Was hat es sich mit der neuen Datenschutz-Grundverordnung (DSGVO) der EU auf sich?
Im Jahr 2016 hat die Europäische Union (EU) ihre Datenschutz-Grundverordnung (DSGVO) verabschiedet, um die Daten der europäischen Bürger zu schützen. Als eine Verordnung erfordert die DSGVO keinen Gesetzesvollzug, sondern wird ab dem 25. Mai. 2018 sofort als Gesetz in Kraft treten.
Was versucht die DSGVO damit genau zu erreichen? Laut den Behörden ist es das Ziel den "Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten und den freien Datenverkehr" zu gewährleisten.”
Kurz gesagt, alle Organisationen, die in der EU geschäftlich tätig sind, müssen die DSGVO einhalten und bei einer Verweigerung mit einer enormen Geldstrafen rechnen. Geldbußen können bis zu 20 Mio. € oder 4% des Jahresumsatzes betragen. Für Unternehmen, die gegen geltendes Recht verstoßen und damit den Verlust personenbezogener Daten verschulden, wie beispielsweise Talk Talk, die die Daten von 170.000 Personen verloren hat, stehen enorm hohe Geldbußen an.
Zeit für eine Definition: Was sind Daten?
Wie definieren Sie persönliche Daten? Laut dem neuen Gesetz werden personenbezogene Daten als Informationen aufgefasst, die auf eine identifizierte oder identifizierbare Person deuten. Das sind Daten, die den Namen, die Identifikationsnummer, die Standortdaten, die Online-Kennung oder andere Informationen der Person enthalten, die konkret für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität einer Person bestimmt sind.
Die neue Verordnung regelt auch, wie Informationen verarbeitet werden. Hier bedeutet “verarbeiten” die Durchführung jeglicher Verfahren oder Vorgänge an personenbezogenen Daten oder Datensätzen. Dies umfasst Vorgänge wie Datenerhebung, Speicherung, Abruf, Konsultation, Verwendung, Weitergabe durch Übermittlung, Verbreitung oder sogar Löschung oder Zerstörung.
Die Definition personenbezogener Daten und Verarbeitungsmethoden der DSGVO deckt im Wesentlichen alle Anwendungsfälle ab, die Organisationen bei der Verarbeitung von "personenbezogenen Daten" in Betracht ziehen müssten. Beispielsweise müsste eine Website, die einen Benutzernamen und eine E-Mail sammelt, mit der DSGVO konform sein, genauso wie ein eCommerce-Geschäft, das Bestellungen ausführt, den Lieferstatus nachverfolgt und die Kontodaten seiner Nutzer für Bestellungen benötigt und vorhält.
Die Details zur Datenerfassung
DSGVO legen spezifische Grundsätze fest, die Organisationen folgen müssen, die personenbezogene Daten verwenden:
- Daten müssen rechtmäßig, fair und transparent verarbeitet werden
- Daten müssen für bestimmte, explizite und legitime Zwecke erhoben werden
- Die Datenerhebung muss angemessen, relevant und auf das Notwendige beschränkt sein
- Daten sollten akkurat und fehlerfrei sein und, falls erforderlich, auf dem neuesten Stand gehalten werden
- Daten sollten nur so lange wie nötig aufbewahrt werden
- Daten müssen in angemessener Weise verarbeitet werden, um deren Sicherheit zu gewährleisten
Auch wenn dies vernünftig klingt, haben einige dieser Grundsätze tiefgreifende Auswirkungen darauf, wie Unternehmen Daten verwenden und was sie mit diesen Informationen tun können. Angesichts der EU Rechtsvorschriften sorgen sich nicht nur große Unternehmen um Datenschutz und Sicherheit. Denn die neuen Bestimmungen gelten auch für anderen Unternehmen und Organisationen, unabhängig von der Größe ihres Betriebes, die E-Mails oder andere Informationen für ihre Marketing-, Tracking- und Optimierungsstrategien sammeln.
Was bedeutet das für Marketing?
Ich möchte hierbei besonders auf den ersten Grundsatz eingehen: "Daten müssen rechtmäßig, fair und transparent verarbeitet werden." Doch was genau bedeutet das? Die Antwort befindet sich im Artikel 6 "Rechtmäßigkeit der Verarbeitung" der DSGVO. Wenn wir aber die Liste der aufgeführten Konformitätsprüfungen durchgehen, fällt ein Punkt auf:
Einwilligung in Nutzung der Daten
Diese Voraussetzung allein bedeutet, dass jeder Einzelne, der seine Daten übergibt, die Nutzung seiner Daten ausdrücklich genehmigen muss. Artikel 7 definiert die Zustimmungsbedingungen wie folgt:
- Einwilligung zur Nutzung personenbezogener Daten
- Die Bestimmungen zur Nutzung personenbezogener Daten muss klar, verständlich, leicht zugänglich und unverbindlich sein
- Zustimmung zur Nutzung der eigenen Daten kann jederzeit widerrufen werden und dies sollte so einfach wie möglich sein
- Regelungen zur zweckgebundenen Nutzung personenbezogener Daten
Oftmals werden User aufgefordert Checkboxen in Webformularen anzuklicken, um ihre Zustimmung zu geben. Leider ist die Formulierung dieser Checkboxen manchmal nicht ganz klar oder User werden aufgefordert, sich abzumelden statt sich für Dienste zu entscheiden. Nach den neuen Vorschriften muss diese Formulierung klarer sein: Die User müssen sich explizit für Datenverarbeitungsdienste entscheiden, statt statt die Auswahl per Opt-out-Verfahren zu tätigen.
Es ist auch wichtig zu beachten, dass die DSGVO alle EU Bürgerdaten erfasst, unabhängig davon, wo sich ein Unternehmen befindet. Jedes Unternehmen, das EU-Bürgerdaten verwendet, muss diese neue Verordnung einhalten, selbst wenn es sich auf einem anderen Kontinent registriert ist. Da diese umfassende Regulierung bei Verstößen massive Strafen nach sich zieht, sollten sich die Unternehmen auf die Einhaltung der neuen Gesetze vorbereiten. Es bleiben nur noch 3 Monate bis zum offiziellen Inkrafttreten der Verordnung am 25. Mai. 2018.
Selbst wenn Sie sich nicht sicher sind, ob Sie sich an das Gesetz halten müssen, es ist in diesem Fall besser auf Nummer sicher zu gehen und sich auf das neue Gesetz vorzubereiten als massive Geldstrafen zu riskieren, weil man eventuell gegen die neuen Vorschriften verstößt. Wenn Sie mit einem DSGVO-zertifizierten Experten sprechen möchten oder Fragen zur Sicherung und Speicherung Ihrer Benutzerdaten haben, wenden Sie sich bitte an FFW.