Das neue Jahr bringt so einige Veränderungen in Sachen Datenschutz: DSGVO – das steht für Datenschutzgrundverordnung. Sie gilt ab dem 25. Mai 2018 in allen Ländern der Europäischen Union und für jedes Unternehmen, das dort personenbezogene Daten verarbeitet. Dabei macht es keinen Unterschied, ob es seinen Sitz in den USA, China oder auf Malta hat. Bei Verstößen drohen empfindliche Geldstrafen – je nach Unternehmensgröße bis zu 20 Millionen Euro oder 4 Prozent der Vorjahreseinnahmen. Was bedeuten die neuen Regelungen für Marketing, Vertrieb und Kommunikation? Wir haben im pressrelations-Blog einige der wichtigsten Änderungen für Sie zusammengefasst:
Warum eine einheitliche Datenschutzregelung? Reichen die nationalen Bestimmungen nicht aus?
Bisher existierten in den EU-Mitgliedsstaaten recht unterschiedliche Standards: So galten für deutsche Marketer bisher sehr strenge Datenschutzvorgaben, während Marketingabteilungen anderer Länder flexibler arbeiten konnten. Die DSGVO will in diesem Punkt mehr Einheitlichkeit und Transparenz schaffen und Wettbewerbsverzerrungen entgegenwirken. Im Gegensatz zu einer Richtlinie, die die EU-Länder individuell in nationales Recht übersetzen können, ist die EU-Verordnung ab dem 25. Mai 2018 für alle gleichermaßen Pflicht. Dann wird die DSGVO nationale Bestimmungen wie das Bundesdatenschutzgesetz (BDSG) in seiner alten Form ersetzen. Das Telemediengesetz (TMG) und Gesetz gegen den unlauteren Wettbewerb (UWG) bleiben dagegen unverändert bestehen.
Dreh- und Angelpunkt – personenbezogene Daten.
Was ist das?
Personenbezogene Daten, das sind Informationen, die sich auf eine konkrete Person beziehen bzw. über die sich die Identität eines Menschen bestimmen lassen könnte. Zum Beispiel: Name, Adresse, E-Mail, Telefonnummer, Geburtstag, Kontodaten, Standortdaten oder IP-Adressen. Auch Cookies können personenbezogen sein – ist es ja gerade ihr Zweck, eine Person z.B. als Zielobjekt von Werbung zu definieren. Der Einsatz von und der Umgang mit Cookies wird derzeit in Brüssel im Rahmen der ePrivacy-Verordnung noch diskutiert – hier sollten Sie die weiteren Entwicklungen in jedem Fall im Auge behalten.
Sind Daten hingegen nicht eindeutig zuzuordnen – z.B. bei vollkommen anonymisierten oder gruppierten Informationen wie den Besuchern einer Webseite – finden Regelungen wie die DSGVO auch keine Anwendung.
Wann dürfen personenbezogene Daten verarbeitet werden?
Im Onlinemarketing gehören die Einwilligung des Nutzers (Art 6 Abs. 1a, 7 DSGVO) und das so genannte „Berechtigte Interesse“ (Art 6 Abs. 1f DSGVO) zu den beiden wichtigsten Säulen, die eine Nutzung von Personendaten künftig erlauben. Werbetreibenden wird ein solches Interesse generell auch zugesprochen. Personalisierte Werbung beispielsweise kann für kommerzielle Organisationen also durchaus berechtigt und damit auch legitim sein. Allerdings gibt es eine wichtige Einschränkung: Wenn der Schutz der Nutzerinteressen (z.B. Privatsphäre) überwiegt, treten werbliche bzw. kommerzielle Interessen dahinter zurück. Dies gilt vor allem bei Minderjährigen und Kindern: Einwilligungen von Minderjährigen unter 16 Jahren sind nach der DSGVO zudem nur wirksam, wenn die Eltern einverstanden sind.
Zusammengefasst: Liegt die gültige Einwilligung eines Nutzers vor, ist dies eine sichere Bank. Stützen sich Ihre Marketingmaßnahmen auf berechtigte Interessen, bewegen Sie sich in einer gewissen Grauzone. Hier bleibt abzuwarten, wie Behörden und Gerichte einzelne Fälle in Zukunft beurteilen werden. Der Bundesverband der Digitalen Wirtschaft (BVDW) sieht dennoch neuen Gestaltungsspielraum und beurteilt Artikel 6 Abs. 1f in seinem Praxisleitfaden als die „wohl wichtigste Regelung für die Digitalwirtschaft.“
Einwilligung des Nutzers – heißt ausdrückliche Zustimmung!
Der Nutzung von personenbezogenen Daten (z.B. für den Newsletter) müssen Nutzer aktiv und eindeutig zustimmen. Die sicherste Möglichkeit, eine nachweisbare Einwilligung einzuholen bietet z.B. ein Double-Opt-In-Verfahren. Beispiel: Nach einer Newsletter-Anmeldung erhält der Nutzer einen Link, den er per Klick nochmals bestätigt. Bei jeder Einwilligung muss auch über die Möglichkeiten des Widerrufs informiert werden.
Informationen über jedes Tool (z.B. Google Analytics, Einsatz von Cookies etc.), mit dem Sie personenbezogene Daten verarbeiten, gehören ebenso zu den Pflichtübungen. Was ist der Zweck der Datenerhebung? Was passiert mit den gewonnenen Daten? Entsprechende Datenschutzerklärungen auf der Webseite sollten Sie präzise, verständlich und leicht zugänglich platzieren.
Wiederruf und Löschung von Daten – Opt-Out-Möglichkeit
Egal ob Marketingmaßnahmen auf einer Einwilligung oder einem berechtigten Interesse beruhen – Nutzer haben jederzeit das Recht, der Verarbeitung ihrer Daten zu widersprechen (Art. 21 DSGVO). Das betrifft auch die Weitergabe von Daten an Dritte. Eine Opt-Out-Möglichkeit ist daher notwendig, je einfacher und leichter (z.B. über einen Klick), desto besser. Klassisches Beispiel dafür: die Deaktivierung des Trackings/der Cookies auf der Webseite. Neu ist, dass Do-Not-Track-Signale in den Einstellungen des Internetbrowsers als automatisierter Widerspruch berücksichtigt werden müssen.
Das „Recht auf Vergessen“ (Datenlöschung) ist in der DSGVO ebenfalls fest verankert (Art. 17 DSGVO). Kunden dürfen der Nutzung ihrer Daten jederzeit widersprechen, diese widerrufen und die Löschung ihrer Daten fordern.
Recht auf Datenübertragbarkeit & Rechenschaftspflicht
Neu ist auch das Recht auf Datenübertragbarkeit (Artikel 20). Es gibt Nutzern die Möglichkeit, ihre Daten zu einem anderen Anbieter „mitzunehmen“. Zudem sieht Artikel 5 eine Rechenschaftspflicht vor: Auf Aufforderung müssen Datenverantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen können.
Sind Tools wie Google Analytics künftig noch erlaubt?
Um einen datenschutzkonformen Umgang mit Analytics zu gewährleisten, muss mit Google ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Bisher regelte dies § 11 BDSG geregelt, künftig greift Art. 28 DSGVO. Auch sollten Sie keine vollständigen IP-Adressen erfassen und nur gekürzte und damit anonymisierte Adressen verwenden. In der Datenschutzerklärung müssen Sie Ihre Nutzer über die Funktionsweise Ihrer Tracking-Tools aufklären und einen leicht zugänglichen Link zum Opt-Out bereithalten.
Beispiel Direktmarketing – was ändert sich?
Das Direktmarketing per E-Mail bedarf auch weiterhin einer ausdrücklichen Einwilligung – an den bestehenden Regelungen des Gesetzes gegen den unlauteren Wettbewerb ändert auch die DSGVO nichts. Auch bleibt die Direktwerbung an Bestandskunden für ähnliche Produkte und Dienstleistungen erlaubt. Allerdings wird es z.B. die bisherigen Regelungen zum Adresshandel in dieser Form nicht mehr geben. Hier werden Unternehmen durch ihre „berechtigten Interessen“ wohl flexibler.
Mehr Verantwortung für den Datenschutzbeauftragten
Der Datenschutzbeauftragte wird durch die DSGVO gestärkt: So ist er künftig auch für die Kontrolle und die Einhaltung der datenschutzrechtlichen Regelungen im Unternehmen zuständig – er berät, ist aber auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen mitverantwortlich.
Checkliste – sind Sie fit für die DSGVO?
- Haben Sie einen Datenschutzverantwortlichen beauftragt?
- Haben Sie mit der Bestandsaufnahme Ihrer Datenverarbeitungsaktivitäten begonnen?
- Haben Sie Ihre Einwilligungsformulare auf den Prüfstand gestellt?
- Haben Sie das entsprechend Widerrufsrecht integriert?
- Ist Ihre Datenschutzerklärung aktuell und entspricht den neuesten Bestimmungen
FAZIT
Wer sich auch bisher schon an die deutschen Datenschutzbestimmungen gehalten hat, ist mit Blick auf die DSGVO klar im Vorteil. Allerdings enthält die EU-Verordnung wesentlich detaillierte Informationspflichten. Die „Berechtigten Interessen“ als Erlaubnisgrundlage bietet Werbetreibenden künftig wohl mehr Gestaltungsspielraum. Abzuwarten bleiben die Ergebnisse der ePrivacy-Verordnung und deren Auswirkungen auf die digitale Kommunikation.
Der Bundesverband Digitale Wirtschaft (BVDW) e.V. hat einen Praxisleitfaden zur EU-Datenschutzgrundverordnung 2018 herausgegeben, eine Leseprobe finden Sie hier.
