EU-Datenschutzgrundverordnung: Sollten wir uns darum (jetzt schon) kümmern?

Müssen sich Online-Unternehmen schon jetzt damit beschäftigen? Und worum geht es überhaupt in der Verordnung?

Eine Verordnung im Datenschutz – Was ist das überhaupt?

Die Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 einheitlich in allen Mitgliedstaaten der Europäischen Union. Eine Übergangsfrist gibt es nicht. Wer am 26. Mai 2018 gegen die Bestimmungen der DSGVO verstößt, hat horrende Bußgelder zu fürchten.

Die Bußgelder sind das, wovon die meisten schon einmal gehört haben. Bis zu 20 Millionen, bzw. bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens – drohen für einen Datenschutzverstoß. Doch wichtiger als die Bußgelder sind hingegen die Auswirkungen der neuen Verordnung:

Am wichtigsten ist, dass die DSGVO einheitliches Recht in der EU schafft. Die Verordnung gilt unmittelbar in allen Mitgliedstaaten – also auch in Deutschland. Bisheriges deutsches Recht wird angepasst oder abgeschafft. Online-Unternehmen müssen sich nur um ein Datenschutzrecht kümmern, wenn sie sich international aufstellen. Der Anpassungsbedarf für deutsche Unternehmen ist möglicherweise geringer, als der im Ausland. Viele Prinzipien des derzeitigen deutschen Datenschutzrechts, finden sich auch in der DSGVO wieder.

1. DSGVO im Überblick

Wie bisher im Bundesdatenschutzgesetz gilt auch in der DSGVO das Verbotsprinzip. Das bedeutet, dass jede Art der Verarbeitung personenbezogener Daten verboten ist, es sei denn sie ist durch ein Gesetz erlaubt oder durch eine Einwilligung gerechtfertigt.

Dabei ist der Begriff des Personenbezugs nach neuem Recht eher noch weiter gefasst als nach derzeitiger Rechtslage. Personenbezug kann nämlich auch durch Zuordnung zu einem Online Identifier ergeben. Ein Rückschluss auf eine konkrete natürliche Person und deren Namen ist nicht mehr erforderlich. Zudem gelten weiterhin die Gebote der Datenminimierung, der sachlichen Richtigkeit, der begrenzten Speicherung, der Transparenz und auch der Zweckbindungsgrundsatz. Es bedarf einer erneuten Rechtfertigung, wenn Daten, die zu einem bestimmten Zweck erhoben wurden, nun zu einem anderen Zweck dienen sollen.

1.1 Einwilligung

Für die Einwilligung gelten vergleichbare Regeln, wie bisher. Aufgehoben ist jedoch das Schriftformerfordernis, was bedeutet, dass auch elektronisch und per Häkchen Einwilligungen erteilt werden können. Einwilligungen, die in AGBs eingebettet sind, müssen besonders hervorgehoben werden und jede Einwilligung wird in Zukunft widerrufbar sein.

Für viel Diskussion wird außerdem der Aspekt sorgen, dass jede Einwilligung freiwillig abgegeben werden muss. Das soll nur dann der Fall sein, wenn der Einwilligende eine echte und freie Wahl hat. Er soll die Einwilligung verweigern oder zurückzuziehen können, ohne Nachteile zu erleiden. Ob das im Ergebnis heißt, dass etwa ein werbefinanziertes News-Portal auch eine Variante ohne personalisiertes Targeting anbieten muss, ist noch offen. Die DSGVO enthält viele Unwägbarkeiten.

Eine weitere Neuerung betrifft die Einwilligung von Kindern. Kinder und Jugendliche, die noch nicht 16 sind, können nur mit Zustimmung der Eltern einwilligen. Einwilligungen, die jetzt erteilt wurden, bleiben wirksam, wenn Grundprinzipien der neuen Rechtslage eingehalten sind. Dies haben sogar die Datenschutzbehörden ausdrücklich bekundet.

1.2 Datennutzung zu Vertragszwecken

Wie bisher auch, dürfen personenbezogene Daten verwendet werden, wenn dies für die Erfüllung eines Vertrages erforderlich ist. So dürfen etwa die Adressdaten einer Person gespeichert werden, um dort Waren zuzustellen. Auch die Weitergabe von Daten an ein Inkassounternehmen oder einen Anwalt zur Beitreibung von Forderungen ist legitim.

1.3 Berechtigtes Interesse

Die wichtigste Vorschrift in der Verordnung wird aber Art. 6 Abs. 1 Buchstabe f) sein. Danach kann auch berechtigtes Interesse in bestimmten Fällen die Datenverarbeitung rechtfertigen. Erforderlich ist ein berechtigtes Interesse und dass die Datenverarbeitung zur Erreichung dieses Interesses notwendig ist. Außerdem dürfen schutzwürdige Interessen des Betroffenen nicht überwiegen.

Nötig ist also eine Abwägung der beteiligten Interessen, wobei es auf die vernünftigen Erwartungen der Betroffenen ankommen soll. Ein Nutzer, der in einer konkreten Situation die Verarbeitung seiner Daten erwarten kann, ist weniger schutzwürdig, als wenn er damit nicht rechnen muss. In der Verordnung selbst steht, dass auch die Direktwerbung ein berechtigtes Interesse sein kann. Dabei unterstützt die Verordnung die Arbeit mit Pseudonymen. Wenn möglich sollten diese genutzt werden.

1.4 Opt-Out Möglichkeit

Wichtig ist, dass für jede Marketing-Maßnahme eine Opt-out-Möglichkeit implementiert wird. Der Nutzer hat jederzeit das Recht, Widerspruch gegen die Verarbeitung seiner personenbezogenen Daten zum Zwecke der Direktwerbung einzulegen. Darüber muss der Nutzer auch jeweils in transparenter Weise unterrichtet werden. Dies geschieht üblicherweise in einer transparenten Datenschutzerklärung auf der Website.

1.5 Compliance-Themen

Die DSGVO enthält wie schon geltendes Recht die Pflicht ein Verfahrensverzeichnis zu führen. Zwar gibt es Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern. Verfahren, die nicht nur gelegentlich angewendet werden, müssen jedoch im Verzeichnis auftauchen. Ob das dauerhafte Tracking oder Targeting von Nutzern darunter fällt, ist offen.

Ein erhebliches Compliance-Risiko bildet die Anforderung, vorab eine Datenschutz-Folgenabschätzung vorzunehmen. Dies gilt insbesondere bei der Profilbildung. Die Folgenabschätzung ist letztlich eine detaillierte Beschreibung des geplanten Verarbeitungsverfahrens, die auch eine Bewertung der Notwendigkeiten und Verhältnismäßigkeiten der Datenverarbeitung beinhaltet. Auch Schutzmaßnahmen und Sicherheitsvorkehrungen müssen im Detail beschrieben werden.

Wer sich nicht an die Vorgaben hält, handelt ordnungswidrig und Bußgelder drohen.

1.6 Bußgelder

Die oben bereits angesprochenen Bußgelder sind gravierend. Für schwere Verstöße drohen 20 Millionen bei weniger schweren Verstößen bis zu 10 Millionen Euro Bußgeld (zum Vergleich: bisher können 300.000,- bzw. bis zu 50.000,- Euro verhängt werden). Bei Großunternehmen geht es teilweise noch deutlich darüber hinaus, weil bis zu 4 bzw. 2 % des weltweiten Jahresumsatzes fällig werden können. Die Behörden haben für die Frage, ob ein Bußgeld verhängt wird, nur ein sehr eingeschränktes Ermessen. In welcher Höhe sich Bußgelder einpendeln werden, ist derzeit vollkommen offen. Der Bußgeldrahmen ist jedenfalls erheblich erweitert worden.

2. Tracking nach der DSGVO

Während die Grundprinzipien der DSGVO halbwegs klar sind, ist die Anwendung auf konkrete Fälle in der Praxis noch überaus schwammig. Inwieweit das Tracking zulässig bleibt, ist zum Beispiel noch nicht vollständig geklärt.

Datenschutzbehörden werden in der IP-Adresse in Zukunft ein personenbezogenes Datum sehen und das Datenschutzrecht ohne Weiteres für anwendbar halten. Gleiches gilt letztlich für Cookies und Fingerprint-Verfahren, bei denen eine Zuordnung zu internen Identifiers möglich ist. Wird allerdings ein IP-Masking-Verfahren eingesetzt, bei dem das letzte Oktett der IP-Adresse vor der Speicherung gelöscht wird, ist eine Zuordnung zu einer natürlichen Person nicht mehr möglich. Dann fehlt es am Personenbezug.

Die DSGVO erwähnt die Direktwerbung als mögliches berechtigtes Interesse. Im Tracking selbst liegt noch kein Direktmarketing. Die Analyse ist erst die Vorstufe für die Direktwerbung. Dies spricht dafür, dass auch das Tracking ohne Einwilligung möglich sein kann. Notwendig ist aber, dass die konkret erhobenen Daten für den konkreten Zweck erforderlich sind und dass die Interessen der Nutzer nicht überwiegen.

Welche Daten dafür erhoben und gespeichert werden müssen, ist Frage des Einzelfalls. Die Tatsache, dass es für bestimmte Tracking-Arten genügt, gekürzte IP-Adressen zu speichern, spricht dafür, dass eine Speicherung der gesamten IP-Adresse nicht notwendig ist. Im Einzelfall mag das anders zu beurteilen sein. Notwendig ist jedenfalls eine vorherige Einschätzung.

Hinweis: Ohne Einwilligung gerechtfertigt kann nur die Erhebung von Daten sein, die für den konkreten Tracking-Zweck notwendig sind. Schritt 1 muss also sein, den Zweck der Datenerhebung genau zu definieren.

Heutzutage müssen Nutzer jedenfalls mit teilanonymem Tracking rechnen. Dagegen ist ein Cross-Device-Tracking, bei dem Nutzer über mehrere Endgeräte hinweg wieder erkannt werden können, derzeit eher nicht von den Erwartungen der Nutzer umfasst. Erforderlich ist in jedem Fall eine transparente Aufklärung und die Einräumung einer Opt-out-Möglichkeit.

Denkbar ist, dass (zusätzlich) eine Einwilligung eingeholt wird. Diese muss freiwillig erfolgen. Sie kann aber konkludent abgegeben werden. Möglich ist, eine solche Einwilligung etwa bei der Eröffnung eines Nutzerkontos abzufragen. Auch eine Integration der Einwilligung in einen Cookie-Banner ist in Zukunft denkbar. In gleicher Weise, wie dort auf den Einsatz von Cookies hingewiesen wird, könnte auch ein Hinweis auf den Einsatz von Tracking-Tools erfolgen. Surft der Nutzer weiter, kann das als Zustimmung gewertet werden.

Hinweis: Denkbar ist, eine Einwilligung in das Tracking des Nutzerverhaltens auf der Website in einen Cookie-Banner zu integrieren.

3. Targeting nach der DSGVO

Auch beim Targeting werden nach neuem Recht personenbezogene Daten vorliegen. In aller Regel besteht eine Zusammenführungsmöglichkeit mit einem Log-in oder einem Cookie. Die Frage, ob eine Rechtfertigung berechtigte Interessen gestützt werden kann, hängt von dem konkreten Trackingverfahren und den für das Targeting erhobenen Daten ab.

Ein berechtigtes Interesse ist grundsätzlich gegeben: Denn Werbung auf den Nutzer zuzuschneiden ist sinnvoll und ein zulässiges wirtschaftliches Interesse. Je nach Definition des Interesses wird die Erhebung der Daten auch notwendig sein.

Bei der Interessenabwägung kommt es im Rahmen der vernünftigen Erwartungen des Nutzers auf den jeweiligen Stand der Targeting-Technologien an. Während Nutzer mit Retargeting-Maßnahmen am gleichen Endgerät rechnen, weil deren (pseudonymer) Einsatz schon lange üblich ist, wird ein Cross-Device-Retargeting eher nicht zu den Erwartungen der Nutzer zählen. Dies mag sich aber in absehbarer Zeit ändern.

Bei der verhaltensbezogenen Werbung, bei der etwa Banner in Abhängigkeit von aggregierten Informationen über den Nutzer ausgeliefert werden, spricht für eine entsprechende Nutzererwartung, dass seit Jahren in je-dem Werbebanner eine Aufklärung durch die Werbenetzwerke erfolgt. Sind dazu die Guidelines großer Interessenverbände (z.B. IAB Europe) eingehalten, lässt sich auch OBA durchaus auf berechtigte Interessen stützen.

Möglich ist auch die (zusätzliche) Einholung einer Einwilligung in die verschiedenen Targeting-Verfahren. Der Betreiber eines Online-Shops kann sich bspw. bei Eröffnung eines Kundenkontos den Einsatz eines Retargeting-Verfahren ausdrücklich bestätigen lassen. Auch die Erwähnung in einer Cookie-Bar – ähnlich wie beim Tracking – ist denkbar. Dort müsste das Targeting-Verfahren kurz beschrieben und auf einen entsprechendes Passus in der Datenschutzerklärung verlinkt werden.

Die DSGVO sieht Regelungen zum Profiling vor. Handelt es sich beim Targeting um ein Profiling im Sinne der Verordnung, wäre eine Einwilligung erforderlich. Die Regeln greifen aber nur, wenn dem Betroffenen durch das Profiling eine erhebliche Beeinträchtigung droht. Daran dürfte es in der Regel fehlen. Je nach Targeting-Methode und unmittelbare Folge des Targeting, kann man hier aber auch zu einem anderen Ergebnis kommen.

Abbildung 1: Targeting Maßnahmen: Voraussetzung nach der DSGVO (Quelle: npridik.de).

4. E-Mail-Marketing nach der DGSVO

Die DSGVO ändert nichts daran, dass die Werbung per E-Mail einer Einwilligung des Adressaten bedarf. Die datenschutzrechtliche Einwilligung ist in dem Opt-in inbegriffen. Erforderlich ist aber, dass in der Datenschutzerklärung auch die neuen Informationspflichten erfüllt werden.

4.1 Werbung an Bestandskunden

Auch für die Bestandskundenwerbung ergibt sich nach der DSGVO nicht Neues. E-Mail-Adressen, die nach dem Wettbewerbsrecht für die Werbung genutzt werden können, dürfen auch datenschutzrechtlich verwendet werden. Notwendig ist auch hier eine Opt-out-Möglichkeit und der Kunde ist auf die Widerspruchsmöglichkeit hinzuweisen. Dieser Hinweis sollte – schon jetzt – nicht nur in der Datenschutzerklärung, sondern unmittelbar bei der Erhebung der E-Mail-Adresse erfolgen.

Hinweis: Wer auf Bestandskundenwerbung nach § 7 Abs. 3 UWG setzt, sollte schon jetzt die Datenschutzerklärung anpassen und einen klaren Bezug auch zum datenschutzrechtlichen Widerspruchsrecht herstellen, damit sicher ist, dass auch nach Wirksamwerden der DSGVO eine Berufung auf die Ausnahmevorschrift möglich ist.

4.2 Personalisierung der Werbung

E-Mail-Marketing ist umso effektiver, je persönlicher es auf den Empfänger zugeschnitten ist. Unproblematisch ist dabei die Nutzung freiwillig eingegebener Daten des Nutzers. Gibt der Abonnent freiwillig seinen Namen ein, darf dieser auch als Anrede genutzt werden. Wegen des auch im neuen Recht verankerten Gebots der Datenminimierung sollte allerdings für ein reines Newsletter-Abonnement ausschließlich die E-Mail-Adresse ein Pflichtfeld sein. Soll der Newsletter in Abhängigkeit von Informationen, die über den Empfänger bekannt sind, individualisiert werden (z.B. frühere Kaufverhalten, Bewegungen im Shop), ist die Rechtslage komplexer. Ob ein solches Targeting ohne Einwilligung zulässig ist, hängt von den vernünftigen Erwartungen der Nutzer ab. Ein berechtigtes Interesse des Werbenden liegt jedenfalls vor. Dass Newsletter getrackt und Informationen, die der Versender darüber erhält, ausgewertet werden, dürfte heutzutage im Bereich des Erwartbaren liegen. Dies gilt umso mehr, wenn darüber in transparenter Weise aufgeklärt wird. Werden aber umfassende Kundenprofile angelegt und Daten mit anderen abgeglichen, dürften die Interessen des Nutzers überwiegen und die Datenverarbeitung unzulässig sein.

Möglich ist aber die (zusätzliche) Einholung einer Einwilligung. Problematisch ist dabei das Kopplungsverbot. Wenn eine freiwillige Einwilligung nur bei echter Wahl vorliegen soll, kann man argumentieren, dass es auch zwei Newsletter-Varianten geben muss. Allerdings bleibt das Abonnement des personalisierten Newsletters ja eine freie Nutzerentscheidung, insofern spricht mehr dafür, dass eine tracking- und targeting-freie Variante nicht angeboten werden muss. Wichtig ist aber eine transparente Information über die Personalisierung.

Hinweis: Personalisierte Werbung im Newsletter ist auch ohne Einwilligung denkbar. Soll eine Einwilligung in die Personalisierung eingeholt werden, muss die Datenschutzerklärung angepasst werden. Diese muss bei dem Hinweis auf den Newsletter verlinkt werden.

Deutsche Unternehmen sind auf die DSGVO nur unzureichend vorbereitet

Laut einer Umfrage im Auftrag des Digitalverbands Bitkom ist für fast die Hälfte aller Unternehmen in der Bundesrepublik die DSGVO noch kein Thema. Befragt wurden 509 Datenschutzverantwortliche in Unternehmen ab 20 Mitarbeitern. Während in anderen Unternehmen ganze Teams seit Monaten an der Anpassung arbeiteten, haben viele Unternehmen damit noch gar nicht begonnen. Dabei gibt es gerade für Online-Unternehmen und insbesondere Tracking-Dienstleister viel zu tun. Schon jetzt können beispielsweise Einwilligungen und Datenschutzerklärungen angepasst werden.

Auch mit den neuen Verfahrensverzeichnissen und Folgenabschätzungen sollte man sich nicht mehr allzu viel Zeit lassen. Wer jetzt einen Dienstleister beauftragt und eine Mindestlaufzeit von 24 Monaten vereinbart ist quasi schon jetzt im Anwendungsbereich der DSGVO. Jedenfalls geschlossene Auftragsdatenverarbeitungsverträge sollten DSGVO-konform sein. Wird etwa ein neuer CRM-Dienstleister ins Boot geholt, muss über DSGVO-Compliance zwingend gesprochen werden.

Fazit – Wann besteht erhöhter Überprüfungsbedarf?

Nach all dem bleibt festzuhalten, dass Unternehmen die personenbezogene Daten verarbeiten, schon jetzt ein besonderes Augenmerk auf die DSGVO legen sollten. Werden Kundendaten oder Arbeitnehmerdaten verarbeitet, muss unbedingt schon jetzt bei der Einwilligung auf die DSGVO geachtet werden, da davon auszugehen ist, dass auch im Jahr 2018 das Geschäftsmodell nicht gänzlich über den Haufen geworfen wurde. Quasi für allen langfristig angelegten Geschäftsmodelle oder Vertragstypen gilt dieser Grundsatz.

Testet ein Unternehmen einen potenziell langfristigen Partner im Dienstleistungssegment zunächst für eine kurze Zeit an, so ist der Aufwand der betrieben werden muss, um eine Übereinstimmung mit der DSGVO zu gewährleisten, entsprechend gering. Sollte jedoch, der nun für gut befundene Dienstleister, auf lange Sicht vertraglich gebunden werden, so muss das Unternehmen die Regelungen der DSGVO zwingend beachten.