Das bedeutet die Datenschutzgrundverordnung fürs Healthcare-Marketing
Am 25. Mai ist es soweit: Dann tritt EU-weit die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Worauf kommt es an, und was ist jetzt zu tun, falls Sie Online-Marketing betreiben? Wir klären auf.
Heute, am 25. Mai, ist es soweit: EU-weit tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Worauf kommt es an, und was ist jetzt zu tun, falls Sie Online-Marketing betreiben? Wir klären auf.
Kennen Sie den? Dieser Witz zur Datenschutzgrundverordnung (DSGVO) kursiert in Unternehmen:A: Kennen Sie einen guten DSGVO-Berater? B: Ja. A: Können Sie mir seine E-Mail-Adresse geben? B: Nein.Dabei trifft der Witz eigentlich nicht den Kern der DSGVO – denn es geht nicht um die Herausgabe, sondern um den internen Umgang mit personenbezogenen Daten. Die DSGVO baut auf der bisherigen Datenschutzrichtlinie 95/46/EG auf und ersetzt diese. Das wurde auch Zeit: Die Richtlinie stammt aus 1995 und damit aus der Ära vor Facebook & Co. Jahrelang hat die EU-Kommission an der neuen Verordnung gearbeitet; seit zwei Jahren ist sie bereits in Kraft. Nun ist die Schonfrist abgelaufen; ab heute ist die DSGVO wirksam. Wie medizinisches Fachpersonal und deren Dienstleister sich auf die DSGVO vorbereiten sollten, haben wir hier schon erklärt. Nun beleuchten wir das weite Feld des Online-Marketings.
Für wen ist die Datenschutzgrundverordnung wichtig?
Der Umgang mit Daten von Mitarbeitern, Usern, Kunden oder Lieferanten bedeutet die Verarbeitung von Personendaten, und die ist grundsätzlich verboten – es sei denn, es liegt eine gesetzliche Erlaubnis oder eine Einwilligung der betroffenen Person vor. Zu den Personendaten gehören nun auch "IP-Adressen und Cookie-Kennungen", die "insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren." Das heißt also: Wenn Sie eine Webseite betreiben und die Nutzerbewegungen tracken, erheben Sie Personendaten. Somit betrifft die DSGVO praktisch jeden, der etwa seinen Betrieb im Internet vorstellt – ab dem 25. Mai müssen diese Betriebe jeden Besucher ihrer Webseite darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange sie sie speichern, oder sie müssen die IP-Adressen, die zum Beispiel Google Analytics erhebt, anonymisieren. Der User hat außerdem die Möglichkeit, eine "datenschutzrechtliche Selbstauskunft" anzufordern, die der Betreiber innerhalb eines Monats beantworten muss. Um eine DSGVO-konforme Datenschutzerklärung für Ihre Webseite zu erstellen, sollten Sie zunächst eine Liste anlegen, wie Sie personenbezogene Daten erheben und verarbeiten. Dabei können Sie auch auf Dienstleister zurückgreifen: Agenturen wie amm prüfen Ihre Webseite und erstellen einen Report.Was ist mit Online-Marketing und Social Media?
Auch die EU-Kommission weiß, dass Online-Marketing via Personendaten betrieben wird – das ist auch nicht verboten. Allerdings müssen die User verständlich und transparent darüber informiert werden, und sie müssen die Möglichkeit haben, der Datenverarbeitung zu widersprechen (durch das sogenannte Opt-Out). Das gilt auch fürs Remarketing (also das Schalten von Anzeigen für Ihr Angebot, nachdem der User Ihre Seite verlassen hat) und Online Behavioral Advertising (zielgruppenspezifische Werbung auf Basis des Nutzungsverhaltens). Online-Tracking und das Setzen von Cookies sind wiederum nur mit Opt-In zulässig – und da reichen nicht die verbreiteten "Cookie-Banner", denn nach der DSGVO dürfen Cookies erst dann beim Nutzer gespeichert werden, nachdem der Nutzer über sie aufgeklärt wurde und er sich einverstanden erklärt hat. Die bisherigen Cookie-Banner pfeifen aber auf den genauen Zeitpunkt des Einverständnisses.Praktisch alle online aktiven Unternehmen müssen ein Verzeichnis führen"Praktisch alle online aktiven Unternehmen müssen ein Verzeichnis führen, in dem alle Verarbeitungen personenbezogener Daten samt Quellen, Weitergaben, Zwecken, Rechtsgrundlagen (d.h. Erlaubnisse und Einwilligungen) der Verarbeitung und Löschfristen aufgeführt werden", prognostiziert Dr. Thomas Schwenke, Anwalt für Marketingrecht, fürs SocialHub-Magazin. "Diese umfassen nicht nur Onlinemarketing sowie Social-Media-Aktivitäten, sondern auch Personalmanagement oder Kundenverwaltung."