05.12.2017 - Viel diskutiert wurde im Rahmen der Verhandlungen der Europäischen Datenschutz-Grundverordnung das Recht auf Vergessenwerden, Datenportabilität und der Einwilligungsvorbehalt. Diese Themen beschäftigen die meisten Unternehmen bei der praktischen Umsetzung der neuen Vorgaben jedoch nur am Rande. Die neue Verordnung aus Brüssel bringt in erster Linie mehr Bürokratie. Wie damit umzugehen ist, beschreibt der folgende Beitrag von Rechtsanwalt Prof. Dr. Ulrich Wuermeling.
Die neue Verordnung führt Regelungen zum Profiling ein. Der Begriff ist so weit definiert, dass praktisch jede komplexere Marketingselektion als Profiling gilt. An verschiedenen Stellen der Verordnung wird auf Profiling nur klarstellend verwiesen und als Beispiel für eine Verarbeitung der Daten genannt. Teilweise werden zusätzliche Anforderungen gestellt. Diese gelten in der Regel aber nur dann, wenn auf Grund des Profilings automatisierte Entscheidungen getroffen werden, die eine rechtliche Wirkung entfalten oder die betroffenen Personen in ähnlicher Weise erheblich beeinträchtigen. Beim Dialogmarketing sind solche Beeinträchtigungen nicht ersichtlich, so dass die strengen Anforderungen an das Profiling in der Regel keine Anwendung finden.
Eine wesentliche Änderung im Vergleich zum bisherigen Bundesdatenschutzgesetz enthält die Verordnung im Hinblick auf die datenschutzrechtlichen Informationspflichten. Im kommerziellen Umfeld können sich Verbraucher zwar denken, dass ihre Daten auch zu Werbezwecken verwendet werden. Das allein reicht der Verordnung aber nicht. Die Verbraucher sollen über die Rechtsgrundlage informiert werden, die der Verarbeitung zugrunde liegt. Neben den Kontaktdaten des Unternehmens, die in der Regel aus dem Briefkopf oder Impressum hervorgehen, sollen auch die Kontaktdaten des Datenschutzbeauftragten genannt werden. Das Unternehmen muss erläutern, welches Interesse es an der Verarbeitung zu Werbezwe-cken hat. Wenn die Daten außerhalb der Europäischen Union verarbeitet werden, ist hierüber zu informieren. Hinzu kommt die schon heute bestehende Verpflichtung, über das Widerspruchsrecht zu belehren.
Der Deutsche Dialogmarketing Verband (DDV) hat in seinem Best Practice Guide zur Datenschutz-Grundverordnung die neuen Anforderungen näher beschrieben. Der Guide ist im September 2017 in einer zweiten Auflage erschienen. Dabei wurden erste Anregungen und Hinweise der Datenschutzaufsichtsbehörden berücksichtigt.
Bei der Information ist darauf zu achten, dass über alle Zwecke informiert wird, zu denen die Daten verwendet werden sollen. Nach der Verordnung gilt die so genannte Zweckbindung. Die gab es schon in der Europäischen Datenschutzrichtlinie von 1995, wurde aber von den Mitgliedstaaten unterschiedlich umgesetzt. In Deutschland hatte sie im Bereich der Privatwirtschaft keine besondere Bedeutung. Zweckbindung bedeutet, dass Daten nur unter bestimmten Voraussetzungen zu einem späteren Zeitpunkt zu anderen Zwecken verarbeitet werden dürfen. Im kommerziellen Umfeld werden Daten immer auch zu Werbezwecken erhoben. Darüber sollte bei der Erhebung der Daten informiert werden, insbesondere dann, wenn die Vermietung von Anschriften geplant ist.
Wenn die Daten nicht direkt von der betroffenen Person erhoben werden, dann gelten leicht abgewandelte Informationspflichten. Zentral ist hier die Frage, wann informiert werden muss, beispielsweise wenn Daten aus öffentlich zugänglichen Quellen erhoben werden. Es würde einen erheblichen Aufwand produzieren, wenn die allgemeinen Datenschutzinformationen und die Belehrung über das Widerspruchsrecht vor der ersten werblichen Ansprache erfolgen müssten. Hierfür biete die neue Verordnung eine Lösung, denn die Information soll dann im Rahmen der ersten Kommunikation mit dem Adressaten erfolgen.
Die Informationspflichten werden erweitert, wenn dies für eine faire und transparente Verarbeitung erforderlich ist. Im Bereich des Dialogmarketings wird dies in der Regel nicht der Fall sein. Der DDV empfiehlt aber, die zusätzlichen Informationen zur Sicherheit zumindest auf der Unternehmenswebseite zu erteilen und hierauf in der Datenschutzinformation hinzuweisen.
Das bisherige Bundesdatenschutzgesetz sieht eine Reihe von Ausnahmen für die Informationspflichten vor, die in der neuen Verordnung nicht enthalten sind. Der deutsche Gesetzgeber ist berechtigt, weitere nationale Ausnahmen zu erlassen. Für den Bereich des Dialogmarketings hat er hiervon aber keinen Gebrauch gemacht. Im bereits beschlossenen Umsetzungsgesetz wurden keine weiteren Ausnahmen aufgenommen, die im Dialogmarketing nutzbar wären.
Die neue Verordnung führt dazu, dass Unternehmen die Einhaltung der datenschutzrechtlichen Verpflichtungen gut organisieren müssen. Das ist insbesondere vor dem Hintergrund der hohen Bußgeldrahmen der neuen Verordnung zu empfehlen. Bei Verstößen gegen eher formale Pflichten können Bußgelder bis zu 10 Millionen Euro und bei materiellen bis zu 20 Millionen Euro verhängt werden. Die Maximalstrafe kann sich noch erhöhen, wenn die betroffenen Unternehmen weltweit hohe Umsätze erzielen. Besonders kritisch wird der Bußgeldrahmen dadurch, dass das Unternehmen die Einhaltung des Datenschutzes dokumentieren muss. Wenn es dies nicht tut, kann allein deshalb ein Bußgeld fällig werden. In der Praxis ist aber nicht damit zu rechnen, dass der Bußgeldrahmen ausgenutzt wird. Insofern wirkt die Höchststrafe schärfer, als sie in einfachen Fällen ausfallen wird.
Zuständig für die Einhaltung im Unternehmen sind das Management und die Mitarbeiter. Kontrolliert wird das Unternehmen von der zuständigen Datenschutzaufsichtsbehörde. In Deutschland sind diese im Wesentlichen auf Länderebene organisiert. Zusätzlich müssen die meisten Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen. Dieser unterrichtet, überwacht und berät zu Fragen des Datenschutzes. All dies war auch unter dem bisherigen Bundesdatenschutzgesetz der Fall. Die neue Verordnung erweitert die Aufgaben und Befugnisse des betrieblichen Datenschutzbeauftragten und der Aufsichtsbehörden. In Deutschland gilt nach dem Umsetzungsgesetz weiterhin, dass Unternehmen, in denen mehr als neun Mitarbeiter ständig personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestellen müssen. In anderen Ländern beschränkt sich die Bestellungspflicht auf Unternehmen mit kritischer Datenverarbeitung.
Mischenrieder Weg 18
82234 Weßling
Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de