Die neue Datenschutz-Grundverordnung DSGVO – was gilt es zu beachten? Teil 1

In diesem zweiteiligen Blog möchte ich Ihnen einige persönliche Erkenntnisse aus der neuen Datenschutz-Grundverordnung DSGVO (Engl. GDPR) der Europäischen Union vorstellen. Insbesondere im Hinblick auf die Verwendung personenbezogener Daten für Werbezwecke, unter spezieller Berücksichtigung von E-Mail Marketing, Marketing Automation und Segmentierung von Zielgruppen für die personalisierte Ansprache. Teil 1 beinhaltet allgemeine Informationen, Teil 2 konkrete Tipps zur Umsetzung. 

Per 25. Mai 2018 werden die wesentlichen Datenschutzbestimmungen in der Datenschutz-Grundverordnung (2016/679/EU), kurz DSGVO genannt, europaweit harmonisiert. Nationales Datenschutzrecht war gestern. Die Verordnung ist auch für das Dialogmarketing anwendbar, sofern Personen in der EU betroffen sind, bzw. deren Daten verarbeitet werden.

Im Zentrum steht der Schutz personenbezogener Daten. In vielen konkreten Anwendungsfällen bei deren Verarbeitung können sie aus einer Interessensabwägung heraus grundsätzlich ohne Einwilligung verwendet werden, z.B. bei öffentlich zugänglichen Daten und solchen, welche für die Erbringung einer vertraglichen Leistung erforderlich sind. Das sind bei weitem die meisten Fälle. Hier besteht deshalb lediglich ein Opt-out Erfordernis, ausgelöst durch den Betroffenen.

Berühmtheit hat die Verordnung aber wegen der Verwendung von sensitiven Daten für Werbezwecke erhalten. Konkret heisst dies für das E-Mail Marketing, dass in der ganzen EU das Erfordernis eines aktiven Opt-ins zum Zug kommen wird. Aufgrund der zukünftigen Beweispflicht wird ein Double-Opt-in, wie es in Deutschland schon lange praktiziert wird, in allen EU-Ländern und in Zukunft wohl auch in der Schweiz unerlässlich.

Es ist davon auszugehen, dass das Datenschutzgesetz der Schweiz sich in wesentlichen Teilen spätestens ab 2020 an des EU-Recht angleichen wird. Hierzulande wird das dann «autonomer Nachvollzug» genannt. Faktisch ist es nichts anderes als das Ergebnis eines einheitlichen Europäischen Datenschutzrechts, bei welchem die Schweiz keine Gestaltungsmöglichkeit hat, sich aber angesichts des grenzenlosen Datenverkehrs gar nicht entziehen kann.

Aufgeschreckt wurden viele Unternehmen durch die drohenden drakonischen Strafmassnahmen: Es können Bussgelder bis zu 20 Mio. Euro oder 4% des Weltumsatzes eines Unternehmens ausgesprochen werden. Solche Dimensionen waren bisher nur im Wettbewerbsrecht bekannt.

Der Geltungsbereich der Verordnung bezieht sich auf alle Anbieter und Nutzer innerhalb der Europäischen Union. Wenn also Schweizer Anbieter auch EU-Nutzer bzw. Kunden ansprechen und deren Daten sammeln, unterliegen sie streng nach dem Marktortprinzip den neuen Vorschriften. Allerdings können die Datenschutzbehörden der EU nicht direkt auf Schweizer Unternehmen zugreifen, sondern unterliegen der normalen Amtshilfe. Es ist davon auszugehen, dass deshalb Schweizer Unternehmen mit geringer Ausstrahlung in die EU nicht zum primären Ziel der Sanktionierungsbehörden werden.

Die Umsetzungsverantwortung in einem Unternehmen liegt bei der Geschäftsleitung, die Massnahmen sind in allgemeine Compliance-Überlegungen einzubinden. Der zu ernennende Datenschutzverantwortliche hat nur Kontrollfunktion und kann nicht haften. Eine persönliche Haftung gibt es nur bei vorsätzlicher Handlung.

Die Verordnung hatte ursprünglich das (versteckte) Ziel, den bekannten US-Datenkraken den Zugang zu personenbezogenen Daten zu erschweren. Da diese aber über das sogenannte «Privacy Shield»-Abkommen (Akzeptanz des EU-Datenschutzstandards durch in der EU ansässige US-Unternehmen) den Europäischen Unternehmen gleichgestellt sind, werden personenbezogene Daten auch weiterhin in den USA gespeichert. Die Einwilligung von natürlichen Personen wird aufgrund der Kostenlosigkeit vieler Dienstleistungen von den Nutzern problem- und gedankenlos mit einem Klick gewährt. Die Sorglosigkeit vieler Konsumenten gegenüber der Verwendung personenbezogener Daten durch Dienstleistungen im Internet wird sich aufgrund der schieren Menge und des inhaltlichen Kauderwelschs von zu akzeptierenden Datenschutzbestimmungen nur wenig verändern. Auch der aktuelle Facebook-Datenskandal wird daran nicht viel ändern, denn beim Normalverbraucher übersteigt der aktuelle Nutzen die latenten Bedenken.

Und im Gegenteil: Weil der Aufwand für die Speicherung schützenswerter Daten sowie die Beweispflicht und die Rechenschaftspflicht insgesamt stark zunehmen, liegt ein Skalenthema vor. Grosse Unternehmen werden selbstverständlich aus Rechts- und Reputationsgründen die Vorschriften genau einhalten, was kleineren Unternehmen bei denselben Anforderungen an schützenswerte Daten massiv schwerer fallen wird.

Viele Vorschriften in der DSGVO bleiben unklar und werden erst in Zukunft über Richterrecht hinlänglich präzisiert. Das zeigt, wie Personen- und Konsumentenschützer im Gesetzgebungsprozess der DSGVO die Möglichkeiten und Grenzen der technischen Datenhaltung in vielen Fällen unzureichend verstanden und durch ungenaue Formulierungen der vereinbarten Vorschriften sehr auslegungsbedürftig machten. Primäres Ziel der Aufsichtsbehörden bei der Durchsetzung der DSGVO werden nicht kleine Anbieter sein. Es ist damit zu rechnen, dass man auf internationaler Ebene versuchen wird, über grosse und medienwirksame Einzelfälle die Durchsetzungstauglichkeit der Verordnung zu prüfen, mögliche „Sünder“ abzuschrecken und das Bewusstsein über den Schutz der eigenen Daten zu erhöhen. Es bleibt abzuwarten, ob der aktuelle  Facebook-Datenskandal bereits nachhaltige Spuren im Bewusstsein der Konsumenten hinterlässt.

Urs Thüring, Mayors AG, April 2018

Hier geht es zu Teil 2


Zurück zur Übersicht

Leave a Reply

You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>