Datenschutz im Marketing: Worauf Datenschutz-koordinator:innen achten müssen

Marketingteams arbeiten mittlerweile mit einem reichhaltigen Tool-Stack: Von der Newsletter-Software über Webtrackingtools bis zu KI-Generatoren für Text und Bildmaterial: (Personenbezogene) Daten fließen potenziell über viele Schnittstellen - und genau dort entstehen Reibungspunkte mit dem Datenschutz. Nicht, weil ein Marketingprofi etwas „falsch“ macht, sondern weil Geschwindigkeit, Kreativität und rechtliche Anforderungen schlicht nicht immer im selben Takt laufen.

Typisch ist, dass wichtige Fragen erst spät im Prozess auftauchen: „Liegen die nötigen Einwilligungen wirklich vor?”, oder: „Wieso dürfen wir das neue Tool noch nicht einsetzen?”

Datenschutzkoordinator:innen haben also die Herausforderung, einen Spagat zwischen Marketingpraxis und Compliance herzustellen.

Um kreativen Profis die Datenschutz-Herausforderungen zu erleichtern, erläutern wir, wann das Datenschutz-Team eingebunden werden sollte sowie welche Informationen benötigt werden, um möglichst reibungslos zum gewünschten Ergebnis zu kommen.

Kurz gesagt: Der Datenschutz muss immer dann eingebunden werden, wenn personenbezogene Daten verarbeitet werden und sich dabei etwas ändert oder Neues hinzukommt. Der richtige Zeitpunkt für die Einbindung des Datenschutzes ist oft ausschlaggebend. Denn: Je früher die Zusammenarbeit beginnt, desto reibungsloser verläuft die Umsetzung.

Typische Anlässe für eine Abstimmung mit dem Datenschutz sind:

• Vor dem Einsatz neuer Tools
  z. B. CRM-Systeme, Automatisierungslösungen oder Analyse-Software
• Bei der Nutzung neuer Kanäle
  z. B. Social Ads, Lead-Generierung über Partnerplattformen
• Bei Prozessänderungen
  z. B. neue Formulare für Whitepaper-Downloads oder Newsletter-Anmeldungen
• Vor dem Einsatz von Cookies und Tracking-Technologien
  z. B. Google Analytics, Meta Pixel, Hubspot Tracking
• Bei der Weitergabe von Daten an Dritte
  z. B. bei Vertriebspartnerschaften, Agenturzugriffen oder externem Hosting
• Vor internationalen Datentransfers
  z. B. bei der Nutzung US-basierter Dienste oder Cloudanbieter außerhalb der EU

Als Faustregel gilt: Sobald eine E-Mail-Adresse, IP-Adresse oder ein Tracking-Pixel ins Spiel kommt, sollte das Datenschutz-Team eingebunden werden.

Damit Freigabeprozesse effizient ablaufen können, ist die richtige Vorbereitung entscheidend. Je klarer die Informationen, desto schneller kann das Datenschutzteam eine fundierte Bewertung vornehmen und bei Bedarf Empfehlungen geben.

Folgende Standardangaben sind in der Regel erforderlich:

Frage: Warum wird die Maßnahme durchgeführt?

Das Datenschutz-Team muss den „Zweck der Datenverarbeitung” verstehen, um die datenschutzrechtliche Rechtsgrundlage einschätzen bzw. prüfen zu können.

Frage: Welche Daten werden wie verarbeitet?

Hier geht es um einen klaren Überblick über die Datenflüsse. Wichtig sind dabei:

• Welche personenbezogenen Daten werden erhoben? (z. B. E-Mail-Adresse, IP-Adresse, Interessenprofil)
• Woher stammen die Daten? (eigene Erhebung, Drittsysteme, Lead-Kauf etc.)
• Wer hat Zugriff auf die Daten? (intern: Marketing, Vertrieb – extern: Agenturen, Dienstleister)
• Wo werden sie verarbeitet bzw. gespeichert? (z. B. Cloudsysteme, Serverstandorte)
• Wie lange werden die Daten gespeichert?

Werden sie in ein Drittland übermittelt? (z. B. USA, UK, Schweiz)

Frage: Welche Systeme und Anbieter kommen zum Einsatz?

Für eine datenschutzkonforme Bewertung sind folgende Informationen zu den genutzten Tools relevant:

• Name des Dienstleisters
• Name des Tools
• Sitz des Anbieters (EU oder Drittland)
• Auftragsverarbeitungsvertrag (AVV)

Wenn diese Informationen vollständig vorliegen, kann das Datenschutz-Team schnell und gezielt unterstützen. Gleichzeitig reduziert sich das Risiko späterer Anpassungen oder Verzögerungen.

Als Nächstes veranschaulichen wir anhand konkreter Beispiele, vom E-Mail-Marketing bis zum Tracking auf Landingpages, wo in der Praxis häufig Datenschutzfragen entstehen, wann eine Abstimmung sinnvoll ist und wie sich Freigaben effizient und rechtssicher gestalten lassen.

Situation:
Ihr Unternehmen plant die Einführung eines Marketing-Newsletters.

Datenschutz-Knackpunkte:
Die Einwilligungen für den Newsletter müssen rechtssicher eingeholt, dokumentiert und jederzeit nachweisbar sein. Das umfasst auch das Double-Opt-in-Verfahren sowie die entsprechenden Hinweise in der Datenschutzerklärung. Newsletter-Tools müssen zudem geprüft werden.

Welche Informationen braucht das Datenschutzteam vom Marketing?
Neben den Standardangaben benötigt das Datenschutzteam weitere folgende Informationen:

• Analyse des Nutzerverhaltens:
  Angaben zu Trackingdaten (z. B. Analyse der Bounce-Rate)
• Double-Opt-In-Prozess:
  Angaben darüber, wie Newsletter-AbonentInnen ihr Double-Opt-In geben
• Widerruf - inkl. Blacklisting:
  Informationen über die Widerrufsmöglichkeit in jeder E-Mail und darüber, ob Kontakte nach ihrem Widerruf auf eine Blacklist im CRM-Tool gesetzt werden
• Einsatz von Cookies bzw. externen Skripten im Anmeldeformular:
  Angaben zu eingebundenen Skripten oder Cookies (z. B. reCAPTCHA, Trackingpixel des Newsletter-Dienstleisters) und zur Einbindung ins Consent-Management-Tool (Opt-in vor Aktivierung)

Was prüft das Datenschutzteam?
Das Datenschutzteam…

• … prüft die übermittelten Angaben und stellt ggfs. Rückfragen, um die rechtlichen Auswirkungen der Verarbeitungstätigkeit einschätzen zu können
• … prüft den AVV und gibt den Dienstleister bzw. das Tool ggf. frei
• … formuliert Einwilligungstexte, die für die Newsletter-Anmeldeformulare sowie die Double-Opt-In Mail verwendet werden
• … aktualisiert den Text der Datenschutzerklärung um Angaben zu Newsletter-Versand, Dienstleister, Tracking, Widerruf/Abmeldung

Nach der erfolgten Freigabe pflegt das Datenschutzteam die bereitgestellten Informationen in einer Verarbeitungstätigkeit in das Verzeichnis für Verarbeitungstätigkeiten (VVT) ein.

Das Marketingteam aktualisiert die Datenschutzerklärung, Einwilligungstexte und ggf. auch den Cookie-Banner auf der Webseite und stellt sicher, dass es eine Abmelde-/Widerrufsmöglichkeit in jeder E-Mail gibt. Anschließend kann das Marketingteam mit dem Newsletter-Versand starten.

caralegal-Praxistipp:
Je mehr Informationen dem Datenschutzteam von Beginn an vorliegen, desto schneller kann die Freigabe erfolgen. Um zusätzliche Zeit zu sparen, kann das Marketingteam Einwilligungstexte und die Double-Opt-In-E-Mail bereits vorab erstellen und dem Datenschutz-Team zur Prüfung vorlegen.

Situation:
Ein neues Produkt soll über eine Landingpage beworben und per Conversion-Tracking analysiert werden.

Datenschutz-Knackpunkte:
Nicht-essentielle Cookies dürfen erst nach aktiver Zustimmung gesetzt werden. Das erfordert ein Consent-Management-Tool mit granularen Auswahloptionen (z. B. „Essentiell“, „Statistik“, „Marketing“).

Welche Informationen braucht das Datenschutzteam vom Marketing?
Neben den Standardangaben benötigt das Datenschutzteam weitere folgende Informationen:

• Consent-Management-Tool:
  Angaben zum eingesetzten Consent-Management-Tool (z. B. Borlabs o. ä.) und zu den verwendeten Auswahloptionen (siehe oben, z. B. „Essentiell“, „Statistik“, „Marketing“)

• Tracking:
  Eine vollständige Liste der eingesetzten Cookies, einschließlich Angaben zu deren Funktionsweise

Was prüft das Datenschutzteam?

• Prüfung der Tracking-Tools bzw. Dienstleister
• Rechtliche Unterstützung bei der datenschutzkonformen Konfiguration des Consent-Management-Tools bzw. Cookie-Banners
• Ergänzung des Texts der Datenschutzerklärung und Festlegung der passenden Cookie-Kategorien und Banner-Vorgaben

Nach der Freigabe durch den Datenschutz kann das Marketingteam die Landingpage inkl. Tracking und Cookies implementieren. Dazu aktualisiert das Marketingteam die Datenschutzerklärung auf der Webseite.

caralegal-Praxistipp:
Wenn ein Tracking-Tool inklusive der Implementierung einmal vom Datenschutzteam geprüft und freigegeben wurde, kann es in der Regel für alle künftigen Landingpages verwendet werden. Für größere Websites empfiehlt es sich zusätzlich, Tracking-Monitoring-Tools wie Cookiebox einzusetzen. Diese prüfen regelmäßig, welche Cookies und Tracker tatsächlich geladen werden, ob sie korrekt kategorisiert sind und ob Banner- sowie Einwilligungseinstellungen technisch einwandfrei funktionieren.

Situation:
Das Marketingteam setzt ChatGPT für Textideen und DALL·E für Bildmotive in einer Social-Media-Kampagne ein.

Datenschutz-Knackpunkte:
Bei der Nutzung generativer KI dürfen keine personenbezogenen Daten in Prompts verwendet werden. Zudem ist zu prüfen, wie die Rechte an generierten Inhalten geregelt sind.

Welche Informationen braucht das Datenschutzteam vom Marketing?
Neben den Standardangaben benötigt das Datenschutzteam weitere folgende Informationen:

• Verarbeitete Daten: Angaben zu den Arten von Daten, die bei der Nutzung generativer KI verarbeitet werden - insbesondere, ob Prompts personenbezogene oder unternehmensbezogene Informationen enthalten
• Social Media Plattformen: Informationen darüber, auf welchen Social-Media-Plattformen die erstellten Inhalte veröffentlicht werden sollen (z. B. LinkedIn, Instagram, TikTok)

Was prüft das Datenschutzteam?

• Welche KI-Tools sind im Unternehmen zugelassen und wie müssen diese dokumentiert werden (z. B. im unternehmenseigenen KI-Register)
• Vorliegen von internen Regeln zur Gestaltung von Prompts
• Prüfung, ob die bestehende Datenschutzerklärung bereits Hinweise auf die genutzten Social-Media-Plattformen enthält, auf denen KI-generierte Inhalte geteilt werden
• Ggf. Anpassung des Datenschutzerklärungs-Textes und abschließend die Dokumentation des vom Marketing verwendeten KI-Tools im Verzeichnis von Verarbeitungstätigkeiten (VVT)

Nach der Freigabe durch den Datenschutz darf das Marketingteam die KI-Tools produktiv einsetzen. Das Marketingteam aktualisiert davor noch ggf. die Datenschutzerklärung auf der Webseite.

caralegal-Praxistipp:
Interne KI-Richtlinien können für Klarheit sorgen. Darin definieren Unternehmen, welche KI-Tools eingesetzt werden dürfen und wie Prompts gestaltet sein müssen. So entsteht ein sicherer Rahmen für kreatives Arbeiten mit KI.

Situation:
Im CRM-System sollen automatisierte Workflows eingerichtet werden, die Leads nach Verhalten segmentieren und personalisierte Inhalte ausspielen.

Datenschutz-Knackpunkte:
Automatisierte Segmentierung kann als Profiling im Sinne der DSGVO gelten. Das ist insbesondere dann relevant, wenn Entscheidungen über die Ansprache oder die Angebotsauswahl vollautomatisch und ohne menschliche Überprüfung getroffen werden. In solchen Fällen kann Artikel 22 DSGVO greifen. Das bedeutet: Die betroffene Person muss über die automatisierte Logik informiert werden, und unter Umständen ist eine ausdrückliche Einwilligung erforderlich.

Außerdem müssen Aufbewahrungs- und Löschfristen und Aufbewahrungsrichtlinien im CRM-System klar definiert sein.

Welche Informationen braucht das Datenschutzteam vom Marketing?
Neben den Standardangaben benötigt das Datenschutzteam weitere folgende Informationen:

• Automationsprozesse:
  Beschreibung der geplanten Automationsprozesse im CRM-System (inklusive Zielen, Auslösern, genutzten Datenfeldern, Logiken und Empfängergruppen)
• Automatisierungsgrad:
  Angaben zur Kennzeichnung, die aufzeigt, ob Entscheidungen vollautomatisiert erfolgen oder menschliche Freigaben eingebunden sind

Was prüft das Datenschutzteam?

• Bewertung der Rechtmäßigkeit der Verarbeitung, insbesondere im Hinblick auf die zugrunde liegende Rechtsgrundlage (z. B. Einwilligung oder berechtigtes Interesse) und die Anwendbarkeit von Art. 22 DSGVO (Profiling)
• Überprüfung der Datenflüsse, Speicherdauer und des Löschkonzepts sowie Prüfung des AVV des eingesetzten Tools
• Prüfung, welche Informationspflichten bestehen. Ob betroffene Personen über das Profiling informiert werden müssen und welche weitere Informationspflichten bestehen

Das Datenschutzteam gibt das Tool anschließend frei und überarbeitet den Text der Datenschutzerklärung mit den Angaben zum eingesetzten CRM-Anbieter. Das Marketingteam aktualisiert die Datenschutzerklärung auf der Webseite.

caralegal-Praxistipp:
Automatisierung spart Zeit - aber nur mit klaren Löschregeln bleibt sie rechtssicher. Planen Sie Löschroutinen von Beginn an mit ein, um Ihre Datenbestände schlank und compliant zu halten.

Situation:
Ihr Unternehmen veranstaltet ein Online-Gewinnspiel, um neue Leads zu generieren.

Datenschutz-Knackpunkte:
Es muss klar ersichtlich sein, zu welchem Zweck personenbezogene Daten erhoben werden, also ob sie ausschließlich zur Abwicklung des Gewinnspiels dienen oder zusätzlich für Marketingzwecke (z. B. Newsletter-Versand, Produktinformationen per Email) genutzt werden.

Welche Informationen braucht das Datenschutzteam vom Marketing?
Neben den Standardangaben benötigt das Datenschutzteam weitere folgende Informationen:

• Teilnahmebedingungen:
  Erstellung und Bereitstellung der vollständigen Teilnahmebedingungen, einschließlich Angaben zu Verantwortlichen, Ablauf des Gewinnspiels, Gewinnen, Teilnahmefrist sowie Informationen zur Datenverarbeitung
• Gewinnspiel-Formulare und Einwilligungen:
  Erstellung der Anmeldemasken oder Formulare inklusive Checkbox für die Marketing-Einwilligungen

Was prüft das Datenschutzteam:

• Rechtliche Bewertung der Einwilligungstexte und Teilnahmebedingungen
• Kontrolle des Double-Opt-In-Prozesses (bei E-Mail oder Telefon zusätzlich Verifizierung der Telefonnummer oder Adresse)
• Prüfung des AVV und Freigabe des eingesetzten Tools

Das Datenschutzteam dokumentiert das Online-Gewinnspiel im Verzeichnis für Verarbeitungstätigkeiten, aktualisiert ggf. den Text der Datenschutzerklärung und erteilt anschließend dem Marketing die Freigabe. Das Marketingteam aktualisiert abschließend die Datenschutzerklärung auf der Webseite.

caralegal-Praxistipp:
Gut zu wissen: Es besteht kein absolutes Koppelungsverbot. Eine Teilnahme an einem Gewinnspiel darf (ähnlich wie bei Whitepaper-Downloads) an eine Marketing-Einwilligung geknüpft sein, sofern sie freiwillig, eindeutig und transparent erfolgt. Wichtig ist, dass klar wird, wer die Daten verarbeitet und zu welchem Zweck.

Achten Sie außerdem darauf, dass die Einwilligung erst durch ein Double-Opt-In wirksam wird, z. B. durch die Bestätigung einer E-Mail oder, im Falle telefonischer Kontaktaufnahme, einer separaten Verifizierung der Telefonnummer. Eine lückenlose Protokollierung der Einwilligungen sorgt dafür, dass Sie jederzeit nachweisen können, wann und wofür die Zustimmung erteilt wurde.

Datenschutz gehört in Marketingabteilungen längst zum Alltag, aber selten zu den Lieblingsaufgaben von Marketingprofis. 

Unsere fünf Szenarien zeigen: Im modernen Marketing spielt die Verarbeitung von personenbezogenen Daten eine zentrale Rolle, etwa bei Kampagnen, Analysen oder automatisierten Customer Journeys. Deshalb ist eine enge Zusammenarbeit zwischen Marketing und Datenschutz mit klaren Zuständigkeiten und definierten Abläufen entscheidend.

Je besser Marketing und Datenschutz verstehen, welche Informationen für eine Freigabe nötig sind, desto schneller kann diese erfolgen. Wenn das Marketingteam die relevanten Details, etwa zu Datenquellen, Einwilligungen oder Verarbeitungstätigkeiten, von Anfang an vollständig übergibt, spart das Rückfragen und beschleunigt die Abstimmung erheblich.

Noch effizienter wird der Prozess, wenn alle Informationen zentral gesammelt und strukturiert bereitgestellt werden. Eine gemeinsame Plattform, auf der das Marketingteam sämtliche Angaben für die Datenschutzprüfung einpflegt, schafft Transparenz, reduziert Abstimmungsaufwand und erleichtert die Freigaben für alle Beteiligten.

Mit digitalen Lösungen wie dem Privacy Flow von caralegal lassen sich diese Aufgaben deutlich einfacher und sicherer gestalten. Die Software hilft, Datenschutzprozesse im Marketing zu strukturieren, Verarbeitungstätigkeiten zentral zu dokumentieren und Freigaben zuverlässig nachzuhalten.

Falls Sie im Marketing eng mit Ihren KollegInnen aus dem Datenschutz zusammenarbeiten: geben Sie den Hinweis gern weiter. caralegal kann helfen, die Zusammenarbeit effizienter und reibungsloser zu gestalten.