Marketing und Datenschutz: EU-DSGVO

Bereiten Sie sich spätestens jetzt auf die neue Verordnung vor.

rb omnichannel

Was passiert am 25. Mai 2018?

Ab dem 25. Mai 2018 kommt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) zur Anwendung. Bestimmt haben Sie davon in der Presse bereits gelesen. Die 88 Seiten starke Verordnung bringt diverse Änderungen für Sie als Unternehmen – nicht zuletzt deutlich höhere Geldbußen als beim heute geltenden Bundesdatenschutzgesetz. Ziel der EU ist unter anderem, die Rechte von natürlichen Personen (also Verbrauchern) in Bezug auf den Datenschutz nachhaltig zu stärken.

Als TÜV-zertifizierter Datenschutzbeauftragter und Teilnehmer der Allianz für Cybersicherheit des BSI beschäftige ich mich intensiv mit Themen rund um Datenschutz und Informationssicherheit, da diese beim Einsatz von Marketingtechnologie immer wichtiger werden.

Dieser kurze Artikel soll einen ersten Überblick zur neuen EU-DSGVO und daraus entstehenden „Hausaufgaben“ bis Mai 2018 geben.

Warum sollte sich jedes Unternehmen dringend auf die EU-DSGVO vorbereiten?

Es gibt hierfür einen guten Grund, der bereits eine intensive Auseinandersetzung mit der Thematik – auch auf Geschäftsleitungsebene – rechtfertigt: Drastische Bußgelder.

Geldbußen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes sind durch die EU-Datenschutzverordnung bei Verstößen vorgesehen – und übersteigen damit die Geldbußen des aktuellen Bundesdatenschutzgesetzes um ein Vielfaches.

Dies alleine sollte ausreichen, um das Thema intensiv vorzubereiten. Davon abgesehen, nehmen viele Kunden (B2C oder B2B) die Themen Datenschutz und Informationssicherheit zunehmend stärker wahr. Daher kann hier eine professionell erstellte und gelebte Policy durchaus auch als Marketing-Argument genutzt werden – insbesondere, wenn man sich mit eCommerce oder verwandten Themen beschäftigt.

Was sind die wichtigsten Änderungen?

Einige Änderungen, welche die EU-DSGVO mit sich bringt, seien hier exemplarisch kurz zusammengefasst:

  • Der Anwendungsbereich gilt für alle Verarbeitungen von personenbezogenen Daten von EU-Bürgern: Dies bedeutet, dass auch Unternehmen, die in Nicht-EU-Ländern ansässig sind, die EU-DSGVO berücksichtigen müssen, wenn z.B. eCommerce in der EU betrieben wird.

  • Anforderungen an informierte, freiwillige Einwilligungen wurden erhöht: So wird beispielsweise eine eindeutige Handlung gefordert, um eine Einwilligung abzugeben. Eine implizite Einwilligung oder ein stillschweigendes Einverständnis ist demnach nicht mehr ausreichend. Nicht mehr zulässig wäre demnach das standardmäßig angeklickte Kästchen auf einer Website zur Einwilligung. Auch auf der rb omnichannel Website wird dies in den kommenden Tagen geändert werden. Übrigens: Den Nachweis, dass eine aktive Einwilligung vorliegt, muss der Datenverarbeitende erbringen.

  • Kopplungsverbot ausgebaut: Oft setzen Unternehmen heute die Angabe von Daten für einen Vertragsabschluss voraus, die für die Durchführung der jeweiligen Leistung nicht unbedingt erforderlich sind. Dies wird bald so einfach nicht mehr möglich sein.

  • Informations- und Auskunftspflichten für den Datenverarbeiter wurden verschärft und erweitert, u.A. muss genannt werden:
    - Rechtsgrundlage bei der Datenverarbeitung
    - Dauer der Speicherung
    - Informationen bei Weiterverarbeitung der Daten zu einem anderen Zweck

  • Recht auf Datenübertragbarkeit: Daten müssen auf Wunsch eines Betroffenen in einem gängigen Format bereitgestellt werden, und ggf. sogar direkt an Dritte übermittelt werden.

  • Vereinfachter, erweiterter Widerruf: Der Widerruf einer Einwilligung muss ohne Begründung jederzeit möglich sein. Zudem kann beispielsweise insbesondere der Datennutzung für Direktmarketingzwecke und entsprechender Profilbildung widersprochen werden.

  • Erweiterte Verpflichtungen bei der Datenweitergabe an Dritte: Der Datenverarbeiter muss sicherstellen, dass im Fall einer zulässigen Datenweitergabe an Dritte, Änderungen und Korrekturen ebenfalls an diese Dritten kommuniziert werden. Dies gilt auch in Bezug auf die erforderliche Löschung von Daten.

  • Joint Controllership oder Auftragsdatenverarbeitung: Neue Regelungen in diesem Bereich bieten neue Möglichkeiten der Zusammenarbeit bei der Datenverarbeitung aber auch neue Themen, die beachtet werden müssen.

  • Verschärfung der Meldepflicht: Künftig besteht in wesentlich mehr Fällen bei Datenschutzpannen eine Meldepflicht an Aufsichtsbehörden und die Betroffenen.

  • Technisch-organisatorische Maßnahmen und Risikomanagement: Die EU-DSGVO setzt verstärkt auf diese Themen. Zudem ist bei risikobehafteten Datenverarbeitungen die Durchführung einer Datenschutz-Folgeabschätzung künftig zwingend erforderlich.

Wie kann man sich optimal auf die EU-DSGVO vorbereiten?

Nun, diese Frage kann pauschal nicht beantwortet werden, da Vorbereitungen insbesondere davon abhängig sind, welche Strukturen heute bereits in Ihrem Unternehmen etabliert sind. So stellt sich zunächst die Frage, ob Sie bereites einen Überblick über Ihre Daten haben und diese in einer strukturierten Form vorliegen. Außerdem stellt sich die Frage nach geklärten Verantwortlichkeiten und im Unternehmen bereits vorhandenen Methoden und Tools. Vereinfacht gesagt: Die Vorbereitung beginnt mit einer (GAP-) Analyse, welche dann in die Basis für einen Maßnahmenplan darstellen kann.

Bei der Planung und Umsetzung von Maßnahmen empfiehlt sich ein enges Sparring u.A. folgender Funktionen/Abteilungen:

  • Datenschutzbeauftragter
  • Informationssicherheit
  • Qualitätsmanagement
  • Ggf. Betriebsrat
  • IT
  • Fachabteilungen (z.B. Marketing, Vertrieb etc.)
  • Auftragsdatenverarbeiter (Lieferanten, z.B. Direktmarketing-Dienstleister)
rb omnichannel

Welche rolle spielt Datenschutz im Marketing?

Die Rolle des Datenschutzes im Marketing wird immer wichtiger. Gerade durch die neue EU-DSGVO werden zahlreiche Themen für Ihr Marketing relevant, die bislang nur eine untergeordnete Rolle gespielt haben – zumal die Bußgelder im Zweifelsfall deutlich höher werden. Cloud Services, Tracking, Profilerstellung für eine optimale Customer Journey sowie Direktmarketing auf unterschiedlichen Kanälen rücken Marketing ins Zentrum des Datenschutzes – und leider auch immer stärker in den Fokus von Abmahnaktivitäten. Machen Sie den Datenschutz (gerade im Marketing) also zur Chefsache, denn Chancen und Risiken steigen mit der EU-DSGVO.

Auch für Dienstleister und Systemhäuser relevant

Selbstverständlich ist die hier beschriebene Thematik nicht nur für Marketingtreibende, sondern auch für deren Dienstleister relevant, wie z.B.:

  • Anbieter von Cloud-Services, SaaS
  • Agenturen und Marketing-Dienstleister
  • Systemhäuser, wie z.B. Anbieter von Marketing-IT

Diese Unternehmen sind häufig Auftragsdatenverarbeiter bzw. haften im Rahmen eines Joint Controllerships.

Sollte man einen externen Datenschutzbeauftragten bestellen?

Kein Geheimnis: Es kostet Zeit und Geld, beim Datenschutz auf dem Laufenden zu bleiben. Daher kann es in vielen Fällen sinnvoll sein, einen externen Datenschutzbeauftragten zu bestellen. Ich selbst unterstütze Sie hier als Datenschutzbeauftragter (TÜV®) gerne zuverlässig und ganzheitlich. Gerade für kleinere oder mittelständische Unternehmen kann der Einsatz eines externen Datenschutzbeauftragten auch aus finanzieller Sicht sinnvoll sein.

Wie unterstützt rb omnichannel?

Mit umfangreicher Erfahrung im Bereich Datenschutz und Informationssicherheit (speziell im Bereich Marketing) sind wir Ihr Ansprechpartner zu allen prozessualen und technologischen Fragen in diesem Themenkreis. Dabei bleiben wir pragmatisch und konzentrieren uns neben den Paragraphen in erster Linie auf eine effiziente Umsetzung in Ihrem Unternehmen. Dies kann innerhalb einer einmaligen Analyse im engen Sparring mit Ihren Mitarbeitern oder auch in der Funktion eines externen Datenschutzbeauftragten geschehen.

Haben Sie Fragen, oder möchten Sie weitere Details zu den vorgestellten Themen mit mir besprechen? Kontaktieren Sie mich jederzeit über über unser Kontaktformular oder rufen Sie mich unter 04121 6460410 an. Von der Anforderungsanalyse bis hin zum Rollout unterstützt Sie die rb omnichannel GmbH gerne - Datenschutz garantiert!

Herzliche Grüße

Ihr Roland Bühler

rb omnichannel

Die rb omnichannel GmbH ist Teilnehmer der Allianz für Cyber-Sicherheit.

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die im Jahr 2012 in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde.

Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz das Ziel, die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Zur gemeinsamen Förderung der Cyber-Sicherheit arbeitet das BSI dabei im Rahmen der Allianz intensiv mit Partnern und Multiplikatoren zusammen.

Projektanfrage stellen