Bereit für die EU-Datenschutz-Grundverordnung?

NEW BUSINESS - NR. 4, MAI 2017
Die neue EU-Datenschutz-Grundverordnung (DSGVO) betrifft jeden Unternehmer, der nur irgendeiner Art und Weise personenbezogene Daten erfasst oder verarbeitet. © Pixabay

Verbraucher freuen sich, Unternehmen fürchten sich. Im Mai nächsten Jahres wird es in Sachen Datenschutz EU-weit strenger zugehen. Worauf müssen Firmen achten?

In ziemlich genau einem Jahr tritt in allen Mitgliedstaaten der Europäischen Union die neue EU-Datenschutz-Grundverordnung in Kraft. Durch die Vereinheitlichung des Datenschutzgesetzes auf EU-Ebene wachsen die technischen und organisatorischen Herausforderungen für Österreichs Unternehmen. Gleichzeitig werden auch die Risiken erheblich größer, da die Datenschutzbehörde bei Verfehlungen drastische Bußgelder verhängen kann: Die Strafzahlungen können bis zu 800 Mal höher sein als bisherige Strafsummen und bis zu vier Prozent des weltweiten Jahresumsatzes ausmachen – je nach Größe des Unternehmens können Strafzahlungen viele Millionen Euro ausmachen, bislang lag die Obergrenze in Österreich bei 25.000 Euro pro Vergehen. NEW BUSINESS versucht, die wichtigsten Fragen rund um das neue Gesetz zu beantworten.

Wozu gibt es die EU-Datenschutz-Grundverordnung?
Die Digitalisierung aller Lebens- und Geschäftsbereiche und die damit verbundene Verarbeitung von Daten führt dazu, dass die Anforderungen an den Datenschutz stetig steigen, da der Schutz personenbezogener Daten ein wichtiges Persönlichkeitsrecht jedes Einzelnen darstellt. Dieses Recht zu gewährleisten, stellt Unternehmen rund um den Globus vor enorme Herausforderungen. Internationale Konzerne kämpfen mit Gesetzgebungen zum Datenschutz, die weltweit uneinheitlich sind und sich permanent stark verändern. Abhilfe soll die am 14. April 2016 vom EU-Parlament beschlossene neue europäische Datenschutz-Grundverordnung schaffen, indem die unterschiedlichen nationalen Gesetze zum Datenschutz in Europa vereinheitlicht werden. Da sie als direkt geltendes Recht in jedem Mitgliedsland nach einer Übergangsfrist von zwei Jahren unmittelbar und gleichartig wirkt, wird der rechtliche Rahmen für alle EU-Mitgliedsländer der gleiche sein. Innerhalb dieses Rahmens werden allerdings auch künftig einzelne Themen landesspezifisch geregelt.

Wen trifft die Datenschutz-­Grundverordnung?
Die DSGVO ist auf alle Unternehmen innerhalb der EU anwendbar, die personenbezogene Daten verarbeiten, sowie auf Unternehmen aus Drittstaaten, sofern sie Leistungen an EU-Bürger anbieten. Dabei genügt es schon, wenn nur der Name einer Person erfasst wird. Gerade im Marketing und in der Werbung ist das Thema ein brisantes. Prinzipiell wird aber kein Unternehmen mehr am Thema Datenschutz in den nächsten Jahren vorbeikommen.

Welche Strafen drohen Unternehmen?
Der Dialog Marketing Verband Österreich empfiehlt, die Regeln der DSGVO auf keinen Fall auf die leichte Schulter zu nehmen. Denn eine Neuerung ist etwa, dass bei Zuwiderhandeln extrem hohe Strafen drohen: Für„administrative“ Vergehen werden zehn Millionen Euro oder zwei Prozent des globalen Umsatzes fällig, für „fundamentale ethische Vergehen“ sind es 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, was mehr ist. Laut Anton Jenzer, Präsident des DMVÖ, richtet sich die Unterscheidung der beiden Strafhöhen danach, ob bloß technische Fehler gemacht werden oder bewusst das Datenschutzrecht verletzt wird. Konkrete Beispiele nennt  Lukas Feiler, Rechtsanwalt und Leiter des IT-Teams bei Baker & McKenzie: Wer bei der Erhebung persönlicher Daten vergisst, den Kunden angemessen zu informieren, wird mit bis zu zehn Millionen Euro bestraft; wer gar keine Zustimmung zur Verarbeitung der Daten einholt, zahlt bis zu 20 Millionen Euro Strafe.

Welche Aktionen sind zu setzen?

• Auf Transparenz achten:
Unternehmen müssen die Regeln der DSGVO nicht nur einhalten, sondern auch demonstrieren können, dass sie sich daran halten. Werbeunternehmen müssen also ihr Customer Relationship Management ebenso wie ihr Social Media Management intern klar dokumentieren. „Dafür müssen die Unternehmen investieren und bestehende Prozesse und Dokumente überarbeiten“, sagt Feiler. Fragt eine Behörde nach, so muss das Unternehmen die Schritte darlegen können – ansonsten droht ein Verfahren. „Das ist aber vor allem für große Unternehmen wichtig, KMU wird man faktisch wohl an anderen Maßstäben messen“, sagt Feiler.

• Einstellen eines Datenschutz­beauftragten:
Die DSGVO sieht außerdem für ­bestimmte Betriebe die Schaffung eines Datenschutzbeauftragten vor. Dieser nimmt eine Position zwischen dem Unternehmen und den Kunden ein und muss auf heikle datenschutzrechtliche Themen aufmerksam machen. Er hat zwar kein Vetorecht und haftet auch nicht persönlich für Vergehen, ist aber in datenschutzrechtlichen Fragen zu konsultieren. Wer genau einen Datenschutzbeauftragten braucht, das ist ebenfalls Teil einer Öffnungsklausel und kann daher national noch adaptiert werden. Die EU schlägt aber vor, dass ab einer Betriebsgröße von 250 Mitarbeitern ein Datenschutzbeauftragter ernannt werden muss, ebenso bei Unternehmen, die ein datengetriebenes Geschäft als Kerntätigkeit betreiben – dass würde laut Feiler eine Marketing­agentur nicht betreffen, ein Online-Advertising-Netzwerk aber sehr wohl. Feiler glaubt, dass man in Deutschland im Rahmen der Öffnungsklauseln wohl eine Pflicht zu Datenschutzbeauftragten einführt, in Österreich hingegen nicht. „Trotzdem ist es sinnvoll, dezidiert eine Datenschutzrolle im Unternehmen zu schaffen“, sagt Feiler. Ansonsten ist die Umsetzung der Vorgaben schwierig und folglich eine Strafe möglich.

• Daten nur mit Einwilligung ­speichern:
Derzeit ist zwar für die Verarbeitung sensibler Daten – etwa über Geschlecht oder Gesundheit des Kunden – bereits eine ausdrückliche Zustimmung des Kunden erforderlich, für die Verarbeitung nicht-sensibler Daten (etwa Adressdaten) kann aber die Zustimmung durch Schweigen erteilt werden – also dann, wenn deutlich und unübersehbar über die Datenverarbeitung informiert wurde und der Betroffene dies hinnimmt. Das ändert sich nun: Ab Mai 2018 muss die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der die Person ihr Einverständnis bekundet. Diese Erklärung kann entweder durch eine ausdrückliche Erklärung erfolgen oder indem der Kunde durch sein Verhalten sein Einverständnis zum Bearbeiten seiner Daten signalisiert.

• Informationspflichten bei der ­Datenverarbeitung beachten:
Im Gegensatz zur Speicherung von persönlichen Daten versteht man unter „Profiling“ die automatisierte Verarbeitung von persönlichen Daten. Profiling wird zwar auch künftig nicht verboten sein, unterliegt aber strengen Informationspflichten, heißt es vom ÖZV (Österreichischen Zeitungs- und Fachmedienverband): Vor allem müssen die betroffenen Personen zum Zeitpunkt der Erhebung aussagekräftige Informationen über die Tragweite und die angestrebte Auswirkung der Datenverarbeitung erhalten. Für den Bereich Journalismus gilt bei der Datenverarbeitung laut ÖZV jedoch das Prinzip „Mediengesetz schlägt Datenschutz“: Wenn die Daten unmittelbar für die publizistische Tätigkeit verwendet werden, sind vom Datenschutzgesetz nur einzelne Bestimmungen anzuwenden. Die Verordnung lässt zwar auch hier abweichende nationale Regelungen zu, aber nur, wenn sie erforderlich sind, um das Recht auf Datenschutz und das Recht auf Meinungsäußerung in Einklang zu bringen.

• Zustimmung für Targeted Ads holen:
Für Targeting, Retargeting und Programmatic Advertising – also die Automatisierung von Targeting – muss laut Jenzer eigentlich die Zustimmung des Users eingeholt werden. Die Frage ist jedoch, wie diese Zustimmung eingeholt wird. In diesem Kontext steht auch die Verwendung von Cookies derzeit zur Diskussion: Dem aktuellen Entwurf der E-Privacy-Verordnung zufolge soll der Nutzer fast immer sein Einverständnis für die Erhebung und Verarbeitung von Daten geben müssen – auch wenn diese anonym sind. Demnach dürfen beispielsweise Third-Party-Cookies großteils nicht mehr ohne explizite Einwilligung eingesetzt werden, bemängelt das iab (Internet Advertising Bureau).

• Gedruckte Mailings:
Für Prospekte, kostenlose Kundenzeitschriften und sonstige gedruckte Mailings mit namentlicher Anschreibung gilt laut Jenzer nach wie vor die Opt-out-Regel: Es ist also keine explizite Zustimmung des Kunden erforderlich. Allerdings weist Jenzer darauf hin, dass weiterhin ein Abgleich mit der Robinsonliste nötig ist – also mit jenen rund 100.000 Personen in Österreich, die keine personalisierten schriftlichen Mailings bekommen wollen.

• Digitale Medien/Newsletter:
Anders verhält es sich laut Jenzer bei digitalen Medien – also SMS-Marketing, E-Mail und telefonische Kaltanrufe. Hier sieht die DSGVO eine „unmissverständliche Zustimmung“ vor. Ein Schlupfloch: Denn während die „ausdrückliche Zustimmung“ das explizite schriftliche oder mündliche Okay des Beworbenen erfordert, reicht bei der „unmissverständlichen Zustimmung“ eine entsprechende Handlung des Kunden – etwa, wenn er mit dem Unternehmen interagiert und Interesse gezeigt hat. Das bedeutet in Bezug auf Newsletter: Das Beschicken von Nicht-Kunden wird zwar generell als Spam gewertet; wenn aber ein Kunde bereits mit dem Unternehmen interagiert hat, hat er durch diese Interaktion sein Einverständnis klargemacht.

• Löschung von Daten akzeptieren:
Der Kunde kann die Löschung seiner Daten aus einer Datenbank beantragen.

Fazit
Information ist das A und O: Jedes Unternehmen sollte die EU-Verordnung sichten und sich überlegen, ob das Einschalten eines Datenschutzbeauftragten sinnvoll ist. Waltraut Kotschy, österreichische Expertin für Datenschutz, legt Branchen das Erstellen eines sogenannten Codes of Conduct ans Herz – Verhaltensregeln, die klar definiert werden. Das würde das Risiko, ins Visier der Aufsichtsbehörden zu geraten, senken. Sie meinte jedoch auch, dass jetzt der richtige Zeitpunkt wäre, sich das eigene Unternehmen hinsichtlich der neuen Datenschutz-Grundverordnung anzusehen und über mögliche Maßnahmen nachzudenken. Von konkreten Schritten rät sie derzeit ab, da erst im Herbst 2017 die finalen Punkte festgesetzt werden. (VM)