Datenschutz-Grundverordnung: Das müssen Online Marketer wissen

Von Nora Horn | Allgemein

Mai 14
Datenschutz-Grundverordnung

Am 25.5.2018 tritt die neue DSGVO in Kraft. Seit 2016 ist diese Verordnung im Gesetzbuch verankert, zum genannten Stichtag endet die Übergangsfrist. Ziel der Datenschutz-Grundverordnung ist ein einheitliches Datenschutzniveau innerhalb aller EU-Staaten. Die vormals geltenden Regelungen wurden im Jahr 1995 erlassen und beinhalteten noch keine Regelungen, wie mit Handydaten oder personenbezogenen Informationen auf sozialen Netzwerken und bei der Onlinewerbung umzugehen ist. Um hier einheitliche Richtlinien für alle EU-Staaten zu schaffen, tritt die neue Datenschutz-Grundverordnung mit 99 Artikeln in Kraft. Dies ist besonders für Unternehmen im E-Business und freischaffende Online Marketing Manager extrem von Bedeutung.

Wer ist von dieser Regelung betroffen?

Wer mit personenbezogenen Daten im Internet zu tun hat, muss sich mit der DSGVO auseinandersetzen. Werden Informationen wie Namen, biometrische Daten, IP-Adressen, Autokennzeichen, Meinungsangaben oder Daten zur ethischen Herkunft erhoben, fordert die Verordnung zukünftig ein konkretes Handeln. Darunter fällt jede Datenerhebung sowie die Speicherung oder Auswertung personenbezogener Daten. Zusammengefasst bedeutet das: sofern Sie sich im Internet bewegen und mit einer Angabe zu tun haben, die sich auf einen konkreten Menschen bezieht und Sie diese Informationen erfragen, speichern oder auswerten, unterliegen Sie den Vorschriften der DSGVO. Konkret betroffen sind beispielsweise alle Privatpersonen, kleine Handwerksbetriebe, App-Anbieter, soziale Netzwerke, Internetseitenbetreiber und Vereine.

Der Schutz persönlicher Daten

Die Verarbeitung persönlicher Daten ist grundsätzlich verboten – so lautet das oberste Prinzip der DSGVO. Dabei gilt die Ausnahme, dass Informationen abgespeichert werden dürfen, um einen Vertrag zu erfüllen oder lebenswichtige Interessen von Bürgern zu wahren. Außerdem haben Firmen das Recht, ihre Kunden für die Verarbeitung personenbezogener Daten um Erlaubnis zu bitten. Wird dagegen im Zuge einer Newsletteranmeldung eine weitere Datenfreigabe für einen besseren Service gefordert, ist dieses nicht zulässig. Der Kauf auf einer Internetseite darf ebenfalls nicht mit einem automatischen Newsletterbezug gekoppelt werden. Der Käufer darf in seiner Entscheidungsfreiheit nicht gedrängt werden. Das neue Gesetz sorgt für eine begrenztere Sammlung personenbezogener Daten. Diese dürfen nur noch in dem Umfang erhoben werden, der in einem tatsächlichen Verhältnis zur Situation steht. Ein Internetverkäufer braucht natürlich Angaben wie Namen und Adresse, auch die Angabe des Geburtsdatums ist für die Feststellung der Volljährigkeit notwendig. Werden gleichzeitig Newsletter angeboten oder Angaben abgefragt, die über die versandnotwendigen Daten hinausgehen, dürfen diese nicht zwingend sein.

Mehr Freiheiten für den Verbraucher

formationen einzufordern, die ein Unternehmen von ihm speichert. Diese Daten müssen innerhalb eines Monats von der angefragten Firma bereitgestellt werden. Fragen zum Zweck der Datenspeicherung müssen ebenfalls beantwortet werden. Unternehmen werden zukünftig mehr in die Pflicht genommen, indem Besuchern von Internetseiten erklärt werden muss, welche Daten erhoben und wie lange diese gespeichert werden. Diese Aussagen müssen zukünftig in einfacher Sprache und übersichtlicher Form zur Verfügung gestellt werden, sodass sich der Kunde nicht mehr durch unverständliche Paragraphen arbeiten muss. Verbraucher können nach eigenem Ermessen auch das Löschen ihrer Daten fordern, wenn sie der Meinung sind, dass sie mit dem Anbieter nicht mehr in Kontakt stehen. Nach Einsicht in die gespeicherten Daten müssen diese auf Kundenwunsch gelöscht werden. Fraglich ist hier allerdings das Kontrollelement durch den Käufer.

Datenschutzbeauftragte im Unternehmen

Werden im Unternehmen personenbezogene Daten automatisiert verarbeitet, muss ein Datenschutzbeauftragter benannt werden. Diese Regelung gilt für alle Unternehmen, die mehr als neun Mitarbeiter haben, egal ob in Voll-, Teilzeit- oder freiberuflicher Anstellung. Sobald in Ihrem Unternehmen mindestens zehn Mitarbeiter vorwiegend am PC mit personenbezogenen Daten wie Namen, Mailadressen, Standortdaten von Kunden oder deren Kontonummern zu tun haben, brauchen Sie einen Datenschutzbeauftragten. Sind weniger Mitarbeiter beschäftigt, übernimmt der Geschäftsführer dieses Amt.

Ausnahmeregelung: Unabhängig von der Mitarbeiteranzahl braucht es einen Datenschutzbeauftragten, wenn sensible Daten verarbeitet werden, die über die normalen Angaben wie Name, Anschrift, Alter und Telefonnummer hinausgehen. Besteht für den Betreffenden ein hohes Risiko bei der Angabe sensibler Daten, wie gesundheitliche Daten, ethnische Herkunft, sexuelle Orientierung oder politische Einstellung, ist eine sogenannte Datenschutz-Folgenabschätzung notwendig. Daher brauchen auch kleine Heilpraktikerpraxen einen Datenschutzbeauftragten.

Aufgaben eines Datenschutzbeauftragten

Artikel 39 der Datenschutz-Grundverordnung definiert den Aufgabenbereich. Der Datenschutzbeauftragte muss

– das Unternehmen in Sachen Datenschutz beraten, ist aber nicht entscheidungsbefähigt
– Mitarbeiter schulen und für die Thematik sensibilisieren (Passwortwahl, Diskretion am Arbeitsplatz)
– im Fall einer Beschwerde den Fall aufklären
– für betroffene Personen ansprechbar sein (beispielsweise bei falschen Emaildaten)
– bei einer Datenschutz-Folgenabschätzung überwachend und beratend tätig werden

Dokumentieren der personenbezogenen Daten

Aus Artikel 30 der DSGVO ergibt sich für jedes Unternehmen die Pflicht, ein „Verzeichnis der Verarbeitungstätigkeiten“ anzulegen und nachzuweisen. In dieser Tabelle führen Sie auf, welche Daten von Ihnen wann, warum und in welcher Weise erhoben wurden. Dazu gehören die geläufigen Kundenabgaben wie: Name, Adresse, Telefonnummer und Mailadresse.

Anhand dieser Tabelle erhalten die Datenschutzbehörden Einblick in Ihren Umgang mit den Kundendaten. Größere Unternehmen profitieren von einem Projektverantwortlichen, der alle Mitarbeiter hinsichtlich folgender Daten befragt:

– Welche Informationen werden den Kunden bezüglich ihrer personenbezogenen Daten zur Verfügung gestellt?
– Wo sind die Informationen nachzulesen (AGBs, Checkbox auf der Internetseite oder schriftliche Mitteilung)
– Welche Daten werden zu welchem Zweck erhoben?
– Braucht es eine Zustimmung des Betroffenen?
– Erfolgt die Datenspeicherung auf anonymisierte oder pseudonymisierte Weise?
– Wo werden die Daten gespeichert (innerhalb oder außerhalb der EU)?
– Erfolgt eine Weitergabe der Daten? An wen?
– Existieren ausreichende Maßnahmen, um die Daten zu schützen?

Konsequenzen bei einem Gesetzesverstoss

Die neuen Bestimmungen ähneln vielfach dem alten Bundesdatenschutzgesetz. Unterschiede ergeben sich bei der Durchsetzung in Form von höheren Bußgeldern. Bisher wurden in Deutschland Bußgelder bis zu einer Höhe von 300.000 Euro verhängt. Hinzu kam eine Gewinnabschöpfung. Mit der neuen Datenschutz-Grundverordnung beträgt die maximale Geldbuße entweder 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes. Der höhere Wert wird der Bußgeldberechnung zugrunde gelegt. Auf diese Weise könnten große Konzerne in Milliardenhöhe bei Datenschutzverstößen belangt werden. Allerdings trifft es kleine Unternehmen in der gleichen Weise und sorgt im Ernstfall für die Vernichtung der eigenen Existenz.

Fazit

Nehmen Sie die Datenschutz-Grundverordnung nicht auf die leichte Schulter. Wie bei den Bestimmungen von Widerrufsbelehrungen oder AGBs werden beim Inkrafttreten der DSGVO etliche Vereine oder Anwälte testen, ob sich daraus eine lukrative Einkommensquelle erschließen lässt. Dabei trifft es in jedem Fall kleinere Unternehmen oder Selbstständige, da diese in der Regel einer gerichtlichen Auseinandersetzung finanziell nicht standhalten können. Schützen Sie sich deshalb vor Abmahnungen.

Über den Autor

Nora Horn studierte PR- und Medienmanagement und ist als Marketing-Assistenz bei der Social Media Akademie tätig. Sie betreut außerdem die Social Media Kanäle und den Unternehmensblog.

Kommentieren:

Leave a Comment: