Dritten?
- Warum hast du diese Daten?
- Haben Sie die ausdrückliche Erlaubnis, dieser Person Werbung zuzusenden?
Wenn Sie nach Beantwortung dieser Fragen immer noch sagen können, dass Sie die Daten rechtmäßig gespeichert haben, ist es an der Zeit zu entscheiden, wie genau Sie eine erneute Einwilligung einholen wollen. Darüber hinaus können Sie dies, wie bereits erwähnt, als Gelegenheit nutzen, um zusätzliche Informationen von Ihren Kontakten zu erhalten, beispielsweise durch Meinungsumfragen, und so die Daten, die Sie über sie gespeichert haben, zu ergänzen. Z. B.: Was ist Ihr Lieblingsauto?
Die wichtigste Erkenntnis daraus ist, dass Sie zumindest nachweisen können, dass Sie Maßnahmen zur Vorbereitung auf die DSGVO ergriffen haben. Es reicht nicht aus, einfach nur zu sagen, wir hätten dies und das geplant – es müssen echte Anstrengungen unternommen worden sein, um Ihre Daten zu bereinigen. Können Sie es sich außerdem wirklich leisten, eine Strafe in Höhe von 4 % Ihres Umsatzes in Kauf zu nehmen? Das glaube ich kaum.
Jetzt haben Sie also die Gelegenheit, sich eine Datenbank mit Kontakten aufzubauen, die tatsächlich kontaktiert werden möchten und Ihnen mitgeteilt haben, WIE sie kontaktiert werden möchten und WORÜBER sie informiert werden möchten. Bauen Sie sich eine Datenbank mit Personen auf, die von Ihnen kontaktiert werden möchten, und finden Sie heraus, wie genau sie kontaktiert werden möchten.
Es ist an der Zeit, Ihre Daten auf den neuesten Stand zu bringen.
Möchten Sie wissen, wie Driftrock Ihnen mit unseren CRM- Tools zur Zielgruppenautomatisierung dabei helfen kann, die DSGVO einzuhalten? Erfahren Sie mehr über die Lösungen von Driftrock zur Einhaltung der DSGVO: