Datenschutz im Content Marketing?

Hat Datenschutz im Content Marketing überhaupt einen Platz? Das ist eine Frage, die ich mir schon seit einigen Wochen durch den Kopf gehen lassen und egal, wohin meine Gedanken auch wandern, so richtig schlau und glücklich werde ich mit meinen Erkenntnissen nicht. Was ist mit dir?

Dieser Artikel vom April 2016 wurde von Elisa Drescher, Datenschutzexpertin, von der SCALELINE LTD an die neueste Rechtsprechung angepasst. Viele Blogbeiträge zu Themen zum Datenschutz findest auch direkt auf SCALELINEs Blog. Die Ergänzungen berücksichtigen den Stand April 2022.

Wenn Gerichte und Blogger Datenschutz einfordern

Die Sicherheit unserer Privatsphäre ist schon sehr lange ein Thema, das mich beschäftigt. Vor mittlerweile einigen Jahren, genauer gesagt seit dem Urteil des Landesgerichts Düsseldorf zur Einbindung des Gefällt-mir-Widgets in Webseiten, hat sich einiges getan – die Entscheidung des Düsseldorfer Landgerichts wurde auch vom Europäischen Gerichtshof bestätigt. Zwei Welten prallten hier aufeinander.

Die Resonanz zu diesem Urteil war riesig und hat bis zum heutigen Tag Auswirkungen auf die Einbindung von Social-Media-Widgets. Gerade auch das Schrems-II-Urteil, mit dem dann auch noch das Privacy Shield „gekippt“ wurde, spielt hier eine wesentlich Rolle – gerade auch für die Betreiber der Webseiten. Auf allfacebook.de wurde damals ebenso berichtet, wie auf Zeit.de und Rechtsanwälte, wie etwa Dr. Martin Schirmbacher, nahmen ebenfalls Stellung. Die Richtigstellung von Dr. Schirmbacher, dass sich das Urteil nicht auf den Gefällt-mir-Button bezieht, sondern um das ganze Widget, war zwar durchaus aufschlussreich, aber meine datenschutz-affine Seele war zutiefst erschüttert. Natürlich wusste ich, dass Daten ausgetauscht werden, wenn Social-Sharing-Leisten in die Webseite eingebunden sind (deshalb verwende ich auch datenschutz-konforme von Shariff), aber der Gedanke lies mich irgendwie einfach nicht mehr los.

Ich besuchte also den IT-Security-Blog meines Vertrauens in der Hoffnung, dass ich dort mehr und vor allem kritischere Infos finden würde. Bingo! Mike hat auf seinem Blog nicht nur einmal das Thema Datenschutz aufgegriffen und auch diesmal war sein Artikel zu oben genannten Urteil wirklich tiefgründig – etwas, was ich an seiner Arbeit wirklich schätze.

Datenschutz im Content Marketing? Eher nein.

Die Lektüre von Mikes Beitrag lies mich aber als Content Marketerin eher ratlos zurück. Hier ein Auszug aus seinen Folgerungen:

Denn folgt man der Logik des Urteils, so ist die Einbindung JEDER externen Quelle fragwürdig, weil in diesem Zusammenhang immer auch die IP-Adresse übertragen wird. Beispiele gibt es zur Genüge:

• Die Einbindung externer JavaScripts von »Fremdquellen« ist nicht nur aus Datenschutzperspektive bedenklich, sondern auch hinsichtlich der Sicherheit
• Die Einbindung externer Schriftarten bzw. Webfonts (mit Vorliebe »fonts.googleapis.com«) ist demnach ebenfalls ein No-Go. Das einheitliche Gesamtbild bzw. Außenwirkung einer Webseite kann nicht wichtiger sein, als der Datenschutz der Besucher

Ergänzung April 2022: Hier gab es mittlerweile auch ein Urteil des Landgerichts München, das zum gleichen Ergebnis kommt. Mehr dazu hier.

• Generell steht die Einbindung weiterer Social Media Buttons zur Diskussion. Denn auch die direkte Einbindung von Picture Walls von Instagram oder Twitter übermittelt die IP-Adresse des Besuchers
• Die Einbindung externer Tracker (bspw. Google Analytics) ist seit langem bedenklich.

Ergänzung April 2022: Dazu gibt es jetzt auch eine aktuelle Entscheidung aus dem Jahr 2022 aus Österreich. Es ist höchste Zeit sich europäische Alternativen zu suchen, um nicht ins Fadenkreuz der Datenschutzbehörden zu kommen – und um Schadenersatzansprüche von Betroffenen zu vermeiden.

• Die Verwendung von Newsletter bzw. Newsletter-Diensten, die nicht selbst gehostet werden. Dazu gehört bspw. Mailchimp, das gerne auf WordPress-Seiten eingesetzt wird

Ergänzung 2022: Auch bei Newsleitter-Dienstleistern sollte auf europäische Alternativen zurückgegriffen werden. Ein Punkt, der vielmals auch übersehen wird, ist dass es nach Auffassung der Datenschutzbehörden auch erforderlich ist, dass für das Tracking im Newsletter (Verweildauer, Klickverhalten, odgl) eine separate Einwilligung notwendig ist. Das bedeutet, dass die Subscriber selbst entscheiden können müssen, ob sie ihr Verhalten tracken lassen wollen oder nicht. Andersfalls handelt es sich um eine Koppelung, die gegen die DSGVO verstößt.

Na bumm. Da saß ich nun, in meinen Grundwerten erschüttert. Mein Business und meine persönlichen Werten sind diametral entgegengesetzt. So konnte ich das nicht stehen lassen. „Geht nicht, gibt’s nicht“, ist nicht erst seit gestern einer meiner liebsten Leitgedanken.

Dieser Beitrag ist meine offizielle Bekundung an die Content-Marketing-Gemeinde, dass ich einen Weg suchen und finden werde. Datenschutz muss auch im Content Marketing seinen Platz einnehmen!

Interview zum Thema Datenschutz im Content Marketing

Was macht Ivana, wenn sie jemand sprachlos zurücklässt? Sie geht direkt auf ihn zu und will mehr wissen. Genau das habe ich getan und Mike zu einem Interview gebeten und er hat sich dankenswerter Weise dazu bereit erklärt. Vielen Dank noch einmal auch an dieser Stelle!

Ivana: Das Internet und dazu gehörende Online-Dienste lassen sich aus unserem Leben nicht mehr wegdenken, kaum jemand hat heute kein Smartphone in der Hosentasche. Dennoch fehlt vielen UserInnen ein ausgeprägtes Medienverständnis, besonders in jenem Bereich, wo es um ihre persönlichen Daten geht. So werden einerseits Begriffe wie Datenschutz und Datensicherheit vertauscht, es wird von einer allgemeinen Anonymität im Internet ausgegangen und relativ unkritisch werden neue kostenlose Dienste in Anspruch genommen. Wie siehst du diese Entwicklungen und welche Gefahren oder Herausforderungen siehst du daraus auf unsere Gesellschaft zukommen?

Mike: Es ist zunächst einmal wichtig zu begreifen: Daten sind wertvoll. Unternehmen wie Facebook und Google haben das seit längerer Zeit erkannt. Ein Blick auf den Aktienkurs dieser beiden Giganten genügt, um sich den »Wert« von Daten einmal vor Augen zu führen.

Die Nutzung der neuen Medien ist deshalb so attraktiv, weil die meisten angebotenen Dienste kostenlos sind. Doch davon sollte man sich nicht täuschen lassen. Vielmehr sollte man sich bei einer Vielzahl dieser Dienste darüber im Klaren sein, dass die Erbringung dieser kostenfreien Leistungen zumeist aus eigenen, egoistischen, wirtschaftlichen Motiven der Anbieter heraus erfolgt und dabei alles andere als kostenlos ist. Man muss sich darüber bewusst sein, dass wir bzw. unsere Daten das eigentliche Produkt sind, mit dem die Anbieter dieser kostenlosen Dienste ihr Geld verdienen.

Durch die Anhäufung und Auswertung unserer Daten (Profilbildung) werden wir zu gläsernen Menschen. Wir werden berechenbar – vorhersehbar. In meinen Augen ist dies eine gruselige Vorstellung, denn wenn wir jetzt nicht die Weichen stellen, dann entscheidet womöglich irgendwann ein Algorithmus über unser Leben.

Letztendlich können wir heute nur mutmaßen, welche Folgen die ständige Beobachtung und Auswertung auf unsere Gesellschaft haben wird. Wir benötigen daher eine offene Debatte über den Umgang mit »unseren Daten«, die nicht nur einseitig Staats- und Wirtschaftsinteressen berücksichtigt.

Ivana: Langsam aber doch steigt das Bewusstsein zum Thema Datenschutz und viele UserInnen versuchen sich gegen eine allgemeine Datensammelwut zu wehren. Gleichzeitig geben ihnen auch immer mehr europäische Gerichte recht. Worin liegt denn nun eigentlich das zentrale Problem bei der Anhäufung von Daten und was können wir tun, um uns als Privatpersonen zu schützen?

Mike: Bevor ich näher auf die Frage eingehe, betrachten wir kurz das Recht auf informationelle Selbstbestimmung: In der Theorie sieht das Recht vor, dass jeder selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen kann. Theorie und Praxis klaffen beim Thema Datenschutz allerdings weit auseinander. Heute können wir doch schon gar nicht mehr sagen, wer, wann, wie und wozu unsere Daten sammelt.

Ein Beispiel: Du hast einem Bekannten deine Telefonnummer, Name und Adresse geben. Er hat diese Informationen auf seinem Smartphone gespeichert. In seiner Freizeit nutzt er den Messenger WhatsApp. Dieser lädt bei jedem Start der App das gesamte Adressbuch inklusive der Telefonnummern auf US-amerikanische Server. An diesem Punkt wird dein Recht auf informationelle Selbstbestimmung verletzt. Du hast keine Kontrolle darüber, ob du Facebook diese Informationen preisgeben möchtest und kannst auch nicht über die Verwendung deiner Daten bestimmen.

Das ist allerdings nur ein Problem von vielen, das uns bei der Anhäufung von Daten begegnet. Um nicht den Rahmen des Interviews zu sprengen, noch kurz ein paar weiterführende Gedanken:

• Die Geschichte hat uns gezeigt, dass es oftmals sehr nachteilig für manche Menschen sein kann, wenn andere Personen zum Beispiel Kenntnis von ihrer Religion, ihrer sexuellen Orientierung oder anderen persönlichen Besonderheiten hatten. Hätten die Nationalsozialisten damals über die Informationen verfügt, die heute frei im Internet verfügbar sind, dann wäre das Ausmaß der Naziherrschaft höchstwahrscheinlich noch viel katastrophaler geworden.
• Niemand kann gespeicherte Daten vor dem unautorisierten Zugriff unbekannter Dritter schützen. Sind die Daten interessant, findet sich immer jemand der ausreichend Mittel zur Verfügung stellt bzw. den Aufwand betreibt, um an diese Informationen heranzukommen. Es gibt kein Fort Knox für Daten. Was ich damit sagen möchte: Informationen die irgendwo von einer Person gespeichert sind, unterliegen der ständigen Gefahr von jemandem gelesen und missbraucht zu werden, der dazu nicht berechtigt ist.

Jetzt zum zweiten Teil deiner Frage: Wer sich als Privatperson vor der Anhäufung personenbezogener Daten schützen möchte, der sollte auf verschiedenen Ebenen tätig werden. Nach meiner Auffassung sind dazu drei Ebenen essentiell:

• Politik
  • Gegen Überwachung bzw. Einschränkung der Grundrechte protestieren
  • Mit Parteien sympathisieren, die sich für Datenschutz und gegen die Ausweitung von Überwachungsmaßnahmen aussprechen
  • Bundestags- oder Landtagsabgeordnete gezielt ansprechen bzw. anschreiben und die hohe Bedeutung von Datenschutz herausstellen
  • […]
• Gesellschaft
  • Mitbürger über die Nachteile und Folgen der „Datensammelei“ aufklären
  • Unternehmen meiden, die mit deinen Daten ihre egoistischen, wirtschaftlichen Geschäftsmodelle umsetzen
  • […]
• Technik
  • Vermehrt auf Open-Source Soft- und Hardware zurückgreifen
  • Wechsel zu alternativen Diensten / Services, die deine Daten noch respektieren
  • Verschlüsselung flächendeckend einsetzen
  • […]

In jedem dieser Bereiche können wir etwas tun bzw. müssen es, wenn uns Privatsphäre und      Datenschutz wichtig ist.

Ivana: Ich bin als Beraterin für Content Marketing und Online PR in einer nicht zu beneidenden Situation: Einerseits liegt mir das Thema Datenschutz sehr am Herzen, andererseits sind viele Dienste, Tools und Apps, die mir meine Arbeit erleichtern, nicht wirklich datenschutz-konform. Social-Sharing-Dienste, Analytics (sei es Google oder Matomo) für die Webseite, das Einbinden fremder Inhalte, Newsletter-Systeme, Facebook Instant Articles und Custom Audiences… Ist es überhaupt möglich meine Arbeit mit Datenschutz zu vereinen und wenn ja wie? Was wäre denn so eine Art „Mindeststandard“, den man einhalten sollte?

Mike: Der Bereich Content Marketing und Online PR lebt vor allem von der Reichweite und Sichtbarkeit. Unterschiedliche Tools und Dienste versprechen eben genau diese beiden Kennzahlen zu erhöhen – in deiner Frage hast du bereits einige Werkzeuge aufgezählt. Die meisten dieser Werkzeuge lassen sich allerdings nur schwer „datenschutzkonform“ einsetzen. Aus meiner Sicht sitzt du in einer Zwickmühle. Einerseits liegt dir Datenschutz am Herzen, anderseits musst du eben genau jene Werkzeuge einsetzen, die es mit dem Thema Datenschutz oftmals nicht sehr genau nehmen.

Ein „Mindeststandard“ ist zumindest auf der eigenen Webpräsenz umsetzbar. Die Einbindung von Drittanbieter-Diensten, wie der Facebook Like-Button oder das Nachladen externer Schriftarten, kann auch datenschutzfreundlich umgesetzt werden. Weiterhin würde ich Matomo in jedem Fall Google Analytics vorziehen.

Ergänzung 2022: Auch nach den neuesten Entscheidungen der europäischen Datenschutz-Aufsichtsbehörden gilt dieser Grundsatz fort: Google Analytics kann derzeit nicht legal genutzt werden. Es gibt derzeit bereits erste Pressemeldungen, dass ein Nachfolge-Angemessenheitsbeschluss für das US-Privacy-Shield bald kommen soll, die Frage ist jedoch inwieweit nunmehr beim dritten Anlauf (Safe Harbour wurde ja auch bereits vom EuGH gekippt), es gelingt, den transatlantischen Datentransfer in Einklang mit der DSGVO zu bringen. Als weiteres Argument bringe ich auch hier immer das Argument der Datenhoheit zum Tragen.

Etwas schwieriger wird es beim Thema Newsletter, aber auch hier gibt es Lösungen, bei denen man auf einen externen Anbieter verzichten kann. Fairerweise muss man sagen, dass die technische Umsetzung nicht immer einfach ist, aber möglich. Und wem das Thema Datenschutz tatsächlich am Herzen liegt, der sollte vor dem Mehraufwand nicht zurückschrecken.

Ergänzung 2022: Neben dem Mehraufwand wird seitens unserer Mandant:innen auch immer die Kosten ins Treffen geführt. Dennoch möchte ich auch hier betonen: Es geht um den Schutz einer der wichtigsten Stakeholder von Unternehmen: Deren Kund:innen.

Ivana: In letzter Zeit meine ich im Online Marketing immer mehr Trends (besonders aus den USA kommend) zu beobachten, die den Begriff „data driven“ in sich tragen. Alles, was mit Datensammlung und -auswertung zu tun hat, ist gerade angesagt und verspricht der Werbebranche einen „neuen Frühling“. Findest du solche Entwicklungen bedenklich, ist quasi die Datenkrake gekommen um zu bleiben, oder sind sie eventuell nur ein Zeichen der Kreativlosigkeit einer ganzen Branche und damit ein zeitlich begrenztes Phänomen?

Mike: Die Amerikaner haben ein völlig anderes Verständnis von Datenschutz als die Europäer und speziell die Deutschen. In den US-amerikanischen Diensten und Werkzeugen zur Datensammlung und -auswertung spiegelt sich diese Diskrepanz wieder.

Unter dem Strich reden wir beim Thema Datensammlung und -auswertung sicherlich von keinem zeitlich begrenzten Phänomen. Die »Datenkraken« haben sich bereits fest in unserem alltäglichen Leben verankert, während die politischen Prozesse und Debatten rund um das Thema Datenschutz bereits Jahre in Verzug sind. Schon heute werden die Flugpreise eines Tickets, die Kreditwürdigkeit einer Person oder die Aufnahme in eine Versicherung von einem Computer berechnet – die Grundlage dazu sind die über uns erfassten Daten.

Ivana: Traust du dir eine Einschätzung zu, in welche Richtung sich der Datenschutz im Online Bereich entwickeln wird? Glaubst du, wird alles bis ins kleinste Detail reguliert werden oder wird sich in Europa früher oder später eher ein lockeres Datenschutzverständnis etablieren? Was wäre dir lieber oder was wäre für einen „normalen Internetuser“ besser?

Mike: Meine Kristallkugel ist leider kaputt – nein ernsthaft: In welche Richtung sich der Datenschutz entwickeln wird, hängt entscheidend von den gesetzlichen Spielregeln ab. Also auch davon, welchen Stellenwert das Thema Datenschutz in den nächsten Jahren in der Bevölkerung einnimmt. Wir sollten die Verantwortung nicht gänzlich auf die Politik abwälzen, sondern uns auch selbst vor den Fangarmen der Datenkraken schützen und die Gesellschaft aufklären.

Den Menschen muss eines klar werden: Sind unsere Daten erst einmal vorhanden, können sie durch den Einsatz von Computern und der entsprechenden Software, von wem und zu welchen Zwecken auch immer, ausgewertet werden. Vor diesem Hintergrund favorisiere ich persönlich ein strenges Datenschutzgesetz, wo jeder die Kontrolle und die Herrschaft über seine Daten behält.

Ergänzung 2022: Die DSGVO ist aus unserer Sicht ein Gesetz, das auf alle denkmöglichen Datenverarbeitung Anwendung findet, auch auch das Profiling miterfasst. Gerade im Bereich Datenschutz-Awareness bedarf es nach unserer Auffassung gerade in Österreich noch SEHR viel Aufklärungsarbeit. Derzeit begegnet uns in der Beratung noch oft der Gedanken „Ich hab ja nichts zu verstecken, daher ist Datenschutz nicht wichtig“. Hier bedarf es noch ganz viel Aufklärungsarbeit, die idealerweise bereits in der Volksschule starten sollte: Der Umgang mit Medien, dem Internet und ein Grundbewusstsein für Datenschutz muss unbedingt gelehrt werden. Andernfalls werden wir zu gläsernen Menschen, mit all den Gefahren, die Mike bereits angesprochen hat.

Schluss mit lauwarm

Ich weiß nicht, welches Gefühl dieses Interview bei dir zurückgelassen hat, aber ich will definitiv etwas an der derzeitigen Situation ändern und meinen Beitrag dazu leisten, Bewusstsein zum Thema Datenschutz zu schaffen. Auch in meiner Arbeit will ich bisherige Prozesse und Gewohnheiten dahingehend hinterfragen. Du wirst in den nächsten Wochen daher sicherlich einige Änderungen rund um mich, keen online communiucation und meine Online-Auftritte wahrnehmen.

Ich würde mich dabei über deine Unterstützung – in welcher Form auch immer – wirklich sehr freuen. Spread the word! Teile, kommentiere oder schreib mir eine Mail. Was ist dir wichtig? Worauf legst du Wert? Hast du eine geniale Idee oder ein hilfreiches Tool? Lass es mich wissen und lass uns gemeinsam einen anderen Weg einschlagen.

Mag. Elisa Drescher ist Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE LTD, einer Unternehmensberatung für Datenschutzrecht. Nach ihrer Tätigkeit bei einer renommierten Unternehmensberatung für Datenschutz in Deutschland verbindet sie die Anforderungen der DSGVO sowie den nationalen Datenschutzgesetzen in Österreich und Deutschland und vermittelt das für viele sehr trockene Thema Datenschutz auf eine sehr lockere und charmante Weise. Denn Datenschutz geht uns alle an. Und mit SCALELINE wird Datenschutz[R]echt easy.