Du bist im Onlinemarketing-Bereich innerhalb der EU tätig und arbeitest mit personenbezogenen Daten? Dann solltest Du jetzt ganz genau aufpassen, denn ab dem 25.05.2018 werden die Daumenschrauben deutlich enger gezogen.
Überspitzt formuliert: Ab diesem Tag gilt für alle die Pflichtmitgliedschaft in der Gemeinschaft der Datenschützer. Denn ab diesem Tag tritt die Datenschutzgrundverordnung - kurz DSGVO -, für alle Mitgliedstaaten der europäischen Union verbindlich in Kraft.
Auch in Deutschland war in der Vergangenheit schon ein recht hohes Datenschutzniveau vorgeschrieben. In der Onlinemarketing-Community war – so die Erfahrungen des Autors - jedoch die Meinung weit verbreitet, dass ausreichender Datenschutz bereits dann betrieben wird, wenn man standardisierte Datenschutzmustertexte (gerne aus dem Internet kopiert) auf seiner Webseite verwendet und auf Kundennachfrage erklärte, dass „uns Datenschutz wichtig“ ist.
Diese Laissez-faire-Haltung hatte ihren Ursprung in der Tatsache, dass Verstöße gegen diese Regelungen offenbar keine großen Sanktionen nach sich zogen. Die eigenen Geschäftsmodelle wurden kaum oder nur einer oberflächlichen Prüfung unterzogen. Vertragliche Verpflichtungen von Vertragspartnern, welche die Einhaltung der Datenschutzstandards verlangten, wurden in der Regel bedenkenlos unterschrieben, ihre Einhaltung vielfach nicht überwacht.
Das Datenschutzniveau innerhalb der einzelnen europäischen Länder war sehr unterschiedlich und unübersichtlich und am Ende schienen die amerikanischen digitalen Marktführer ihren Datenschutzstandard via AGB und Lizenzbedingungen einfach „durchzudrücken“.
Die DSGVO schafft nunmehr einheitliche Regelungen in der gesamten EU und umfasst darüber hinaus auch solche Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten (wie Amazon, Facebook, Alphabet).
Bei Verstößen riskieren Betroffene zukünftig:
Abmahnungen von Wettbewerbern;
massive Bußgelder von Behörden; während nach dem bisherigen BDSG Bußgelder von bis zu 300.000 Euro möglich waren, beträgt die maximale Geldbuße im Rahmen von Art. 83 DSGVO 20 Millionen Euro oder bis zu 4% des gesamten
weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Achtung: Es gilt der Jahresumsatz des gesamten Konzerns (!), nicht der einzelnen juristischen Person;
zeitlich begrenzte oder endgültige Verbote der Datenverarbeitung;
die Nichtigkeit aller unter Verstoß gegen das Datenschutzrecht zustande gekommener Verträge;
einen großen Reputationsverlust bei Kunden und Vertragspartnern.
Wer Datenschutzverstöße in Kauf nimmt, riskiert auch als Gesellschafter und Geschäftsführer die persönliche Haftung!
Besonders unangenehm: Nach dem neuen Art. 82 I DSGVO können Geschäftsführer, Vorstände und alle diejenigen, die in verantwortlicher Stelle für die Datenverarbeitung in einem Unternehmen zuständig sind, persönlich Schadenersatzansprüchen und Geldbußen ausgesetzt sein. Je nach Schwere des Schadens können sie als Angestellte ihren Job und als Gesellschafter ihren Ausschluss aus der Gesellschaft riskieren. Gem. Art. 82 I DSGVO hat jede Person, die ein materieller oder immaterieller Schaden entstanden ist einen Direktanspruch gegen den Verantwortlichen oder den Auftragsverarbeiter. Die Beweislast trägt hier gem. Art. 82 III DSGVO der Verantwortliche. In diesem Sinne lohnt es sich Vorsorge zu betreiben und in eine gute Datenschutz-Organisation zu investieren.
Die Neuregelung gilt für alle Unternehmen, die
personenbezogene Daten
verarbeiten,
wenn sie in der EU sitzen oder es sich um Daten von EU-Bürgern handelt. Entscheidend ist damit, ob Du personenbezogene Daten verwendest. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar" ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Die Möglichkeit der theoretischen Identifizierung einer Person reicht aus!
Personenbezogene Daten sind z.B.:
Name, Anschrift und eindeutige Kennnummern wie Konto- oder Sozialversicherungsnummern, Kfz-Kennzeichen;
demographische Daten wie Alter, Geschlecht, Einkommen oder sexuelle Orientierung;
Verhaltensdaten wie Suchanfragen, Einkaufshistorie usw.;
Sensordaten aus der Biometrik, von Fitness Trackern oder Standortdaten oder IP-Adressen;
Benutzer- oder sonstig generierte Daten wie
E-Mails, Fotos, Videos, Blogs oder Kommentare,
Facebook „Like“-Buttons und Social-Plugins anderer Anbieter wie Linkedin; Twitter, Xing etc.,
aber auch solcher Daten die mittels Tracking-Cookies und Targeting Tools wie Google Display und AddThis oder Analyse Tools wie Google Analytics, Ryte & Searchmetrics entstehen.
Die Verarbeitung der Daten umfasst alle denkbaren Verwendungen wie Datenerhebung, Speicherung, das Ordnen, Organisation, Anpassung oder Veränderung wie auch die Offenlegung durch Übermittlung, Verbreitung oder jede Form der Bereitstellung von Daten.
Anonymisierte Daten sollten keine Rückschlüsse auf einzelne Personen zulassen. Daher gelten zum Beispiel Statistiken über Besucher einer Website, wenn sie nicht zurückverfolgt werden können, als anonym.
Die neuen Datenschutzregelungen sind sehr komplex und ersetzen keine intensive Beschäftigung mit der Materie. Das kann dieser Beitrag nicht abdecken, dafür aber die wichtigsten Gebote zusammenstellen, die grundsätzlich zu beachten sind.
Benutze keine personenbezogenen Daten, es sei denn Du findest eine Ausnahme im Gesetz (z.B. BDSG, TMG, DSGVO) oder die betroffene Person willigt ein.
Erlaubt ist insbesondere die Nutzung der Daten in folgenden Fällen:
Vertragserfüllung,
aus steuerlichen Gründen (Aufbewahrung von Rechnungen),
Schutz lebenswichtiger Interessen von Menschen oder
bei Vorliegen berechtigter Interessen, worunter auch Gründe der IT-Sicherheit, aber auch Marketing oder Direktwerbung zählen können.
Hier ist besonders der letzte Punkt interessant, da hier auch wirtschaftliche Interessen möglich sind. In jedem Fall müssen aber die übrigen Gebote beachtet werden. Insbesondere müssen die Datennutzer ein hinreichendes Risiko- und Compliance-Management aufbauen, um drohende Verstöße zu verhindern.
Du sollst nur soviel Daten erheben und verarbeiten, wie Du tatsächlich benötigst.
Die neuen Datenschutzbestimmungen mit allen notwendigen Informationen müssen künftig
präzise
transparent
verständlich
leicht zugänglich
in klarer und einfacher Sprache
sein.
Du darfst Daten nur zu dem (vorher bekannten) Zweck verarbeiten, für die Du sie erhoben hast. (Grundsatz der Zweckbindung gem. §§ 14, 28, 29 BDSG).
Besondere Vorsicht ist bei sensiblen personenbezogenen Angaben (z.B. zur rassischen und ethnischen Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) geboten. Hier muss sich die Einwilligung nach § 3 Abs. 9 BDSG ausdrücklich auf diese Daten beziehen.
Du darfst nur solche Daten verwenden, die inhaltlich und sachlich richtig und aktuell sind.
Mache den Betroffen darauf aufmerksam, dass die von dir an Dritte weitergegebenen Daten jederzeit gelöscht werden können (Recht auf Vergessenwerden).
Sorge dafür, dass die Nutzung der Daten transparent ist und (grundsätzlich) nur mit Kenntnis des Betroffenen erfolgt.
Gebe jedem Betroffenen auf Nachfrage wahrheitsgemäß Auskunft über Art, Zweck und Nutzung seiner Personendaten.
Die Fürsorgepflicht wird in der neuen DSGVO besonders groß geschrieben:
(1) Du sollst Daten durch geeignete technische und organisatorische Maßnahmen angemessen schützen; dabei hast Du unter Berücksichtigung des jeweiligen Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände ein dem Risiko angemessenes Schutzniveau für die Daten zu gewährleisten. Verwende insbesondere datenschutzfreundliche Voreinstellungen (privacy-by-design) und spare Daten durch
minimierte Speicherung
umgehende Pseudonymisierung
Einräumung von Kontrollmöglichkeiten
transparente Zuordnung aller Aufgaben, die mit Nutzerdaten verbunden sind.
(2) Besonders wichtig sind auch konkrete Vereinbarungen im Rahmen der Beauftragung dritter Dienstleister (wie Systemadministratoren, IT-Services, aber auch ggf. Reinigungsdienste etc.). Das Bundesdatenschutzgesetz fordert dazu in § 9 und in der Anlage zu § 9 BDSG konkrete Schutzmaßnahmen. Demnach sind die Daten vor allem vor Verlust, unerlaubter Kenntnisnahme oder Verfälschung zu schützen.
(3) Schütze dabei die Jugend vor sich selbst! Nutze nur Daten von Personen, die das vollendete 16. Lebensjahr erreicht haben oder wenn die Eltern damit einverstanden sind.
Datenschutz ist keine staatlich oktroyierte Verwaltungsschikane, sondern der Versuch der Achtung der Persönlichkeitsrechte der Betroffenen.
Achte daher die Rechte deiner Nutzer auf
Auskunft
Zugriffs zu den eigenen Daten
Nachbesserung einmal erklärter Zustimmungen zur Datennutzung
Löschung;
zweckgebundene Verarbeitung der Daten
auf Datenübertragbarkeit;
Widerspruchsrecht und
das Recht, keinen automatisierten Entscheidungsprozessen einschließlich Profiling ausgesetzt zu sein.
2018 wird datenschutzrechtlich eine große Herausforderung. Die Zeit für die Prüfung und Umstellung ist sehr kurz. Packen wir’s an.
Schritt 1: Ermittle den Status quo!
Wo stehen wir datenschutzrechtlich heute?
Welche personenbezogene Daten habe ich im Unternehmen/in meiner Unternehmensgruppe vorliegen?
Welche Daten werden tatsächlich genutzt?
Welche Daten darf ich rechtmäßig nutzen?
Welche Daten darf ich an Dritte weitergeben?
Schritt 2: Prüfe, ob Du Mindeststandards erfüllst!
Habe ich meine IP-Adressen anonymisiert?
Erhebe ich nur diejenigen Daten, die für das jeweilige Angebot unabdinglich sind?
Protokolliere ich erhobene Daten, werden diese gespeichert und auf Nachfrage angegeben?
Erfolgt das Einverständnis der Nutzer für die Kontaktaufnahme ausdrücklich?
Bin ich verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen?
Ist meine Datensammlung hinreichend vor Angriffen Dritter geschützt (Gefährdungsanalyse)?
Schritt 3: Kläre, welche Schritte notwendig sind, um den neuen Anforderungen des DSGVO zu entsprechen!
Schritt 4: Plane die notwendigen Ressourcen ein und ermittle, welche Ressourcen fehlen!
Schritt 5: Steige in die Projektplanung ein und kläre mit welchen Personen und in welchem Zeitrahmen die Umstellung durchgeführt wird!
Veröffentlicht am Jan 31, 2018 von Marc Laukemann