Inxmail Blog

20 Jahre Inxmail

Blog-Dreiteiler über wichtige Änderungen durch die EU-Datenschutz-Grundverordnung (DSGVO) für Online-Marketer

  • 27.10.2016 von Frank Stiegler (Gastautor)
  • Rubrik: Fachwissen

Sie war jahrelang angekündigt worden, und es wirkte phasenweise, als könne die EU sich doch nicht auf eine finale Fassung einigen. Rund 4.000 Änderungsanträge waren beim damals letzten Entwurf der DSGVO (Verordnung 2016/679/EU) Mitte 2013 zu diskutieren gewesen, und da war der erste Vorschlag einer europaweit einheitlichen Datenschutzverordnung schon eineinhalb Jahre alt, der Gedanke schon deutlich älter. Am 14. April 2016 wurde sie schließlich verabschiedet, trat am 25. Mai 2016 in Kraft und wird nun mit[nbsp]zweijähriger Übergangsfrist am 25. Mai 2018 wirksam. Bis dahin haben Unternehmen Zeit, sich auf das neue kommende Recht einzustellen.

Aber welches Recht gilt denn unter der DSGVO und bis dahin überhaupt, und was müssen insbesondere Online-Marketer beachten? Wofür brauchen sie zukünftig eine Einwilligung und wofür nicht (mehr)? Welche Hinweise sind zukünftig notwendig, und wie gehen vor allem Online-Marketer mit Betroffenenrechte in[nbsp]einem System und dem System selbst um, das einerseits privacy by default erfordert, aber tracking by default vorsieht?

In diesem Blog-Dreiteiler beschreibt RA Frank Stiegler eine Reihe von Konsequenzen der DSGVO für Online-Marketer, die sich auf die kommenden Änderungen der Rechtslage einstellen wollen. Es geht darin nicht darum, die Verordnung zu kritisieren, sondern Praxishilfen zur Beachtung der Verordnung zu geben.

In Teil 2 erfahren Sie, wofür Sie im Online-Marketing zukünftig Einwilligungen brauchen. Im dritten Teil der Serie erfahren Sie, welche Betroffenenrechte Online-Marketer beachten müssen.

Fünf Änderungen der EU-Datenschutzgrundverordnung (DSGVO),die Sie als Online-Marketer kennen müssen

Einführung: Welches Recht gilt zukünftig in der EU und in Deutschland? Die DSGVO (Verordnung 2016/679/EU) bringt eine Reihe von Veränderungen für das deutsche und das[nbsp]europäische Datenschutzrecht. War Letzteres bisher vor allem in einer Richtlinie geregelt (nämlich der Datenschutzrichtlinie 95/46/EG), tritt an ihre Stelle am 25. Mai 2018 (dieses Datum sollten Sie sich als Online-Marketer im Kalender fett markieren!) nun die DSGVO. Die bisherige EU Datenschutzrichtlinie fällt also damit weg, und noch etwas ändert sich: Da die DSGVO eine Verordnung ist, muss sie zur unmittelbaren Wirksamkeit gegenüber Unternehmen im Vergleich zur bisherigen Datenschutzrichtlinie nicht mehr von allen EU-Mitgliedstaaten in nationales Recht geschrieben werden, sondern gilt unmittelbar.

Das deutsche Bundesdatenschutzgesetz (BDSG) erleidet ein ähnliches, aber doch etwas anderes Schicksal als die bisherige Datenschutzrichtlinie. Es „kann offensichtlich irgendwie nicht bleiben“, wie es ist (obwohl das streng genommen zwar möglich, aber wahrscheinlich für viele sehr verwirrend wäre). Was genau damit passiert, ist noch nicht klar, aber alles deutet darauf hin, dass es entweder um alle Inhalte reduziert wird, die in der DSGVO geregelt sind, oder seine Inhalte der DSGVO angeglichen werden. Wäre das nicht so, hätten wir – was immer wieder vereinzelt passiert – die merkwürdige Situation, dass für deutsche Unternehmen zwar vorrangig deutsches Recht gilt, aber im Kollisionsfall höherrangiges EU-Recht angewendet wird. Möglich, aber wie gesagt verwirrend.

Das BDSG wird allerdings auch nicht, wie man annehmen mag, „zugeklappt und weggelegt“; denn das BDSG und die DSGVO sind nicht genau deckungsgleich. Die DSGVO lässt an verschiedenen Stellen Raum für nationale Regelung, so etwa bei den Bestimmungen, wann Unternehmen einen Datenschutzbeauftragten bestellen müssen oder welche Strafen im Land bei Datenschutzverstößen verhängt werden können.

Um das BDSG der DSGVO anzupassen, wurde am 5. August 2016 der erste Referentenentwurf des so[nbsp]genannten Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU) des Bundesministeriums des Inneren von netzpolitik.org veröffentlicht, der Änderungen des BDSG zur Umsetzung der durch die DSGVO notwendigen Änderungen vorschlug. Ohne auf die konkreten Änderungen einzugehen, kann man sagen, dass der Entwurf jedenfalls beim früheren Bundesdatenschutzbeauftragten Dr. Peter Schaar auf wenig Gegenliebe stieß, vor allem weil Verbraucher- und Betroffenenrechte weitgehend umgangen würden und der Entwurf „handwerklich schlecht gemacht“ und „europarechtswidrig“ sei (Artikel vom 7. Oktober 2016 auf heise).

Es bleibt abzuwarten, was der deutsche Gesetzgeber aus dem BDSG macht. Da die DSGVO aber wie gesagt unmittelbar angewendet wird, sind schon jetzt diverse Änderungen absehbar.

Änderungen für Online-Marketer im Überblick

Auch Sie als Online-Marketer müssen für Ihre Arbeit allerlei Veränderungen durch die DSGVO kennen. Dieser Blog-Dreiteiler kann keine umfassende Fortbildung ersetzen, aber auf ein paar Veränderungen hinweisen, die Sie auf jeden Fall kennen sollten.

1. Bußgelder steigen (Art. 83 DSGVO)

Sie haben es vielleicht schon gelesen oder gehört, aber da es ein erhebliches wirtschaftliches Risiko darstellt, kann man es nicht oft und deutlich genug sagen: Die Bußgelder bei Datenschutzverstößen werden drastisch erhöht. Zukünftig kann ein Bußgeld – abhängig vom Verstoß, und es ist die Maximalhöhe, aber immerhin – statt maximal 50.000 bzw. 300.000 € (§ 43 Abs. 3 BDSG) nunmehr nach Art. 83 Abs. 4, 5 DSGVO bis zu 10 Mio.€ oder 2 % des weltweiten Jahresumsatzes oder bzw. 20 Mio. € oder 4 % des weltweiten Jahresumsatzesbetragen, je nach dem, welcher Betrag jeweils höher ist.

2. Meldepflicht bei Datenschutzverstößen innerhalb von 72 Stunden (Art. 33 DSGVO)

Wenn Unternehmen zukünftig Datenschutzverletzungen bekannt werden, müssen sie die jeweilige Verletzung unverzüglich (also ohne so genanntes „schuldhaftes Zögern“), aber jedenfalls innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden und hierbei neben einer möglichst konkreten Beschreibung der Verletzung und betroffenen Daten die wahrscheinlichen Folgen der Verletzung und einen Vorschlag zur Behebung und nach Möglichkeit Abmilderung der Verletzung übermitteln. Ohne hierauf im Detail eingehen zu wollen, lässt sich vor allem in großen Unternehmen fragen, wie die für eine solche Meldung nötigen Informationen überhaupt in der genannten Zeit ermittelbar sein sollen, geschweige denn, ob in der hier genannten Meldepflicht nicht auch eine Umkehrung des jedenfalls in Deutschland geltendes Verbotes der strafrechtlichen Selbstbelastungspflicht liegen kann. Vermutlich wird wie so oft ein „Mittelweg“ gefunden werden müssen.

3. „Personenbeziehbar“ wird „identifizierbar“

Ein Kernthema, wenn nicht das inhaltliche Kernthema im Online-Marketing wird eine Veränderung sein, deren Konsequenzen man beim ersten Lesen der DSGVO leicht übersieht: „personenbeziehbar“ wird zu „identifizierbar“, und hierzu wird eine Wiedererkennbarkeit z. B. über eine „Online-Kennung“ ausreichen. Was zunächst nur nach einer Änderung eines Begriffes aussieht, ist in Wahrheit die Einführung oder jedenfalls Bekräftigung einer Interessenabwägung, wie sie im deutschen Datenschutz aktuell nicht gemacht wird. Diese Abwägung wird in Teil 2 dieses Blog-Dreiteilers behandelt

4. Hinweispflichten ändern und mehren sich

Als wären die nach aktueller Rechtslage für Sie als Online-Marketer (also Website-Betreiber, E-Commerce- Unternehmen und Betreiber sonstiger Web-Präsenzen, inkl. Social Media-Präsenzen) vor allem nach § 13 TMG erforderlichen Hinweise nicht schon umfangreich genug, sieht die DSGVO in den Art. 12 ff. eine Reihe neuer bzw. anderer Hinweispflichten vor, zu denen u. a. zählen (Checkliste):

  • Zukünftig müssen Sie Betroffene sowohl bei der Erhebung personenbezogener Daten wie auch pseudonymer Daten nicht nur auf ihr Widerrufs-/Widerspruchsrecht (ihrer Einwilligungen)hinweisen, sondern auch darauf, dass der Widerruf vergangene Datenerhebungen und –bestände nicht berührt, und der Widerruf darf auch nicht komplizierter sein als die Erklärung der Einwilligung (Art. 7 Abs. 3 S. 2, 3 DSGVO).
  • Zukünftig müssen Sie, wenn eine Einwilligung zusammen mit anderen Aspekten behandelt wird, die Einwilligung optisch deutlich vom Rest trennen, und die Einwilligung muss in verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache formuliert sein (Art. 7 Abs. 2 S. 1 DSGVO).
  • Sie müssen die Zwecke, für die die personenbezogenen Daten des Betroffenen verarbeitet werden sollen, und deren Rechtsgrundlage (gesetzlich oder Einwilligung) nennen.
  • Wenn Sie Daten notwendigerweise „zur Wahrung berechtigter Interessen“ nutzen (Art. 6 Abs. 1 lit. F DSGVO), müssen Sie Ihre berechtigten Interessen (z. B. Direktmarketing, und ja, das ist nach Erwägungsgrund 47 S. 7 DSGVO ein berechtigtes Interesse werbetreibender Unternehmen!) nennen.
  • Wenn Sie Daten an Dritte geben, müssen Sie diese Dritten nennen.
  • Wenn Sie Daten in ein Drittland übermitteln möchten, müssen Sie hierüber aufklären und nennen, ob es in diesem Drittland ein dem EU-Niveau entsprechend angemessenes Datenschutzniveau gibt (genauer: ob es einen entsprechenden Angemessenheitsbeschluss der EU-Kommission oder vergleichbare Garantien gibt) oder nicht (Art. 13 Abs. 1 lit. f DSGVO).
  • Sie müssen darauf hinweisen, wie lang Sie personenbezogene Daten speichern von welchem Kriterien die Speicherdauer abhängt (Art. 13 Abs. 2 lit. a DSGVO).
  • Sie müssen Betroffene über ihre Rechte aufklären, z. B. über ihr Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung (Art. 13 Abs. 2 lit. b DSGVO), außerdem darüber, dass sie ein Beschwerderecht bei der Datenschutzaufsichtsbehörde haben (Art. 13 Abs. 2 lit. d DGSVO).
  • Wenn Sie personenbezogene Daten zur Erfüllung eines Vertrages oder einer gesetzlichen Verpflichtung vom Betroffenen benötigen, müssen Sie den Betroffenen darüber informieren, ob (und woraus) er zur Bereitstellung verpflichtet ist, und welche Folgen die Nichtbereitstellung dieser Daten hat (Art. 13 Abs. 2 lit. e DSGVO).
  • Wenn Sie Scoring/Profiling einsetzen, das automatisiert für den Betroffenen eine „reale“ Konsequenz hat (die also z. B. über personalisiert angezeigte Online-Werbung hinaus geht), müssen Sie ihn über die involvierte Profiling-Logik und Auswirkungen dieses Prozesses informieren (Art. 13 Abs. 2 lit. f DSGVO).

Die letzten vier aufgezählten Hinweise müssen Sie dem Betroffenen auch dann geben, wenn und bevor Sie seine personenbezogenen Daten für einen anderen Zweck als für den verarbeiten wollen, für den Sie sie erhoben haben, also auch bei Zweckänderung.

Diejenigen von Ihnen, die Daten nicht beim Betroffenen direkt, sondern über ihn bei einem Dritten erheben, beachten bitte: Sie müssen Angaben dazu machen, woher die personenbezogenen Daten stammen (also ob von einem Dritten oder z. B. aus öffentlich zugänglichen Quellen). Diese Hinweise müssen Sie innerhalb „angemessener Frist“ geben, spätestens einen Monat nach Erhebung, aber wenn Sie diese Daten für Kommunikation mit dem Betroffenen nutzen, spätestens zum Zeitpunkt der ersten Mitteilung an ihn. Nur ausnahmsweise müssen Sie diese zuletzt gegebenen Hinweise nicht geben, wenn der Hinweis unmöglich oder unverhältnismäßig aufwändig ist.

Achtung bitte: Hier sind Hinweise aufgeführt, die Sie geben müssen. Ob Sie jeweils für einepersonenbezogene Datenverarbeitung eine Einwilligung benötigen, ist nicht Gegenstand dieses Artikels, sondern wird in Teil 2 dieses Blog-Dreiteilers behandelt.

Handlungsempfehlung für Online-Marketer

  • Prüfen Sie, welche Daten Sie vor allem online erheben und verarbeiten und ob Sie derzeit alle nach der DSGVO notwendigen Hinweise geben!
  • Erstellen Sie gegebenenfalls einen Maßnahmenkatalog, der es Ihnen erlaubt, schon Anfang Mai 2018 (damit Sie vier Wochen Puffer für Unvorhergesehenes haben) auf Knopfdruck Datenschutzerklärungen umstellen zu können!

Sie sehen also: Die DSGVO bringt neue Herausforderungen ins Online-Marketing und ringt Ihnen als Online-Marketern eine Reihe von Maßnahmen ab. Sollten Sie Hilfe hierbei wünschen, steht Ihnen RA Stiegler gern zur Verfügung. Kontaktdaten finden Sie unter www.stiegler-legal.com.

Weitere Beiträge der Serie

Das Webinar zum Artikel

Über den Autor

Frank Stiegler (Gastautor)

Frank Stieglers Kanzlei Stiegler Legal ist auf Recht in IT und neuen Medien inkl. Gewerblichem Rechtsschutz und Datenschutz ausgerichtet. Die Kanzlei unterstützt und vertritt hauptsächlich Unternehmen im Hard- und Software-Bereich, E-Commerce-Händler, Agenturen und Berater, vom Einzelunternehmer bis zum Großkonzern. Frank Stiegler arbeitet auf Deutsch und Englisch und gibt von Herzen gern Seminare und Workshops.

Zur Übersicht

Wissen

Ob Studien, Whitepaper, Webinare oder Case Studies – hier haben wir noch mehr E-Mail-Marketing-Wissen für Sie zusammengestellt:

Produkte & Services

Sie interessieren sich für unsere leistungsstarken Produkte oder unsere Services? Hier erfahren Sie mehr:

Inxmail Newsletter

Bleiben Sie mit unserem Newsletter auf dem Laufenden: Melden Sie sich gleich an und bekommen Sie Neuigkeiten rund ums E-Mail-Marketing direkt in Ihr Postfach.

Jetzt anmelden