Marketing ohne Abmahnungen: So geht’s DSGVO-sicher

Datenschutz wird zum Wettbewerbsvorteil: Transparente Verarbeitung, datenschutzfreundliche SaaS-Tools und DSGVO-konforme Cookies sichern Erfolg.

Wolfgang Scherl-Gebhard | 06.02.2025

Unter dem Motto „Digitalisierung um jeden Preis?“ begeht die EU am 28. Januar den Europäischen Datenschutztag. Ein guter Anlass, die Vereinbarkeit von DSGVO und Marketing in Unternehmen auf den Prüfstand zu stellen.

Marketers belächeln den Datenschutz gerne. Die Aufsichtsbehörden haben doch sowieso nur mit den großen Playern wie Google oder Facebook zu tun. Um kleinere Unternehmen können die sich gar nicht kümmern.

Doch diese Rechnung ist ohne Verbraucher und Verbraucherschutzverbände gemacht. Insbesondere die Abmahnwelle zu Google Fonts hat gezeigt, dass auch das Marketing von KMU datenschutzkonform ausgestaltet werden sollte, wenn Unternehmen nicht schmerzhaften Schadensersatz zahlen wollen.

Europäischer Datenschutztag als Anstoß

Seit dem Jahr 2007 begeht die EU den Europäischen Datenschutztag am 28. Januar, weil einst im Jahre 1981 an diesem Datum die Europäische Datenschutzkonvention unterzeichnet worden war. Ein guter Anlass für Marketingverantwortliche, die eigenen Aktivitäten auf Compliance mit der EU-Datenschutz-Grundverordnung (DSGVO) zu untersuchen.

Fünf Schritte für mehr Datenschutz beim Marketing

Folgende grundlegende Tipps helfen Marketers, die DSGVO-Konformität des Marketings deutlich zu verbessern:

1. Verzeichnis von Verarbeitungstätigkeiten führen

Jedes Unternehmen muss ein Verzeichnis von Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Darin dokumentiert der Verantwortliche jede Verarbeitungstätigkeit im Unternehmen, bei der personenbezogenen Daten verarbeitet werden.

Für das Marketing kommen hier viele Verarbeitungen in Betracht, etwa der Versand von Newslettern, die Analyse von Websitebesuchern (IP-Adressen sind personenbezogene Daten) oder die Kontaktformulare auf einer Website.

2. Auftragsverarbeitung vertraglich regeln

Unternehmen müssen mit allen Dienstleistern, die Zugriff auf personenbezogene Daten haben (können), einen Vertrag über Auftragsverarbeitung abschließen (Art. 28 und 32 DSGVO).

Im Marketing kommen in der Regel zahlreiche Dienstleister bzw. Auftragsverarbeiter zum Einsatz. Das sind nicht nur Agenturen oder Freelancer, sondern z.B. auch Webhosting-Anbieter sowie Anbieter von SaaS-Tools, wenn dort personenbezogene Daten verarbeitet werden (Newsletter, etc.).

3. Informationspflichten nachkommen

Betroffene müssen spätestens mit Erhebung personenbezogener Daten über die Verarbeitung informiert werden (Art. 13 DSGVO).

Im Digital Marketing geschieht dies vor allem über Datenschutzerklärungen bzw. -hinweise. Hier gilt es über alle Verarbeitungen, deren Zwecke, etwaige Empfänger etc. aufzuklären. DSGVO-konforme Datenschutzhinweise sind auch deswegen so relevant, weil sie öffentlich einsehbar und damit ein besonders großes Einfallstor für Abmahnungen und Beschwerden sind.

4. Einsatz von Cookies regeln

Verarbeitungen personenbezogener Daten bedürfen immer einer Rechtsgrundlage nach Art. 6 DSGVO. Ansonsten sind sie verboten!

Insbesondere auf Websites kommen viele Cookies zum Einsatz, die technisch nicht notwendig sind, sondern nur für Analyse- und Marketingzwecke gesetzt werden. Dafür ist in der Regel eine Einwilligung der Betroffenen notwendig. Der Einsatz von Cookie-Consent-Bannern wird von vielen Unternehmen jedoch trotz zahlreicher Gerichtsurteile und Behördenanweisungen immer noch sehr lapidar gehandhabt – oder sogar bewusst nicht DSGVO-konform. Doch auch hier drohen Abmahnungen!

5. Drittlandtransfer regulieren

Personenbezogene Daten dürfen nicht ohne Weiteres in Länder außerhalb der EU übertragen werden, wenn diese kein vergleichbares Datenschutzniveau aufweisen.

Im Marketing ist vor allem die Übertragung von Daten in die USA problematisch. Sei es der Einsatz von Google Fonts, Google Analytics oder Youtube. Insbesondere die Intransparenz hinsichtlich der Nutzung der personenbezogenen Daten beim Anbieter in den USA ist aus Sicht des Datenschutzes ein Damoklesschwert. Hier lohnt es sich, alternative Anbieter innerhalb der EU zu suchen.

Fazit: Datenschutz lohnt sich

In einer datengetriebenen Welt bekommt der Datenschutz einen immer höheren Wert – auch wenn dies der Bequemlichkeit vieler Marketers widerspricht. Der Weg zu einem Privacy Centered Marketing ist noch lang.

Doch mit den hier vorgestellten grundlegenden Schritten können Marketingverantwortliche schon viel dazu beitragen, dass ihre Organisation ein größeres Vertrauen bei Bewerbern, Kunden und Auftraggebern erhält – und nebenbei auch noch teure Bußgelder und Abmahnungen vermeiden.