Challenge und Chance: die neue Datenschutz-Grundverordnung (DSGVO).
Ein Hinweis: Bitte beachten Sie, dass dieser Text keine rechtsverbindliche Auskunft darstellt und die Beratung durch einen Rechtsbeistand nicht ersetzen kann.In Deutschland gilt zurzeit eins der strengsten Datenschutzgesetze überhaupt. Das scheinbar Paradoxe: Laut der Unternehmensberatung Accenture zweifeln nirgendwo so viele Verbraucher an der Sicherheit ihrer Daten wie bei uns. Klar ist: Daten sind ein wertvolles Gut. Für den, der sie nutzen möchte, und für den, dem sie gehören. Sie sind eine Währung, deren Wert ständig steigt. Und für viele sind sie bares Geld.
Erfreulicherweise sind die Wege zu Geld zu kommen bei uns relativ klar geregelt. Wer es nach geltenden Spielregeln erwirbt, darf damit (fast) alles machen. Aus dem gleichen guten Grund gibt es schon seit längerem ein Reglement, was den Umgang mit personenbezogenen Daten im Marketing betrifft. Allerdings stammt die Grundlage dafür, die Datenschutz-Richtlinie 95/46/EG, aus den 1990er-Jahren – und damit aus einem fernen, wenig digitalisierten Jahrhundert. Mit der modernisierten Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt, soll der Datenschutz an eine veränderte Welt angepasst und „Betroffene“ europaweit noch besser geschützt werden.
Die neue ePrivacy-Verordnung dagegen, die speziell den Schutz des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation regeln soll (z.B. Stichwort Tracking), wird wohl nicht vor Herbst 2018 in Kraft treten. Ursprünglich sollte sie das gleichzeitig mit der DSGVO tun. Was die ePrivacy-Verordnung betrifft, sind aber viele Inhalte aus gutem Grund noch in der Diskussion, weshalb sie in diesem Artikel noch kein Thema sein soll.
Datenschutz made in Europe: gleiches Recht für alle.
Kurz gesagt: Die neue Datenschutz-Grundverordnung regelt die Verarbeitung personenbezogener Daten, und zwar einheitlich für alle EU-Mitgliedsstaaten. Konnten die verschiedenen Staaten die EU-Datenschutzrichtlinie bisher recht unterschiedlich handhaben, ist damit ab Mai 2018 weitgehend Schluss. Umgekehrt heißt das, dass jemand nicht für jedes EU-Land ein eigenes Rechtsgutachten braucht, wenn er einen Onlineshop europaweit betreiben möchte.
Die neue DSGVO, die im Dezember 2015 verabschiedet wurde, ist ab Mai 2018 direkt geltendes Recht, muss also nicht wie eine Richtlinie erst in nationales Recht umgesetzt werden. Jedes Unternehmen tut also gut daran, sich so früh wie möglich darauf einzustellen. Für den einen oder anderen gibt es sicher viel zu tun, Grund zur Panik besteht aber nicht. Zumal die DSGVO den Datenschutz auch nicht völlig neu erfindet.
Die Gesetzgeber haben der Verordnung einige Grundprinzipien der Verarbeitung personenbezogener Daten vorangestellt. An ihnen lassen sich ganz gut die Anliegen der neuen DSGVO ablesen: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Große Worte. Aber was sind nun die wichtigsten Inhalte der neuen Verordnung? Ohne zu sehr in die Details zu gehen, hier die marketingrelevanten Punkte im Überblick.
Die wichtigsten DSGVO-Inhalte für Marketer
- Ausdrückliche Einwilligung
Jeder Konsument muss durch eine „eindeutige bestätigende Handlung“ explizit sein Einverständnis zur Verarbeitung seiner personenbezogenen Daten Eine stillschweigende oder indirekte Zustimmung reicht künftig nicht mehr aus. Für elektronische Geräte wie zum Beispiel Mobiltelefone gibt es eine Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen. - Recht auf Vergessenwerden
Hat der Konsument einmal seine explizite Erlaubnis zum „Opt-in“ gegeben, muss er sie später mit geringem Aufwand auch wieder zurücknehmen können. Mehr noch: Er darf seine Daten nachweisbar löschen lassen. - Folgenabschätzung
Der nächste Punkt ist ausdrücklich Chefsache: Unternehmen müssen ihre Methoden und Zwecke der Datensammlung in einer eindeutig formulierten Folgenabschätzung niederlegen – speziell im Fall einer automatischen Datensammlung. Hier gilt es zu belegen, welche Risiken sich aus der Datenerfassung für Konsumenten ergeben und welche Maßnahmen Sie zu deren Schutz ergreifen. Die Ansage „Da soll sich mal die IT drum kümmern“ funktioniert diesmal nicht, denn verantwortlich ist die Unternehmensleitung. - Auskunftspflicht
Sollten Kunden Auskunft über die Art, die Verwendung und die Zuständigkeit ihrer persönlichen Daten verlangen, dann ist das Unternehmen verpflichtet, diese zu geben. Und das schnell und kostenfrei. Eine generelle Information über die Datenverarbeitung muss der Betroffene jedoch sofort bei Erhebung der Daten erhalten (z.B. beim Bestellen eines Newsletters). - Möglichkeit personalisierter Werbung
Gut für Marketer: Personalisierte Werbung wird als „berechtigtes Interesse“ zur Datensammlung betrachtet und ist daher per Gesetz erlaubt, wenn das Einverständnis des „Umworbenen“ eingeholt wurde. Sofern der Schutz personenbezogener Daten gewährleistet ist, dürfen also auch Nicht-Kunden offen angesprochen werden – zum Beispiel per Mailing. Selbst dann, wenn sie nicht in öffentlich zugänglichen Telefonverzeichnissen stehen. In Deutschland ist das Stand heute nicht gestattet. - Dokumentation
Es wird in Zukunft für Werbetreibende nicht mehr auseichen, die Grundprinzipien des Datenschutzes nur einzuhalten. Denn die neue europäische DSGVO verlangt, dass dies auch schriftlich belegbar ist. Gerade bei Mittelständlern wird der Dokumentationsaufwand also steigen.
Speziell für die Betreiber von Webseiten gilt künftig eine Fülle an Vorschriften, was die Website-Compliance betrifft. Auch wenn viele gesetzliche Pflichten zunächst bestehen bleiben, empfiehlt es sich zum Beispiel, die Datenschutzerklärung mit den erweiterten Vorgaben der neuen DSGVO abzugleichen.
Wer sich nicht an die Vorgaben der neuen DSGVO hält, für den kann es übrigens richtig teuer werden. Verstöße können künftig mit Bußgeldern in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes geahndet werden. Nur als Beispiel: Bei der Google-Mutter Alphabet wären das Stand 2016 etwa 3,6 Milliarden Euro.
Die neue DSGVO (auch) als Chance im Marketing.
Viele Unternehmen dürften die neue DSGVO mit gemischten Gefühlen sehen. Einerseits hat sie vieles einfacher und besser gemacht, andererseits gibt es Neuerungen, auf die sie sich einstellen müssen. Da sich aber die Grundprinzipien nicht ändern, ist wie gesagt Panik unnötig. Und gerade den deutschen Marketern beschert die Verordnung Möglichkeiten, die sie lange nicht hatten – nachweisbares Datenschutzmanagement vorausgesetzt.
Auch sonst gilt es, die neuen Regelungen nicht als Belastung, sondern als Chance zu sehen. Wer die DSGVO frühzeitig umsetzt, kann das zum Beispiel bei seinen Kunden positiv vermarkten. Wir beraten Sie gerne dazu und passen natürlich auch Ihre aktuelle Website schon jetzt der neuen DSGVO an. Sprechen Sie mit unseren Spezialisten.