Dmexco-Special: Datenschutz geht uns alle an! Welche Lösungen braucht es jetzt?

Sie kommt. Die viel umworbene, viel gefürchtete und viel beschriebene Datenschutz-Grundverordnung, von der EU auch scherzhaft Verordnung (EU) 2016/679 oder hier im Folgenden kurz DSGVO genannt.

Von Gastautor Tobias Günther, Rechtsanwalt bei Mapp Digital

Bereits jetzt ist die Verordnung geltendes Recht für alle europäischen Mitgliedsstaaten und ab dem 25. Mai 2018 direkt anwendbar. Bis zum 24. Mai 2018 sollten daher alle Vorbereitungen abgeschlossen, alle Prozesse zur Umstellung beendet und ein transparentes, durchdachtes und überprüftes Konzept zum Datenschutz in jedem Unternehmen etabliert sein. Angst machen allen Beteiligten hierbei die – aus deutscher Sicht – horrenden Bußgeldrahmen (bis zu 20 Millionen Euro oder 4 Prozent des globalen Konzernumsatzes) und die Möglichkeit von Verbandsklagen. Nicht ganz zu Unrecht lösten diese Kennziffern Panik in der deutschen Unternehmenslandschaft, besonders auch in der Digitalwirtschaft aus.

Nehmt den Datenschutz ernst

Doch Stopp! Auch wenn Grund zur Aufmerksamkeit besteht und zu Recht das Thema Datenschutz in den Fokus der Öffentlichkeit sowie Fachleute gerückt wird, darf keine emotionale Panik die Diskussion beherrschen, die nach allgemeiner Unkenntnis reflexartig nach vermeintlich sicheren, technisch aber rückwärtsgewandten Lösungen sucht. Denn die gute Nachricht ist, wer bisher schon den Datenschutz ernst genommen hat, seine Datenverarbeitungsprozesse ordentlich dokumentiert und einen Datenschutzbeauftragten bestellt hat, muss sich vor der DSGVO nicht fürchten.

Gibt es bald Subdienstleister?

Jedes Unternehmen muss sich spätestens jetzt im Klaren darüber werden, wo sich welche Daten wann im Unternehmen befinden. Handelt es sich zum Beispiel um Kundendaten, sind diese personenbezogen, also können dadurch natürliche lebende Personen identifiziert werden. Wo und wie werden sie erhoben und gespeichert, werden eventuell Subdienstleister hierfür eingesetzt? Denn nach Art. 30 DS-GVO ist das datenverarbeitende Unternehmen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dies kann Mitarbeiterdaten betreffen, aber auch Informationen über Kunden oder Interessenten, zum Beispiel in einem CRM System.

Transparent über die werbliche Nutzung informieren

Werden personenbezogene Daten für Werbung verarbeitet muss auch geklärt werden, welche Rechtfertigung der Werbetreibende hierfür besitzt. Zum einen kann natürlich die direkte Einwilligung des Betroffenen eingeholt werden. Diese Einwilligung muss freiwillig, informiert, für einen bestimmten Zweck, unmissverständlich und in verständlicher Sprache eingeholt und nachweisbar gespeichert werden. Möglich ist dies zum Beispiel durch Checkboxen mit klaren Hinweistexten, welche etwa ein Interessent aktiv anklicken muss. Neu ist die Regelung der Werbung nach Interessenabwägung. Nach Art. 6 Abs. 1 lit. F DSGVO kann nun die Datenverarbeitung zu Werbezwecken auch ohne explizite Einwilligung rechtmäßig sein, wenn eine Interessenabwägung zwischen dem Schutzinteresse des Betroffenen und dem Werbeinteresse des Werbetreibenden ergibt, dass bei vernünftiger Erwartung der betroffenen Person eine Datenverarbeitung rechtmäßig ist. Dies wäre zum Beispiel dann der Fall, wenn der Werbetreibenden seine Kunden transparent über die werbliche Nutzung der Daten informiert, ihnen die Möglichkeit zum Widerspruch gibt und die Daten in einer angemessenen, nachvollziehbaren Weise nutzt. Dabei darf allerdings nicht vergessen werden, dass die Kundenansprache, etwa via E-Mail, noch weiteren Voraussetzungen zur direkten Einwilligung unterliegt. Momentan wird das durch § 7 UWG geregelt, bald jedoch durch die ePrivacy-Verordnung europaweit einheitlich.

In Halle 8 am Stand D048/C049 lädt der Digital-Spezialist Tobias Günther auf der dmexco mit seinem Portfolio zur digital Challenge ein, bei der Marketer unterhaltsam ihr Digitalwissen überprüfen können und zum Marketing-Unicorn gekrönt werden können.

Zum Autor: Tobias Günther, Rechtsanwalt, berät praxisorientiert im IT-Sektor, speziell im Datenschutzrecht, Senior Legal Counsel und Datenschutzbeauftragter von Mapp Digital. Das Unternehmen Mapp, einer der weltweit größten unabhängigen Anbieter von Online Marketing, entstand aus der Teradata Marketing Cloud, deren Teilbereiche nach dem Verkauf an einen Investor Mitte 2016 ausgegliedert wurden.