GDPR-Compliance-Checkliste für digitale Vermarkter
Wenn Sie noch nichts von der neuen GDPR-Verordnung gehört haben, dann ist dieser Beitrag für Sie.
Im Ernst: Die Datenschutz-Grundverordnung ist von großer Bedeutung; sie ist ein Wendepunkt, und Sie müssen darauf reagieren. Vorzugsweise jetzt.
Deshalb haben wir diese GDPR-Compliance-Checkliste für Digital Marketer zusammengestellt.
Das Wichtigste zuerst: Dieses neue Gesetz tritt am 25. Mai 2018 in Kraft und betrifft alle Digital- und E-Mail-Vermarkter in der EU. Es ist unnötig zu sagen, dass es nicht ignoriert werden kann. Die Auswirkungen werden enorm sein. Beginnen Sie jetzt mit den Vorbereitungen.
Was ist GDPR?
Die GDPR wurde eingeführt, um das ursprüngliche Datenschutzgesetz von 1998 zu ersetzen, und soll Verbraucher und Unternehmen gleichermaßen schützen, indem sie die Erhebung und Weitergabe von Daten standardisiert. Künftig dürfen Verbraucherdaten nur noch für den Zweck verwendet werden, für den sie erhoben wurden. Die Art und Weise, wie Sie Kundendaten weitergeben, ändert sich, unabhängig davon, wo auf der Welt die Daten gespeichert und verarbeitet werden. Jeder einzelne der 500 Millionen EU-Bürger wird davon betroffen sein.
Die offizielle Definition von GDPR lautet:
"jede Willensbekundung, die ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erfolgt und mit der die betroffene Person entweder durch eine Erklärung oder durch eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten zum Ausdruck bringt".
Personenbezogene Daten beziehen sich auf alles, was eine Person identifizierbar macht, selbst so granulare Merkmale wie die politische Zugehörigkeit. Auch die IP-Adresse gilt nun als personenbezogene Daten.
Wir leben in einer Welt, in der Daten von Erst- und Drittanbietern die Digitalisierung vorantreiben, wie sie durch soziale Medien und Smartphones revolutioniert wurde. Doch die neue Verordnung wird die Regeln für Vermarkter völlig verändern.
Wen wird es betreffen?
Die Gesetzgebung wird jeden betreffen, der personenbezogene Daten für Marketingzwecke verwendet. Ganz gleich, ob es sich um E-Mail-Marketing oder soziale Werbung handelt, Sie werden davon betroffen sein.
Deutlich härter trifft es diejenigen, die Daten von Dritten verwenden, z. B. durch das Mieten von E-Mail-Listen. Im Grunde genommen können Sie diese nicht mehr verwenden, da Sie die Personen auf der Liste nicht persönlich um ihr Einverständnis gebeten haben. Und Sie können auch nicht nachweisen, dass sie Ihnen die Erlaubnis gegeben haben, sie zu kontaktieren.
Darüber hinaus werden auch die Eigentümer dieser Listen Dritter darunter zu leiden haben. Solange sie ihre Listen nicht wieder freigeben können, werden diese Listen überflüssig. Sie müssen nachweisen können, dass Sie eine direkte Beziehung zu der Person haben, die Sie kontaktieren wollen. Andernfalls können Sie sie nicht kontaktieren und dürfen ihre Daten auch nicht speichern. Die Daten müssen immer rechtmäßig und für einen bestimmten Zweck verarbeitet werden. Sobald dieser Zweck erfüllt ist, sollten die betreffenden Daten gelöscht werden.
Wenn eine Person wünscht, dass ihre Daten aus Ihrer Datenbank gelöscht werden, und sie nicht mehr für den Zweck verwendet werden, für den sie erfasst wurden, hat sie das Recht, dies zu tun. Dies wird gemeinhin als das "Recht auf Vergessenwerden" bezeichnet.
Genauer gesagt gilt die DSGVO für "für die Verarbeitung Verantwortliche" und "Auftragsverarbeiter" von Daten. Selbst wenn beide außerhalb der EU ansässig sind, unterliegen sie der DSGVO, solange sie mit Daten von in der EU ansässigen Personen umgehen.
Die eigentliche Erhebung von Lead-Daten durch Unternehmen wie Google und Facebook dürfte von der DSGVO unberührt bleiben, vor allem weil sie bereits direkte Beziehungen zu Kunden haben. Diese Netzwerke werden daher wahrscheinlich in hohem Maße von der Gesetzgebung profitieren, da die Vermarkter eine Verringerung ihrer eigenen First-Party-Daten feststellen können und daher stärker auf soziale Netzwerke angewiesen sein werden, um Verbraucher zu erreichen.
Was wird sich also ändern?
Sicherlich haben Sie schon den einen oder anderen Panikmache-Artikel gelesen, in dem Marken und ihre reflexartigen Reaktionen auf die Gesetzgebung beschrieben werden, wobei einige Marken sogar so weit gehen, ihre E-Mail-Datenbank komplett zu löschen. Dabei ist es eigentlich nur erforderlich, sein Haus in Ordnung zu bringen.
Auch wenn Sie bereits eine Einwilligung für Ihre Datenbank haben, wird diese wahrscheinlich nicht ausreichen. Selbst wenn Sie bereits vorher mit einer Person Kontakt aufgenommen haben, müssen Sie deren Zustimmung erneut einholen. UND eine Aufzeichnung darüber haben. Das ist das Hauptproblem - eine Aufzeichnung darüber zu haben, dass ein Nutzer sich damit einverstanden erklärt hat, Ihre Marketingnachrichten zu erhalten, wann er seine Zustimmung gegeben hat und wie.
Und Sie müssen sagen, WIE ihre Daten verwendet werden. Selbst wenn Ihnen jemand seine Visitenkarte ausgehändigt und gesagt hat: "Bitte kontaktieren Sie mich", reicht das nicht aus. Selbst eine mündliche Zustimmung reicht nicht aus, um der DSGVO zu genügen. Die Zustimmung muss nachweisbar sein und aufgezeichnet werden.
Ohne die ausdrückliche Zustimmung dieser Nutzer ist die einzige Alternative, dass Sie eine Datenbank mit Nutzerdaten haben, die völlig überflüssig ist. Dies ist eine Situation, die kein Unternehmen wünscht und die katastrophal wäre.
Was ist mit dem Brexit?
Es führt kein Weg daran vorbei - die Rechtsvorschriften werden unabhängig vom Brexit in Kraft treten. Zu dem Zeitpunkt, an dem die DSGVO in Kraft tritt, wird das Vereinigte Königreich noch Teil der EU sein. Wir wissen bereits, dass das Vereinigte Königreich frühestens in zwei Jahren austreten wird. Die Regierung des Vereinigten Königreichs hat bereits bestätigt, dass die Änderungen weiterhin durchgeführt werden.
Möglicherweise werden die Vorschriften nach dem Brexit noch einmal überarbeitet, aber es macht wenig Sinn, dieser Möglichkeit zuvorzukommen! Die Datenschutz-Grundverordnung wird kommen, und die Unternehmen müssen sich darauf einstellen.
Wie sieht es mit Retargeting durch benutzerdefinierte Zielgruppen aus?
Man könnte argumentieren, dass die Daten nicht identifizierbar sind, da sie vor dem Hochladen auf Facebook gehasht werden. Das ändert jedoch nichts daran, dass es sich um personenbezogene Daten handelt - denn sobald der Upload Facebook erreicht, werden sie immer noch mit den personenbezogenen Daten einer Person auf Facebook abgeglichen. Im Grunde genommen versuchen Sie immer noch, diese Personen herauszufiltern und mit Werbung zu erreichen.
Bevor die DSGVO in Kraft trat, konnten Sie Ihre Bereinigung der Einwilligungserklärung möglicherweise als Anzeigenkampagne durchführen. Mit Facebook-Lead-Anzeigen könnten Sie diesen Prozess vereinfachen und darüber hinaus Ihre Daten mit zusätzlichen Fragen anreichern. Betrachten Sie die Wiederzulassung als eine Chance, Ihre Datenbank zu erweitern.
Wie wirkt sich die GDPR auf das Retargeting über Facebook Custom Audiences, LinkedIn Matched Audiences oder Google Customer Match aus?
Mit den Lösungen von Driftrock für die Synchronisierung von Zielgruppen können Sie sicherstellen, dass Sie auf der richtigen Seite der GDPR-Compliance stehen. Unsere Software kann Ihre CRM-Listen und -Segmente alle drei Stunden synchronisieren. Wenn sich also jemand aus Ihrem CRM abmeldet, wird er auch aus Ihrer benutzerdefinierten Zielgruppe auf Facebook, LinkedIn oder Google Matched Audiences entfernt. Erfahren Sie mehr über unsere GDPR-Lösungen für digitales Marketing.
Was sind die Folgen einer Nichteinhaltung?
Im Ernst - Sie sollten nicht einmal in Erwägung ziehen, damit durchzukommen. Bei Nichteinhaltung der DSGVO drohen Geldstrafen von bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes.
Denken Sie auch daran, dass die Verbraucher in dem Maße, in dem sich die DSGVO durchsetzt, immer mehr darüber wissen und somit auch ihre Rechte, ihre Möglichkeit, eine Beschwerde einzureichen, und die Möglichkeit, eine Entschädigung zu fordern, kennen werden. Sie wollen nicht am falschen Ende sitzen - das ist das Risiko für den Ruf Ihrer Marke einfach nicht wert.
Denken Sie an PPI - vor zehn Jahren hatte niemand etwas davon gehört. Heute ist das Thema im Bewusstsein der Verbraucher verankert, ebenso wie ihre Möglichkeiten zur Entschädigung.
Wenn Sie Zweifel an einem Teil Ihrer Daten und an der Art und Weise haben, wie Sie sie überhaupt erhoben haben (d. h. es ist unklar, ob eine Erlaubnis eingeholt wurde), dann ist es vielleicht sicherer, die Daten einfach zu löschen, anstatt eine neue Erlaubnis einzuholen.
Was ist der beste Weg, um eine neue Genehmigung zu erhalten?
Zunächst einmal müssen Sie darauf vorbereitet sein, dass Personen auf Ihre Anfrage nach einer erneuten Zulassung nicht reagieren. Es besteht eine gute Chance, dass Sie durch diese Maßnahme die Größe Ihrer Kontaktdatenbank verringern werden. Für die Vermarkter ist das ein wahres Blutbad. Und wenn Sie keine erneute Genehmigung erhalten, besteht die nächste Option darin, die Daten des Nutzers zu löschen. Das ist die bei weitem sicherste Option, um Sanktionen zu vermeiden.
Sie haben natürlich die Möglichkeit, nie wieder mit EU-Kunden in Kontakt zu treten, da die Rechtsvorschriften nur die EU betreffen. Aber das dürfte für die meisten EU-Unternehmen keine sinnvolle Option sein.
Bevor Sie sich um eine erneute Erlaubnis bemühen, sollten Sie sich zunächst einige Fragen stellen, um sicher zu sein, dass Sie die Tatsache, dass Sie über die personenbezogenen Daten einer Person verfügen, auch wirklich zur Kenntnis nehmen wollen. Selbst wenn Sie über die Daten von Personen verfügen, die eine PDF-Datei von Ihrer Website heruntergeladen haben, kann nicht davon ausgegangen werden, dass diese Personen damit einverstanden sind, in Ihre E-Mail-Liste aufgenommen zu werden.
- Hätten Sie diese Daten überhaupt jemals erhalten sollen?
- Woher haben Sie die Daten bezogen? Handelt es sich um Erst- oder Drittanbieter?
- Warum haben Sie die Daten?
- Haben Sie die ausdrückliche Erlaubnis, an eine Einzelperson zu werben?
Wenn Sie am Ende dieser Fragen immer noch sagen können, dass Sie rechtmäßig über die Daten verfügen, dann ist es an der Zeit zu entscheiden, wie genau Sie eine erneute Genehmigung beantragen werden. Darüber hinaus können Sie, wie bereits erwähnt, die Gelegenheit nutzen, um zusätzliche Informationen von Ihren Kontakten zu erhalten, z. B. durch die Einholung von Meinungen und die Anreicherung der über sie gespeicherten Daten, z. B. was ist Ihr Lieblingsauto?
Die wichtigste Erkenntnis daraus ist, dass Sie zumindest nachweisen können, dass Sie Schritte zur Vorbereitung auf die DSGVO unternommen haben. Es reicht nicht aus, einfach zu sagen: "Wir haben dies und das geplant" - es müssen echte Versuche unternommen werden, Ihre Daten zu bereinigen. Außerdem: Können Sie es sich wirklich leisten, 4 % Ihres Umsatzes einzubüßen? Ich denke nicht.
Jetzt haben Sie die Chance, eine Datenbank mit Kontakten aufzubauen, die kontaktiert werden WOLLEN und Ihnen gesagt haben, WIE sie kontaktiert werden möchten und WAS sie sich wünschen. Bauen Sie sich eine Datenbank mit Menschen auf, die von Ihnen kontaktiert werden möchten, und finden Sie heraus, wie genau sie kontaktiert werden möchten.
Es ist an der Zeit, Ihre Daten in Einklang zu bringen.
Möchten Sie wissen, wie Driftrock Sie mit unseren CRM-Automatisierungstools auf der richtigen Seite der GDPR halten kann? Erfahren Sie mehr über die Lösungen von Driftrock für die GDPR-Verordnung: