Datenschutz & Marketing Automation – Experteninterview!

Seit 2018 die DSVGO der EU in Kraft getreten ist, sind Unternehmen gezwungen, sich mit dem Thema Datenschutz auseinanderzusetzen. Auch und gerade im Fall von Marketing Automation geht es um den gesetzeskonformen Umgang mit Daten. Aus diesem Grund habe ich Herrn Mag. iur. , BA, LL.M. (UCL) Christian Tautschnig zu einem Gespräch über das Thema Datenschutz gebeten. Er ist Datenschutz-Experte und hat zu diesem Thema 2 Publikationen veröffentlicht.

Datenschutzexperte Christian Tautschnig im Interview

Christian Tautschnig, Datenschutzrechtliche Implikationen von E-Disclosure im (Online-) Schiedsverfahren (Jusletter-IT 11. Dezember 2013)

Christian Tautschnig, Cloud Computing und das neue Datenschutzregime der EU (Jusletter-IT 12. September 2012

Das Interview hat am 8.2.2023 in Althofen in Kärnten stattgefunden.

Welche gesetzlichen Grundlagen sind Ihrer Ansicht nach relevant, wenn man als Unternehmen Datenschutz ernst nimmt?

Christian Tautschnig: Grundsätzlich alle im Einzelfall anwendbaren. Aus österreichischer Sicht bedeutet das zunächst, dass insbesondere die europäische Datenschutzgrundverordnung („DSGVO“) und das österreichische Datenschutzgesetz (DSG) zu beachten sind. Allerdings wird in diesem Zusammenhang vielfach übersehen, dass es mit der europäischen ePrivacy-Richtlinie und der Cookie-Richtlinie sowie den in deren Umsetzung ergangenen Vorschriften im Telekommunikationsgesetz (TKG) und Gesetz gegen den unlauteren Wettbewerb (UWG) weitere wichtige Rechtsgrundlagen gibt, die die DSGVO ergänzen bzw. dieser teilweise aufgrund ihrer Spezialität auch vorgehen.

EU Recht und nationale Gesetze

Wie ist die Beziehung im Bereich Datenschutz zwischen nationalen gesetzlichen Grundlagen und EU Gesetzen?

Christian Tautschnig: Das Verhältnis zwischen EU-Rechtsakten und nationalen Gesetzen führt insbesondere im Bereich des Datenschutzes zu gewissen Spannungen. Konkret existieren in diesem Bereich auf EU-Ebene Rechtsakte in Verordnungs- und in Richtlinienform. Verordnungen wie die DSGVO sind in den Mitgliedsstaaten unmittelbar anwendbar und haben Vorrang vor nationalen Gesetzen. Das führt zur Situation, dass beispielsweise gewisse Regelungen im österreichischen Datenschutzgesetz nicht anwendbar sind, da sie im Widerspruch zur DSGVO stehen. Parallel existieren mit ePrivacy- und Cookie-Richtlinie Rechtsakte, die grundsätzlich in den Mitgliedsstaaten nicht unmittelbar anwendbar sind und vom nationalen Gesetzgeber erst in nationales Recht gegossen werden müssen. Da es im Rahmen dieser Umsetzung immer einen gewissen Spielraum gibt, sorgen die Richtlinien für keine vollständige Harmonisierung und sind in diesem Zusammenhang daher wiederum gegebenenfalls Abweichungen zwischen den Mitgliedsstaaten zu berücksichtigen.

Welches nationale Gesetz ist zu beachten wenn Unternehmen im Internet und damit eigentlich global agieren?

Christian Tautschnig: Klingt zwar blöd, aber grundsätzlich jedes Gesetz, das sich für bestimmte Sachverhalte für anwendbar erklärt. In praktischer Hinsicht ist man als europäisches Unternehmen hier aber grundsätzlich im Vorteil, da einerseits nicht flächendeckend Datenschutzgesetze existieren und andererseits die existierenden meist weniger weitreichenden Schutz als das europäische Datenschutzrecht vorsehen oder diesem nachempfunden sind.

Datenschutz und kleinere Unternehmen

Haben Sie Tipps wo sich gerade kleinere Unternehmen am Besten selbst informieren können?

Christian Tautschnig: Leider werden im Zusammenhang mit Datenschutz auch von Stellen, denen man eine sorgfältige Informationsbeschaffung zutrauen sollte, häufig Fehlinformationen verbreitet. Es ist daher nicht ganz leicht ohne Weiteres an verlässliche Informationen zu gelangen. Eine lobenswerte Initiative ist https://gdprhub.eu/, wo neben allgemeinen Informationen insbesondere auch aktuelle Entscheidungen von Gerichten und Behörden aus den Mitgliedsstaaten gesammelt werden.

Was ist als Unternehmen zu beachten?

Was sind die von Ihnen am Häufigsten beobachteten Verfehlungen von Unternehmen bzgl. Datenschutz.

Christian Tautschnig: Der Einsatz von US-Tools und damit einhergehende Übermittlungen personenbezogener Daten an US-Empfänger ohne Rechtsgrundlage.

Gerade E-Mail-Kampagnen sind im Online-Bereich ein effizientes Mittel, um Leads zu generieren und über automatisierte Prozesse zu entwickeln. Was ist aus Ihrer Sicht datenschutzrechtlich in Bezug auf Email Kampagnen besonders zu beachten?

Christian Tautschnig: Besonders zu beachten ist in diesem Zusammenhang, dass auf Basis der ePrivacy-Richtlinie besondere Vorschriften in Telekommunikationsgesetz (TKG) und im Gesetz gegen den unlauteren Wettbewerb (UWG) geschaffen wurden, die diesen Bereich vorrangig regeln. Die entsprechenden Vorschriften sind bereits beim Sammeln von Empfänger-Adressen zu berücksichtigen, um sicherzustellen, dass ein nachfolgender E-Mail-Versand eine rechtliche Basis hat.

Das Daten-Tracking spiel bei Marketing Automation eine große Rolle. Viele auch renommierte Unternehmen arbeiten weiterhin mit Google Analytics. Sehen Sie Gefahren, Google Analytics weiterhin einzusetzen?

Christian Tautschnig: Die mit der Verwendung von Google Analytics einhergehende Datenübermittlung an einen US-Empfänger ist in praktischer Hinsicht gegenwärtig nur mit der expliziten Zustimmung der Betroffenen zulässig. Die nach wie vor zu beobachtende Praxis ist in den meisten Fällen schlicht unzulässig. Da die aktuelle Inaktivität der Datenschutzbehörden, derartigen Verstößen nachzugehen, auf EU-Ebene zunehmend kritisch betrachtet wird, dürfte im Bereich der Rechtsdurchsetzung auch Bewegung entstehen. Nach den derzeit bekannten Informationen ist außerdem davon auszugehen, dass auch ein neuer Angemessenheitsbeschluss der EU-Kommission als Rechtsgrundlage für US-Übermittlungen relativ wenig Bestandskraft haben dürfte – vor diesem Hintergrund also auf derartige US-Tools zu setzen, ist allgemein als nicht wirklich nachhaltig und als riskant einzustufen.

Fazit

Der gesetzeskonforme Umgang mit Daten ist für jedes Unternehmen verpflichtend. Die Gesetzesgrundlagen sind mit der DSVGO der EU und nationalen Gesetzen gegeben, wobei die DSVGO als Verordnung unmittelbar gültig ist und prioritär vor widersprüchlichen nationale Regelungen gilt. Auch wenn Behörden aktuell inaktiv agieren, darf man sich darauf nicht verlassen. Allen Unternehmen sei daher geraten sich proaktiv zu informieren und den gesetzlichen Verpflichtungen unbedingt nachzukommen.

Titelbild von thisisengineering by pexels

TEAM

MISSION

NEUSTE BEITRÄGE

Über den Autor

Birgit Bucher

Birgit ist Specialist for Branding & Communication Sie ist seit 20 Jahren im Bereich Communications, Marketing & Brand Manager tätig.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.