Mit dem Inkrafttreten der Datenschutzgrundverordnung (GDPR) bemühen sich viele Vermarkter, ihre Online-Marketingstrategien an die Verordnung anzupassen. Leider gibt es, wie bei den meisten Vorschriften, viele Anforderungen, die verwirrend oder zweideutig sind. Eine davon ist die Behandlung, wenn Besucher aufgefordert werden, ihre Kontaktdaten anzugeben, um Zugang zu eingeschränkten (gated) Inhalten wie Whitepapers und Forschungsergebnissen zu erhalten.

WAS BESAGT DIE VERORDNUNG?

Artikel 7 der Verordnung ist sehr eindeutig, wenn es um die Erhebung personenbezogener Daten von EU-Bürgern geht: Die Zustimmung zur Verarbeitung personenbezogener Daten muss eindeutig erteilt werden, die betroffene Person muss darüber informiert werden, wie die Informationen verwendet werden, und sie muss die Möglichkeit haben, ihre Zustimmung jederzeit zu widerrufen.

Der vierte Absatz von Artikel 7 geht sogar noch weiter und sagt:

Bei der Beurteilung der Frage, ob die Einwilligung aus freien Stücken gegeben wurde, ist insbesondere zu berücksichtigen, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht wird, die für die Erfüllung dieses Vertrags nicht erforderlich ist.

Die wichtigste Erkenntnis aus diesem Absatz (und diejenige, die Vermarkter am meisten beunruhigt) ist, dass Dienstleistungen nicht unter der Bedingung erbracht werden können, dass personenbezogene Daten zur Verfügung gestellt werden, wenn diese Daten „für die Erfüllung dieses Vertrags nicht erforderlich sind [or service].“

KÖNNEN GESCHÜTZTE INHALTE WIRKLICH ALS „DIENSTLEISTUNG“ BETRACHTET WERDEN?

Bis vor kurzem gab es viele unterschiedliche Auslegungen von Artikel 7. Quid pro quo-Inhalte stellen nicht notwendigerweise einen Vertrag oder eine Dienstleistung dar. Viele waren der Ansicht, dass es sich lediglich um einen Austausch von Sachleistungen handelt und dass die Besucher, wenn sie deutlich auf die Absicht der Datenerfassung hingewiesen werden, sich dafür entscheiden können, die Inhalte einfach nicht herunterzuladen.

Die Artikel 29-Datenschutzgruppe hat jedoch im April 2018 überarbeitete Leitlinien veröffentlicht, die sich zwar nicht speziell mit Gated Content befassen (und immer noch nicht ganz klar sind, was ein „Dienst“ ist), aber dennoch zusätzliches Licht auf das Thema werfen. Mehrere Aussagen, die zwar für sich genommen nicht abschließend sind, zeichnen insgesamt ein klares Bild von der Absicht der Verordnung:

  • Der Zweck der Verarbeitung personenbezogener Daten [should not be] verschleiert oder gebündelt mit der Bereitstellung eines Vertrags über eine Dienstleistung, für die diese personenbezogenen Daten nicht erforderlich sind.
  • Selbst wenn die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person beruht, wäre dies keine Legitimation für die Erhebung von Daten, die in Bezug auf einen bestimmten Verarbeitungszweck nicht erforderlich sind und von Grund auf unlauter wären. Jedes Element unangemessenen Drucks oder unangemessener Beeinflussung der betroffenen Person (das sich auf viele verschiedene Arten äußern kann), das die betroffene Person daran hindert, ihren freien Willen auszuüben, macht die Einwilligung ungültig.
  • Der für die Verarbeitung Verantwortliche muss nachweisen, dass es möglich ist, die Einwilligung zu verweigern oder zu widerrufen, ohne dass ihm dadurch ein Nachteil entsteht. So muss der für die Verarbeitung Verantwortliche beispielsweise nachweisen, dass der Widerruf der Einwilligung keine Kosten für die betroffene Person verursacht und somit keinen eindeutigen Nachteil für denjenigen darstellt, der die Einwilligung widerruft.

Die Arbeitsgruppe geht sogar so weit, mehrere Beispielszenarien zu nennen. Keines davon bezieht sich speziell auf Gated Content, aber das erste ist das zutreffendste:

„Eine mobile App zur Fotobearbeitung fordert ihre Nutzer auf, ihre GPS-Lokalisierung für die Nutzung ihrer Dienste zu aktivieren. Die App teilt ihren Nutzern auch mit, dass sie die gesammelten Daten für verhaltensbezogene Werbung verwenden wird. Weder die Geolokalisierung noch die verhaltensbezogene Online-Werbung sind für die Bereitstellung des Fotobearbeitungsdienstes erforderlich und gehen über die Erbringung des angebotenen Kerndienstes hinaus. Da die Nutzer die App nicht nutzen können, ohne diesen Zwecken zuzustimmen, kann die Zustimmung nicht als freiwillig erteilt angesehen werden.“

WENN WIR IHNEN DIE WAHL LASSEN, WARUM IST DAS WICHTIG?

Unter der Annahme, dass der Anbieter der geschützten Inhalte völlig transparent über den Zweck der Erfassung der Informationen der betroffenen Person und die beabsichtigte Verwendung dieser Daten war, läuft die Verwendung von geschützten Inhalten auf einige wenige Schlüsselfragen hinaus:

  • Welcher Service wird angeboten?
  • Ist die Erhebung personenbezogener Daten für die Erbringung dieser Dienstleistung erforderlich?
  • Was ist „unangemessener Druck“?
  • Entsteht der betroffenen Person ein Nachteil, wenn sie ihre persönlichen Daten nicht zur Verfügung stellt (mit anderen Worten, wäre es „grundsätzlich unfair“)?
  • Entstehen der betroffenen Person Nachteile, wenn sie ihre Zustimmung zurückzieht, nachdem sie ihre persönlichen Daten übermittelt hat?

Oberflächlich betrachtet scheint die Dienstleistung, die angeboten wird, offensichtlich zu sein: Aussagekräftige, geschützte Beratung und Forschung ist das Produkt. Wenn dies tatsächlich die Dienstleistung ist, dann ist die Erhebung persönlicher Daten sicherlich nicht notwendig, um diese Dienstleistung zu erbringen. Wenn der Anbieter der Meinung ist, dass der Inhalt wertvoll ist, könnte er eine Gebühr für diesen Service verlangen. Dies ist jedoch nicht dasselbe wie die Frage nach den persönlichen Daten von in der EU ansässigen Personen, die durch die DSGVO geschützt sind. Darüber hinaus entsteht der betroffenen Person zwar kein Nachteil, wenn sie irgendwann in der Zukunft ihre Einwilligung zurückzieht (sie hat den Nutzen des Dienstes bereits erhalten), aber sie kann zunächst einen Nachteil erleiden, wenn sie beschließt, ihre Daten nicht anzugeben und die Inhalte herunterzuladen, insbesondere wenn die Inhalte sachdienliche Informationen enthalten, die von einem Konkurrenten genutzt werden könnten, wenn dieser sich entscheidet, seine Daten anzugeben.

Andererseits könnte man auch argumentieren, dass der eigentliche Dienst, der im Austausch für die Kontaktdaten der betroffenen Person erbracht wird, nicht der geschützte Inhalt ist, sondern der Folgekontakt oder das Abonnement anderer Inhalte (wie Newsletter oder Blogartikel). In diesem Fall würde die Datenschutz-Grundverordnung die geschützten Inhalte wahrscheinlich nur als einen Trick betrachten, um die betroffene Person zur Weitergabe ihrer Daten zu bewegen. In diesem Zusammenhang wird „unangemessener Druck“ auf die betroffene Person ausgeübt, um sie zu zwingen, der Datenerhebung zuzustimmen.

In beiden Szenarien verstößt die Erhebung der persönlichen Daten einer betroffenen Person gegen die Absicht der Verordnung. Bei der Beurteilung der Frage, ob die personenbezogenen Daten der betroffenen Person „aus freien Stücken“ zur Verfügung gestellt wurden, ist die Schlüsselfrage, ob sie diese Daten auch dann zur Verfügung gestellt hätte, wenn sie sich nicht gezwungen gefühlt hätte, dies zu tun, um Zugang zu den Inhalten zu erhalten. Auch wenn sich dieses Thema im Laufe der Zeit weiterentwickeln wird und spätere Gerichtsurteile für zusätzliche Klarheit sorgen werden, ist der Konsens der verfügbaren Informationen, dass Inhalte nicht unter der alleinigen Bedingung bereitgestellt werden können, dass die betroffenen Personen personenbezogene Daten zur Verfügung stellen, die nach der DSGVO geschützt und für die Erbringung des Dienstes nicht erforderlich sind.

IST DIES WIRKLICH DAS ENDE VON GATED CONTENT?

Für Unternehmen, die nicht in der EU tätig sind oder Waren/Dienstleistungen für in der EU ansässige Personen anbieten, können Gated Content dennoch als Marketingstrategie eingesetzt werden. Dies gilt auch, wenn in der EU ansässige Personen auf Ihre Website zugreifen, aber nicht direkt angesprochen werden (z. B. wenn Sie keine Dienstleistungen in Europa vermarkten, Ihre Website aber von der EU aus aufgerufen werden kann). Für Unternehmen, die den Regeln und Vorschriften der Datenschutz-Grundverordnung unterliegen, gibt es nur zwei Möglichkeiten: Machen Sie weiter wie bisher oder ändern Sie Ihren Ansatz für Gated Content.

Für viele Unternehmen sind Gated Content eine wichtige Quelle für Vertriebskontakte und ein wesentlicher Bestandteil ihres Geschäftsmodells. Dieses Modell einfach aufzugeben, ist möglicherweise keine praktikable Option. In diesen Fällen stellen sie sich höchstwahrscheinlich die folgenden Fragen (und beantworten sie):

  • Ist es wahrscheinlich, dass ein EU-Bürger eine Beschwerde einreicht, nur weil wir nach seiner E-Mail-Adresse gefragt haben? Das scheint nicht sehr plausibel.
  • Ist die EU zum jetzigen Zeitpunkt überhaupt in der Lage, die Verordnung durchzusetzen? Wir können uns nicht vorstellen, dass wir auf ihrer Liste der Prioritäten ganz oben stehen.
  • Selbst wenn uns jemand melden würde, würde ein solch geringfügiger Verstoß nicht nur zu einer einfachen Verwarnung und einem Plan für Korrekturmaßnahmen führen? Sie werden uns doch nicht wegen einer E-Mail-Adresse eine Geldstrafe von 4% der Einnahmen aufbrummen.

Für risikofreudige Unternehmen sind all diese Fragen berechtigt. Und auf der Ebene des einzelnen Datensubjekts mag Gated Content nicht als großes Risiko erscheinen. Wenn jedoch bei einem Unternehmen ein Datenschutzverstoß auftritt, bei dem alle Marketing-Kontaktinformationen veröffentlicht werden und sich herausstellt, dass diese Informationen hauptsächlich über Gated Content-Formulare gesammelt wurden, könnten die Strafen und Geldbußen schnell eskalieren. Die wichtigste Frage ist also: Wie viel ist es Ihnen wert?

Wenn sich Ihr Unternehmen dazu entschließt, dem Geist der Verordnung zu entsprechen, müssen sich die Methoden zur Einholung von Informationen ändern. Zwar können Vermarkter nach wie vor Inhalte bereitstellen und um Informationen über die betroffenen Personen bitten, doch müssen die folgenden Bedingungen erfüllt sein:

  • Die betroffenen Personen müssen darauf hingewiesen werden, dass sie nicht verpflichtet sind, ihre persönlichen Daten anzugeben, um die Inhalte zu erhalten.
  • Die betroffenen Personen müssen über die Gründe für die Datenerhebung, die Verwendung ihrer Daten und ihr Recht, die Einwilligung jederzeit zu widerrufen, informiert werden.

Die meisten Vermarkter werden zwar feststellen, dass die Zahl der Personen, die bereit sind, ihre persönlichen Daten freiwillig zur Verfügung zu stellen, abnimmt, wenn sie nicht dazu verpflichtet werden, aber sie werden auch feststellen, dass diejenigen, die sich dafür entscheiden, ihre Daten zur Verfügung zu stellen, hoch qualifiziert sind und zu gezielterem Marketing führen können. Außerdem wird der Anbieter von Inhalten in die Pflicht genommen, qualitativ hochwertige, aktuelle und relevante Informationen bereitzustellen. Wenn die Inhalte einen Mehrwert bieten, werden die Besucher wiederkommen und wahrscheinlich irgendwann Produkte oder Dienstleistungen Ihres Unternehmens in Anspruch nehmen.

ZUSÄTZLICHER HINWEIS: EINWILLIGUNG DER DATENPERSON VOR DER GDPR

Ein weiterer Bereich, der vielen Vermarktern Sorgen bereitet, ist der Umgang mit betroffenen Personen, die bereits vor der DSGVO ihre Zustimmung zur Verarbeitung gegeben haben. Der neue Leitfaden geht auch auf dieses Thema ein:

Für die Verarbeitung Verantwortliche, die derzeit Daten auf der Grundlage einer Einwilligung in Übereinstimmung mit dem nationalen Datenschutzrecht verarbeiten, sind nicht automatisch verpflichtet, alle bestehenden Einwilligungsbeziehungen mit den betroffenen Personen in Vorbereitung auf die DSGVO vollständig zu erneuern. Die bisher eingeholte Einwilligung ist weiterhin gültig, sofern sie mit den Bedingungen der DSGVO übereinstimmt.

So, da haben Sie es. Wenn Ihr Unternehmen die GDPR-Verordnung einhält, ist es nicht notwendig, die Genehmigung der betroffenen Personen für die Verarbeitung komplett zu erneuern. Es kann jedoch nicht schaden, die Einhaltung des Geistes der Verordnung zu demonstrieren, indem Sie die betroffenen Personen darüber informieren, dass Sie über ihre Daten und ihre Rechte gemäß der neuen Verordnung verfügen.

Wenn Sie die Einhaltung der GDPR besprechen möchten oder Fragen zu dieser neuen Verordnung haben, kann Avalution Ihnen helfen. Bitte kontaktieren Sie uns noch heute, um mehr zu erfahren.