> externer Datenschutzbeauftragter > Marketing Datenschutz

Warum Marketing und Datenschutz manchmal nicht miteinander können, aber ohne einander nicht sollten

Marketing und DatenschutzVielen Unternehmen fällt es schwer Marketing und Datenschutz unter einen Hut zu bekommen. Wurde früher Werbung vermehrt auf dem postalischen Weg übersendet, so ergeben sich für Unternehmen heute viele weitere Wege, um für Produkte und Dienstleistungen zu werben. Neben dem Einsatz von Newslettern, die via E-Mail übersendet werden, gewinnt auch die Freundschafts- oder Beipackwerbung an Bedeutung, allerdings wird bei den Werbemaßnahmen der Datenschutz häufig in den Hintergrund gestellt.

Ihr externer Datenschutzbeauftragter erklärt, wieso Sie Marketing und Datenschutz nicht getrennt betreiben sollten und welche Datenschutz-Risiken beim Einsatz bzw. dem Versand von Werbung drohen.

Marketing und Datenschutz – Datenschutzrechtliche Grundlagen

Laut § 4 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten nur erlaubt, wenn eine Rechtgrundlage oder informierte und wirksame Einwilligungen der Betroffenen vorliegen.

Werbung auf dem postalischen Weg

Möchten Unternehmen für ihre Angebote, Dienstleistungen und Produkte auf dem Postweg werben, so sollten sie insbesondere einen Blick auf § 28 Abs. 3 Satz 2 BDSG werfen, denn dieser erlaubt die Verarbeitung und Nutzung von Listendaten. Zu den Listendaten zählen unter anderem der Name, die Anschrift, der akademische Grad sowie das Geburtsjahr.

Unternehmen, die Werbung via Post versenden, sollten allerdings beachten, dass sie Betroffene über ihr Widerspruchsrecht informieren sollten und sofern ein Betroffener von diesem Recht Gebrauch gemacht hat, eine weitere Verarbeitung und Nutzung zu Werbezwecken zwingend unterbleiben sollte.

Werbung auf dem telefonischen Weg

Werbemaßnahmen via Telefon haben in den letzten Jahren stark abgenommen, wobei zum einen die „neuen“ Möglichkeiten aber auch der hohe Aufwand eines datenschutzkonformen Einsatzes ein Grund dafür sein können.

Unternehmen ist von Werbemaßnahmen via Telefon ohne informierter und freiwilliger Einwilligung abzuraten, wobei diese insbesondere von Privatkunden eingeholt werden sollten. Bei Geschäftskunden reicht die mutmaßliche Einwilligung aus. Dies bedeutet, dass konkrete Umstände, dass der Betroffene ein Interesse am Telefonat hat, vorliegen müssen, wobei das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Aus diesem Grund ist auch im Business-to-Business-Bereich von einer Werbeansprache via Telefon eher abzuraten oder zumindest eine strukturierte Umsetzung sinnvoll. Für diesbezügliche Fragen sollten Sie Ihren betrieblichen Datenschutzbeauftragten konsultieren.

Werbung auf dem elektronischen Weg

Die Werbeansprache via E-Mail dürfte derzeit der beliebteste Weg sein. Ursächlich ist hierbei in der Regel der vermeintlich günstige Preis eines digitalen Mailings. Allerdings sollten auch hier einige Maßnahmen ergriffen werden, um Datenschutz-Risiken zu minimieren. Insbesondere im Business-to-Customer-Bereich (B2C-Geschäft) ist das Einholen von informierten Einwilligungen anzuraten, außer das Unternehmen erfüllt die in § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG) genannten Bedingungen. Diese wären Folgende:

  1. das Unternehmen hat die E-Mail-Adresse mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  2. das Unternehmen verwendet Werbung für eigene ähnliche Waren oder Dienstleistungen,
  3. der Kunde/der Empfänger der Werbung hat der Verwendung nicht widersprochen und
  4. der Kunde/der Empfänger wird sowohl bei der Erhebung der E-Mail-Adresse als auch bei jeder Verwendung über sein Widerrufsrecht informiert.

Sind die Bedingungen nicht bzw. teilweise nicht erfüllt, so ist das Einholen von informierten und freiwilligen Einwilligungen, insbesondere bei Privatkunden, dringend anzuraten. Unternehmen sollten darauf achten, dass sie den Betroffenen beim Einholen der Einwilligung ausreichend über die Datenerhebung, -verarbeitung und –nutzung sowie über das Widerspruchsrecht informieren. Auch sollte darauf geachtet werden, dass Betroffene bewusst einwilligen, indem sie zum Beispiel gezielt Häkchen setzen.

Ja ich willige ein, dass …

Ein weiterer Fehler, der in der Praxis häufig vorkommt, ist die Kopplung von Einwilligungen an Gewinnspielen oder Bestellungen. Unternehmen sollten darauf achten, dass sie für den Versand von elektronischer Werbung (Newsletter) explizite Einwilligungen einholen sollten.

Im Business-to-Business-Bereich (B2B-Geschäft) sollte der Versand von Newslettern ebenfalls über das sogenannte Double-Opt-in-Verfahren erfolgen. Dies bedeutet, dass Newsletter, wie bereits erläutert, erst versendet werden dürfen, wenn der Betroffene eingewilligt hat. Nach Einwilligung des Betroffenen sollte dieser eine Verifizierungs-E-Mail erhalten, um zu bestätigen, dass die angegebene E-Mail-Adresse auch ihm gehört.

Wurde allerdings ein Interesse des Geschäftskunden geäußert (gilt nicht für Privatkunden!!!) und dieser hat die Kontaktdaten hinterlassen, dann dürfen Newsletter ohne vorheriges Einholen von Einwilligungen übersendet werden, allerdings sollte der Geschäftskunde über sein Widerrufsrecht informiert werden. Zudem sollte auch hier beachtet werden, dass das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Durch Unternehmen eigenständig durchgeführte Risikokalkulationen führen in der Regel dazu, dass einfach geworben wird. Binden Sie daher zur konkreten Beurteilung auch hierbei Ihren Datenschutzbeauftragten

Sonstige Werbemaßnahmen

Neben den klassischen Werbemaßnahmen gewinnen auch Freundschafts- oder Beipackwerbung an Bedeutung. Auch werden verstärkt soziale Medien oder zielgerichtete Werbung auf der Basis von Analyseverfahren eingesetzt, um möglichst gezielt für Produkte und Dienstleistungen zu werben.

Bei Freundschaftswerbungen erhalten die Kunden die Möglichkeit, Freunden ein bestimmtes Produkt oder den Newsletter zu empfehlen. Dabei wird die Empfehlungs-E-Mail oftmals mit Gutscheinen, Werbegeschenken, etc. verknüpft. Bietet ein Unternehmen seinen Kunden diese Option an, so sollten ebenfalls einige Risiken beachtet werden, da auch bei den Empfehlungs-E-Mails Abmahnungen und Bußgelder keine Seltenheit sind. Insbesondere die fehlende ausdrückliche und informierte Einwilligung des Empfängers der Empfehlungs-E-Mail stellt Unternehmen vor viele offene Fragen und zahlreiche Risiken. Aus diesem Grund ist vor dem Einsatz von Freundschaftswerbung abzuraten.

Anderes sieht dies allerdings bei der Beipackwerbung aus, sofern einige Maßnahmen ergriffen werden. Soll Beipackwerbung verschickt werden, so sollte ebenfalls darauf geachtet werden, dass ausschließlich Listendaten verwendet werden dürfen. Zudem sollte der Betroffene/der Empfänger ebenfalls über sein Widerrufsrecht und, um von diesem Gebrauch machen zu können, über die verantwortliche Stelle informiert werden.

Werden soziale Medien eingesetzt, um das Unternehmen vorzustellen, so sollte z. B. grundsätzlich darauf geachtet werden, dass das Impressum und die Datenschutzerklärung hinterlegt oder von der Seite des jeweiligen Mediums, wie zum Beispiel Facebook, verlinkt werden. Sofern soziale Netzwerke für weitere Zwecke, wie zum Beispiel für Gewinnspiele, eingesetzt werden, sollten weitere Maßnahmen, die im Einzelfall unterschiedlich ausfallen können, ergriffen werden. Spätestens bei der Planung von Werbung auf der Basis der Datensätze, die über Analysetools gewonnen wurden, sollte fachkundiger Rat eingeholt werden. Ihr Ansprechpartner ist hierfür Ihr interner oder externer Datenschutzbeauftragter.

Fazit

Werbemaßnahmen, ob telefonisch, postalisch, elektronisch oder auf einem anderen Weg, waren und werden für Unternehmen wichtig bleiben, allerdings sollten Unternehmen nicht außer Acht lassen, dass Marketing und Datenschutz nicht voneinander zu trennen sind. Der Einsatz von Werbung kann – je nach Maßnahme – zahlreiche Datenschutz-Risiken mit sich bringen, die vor der Durchführung genauestens betrachtet und minimiert werden sollten.

Möchten Sie mehr zu Marketing und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz im Internet – Surfen mit Mozillas Browser Firefox Klar

Firefox Klar DatenschutzSeit kurzer Zeit gibt es auch in Deutschland Mozillas mobilen Browser „Firefox Klar“ für das Betriebssystem iOS. Viele Nutzer stellen sich die Frage, ob Firefox Klar oder die Browsererweiterung des Content-Blockers „Klar by Firefox“ Datenschutz-Risiken minimiert. Die Entwickler aus dem Hause Mozilla versprechen den Nutzern mit Firefox Klar jedenfalls eine höhere Privatsphäre und damit einen verbesserten Datenschutz.

Ihr externer Datenschutzbeauftragter informiert über den neuen Browser und erklärt, ob Firefox Klar für mehr Datenschutz im Internet sorgt und Datenschutz-Probleme sowie Datenschutz–Risiken lösen kann.

Datenschutz mit Firefox Klar – Wie Firefox Klar Datenschutz und eine höhere Privatsphäre schafft

Datenschutz im InternetUmgesetzt wird die Sicherung der Privatsphäre des Nutzers unter anderem durch den im Browser integrierten „Tracking-Blocker“, welcher verhindert, dass der Nutzer von Werbe- und Analysenetzwerken verfolgt wird.

Werbe- und Analysenetzwerke sorgen dafür, dass Sie über mehrere Netzwerke hinweg identifiziert werden können. Wird Ihnen auf einer Internetseite Werbung für ein Produkt angezeigt, welches Sie zuvor auf einer anderen Internetseite begutachtet haben, steckt dahinter ein Werbe- und Analysenetzwerk. Durch den Einsatz dieser Form des Marketings kann Werbung äußerst zielgerichtet erfolgen. Durch den „Tracking Blocker“ des Browsers Firefox Klar werden diese Netzwerke blockiert. Positiver Nebeneffekt dieser Funktion ist, dass Werbung weitestgehend ausgeblendet wird. Das Blockieren kann allerdings auch dazu führen, dass einzelne Funktionen von Webseiten nicht mehr genutzt werden können. Klar by FirefoxDies führt zwar zu mehr Datenschutz im Internet für den Nutzer, allerdings könnte die eingeschränkte Nutzerfreundlichkeit („Usability“) auch dazu führen, dass die Nutzerzahlen nach einem kurzfristigen Ansturm wieder rückläufig sein werden.

  1. Der Entwickler Mozilla empfiehlt für diesen Fall, die Internetseite in Firefox oder Safari zu öffnen und bietet dafür in Firefox Klar einen Button an, welcher die Seite auf den genannten Browsern öffnet.
  2. Ebenso existiert ein Löschbutton, der den gesamten Browserverlauf entfernt und somit verhindert, dass Dritte nachvollziehen können, auf welchen Webseiten Sie waren. Eine Löschfunktion für den Verlauf existiert zwar bereits in anderen bzw. nahezu allen gängigen Browsern, Firefox Klar bietet für den Nutzer lediglich einen vereinfachten Weg der Funktionsnutzung.

Surfen mit Mozillas Browser Firefox KlarWeiterhin kann der Nutzer innerhalb der Einstellungen des Browsers selbst und recht einfach bestimmen, welche Inhalte durch Firefox Klar geblockt werden sollen. So lassen sich mitunter Social-Tracker blocken, so dass beispielsweise der Tweet-Button auf Twitter oder auch Like- und Teilen-Buttons auf Facebook verschwinden. Dies hat den Vorteil, dass Social-Media Plattformen wie Facebook, Twitter und Co., das Surfverhalten nicht mehr überwachen können.

Optional lässt sich bei Firefox Klar das Laden von Webfonts (individuelle Schriftarten auf Webseiten) unterbinden, was regelmäßig die Surfgeschwindigkeit und vermutlich auch den genutzten Traffic erhöht. Außerdem ist in Firefox Klar ein Content-Blocker enthalten, der in den iOS-Einstellungen aktivierbar ist. Mit diesem werden Werbe- und Analysenetzwerke auch für Safari blockiert. Möchten Sie weiterhin Safari nutzen, ist auch dies kein Problem. Durch Verschieben des Schiebereglers lässt sich Firefox Klar für Safari aktivieren und die beschriebenen Funktionen in Safari nutzen.

Fazit

Die Funktionen, die Firefox Klar mit sich bringt, dürften für die meisten Nutzer nicht neu sein, da die Einstellungen auch bei der Nutzung anderer Browser eingestellt werden können, allerdings werden diese Funktionen sehr nutzerfreundlich verpackt und lassen sich durch nur wenige Klicks aktivieren. Dazu kommt, dass viele Funktionen, wie die blockierte Werbeverfolgung oder die blockierte Verfolgung durch Social-Media-Buttons, bereits nach Installation des Browsers aktiviert sind. Der Entwickler Mozilla legt, wie schon erwähnt, seinen Schwerpunkt auf die Privatsphäre des Nutzers. Wer mehr Privatsphäre mit wenig Klicks sucht, sollte einen Blick auf Firefox Klar  werfen, allerdings können nicht nur mit Firefox Klar Datenschutz-Risiken minimiert werden.

Wünschen Sie sich mehr Privatsphäre,  Sicherheit und Datenschutz im Internet beim Surfen, möchten allerdings Ihren bisherigen Browser nutzen, dann lesen Sie unseren Beitrag „Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“ oder „JavaScript deaktivieren – Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.“. Gerne können Sie auch direkt Kontakt zu uns aufnehmen oder fordern Sie ein unverbindliches Angebot zum Datenschutz an.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz bei Kundenbindungssystemen – Welche personenbezogenen Daten Kundenkarten- oder Rabattkarten-Anbieter wirklich benötigen und welche sie tatsächlich erheben

Kundenbindungssysteme Datenschutz„Kundenbindungssysteme Datenschutz“ sind zwei Begriffe, die insbesondere Datenschutzbeauftragte und Datenschützer selten in einem Satz verwenden würden, außer sie wollen vor neuen Systemen warnen oder die „Alten“ kritisieren. Diese Kundenbindungssysteme haben allerdings nicht nur bei Datenschutzbeauftragten und der Verbraucherzentrale einen schlechten Ruf, sondern auch bei Verbrauchern selbst. Der Grund für das schlechte Ansehen ist u. a. der Verdacht, dass die  Anbieter von Kundenbindungssystemen in Deutschland oder im europäischen bzw. internationalen Ausland:

  • persönliche Kundendaten an Dritte weitergeben könnten,
  • die gesammelten Daten für Marketingforschungszwecke verwenden und
  • die Kunden personenbezogen durch die Auswertung ihrer Daten analysieren.

Trotz der Skepsis, auch auf Seite der Verbraucher, ist die Verlockung, ein „gratis“ Messer-Set oder eine Armbanduhr für 25000 Punkte und einer Zuzahlung von 19,99 € zu erhalten, zumeist größer, weshalb Kundenkarten in zahlreichen Haushalten täglich verwendet werden.

Die Frage, ob wirklich mehr personenbezogene Daten erhoben werden als tatsächlich notwendig und ob die Erhebung und Verwendung datenschutzkonform ist, kommt allerdings regelmäßig hoch. Aus diesem Grund erklärt Ihr externer Datenschutzbeauftragter im Folgenden, die Bedeutung hinter der Begriffskombination „Kundenbindungsysteme Datenschutz“ und welche Gefahren hinter Kundenbindungssystemen lauern.

Wie funktionieren Kundenkarten?

Insbesondere im Einzelhandel sind Kundenbindungssysteme, wie Kundenkarten/Rabattkarten, ein beliebtes Werkzeug, um Verbraucher längerfristig an sich zu binden. Bekannte Anbieter sind u. a. Payback oder DeutschlandCard. Diese Kundenkarten ermöglichen es dem Kunden nicht nur beim Einkaufen von Lebensmitteln oder Kleidung Punkte zu sammeln, sondern auch beim Tanken, beim Buchen von Reisen oder beim Kauf von Medikamenten.

Kundenkarten DatenschutzVielfach zeigt sich, dass durch die vermeintliche „Punkte-Sammel-Wut“ nicht mehr den eigenen wirtschaftlichen Interessen gefolgt wird und nicht die günstigste Tankstelle, sei es vom Preis oder von der Entfernung, sondern z. B. eine Aral-Tankstelle angefahren wird. Hier können die beliebten Payback-Punkte gesammelt werden.

Neben dem Einzelhandel haben weitere Bereiche / Stellen, wie Kinos, die deutsche Bahn, oder verschiedene Fluggesellschaften eine Verwendung für Rabattkarten gefunden und setzen diese im Rahmen ihrer Bonusprogramme ein. Können die meisten Kundenkarten nur bei dem Anbieter der Karte (z. B. IKEA FAMILY), verwendet werden, so ermöglichen Payback oder die DeutschlandCard das Sammeln von Punkten bei einer Vielzahl an Partnern. Ein Datenaustausch bzw. eine gemeinsame Datensammlung liegt daher nahe, wodurch diese Kundenbindungssysteme Datenschutz-Gefahren um ein Vielfaches erhöhen.

Neben Punkten und zahlreichen Rabattaktionen erfreuen sich die Nutzer von Kundenkarten (z. B. Douglas Card) regelmäßig an der vereinfachten Bezahlung der Ware mittels dieser Kundenkarte.

Um von den Kundenkarten Gebrauch zu machen, muss der Besitzer in dem meisten Fällen ein Formular ausfüllen. Neben den Listendaten (z. B. Namen, Adresse) werden regelmäßig weitere Informationen, wie Interessen, der ausgeübte Beruf oder Angaben über die Kleider- bzw. Schuhgröße erfragt. Hat man das Formular ausgefüllt und an den Anbieter versendet bzw. dem Anbieter übergeben, so erhält der Kunde die Karte zum Teil direkt oder bereits nach wenigen Tagen / Wochen auf dem Postweg.  Mit Erhalt der Rabattkarte kann das „große“ Sammeln von Punkten und das Erwerben von vermeintlichen Schnäppchen beginnen.

„Kundenbindungssysteme Datenschutz“ – die Bedeutung hinter der Begriffskombination

Grundsätzlich gilt im Datenschutz das Verbot mit Erlaubnisvorbehalt, wodurch zunächst jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, außer sie basiert auf einer Rechtsgrundlage oder einer informierten Einwilligung der Betroffenen.

Auf Basis von § 28 Bundesdatenschutzgesetz (BDSG) dürften personenbezogene Daten erhoben, verarbeitet und genutzt werden, die zu Erfüllung der (eigenen) Geschäftszwecke erforderlich sind. Die Notwendigkeit zur Identifizierung des Verbrauchers würde beispielsweise erlauben, dass der Name und die Adresse verwendet werden. Zudem könnte das Geburtsjahr, wenn die Kundenkarte, ab einem gewissen Alter genutzt werden darf, oder eine Kontaktinformation, wie die Telefonnummer oder E-Mail-Adresse, erforderlich sein. Bei den Vorüberlegungen sollte geprüft werden, ob die Information über eine Person tatsächlich benötigt wird oder ob diese nur „gesammelt“ wird, um diese vielleicht irgendwann mal zu verwenden (Stichwörter „Datensammelwut“ oder „Vorratsdatenspeicherung“).

Die Kontaktdaten sollten allerdings nur zur Erfüllung des definierten Zwecks, zum Beispiel bei Rückfragen zu der Kundenkarte, genutzt werden. Weitere Daten, die auf Basis von § 28 BDSG erhoben werden dürfen, hängen von den einzelnen Systemen ab, allerdings könnten u. a. die Preise der Artikel für die Erfüllung des Geschäftszwecks wichtig sein. Bereits bei der Implementierung der Prozesse sollte der bestellte Datenschutzbeauftragte unbedingt eingebunden werden.

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die nicht zur Erfüllung des Zwecks erforderlich sind und Daten, die zum Zweck der Werbung oder Meinungsforschung erhoben werden sollen, setzen die informierte Einwilligung der Betroffenen voraus.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erstellte ein Gutachten über Kundenbindungssysteme und kritisierte u. a.,  dass

  • die meisten Kundenbindungssysteme mehr Daten über den Kunden erheben, als für die Durchführung des Bonusprogramms erforderlich sind,
  • bei zahlreichen Bonusprogrammen anfallende Daten zu Zwecken der Werbung und Marktforschung genutzt werden,
  • beim Einsatz der Kundenkarte in den Partnerunternehmen ebenfalls mehr Daten erhoben werden, als erforderlich sind,
  • der Einwilligungserklärung in vielen Fällen eine genaue Beschreibung der zu verarbeitenden Kundendaten fehlt,
  • nicht festgestellt werden kann, ob und welche Kundendaten Partnerunternehmen speichern und weiterverarbeiten.

Wie können sich Verbraucher schützen?

Gläserner MenschVerbraucher, die sich schützen möchte, ist anzuraten, dass sie gewissenhafter mit Kundenkarten / Rabattkarten umgehen und sich nicht von den zumeist sehr geringen Rabatten blenden lassen. Schließlich sollte sich der Kunde darüber bewusst sein, dass er für die Rabatte oder Prämien regelmäßig einen wesentlich höheren Preis, durch starke Einblicke in seine Privatsphäre, bezahlt.

Je häufiger der Verbraucher seine Kundenkarte nutzt, desto dichter werden die Informationen über ihn, bis der Anbieter ein ganzes Benutzerprofil erhält und genau weiß, wann und wo sich der Verbraucher aufgehalten hat und welche Vorlieben, Interessen und Gewohnheiten dieser besitzt. Dies gilt insbesondere für Kundenkarten, die bei zahlreichen Partnern verwendet werden können. Mit Hilfe dieser Rabattkarten könnte der Anbieter – bei regelmäßiger Nutzung – nicht nur erfahren wo und was der Kunde gerne einkauft, sondern auch wo der Kunde im Urlaub war und welche Krankheiten er hat. Die Gefahr ist daher nicht gerade gering, dass Kundenkarten-Nutzer – im Sinne des Datenschutzes – zu „gläsernen Menschen“ werden.

Nichtsdestotrotz sollten Kundenbindungssysteme nicht pauschal verteufelt werden, da Nutzer selbst entscheiden können, welche Informationen die Anbieter der Kundenkarten erhalten dürfen und welche man als Kunde lieber für sich behält.

Was sollten Anbieter von Kundenkarten beachten?

Anbietern von Kundenkarten ist dringendst anzuraten, dass sie für personenbezogene Daten, die für den eigentlichen Zweck nicht erforderlich sind und für die Übermittlung an Dritte erhoben werden, informierte Einwilligungen der Betroffenen einholen.

Anbieter sollten den Verbraucher ausreichend darüber informieren, welche Daten, für welchen Zweck erhoben werden. Über eine Übermittlung an Dritte, über das Widerspruchsrecht und über die Freiwilligkeit der Einwilligung sollten Kunden ebenfalls klare Informationen erhalten. Die verantwortliche Stelle ist des Weiteren eindeutig zu benennen.

Die besonderen Rechte, wie das Recht auf Auskunft, gemäß § 34 BDSG, sollten verantwortliche Stelle ebenfalls nicht außer Acht lassen und ggf. den Rat eines Datenschutzbeauftragten einholen.

Sie haben eine Frage hierzu? Sprechen Sie doch mit Ihrem (betrieblichen) Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?

Der Messenger „WhatsApp“ gewinnt seit Jahren in privaten Haushalten an Bedeutung, wobei der Kommunikationskanal nicht nur junge Nutzer lockt. Mittlerweile verwendet die Mehrheit, sobald sie in Besitz eines Smartphones ist, unabhängig ihres Alters den Messenger. Die einfache Handhabung, sowie die Plattformunabhängigkeit sind einige Faktoren, die im Februar 2016 zu über einer Milliarde WhatsApp-Nutzern geführt haben. Die steigende Beliebtheit und das routinierte Arbeiten mit dieser App führt dazu, dass der Messenger auch zu dienstlichen Zwecken eingesetzt wird.

WhatsApp wird allerdings schon lange nicht mehr rein als Kommunikationskanal in Unternehmen genutzt, sondern findet auch vermehrt als Marketing-Instrument Verwendung. Unternehmen können mittels WhatsApp eine Vielzahl an Nutzern erreichen, wobei die Kontaktaufnahme oftmals viel persönlicher erfolgen kann, als dies mit einer postalischen Ansprache oder per E-Mail möglich wäre.

Die vermeintliche Simplizität der Kommunikation mittels WhatsApp führt dazu, dass sowohl Arbeitnehmer als auch Arbeitgeber oftmals bewusst rechtliche Risiken ausblenden und gegen geltendes Datenschutzrecht verstoßen.

WhatsApp als Kommunikationskanal in Unternehmen

Whatsapp Datenschutz KatastropheImmer häufiger setzen Arbeitnehmer WhatsApp als internes Kommunikationsmittel ein. In diesem Rahmen tauschen sie beispielweise Dienstpläne oder Informationen über Kunden, Patienten, Kollegen etc. aus. Doch die interne dienstliche Nutzung von WhatsApp -insbesondere auf dienstlichen Endgeräten- führt regelmäßig zu zahlreichen datenschutzrechtlichen Risiken.

Zwar verspricht WhatsApp, seit Anfang April 2016, eine Ende-zu-Ende-Verschlüsselung, welche die Inhalte der Nachrichten vor unbefugtem Lesen schützen soll. Jedoch ist es nicht ratsam, sich auf dem Versprechen über eine funktionierende und dauerhafte Verschlüsselung der Betreiber eines vermeintlich kostenlosen Dienstes auszuruhen, da zumal eine Verschlüsselung nur dann gegeben ist, wenn der Chat-Partner über die aktuelle WhatsApp-Version verfügt. Wurde die aktuelle Version noch nicht auf dem Endgerät installiert, wobei in Gruppenchats nur ein Chat-Partner über die „veraltete“ Version verfügen muss, so ist keine Ende-zu-Ende-Verschlüsselung gegeben. Näheres zur Ende-zu-Ende-Verschlüsselung von WhatsApp können Sie in dem Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ nachlesen.

Vertraut man den Betreibern des Messengers bezüglich der Ende-zu-Ende-Verschlüsselung, steht man als Arbeitnehmer und insbesondere als Arbeitgeber (bzw. die Leiter / Entscheidungsträger der „Verantwortlichen Stelle“) vor weiteren Risiken. Zwar können die Inhalte der Nachrichten, zumindest laut der Betreiber, nicht mehr gelesen werden, allerdings wird in der Regel bereits im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der Applikation (App), der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht. Diese (personenbezogenen) Daten werden nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben.

Eine Datenübermittlung bedarf, laut Bundesdatenschutz, einer rechtlichen Grundlage oder einer informierten Einwilligung der Betroffenen. In der Regel liegt Beides bei der Installation und Nutzung des Messengers nicht vor. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union und des europäischen Wirtschaftsraums) ohne angemessenes Datenschutzniveau. Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln mit daran geknüpften weiteren Maßnahmen, hergestellt wird oder andererseits eine informierte und freiwillige Einwilligung eines jeden Kontakts im Telefonbuch eingeholt wird. Dies wäre allerdings ein Aufwand, den niemand tragen könnte bzw. möchte.

Eine weitere Möglichkeit wäre, den Zugriff von WhatsApp auf das Telefonbuch, sowie auf weitere Informationen (Fotos, Notizen, etc.) mittels manueller Einstellungen am Smartphone zu verhindern. Die WhatsApp-Nutzung wäre dadurch zwar weniger risikobehaftet, aber für den Nutzer mit Sicherheit mehr als unerfreulich, da keine „usability“ (Benutzerfreundlichkeit) mehr bestehen wird.

WhatsApp als Marketing-Instrument in Unternehmen

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe_Bild2Die Bedeutung von WhatsApp spielt allerdings nicht nur im Rahmen der internen Kommunikation eine große Rolle. Immer mehr Unternehmen fühlen sich, insbesondere aufgrund der Masse an Nutzern, verpflichtet, den Messenger als Marketing-Instrument einzusetzen. In diesem Rahmen werden nicht nur Newsletter versendet, sondern auch Inhalte mittels WhatsApp-Sharing-Button geteilt, Supportanfragen beantwortet oder ganze Beratungsgespräche ausgelagert. WhatsApp ist aufgrund der Gruppenchat-Funktion nicht nur für „persönliche“ Chats zwischen zwei Chat-Partnern, sondern vor allem zur Schaffung von Communities sehr attraktiv. Jedoch sollte sich ein Unternehmen nicht von den zahlreichen Vorteilen und Möglichkeiten blenden lassen und vor dem Einsatz des Messengers einen Blick auf die rechtlichen Grundlagen werfen.

Setzt man WhatsApp zu Marketingzwecken ein, so könnte man nicht nur gegen die allgemeinen Geschäftsbedingungen (AGB) von WhatsApp, die eine kommerzielle Nutzung des Dienstes untersagen, sondern auch gegen das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), sowie gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen.

Im Rahmen der geschäftlichen Ansprache, die laut den AGBs, zu unterlassen ist, ist das Risiko für das Unternehmen eher gering, da einer Sperrung üblicherweise eine Verwarnung vorausgeht. Die datenschutzrechtlichen Risiken stellen eine weitaus größere Problematik für Unternehmen dar. Denn auch in diesem Zusammenhang gilt das Verbot mit Erlaubnisvorbehalt. Im Datenschutz ist die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten grundsätzlich verboten, außer eine gesetzliche Grundlage oder informierte Einwilligung des Betroffenen erlauben die Erhebung, Verarbeitung oder Nutzung.

Datenschutz Werbung

Sollen Newsletter via WhatsApp versendet werden, so ist dem Unternehmen anzuraten, eine informierte und ausdrückliche Einwilligung der Betroffenen einzuholen, da ausschließlich § 7 S. 3 UWG unter strengen Bedingungen das Versenden von Newslettern ohne Einwilligung der Betroffen erlaubt. Für eine informierte und ausdrückliche Einwilligung sollten Unternehmen grundsätzlich das Double-Opt-in Verfahren anwenden, um eine Verifikation der Rufnummern bzw. der E-Mail-Adressen, im Fall von „gewöhnlichen“ Newslettern via E-Mail, vorzunehmen. Nutzt man allerdings die Broadcast-Funktion von WhatsApp, so sollte das Opt-In-Verfahren ausreichen, da der Nutzer die Nachrichten nur erhält, wenn der Absender als Kontakt hinterlegt ist. Eine Anmeldung, die zu Beweiszwecken gespeichert werden sollte und der Einsatz von Broadcast-Listen ist dringendst zu empfehlen.  Mittels dieser Listen können sich die anderen Nutzer, anders als bei den Gruppenchats, untereinander nicht sehen. Zudem sollte darauf geachtet werden, dass der Kunde bei der Anmeldung Informationen über den Verwendungszweck und das Widerrufsrecht erhält. Wobei der Hinweis zum Widerrufsrecht nicht nur im Rahmen der Erhebung der Rufnummer fallen sollte. Der Kunde ist in jedem Newsletter darüber zu informieren, dass er sich jederzeit aus dem Newsletter austragen kann bzw. durch Löschung der Rufnummer des Absenders kein Versand von Newslettern stattfinden kann.

Ein weiteres Problem, dass auf Unternehmen im Rahmen der Kundenkommunikation zukommt, könnte die Mitstörerhaftung sein. Zum einen ist unklar, ob das Unternehmen für Datenschutzverstöße seitens WhatsApp haften muss. Zum anderen ist der Einsatz von Communities kritisch, da in diesem Rahmen schädigende, rechtswidrige bzw. sittenwidrige Inhalte von Nutzern verbreitet werden könnten. Um das Risiko zu minimieren, ist der Einsatz von geeigneten Datenschutzerklärungen, Impressen, sowie von Nutzungserklärungen dringend anzuraten.

Der Einsatz des WhatsApp-Sharing-Buttons ist zwar auch mit Risiken verbunden, jedoch ist die Verwendung weniger risikobehaftet als die Nutzung des Like-Buttons von Facebook. Denn anderes als bei dem Like-Button sollen bei der der Verlinkung keine Daten übermittelt werden. Erst wenn der Nutzer den Link aktiviert, würde eine Datenübermittlung erfolgen. Eine Datenschutzerklärung, die über die Verwendung der Daten informiert, wäre trotzdem anzuraten.  Wird das Teilen von Inhalten an Freunde (Tell-a-Friend) mit wirtschaftlichen Anreizen verknüpft, so ist die Situation kritischer anzusehen.

Fazit

Der Einsatz von WhatsApp ist aus Datenschutzsicht kritisch. Zwar mag der Einsatz sowohl aus Unternehmens- als auch aus Kundensicht zahlreiche Vorteile bergen, jedoch stehen diesen Vorzügen eine Vielzahl an Risiken gegenüber.

Möchte oder kann ein Unternehmen -trotz der Risiken- nicht auf den Messenger verzichten, so sollte sich das Unternehmen ausreichend von seinem Datenschutzbeauftragten oder einem Datenschutzberater / Consultant beraten lassen. Eine weitere Alternative wäre der Einsatz eines Messengers, der europäische Server nutzt und damit schärferen Datenschutzrechten unterliegt.

Verwenden auch Sie WhatsApp zu Kommunikations- oder Marketingzwecken? Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten… ansonsten nehmen Sie Kontakt zu uns auf. Gerne beraten wir Sie rund um das Thema WhatsApp und über ein datenschutzkonformes Marketing.

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.