Neuspendergewinnung in Zeiten von DSGVO und E-Privacy - was ist künftig noch erlaubt? - Georg Brinkmann (SAZ Services GmbH)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Neuspendergewinnung in Zeiten von DSGVO und E-Privacy – was ist künftig noch erlaubt? Georg Brinkmann (SAZ Services GmbH)
Anwendungsbereich der DS-GVO
Die DS-GVO gilt für den Umgang mit personenbezogenen Daten (Name, E-Mail-
und IP-Adresse, Nutzerverhalten etc.) und für alle Arten von Betroffenen (Kunden,
Beschäftigte, Lieferanten etc.), bei denen es sich um natürliche Personen handelt.
Erfasst wird die ganz oder teilweise automatisierte Verarbeitung mit einer DV-
Anlage, sowie die nicht automatisierte (manuelle) Verarbeitung mit geplanter
Speicherung/Ablage in einem Dateisystem (nach mind. zwei Kriterien sortierbar).
Nicht erfasst werden:
– Verstorbene (Ausnahme z.B. Österreich), aber weiterhin postmortaler Schutz von Privatgeheimnissen über §
203 (4) StGB, etwa für Gesundheitsdaten
– Juristische Personen (GmbH, AG, SE etc.), hier aber GeschGehG, § 203 StGB und ePrivacy
– ausschließlich persönliche und familiäre Tätigkeiten („Haushaltsausnahme“, nicht: berufliche Tätigkeit,
Ehrenamt, Veröffentlichung im Internet, Dashcams)
– Diese so genannte „Haushaltsausnahme“ hält fest, dass zum Beispiel das Anlegen eines privat genutzten
Adress- und Telefon-Verzeichnisses („Anschriftenverzeichnis“) nicht unter die Anwendung der Datenschutz-
Grundverordnung fällt. Erwägungsgrund 18 nennt in diesem Zusammenhang explizit auch „die Nutzung
sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten“.
Anwendungsbereich der DS-GVO
Sitz des Verantwortlichen in der EU (Niederlassung genügt): unerheblich, ob
• die Verarbeitung durch einen Auftragsverarbeiter im Drittland (nicht EU/EWR)
erfolgt
• Daten von EU-Bürgern verarbeitet werden
Sitz des Verantwortlichen im Drittland: DS-GVO gilt, wenn
• Angebot an EU-Bürger, auch unentgeltlich (z.B. soziale Netzwerke)
• (Internet-)Verhaltensbeobachtung von EU-Bürgern
Erfasster Verantwortlicher im Drittland muss Vertreter in der EU bestellen und in
seiner Datenschutzerklärung erwähnen, Ausnahme (kumulativ):
• DV nur gelegentlich, ohne umfangreiche sensible Daten und ohne Risiken
Datenerhebung – Offline • Printwerbung (z.B. Mailings / Empfehlungen / Gewinnspiele / Anzeigen • Adressprodukte (siehe später Bereinigungsprodukte) • Telefonie (Inbound / Outbound) • Einkauf/Mieten von Fremddaten (AZ / Microm / Deutsche Post / SAZ) • Face to Face / POS / usw Datenbank
Datenerhebung – Online • Eigene Website • Displaywerbung • Suchmaschinenwerbung (z.B. Google Ads / Grants) • E-Mail-Marketing • Social Media Marketing (Facebook, Instagram, Youtube, Facebook) Datenbank
Datenpflege & Anreicherung • Aktualisierung auf Umzüge • Aktualisierung auf Verstorbene Adresspflege • Aktualisierung auf Unzustellbare • Anreicherung aus Fremdbeständen • Informationen und Aktualisierung aus der Zustellung Am besten dauerhaft in die Datenbank übernehmen
Datenpflege
• Aktualisierung auf Umzüge smartCLEAN 12 Mio.
Post Adress Move 6,5 Mio.
moversPLUS
• Aktualisierung auf Verstorbene smartDECEASED 5 Mio.
Post Adress Clean 11,5 Mio.
• Aktualisierung auf Unzustellbare smartCORRECT 22 Mio.
PostAdress Clean 17 Mio.
Datenpflege & Datenanreicherung
• Nutzung auf Einzel-Job Ebene
• Nutzung mit Hilfe von standardisierten Schnittstellen
– z.B. aus der Software heraus
• Onlineanbindung (kann nicht jeder)
– Einzelabfragen
– Datenbestände
Datenpflege & Adressabgleiche:
Modulare Systeme
• Abgleich nach Ähnlichkeit / Identität (Score System)
• Abgleich nach Adressbestandteil / Telefonnummer / E-Mail Adresse
• Abgleich mit beliebig vielen Positiv- und Negativlisten
– Hauslisten (auch auf Landesebene)
– Verschiedene Interessenten
– Sperrlisten
– Listen von Drittanbietern (Listengeschäft)
– Öffentliche Sperrlisten (z.B. Robinsonliste)
• Abgleichprotokolle gemäß DDV-Standard
Datenerhebung – Fremddaten
• Listbroking / Empfehlungsmailings
– Herkunft: Kundendaten anderer Unternehmen
– Tendenz: sinkende Verfügbarkeit / Qualitätsprobleme
• Beispiele: Liste X wird 7 Mal in 1 Woche von verschiedenen NGO`s genutzt
• Consumer Datenbanken
– Herkunft: Öffentliche Quellen
– Tendenz: gute Verfügbarkeit
• Beispiele: Datenerhebung wird konkreter (online/öffentlich zugängliche Daten)Datenerhebung – Fremddaten • Fremdadressmailings durch postalische Werbung
Beispiel Facebook:
1. Organischer Post
= er folgt der Organisation
2. Organischer Repost /
geteilter Post
= aus seinem Netzwerk
3. Bezahlte Facebook Ad
User interagiert mit Content
und gelangt zur LandingpageBeispiel Google:
1. Google Suche
2. Google Maps
Wie kann ich die Natur schützen?
3. Youtube
4. Partner-Netzwerk
Die Landingpage wird über
Google Ads beworben
Der Nutzer klickt auf die Anzeige und gelangt zur Landingpage.Online Leadgenerierung
Fragen, die geklärt werden müssen:
• Ziel: Eine große Masse an Leads oder nur eine bestimmte Gruppe an Leads?
– Qualität oder Quantität
• Über welche Kanäle erhält die Organisation diese Leads?
– Entscheidung über Medium und Kanal der Leadgenerierung
• Wie wird die Kampagne konzipiert und umgesetzt?
– Push oder PullOnline Leadgenerierung: Gmail-Anzeigen
• Online Displayanzeigen zur
Leadgenerierung.
• Beispiel: Anzeigen im Gmail Posteigang
auf den Tabs „Werbung“ und „Soziale
Netzwerke“.
• Geeigner zur Ansprache von:
– Personen, die bereits Kontakt mir der NGO
hatten (z.B. Websitebesucher)
– Personen, die bisher nicht mit der NGO
interagiert haben (z.B. Targeting über Interesse,
Such-/Browsverhalten)
• Nicht in Google Grants Programm
enthalten.Online Leadgenerierung: E-Mail Petition
• Petitionen sind ein guter Anlass,
zur Generierung von Adressdaten
• Besonders für politisch engagierte
Organisationen geeignet
• Bietet gute Möglichkeiten für das
Micro-Targeting
-> direkte Ansprache einer konkret
interessierten Zielgruppe
Quelle: BUND, Thema: Kohlekraftwerk Datteln 4 vom 12.02.2020
campact, Thema: Inlandsflüge der Regierung vom 27.01.2020Online Leadgenerierung: E-Mail
• Ermöglicht personalisierung
– Personalisierte Shoppinglist
– Personalisiertes Spendenthema
Quelle: Plan International, Thema: Paten werden vom 11.02.2020Online Leadgenerierung: E-Mail
• Jede versendete E-Mail muss ein leicht erkennbares Impressum enthalten
– Entweder in Text oder über einen Link unmittelbar erreichbar
• Auf die Möglichkeit des Widerrufs der Erlaubnis, E-Mails zuzusenden muss in
jeder E-Mail hingewiesen werden
Quelle: Plan International, Thema: Paten werden vom 11.02.2020Online Leadgenerierung: Landingpage Spende
• Ermöglicht hochwertige
Personalisierung sofern an ein CMS
angeschlossen, z.B.:
– Personalisierte Shoppinglist
– Personalisiertes SpendenthemaPY(2
Online Leadgenerierung: Social Ads
• Lead Ads über Facebook und Instagram
• Große Reichweite:
– Facebook: Über 20 Millionen Nutzer täglich
– Instagram: Fast 10 Millionen Nutzer täglich
• Gleich mit einem Opt-in verbunden
• Kann innerhalb einer „ad sequence“ mit
verschiedenen Anzeigenformaten
verbunden werdenFolie 20
PY(2 Ad sequence: Eine Funktion von Facebook, die es erlaubt, dem Nutzer verschiedene Anzeigen in einer festegelegten Reihenfolge zu zeigen
Philipps, Yannik (SAZ-DE); 14.02.2020Der Weg der Daten:
Online
E-Mail-
SEA
Marketing Schnittstellen
Social
Media Displaywerbung
Marketing
Website
DatenbankZentrale Plattform zur Datenerhebung:
Ihre Website
• (Responsive) Design
• Übersichtlichkeit
• Anpassbarkeit
• Seriosität
• Anbindung an das Spendenmanagement
Anbindung an eine Datenbank
Automatisierte Referenzierung und NormierungRegeln für die Datenerhebung • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz • Zweckbindung (Zweck bei Erhebung festlegen) • Datensparsamkeit (Speicherung, soweit für Zweck erforderlich) • Richtigkeit der Daten (Kontrollpflicht) • Speicherbegrenzung (Dauer der Klardatenspeicherung) • Integrität und Vertraulichkeit (technische Datensicherheit) • Persönliche Teilhabe und Zugang (Betroffenenrechte) • Rechenschaftspflicht des Verantwortlichen (Beweislastumkehr)
Datenerhebung – Opt-In
• Opt-In
– Speichern der verschiedenen Kommunikationskanäle getrennt
• Mail
• Telefon / Handy
• Postalisch
• Bestätigung und Ablage
• Mail
• Brief
• TelefonDatenerhebung – Opt-In • Gilt ein Opt-In für die Person oder für die Mail Adresse?
Einwilligung
• Eine „Informierte Einwilligung“ setzt voraus:
– aktives Verhalten des Betroffenen
– verständliche Formulierung des Einwilligungstextes
– Hinweis auf den Verantwortlichen, den Verarbeitungszweck und die Art der verarbeiteten Daten
– Belehrung über die Widerruflichkeit (Widerruf ganz oder teilweise)
– ggfs. Hinweis auf eine automatisierte Entscheidungsfindung oder eine unsichere Drittlandsübermittlung
– formfrei möglich (Ausnahme Beschäftigungsverhältnis), aber: Nachweispflicht
– Altersgrenze: ab 13, bei Onlineangeboten, z.B. Facebook, ab 16 (in D)
• Bestandsschutz für „Alt-Einwilligungen“, die im Kern der DS-GVO entsprechen
(Freiwilligkeit, Alter, Verantwortlicher, Verarbeitungszweck, Widerruflichkeit).Einwilligung • Grundsätzlich bedarf es einer Einwilligung nur für Datenverarbeitungen, die für die Durchführung einer zugleich bestehenden vertraglichen Vereinbarung nicht erforderlich sind, z.B. für Werbezwecke. • Oft sind Einwilligungen allerdings aufgrund spezialgesetzlicher Vorgaben erforderlich, etwa bei Gesundheitsdaten, welche unter die ärztliche Schweigepflicht fallen. • Eine Einwilligung kann auch für mehrere Werbekanäle gleichzeitig erteilt werden (so der BGH für Telefon/E-Mail-Opt-In).
Einwilligung • Bei zusätzlich eingeholter Einwilligung bedarf es eines Hinweises, dass konkrete gesetzliche Erlaubnistatbestände von einem Widerruf der Einwilligung unberührt bleiben, sonst kann man sich später nicht darauf berufen. • Eine Verletzung der Informationspflichten aus Art. 13 DS-GVO bei der Datenerhebung ist unerheblich hinsichtlich der Wirksamkeit der datenschutzrechtlichen Einwilligung.
Einwilligung • Für elektronisch erklärte Einwilligungen sollte ein E-Mail-gestütztes Double-Opt-In- Verfahren eingesetzt werden. Ein solches Verfahren ist als Verifizierung für Telefonwerbung unzulässig. • Bereits für die telefonische Opt-In-Einholung ist ein Opt-In erforderlich. Auch eine Vorbereitungshandlung für Werbung ist Werbung. • Das Hinterlegen der Visitenkarte am Messestand zur Kontaktaufnahme ist als Opt-In anzusehen. • Ein Opt-In erlischt nicht allein durch Zeitablauf (so der BGH, a.A. die DSK: ca. nach 1,5 Jahren, wenn bis dahin nicht genutzt).
Datenerhebung – Qualitätscheck • Postalisch referenzieren – Deutsche Post – Private Dienstleister • Kontaktdaten referenzieren – Telefon => Eigenbestätigung / Fremdbestätigung / Pingtest – Mail => Bestätigungsmails • Prüfung von Bankdaten – Plausibilität
Datenerhebung – Qualitätscheck • Daten normieren – Verschiedene Bestände in die gleiche Struktur bringen • Privat- und Firmendaten – „Getrennte“ Speicherung – „Gemeinsame“ Verwendung – „Relationen“
Datenerhebung – Beispiel
Frau Marlen Mustermann
Musterstr. 15
XXXXX MusterhausenNeuspendergenerierung:
Adressbeschaffung
Organisation Adresseigner
Mailing
Broker
Unbegrenzte Auswahl an
Beschränkte Auswahl an potenziellen Neuspendern
potenziellen Neuspendern Aktionsgebundene Optimierung
Sichergestellte Aktualität
Koordination mit
marktübergreifenden Kampagnen
Potenzielle NeuspenderNeuspendergenerierung:
Adressbeschaffung
Organisation Adresseigner
Mailing
Unbegrenzte Auswahl an
potenziellen Neuspendern
Aktionsgebundene Optimierung
Sichergestellte Aktualität
Koordination mit
marktübergreifenden Kampagnen
Potenzielle NeuspenderDatenerhebung – Fremddaten
• Widerspruchserfordernis
– Bsp.: Sie können einer werblichen Nutzung Ihrer Daten jederzeit widersprechen.
Haben Sie eine postalische Nachsendung beantragt oder nutzt der Absender einen
Adress-Aktualisierungsservice, ist uns Ihre neue Anschrift evtl. nicht bekannt.
• Herkunftsnachweis
– Bsp.: Verantwortlich i.S.d. Datenschutzrechts: SAZ Services AG, Davidstrasse 38,
9000 St. Gallen, Schweiz. Näheres unter www.saz.com/de/datenschutz.Datenerhebung – Fremddaten
• Widerspruchserfordernis
– Bsp.: Sie können der Verwendung Ihrer Daten zu Werbezwecken durch die
Mustermann Verlag und Versand GmbH unter o.g. Anschrift jederzeit mit künftiger
Wirkung widersprechen.
• Herkunftsnachweis
– Bsp.: Ihre Adressdaten stammen von der Muster GmbH, Musterstraße 1 S, 15167
Musterhausen. Sie verarbeitet aufgrund der Interessensabwägung gemäß Artikel 6
(1) f DSGVO Ihre Adressdaten und ggf. Selektionskriterien, um Ihnen Werbung von
Unternehmen und Hilfswerken zuzusenden, sowie zur Aktualisierung, Validierung
und Anreicherung von Adressbeständen anderer Unternehmen. Sie können der
künftigen Verwendung Ihrer Daten zu diesen Zwecken jederzeit unter o.g. Anschrift
widersprechen. Dort erreichen Sie auch den XXX-Datenschutzbeauftragten.
Weitere Informationen zum Datenschutz erhalten Sie unter:
www.beispielseite.com/datenschutz.Fundraising im Einklang mit der DS-GVO
• Datenschutzrecht = Verbot mit Erlaubnisvorbehalt
– Was nicht ausdrücklich erlaubt ist, das ist verboten!
• Mögliche Rechtfertigungstatbestände (es können mehrere vorliegen):
– wenn und soweit der Betroffene eingewilligt hat (jederzeit widerruflich)
– Vertragsverhältnis mit dem Betroffenen (z.B. Mitgliedschaft im Verein), vorvertragliche
Maßnahmen auf Anfrage des Betroffenen (auch unentgeltliches Verhältnis wie Auftrag, Leihe,
Schenkung)
– rechtliche Verpflichtung, der der Verantwortliche unterliegt (z.B. Aufbewahrungspflichten nach
Handels- und Steuerrecht)
– Wahrnehmung einer gesetzlich zugewiesenen Aufgabe im öffentlichen Interesse oder
wissenschaftliche ForschungszweckeFundraising im Einklang mit der DS-GVO
• berechtigtes Interesse des Verantwortlichen (Art. 6 (1) 1 f) DS-GVO, gilt nicht für
Behörden, ErwG (47) DS-GVO), Prüfung nach DSK:
– 1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
– 2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
– 3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen
Person im konkreten EinzelfallFundraising im Einklang mit der DS-GVO
• Kern der Prüfung: Abwägung zwischen den berechtigten Interessen des
Verantwortlichen oder eines Dritten und den schutzwürdigen Belangen des
Betroffenen
– Beispiel: IT-Sicherheit, Betrugsverhinderung, Videoüberwachung, Direktwerbung (so ErwG (47)
DS-GVO, gilt nicht für Werbung mit sensiblen Daten, UWG bleibt anwendbar!), Nutzeranalysen,
Optimierung des Webangebots
• Berücksichtigung der „vernünftigen Erwartungen“ des Betroffenen:
Muss er mit der Verarbeitung rechnen?
– Das hängt von den Informationen des Verantwortlichen ab (z.B. Fotohinweis bei Events)
– Ausgleich: Widerspruchsrechte nach Art. 21 (1) und (2) DS-GVO
Darüber muss belehrt werden.Fundraising im Einklang mit der DS-GVO
• Zweckbindung
– bei Datenerhebung muss es bereits einen legitimen Zweck zur Speicherung geben, die
Festlegung ist zu dokumentieren (z.B. in der Datenschutzerklärung gegenüber den Betroffenen)
– die Speicherung von Daten auf Vorrat ist unzulässig
Warum speichere ich e-Mail Adressen, wenn ich diese nicht verwende?
• Zweckänderung
• Sie muss – liegt keine Einwilligung durch den Betroffenen vor – mit dem ursprünglichen Zweck
vereinbar sein (Ausnahme: die Durchsetzung zivilrechtlicher Ansprüche), der Betroffene ist
grundsätzlich vor der Weiterverarbeitung über den anderen Zweck zu informieren.Neuerungen bei der ePrivacy-Verordnung
• Zweite DSAnpUG-EU
– nach BDSG Datenschutzbeauftragter erst ab 20 Personen (Pflicht zur Erstellung
eines Verarbeitungsverzeichnisses bleibt unberührt)
– Schweiz gilt nach Änderung von § 1 (6) 1 BDSG wieder als Drittland
– keine Melderegisterdaten für Werbezwecke (auch nicht bei Einwilligung)
– Änderung von 154 Fachgesetzen
– Aufhebung der Postdienste-Datenschutzverordnung
• Gesetzesinitiative zur Bekämpfung des Abmahnmissbrauchs:
– keine Anwaltskosten bei Verletzung von (datenschutzrechtlichen)
Informationspflichten in Telemedien und nicht bei DS-GVO-Verstößen von
Kleinunternehmen und vergleichbaren Vereinen
– dann auch bei Erstabmahnung keine VertragsstrafenvereinbarungNeuerungen bei der ePrivacy-Verordnung • Auswahl aktueller Bußgeldfälle in Deutschland: – Speicherung unverschlüsselter Passwörter eines sozialen Netzwerks – Offenlegung von Gesundheitsdaten an den falschen Patienten – E-Mail-Adressen im offenen Verteiler (CC statt BCC) – unzulässige Videoüberwachung von Kunden und Arbeitnehmern – Offenlegung von Kontoauszügen gegenüber Unbefugten beim Online-Banking – Unzulässige Werbe-E-Mails an ehemalige Kunden – Fehlender Vertrag zur Auftragsverarbeitung
Neuerungen bei der ePrivacy-Verordnung
• Einführung eines Bußgeldkataloges:
– Grundsätzlich: bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im
vorangegangenen Geschäftsjahr
– Neu: Es wird eine Bußgeldtabelle geben anhand derer eine Abschätzung
vorgenommen werden kannNeuerungen bei der ePrivacy-Verordnung • Aktueller Stand: – Stand 10/2009 Kompromissvorschlag vom 18.09.2019 liegt auf Eis – Noch Regelungsbedarf für ePrivacy-VO oder Ergänzung DS-GVO? – 2020 frühestens Verabschiedung der ePrivacy-VO – 2022 frühestens anwendbar
Neuerungen
– Achtung: Großbritannien ist bei einem geregelten Austritt ab Ende Dezember 2020
unsicheres Drittland
– In Frankfurt hat das OLG beschlossen, dass ein opt In bei der Erhebung über
Gewinnspiele nicht für unbegrenzt viele Partner gelten darf.
• Über 20 ist nicht ok. Was ist dann aber ok? 7 / 10 oder 19
– Die Datenschutzkonferenz hat sich im Januar darauf verständigt, dass bei einem
Text zur Bestätigung eines opt In auch der Wiederrufwortlaut enthalten sein soll.
• Wie ist das umzusetzen?SAZ Services GmbH
Gutenbergstraße 1-3
30823 Garbsen
Georg Brinkmann
Tel. +49 5137 88 1213
georg.brinkmann@saz.comSie können auch lesen
