Absatzwirtschaft
Datenschutz / EU-Verordnung / IT-Sicherheit

EU-Datenschutz: Was sich für Unternehmen ändert

Mit der Zustimmung von Rat und Parlament am Donnerstag hat das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO), die letzte Hürde genommen. Welche Änderungen auf Unternehmen im Bereich Marketing und Vertrieb zukommen, erklärt der IT-Sicherheitsexperte Niels Lepperhoff.

Von Gastautor Dr. Niels Lepperhoff, Geschäftsführer Xamit Bewertungsgesellschaft mbH

Nach einer zweijährigen Übergangsfrist wird die Datenschutz-Grundverordnung das bestehende Datenschutzrecht voraussichtlich im Mai 2018 fast vollständig ablösen. Zu diesem Zeitpunkt müssen alle Aktivitäten, Prozesse und Verträge dem neuen Recht genügen, da keine Altfallregelung existiert.

Folgende Beispiele zeigen, wie tiefgreifend die Änderungen sind, die auf Unternehmen im Bereich Marketing und Vertrieb zukommen:

1. Unschuldsbeweis

Die mit Abstand weitreichendste Änderung dürfte die Umkehr der Beweislast sein. Verstöße gegen den Datenschutz müssen nicht länger von der zuständigen Behörde nachgewiesen werden. Unternehmen müssen vielmehr belegen, dass sie die Regeln einhalten. Wurde gegen datenschutzrechtliche Regeln verstoßen, drohen Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes.

2. Umfassende Dokumentationspflichten

Unternehmen müssen mehr denn je dokumentieren, warum personenbezogene Daten verarbeitet werden dürfen, wie die Verarbeitung stattfindet und welche Sicherheitsmaßnahmen eingesetzt werden, um die Daten zu schützen. Die Herausforderung liegt hierbei im Aufbau eines Dokumentationssystems. Datenschutzaufsichtsbehörden können die Dokumentation einsehen.

3. Abschied vom Listenprivileg

Die dritte weitreichende Änderung ist die Abschaffung der Spezialvorschriften für die Werbewirtschaft, die unter anderem die Weitergabe von Adressen oder die werbliche Ansprache von Kunden grundsätzlich erlaubten. Zukünftig liegt die Herausforderung darin, eine gesetzliche Erlaubnis zu finden oder auf Einwilligungen auszuweichen. Welche Lösung sich anbietet, hängt vom Einzelfall ab. Deshalb ist es ratsam, die eigenen Werbeaktivitäten zu erheben und sie daraufhin zu bewerten, ob und inwieweit sie zukünftig noch zulässig sein werden.

Da sich jedoch auch die Anforderungen an eine Einwilligung verändern, empfiehlt es sich, alle Einwilligungstexte, die über den Mai 2018 hinaus verwendet werden sollen, bereits heute auf die DS-GVO auszurichten.

4. Mehr Transparenz nach außen – Informationspflichten

Zukünftig müssen Unternehmen ihre Kunden und Nutzer wesentlich umfangreicher und häufiger als heute darüber informieren, dass ihre Daten verarbeitet werden. Dies gilt auch, wenn Daten von Dritten geliefert werden – durch Adresshandel oder bei einer Bonitätsprüfung. Informationspflichtig sind dabei:

  • alle Zwecke der Datenverarbeitung,
  • die gesetzliche Legitimation für die Datenverarbeitung,
  • die Empfänger der Daten,
  • die Speicherfrist oder Kriterien um die Frist zu bestimmen,
  • die Rechte auf Auskunft, Löschung usw. und
  • das Beschwerderecht bei der Datenschutzaufsichtsbehörde.

Auch wenn Bestandsdaten für neue Zwecke verarbeitet werden, lebt die Informationspflicht wieder auf. Wer seine Kundenadressen für ein Mailing nutzen will, muss regelmäßig die betroffenen Kunden spätestens vor der Datenselektion und dem Mailingversand informieren. Der Kunde würde deshalb zwei Briefe nacheinander erhalten: die Information und das eigentliche Mailing. Um Verbraucher nicht unnötig zu verwirren, müssen Unternehmen die Umsetzung der Informationspflicht sorgfältig planen.

5. Alle Unternehmen müssen ihre Prozesse anpassen

Die zweijährige Übergangsfrist sollte genutzt werden, um etwa Geschäftsmodelle, Prozesse und Verträge an das neue Recht anzupassen. Andernfalls laufen Geschäftsführer und Vorstände Gefahr, persönlich zu haften. Die höhere Transparenz nach außen erleichtert es Verbraucherschützern und Wettbewerbern, gegen unzulässige Aktionen vorzugehen. Wie hoch der Umstellungsaufwand sein wird, hängt vom Unternehmen ab. Sicher ist, dass überall Anpassungsbedarf besteht.

Xamit - Dr. Niels LepperhoffÜber den Autor: Niels Lepperhoff ist Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH. Er verfügt über langjährige Erfahrung als externer Datenschutzbeauftragter und berät sowohl deutsche als auch internationale Unternehmen etwa bei der Einführung der Datenschutz-Grundverordnung. Daneben ist er Autor zahlreicher Beiträge zu Datenschutzthemen und Inhaber eines Lehrauftrags des Masterstudienganges „Medienrecht und Medienwirtschaft“ an der Technischen Hochschule Köln.

Datenschutz / EU-Verordnung / IT-Sicherheit