Für Unternehmer und Selbstständige hat die Datenschutzgrundverordnung (DSGVO) der Europäischen Union größte Bedeutung. Bei Nichtbeachtung der Bestimmungen der DSGVO drohen ab 25. Mai 2018 Bußgelder in Millionenhöhe.
Wir informieren Unternehmens-Verantwortliche hier über die wichtigsten Fakten zum neuen Datenschutzrecht. Die Informationen sind nach besten Wissen zusammengestellt, wir übernehmen aber keine Haftung für die Richtigkeit.
1. Wen betrifft die neue Datenschutzgrundverordnung?
Die DSGVO betrifft gemäß Artikel 2 alle Unternehmen,
• die personenbezogene Daten ganz oder teilweise automatisiert verarbeiten oder
• die zwar keine automatisierte Datenverarbeitung durchführen, personenbezogene Daten jedoch in einem Dateisystem speichern.
Die DSGVO enthält Regelungen zum Schutz personenbezogener Daten natürlicher Personen. Die Verordnung gilt in den einzelnen EU-Mitgliedsstaaten als unmittelbares Recht.
Einige DSGVO-Öffnungsklauseln ermöglichen den einzelnen EU-Mitgliedsstaaten eine individuelle Datenschutz-Ausgestaltung auf nationaler Ebene. Der deutsche Gesetzgeber verabschiedete in diesem Zusammenhang ein neues Bundesdatenschutzgesetz (BDSG neu), mit dem er die in der DSGVO enthaltenen Öffnungsklauseln nutzte. Das „BDSG (neu)“ tritt zeitgleich mit der DSGVO in Kraft.
2. Auswirkungen der DSGVO auf Online-Marketing Kampagnen
Im Datenschutzrecht gilt der Grundsatz: Personenbezogene Daten dürfen nicht verarbeitet werden – es sei denn, es liegt ein gesetzlicher Ausnahme-Tatbestand vor. (Zu den personenbezogenen Daten gehören alle Informationen, mit denen Personen identifiziert werden können – dazu gehören nicht nur Namen, Adressen und Telefonnummern, sondern auch alle Daten, die eine personifizierte Werbung ermöglichen oder einen individuellen Bezug zu einer Personengruppe erlauben.)
Im Direktmarketing wird in aller Regel ein individueller Personenbezug hergestellt. Zu den verwendeten personenbezogenen Daten gehören beispielsweise die auf Cookies gespeicherten Daten sowie IP-Adressen. Derartige Daten bezwecken zumindest die Identifikation von Zielpersonen für Werbemaßnahmen. Anonymisierte, aggregierte Daten zum Beispiel aller Besucher einer Webseite fallen hingegen nicht unter den Begriff der personenbezogenen Daten. Ein völlig anonymisiertes Online-Marketing ist aufgrund der regelmäßig erfolgenden Erhebung von IP-Adressen allerdings kaum möglich.
Eine Verarbeitung personenbezogener Daten ist ausnahmsweise zulässig, wenn
• berechtigte Interessen vorliegen (Artikel 6 Absatz 1 Buchstabe f DSGVO, beispielsweise bei beabsichtigtem Online-Marketing), falls entgegenstehende Interessen oder Rechte der von der Nutzung ihrer Daten betroffenen Personen nicht überwiegen oder
• eine Einwilligung einer betroffenen Person vorliegt (Artikel 6 Absatz 1 Buchstabe a DSGVO).
Datennutzung bei „berechtigtem Interesse“
Zu den berechtigten Interessen von Personen, die von einer Speicherung oder Verarbeitung personenbezogener Daten betroffen sind, zählt insbesondere ein wirksamer Schutz der Privatsphäre. Mündige Bürger und Verbraucher sollen wissen, welche Stellen über welche personenbezogenen Information zu welchem Zweck verfügen. Zudem sorgt eine geschützte Privatsphäre für die Vermeidung von Fremdeinfluss auf den gesellschaftlichen Meinungswettbewerb.
Ob die berechtigten Interessen der datenverarbeitenden Unternehmen oder aber die aus der Privatsphäre abgeleiteten Rechte betroffener Personen überwiegen, entscheidet sich in einer individuellen Interessenabwägung. Danach werden insbesondere folgende Kriterien zur Beurteilung der Zulässigkeit einer Marketing-Maßnahme herangezogen:
• Erwartbarkeit einer Online-Marketing-Maßnahme: Übliche und typische Marketing-Maßnahmen sind eher erlaubt als ungewöhnliche und überraschende Aktionen beispielsweise in den Social Media.
• Transparenz: Eine eingehende Information von Nutzern schafft Verständlichkeit und sorgt für Entscheidungsfreiheit betroffener Personen.
• Das Double-Opt-in-Verfahren gewährleistet den geforderten Nachweis einer Nutzer-Einwilligung.
• Die Möglichkeit zum Opt-Out belässt dauerhaft eine Entscheidungsmöglichkeit über eine weitere Teilnahme an Online-Marketing-Maßnahmen beim Nutzer.
• Pseudonymbildung: Für die Zulässigkeit einer Marketing Maßnahme spricht, wenn keine individuellen Personendaten verwendet werden (wie zum Beispiel Name, E-Mail-Adresse oder IP-Adresse).
• Intensität der Nutzer-Beeinträchtigung: Je weniger detailliert die verwendeten Nutzer-Profile, desto geringer die mögliche Beeinträchtigung betroffener Personen.
• Garantien zur Datensicherheit: Spezielle vertragliche Verpflichtungen des Nutzers personenbezogener Daten (z. B. auf bestimmte Zwecke begrenzte Datenverwendung,
• Eine zeitliche Befristung der Datennutzung und die Verpflichtung zur Datenlöschung auf Verlangen betroffener Personen sprechen eher für die Zulässigkeit von Marketing Aktionen.
• Minderjährigen-Schutz. Da Minderjährige die Rechtsfolgen einer Teilnahme an Marketing-Maßnahmen schlechter einschätzen können, genießen sie einen besonderen Schutz. Eine Social Media Webseite, zu deren Zielgruppen Minderjährige gehören, muss daher besonders hohe Anforderungen an den Datenschutz erfüllen.
Folglich kann keine generelle Aussage darüber getroffen werden, welche Marketing Tools zulässig sind und welche gegen das Datenschutzrecht verstoßen. Denn Marketing-Tools sind häufig mit individuellen Optionen ausgestattet, die sich unterschiedlich auf Suchergebnis auswirken. Eine rechtlich sichere Einschätzung ist daher nur durch eine sorgfältige Interessenabwägung im Einzelfall möglich.
Datennutzung nach Einwilligung der betroffenen Personen
Eine Verwendung personenbezogenen Daten kommt auch aufgrund einer Einwilligung der betroffenen Personen in Betracht (Artikel 7 DSGVO).
Eine Einwilligung erfordert eine freiwillige, ausdrückliche Erklärung der von der Verarbeitung oder Speicherung ihrer Daten Betroffenen, die hinreichend erläutert und protokolliert ist. Minderjährige dürfen erst ab Vollendung des 16. Lebensjahres eine Einwilligung erteilen (Artikel 8 DSGVO). Jeder Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen.
Aufgrund der an eine Einwilligung gestellten hohen Voraussetzungen sollten Unternehmer stets zunächst das Vorliegen des gesetzlichen Erlaubnis-Tatbestandes eines berechtigten Interesses prüfen.
Kopplungsverbot
Das neue Datenschutzrecht sieht ein sogenanntes „Kopplungsverbot“ vor, nach dem es unzulässig ist, einen Vertragsabschluss von der Abgabe einer Einwilligung durch betroffene Personen abhängig zu machen (Artikel 7 Absatz 4 DSGVO). Beispiel: Die Zustimmung von einer Datennutzung für Werbezwecke darf nicht zur Bedingung für den Abschluss eines Onlinekaufs gemacht werden.
3. Auswirkungen auf die Kommunikation mit Ihren Kunden
Unternehmen müssen bei ihren Marketing-Maßnahmen die in den Artikeln 12 bis 22 DSGVO aufgeführten Rechte betroffener Personen beachten und dementsprechend die Kommunikation mit ihren Kunden gestalten:
• Recht auf Transparenz bei Kunden-Information und Kunden-Kommunikation
• Pflicht des Verantwortlichen zur Information Betroffener über die Erhebung personenbezogener Daten
• Pflicht zur Information Betroffener, wenn bestimmte Daten nicht bei der betroffenen Person erhoben wurden
• Auskunftsrecht über die Verarbeitung von personenbezogenen Daten sowie unter anderem über Verarbeitungszwecke, Daten-Kategorien und Datenempfänger
• Recht auf Berichtigung oder Vervollständigung unrichtiger personenbezogener Informationen
• Recht auf Löschung („Recht auf Vergessenwerden“), falls Daten zum Beispiel nicht mehr benötigt werden, die Einwilligung zur Datennutzung widerrufen wurde oder eine unrechtmäßige Verarbeitung erfolgte
• Recht auf „eingeschränkte“ Datenverarbeitung: Die Datenverarbeitung darf in diesem Fall grundsätzlich nur mit Einwilligung des Betroffenen erfolgen – unter anderem, wenn die Richtigkeit personenbezogener Daten bestritten und deshalb aktuell überprüft wird.
• Recht auf Mitteilung der Berichtigung oder Löschung von personenbezogenen Daten, deren Nutzung dem Betroffenen zu einem früheren Zeitpunkt bereits mitgeteilt wurde
• Recht auf Übertragung personenbezogener Daten auf einen anderen Verantwortlichen
• jederzeitiges Recht auf Widerspruch gegen eine Verarbeitung personenbezogener Daten
• Recht auf eine nicht ausschließlich auf automatisierter Verarbeitung basierende Entscheidung des Verantwortlichen
4. Auswirkungen auf Ihre interne Unternehmensprozesse
Die Umsetzung der Anforderungen der DSGVO erfordert die Entwicklung einer in sich schlüssigen, abgeschlossenen, vollständigen, lückenlosen Umsetzungsstrategie.
• Hierzu sollte zunächst eine vollständige Bestandsaufnahme zum Datenfluss innerhalb eines Unternehmens durchgeführt werden.
• Strenge unternehmensinterne Richtlinien müssen die Einhaltung der Datenschutzstrategien eines Unternehmens sicherstellen.
• Firmen mit mindestens zehn Beschäftigten müssen einen Datenschutzbeauftragten bestellen (Artikel 37 DSGVO).
• Alle Arbeitsprozesse und IT-Anwendungen sind so zu konzipieren und zu integrieren, dass sie den Datenschutz-Anforderungen vollständig und bestmöglich entsprechen (Privacy by Design).
• Jeder „Verantwortliche“ ist verpflichtet, für seinen Zuständigkeitsbereich ein Verzeichnis sämtlicher Verarbeitungstätigkeiten zu führen. Artikel 30 Absatz 1 DSGVO enthält eine detaillierte Übersicht der Angaben, die dieses Verzeichnis zu enthalten hat.
• Wenn eine beabsichtigte Verarbeitung personenbezogener Daten (beispielsweise beim Einsatz neuartiger Technologien) voraussichtlich mit einem hohen Datenschutz-Risiko verbunden ist, dann muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchführen (Artikel 35 DSGVO). Vor Beginn der Bearbeitung konsultiert der Verantwortliche die Aufsichtsbehörde, falls die Datenschutz-Folgenabschätzung ein hohes Risiko bestätigt und keine Maßnahmen zur Risikoeindämmung getroffen werden (Artikel 36 DSGVO).
5. Datenschutz bei Einsatz von Dienstleistern (Auftragsdatenverarbeitung)
Der für die Verarbeitung oder Speicherung personenbezogenen Daten „Verantwortliche“ kann einen Auftragsverarbeiter mit der Verarbeitung beauftragen (Artikel 28 DSGVO) nutzen. Der Verantwortliche darf nur solche Auftragsverarbeiter einsetzen, die hinreichend Garantien dafür bieten, dass eine Verarbeitung entsprechend den Vorschriften des DSGVO sowie der Schutz der Rechte betroffener Personen gewährleistet ist. Hierzu ist ein „Vertrag zur Auftragsdatenverarbeitung“ mit jedem Dienstleister individuell zu schließen.
Dies gilt im besonderen auch für Dienstleister, welche sich außerhalb der EU befinden. Für Auftragsdatenverarbeiter mit Sitz in den USA (beispielsweise viele E-Mail Marketing Anbieter) wurde dort das sogenannte „Privacy Shield“ eingeführt. Es regelt ähnliche Themen wie die DSGVO in der EU. Alle Unternehmen, welche dem Privacy Shield beigetreten sind, finden Sie in dieser Liste. Bei der Auswahl eines Anbieters sollten Sie deswegen genau prüfen, wie der Anbieter den Datenschutz handhabt. Wir haben Ihnen hier ein Factsheet zusammengestellt, welches wichtige Punkte für einer Reihe von beliebten Dienstleistern auflistet. Prüfen Sie anhand dieses Factsheets, ob Ihr Anbieter die Anforderungen bereits erfüllt.
Wichtige Fristen und Regelungen zur Datenschutzgrundverordnung
Bei einer Verletzung des nach DSGVO vorgesehenen Datenschutzes hat der Verantwortliche diese Verletzung an die Aufsichtsbehörde zu melden – und zwar unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung (Artikel 33 DSGVO). Auftragsverwalter melden eine Datenschutz-Verletzung an den Verantwortlichen. Die Verantwortlichen sind zur Dokumentation von Datenschutz-Verletzungen verpflichtet (einschließlich von damit zusammenhängenden Sachverhalten, Auswirkungen und Abhilfemaßnahmen).
Ein Schadenersatzanspruch steht betroffenen Personen gegen den Verantwortlichen oder dessen Auftragsverarbeiter dann zu, wenn den Betroffenen aufgrund eines Verstoßes gegen die DSGVO ein (materieller oder auch immaterieller) Schaden entstanden ist (Artikel 82 DSGVO).
Die Aufsichtsbehörden stellen durch Verhängung von Geldbußen sicher, dass jeder einzelne Verstoß gegen die Rechtsverordnung „wirksam, verhältnismäßig und abschreckend“ geahndet wird. Eine Geldbuße kann bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes eines Unternehmens betragen – die Aufsichtsbehörde ist verpflichtet, den jeweils höheren Bußgeld-Betrag zu wählen. Bei Verletzung bestimmter DSGVO-Normen sind Geldbußen bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des Jahresumsatzes möglich (Artikel 83 DSGVO).
Fazit
Als Verantwortlicher im Unternehmen sollten Sie sich umgehend eine Überblick verschaffen, welchen Stand Ihre Datenverarbeitung und Ihre Prozesse derzeit in Bezug auf den Datenschutz und die anstehenden Verschärfungen haben. Daraus muss ein Aktionsplan zu Umsetzung nötiger Änderungen und ein Zeitplan zur Umsetzung erarbeitet werden. Wichtiger Teil des Erfolges ist auch die Kommunikation im Team, da die korrekte Einhaltung der Datenschutz-Prozesse von allen mitgetragen werden muss.
Wie Sie Unterstützung bei den Herausforderungen der Datenschutzgrundverordnung durch das sichtbar-im-netz Team erhalten können, erfahren Sie hier.