05.12.2017 - Viel diskutiert wurde im Rahmen der Verhandlungen der Europäischen Datenschutz-Grundverordnung das Recht auf Vergessenwerden, Datenportabilität und der Einwilligungsvorbehalt. Diese Themen beschäftigen die meisten Unternehmen bei der praktischen Umsetzung der neuen Vorgaben jedoch nur am Rande. Die neue Verordnung aus Brüssel bringt in erster Linie mehr Bürokratie. Wie damit umzugehen ist, beschreibt der folgende Beitrag von Rechtsanwalt Prof. Dr. Ulrich Wuermeling.
Die Datenschutzorganisation beginnt mit einem Verfahrensverzeichnis. Ein solches wurde schon vom geltenden Bundesdatenschutzgesetz gefordert, war aber weniger detailliert. Für jede Verarbeitungstätigkeit ist ein Eintrag vorzusehen. Beispielsweise wäre für ein CRM-System ein Eintrag zu erstellen. Das Verarbeitungsverzeichnis dient zur internen Kontrolle und ist dem betrieblichen Datenschutzbeauftragten zur Verfügung zu stellen. Es kann außerdem von der Datenschutzaufsicht eingesehen werden. Das Einsichtsrecht der betroffenen Personen, wie es im bisherigen Bundesdatenschutzgesetz vorgesehen ist, entfällt. Wenn Verarbeitungen hohe Risiken für die betroffenen Personen mit sich bringen können, ist eine Vorabkontrolle durchzuführen und zu dokumentieren. Im Umfeld des Dialogmarketings wird dies aber selten der Fall sein.
Nach geltendem Bundesdatenschutzgesetz greifen sehr spezifische Anforderungen an die Beauftragung von so genannten Auftragsdatenverarbeitern. Diese werden in der neuen Verordnung als Auftragsverarbeiter bezeichnet, und es werden ebenfalls detaillierte, aber eben andere Anforderungen gestellt. Deshalb sind Verträge mit Dienstleistern, bei denen personenbezogene Daten im Auftrag verarbeitet werden, zum 25. Mai 2018 umzustellen. Der Deutsche Dialogmarketing Verband hat hierzu ein Muster entwickelt.
Besondere praktische Umsetzungsprobleme bestehen bei der Regelung zu Unterauftragnehmern. Hier sieht die Verordnung vor, dass eine Generalgenehmigung erteilt werden kann. Wenn sich aber im Verlauf des Auftragsverhältnisses die Unterauftragnehmer ändern, soll der Auftraggeber dem zumindest widersprechen können. Für große Dienstleister, die zahlreiche Unterauftragnehmer einsetzen, kann dies zu einem erheblichen organisatorischen Problem werden. Beispielsweise müsste vor dem Austausch eines Cloud Providers, den der Dienstleister nutzt, allen Kunden ein Widerspruchsrecht eingeräumt werden.
Prof. Dr. Ulrich Wuermeling LL.M., ist Rechtsanwalt in? der internationalen Sozietät Latham & Watkins LLP,? Frankfurt und London. Er ist ein ausgewiesener Spezialist? im Datenschutzrecht und ein Kenner der Dialogmarketing-Branche. Seit vielen Jahren arbeitet er eng mit dem DDV? und seinen Mitgliedern an praktikablen Lösungen für die? Herausforderungen des Datenschutzrechts.
Mischenrieder Weg 18
82234 Weßling
Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de