DSGVO

Die Allgemeine Datenschutzverordnung, kurz GDPR, ist eine Verordnung über die Verarbeitung und den Schutz von personenbezogenen Daten in der Europäischen Union. Sie gilt seit dem 25. Mai 2018 - quer durch alle Branchen und Institutionen. In diesem Artikel erfahren Sie, was Sie wirklich wissen müssen, wenn sich Ihr Unternehmen noch nicht mit dem Thema GDPR beschäftigt hat. Gleichzeitig verraten wir Ihnen, wie Sie die Einhaltung der GDPR-Richtlinien zu Ihrem Vorteil nutzen können.

Table of Contents

DSGVO – was müssen Sie wirklich wissen?

Im Prinzip sind alle Unternehmen, die ihren Sitz in der Europäischen Union (EU) haben oder Kunden aus der EU bedienen oder beliefern, von der Datenschutz-Grundverordnung betroffen. Die EU-Datenschutzgrundverordnung ersetzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aus dem Jahr 1995. Die sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind ein wesentlicher Bestandteil der Datenschutz-Grundverordnung:

  1. Einverständnis: Jedes Unternehmen benötigt die Zustimmung des Kunden oder Teilnehmers zur Speicherung seiner Daten. Der Versand von E-Mails ohne ausdrückliche Zustimmung verstößt daher gegen die EU-Datenschutzrichtlinie.
  2. Vertragserfüllung: Es ist notwendig, einen Vertrag mit dem Kunden zu schließen, in dem er der Datenverarbeitung zustimmt. Für bestehende Kunden muss eine aktualisierte Zustimmung des Kunden eingeholt werden.
  3. Erfüllung einer gesetzlichen Verpflichtung: Es gibt auch Daten, die ohne ausdrückliche Zustimmung verarbeitet werden müssen, weil sie gesetzlich vorgeschrieben sind. Dazu gehören z. B. Beschäftigungsnachweise, Unterlagen zum Arbeitsschutz oder Unfallberichte.
  4. Wichtige Interessen: Betrifft nur Unternehmen wie Notdienste, die eine Patientenliste erhalten und daher keine schriftliche Einwilligung benötigen.
  5. Öffentliches Interesse: Diese Rechtsgrundlage umfasst behördliche Interessen, z. B. von Finanzämtern, oder auch von Parteien. Auch hier besteht aufgrund des öffentlichen Interesses keine Verpflichtung zur Einwilligung.
  6. Berechtigtes Interesse: Diese Rechtsgrundlage ist wahrscheinlich die am wenigsten klare. So gibt es beispielsweise bestimmte, wenn auch vage, Szenarien, in denen Daten ohne Zustimmung verarbeitet werden können. Dazu können zum Beispiel Kunden- oder Dienstleistungsbeziehungen oder Verfahren zur Betrugsbekämpfung gehören. Im Zweifelsfall sollte bei der Anwendung dieser Rechtsgrundlage zunächst ein Rechtsanwalt konsultiert werden.

Mit diesen Rechtsgrundlagen wollen die EU-Datenschützer das unnötige Sammeln von Kundendaten eindämmen und Rechtssicherheit für all jene schaffen, die Daten auch ohne Einwilligung verarbeiten dürfen. Im Umkehrschluss heißt das: Nur wenn die Daten wirklich wichtig sind, zum Beispiel um das Erlebnis eines Online-Angebots voll nutzen zu können oder um eine Abrechnung durchführen zu können, lohnt es sich, diese Daten zu sammeln.

Aber auch diese Daten dürfen vom Unternehmen nur auf rechtlich einwandfreie Weise beschafft werden. Das heißt, sie benötigen die Zustimmung des Kunden oder Interessenten. Dies kann z. B. durch ein Anmeldeformular mit doppelter Zustimmung und einem Hinweis auf die Datenschutzbestimmungen des Unternehmens geschehen.

Ob auch die Datenschutzbestimmungen des Unternehmens angepasst werden müssen, hängt von dem Angebot und den gewonnenen Daten ab. In jedem Fall sollte sich jedes Unternehmen, sofern noch nicht geschehen, einer DSGVO-Prüfung unterziehen. Hier können Anwälte helfen, aber auch viele Online-Agenturen, die sich oft Know-how zu diesem Thema angeeignet haben, aber natürlich nicht für die rechtliche Korrektheit garantieren können.

DSGVO und die Abonnementwirtschaft

Digitale Abonnementangebote sind von der Datenschutz-Grundverordnung besonders betroffen. Die Gründe dafür liegen auf der Hand: Für ein einwandfreies Nutzererlebnis benötigt das Abonnementunternehmen Daten wie E-Mail-Adresse, Name, Postanschrift und sogar Zahlungsdaten für die Kaufabwicklung. Für all diese Daten benötigt das Unternehmen eine Einwilligung – nicht nur vom Kunden, sondern auch vom Interessenten, der sich z. B. lediglich über die Website in den Newsletter-Verteiler eingetragen hat.

Im Einzelnen benötigen Sie die Zustimmung zur Verwendung personenbezogener Daten für die folgenden Szenarien:

  • Bestehende Kunden (Käufer): Es wird davon ausgegangen, dass die Zustimmung gegeben ist, aber bestehende Verträge sollten überprüft werden.
  • Ehemalige Kunden: Unternehmen sind nicht mehr berechtigt, die Daten ehemaliger Kunden zu speichern – es sei denn, sie haben ihre Zustimmung gegeben.
  • Aktive E-Mail-Abonnenten ohne überprüfbare Zustimmung: Die Unternehmen müssen nachweisen, dass der Newsletter-Verteiler den Empfängern einen Mehrwert bietet. Andernfalls müssen sie sie löschen.
  • Inaktiv E-Mail-Teilnehmer: Diese Daten müssen gelöscht werden.
  • Neukunden/E-Mail-Abonnenten: Um gegenüber den Datenschutzbehörden nachweisen zu können, dass eine Einwilligung erteilt wurde, sollte der Wortlaut der Einwilligungserklärung auch für jeden Kunden gespeichert werden. Nur eine Excel-Liste mit Kundendaten mit der beispielhaften Überschrift „Zugelassene Kunden“ ist hier nicht ausreichend.

Darüber hinaus müssen die Unternehmen auch aktualisierte Verträge mit Arbeitnehmern, Agenturen und anderen Lieferanten abschließen. Das neue Datenschutzgesetz unterscheidet zwischen dem für die Datenverarbeitung Verantwortlichen (in der Regel das Unternehmen, das die Daten benötigt) und dem Auftragsverarbeiter (in der Regel ein Angestellter oder eine Agentur, die im Auftrag des Unternehmens handelt).

DSGVO – die wichtigsten Aufgaben auf einen Blick

Auf den ersten Blick sieht das neue Datenschutzgesetz mehr Pflichten als Rechte vor. Schließlich bedeutet die Einhaltung der DSGVO eine Menge Hausaufgaben für das Unternehmen:

  • Welche Kundendaten werden erhoben?
  • Welche Kundendaten werden wirklich benötigt (Stichwort Proportionalität)
  • Führen Sie ein Auftragsverarbeitungsverzeichnis, um nachweisen zu können, wer in Ihrem Unternehmen und darüber hinaus Zugriff auf welche Kundendaten hat?
  • Wie werden die Daten gesichert (werden z. B. geschäftliche Daten auf privaten Smartphones verwendet)?
  • Muss die Zustimmung zum Datenschutz aktualisiert werden? (z.B. Anmelde- und Kontaktformulare)
  • Sind alle Online- und Offline-Datenquellen DSGVO-konform?
  • Gibt es einen Datenschutzhinweis auf der Website?
  • Der Nutzer muss die Möglichkeit haben, dem Erhalt von Werbung zu widersprechen
  • Dem Nutzer muss ein Recht auf Vergessenwerden eingeräumt werden. Wie schnell kann das Unternehmen also einen Löschungsantrag umsetzen?
  • Sind die Datenschutzrichtlinien auf dem neuesten Stand?

Dies sind nur die wichtigsten Beispiele für Maßnahmen, die notwendig sind, um ein DSGVO-konformes Angebot zu betreiben.

Die DSGVO als Wettbewerbsvorteil nutzen

Ein europäisches Abonnementunternehmen, und nicht nur diese, steht oft in direktem Wettbewerb mit amerikanischen oder asiatischen Unternehmen. Ähnlich wie das Siegel „Made in Germany“ kann der europäische Datenschutz durchaus als Wettbewerbsvorteil genutzt werden. Schließlich wurde die Allgemeine Datenschutzverordnung in erster Linie unter dem Gesichtspunkt der Kundenfreundlichkeit entwickelt. Unternehmen, die mit der DSGVO werben, werden daher von den Nutzern als besonders sicher und vertrauenswürdig angesehen.

Jedes Unternehmen muss jedoch am Ball bleiben und die DSGVO als einen dynamischen Prozess verstehen. Für 2019 werden weitere Maßnahmen zur Optimierung des Datenschutzrechts ergriffen. An erster Stelle steht die so genannte ePrivacy-Verordnung, kurz ePV. Ihr Inhalt ist noch nicht endgültig festgelegt, aber sie gilt als die nächste Stufe der Datenschutz-Grundverordnung. Alle Online-Anbieter wie Websites, Online-Tracking-Tools oder Angebote, die elektronisches Direktmarketing betreiben, einschließlich Newsletter- und Abonnement-Anbieter, sind davon betroffen.