So mancher Internet-Nutzer hat sich schon gewundert, warum ein Online-Anbieter plötzlich über seine Lieblingsweine und bevorzugten Reiseziele Bescheid weiß. Das werbliche Eldorado - ein datenschutzrechtlicher Albtraum? Zumindest gibt es Regeln, die zu beachten sind, und Regelungslücken, die geschlossen werden müssen. Denn die modernen Werbepraktiken können die Verbraucherrechte nicht außer Kraft setzen.

sind mobile Informationsangebote, die sich auf einen bestimmten geografischen Bereich beschränken.
Location-based Services

heißen die Miniprogamme, die sich hinter den Logo-Buttons der sozialen Plattformen verbergen, zum Beispiel dem Twitter-Vogel und dem Facebook-Daumen.
Social Plugins

zeigt dem Nutzer Werbung für Produkte, die denen ähneln, die er sich kurze Zeit zuvor im Netz angeschaut hat.
Online Behavioural Advertising

Hierunter verstehen Werbefachleute das Fischen nach Interessenten mit dem richtigen Nutzerprofil. Ins Netz gehen diese durch gezielte Info-Angebote.
Lead-Generierung:

ist die Fortsetzung des Kundenbeziehungs-Managements mit den Mitteln der sozialen Medien - unter Ausnutzung der von Mitgliedern hinterlassenen Informationen.
Social CRM

lautet der Ausdruck für einen digitalen Sturm der Entrüstung, der durch die sozialen Plattformen fegt. Vor allem Twitter eignet sich hervorragend dafür.
Shitstorm

ist die Kunst, die Reputation des Unternehmens auf den sozialen Plattformen ständig im Auge zu behalten und gegebenenfalls sofort darauf zu reagieren.
Social Media Monitoring

bedeutet, die Nutzer durch interessante Inhalte in das eigene Unternehmen "hineinzuziehen", anstatt mit Werbebotschaften hinaus zu schießen.
Inbound Marketing

Bei fragwürdigen Online-Marketing-Praktiken geht es meist um ungeklärte Fragen oder Grauzonen des Datenschutzes. In diesem Zusammenhang blicken Datenschützer und Unternehmen derzeit mit Spannung nach Brüssel, wo das veraltete europäische Datenschutzrecht bald modernisiert werden soll. Geplant ist, die Datenschutzrichtlinie von 1995, auf der die nationalen Datenschutzgesetze der Mitgliedsstaaten basieren, durch eine aktuelle Verordnung zu ersetzen. Der europäische Gesetzgeber will den Datensammlern, Online-Werbern und Profiling-Agenturen rechtlich die Stirn bieten können.

Cookies: Digitale Krümel führen zum gläsernen Nutzer

Wer auf Online-Portalen aktiv ist und sich dort für unterschiedliche Themen und Produkte interessiert, hinterlässt Spuren. Er erhält bei erneutem Surfen im Internet genau die Werbung, die seinen Interessen entspricht. Die Marketing-Experten nennen das "Online Behavioural Advertising", also verhaltensbezogene Werbung im Internet.

Die dahinterstehende Technik verfolgt das Surf-Verhalten des Nutzers und legt mittels dieser Informationen schrittweise ein persönliches Nutzerprofil an. Gesammelt werden beispielsweise Informationen über wiederholte Besuche von Websites, Interaktionen zwischen Nutzern, bestimmte Schlüsselwörter oder thematische Interessen. Es besteht ein großer Unterschied zur kontextbezogenen und segmentierten Werbung. Diese verwendet nur einen Bruchteil der Information, die ein Nutzer auf einer Website aufruft oder hinterlässt. Behavioural Advertising hingegen liefert Werbenetzwerken und Unternehmen ein sehr detailliertes Bild von einer bestimmten Person.

Social-Media-Security
Welche Ängste bewegen IT-Professionals, wenn um den Einsatz von sozialen Medien im Geschäftsumfeld geht? Der „2011 Social Media Protection Flash Poll“ vom Symantec zeigt mit dieser Überblick welche Probleme die Firmen bewegen (Quelle: Symantec).

Social-Media-Security
Sicherheitsprobleme machen immer noch den größten Teil der Bedenken Unternehmen (und deren Mitarbeiter), wenn es um den Einsatz sogenannter Web-2.0-Techniken und soziale Medien im Unternehmen geht, wie eine Umfrage von Clearswift ergab. (Quelle: Clearswift).

Social-Media-Security
Interessante Aussagen zur Informationssicherheit in der Organisation, wobei sich diese Ergebnisse nur auf die befragten deutschen Firmen beziehen. (Quelle: Clearswift).

Social-Media-Security
Content-basierte Überprüfung am Web-Gateway: Durch das sogenannte Content Scanning können die Internet-Inhalte, die über das Gateway in die Firma mittels Richtlinien überprüft werden. Dabei kommt auch eine lexikalische Analyse zur Hilfe (Quelle: Clearswift)

Social-Media-Security
Die traditionellen Anbieter von Sicherheitslösungen sind sich der Gefahren bewusst und beginnen, entsprechende Ergänzungen anzubieten. Die hier zu sehende Bitdefender-Lösung ist dabei gut in die Sicherheitssuite des Herstellers integriert worden.

Social-Media-Security
Die Bitdefender-App im Einsatz auf dem Facebook-Account: Sie liefert eine aufgeräumte Sicht des Facebook-Accounts und prüft nicht nur die Links, sondern auch die personenbezogenen Daten und Einstellungen.

Social-Media-Security
Die Anwendung von Bitdefender steht nicht nur als Teil der Software-Suite sondern auch als Standalone-Lösung direkt auf Facebook zur Verfügung.

Social-Media-Security
Auch Hersteller F-Secure bietet mit ShareSafe eine spezielle Anwendung auf dem Markt, die direkt auf der Facebook-Plattform zur Verfügung steht – sie befindet sich allerdings noch im Beta-Stadium.

Social-Media-Security
Ist bei allen Sicherheitsanwendungen unter Facebook so, macht den Anwender aber zunächst doch nachdenklich: Er muss der Anwendung weitgehende Zugriffsrechte auf seine Daten einräumen, damit sie diese entsprechend überprüfen kann.

Social-Media-Security
Etwas verspielt und genau auf die Facebook-Zielgruppe ausgerichtet: Die Lösung von F-Secure will die Anwender dazu bringen, mittels eines Punktesystems nur sichere Links auszutauschen und zu posten.

Social-Media-Security
Unter dem Namen „Safe Web“ bietet die Sicherheitsfirma Symantec sowohl eine Standalone-Lösung zur Überprüfung der Reputation von Webseiten als auch diese Facebook-App an.

Social-Media-Security
Das Ergebnis eines Scans mit der Norton „Safe Web“-Anwendung: Um entsprechend performant zu sein, scannt sie nur die Links, die innerhalb der letzten 24 Stunden geteilt wurden. Diese Anwendung bietet auch eine Einstellung zum automatischen Scan.

Social-Media-Security
Wer den automatischen Scan der Norton-Anwendung ermöglichen will, muss der Anwendungen noch weitreichendere Zugriffe auf sein Profil erlauben.

Social-Media-Security
Ein Vorteil der Norton-Lösung: Die in den sozialen Netzen gern verkürzten Links werden automatisch in ihrer vollständiger Form dargestellt, was dem Anwender mehr Informationen über die entsprechende Webseite bietet.

Technisch möglich wird das durch das Anlegen und Nutzen von Cookies . Diese "digitalen Krümel" sind in der Lage, das Surf-Verhalten eines Nutzers über einen langen Zeitraum und über völlig unterschiedliche Domains zu verfolgen.

Das deutsche Recht in Bezug auf Cookies

Die datenschutzrechtliche Beurteilung dieser Werbeform ist komplex und hängt maßgeblich von der jeweils eingesetzten Cookie-Technologie ab. Generell schützt das Datenschutzrecht nur personenbezogene Daten. Das sind nach der Definition des Bundesdatenschutzgesetzes (BDSG) "alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" (Paragraf 3 Absatz 1 BDSG).

Ein Cookie selbst enthält zunächst keine Daten, die automatisch Rückschlüsse auf die Identität eines bestimmten Nutzers erlauben. Speichert er jedoch IP-Adresse (auch dynamische IP-Adressen sind nach Ansicht einiger Datenschutzbehörden Einzelangaben über eine bestimmbare Person), E-Mail-Adresse oder Namen eines bestimmten Nutzers, enthält er eindeutig personenbezogene Informationen.

Für die Werbewirtschaft ergibt ein Tracking-Cookie nur dann einen Sinn, wenn sich möglichst viele und genaue Informationen über einen Nutzer sammeln und auslesen lassen. Deshalb kann man bei einem Großteil der verhaltensbezogenen Werbung von personenbezogenen Cookies ausgehen.

Die Verarbeitung der im Cookie gespeicherten personenbezogenen Daten ist grundsätzlich verboten. Das ändert sich nur, wenn eine gesetzliche Vorschrift die Datenverarbeitung ausdrücklich im Vorfeld erlaubt, oder wenn der Nutzer eingewilligt hat. Der erstgenannte Fall - der juristische Fachbegriff lautet hier "gesetzlicher Erlaubnistatbestand" - ist beim Verwenden von Cookies zu reinen Werbezwecken in der Regel nicht gegeben. Folglich dürfte die digitale, mit personenbezogenen Daten gespickte Minidatei nur nach vorheriger Einwilligung des Nutzers eingesetzt werden.

Datenschützer gegen BDSG
Wenn es um vermeintlichen Datenmissbrauch seitens Konzernen wie Facebook und Google geht, sind die Hamburger Datenschützer streng. Doch laut Spiegel Online lag bei der Web-Präsenz der Aufsichtsbehörde selbst monatelang einiges im Argen: Dort wurde ein Tracking-Dienst eingesetzt, der die Nutzerinformationen nicht gesetzeskonform verarbeitet. Die Datenschützer betreiben diesen Service zwar nicht selbst, peinlich ist es trotzdem. Auch Gespräche mit Google über dessen Analyse-Dienst Google Analytics brach die Behörde aus ähnlichen Gründen ab. Die Behörde zog Konsequenzen und ließ die Website vorrübergehend abschalten.

Patientendaten auf der Straße
In Schleswig-Holstein lagerten über Monate, vielleicht sogar Jahre hinweg tausende vertrauliche Patientendaten offen und frei zugänglich auf Servern eines IT-Dienstleisters. Nach Berichten des Landesdatenschützers Thilo Weichert waren Desorganisation und die Nutzung einer handgestrickten Lösung der Grund für die Panne. Der betroffene IT-Dienstleister Rebus betreibt Datenbanken für mehrere soziale Dienste in Deutschland.

Zwölfjährige zum Bund
Die Kieler Nachrichten berichten, dass aufgrund einer Datenpanne im Rathaus Eutin das Kieler Kreiswehrersatzamt 2.300 Minderjährige angeschrieben hat. Inhalt des Postanschreibens: Werbung für eine Karriere bei der Bundeswehr. Der Grund: Die fehlerhaften Daten seien aus dem Eutiner Rathaus an das Kreiswehrersatzamt übermittelt worden. Die Datensätze stammen aus dem Einwohner-Meldesystem. Per Pressemitteilung entschuldigte sich das Rathaus für den Fehler. Ein Datenfenster sei irrtümlich falsch ausgefüllt worden.

Vertrauliche Dateien auf dem Flohmarkt
Laut eines Berichts aus der "Zeit" sind vertrauliche Dokumente der Stadtverwaltung Glücksburg durch eine schwere Panne in falsche Hände geraten. Nach Recherchen des Radiosenders NDR Info fand ein Mann aus Glücksburg die Daten offenbar auf Festplatten und Servern, die er nach eigenen Angaben auf einem Flohmarkt erworben hatte. Die Verwaltung habe den Flohmarkt selbst organisiert, weil sie in ein neues Rathaus gezogen sei. Interessierte Bürger konnten deshalb das alte Inventar erwerben.

Diese Einwilligung kann der Betreiber einer Internet-Seite mittels verschiedener Techniken einholen. In Betracht kommen ein "Pop-up-Screen", ein Klick-Feld in einem statischen Informationsbanner, ein Splash-Screen, wie es bisweilen zum Schutz Minderjähriger eingesetzt wird, und die ausdrückliche Einwilligung in die Nutzungsbedingungen, die einen entsprechenden Hinweis enthalten.

Auch wenn die Cookies keine personenbezogenen Daten speichern, müssen die Nutzer über deren Einsatz im Vorfeld informiert werden. Und nicht nur das! Erforderlich ist ein konkreter Hinweis in den Nutzungsbedingungen oder der Datenschutzrichtlinie der Website, der verdeutlicht, wie die Arbeit der Cookies via Browser-Einstellung verhindert werden kann. So ist die aktuelle rechtliche Situation in Deutschland.

Realtime Advertising: kontextbezogen in Echtzeit

Behavioural Targeting auf der Überholspur ist das "Realtime Advertising". Mittels Cookie-Einsatz wird hier kontextbezogene Werbung in Echtzeit an den Nutzer übermittelt. Jemand, der sich für eine Flugreise in die USA interessiert, erhält in Sekundenschnelle einen entsprechenden Werbebanner.

Nach Schätzungen von Branchenkennern werden in den USA bereits rund 20 bis 30 Prozent der Umsätze auf dem Online-Werbemarkt mit diesen Echtzeitaktionen erzielt. Auch Facebook testet derzeit die Möglichkeiten der Echtzeitwerbung, indem es auf die Vielzahl der von seinen Mitgliedern preisgegebenen Informationen zurückgreift.

In Deutschland ist diese Art von Werbung datenschutzrechtlich äußerst kritisch. Nutzerdaten können sehr persönliche Informationen enthalten; man denke nur an die Bestellung eines Buchs über eine bestimmte Krankheit im Internet. In der Regel setzt die Nutzung der Daten zu Werbezwecken die vorherige ausdrückliche Einwilligung des Adressaten voraus. Es reicht nicht, über den Einsatz von Realtime-Werbetechnologien auf der Website zu informieren.

Social CRM - wie viel Kundenbindung ist erlaubt?

Hinter dem Schlagwort "Social CRM" verbirgt sich eine Verknüpfung von Kundeninformationen aus CRM-Systemen mit Daten aus Feedback-Kanälen der sozialen Netzwerke oder Foren im Internet. Unternehmen können ihre Kundendatenbanken und CRM-Strategien mit Daten aus Konversationen und Interaktionen im Internet anreichern, um einen geschäftlichen Mehrwert zu erzielen. Ein Traum für jeden Marketeer: Zusätzlich zu einem direkten Feedback zum Produkt bekommt er Informationen darüber, welche Person dahintersteckt.

Die datenschutzrechtliche Beurteilung von Social CRM hängt davon ab, wie die Informationen konkret verwendet werden. Rechtlich unbedenklich ist eine "depersonalisierte" Nutzung. Kritisieren Nutzer die Produkte über Facebook, darf das Unternehmen selbstverständlich diesen Tadel zum Anlass nehmen, sein Produkt zu verbessern. Anders in diesem Fall: Debattieren mehrere Facebook-Nutzer über ein schlechtes Produkt und offenbaren dabei ihre E-Mail-Adressen, so darf das Unternehmen diese Kontaktdaten nicht dafür einsetzen, ihnen Werbung zu einem verbesserten Produkt zukommen zu lassen.

Handelt es sich um ein Kundenforum des Unternehmens, kann wieder etwas Anderes gelten. Denn hier melden sich die Kunden explizit für die Zwecke des Meinungsaustauschs auch mit der Firma an. Verboten ist auf jeden Fall das heimliche Anlegen von Nutzerprofilen, um sie mit anderen User-Daten, die das Unternehmen aus dem Netz "gefischt" hat, zu verknüpfen. Rechtlich sauber agiert hingegen, wer Daten für Analysezwecke aggregiert.

Social Plugins - Vorsicht Datenschutzfalle

Allergrößte Vorsicht ist beim Einsatz von Social Plugins geboten, wie sie beispielsweise von Facebook, Twitter oder Google+ angeboten werden. Diese Plugins lösen automatisch eine Datenübertragung an den jeweiligen Anbieter aus. Hierzu gibt es einen aktuellen Beschluss des Düsseldorfer Kreises (einer informellen Vereinigung der Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen). Demnach ist das direkte Einbinden der Plugins in die eigene Website nur unter strengen Voraussetzungen zulässig.

Wer sich für die Verwendung dieser Plugins entscheidet, muss wissen, dass er seine Nutzer nicht nur ausführlich über Einsatz und Funktion dieses Tools informieren muss, sondern auch verpflichtet ist, deren ausdrückliche Zustimmung einzuholen. Um datenschutzrechtlich auf der sicheren Seite zu bleiben, sollte sogar besser erst mal ganz die Finger von dieser Technik lassen. Denn die für eine wirksame Zustimmung gesetzlich geforderte Transparenz kann derzeit kein Betreiber gewährleisten.

Fünf Tipps für das Social Enterprise
Social Media in Unternehmen wird häufig im Rahmen von Content- und Cololaboration-Projekten eingeführt, um die Zusammenarbeit zu fördern. Damit die Tools ihre Wirkung entfalten, sollten Unternehmen folgende Ratschläge beachten.

Überdenken Sie Ihre Richtlinien
In vielen Unternehmen ist der Zugriff auf öffentliche Netzwerke wie Facebook und Twitter verboten. Das wird Mitarbeiter nicht davon abhalten, auf diese Seiten via Smartphone zuzugreifen. Forrester rät zu Richtlinien, die den verantwortungsvollen Umgang fördern. Dazu sollten aktuelle Policies so aktualisiert werden, dass sie genau beschreiben, was erlaubt und verboten ist.

Fördern Sie frühe Nutzer
Der Netzwerkeffekt von mehreren Millionen Nutzern in öffentlichen Diensten lässt sich nicht kopieren. Hilfreich ist es aber, besonders netzaffine Mitarbeiter zu ermuntern, das interne Social-Media-Profil ähnlich engagiert zu pflegen, wie sie es mit ihren öffentlichen Facebook- und LinkedIn-Seiten tun.

Nutzen Sie die Erfahrung der ­Mitarbeiter
Besonders gut vernetzte Mit­arbeiter können in intensiven Gesprächen wertvolle Hinweise geben, wie und warum sie Social-Media-Plattformen einsetzen. Dazu müssen die Verantwortlichen diese ungewöhnlich aktiven Nutzer identfizieren, und zwar unabhängig davon, ob sie auf internen und externen Plattformen unterwegs sind.

Holen Sie das Management ins Boot
Eine Social-Media-Strategie und ihre Umsetzung braucht Zeit und Ressourcen. Daher rät Forrester, die Unternehmensleitung frühzeitig zu konsultieren. Sie kann bei der Auswahl der Plattform helfen und als aktiver Anwender mit gutem Beispiel vorangehen.

Weniger ist mehr
Wichtig ist ein Tool, dass die zuvor ­formulierten Anforderun­gen der Mitarbeiter erfüllt. Mehrere parallel betriebene Lösungen sind selten hilfreich. Forresters Umfrage hat gezeigt, dass nur wenige Nutzer mehr als zwei Plattformen bedienen wollen.

Mobiles Marketing, Location-based Services

Ein Sportartikelhersteller möchte wissen, in welchen Verkaufsfilialen seine beworbenen Produkte am besten ankommen. Er setzt dafür Location-based Services ein und startet eine Kampagne über QR-Codes mit integriertem Gewinnspiel. Potenzielle Kunden am Standort der Filialen können mit ihrem Smartphone über einen QR-Code-Scan der Online-Site an dem Spiel teilnehmen. Damit erhält der Hersteller Angaben über den Standort des Smartphone-Nutzers. Augrund dieser Geoinformationen kann er nun entscheiden, ob und wie er sein Sortiment an diesem Standort aufstocken will.

Die reine Erhebung der Standortdaten und deren Verarbeitung zum Zweck des Gewinnspiels sind rechtmäßig; schließlich hat der Nutzer sie selbst zu diesen Zwecken übermittel. Das Gleiche gilt für andere Daten, die der User preisgibt, um am Gewinnspiel teilzunehmen.

Aber wie verhält es sich, wenn der Sportartikelhersteller diese Daten für Zwecke außerhalb des Gewinnspiels verwendet? Datenschutzrechtlich ist der "Zweckbindungsgrundsatz" unbedingt zu beachten. In diesem Fall darf das Unternehmen die Daten also nicht für eine neue Werbeaktion oder sogar für eine Profilbildung verwenden. Es muss Paragraf 98 des Telekommunikationsgesetzes (TKG) beachten.

Bei Location-based Services handelt es sich um "Dienste mit Zusatznutzen". Die sind im Absatz 1 des TKG-Paragrafen 98 geregelt. Danach dürfen Standortdaten nur dann über das zur Bereitstellung solcher Dienste erforderliche Maß genutzt werden, wenn sie anonymisiert wurden oder der Teilnehmer seine Einwilligung erteilt hat. Diese Vorschrift steht also einer Werbeaktion entgegen. Willigt der Nutzer explizit ein, wäre eine neue Kampagne unter Nutzung seiner Daten jedoch umsetzbar. (qua)