EU-Datenschutz-Novelle: Das ändert sich ab Mai 2018

Jana Behr am 26. Oktober 2017

EU DatenschutzDer 25. Mai 2018 ist in puncto Datenschutz für alle europäischen Unternehmen und diejenigen, die mit Daten von EU-Bürgern in Kontakt kommen, ein wichtiges Datum. Denn an diesem Tag tritt die neue EU-Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Da bei Verstößen außergewöhnlich hohe Bußgelder drohen, sollten sich auch Technologie-Unternehmen gut auf die neuen Regelungen vorbereiten.

Das Ziel der Datenschutz-Reform ist es, europaweit einheitliche Rahmenbedingungen zu schaffen. So soll eine größere Rechtssicherheit beim Umgang mit personenbezogenen Daten entstehen und eine Vereinheitlichung der Regeln zum Datenschutz in der EU umgesetzt werden. Die Verordnung betrifft jedes Technologie-Unternehmen, das mit personenbezogenen Daten arbeitet, vom Konzern bis zum Einzelunternehmen. Gut ist, dass laut IDC-Studie „Mobile Security in Deutschland 2017“ 74 Prozent der CIOs die DSGVO im Blick haben und ihr Unternehmen bereits darauf vorbereiten. Nur bei fünf Prozent der befragten IT-Entscheider ist das Thema noch nicht präsent.

Fleißkärtchen für umfassenden EU-Datenschutz

Dabei geht es bei der neuen EU-Datenschutz-Novelle nicht allein darum, sich an die Regelungen zu halten. Besonderen Wert wird darauf gelegt, dass Unternehmen die eigenen Maßnahmen dokumentieren. So liegt der Schwerpunkt der Änderungen vor allem auf den Rechenschaftspflichten, der „Accountability“. Sie fordert von Unternehmen, die bestehenden Compliance-Anforderungen um eine genaue Dokumentation von Verarbeitungsprozessen sowie Datenschutzfolgeabschätzungen zu ergänzen. Das Ziel: Sich insgesamt mehr Gedanken um den Datenschutz zu machen. So müssen Sie jederzeit Nachweise über Ihre Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ dokumentiert und die Zulässigkeit geprüft worden sind.

Denn eine der weitreichendsten Änderungen ist die Umkehr der Beweislast. So müssen Behörden nicht mehr Verstöße gegen den Datenschutz nachweisen, sondern Sie müssen als Unternehmen belegen, dass Sie die Regeln einhalten – eine Wendung um 180 Grad. Das gilt auch für die eingesetzte Technologie, zum Beispiel für die Kundenakquise, -bindung und -pflege, Customer-Relationship-Management- und Social-Media-Management-Systeme.

Bußgelder von bis zu vier Prozent des Jahresumsatzes drohen

Unternehmen sollten die neue Verordnung mehr als ernst nehmen: Denn bei Verstößen oder Unterlassung drohen zum Teil drakonische Strafen, die bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes des Unternehmens betragen können – je nachdem welcher Betrag höher ist. Begründet werden die hohen Bußgelder damit, dass die maximalen deutschen Bußgeldgrenzen von 50.000 Euro (im Telemediengesetz, TMG) und 300.000 (im BDSG) keine wirkliche Abschreckung bedeuteten.

Der Kunde muss umfassend informiert werden

Nicht anzuraten ist es, weniger sensible Personendaten lockerer zu handhaben: Schon nach bisher geltendem Recht müssen Personen der Verwendung zustimmen, allerdings war die Zustimmung bei (Online-)Formularen bereits vorausgewählt. Neu: Dem Speichern auch nicht sensibler Daten müssen die betroffenen Personen durch eindeutige Handlung zustimmen. Einhergeht, dass gleichzeitig verstärkte Informationspflichten für mehr Transparenz gelten.

Informationen müssen unter anderem über folgende Aspekte gegeben werden:

  • alle Zwecke der Datenverarbeitung,
  • den Namen und die Kontaktdaten des Verantwortlichen und auch des Datenschutzbeauftragten,
  • die gesetzliche Legitimation für die Datenverarbeitung,
  • die Empfänger der Daten,
  • die Speicherfrist oder Kriterien, um die Frist zu bestimmen,
  • die Absicht, die Daten an Dritte weiterzugeben, evtl. auch in einem Drittland oder international,
  • die Rechte auf Auskunft, Löschung usw. und
  • das Beschwerderecht bei der Datenschutzaufsichtsbehörde.

Besonders schwierig gestaltet sich für das Direktmarketing Artikel 13, lit. 3, der festlegt, dass die Informationspflicht wiederauflebt, wenn Sie Daten für neue Zwecke verarbeiten. Wer seine Kundenadressen für ein Mailing nutzt, muss die Kunden spätestens vor der Datenselektion und dem Mailingversand informieren. Der Kunde müsste demnach zwei Briefe nacheinander erhalten: die Information und das eigentliche Mailing. Um hier verbraucherfreundliche Maßnahmen für die Umsetzung der Informationspflicht zu finden, sollten Sie sie sorgfältig planen.

Umgang mit Werbung online und offline

Werbung über SMS, E-Mail und telefonische Anrufe benötigen nach der neuen Datenschutzregelung eine „unmissverständliche Zustimmung“. Was sich zunächst klar geregelt anhört, entpuppt sich beim genaueren Hinsehen aber als ein Schlupfloch. Denn für eine unmissverständliche Zustimmung reicht beispielsweise ein Kundeninteresse an Produkten oder Dienstleistungen eines Unternehmens aus, was eine Interaktion mit dem Unternehmen darstellt.

Zur Frage in Bezug auf gedruckte Werbung ist nicht viel Information zu finden. Anton Jenzer, Präsident des Dialog Marketing Verbands Österreich (DMVÖ), meint, dass die Kundenakquise, Kundenpflege und Kundenbetreuung in Form von Zusendung von Prospekten, Kundenzeitschriften und anderen gedruckten Postsendungen mit der Opt-out-Regel nach wie vor gültig sei. Allerdings sei ein Abgleich mit der Robinsonliste anzuraten. Hier tragen sich alle ein, die keine personalisierten Zusendungen erhalten möchten.

Datenschutzbeauftragte für einige Unternehmen Pflicht

Bestimmte Unternehmen müssen nach der neuen DSGVO einen Datenschutzbeauftragten benennen. Wer genau einen Datenschutzbeauftragten braucht, ist Teil einer Öffnungsklausel und kann daher national bestimmt werden. Die EU schlägt vor, dass ab einer Betriebsgröße von 250 Mitarbeitern ein Datenschutzbeauftragter ernannt werden muss, ebenso bei Unternehmen, die hauptsächlich ein datengetriebenes Geschäft betreiben.

Der Datenschutzbeauftragte nimmt eine Position zwischen dem Unternehmen und den Kunden ein und muss auf heikle datenschutzrechtliche Themen aufmerksam machen. Er hat zwar bei den Themen des Datenschutzes ein Mitspracherecht und eine beratende Funktion, aber kein Vetorecht.

Neu: Recht auf Löschung

Neu eingeführt gilt in der EU ab Mai 2018 das „Recht auf Vergessenwerden“. Es ist eine der Anforderungen, die durch die EU-Datenschutz-Grundverordnung neu hinzukommen beziehungsweise ergänzt wurden (Artikel 17 DSGVO, Recht auf Löschung). Das Risiko verteilt sich dabei auf den Verantwortlichen und den Auftragsverarbeiter, die beide in der Haftung stehen. Personen haben das Recht, ihre Daten und Links löschen zu lassen, wenn ihre Daten rechtswidrig verarbeitet oder behandelt wurden.

Diese Regelung schafft eines der größten Probleme: Denn gemäß einer Studie von Compuware kämpfen Unternehmen mit der Kontrolle ihrer Daten. So sagen 76 Prozent der deutschen Unternehmen, die Komplexität moderner IT-Services führe dazu, dass sie nicht immer wissen, wo genau sich Kundendaten befinden. Nur etwas unter zwei Drittel glauben, in der Lage zu sein, alle Daten effizient zu löschen. Hinzukommt, dass zur Löschpflicht das Löschen auf eventuellen Datenkopien, Links auf Daten und Kopien sowie auf anderen Datenspeichern wie Papierakten, Mikrofilmen und Fotos gehört.

Fazit

Die EU-DSGVO ist umfangreich, weshalb jedes Technologie-Unternehmen schon heute anfangen sollte, sich mit ihr zu beschäftigen und sie umzusetzen. Informieren Sie sich ausführlich, bei Unsicherheiten auch bei externen Fachleuten, und erarbeiten Sie eine Roadmap. Auch wenn die Umsetzung der Datenschutznovelle umständlich ist, nehmen Sie sie ernst: Verstöße gegen die Verordnung ziehen teils existenzbedrohende Strafen für Unternehmen nach sich.

Headerbild: Fotolia / CrazyCloud

Asset Paket Marketing Automation



Topics: Marketingautomatisierung, Marketing Automation, Automation

Blogverzeichnis - Blog Verzeichnis bloggerei.de