Die Datenschutzreform – Wie sie sich auf Social Media- und Onlinemarketing auswirkt

0
7117

TEILEN - Spread the Love!

Ein Gastbeitrag von Dr. Thomas Schwenke

Wahrscheinlich habt ihr schon mitbekommen, dass dieses Jahr zum 25. Mai 2018 eine europaweite Datenschutzreform DSGVO ihre Wirkung entfaltet, die sich u.a. auf Social Media- und Onlinemarketing-Aktivitäten auswirkt. Wahrscheinlich habt ihr euch auch schon gefragt, wie ihr den Überblick behalten und alle Vorgaben umsetzen sollt. Den nötigen Überblick verschaffe ich euch in diesem Beitrag.

Was die Umsetzung angeht, werden zumindest Unternehmen auf Profis zugrückgreifen müssen. Denn der Datenschutz wird mit hohen Bußgeldern und Formalismus zu einer der wichtigsten Compliance-Säulen. Aber auch Freelancer oder private Seitenbetreiber werden die neuen Regelungen beachten müssen. Das vor allem, weil die Bußgelder auf bis zu vier Prozent des Weltjahresumsatzes erhöht werden und Unternehmensinhaber sowie Geschäftsführer für sie mithaften. Zudem steigt mit einem Schadensersatzanspruch bei Datenschutzverletzungen für Nutzer, die Wahrscheinlichkeit von Abmahnungen.

In diesem Beitrag erfahrt ihr zum einen, wann ihr personenbezogene Daten grundsätzlich verarbeiten dürft und was ihr speziell beim Online- und Social Media-Marketing sowie auf Unternehmensebene beachten müsst. Angesichts der erhöhten Haftung und Bußgeldern bis zu 20 Millionen Euro und vier Prozent des Weltjahresumsatzes müsst ihr zunächst die Datenschutzgrundlagen kennen.

Pflichtwissen: Neue Gesetze Ab 25. Mai 2018

  • Datenschutzgrundverordnung (DSGVO) – Ein einheitliches Datenschutzgesetz für alle EU-Mitgliedsstaaten.
  • ePrivacy-Verordnung (ePrivacy-VO) – Ein Gesetz, welches u.a. Cookies sowie Nutzertracking online und offline betrifft, aber wahrscheinlich erst 2019 relevant wird.
  • Bundesdatenschutzgesetz (BDSG) – Das bisherige BDSG (man spricht vom BDSG-Alt) wird aufgehoben. Das neue BDSG (BDSG-Neu) ist kein selbstständiges Datenschutzgesetz, sondern enthält lediglich ergänzende und erläuternde Regelungen zur DSGVO (z.B. zur Videoüberwachung oder zu Beschäftigten).

 

Verbot und Erlaubnis der Datenverarbeitung

Die Datenschutzreform zwingt alle zum Handeln: Anbieter von Websites, Shops, Apps, Unternehmen, Freiberufler oder auch Anbieter kostenloser Onlineangebote.

Jeder verarbeitet personenbezogenen Daten

Die DSGVO kommt nur dann zur Anwendung, wenn personenbezogene, d.h. identifizierende Daten verarbeitet werden. Dazu gehören aber nicht nur Namen, Telefonnummern, E-Mail-Adressen oder Bildaufnahmen. Auch IP-Adressen, Cookies oder digitale Fingerprints sind als so genannte Onlinekennungen personenbezogen. Denn mit ihrer Hilfe können Nutzer als Adressaten von Remarketing-Anzeigen identifiziert werden, beispielsweise wenn Nutzer auf anderen Seiten Anzeigen für Produkte sehen, die sie zuvor in einem Onlineshop betrachtet haben.

Die Verarbeitung umfasst praktisch jeden möglichen Umgang mit den Daten, sei es Speicherung, Auswertung oder lediglich die Gewährung einer Zugriffsmöglichkeit gegenüber Dritten (z.B. dem Webhoster auf dem Server mit Kundendaten).

D.h. schon der Umgang mit Daten von Mitarbeitern, Nutzern, Kunden, Lieferanten oder der Betrieb einer Website stellen erlaubnispflichtige Verarbeitungen dar.

Verarbeitungsverbot mit Erlaubnisvorbehalt

Angesichts des heutigen Umfangs der Datenverarbeitungen mutet das wohl wichtigste Datenschutzprinzip als unmöglich an. Es bestimmt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Außer es liegt eine gesetzliche Erlaubnis bzw. eine Einwilligung der betroffenen Person vor.

Zur Vertragserfüllung erforderliche Verarbeitung ist erlaubt

Die Verarbeitung ist erlaubt, wenn sie zur Beantwortung von Auskünften oder Erfüllung von Verträgen erforderlich ist. So dürfen z.B. E-Shops Daten der Kunden für Zwecke der Zahlung und Lieferung an Finanzdienstleister und Transportunternehmen weiterleiten.

Onlinemarketingmaßnahmen wie z.B. Reichweitenmessung via Google Analytics oder Remarketing, sind dagegen für die Erfüllung von Verträgen im Regelfall nicht erforderlich. Sie können jedoch auf Grundlage spezieller Erlaubnisgrundlagen, wie der berechtigten Interessen oder Einwilligungen zulässig sein. Diese Erlaubnisgrundlagen werden im zweiten Teil des Beitrags vorgestellt.

Pflichtwissen: Wann Verarbeitung personenbezogener Daten erlaubt ist

Diese Verarbeitung ist grundsätzlich verboten und nur ausnahmsweise erlaubt, u.a. wenn

  • Betroffene eingewilligt haben (Art. 6 Abs. 1 lit. (a), 7 DSGVO)
  • Es für die Vertragserfüllung oder um Anfragen zu beantworten erforderlich ist (Art. 6 Abs. 1 lit. (b) DSGVO)
  • Wenn das Gesetz es vorsieht (z.B. wenn Kundendaten für die Steuer gespeichert werden) (Art. 6 Abs. 1 lit. (b) DSGVO)
  • Wenn ein berechtigtes Interesse an der Verarbeitung besteht, z.B. am Onlinemarketing (Art. 6 Abs. 1 lit. (f) DSGVO)

Änderungen im Onlinemarketing und Social Media

Die Datenschutzreform wird erhebliche Auswirkungen auf das Onlinemarketing haben. Zum einen werden in der ersten Stufe der Reform Erleichterungen geschaffen, die dann jedoch in deren zweiter Stufe in Frage gestellt werden könnten.

Dabei ist auch die Nutzung von Social Media schon deswegen betroffen, weil die Geschäftsmodelle vieler Plattformen auf Onlinemarketing aufbauen. Das gilt erst recht, wenn deren Tracking-Tools (z.B. Facebook-Pixel), Werbe- und Marketing-Tools eingesetzt oder Werbeanzeigen geschaltet werden (z.B. Facebook-Ads, Social Plugins).

Erste Reformstufe bringt mit „berechtigten Interessen“ Erleichterung für Onlinemarketing

Beispiel eines Opt-Outs, hier des Anbieters Outbrain (https://www.outbrain.com/legal/privacy). Problematisch ist, dass viele US-Anbieter ihre Opt-Outs nur in englischer Sprache anbieten. Daher müssen Websiteanbieter die Nutzer über die Opt-Out-Funktion zusätzlich in der eigenen Datenschutzerklärung unterrichten.

Die DSGVO erlaubt ausdrücklich die Verarbeitung von Daten zur Reichweitenmessung oder Onlinemarketingzwecken (bezeichnet als „Direktmarketing“) auf Grundlage berechtigter Interessen der Onlineanbieter. Allerdings dürfen die schutzwürdigen Interessen der Nutzer (d.h. der Schutz ihrer Privatsphäre und Schutz vor Manipulation) die in der Regel wirtschaftlichen Interessen am Onlinemarketing nicht überwiegen.

Es muss also eine Abwägung zwischen den Interessen der Nutzer und der Onlineanbieter vorgenommen werden. Dabei müssen viele Faktoren beachtet und zudem gewichtet werden.

Pflichtwissen: Kriterien für zulässiges Onlinemarketing ohne Einwilligung der Nutzer

Folgende Kriterien sprechen dafür, dass das berechtigte Interesse am Onlinemarketing die Schutzinteressen der Nutzer überwiegt:

  • Erwartungshaltung – Wenn es sich um Onlinemarketingmaßnahmen handelt, die von Nutzern als erwartet, d.h. als üblich, betrachtet werden können.
  • Information – Eine verständliche und transparente Unterrichtung der Nutzer in der Datenschutzerklärung.
  • Pseudonymisierung – Wenn keine Namen, E-Mail-Adressen, IP-Adressen oder andere die Identität einer Person spezifizierende Daten verarbeitet werden.
  • Opt-Out – Die Möglichkeit, der Datenverarbeitung durch Widerspruch zu entgehen (sog. Opt-Out). Das Opt-Out muss effektiv sein und nicht erst die Nutzung für Werbezwecke, sondern bereits die Datenverarbeitung verhindern.
  • Geringe Beeinträchtigung der Nutzer – Das berechtigte Interesse am Onlinemarketing nimmt mit dem Detailgrad der Nutzer-Profile und deren möglichen Beeinträchtigung der Nutzer ab. Wenn z.B. nur Produkt-Remarketing betrieben wird, so wirkt dies weitaus weniger beeinträchtigend als ein zentrales Interessensprofil der Nutzer. Beim Remarketing kann eine auf sie zugeschnittene Werbung gar willkommen sein. Umgekehrt können zu Zwecken der dynamischen Preisbestimmung für Produkte oder Bonitätseinschätzung eingesetzte Profile konkrete wirtschaftliche Auswirkungen für die Nutzer haben.

Gesetzesauslegung mit vielen Unbekannten

Wie diese Kriterien zu gewichten sind, muss leider im Einzelfall bestimmt werden und gehört zu den vielen Unbekannten der Datenschutzreform.

Allerdings kann davon ausgegangen werden, dass Reichweitenmessung oder Remarketing sowie Teile des Online Behavioral Advertising erlaubt sein werden. Vorausgesetzt, diese erfolgen pseudonym (d.h. IP-Adressen werden gekürzt und keine E-Mail-Adressen o.ä. identifizierende Daten werden gespeichert), Nutzer werden in der Datenschutzerklärung aufgeklärt und erhalten eine Opt-Out-Möglichkeit.

Auf berechtigte Interessen dürften sich Unternehmen z.B. beim Einsatz von Google Analytics oder sogar des Facebook-Pixels berufen (zumindest nach der Ansicht der bayerischen Datenschutzbehörde). Allerdings gilt das nicht, wenn z.B. E-Mail-Adressen von Newsletter-Empfängern zwecks Bildung von Custom Audiences an Facebook übermittelt werden. In diesen Fällen sowie bei Profiling zur Bonitätsbestimmung und Cross-Device-Tracking werden überwiegend Einwilligungen gefordert.

Einschränkungen für Einwilligungen

Einwilligungen können erst ab einem Alter von 16 Jahren erteilt werden. Das würde praktisch bedeuten, dass Webseiten, die sich z.B. an Minderjährige richten, weitaus eingeschränkter im Onlinemarketing wären. Hier wäre u.U. schon der Einsatz von Remarketing-Maßnahmen fraglich.

Ferner verbietet das so genannte „Kopplungsverbot“, die Erfüllung eines Vertrages von einer Einwilligung abhängig zu machen. Darin sehen vor allem Verbraucherschützer Einschränkungen der Möglichkeit, überhaupt Einwilligungen für Marketingmaßnahmen einzuholen. Diese Meinung stößt jedoch auf großen Widerspruch. Dann wären Geschäftsmodelle, die Nutzern kostenlose Dienste im Tausch gegen die Nutzung ihrer Daten anbieten (u.a. soziale Netzwerke oder Onlinemagazine) praktisch untersagt. Damit müssten Onlineanbieter oder Verlage immer alternative (und faire) Zahlungsmodelle anbieten. Diese radikale staatliche Zwangsregulierung der globalen Internetwirtschaft kann kaum gewollt und zulässig sein. Hier sollte nach Ansicht des Autors zumindest großen Netzwerken mit monopolartiger Stellung und kleinen Nischenplattformen unterschieden werden.

Zumal die zweite Stufe der Datenschutzreform eine Einwilligungspflicht für Onlinemarketingmaßnahmen zur Pflicht erheben will.

Für die zweite Reformstufe ist eine Einwilligungspflicht geplant…oder besteht gar bereits?

Schon 2009 verpflichtete die EU die Mitgliedsländer zu einer Einwilligung (Opt-In), bevor Third-Party-Cookies auf den Geräten der Nutzer gesetzt werden. Ohne Einwilligung sollten nur eigene und notwendige Cookies wie z.B. für die Warenkorbfunktion eines E-Shops oder Opt-Out-Cookies zulässig sein.

Nach einem Mix aus dem Unwillen der Industrie, unterschiedlicher Auslegung der einzelnen EU-Länder und der Weigerung der US-Anbieter mündete diese „Cookie“-Richtlinie in der Erfindung des Cookie-Banners der praktisch ein Opt-Out ist („Wenn Sie weitersurfen, stimmen Sie zu, können aber widersprechen“).

Nunmehr will die EU die Cookies direkt und zwingend als Opt-In regeln. Dabei werden Computer und Smartphones als Privatsphäre der Nutzer definiert. Jegliche Auslese- und Speicherungsvorgänge auf den Geräten bedürfen damit einer Einwilligung.

Das bedeutet: Obwohl der Einsatz von Google Analytics als ein erwartbarer und zumutbarer Dienst nach der DSGVO ohne Einwilligung zulässig ist, wird er nach der ePrivacy-Verordnung einwilligungspflichtig.

Ob damit das Ziel, die Nutzer zu schützen, erreicht wird, oder eher das Gegenteil eintritt, gehört zu den weiteren Unbekannten der Datenschutzreform.

Tod der Cookie-Banner und Schutz der Nutzer?

Die bisher kaum beachtete Do-Not-Track-Funktion (hier in den erweiterten Einstellungen des Browsers Chrome) könnte mit der ePrivacy-VO zu einer der zentralen Browsereinstellungen werden.

Ein ausdrückliches Ziel der ePrivacy-VO ist es, die Cookie-Banner abzuschaffen. Statt in Bannern auf Webseiten sollte die Einwilligung der Nutzer mit Hilfe von Browsereinstellungen abgefragt werden.

Hier kommt z.B. die bisher vernachlässigte „Do-Not-Track”-Funktion in Browsern in Frage. Browseranbieter sollen verpflichtet sein, die Funktion standardmäßig zu aktivieren und das Tracking so zu verbieten. Erst wenn Nutzer die „Do-Not-Track”-Funktion deaktivieren, können Cookies gesetzt oder ausgelesen werden (was genauso für Fingerprints gilt).

Demnach wird ein Wunsch nach Einwilligungsmodellen bestehen und entweder wird sich die Zahl der Cookie-Banner potenzieren oder Anbieter schaffen komfortable Single-Sign-On-Modelle. So könnte z.B. Facebook von den Nutzern eine Einwilligung einholen, die auch zu Gunsten aller Verwender des Facebook-Pixels auf allen Webseiten gilt.

Ob und wann die ePrivacy-VO in Kraft tritt, steht derzeit noch in den Sternen. Geplant war auch der 25. Mail 2018, Realisten zweifeln jedoch bereits, dass es 2019 noch was wird. Unabhängig von den künftigen Entwicklungen müssen Unternehmen jedoch schon jetzt ihre Verarbeitungsprozesse prüfen und dokumentieren.

Und ohnehin, die Datenschutzbehörden sind der Ansicht, dass die Opt-In-Pflicht für Cookies bereits ab dem 25.05.2018 gilt. Das weil dann die „Cookie-Richtlinie“ neben der DSGVO gilt, d.h. gilt auch deren ursprüngliches Ansinnen eines ausdrücklichen Opt-Ins beim Tracking. Anderseits sind die Datenschutzbehörden dieser Ansicht schon seit vielen Jahren, ohne dass es dabei zu Schwierigkeiten im praktischen Einsatz des Onlinemarketings kam. Ferner vertreten Datenschutzbehörden auch Ansichten, das Gesetz wird von Gerichten ausgelegt. Auch wenn deren Ansicht nicht völlig abwegig ist.

Verfahrensprüfung und Verfahrensverzeichnis

Beispiel einer vereinfachten Darstellung einer Verarbeitungstätigkeit, hier eines Newsletter-Versands.

Die vorstehenden Vorgaben für das Onlinemarketing sind nur ein Teil der notwendigen Prüfungsschritte, die Unternehmen vor dem Mai 2018 durchführen müssen.

Denn praktisch alle online aktiven Unternehmen müssen ein Verzeichnis führen, in dem alle Verarbeitungen personenbezogener Daten samt Quellen, Weitergaben, Zwecken, Rechtsgrundlagen (d.h. Erlaubnisse und Einwilligungen) der Verarbeitung und Löschfristen aufgeführt werden. Diese umfassen nicht nur Onlinemarketing sowie Social Media-Aktivitäten, sondern auch Personalmanagement oder Kundenverwaltung.

Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, ist jedoch nur ein Teil des Bündels von verpflichtenden Umsetzungsmaßnahmen zur Datenschutzreform:

Pflichtwissen: Maßnahmen zur Umsetzung der DSGVO in Unternehmen

  • Verzeichnis der Verarbeitungstätigkeiten – Übersicht und Zulässigkeitsprüfung aller Verarbeitungen personenbezogener Daten.
  • Sicherheitskonzept – Prüfung und Dokumentierung von Schutzmaßnahmen (z.B. Berechtigungskonzept, Verschlüsselung, Backups, Softwareupdates etc.). Bei risikoreichen Verarbeitungen (z.B. bei umfangreicher Verarbeitung von Gesundheitsdaten) muss eine zusätzliche Datenschutz-Folgenabschätzung erfolgen.
  • Datenschutzbeauftragter – Prüfung, ob ein Datenschutzbeauftragter benannt werden muss (u.a. ab zehn Beschäftigten).
  • Datentransfers – Abschluss von so genannten Auftragsverarbeitungsverträgen mit Subunternehmern und sonstigen Dienstleistern.
  • Belehrung und Verpflichtung von Mitarbeitern – Schulungen und Vertraulichkeitsverpflichtungserklärungen.
  • Rechte Betroffener – Einrichtung von Verfahren zur schnellen Reaktion auf Auskünfte, Datentransfers oder Wünsche nach Löschung oder Berichtigung von Daten.
  • Datenpannen – Ebenso müssen Prozesse für die Meldung von etwaigen Datenpannen an Behörden und Betroffene vorliegen. Dabei sinkt die Schwelle der Meldepflicht erheblich und gilt für alle und nicht nur sensible Daten wie solche, die Gesundheit oder Bankinformationen betreffen.
  • Update Datenschutzerklärung – Transparent, vollständig und verständlich
  • Audits und Aktualisierungen – Es muss gesichert sein, dass die Verarbeitungen überwacht und bei Änderungen sowie turnusmäßig (z.B. halbjährlich) geprüft werden.

Praxisempfehlung

Wenn Sie sich mit der DSGVO nicht beschäftigt haben, wird es höchste Zeit. Auch wenn vielleicht nicht alles rund laufen wird, sollten Sie sich datenschutzrechtlich so gut wie möglich aufstellen. Die erste Prüfung ist je nach Betriebsgröße mit einem Initialaufwand verbunden, aber eher zu empfehlen als gegen die mit hohen Bußgeldern bewehrten Datenschutzvorgaben zu verstoßen.

Auch Freelancer sollten ihre Datenschutzprozesse überprüfen, Datenschutzerklärungen aktualisieren und prüfen ob deren AGB eine Haftung für den Datenschutz ausschließen.

Was das Onlinemarketing und damit letztendlich die unternehmerische Nutzung von Social Media angeht, bleibt die Entwicklung spannend und deren Ende offen. Derzeit sieht es so aus, als ob es hier in nächster Zeit sogar Erleichterungen geben könnte.

Linktipps:

Dr. jur. Thomas Schwenke, LL.M., Dipl.FinWirt, ist als Rechtsanwalt für Marketingrecht, Datenschutzbeauftragter und Datenschutzsachverständiger in Berlin tätig.

Website: https://drschwenke.de
Facebook https://www.facebook.com/raschwenke
Twitter https://twitter.com/thsch
Instagram https://www.instagram.com/tschwenke
Podcast https://Rechtsbelehrung.com

Screenshots: Dr. Thomas Schwenke, Porträtfoto: Nils Wim Wiemers

Dieser Artikel erschien zuerst im SocialHub Mag – lade dir unser Social Media-Magazin hier kostenlos herunter!

 


Pflichtwissen: Datenschutzrechtliche Pflichtbegriffe für Onlinemarketer

Reichweitenanalyse – Dient der Auswertung der Besucherströme, z.B. via Google Analytics.

Remarketing – Wenn Nutzer auf anderen Seiten Anzeigen für Produkte sehen, die sie zuvor in einem Onlineshop betrachtet haben, spricht man vom Remarketing (oder auch vom Retargeting).

Profiling – Profiling bedeutet die Auswertung und Vorausbestimmung der Interessen oder des Verhaltens von Nutzern aufgrund der über sie gesammelten Daten. Je nach Art des Profilings gehören dazu Informationen bezüglich Alter, Geschlecht, Standortdaten und Bewegungsdaten, soziale Interaktionen mit anderen Menschen oder Produkten, Eingaben in Onlineformulare etc.

Online Behavioral Advertising – Wenn Profiling eingesetzt wird, um das potenzielle Interesse von Nutzern an Werbeanzeigen zu bestimmen, spricht man vom Online Behavioral Advertising, kurz OBA (zu Deutsch in etwa „Interessens- und/oder Verhaltensbezogene Werbung“).

Cookies – Kleine Dateien, die auf Rechnern der Nutzer gespeichert werden. Darin können auch ohne Kenntnis der wahren Identität der Nutzer Daten zu den von ihnen gesehenen Produkten für Zwecke des Remarketings oder deren Profile für Zwecke des OBA gespeichert und beim Besuch von Webseiten ausgewertet werden.

Fingerprints und andere Onlinekennungen – Statt Cookies werden zunehmend so genannte „Fingerprints“ eingesetzt. Diese digitalen Fingerabdrücke können z.B. als Quersummen aus individuellen Faktoren von Geräten wie z.B. Rechenleistung oder Browserplugins für Geräte individuell erstellt und so für Remarketing oder OBA eingesetzt werden.

Tracking – Vom Tracking spricht man, wenn das Verhalten von Nutzern über mehrere Onlineangebote hinweg „verfolgt“ wird. Die im Hinblick auf die genutzten Onlineangebote gesammelten Verhaltens- und Interessensinformationen werden als Nutzer-Profile in Cookies oder auf Servern der Marketingdienstleister (z.B. Google oder Facebook) gespeichert.

Cross-Device-Tracking – Cookies und Fingerprints sind gerätebezogen. Um die Interessen der Nutzer im Rahmen der Smartphone-Nutzung für Werbeanzeigen auf Desktop-PCs auswerten zu können, ist das Cross-Device-Tracking erforderlich. Dazu können z.B. Logins in sozialen Netzwerken wie Facebook dienen. Alternativ werden Standort-Daten, IP-Adressen und Nutzerverhalten eingesetzt, um bis zu 98 Prozent genauere Nutzereingrenzung zu erreichen.

Custom Audiences – Von Custom Audiences spricht man, wenn Zielgruppen für Werbezwecke bestimmt werden. Dies kann z.B. geschehen, wenn das Interesse der Nutzer beim Besuch von Produkten in einem Onlineshop dazu verwendet wird, sie als Zielgruppe von Facebook-Ads für dieses Produkt auszuwählen. Um Zielpersonen für Anzeigen genau zu bestimmen, können deren E-Mailadressen, Telefonnummern oder Plattform-IDs an Anbieter wie Facebook weitergegeben werden.

Lookalike Audiences – Wenn z.B. Facebook als Zielgruppe für Anzeigen Mitglieder bestimmt, deren Interessens- und Verhaltens-Profile den Profilen der Websitebesucher, Kunden oder Newsletterempfänger entsprechen, dann spricht man von Lookalike Audiences.

Personenbezug – Personenbezogen sind praktisch alle im Direktmarketing involvierten Daten. Dazu gehören vor allem IP-Adressen und Daten, die auf Cookies gespeichert werden. Denn sie dienen zumindest dazu, Personen als Zielobjekte von Werbung zu identifizieren.

Pseudonymisierung – Wenn Daten zwar dazu dienen, eine Person als Zielobjekt von Werbemaßnahmen zu bestimmen, aber keine sie spezifisch identifizierende Daten gespeichert werden, spricht man von Pseudonymisierung. D.h. wenn in einem Cookie zwar ein genaues Interessensprofil des Computernutzers gespeichert wird (quasi ein „Marketing-Avatar“), aber nicht der Name des Nutzers, dann werden seine Daten pseudonym verarbeitet. Werden sein Name, z.B. als Teil seiner E-Mail-Adresse oder seine IP-Adresse gespeichert, dann ist es nicht mehr pseudonym.

Anonymisierung – Wenn Daten nicht personenbezogen sind, sind sie anonym, z.B. aggregierte Daten zu Websitebesuchern (Gesamtzahl in einem Zeitraum), die alleine der Reichweitenmessung dienen, ohne jedoch Profile der Nutzer anzulegen oder diese auszuwerten. Ein rein anonymes Onlinemarketing ist schon wegen der Erhebung von IP-Adressen selten möglich.