Werbung wird heute von nahezu allen Unternehmen über die unterschiedlichsten Medienkanäle betrieben. Ob personalisierte Werbung, kostenlose Zustellung von Medienprodukten oder Werbeartikeln, Betreiben eines Blogs oder Gestaltung eines eShops oder einer Website: grundsätzlich sind auch in der Werbe-, Kommunikations- und Medienbranche die Regeln der DSGVO zu beachten!
Jede Werbungmaßnahme bewegt sich in dem Spannungsfeld zwischen einerseits dem Interesse des Werbetreibenden, seine eigenen Produkte oder Dienstleistungen zu vermarkten und andererseits dem schutzwürdigen Interesse der von Werbung betroffenen Person, nicht das Ziel ungewollter Werbung zu sein. In jüngster Zeit hat sich dieses Spannungsfeld mit der aus unserem Alltag nicht mehr wegzudenkenden Verbreitung sozialer Medien deutlich verschärft.
Vor diesem Hintergrund ist eine kritische Überprüfung aller Werbemaßnahmen, Verfahren und Strategien hinsichtlich ihrer DSGVO-Konformität geboten. Auch wenn die DSGVO hinsichtlich Direktwerbung keine Detailregelung enthält, so sind doch einige Grundsätze zu beachten. Maßgebend ist hierbei der Kanal, über den die Kundenansprache erfolgen soll:
Zulässigkeit von Werbemaßnahmen
Für die Zulässigkeit von Werbemaßnahmen sind durch den Gesetzgeber enge Grenzen gesetzt worden. Jede Werbemaßnahme ist dahingehend zu überprüfen, ob die Interessen des Werbetreibenden oder die der betroffenen Person überwiegen. Auch wenn kein ausdrücklicher Widerspruch seitens der von der Werbemaßnahme betroffenen Personen vorliegt, ist die Nutzung personenbezogener Daten für eine direkte Bewerbung nur noch in bestimmten Fällen zulässig.
Postalische Werbung
Für postalische Werbung sind sowohl das bis Mai 2018 geltende Einwilligungserfordernis als auch die Privilegierung von Listen-Daten unter der DSGVO zugunsten einer Interessenabwägung entfallen.
E-Mail-Werbung
Bei E-Mail-Werbung gegenüber Neukunden ist diese nur mit einer ausdrücklichen vorherigen Einwilligung gestattet. Bei Bestandskunden ist das Versenden von Werbe-E-Mails zulässig, wenn die E-Mail-Adressen unmittelbar von den betroffenen Personen im Rahmen einer bereits bestehenden Geschäftsbeziehung erhoben wurden.
Telefonwerbung
Das Nutzen von Telefonnummern von Verbrauchern ohne vorherige Einwilligung ist aufgrund der besonderen Auswirkungen dieser Werbeform datenschutzrechtlich unzulässig und bedarf daher einer vorherigen Einwilligung. Bei Werbeanrufen bei sonstigen Marktteilnehmern im B2B Bereich wird grundsätzlich von der Möglichkeit einer mutmaßlichen Einwilligung ausgegangen.
Gestaltung der Einwilligung
Die Einwilligung sollte freiwillig, transparent und informiert gestaltet werden. Zudem ist das Kopplungsverbot zu beachten, d.h., dass die Einwilligung nicht von einer Erfüllung eines Vertrages abhängig gemacht werden darf, wenn die Einwilligung für die Vertragserfüllung überhaupt nicht erforderlich wäre.
Widerspruchsrecht
Art 21 der DSGVO spricht der betroffenen Person ein jederzeitiges unentgeltliches Widerspruchsrecht zu. Dieses Widerspruchsrecht gilt unabhängig von dem genutzten Werbeweg und hat ein unbedingt zu beachtendes Verarbeitungsverbot hinsichtlich der personenbezogenen Daten zur Folge. Insoweit bleibt die bisherige Notwendigkeit, Back- oder Robinsonlisten zu führen, bestehen.
Auf das Widerspruchsrecht sollte bei jeder Werbesendung transparent hingewiesen werden.
Dokumentations- und Nachweispflichten
Von dem Werbungstreibenden werden erweiterte Dokumentations- und Nachweispflichten verlangt, um u.a. der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) zu genügen. Insbesondere die Kriterien einer Interessenabwägungen sollten nachvollziehbar dokumentiert werden. Darüber hinaus muss der Verantwortliche grundsätzlich nachweisen können, dass die datenschutzrechtlichen Pflichten mit Blick auf die interne Organisation, den Umgang mit Kunden- und Abonnentendaten sowie externen Dienstleistern erfüllt werden. So erfordert z.B. der Nachweis der Einwilligung im Double-Opt-In-Verfahren eine Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.
Informations- und Auskunftspflichten
Den Betroffenen steht ein Auskunftsanspruch gegenüber dem werbungtreibenden Unternehmen hinsichtlich des Umgangs mit ihren personenbezogenen Daten zu (Art. 15 DSGVO). Da die DSGVO hier eine sehr kurze Reaktionszeit von nur 4 Wochen vorschreibt, sollte dieser Prozess vorbereitet sein.
Technische und organisatorische Maßnahmen (TOM)
Geeignete technische und organisatorische Vorkehrungen (TOM) sind einzurichten, um ein angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO). Das erforderliche Schutzniveau ergibt sich aus der Art sowie der Kategorie der verarbeiteten personenbezogenen Daten.
Vorgehen bei „Datenpannen“
Datenschutzvorfälle – sogn. „Datenpannen“ – sind unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden (Art. 33 Abs. 1 DSGVO). Für die meisten Verantwortlichen ist dies eine sehr kurze Frist! Daher empfiehlt es sich, auf einen etwaigen meldepflichtigen Vorfall vorbereitet zu sein.
Interne Richtlinien zum Datenschutz
Die datenschutzrechtlich relevanten Datenverarbeitungsvorgänge des werbetreibenden Unternehmens sollten in einer separaten Datenschutzordnung, z.B. einer unternehmensinternen Richtlinie, präzise festgehalten werden. U.a. sollte eindeutig festgelegt werden wer, wann welche Daten und zu welchem Zweck verarbeiten und übermitteln darf.
Datenschutzbeauftragter
Sind in dem werbungtreibenden Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so ist die Benennung eines internen oder externen Datenschutzbeauftragten verpflichtend (Art. 37 DSGVO, § 38 BDSG-neu).
Erfahrung zahlt sich aus
Aufbauend auf jahrelanger Erfahrung in der Medien- und Kommunikationsindustrie sowie intensive Kenntnis der digitalen Herausforderungen aus zahlreichen Projekten haben wir mit dem SECUFIDES-Datenschutz Monitor ein Datenschutz-Management-System entwickelt, das auf die spezifischen Anforderungen von Medienunternehmen sowie der Unternehmen in der Werbe-, Kommunikationsbranche ausgerichtet ist.
Unsere Beratungsleistung umfasst u.a.:
- Beratung in allgemeinen sowie werbe- und medienbranchenspezifischen datenschutzrechtlichen Fragestellungen
- Einrichtung eines Datenschutz-Management-Systems für das Medienunternehmen oder die Agentur, um branchenspezifische Prozesse zu unterstützen und die Dokumentationspflichten revisionsfest sicherzustellen
- Analyse und Überprüfung der internen Verarbeitungsvorgänge und Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
- Risikoabschätzung der einzelnen Verarbeitungstätigkeit und ggfs. Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen
- Unterstützung bei der Einhaltung von Betroffenenrechten wie z.B. Auskunftsersuchen, Löschung oder Übertragung
- Beratung bei der Umsetzung von Datensicherheit und der Implementierung von geeigneten technischen und organisatorischen Maßnahmen
- Überprüfung und Anpassung vorhandener Verträge mit Ihren Dienstleistern
- Schulungen der Mitarbeiter
- Unverzügliche Hilfe bei akuten Datenschutznotfällen
- Vertretung gegenüber Aufsichtsbehörden (als externer Datenschutzbeauftragter)
Fördermöglichkeiten
Für eine Beratung im Datenschutz besteht die Möglichkeit einer Förderung durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) oder das Coaching-Bonus-Programm der Industriebank Berlin (IBB).
Datenschutz schafft Vertrauen
Ein professionell organsierter Datenschutz schafft Vertrauen bei Mitarbeitern, Geschäftspartnern und Kunden!
Sie möchten mehr über die datenschutzrechtlichen Anforderungen in der Werbe- und Medienbranche erfahren?
Klicken Sie hier für mehr Informationen oder ein kostenfreies und unverbindliches Informationsgespräch.