Richtlinie zu Marketing-Datenschutz und Cookies

Die Richtlinie zu Marketing-Datenschutz und Cookies definiert verbindliche Datenschutzanforderungen für Marketing, Cookies, Tracking-Technologien, Analysen, Werbetechnologie, Zielgruppensegmentierung, Direktmarketing, Präferenzmanagement, Sperrung, Tags von Drittparteien, Kampagnenprüfung und die zugehörige Verarbeitung personenbezogener Daten. Ihr festgelegter Zweck besteht darin, sicherzustellen, dass diese Aktivitäten durch klare Zweckaufzeichnungen, transparente Datenschutzhinweise, geeignete Einwilligungs- oder Präferenzkontrollen, Behandlung von Sperrung und Widerruf, Aufsicht über Drittparteien und auditbereite Nachweise gesteuert werden. Die Richtlinie gilt über Kontexte als Verantwortlicher, als gemeinsam Verantwortlicher, als Auftragsverarbeiter und als Unterauftragsverarbeiter hinweg; Pflichten des Verantwortlichen gelten dort, wo die Organisation Marketingzwecke und -mittel festlegt, und Pflichten des Auftragsverarbeiters gelten dort, wo personenbezogene Daten für Marketing, Analysen, Tracking oder Kampagnen nach dokumentierten Kundenweisungen oder Weisungen eines vorgelagerten Auftragsverarbeiters verarbeitet werden. Eine zentrale Anforderung ist, dass Marketing- und Tracking-Zwecke aufgezeichnet werden müssen, bevor die Verarbeitung beginnt. Für Tätigkeiten als Verantwortlicher müssen der Prozessverantwortliche oder der Geschäftsinhaber jede Marketingkampagne, jeden Kanal, Verarbeitungszweck, jede Kategorie personenbezogener Daten, Zielgruppenquelle, Verknüpfung mit der Rechtsgrundlage, Kategorie von Tracking-Technologien, Lieferanten- oder Tag-Abhängigkeit, Verknüpfung mit Datenschutzhinweisen, Einwilligungs- oder Präferenzabhängigkeit, Verknüpfung mit Aufbewahrungsregeln und Übermittlungskennzeichnung in REG02 aufzeichnen, bevor die Kampagne oder Tracking-Aktivität beginnt. Der Privacy Lead / PIMS Manager muss die aktuelle Verknüpfung mit REG07-Datenschutzhinweisen und die Verknüpfung mit REG05-Einwilligung oder -Präferenzen vor dem Kampagnenstart bestätigen. Wenn gemeinsames Marketing, gemeinsame Zielgruppen, Co-Branding-Kampagnen oder gemeinsame Tracking-Aktivitäten beteiligt sind, muss die Zuweisung der Verantwortung als gemeinsam Verantwortlicher vor dem Start in REG08 aufgezeichnet werden. Die Richtlinie enthält detaillierte operative Anforderungen an Einwilligung, Präferenzen, Cookies und Tracking-Kontrollen. Sie verlangt, dass die Organisation für jeden Marketingkanal feststellt, ob Einwilligung, Präferenz, Widerspruch, vertragliche Weisung oder eine andere genehmigte Grundlage erforderlich ist, und die Entscheidung vor der Erhebung oder Kampagnennutzung in REG02 und REG05 aufzeichnet. Nicht erforderliche Cookies, Tags, Pixel, SDKs und ähnliche Tracking-Technologien müssen inaktiv bleiben, bis der erforderliche Einwilligungs- oder Präferenzstatus in REG05 verfügbar ist. Einwilligungs- oder Präferenzsignale dürfen bei Änderungen an Website, Anwendung, Kampagne oder Tag-Manager nicht überschrieben, umgangen oder ignoriert werden, und Validierungsnachweise müssen vor der Freigabe aufgezeichnet werden. Nachweise zu Einwilligung, Präferenz, Widerruf, Sperrung und Version müssen innerhalb eines Geschäftstags nach Erfassung, Änderung oder Widerruf in REG05 aufgezeichnet werden. Transparenz und Drittparteien-Governance sind ebenfalls Kernthemen. Der Privacy Lead / PIMS Manager muss vor dem Start eines neuen Marketingkanals, einer Tracking-Technologie, einer Analysekonfiguration oder einer wesentlichen Kampagnenänderung die Aufzeichnung zum Marketing-Datenschutzhinweis oder Cookie-Hinweis in REG07 erstellen oder aktualisieren. Der Inhalt des Datenschutzhinweises muss vor der Veröffentlichung mit den Marketingzwecken, Kategorien personenbezogener Daten, Empfängerkategorien, Lieferantenkategorien, Kategorien von Tracking-Technologien, Präferenzoptionen und Übermittlungskennzeichnungen in REG02 abgestimmt sein. Marketing-Lieferanten, Analyseanbieter, Werbeplattformen, Tags, Pixel, SDKs und Datenweitergabepartner müssen vor der Produktivnutzung in REG08 aufgezeichnet werden; die Klassifizierung als Auftragsverarbeiter, gemeinsam Verantwortlicher oder unabhängiger Verantwortlicher muss vor Onboarding oder Verlängerung bestätigt werden. Internationale Lieferanten, Tags, Analyseanbieter, Werbeplattformen, Zielgruppenübermittlungen oder Übermittlungen im Rahmen der Datenweitergabe müssen, soweit anwendbar, vor der Produktivsetzung an REG09 weitergeleitet werden. Die Richtlinie legt außerdem Anforderungen an Kampagnenprüfung, Sperrung, Opt-out-Routing, Durchsetzung und kontinuierliche Aufsicht fest. Zielgruppenquelle, Segmentierungskriterien, Kategorien personenbezogener Daten, Sperrausschlüsse, Präferenzbeschränkungen und Verknüpfung mit Datenschutzhinweisen müssen vor dem Kampagnenstart verifiziert werden; Personen mit Widerrufs-, Widerspruchs-, Nicht-kontaktieren- oder Sperrstatus müssen vor der Aktivierung ausgeschlossen werden. Marketing-Widersprüche, Opt-outs, Widerrufsanträge, fehlgeschlagene Abmeldungen und Beschwerden zum Direktmarketing müssen innerhalb von zwei Geschäftstagen an REG06 weitergeleitet werden, und Sperr- oder Präferenzstatus müssen innerhalb eines Geschäftstags nach der Validierung aktualisiert werden. Governance-Kontrollen umfassen die vierteljährliche Überprüfung des Status von Marketing-Datenschutzkontrollen in REG12, die jährliche Überprüfung aktiver Marketing-Lieferanten in REG08, vierteljährliche Kennzahlen zu fehlenden Einwilligungs- oder Hinweisverknüpfungen, Ausnahmen bei Trackern und Einwilligungsstatus, überfälligen Erfüllungspunkten sowie Audit-Feststellungen oder Korrekturmaßnahmen, die in REG12 aufgezeichnet werden.