Passt Ihre Leadgenerierung zur aktuellen Cookie- und DSGVO Policy?

Matthias Stauch, Intervista

Der Datenschutz ist spätestens im Mai 2018 in das Bewusstsein von Unternehmen gerückt, als die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft trat: Sie stärkt die Rechte der Betroffenen und nimmt Unternehmen stärker in die Pflicht – unter Androhung von hohen Strafen.

Während Unternehmen sich auf die Bestimmungen der DSGVO eingestellt haben, ist der Umgang mit Cookies oft noch nicht transparent genug umgesetzt.
Während Unternehmen sich auf die Bestimmungen der DSGVO eingestellt haben, ist der Umgang mit Cookies oft noch nicht transparent genug umgesetzt.© peterschreiber.media/stock.adobe.com

View: 230 Kommentieren: 0

Strafen werden mittlerweile auch in der Praxis verhängt. Die DSGVO geht deswegen alle an: Gerade Unternehmen mit online Vertriebskanälen bzw. digitalen Antragsstrecken sollten deren Konformität überprüfen und nur mit Auftragsdatenverarbeitern zusammenarbeiten, die Daten gesetzeskonform nutzen und das dokumentieren können.

Datenschutzkonformer Vertrieb im Online-Vertrieb

Unternehmen betreiben Online-Marketing vor allem, um Sales-Leads zu generieren, also Kontakte zu Interessenten, die zu potenziellen Kunden weiterentwickelt werden können. Interesse wird zum Beispiel mit dem Angebot von kostenlosen Whitepapern oder Webinaren geweckt – und darüber die Kontaktdaten von Interessenten erfragt. Da der digitale Vertrieb für Unternehmen nicht nur, aber gerade in Krisenzeiten ein wichtiger Umsatzbringer ist, müssen sie die gesetzlichen Anforderungen für die Erfassung, Speicherung und Verarbeitung von Daten auf dem Schirm haben.

Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten verschärft, ihre Handhabung sowie Verarbeitung vereinheitlicht.

Es handelt sich dabei um jene Informationen, die einer natürlichen Person zugeordnet werden können. Dazu zählen Name und Adresse, Bankdaten, medizinische Daten, aber auch die IP-Adresse. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt anzupassen.

So wirkt sich die DSGVO auf die Leadgenerierung aus

Unternehmen müssen seitdem eine Vielzahl neuer Regelungen berücksichtigen. Die Betroffenenrechte wurden gestärkt: Personenbezogene Daten dürfen abseits von eng definierten Notwendigkeiten nur mit Einwilligung verarbeitet werden (Artikel 6).

Gemäß Artikel 15 hat der Betroffene zudem ein Auskunftsrecht und darf erfragen, ob, wie und zu welchem Zweck seine persönliche Daten verarbeitet werden und wo sie herkommen.

Das Recht auf Vergessenwerden (Artikel 17) legt fest, dass auf Wunsch personenbezogene Daten gelöscht werden müssen. Zudem beinhaltet die DSGVO das Recht auf Datenübertragbarkeit, auf Einschränkung der Verarbeitung sowie auf Berichtigung. Um die Durchsetzbarkeit zu gewährleisten, hat die EU die Sanktionsmöglichkeiten verschärft. Zuvor konnten Verstöße mit Bußgeldern bis zu 300.000 belegt werden, nun sind deutlich höhere Strafen mit bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes möglich.

Wer Leads generiert, braucht deswegen transparente Prozesse. Neben der gesetzlichen Notwendigkeit des Datenschutzes kann davon auch der eigene Ruf durch einen Vertrauensgewinn bei der Zielgruppe profitieren.

Folgende Punkte müssen Unternehmen bei der Leadgenerierung beachten:

  1. Wer personenbezogene Daten erhebt, weitergibt oder nutzt, braucht laut Artikel 6 DSGVO die Einwilligung der Betroffenen. Die lässt sich zum Beispiel über das Double-Opt-In-Verfahren gewährleisten. Gleichzeitig muss dem User klar kommuniziert werden, dass und wie er diese Einwilligung jederzeit widerrufen kann.
  2. Der User muss über die Erhebung, die Verarbeitung und Speicherdauer seiner Daten aufgeklärt werden. Das muss transparent, verständlich und vollständig erfolgen, etwa über die Datenschutzrichtlinien auf der Website.
  3. Daten dürfen nur für den angegebenen Zweck gespeichert und verarbeitet werden. Der User muss über diesen aufgeklärt werden. Die Leads dürfen also nicht mit beliebigen Informationen oder irrelevanter Werbung bombardiert werden.
  4. Laut Artikel 7 müssen Unternehmen zudem den Beweis vorhalten, dass der Nutzer der Datenverarbeitung zugestimmt hat. Deswegen ist wichtig, die Zustimmung zur Datenverarbeitung zu protokollieren.
  5. Unternehmen müssen außerdem das Gebot der Datensparsamkeit bzw. -minimierung beachten: Es dürfen nur Daten abgefragt werden, die tatsächlich benötigt werden.

Der Umgang mit Cookies

Zum Umgang mit Cookies erfolgte im Herbst 2019 ein wichtiges Urteil des EuGH: Wer nicht unbedingt erforderliche Cookies setzen will, muss die aktive Einwilligung des Users einholen. Hier herrscht allerdings Unklarheit, wann ein Cookie zwingend erforderlich ist und damit auch ohne Einwilligung gesetzt werden darf.

Viele Unternehmen haben als Reaktion auf das Urteil ihre Cookie-Benachrichtigungen umgestellt, andere nicht: Eine Befragung von Unternehmen in Niedersachsen ergab Mängel bei der Cookie-Information und bei der Einbindung von Drittdienstleistern.

Der Nutzer wird zum Beispiel nicht objektiv über seine Optionen informiert, da ihn die grafische Gestaltung der Einwilligung oder Voreinstellungen in Richtung der Einwilligung anleiten. Es ist nicht klar, ob damit die Einwilligungen am Ende gültig sind oder nicht.

Aufsichtsbehörden verhängen hohe Bußgelder

Die ersten Urteile zeigen, dass Behörden nun Ernst machen mit der Durchsetzung der DSGVO: Im November 2020 verhängte die italienische Aufsichtsbehörde gegen Vodafone Italien eine Strafe von rund 12 Millionen Euro, unter anderem weil die Einwilligung für Telefonmarketing nicht wirksam war.

Die französische Aufsichtsbehörde (CNIL) verhängte Bußgelder in Höhe von rund 2.25  Millionen bzw. 800.000 Euro gegen die Carrefour S.A., dem zweitgrößten Einzelhandelsunternehmen Europas, und die Banktochter Carrefour Banque, wegen einer ganzen Reihe Mängeln: fehlende Informationen zur Verarbeitung personenbezogener Daten auf der Website, ein mangelhaftes Löschkonzept, die Speicherung inaktiver Kunden und Userdaten der Website und dem Einsatz von Cookies ohne Einwilligung.

Auftragsdatenverarbeitung durch Dritte

Unternehmen sammeln und verwalten ihre Leads meist nicht selbst: In der Regel werden Kundendaten von Drittanbietern, den Auftragsdatenverarbeitern, gespeichert oder verarbeitet. Deswegen ist es wichtig, nur mit seriösen Partnern zusammenzuarbeiten.

Wichtig sind zum Beispiel Server, die in Deutschland stehen. Denn der Europäische Gerichtshof hatte im Juli 2020 das Privacy-Shield, das Datenschutzabkommen zwischen den USA und Europa gekippt. Es war von der Europäischen Kommission 2016 verabschiedet worden und sollte als Grundlage für die Datenübermittlung in die USA dienen. Personenbezogene Daten konnten an jene Unternehmen übermittelt werden, die nach dem Privacy-Shield zertifiziert waren. Das ist nicht mehr möglich, da laut dem Gerichtshof Informationen über europäische Verbraucher auf US-Servern nicht ausreichend geschützt seien.

Wer mit Partnern zusammenarbeitet, sollte also Wert darauf legen, dass deren Systeme Kundendaten rechtssicher verwalten und Transparenz durch eine umfangreiche Dokumentation sichergestellt ist: Alle Angaben sollten in einem System geführt werden und jede Aktion nachvollziehbar sein. Ein Zugriffsmanagement muss sicherstellen, dass Daten nur einsehbar sind, wenn der Bedarfsfall vorliegt.

Automatisierte Regeln sollten die Einhaltung von Löschfristen gewährleisten. Ein effizientes und rechtssicheres Leadmanagement bietet zum Beispiel das Tool des Potsdamer Vertriebsspezialisten Intervista. Was für Leads gilt, gilt natürlich erst recht für Kundenverträge, die online über digitale Antragsstrecken eingegangen werden – sie müssen rechtssicher sein, ihr Zustandekommen nachvollziehbar und dokumentiert sein.

Fazit des Experten Der Online-Vertrieb ist für Unternehmen ein wichtiges Standbein und ein Umsatzbringer, der immer wichtiger wird. Die DSGVO und neue Urteile zum Einsatz von Cookies oder das Kippen des Privacy-Shields machen die Leadgenerierung aber nicht einfacher. Unternehmen brauchen deswegen einen Überblick über die Rechtslage und sollten ihre Auftragsdatenverarbeitung nur seriösen Drittanbietern überlassen, die DSGVO-konform arbeiten.

Zum Unternehmen

Matthias Stauch ist Vorstandsvorsitzender der INTERVISTA AG und Experte für digitalen Vertrieb. Die Potsdamer INTERVISTA AG wurde 2000 gegründet und schon früh erkannten die Pioniere das immense Potenzial der Digitalisierung: Heute ist das Unternehmen ausgewiesener Spezialist für den digitalen Vertrieb und die Automatisierung von Geschäftsprozessen in verschiedenen Branchen. Die firmeneigene prozessgesteuerte Systemplattform IV: SolutionFramework erlaubt es, die optimale Lösung für den Kunden zu finden: sicher, stabil und in time and Budget. Darüber hinaus gehört auch der performante und sichere Betrieb von IT-Systemen ins Portfolio. Nicht zuletzt unterstützt die INTERVISTA AG ihre Kunden durch zielgerichtetes Consulting bei der Transformation und Optimierung von Geschäftsprozessen und der Umsetzung der Digitalisierung.  www.intervista-ag.de

Matthias Stauch, Intervista

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.