Zur Sache mit Christian Bennefeld: Wie passen Web-Tracking und Datenschutz zusammen?

„Das mit dem Datenschutz machen wir doch schon!“ Was aber gehört tatsächlich dazu? Und wie sieht rechtskonformes Online-Marketing wirklich aus? Im Zur-Sache-Interview spricht Datenschutz-Experte Christian Bennefeld über seine Leidenschaft für Datenschutz und erläutert, warum er auch im B2B-Marketing unverzichtbar ist.


Zur Sache mit Christian Bennefeld: Wie passen Web-Tracking und Datenschutz zusammen?
© Christian Bennefeld

In den letzten Jahren hat die Datenschutzthematik auch im B2B-Marketing für reichlich Wirbel gesorgt. Und immer dann, wenn man als B2B-Marketer meinte, alles richtig zu machen, kam eine neue Regelung oder ein aktuelles Urteil, verbunden mit anderen Anforderungen. Was heute wirklich gilt und wo sie selbst stehen, wissen die Wenigsten. Zeit, Licht ins Dunkel zu bringen. 

Herr Bennefeld, Datenschutz ist ein Thema, mit dem sich B2B-Marketer tagtäglich auseinandersetzen müssen – Stichworte DSGVO, Cookie-Urteil, Privacy-Shield, ePrivacy-Verordnung und TTDSG. Was erlaubt ist und was nicht, ist an manchen Stellen Auslegungssache. Was genau ist – Ihrer Meinung nach – in puncto Datenschutz zwingend zu beachten? 

Es liegt in der Natur der Sache, dass die Entwicklung von Rechtsvorschriften dem technologischen Fortschritt stets ein wenig hinterherhinkt. Zudem findet sich in Gesetzen, Richtlinien und rechtskräftigen Urteilen kaum eine Schritt-für-Schritt-Anleitung oder Entscheidungsmatrix, die bei der Umsetzung in der Praxis hilft. Dies führt unter Umständen dazu, dass heute zwar spannende Technologien und Features im Online-Marketing verfügbar sind, sich B2B-Marketer aber völlig zu Recht fragen, ob sie diese einsetzen dürfen und wenn ja, wie. 

In Europa sind die Erhebung und Verarbeitung personenbezogener Daten durch die EU-Datenschutzgrundverordnung (DSGVO) streng geregelt: Für beides braucht es grundsätzlich eine Rechtsgrundlage, denn Bürger haben ein Recht auf informationelle Selbstbestimmung. Hinzu kommen rechtskräftige Urteile des Europäischen Gerichtshofs (EuGH) beziehungsweise des Bundesgerichtshofs (BGH) zur Verwendung von Cookies und dem Datentransfer in die USA, die es zwingend zu beachten gilt. Mit dem erneuten Kippen eines Abkommens (Schrems II) zum transatlantischen Datenverkehr, dem Privacy-Shield, im Juli 2020 gibt es nun keine Rechtsgrundlage mehr, welche die Daten-Weitergabe in US-amerikanische Hände legitimiert – es sei denn, der Nutzer hat in den Transfer im Wissen um die Risiken eingewilligt. Das Risiko, das ich hier anspreche, begründet sich durch US-Gesetze wie CLOUD Act und FISA, die den Behörden der USA den praktisch uneingeschränkten Zugang zu Daten von US-Unternehmen und Nicht-US-Bürgern ermöglichen. Dadurch ist in den USA generell kein EU-gleiches Datenschutzniveau möglich, das die DSGVO für jeden Datenexport vorschreibt. Standardvertragsklauseln der Europäischen Kommission oder andere Vertragswerke ändern daran nichts.

Im Zentrum der Datenschutzproblematik stehen für den B2B-Marketer folglich immer zwei Fragen: 

  • Wann oder wofür benötige ich die Einwilligung des Nutzers?
    Kommen auf einer Website US-amerikanische Tools von beispielsweise Facebook oder Google zu Einsatz, kommt man um die Einwilligung nicht herum. Gleiches gilt, wenn Cookies zur Profilbildung eingesetzt werden, wie dies bei den meisten Web-Analytics- und Advertising-Systemen der Fall ist. Ausnahmen bestehen nur in wenigen Fällen und unter strengen Voraussetzungen. Im Zweifelsfall holen B2B-Marketer lieber eine Einwilligung mehr ein als zu wenig. Aber auch hier gilt es darauf zu achten, dass die Einwilligung rechtskonform erfolgt: Der Nutzer muss über Art, Umfang und Zweck der Datenerhebung und -verarbeitung (beispielsweise via Cookies) aufgeklärt sein. Seine Einwilligung muss aktiv und freiwillig erfolgen. Das Cookie-Urteil des BGHs hält beispielsweise fest: Voreinstellungen zugunsten des trackenden Unternehmens sind unzulässig. Über sogenannte Consent-Banner können Website-Betreiber zwar die Einwilligungen der Nutzer einholen. Laut DSGVO muss der Widerruf genauso einfach wie die Einwilligung sein. Daher sollte für den Nutzer neben der Möglichkeit zur Zustimmung auf gleicher Ebene auch die Widerrufs- beziehungsweise Ablehnungsoption bestehen. 
     
  • Welche Maßnahmen muss ich ergreifen, um den Schutz personenbezogener Daten zu gewährleisten?
    Aus den Anforderungen zur Einwilligung und dem Umgang mit personenbezogenen Daten ergeben sich verpflichtende Maßnahmen für B2B-Unternehmen und deren Dienstleister, wie etwa den Anbieter einer Web-Analytics- oder Marketing-Automation-Software. Doch die wohl größte Herausforderung besteht darin, zunächst eine passende Software-Lösung zu finden. Denn sie sollte sich ohne Zusatzeinstellung sofort DSGVO-konform einsetzen lassen, sodass Datenschutz von Anfang bis Ende einer Marketingmaßnahme absolute Einhaltung findet. Dabei ist in erster Linie darauf zu achten, dass es sich um einen europäischen Anbieter mit Sitz und Serverstandort innerhalb der EU handelt. Außerdem ist es wichtig, dass dieser nicht nur „Privacy by Design“, sondern auch „Privacy by Default“ anbietet. Das heißt, alle datenschutzrechtlich geforderten Einstellungen sind vorab konfiguriert – beispielsweise so, dass keine Cookies gesetzt oder IP-Adressen serverseitig automatisch gekürzt werden. Darüber hinaus ist stets ein DSGVO-konformer Auftragsverarbeitungsvertrag mit dem Anbieter zu schließen.

Um passgenaues Online-Marketing betreiben zu können, müssen B2B-Marketer ihre Zielgruppe bestmöglich kennen. Dazu gehört es auch, Web-Tracking zu betreiben. Ist das heutzutage noch möglich, ohne datenschutzrechtliche Verstöße zu riskieren? 

Ja, natürlich – wenn man es richtig macht. Eine Möglichkeit ist, eine rechtskonforme Einwilligung für die Erfassung durch ein Web-Analytics-System einzuholen, was bei einer typischen Zustimmungsrate von weniger als zehn Prozent die Menge an wertvollen Daten erheblich reduziert. Die Einwilligung erübrigt sich jedoch, wenn auf das Setzen und Auslesen von Elementen wie Cookies auf dem Endgerät des Nutzers verzichtet wird. Zudem darf das Tracking ausschließlich zum Zweck der Website-Optimierung durch das die Seite betreibende B2B-Unternehmen dienen und nicht zu Werbe- oder anderen Zwecken erfolgen. Dann greift nämlich Art. 6 Abs. 1 S.1 lit. f DSGVO, das heißt das „berechtigte Interesse“ des Website-Betreibers, und gar nicht erst das Cookie-Urteil des BGHs. Voraussetzung ist jedoch, dass es bei einem reinen Session-Tracking bleibt, bei dem eine Sitzung nur 24 Stunden lang identifizierbar ist. Eine Re-Identifikation von wiederkehrenden Website-Besuchern ist nicht gestattet. Aber: Es lassen sich dennoch relevante Daten generieren und als Basis für Marketing-Entscheidungen heranziehen. Zudem läuft der B2B-Marketer nicht Gefahr, Nutzer mit Consent-Bannern zu verschrecken und steigert damit das Vertrauen der Nutzer und zugleich die Datenqualität im Marketing.

Zusammengefasst ist Tracking ohne Einwilligung rechtskonform möglich, wenn…

  • … ein Auftragsverarbeitungsvertrag mit dem Tracking-Anbieter besteht, der den Anforderungen der DSGVO genügt
  • … der Tracking-Anbieter die Daten nicht auch für eigene Zwecke nutzt 
  • … er die Daten weder über verschiedene Websites verknüpft noch weiter anreichert 
  • … keine Cookies oder andere Elemente zur Nutzerprofilbildung eingesetzt werden 
  • … die Opt-out-Möglichkeit in den Datenschutzhinweisen genannt und umgesetzt wird 
  • … die Datenverarbeitung ausschließlich in der EU erfolgt 
  • … die IP-Anonymisierung gewährleistet ist
  • … explizite Do-Not-Track-Einstellungen im Browser berücksichtigt werden.

Erst dann, wenn ALLE diese Voraussetzungen erfüllt sind, ist Tracking ohne Einwilligung möglich. etracker Analytics, unabhängig geprüft und für DGSVO-Konformität ausgezeichnet, ist beispielsweise so ein Tool, mit dem sich genau das realisieren lässt.

Sie sind nicht nur Mitgründer der etracker GmbH, sondern haben sich dem Thema Datenschutz schon seit vielen Jahren persönlich verschrieben. Wo geht die Reise Ihrer Meinung nach hin? Worauf müssen wir uns in den kommenden Jahren einstellen?

Datenschutz bleibt auch im B2B-Marketing maßgebend in den nächsten Jahren. Mit weiteren Änderungen muss man aber durchaus rechnen. Weshalb insbesondere der Einsatz von US-Tools zunehmend schwieriger wird. Schon jetzt sind Aufsichtsbehörden dabei, Unternehmen zu prüfen, und werden bei Verstößen auch Bußgelder verhängen. Das allein sollte schon genügen, um sich datenschutzkonform aufstellen zu wollen. Doch obwohl die rechtlichen Aspekte überzeugen, scheuen viele B2B-Marketer den Aufwand, die eigenen Tools und Lösungen zu hinterfragen und abzulösen, auch wenn diese nicht mehr den gesetzlichen Anforderungen genügen. Dabei gibt es längst europäische Alternativen, die den Abschied von Google Analytics & Co. denkbar einfach machen. Zum Beispiel genügt es bei derartigen Software-Lösungen, den Tracking-Code von Google gegen den des rechtskonformen Anbieters auszutauschen, welcher dann automatisch sämtliche für Google Analytics angelegten Kampagnen aufgreift. Hier muss der Marketer nichts neu anlegen und Kampagnen können normal weiterlaufen, nur erfolgt die Datenverarbeitung dann eben rechtskonform. Das gilt auch für die Weiterverwertung von Daten in bewährten Advertising-Systemen. Hier kann der B2B-Marketer durchaus weiter auf Google, Facebook und Co. setzen, sofern das Web-Tracking-System die Kampagnen-Conversions automatisch und ohne Personenbezug bei den jeweiligen Anbietern einspielt.

Klar ist, dass erfolgreiches B2B-Marketing ohne Nutzerdaten nicht funktioniert. Doch bei der Wahl der technologischen Werkzeuge gilt es, das Thema Datenschutz mehr denn je ernst zu nehmen. Nur so können B2B-Unternehmen Marketingmaßnahmen rechtskonform umsetzen, sie zielsicher optimieren und den Marketing-ROI nachhaltig erhöhen. Also, Augen auf bei der Anbieter-Wahl!

Lieber Herr Bennefeld, vielen Dank für das Interview und den Einblick in die komplizierte Welt des Datenschutzes!

Der studierte Informatiker und Mathematiker Christian Bennefeld ist seit über 20 Jahren im Datenschutz aktiv. Nach seinem Studium war er viele Jahre in leitenden Positionen für internationale Softwarehäuser im Bereich IT-Security tätig. Im Jahr 2000 gründete er die etracker GmbH, ein Unternehmen für Website-Analyse und Online-Marketing-Optimierung, die er bis 2013 aufbaute und ihr heute noch als Berater verbunden ist. Mittlerweile fokussiert sich der Unternehmer ehrenamtlich u.a. mit datenschutz-zwecklos.de ausschließlich auf die Einhaltung des Datenschutzes und den Schutz der Privatsphäre. 

Möglichkeit zur Vernetzung: 
Christian Bennefeld auf LinkedIn

Whitney Johnson
Whitney Johnson
Ihre Ansprechpartnerin bei Haufe Media Sales

Leitung Marketing & Media Performance

Tel.: +49 931 2791-453
E-Mail: whitney.johnson@haufe-lexware.com