1. Sind Sie rechtlich fit fürs
Onlinemarketing 2018?
20. März 2018 mit Dr. Thomas Schwenke LL.M.
DSGVO, Tracking, Chatbots

2. Rechtsanwalt, Marketing, AGB
Datenschutzbeauftragter und
Datenschutzsachverständiger
Studium Deutschland & Neuseeland
Forschung AR & Smart Cams
@thsch
Dr. Thomas Schwenke LL.M.

3.  Verständliches DSGVO-
Guide mit Mustern
 Gutschein 20% „dsgvo-t3n“
 drschwenke.de/dsgvo-guide
Anzeige

4. Agenda

5.  Basics DSGVO
 Auftragsverarbeitung
 Rechenschaftspflichten
 Datenschutzerklärung
 E-Mail-Marketing
 Tracking & Targeting
 Messenger & Chatbots

6. Teil 1:
Basics DSGVO

7. Ändert sich wirklich
so viel?

9. Bußgelder bis 4 %
vom Umsatz (20 Mio
für Personen)

10. Abmahnungen und
Schadensersatz

12. Wann muss ich die
DSGVO beachten?

13. DSGVO gilt, wenn
personenbezogene
Daten verarbeitet
werden.

14. Alle Daten sind
personenbezogen.

17. Verarbeitung ist alles.

18. Alles ist verboten...

19. …außer es ist erlaubt.

21. Was ist erlaubt?

22. Art. 6 Abs 1 lit. b. DSGVO
Beantwortung von
Anfragen.

23. Art. 6 Abs 1 lt. b. DSGVO
Erfüllung von
Verträgen.

24. Erfüllung von
(wirksamen)
Verträgen ist erlaubt.

25. Nur was zur
Vertragserfüllung
erforderlich ist…

26. …und von
Vertragspartnern
vernünftigerweise
erwartet werden kann.

27. Art. 6 Abs 1 lit. c. DSGVO
Was andere Gesetze
vorgeben, ist erlaubt.

28. Z.B. Archivierung von
Steuerunterlagen für
10 Jahre.

29. Art. 6 Abs 1 lit. f. DSGVO
Berechtigte
Interessen.

30. Marketing ist ein
berechtigtes
Interesse.

31. Aber nur wenn
Schutzinteressen
Betroffener nicht
höher wiegen.

33. Art. 6 Abs 1 lit. a. DSGVO
Einwilligung

34. Einwilligung ist die
letzte Wahl.

37. Außer die
Einwilligung ist
gesetzlich
vorgeschrieben.

38. § 7 Abs. 2 Nr. 3 UWG
Einwilligungspflicht
im E-Mailmarketing

39. Art. 9 Abs 2 lit. a. DSGVO
Einwilligung bei
besonderen
Datenkategorien

40. Gesundheit, Ethnie,
Sexualität, Religion,
Politische Meinung,
biometrische Daten…

41. Teil 2:
Auftragsverarbeitung

42. Clouddienste, SaaS,
Webhosting,
Freelancer, etc.

47. Art. 28 DSGVO
Erlaubt mit Auftrags-
verarbeitungsvertrag

50. We use your services and, in regard to the upcoming EU data protection regulations, must ensure that we meet the legal requirements
(which will increase with the EU General Data Protection Regulation GDPR from 25 May 2018). Please answer the following questions
so that our data protection officer can check your Services. If you have any questions, we will gladly forward them to our data protection
officer. We are obliged to check the protection of personal data and whether the protection is also ensured in the case of subcontractors.
Our questions:
1. do you offer a Data Protection Agreement including technical and organizational data protection measures and an overview of
subcontractors? If yes, could you please send us a copy?
2. have you concluded appropriate contracts with the subcontractors which oblige the subcontractors equally to data protection? If yes,
could you please send us the copies of the obligations?
3. is the user's data pseudonymously processed? (e. g. are the IP addresses only saved anonymously, i. e. without last octet?)
4. are there any opt-out options for users? If so, how are they implemented?
For companies outside the EU: Do you offer legally recognized guarantees for the level of data protection (Model Contracts, Privacy
Shield)?

51. Wir nutzen Ihre Dienste und müssen im Hinblick auf die anstehenden EU-Datenschutzbestimmungen sicherstellen, dass wir die
gesetzlichen Anforderungen erfüllen (die mit der EU-Datenschutzgrundverordnung DSGVO ab 25. Mai 2018 steigen werden). Bitte
beantworten Sie die folgenden Fragen, damit unser Datenschutzbeauftragter Ihr Angebot prüfen kann. Wenn Sie Fragen haben, leiten wir
diese gerne an unseren Datenschutzbeauftragten weiter. Wir sind verpflichtet den Schutz der personenbezogenen Daten zu überprüfen
und ob der Schutz auch im Fall der Beauftragung von Unterauftragnehmern gewahrt wird.
Unsere Fragen:
1. Bieten Sie einen Auftragsverarbeitungsvertrag mit technischen und organisatorischen Schutzmaßnahmen sowie einer Übersicht der
Unterauftragsverhältnisse an? Wenn ja, könnten Sie uns bitte ein Exemplar zwecks Unterschrift zukommen lassen?
2. Haben Sie mit den Unterauftragnehmern entsprechende Verträge abgeschlossen, die die Unterauftragnehmer gleichermaßen auf den
Datenschutz verpflichten? Wenn ja, könnten Sie uns bitte die Kopien der Verpflichtungen zusenden?
3. Werden die Daten des Nutzers pseudonym verarbeitet? (z. B. werden die IP-Adressen nur anonym, d. h. ohne letztes Oktett,
gespeichert?
4. Bieten Sie Opt-out-Optionen für Nutzer an? Wenn ja, wie werden sie umgesetzt?
Für Unternehmen außerhalb der EU: Bieten Sie gesetzlich anerkannte Garantien für das Datenschutzniveau an (z.B., Musterverträge,
Privacy Shield)?

52. Art. 44 - 50 DSGVO
Zusätzliche Garantien
bei Auftrags-
verarbeitung außerhalb
der EU

53. http://ec.europa.eu/justice/data-protection/
international-transfers/transfer/index_en.htm

54. https://www.privacyshield.gov

55. Angemessenes Schutzniveau,
Privacy Shield,
Standardvertragsklauseln,

56. Teil 3:
Rechenschaftspflichten

57. Ich werde alles dokumentieren, Ich werde alles dokumentieren, Ich
werde alles dokumentieren, Ich werde alles dokumentieren, Ich werde
alles dokumentieren, Ich werde alles dokumentieren, Ich werde alles
dokumentieren , Ich werde alles dokumentieren , Ich werde alles
dokumentieren , Ich werde alles dokumentieren , Ich werde alles
dokumentieren , Ich werde alles dokumentieren

58. Art. 30 DSGVO
Verzeichnis von
Verarbeitungstätigkeiten

61. Art. 32 DSGVO
Sicherheit der
Verarbeitung

62. Art. 32 DSGVO

63. Art. 37 DSGVO, 38 BDSG
Datenschutz-
beauftragter

64. Notwendig ab 10
Beschäftigten oder
bei risikoreicher
Verarbeitung

65. Neu: Meldepflicht!

66. Teil 4:
Rechte der Betroffenen

67. 1. Auskunft
2. Berichtigung
3. Löschung, Einschränkung Verarbeitung
und Vergessenwerden
4. Widerspruch
5. Recht auf Vergessen
6. Datenübertragbarkeit
7. Beschwerde

68. @thsch

69. Teil 5:
Informationspflichten

70. Die Fassade muss
stimmen!

72. ghostery.com

73. Information Overkill

75. Teil 6:
Beispiel
E-Mail-Marketing

76. Einwilligungspflicht
wie bisher,
Informationspflichten
höher

77. Absenden
Ihre Emailadresse:
Ja, ich will den Newsletter mit Infos zu neuen
Produkten, Gewinnspielen und Aktionen abonnieren.
Hinweise zum Anmeldeverfahren, Versanddienstleister, statistischer
Auswertung und Widerruf in unserer Datenschutzerklärung.

78. An Auftrags-
verarbeitungsverträge mit
Versanddienstleistern
denken!

79. Teil 7:
Beispiel Tracking &
Targeting

80.  Erwartbar? (Reichweite, Remarketing, OBA, X-Device)
 Pseudonymisierung (IP-Masking)?
 Auftragsverarbeitungsvertrag?
 Garantie wenn Drittland?
 Opt-Out?
 Datenschutzhinweise?
 Keine spürbaren Nachteile (Scoring)?

81. Google Analytics

82.  Erwartbar? (Reichweite, Remarketing, OBA)
 Pseudonymisierung (IP-Masking)?
 Auftragsverarbeitungsvertrag?
 Garantie wenn Drittland?
 Opt-Out?
 Datenschutzhinweise?
 Keine spürbaren Nachteile (Scoring)?

83. https://drschwenke.de/google-analytics

84. Facebook Pixel

85.  Erwartbar? (Reichweite, Remarketing, OBA, X-Device)
 Pseudonymisierung (IP-Masking)?
 Auftragsverarbeitungsvertrag?
 Garantie wenn Drittland?
 Opt-Out?
 Datenschutzhinweise?
 Keine spürbaren Nachteile (Scoring)?

86. https://drschwenke.de/facebook-pixel

87. Um die Erfassung Ihrer Daten mittels des Facebook-
Pixels auf unserer Webseite zu verhindern, klicken
Sie bitten den folgenden Link:
Hinweis: Wenn Sie den Link klicken, wird ein „Opt-Out“-Cookie auf Ihrem
Gerät gespeichert. Wenn Sie die Cookies in diesem Browser löschen, dann
müssen Sie den Link erneut klicken. Ferner gilt das Opt-Out nur innerhalb
des von Ihnen verwendeten Browsers und nur innerhalb unserer
Webdomain, auf der der Link geklickt wurde.
Facebook-Pixel-Opt-Out

88. Absenden
Ich erkläre mich mit dem Einsatz des
Facebook-Pixels mit erweitertem Abgleich
zu Marketingzwecken einverstanden.
(Hinweise zur Funktion, Sicherheit,
Widerrufs- und weiteren Nutzerrechte in
unserer Datenschutzerklärung.)


89. https://drschwenke.de/
datenschutz-eprivacy-online-
marketing-cookies/

90. Teil 8:
WhatsApp &
Kundenkommunikation

91. Einsatz ohne
Einwilligung
(möglicherweise)
rechtswidrig.

92. Einwilligung einholen
(besser spät als nie)

93. Auf die
Datenschutzerklärung
so früh wie möglich
hinweisen.

96. Teil 9:
Beispiel Chatbots im
Messenger

97. Bei News-Abos
Opt-In mit
Widerrufshinweis
erforderlich.

99. Double-Opt-In nicht
erforderlich, da
Accountinhaber
(durch Facebook)
verifiziert.
 Teil 9: Messenger Marketing

100. Hinweis Impressum
und
Datenschutzerklärung

102. Auftrags-
verabeitungsverträge
mit Bot-Anbietern.

103. … und ggf.
zusätzliche Garantien
bei Drittländern.

104. Facebooks Customer
Chat Plugin:
Embedding mit 2-
Klick-Lösung

105. allfacebook.de/policy/
facebook-customer-chat-plugin-
messenger-datenschutz-anleitung

106. Bitte an die
Datenschutzerklärung
denken.

107. Auftrags-
verabeitungsverträge
mit Messenger-
Service-Anbietern.

108. Fazit

109. 1. Aller Verarbeitungen niederschreiben
und prüfen, ob sie zulässig sind.
2. Auftragsverarbeitungsverträge
erfragen.
3. Datenschutzerklärung aktualisieren,
überall verlinken und nennen.

110. drschwenke.de
facebook.com/raschwenke
rechtsbelehrung.com
@thsch
@tschwenke

111.  Verständliches DSGVO-
Guide mit Mustern
 Gutschein 20% „dsgvo-t3n“
 drschwenke.de/dsgvo-guide

112. Auf dem Laufenden bleiben?
Mit meinem Newsletter oder bei Twitter und bei Facebook,
informiere ich Sie über aktuelle rechtliche Entwicklungen.

113. drschwenke.de/dsgvo

114. Stand: 19. März 2018
© Präsentation: Dr. Thomas Schwenke, Paul-Lincke-Ufer
42/43, 10999 Berlin, https://drschwenke.de