Bereits im Jahr 2009 hat sich die Europäische Kommission zum Ziel gesetzt, die seit den 1990er Jahren geltende Europäische Datenschutzgrundverordnung (EU-DSGVO) zu modernisieren und zukunftsfähig zu gestalten. Eines der Hauptprobleme der Richtlinie war schon immer die uneinheitliche Umsetzung, in deren Folge Europa zu einem Flickwerk unterschiedlichster Datenschutzregeln wurde. So mussten sich zum Beispiel deutsche Marketing-Spezialisten einem sehr strengen Datenschutzgesetz unterwerfen, während schwedische oder portugiesische Marketingabteilungen den Vorteil wesentlich flexiblerer juristischer Realitäten nutzen konnten. Gleichzeitig hinderte das Bundesdatenschutzgesetz (BDSG) viele ausländische Unternehmen - vom französischen Biokostladen über den finnischen Saunahersteller bis hin zum polnischen Bauunternehmen - daran, ihre Produkte im größten Verbrauchermarkt Europas direkt zu vermarkten.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Sieben Jahre später ist eine Europäische Datenschutzverordnung verabschiedet worden, welche unter anderem die Wettbewerbsgleichheit innerhalb der EU sicherstellen soll. Im Unterschied zu einer Richtlinie wird eine Verordnung als gültiges Gesetz direkt in den EU-Mitgliedstaaten umgesetzt, ohne dass weitere Anpassungen möglich sind. Ab Mai 2018 gilt die Verordnung in ganz Europa.
Was bedeutet das für die Marketing-Branche konkret?
Für uns in Deutschland ist diese Verordnung ein komplett neues Gesetz mit vielen neuen Formulierungen. Ausdrücke, die jahrelang verwendet wurden, wie zum Beispiel "für die Nutzung verantwortliche Stelle" wird nun zu "Der Verantwortliche". Neue Begriffe wie "Recht auf Vergessen werden" werden regelmäßig parallel zum "Recht auf Löschung" beziehungsweise "Recht auf Sperrung" angewendet. Bisherige Grundprinzipien wie Sparsamkeit der Daten und Zweckbindung bleiben vom neuen Gesetz unverändert.
Zuständige Datenschutzaufsichtsbehörde und Brüssel
Der Kohärenzmechanismus, dessen Funktion es ist, eine einheitliche Regelung zu gewährleisten, wird die Arbeitsweise der deutschen Aufsichtsbehörden verändern. Sie werden enger mit den anderen europäischen Datenschutzaufsichtsbehörden zusammenarbeiten und zukünftig mit ihnen gemeinsam beim Europäischen Datenschutzausschuss Stellungen beziehen. Das bedeutet ganz konkret:
In meiner Funktion als Datenschutzbeauftragte kann ich datenschutzrechtliche Fragen an die hessische Datenschutzaufsichtsbehörde in Wiesbaden stellen. Bei Bedarf wird sich der Düsseldorfer Kreis (das Gremium der Aufsichtsbehörden im nicht-öffentlichen Bereich) mit diesen auseinandersetzen und abschließend Stellung nehmen. Mit Inkrafttreten der Verordnung im Jahre 2018 wird zu solchen Fragen zukünftig nur in Brüssel abschließend Stellung genommen. Dort befassen sich dann die Datenschutzaufsichtsbehörden aller EU-Mitgliedstaaten damit - ob die dadurch entstehenden Empfehlungen "business-freundlicher" oder eher "business-verhindernd" ausfallen werden, darüber lässt sich zu diesem Zeitpunkt nur spekulieren. Sicher ist aber, dass der Prozess künftig deutlich länger dauern wird.
Datenlecks an Aufsichtsbehörde und Verbraucher melden
Wenn aufgrund eines Datenlecks ein hohes Risiko für die Beeinträchtigung der Rechte und der Freiheit von Verbrauchern droht, muss dieses sowohl der zuständigen Datenschutzaufsichtsbehörde gemeldet, als auch zeitnah öffentlich (also für den Verbraucher ersichtlich) bekannt gegeben werden. Unter dem BDSG mussten solche Lecks nur eingeschränkt gemeldet werden: Zu wenige und zu eng gefasste Datenkategorien wie zum Beispiel solche über Religionszugehörigkeit, ethnische Herkunft oder Banken- und Kreditkartenkonten schützten zwar die Verbraucher, reichteb aber zunehmend nicht mehr aus. Durch die Änderung wird sich vor allem für die Marketing-Branche neuer Handlungsbedarf ergeben: Musste früher der Großteil der Datenlecks nicht gemeldet werden, da betreffende Daten im Bereich Marketing für gewöhnlich nicht verarbeitet werden, besagt die neue Verordnung zur Pannenmeldungspflicht, dass Datenlecks oder -pannen egal welcher Datenkategorie bei der Datenschutzaufsichtsbehörde zu melden und Verbraucher zu informieren sind, sofern diese ein hohes Risiko der Beeinträchtigung darstellen.
Nachweisbares Datenschutzmanagement
Auch neu ist die Einführung des Konzeptes der Rechenschaftspflicht ("Accountability Principle"). Dieses Konzept ist fest verankert in der Verordnung, unter anderem in Artikeln über Datenschutzfolgenabschätzung, Bestellung des Datenschutzbeauftragten, des Datenschutzes durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen ("Privacy by design und default").
Entsprechend dieser Pflicht ist es nicht ausreichend, nur die Grundprinzipien des Datenschutzes einzuhalten. Zukünftig muss deren Einhaltung auch schriftlich belegt werden können. Diese Regelung bedeutet für viele mittelständische Unternehmen eine zusätzliche Dokumentation. Gerade um innovative Marketing-Konzepte lückenlos zu begleiten, wird in den kommenden zwei Jahren sehr wahrscheinlich der Bedarf an automatisierter Protokollierungs- und Prüfungs-Software sowie zugehörenden Schulungen und Beratungen steigen.
Bußgeld
Der größte Unsicherheits-Faktor - sowohl für Mittelständler als auch für Großkonzerne - ist die im Rahmen der EU-Datenschutzgrundverordnung beschlossene Bußgelderhöhung. Bei Verstößen können fortan Bußgelder in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden. Für das größte DAX-notierte Unternehmen, die Volkswagen AG, entspräche das in etwa einer Summe von acht Milliarden Euro.
Datenschutzhinweise
Mit der Einführung der Verordnung wird die Liste erforderlicher Informationen bei Datenschutzhinweisen erweitert. Neben bereits erforderlichen Hinweisen, wie der Identität des Unternehmens, müssen fortan bestimmte Information wie beispielsweise die Rechtsgrundlage für die Datenverarbeitung und die Speicherdauer der Daten ersichtlich werden. Eine Belehrung, nämlich der Hinweis auf das Beschwerderecht bei der Datenschutzaufsichtsbehörde, soll ab Mai 2018 fester Bestandteil der Datenschutzrichtlinie sein.
Recht auf Datenübertragung
Laut Artikel 20 der Verordnung werden Verbraucher künftig das Recht haben, von Unternehmen zu fordern, dass ihre Daten übertragen werden. Allerdings handelt es sich hier nur um den Datensatz, den der Verbraucher dem Unternehmen bereitgestellt hat. So ist dieses Recht zum Beispiel nicht anwendbar auf geschätzte Daten, die andeuten, dass diese Verbraucher zum Kundensegment XY gehören. Die Verbraucher sollen die Daten "in einem strukturierten, gängigen und maschinenlesbaren Format" erhalten. Es ist noch nicht klar, in welcher Form diese Daten übertragen werden müssen. Auch in den Leitlinien, die kurz vor Weihnachten von der Artikel-29-Datenschutzgruppe - die Arbeitsgruppe der Aufsichtsbehörden alle EU-Mitgliedländer - verabschiedet wurde, ist dieser Punkt offen. Erwartet wird, auch von der Marketing-Branche, die Entwicklung branchenspezifischer Lösungen.
Mehr Möglichkeiten
Für die Werbeindustrie ist die Abschaffung des in Zeiten von Big Data nicht mehr zeitgemäßen § 28 Absatz 3 des BDSG zu begrüßen. Für gezielte Werbeansprachen waren sogenannte Listendaten in den 1970er Jahren - der Zeit, aus der das BDSG stammt - sicherlich ausreichend. Fast 40 Jahre später, in der Zeit von Omni-Channel-Marketing und Internet of Things, gilt diese Einschränkung immer noch (und ausschließlich) in Deutschland. Mit Inkrafttreten des Gesetzes ab 2018 werden deutsche Unternehmen endlich genauso wettbewerbsfähig gegenüber europäischen Konkurrenten, für die derartige Beschränkungen nie existiert haben.
Ein weiterer Vorteil ist die Erlaubnis der Datennutzung zu Marketing-Zwecken, sofern ein berechtigtes Interesse besteht. Die Verordnung stellt sicher, dass personalisierte Werbung ein berechtigtes Interesse für kommerzielle Organisationen darstellt. Seit der BDSG-Novelle aus dem Jahr 2009 ist die Nutzung von Daten mehr oder weniger aus öffentlichen Verzeichnissen eingeschränkt, wenn keine Einwilligung vorhanden ist. Derartige Verbote gibt es bisher übrigens nur in Deutschland. Ab 2018 ist Neukundengewinnung mit Hilfe von öffentlich zugänglichen Daten, auch wenn sie nicht in Telefonbüchern enthalten sind, auch in Deutschland wieder möglich - unter der Voraussetzung, dass "nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen".
Erfahrene Datenschutzbeauftragte können nach einer Datenschutzfolgenabschätzung zusätzliche Schutzmaßnahmen vorschlagen, wie zum Beispiel das Ersetzen von Namen, Anschriften und E-Mail-Adressen durch Pseudonyme oder, noch besser, durch das Beauftragen einer Trusted Third Party für die Datenverarbeitung.
Eine wasserdichte Durchführung der Datenschutzfolgenabschätzung wird künftig der Schlüssel für erfolgreiches und gesetzkonformes Marketing sein.
Weitere Entwicklung
Seit der Verabschiedung haben die Datenschutzexperten die Aufgabe, den Gesetzestext in der Praxis umzusetzen. Es bleiben nur noch wenige Monate, um die Interpretation, beziehungsweise Handlungsempfehlungen, der Verordnung fertigzustellen. Dass bei der Umsetzung Eile geboten ist, zeigt die Einberufung einer Sitzung der Artikel-29-Datenschutzgruppe am 26. Juli 2016 - inmitten der Sommerferien. Eingeladen waren unter anderem FEDMA, die Vertretung der Dialogmarketing-Branche in der EU, und der europäische Verband der Datenschutzbeauftragten, CEDPO.
Gerade hat die Generaldirektion für Kommunikationsnetze, Inhalte und Technologien der EU-Kommission, die ePrivacy-Verordnung veröffentlicht. Diese Verordnung, einmal verabschiedet, soll die allgemein geltende EU-DSGVO hauptsächlich in Bezug auf die Online-Datennutzung definieren. Für Unternehmen ist es empfehlenswert, diese Entwicklung genau zu beobachten und sich wenn möglich an Konsultationen und Studien zu beteiligen.
Abschließend lässt sich sagen, dass die EU-DSGVO aus Sicht von Unternehmen mit gemischten Gefühlen zu betrachten ist. Obwohl vieles vereinfacht und verbessert wurde, müssen sich Unternehmen auch auf Neuerungen einstellen. Es besteht jedoch kein Grund zur Sorge, da die Grundprinzipien unverändert bleiben. Einerseits bringt die neue Verordnung mit sich also Herausforderungen, andererseits eröffnen sich für Marketing-Experten auch neue Möglichkeiten - solange im Unternehmen ein stabiles und nachweisbares Datenschutzmanagement vorhanden ist. (fm)