Am 21. Oktober 2013 hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIEBE-Ausschuss) des Europäischen Parlaments über die geplante EU-Datenschutz-Grundverordnung abgestimmt. Die Abgeordneten haben dem vorab erarbeiteten Kompromissentwurf weitgehend zugestimmt und damit den Weg frei gemacht für weitere Verhandlungen mit dem Ministerrat der EU-Mitgliedsstaaten. Ziel der geplanten EU-Datenschutz-Grundverordnung ist es, eine europaweit einheitliche Rechtsgrundlage zum Datenschutz – unter anderem auch für die datenerhebende Industrie und somit auch für den digitalen Dialog mit Kunden – zu schaffen.
EU-weite Vereinheitlichung des Datenschutzes
Die EU-Datenschutz-Grundverordnung, als unmittelbar in jedem Mitgliedstaat der EU geltendes Recht, wird die gesetzliche Grundlage für den Datenschutz in der gesamten EU sein und damit die bisherigen nationalen Einzelregelungen in Bezug auf den Datenschutz ersetzen. Sobald Daten von EU-Bürgern erfasst und verarbeitet werden, wird dies ausschließlich EU-Recht unterfallen. Dabei ist es unerheblich, ob die datenverarbeitenden Unternehmen selbst einen Sitz in einem EU-Mitgliedstaat haben oder nicht. Das EU-Recht soll unter bestimmten Voraussetzungen auch für Unternehmen außerhalb der EU gelten, wenn diese Daten von EU-Bürgern verarbeiten (Artikel 3 des Entwurfs).
Die Datenschutz-Grundverordnung hat sich zum Ziel gesetzt, den Verbraucher vor der ungewollten Nutzung seiner personenbezogenen Daten zu schützen. Welche Daten als personenbezogen gelten, ist in Artikel 4 (2) des Entwurfs geregelt. „’personal data‘ means any information relating to an identified or identifiable natural person (‚data subject‘); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person“. Dies bedeutet konkret: Sobald ein vorliegendes Datum dazu geeignet ist, eine Person zu identifizieren, gilt dieses Datum als schutzwürdig im Sinne der Verordnung.
Explizite Zustimmung des Verbrauchers einholen
Der Entwurf der EU-Datenschutz-Grundverordnung sieht vor, dass Unternehmen personenbezogene Daten neben den in Artikel 6 des Entwurfs genannten allgemeinen Voraussetzungen (zum Beispiel zur Erfüllung von Verträgen oder rechtlichen Verpflichtungen) nur noch dann verarbeiten dürfen, wenn sie dafür eine explizite Zustimmung (Opt-In) des Nutzers erhalten. Explizit bedeutet dies, dass die Zustimmung frei durch den Nutzer erfolgen muss, nicht an sonstige Leistungen – zum Beispiel die Durchführung eines Kaufs – gekoppelt werden darf, die mit der eigentlichen Erhebung der Daten nicht im Zusammenhang stehen, und vom Nutzer aktiv gesetzt werden muss.
Letzteres bedeutet: Das Häkchen im Opt-In Formular darf nicht bereits vorausgewählt sein und die Zustimmung darf nicht bereits durch AGB des datenverarbeitenden Unternehmens fingiert werden. Ebenso soll die EU-Datenschutz-Grundverordnung europaweit den Grundsatz der Datensparsamkeit regeln: „(…) adequate, relevant, and limited to the minimum necessary in relation to the purposes for which they are processed; they shall only be processed if, and as long as, the purposes could not be fulfilled by processing information that does not involve personal data (data minimisation)“ (Artikel 5 c des Entwurfs). Unternehmen dürfen also nur so viele personenbezogene Daten eines Nutzers erheben, wie sie für den beabsichtigten Zweck unbedingt benötigen.
Beispielsweise dürften keine Konsumgewohnheiten verpflichtend abgefragt werden, wenn der Nutzer einen Newsletter abonnieren möchte. Vorsicht: In manchen Ländern gibt es Regelungen im nationalen Wettbewerbsrecht, beispielsweise die des UWG in Deutschland, die möglicherweise strengere Restriktionen vorsehen und neben der EU-Datenschutz-Grundverordnung anwendbar sind.
In Deutschland und einigen anderen EU-Mitgliedstaaten ist die Pflicht zum expliziten Opt-In bereits seit Jahren geltende Rechtslage. Es gibt jedoch Ausnahmen, in denen personenbezogene Daten auch ohne explizites Opt-In verarbeitet werden dürfen. Generell sind die Regelungen zur Einwilligungspflicht und möglichen Ausnahmen innerhalb der EU teilweise sehr unterschiedlich.
Einwilligung auf Basis von bestehenden Geschäftsbeziehungen
Die Datenschutz-Grundverordnung will Daten von natürlichen Personen schützen, so heißt es unter Erwägungsgrund Nr. 23 des Entwurfs: „The principles of data protection should apply to any information concerning an identified or identifiable natural person. To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used either by the controller or by any other person to identify or single out the individual directly or indirectly.“
Die Verordnung lässt damit Interpretationsspielraum für die Nutzung von beispielsweise einer allgemeinen oder funktionsbeschreibenden E-Mail-Adresse eines Unternehmens – zum Beispiel info@artegic.tld oder marketing@artegic.tld. Diese enthalten kein personenbezogenes Datum (der Firmenname wird ausdrücklich nicht geschützt, auch wenn er Namensbestandteil einer natürlichen Person ist) und somit wäre eine werbliche Anschrift auch ohne Opt-In möglich.
Weitergehende Restriktionen, die durch andere nationale Regelungen entstehen, wie zum Beispiel in Deutschland durch das UWG, bleiben von der EU-Datenschutz-Grundverordnung unberührt. Gemäß § 7 Abs. 2 Nr. 2 UWG bedarf der werbliche E-Mail-Versand in Deutschland einer vorherige, ausdrücklichen Einwilligung des Empfängers.
E-Mail-Werbung ist in Deutschland aber trotz Fehlens einer ausdrücklichen Einwilligungserklärung dann zulässig, wenn
- ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
- der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
- der Kunde der Verwendung nicht widersprochen hat und
- der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Weitergabe innerhalb von Konzernstrukturen
Viele datenverarbeitende Unternehmen sind in einer Konzernstruktur organisiert und bestehen aus einer Vielzahl von Tochterunternehmen, insbesondere international tätige Unternehmen. Für diese Unternehmen ist es oftmals notwendig, personenbezogene Daten innerhalb der Konzernstruktur an Tochterunternehmen weiterzugeben. Dies ist nach der geplanten EU-Datenschutzgrundverordnung auch ohne ausdrückliche Zustimmung des Betroffenen unter den Voraussetzungen des Artikels 22 (3a) zulässig: „The controller shall have the right to transmit personal data inside the Union within the group of undertakings the controller is part of, where such processing is necessary for legitimate internal administrative purposes between connected business areas of the group of undertakings and an adequate level of dataprotection as well as the interests of the data subjects are safeguarded by internal data protection provisions or equivalent codes of conduct as referred …“.
Unter „controller“ wiederum versteht man „… natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by Union law or Member State law, the controller or the specific criteria for his nomination may be designated by Union law or by Member State law“.
Im Einzelfall prüfen, wie der Zweck definiert ist
Handelt es sich beim Unternehmen, an das die Daten weitergegeben werden, also um ein mit der datenverarbeitenden Stelle verbundenes Unternehmen und ist die Weitergabe notwendig, um den Zweck zu erfüllen, zu dem die Daten erhoben wurden, ist keine separate Einwilligung zur Weitergabe notwendig. Es muss jedoch im Einzelfall exakt geprüft werden, wie der Zweck definiert ist, ob eine Weitergabe wirklich zur Zweckerfüllung dient und wer im Sinne der Datenschutz-Grundverordnung als „Controller“ fungieren kann. Da diese Regelung einen gewissen Handlungsspielraum zulässt, sollten Unternehmen, die rechtlich auf der sicheren Seite stehen möchten, jedoch stets eine explizite Zustimmung für die Weitergabe einholen.
Ein Opt-In ist in jedem Fall notwendig, wenn personenbezogene Daten an Dritte weitergegeben werden sollen, also beispielsweise an ein Partnerunternehmen, das nicht zum Konzernverbund gehört. „Dritte“ im Sinne der Datenschutz-Grundverordnung sind wie folgt definiert: „’third party‘ [Dritte] means any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data“ (Artikel 3 (7a) des Entwurfs).
Best Practice-Beispiel: UNO Flüchtlingshilfe
Die Pläne zur EU-Datenschutz-Grundverordnung haben bei vielen Unternehmen im Online Dialogmarketing zu Unsicherheit und Sorge um die Wettbewerbsfähigkeit geführt. Dass eine konsequente Umsetzung der EU-Datenschutzgrundverordnung auch ein Vorteil sein kann, hat zuletzt auch die UNO-Flüchtlingshilfe gezeigt, die zusammen mit Artegic die Privacy Admission Control Technologie in ihr Dialogmarketing integriert hat und dafür im Rahmen der MarketingSherpa Email Awards 2014 ausgezeichnet wurde. Privacy Admission Control ermöglicht dabei die rechtssichere Abbildung der Einwilligungen für unterschiedliche Permissions im Kundendialog auf Basis jedes einzelnen Nutzers.
(Artegic/asc)