Neue Datenschutz-Grundverordnung: Alles Wichtige auf einen Blick

Das Europäische Parlament, der Europäische Rat und die Europäische Kommission haben ein umfassendes neues Datenschutzgesetz eingeführt – die Datenschutz-Grundverordnung (DSGVO), international bezeichnet als General Data Protection Regulation (GDPR). Diese betrifft alle Organisationen auf der Welt, die Bürgern oder Einwohnern der Europäischen Union (EU) Waren oder Dienstleistungen anbieten oder deren Kundenverhalten überwachen – dabei ist es nicht von Bedeutung, wo sich der Standort oder Firmensitz des Unternehmens befindet, sondern einzig und allein, ob personenbezogene Daten verarbeitet und gespeichert werden. Den Bürgern und Einwohnern der EU soll das Gesetz die Kontrolle über ihre personenbezogenen Daten ermöglichen. Es wurde im April 2016 verabschiedet und wird am 25. Mai 2018 in Kraft treten. Für das Tagesgeschäft von Marketingspezialisten aus Unternehmen jeglicher Größenordnung, die EU-Bürger und -Einwohner adressieren oder mit deren Daten Profiling betreiben, wird das neue Gesetz mit signifikanten Änderungen verbunden sein, auf die sich Marketer besser heute als morgen vorbereiten. Wir sagen Ihnen, was sich in Zukunft ändert und worauf Sie besonders achten sollten.

Warum wurde die DSGVO zu einem Gesetz?

Die DSGVO ersetzt die EU-Datenschutzrichtlinie 95/46 / EG aus dem Jahr 1995. Sie harmonisiert die Datenschutzgesetze in ganz Europa, stärkt den Datenschutz der EU-Bürger, macht das Business für Organisationen innerhalb der Europäischen Union preiswerter und einfacher und regelt die Art und Weise, wie Organisationen in der gesamten Region Datenschutz handhaben. Die DSGVO umfasst die folgenden Bereiche: Einwilligung, Weiterverarbeitung ohne Einwilligung, Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten einschließlich Profiling, das Recht auf Löschung ("Recht auf Vergessenwerden"), Datenschutzverantwortliche, das Melden von Datenpannen, Bußgelder und die Zuständigkeitsbestimmungen der Aufsichtsbehörden.

Erweiterung der Definition “personenbezogener Daten"

Die Definition personenbezogener Daten wurde gegenüber der Richtlinie von 1995 erheblich erweitert. Sie enthält nun grundsätzlich alle Informationen, durch die eine Person direkt oder indirekt identifiziert werden kann. Dies schließt jegliches potenzielles Identifizierungsmerkmal ein, wie etwa den Namen, Standortdaten, die Identifikationsnummer oder auch Faktoren, die für die körperliche, mentale, genetische, physiologische, wirtschaftliche, kulturelle oder soziale Identität einer Person spezifisch sind. Online-Identifizierungsmerkmale wie zum Beispiel IP-Adressen, Cookies oder Tracking Pixel werden fortan als personenbezogene Daten angesehen.

Anforderungen an eine gesetzeskonforme Verbrauchereinwilligung sind hoch

Die Debatte über die Art der Verbrauchereinwilligung, die im Rahmen der DSGVO erforderlich ist, war einschneidend – vor allem für Marketingspezialisten. Das liegt daran, dass nun die Einwilligung einer Person freiwillig, individuell und fundiert sein und zudem eindeutig ihren Wünschen entsprechen muss – entweder durch eine Erklärung oder durch eine eindeutige Maßnahme, mit der der Verarbeitung personenbezogener Daten zugestimmt wird. Bei der Datensammlung müssen Organisationen einer Person außerdem transparent machen, wofür ihre Daten verwendet werden. Organisationen, die personenbezogene Daten von Kindern unter 16 Jahren verarbeiten, müssen die elterliche Zustimmung dazu einholen, es sei denn, das Recht des Mitgliedstaates sieht ein niedrigeres Alter vor, das nicht unter 13 Jahren liegt. Eine Person sollte jederzeit ihre Einwilligung widerrufen können – dies sollte genau so einfach sein wie eine Einwilligung zu geben.

Wie Pseudonymisierung hilft und wann Datenverarbeitung ohne Einwilligung geht

Mithilfe von Pseudonymisierung werden personenbezogene Daten derart umgewandelt, dass sie ohne zusätzliche Informationen keiner bestimmten Person zugeordnet werden können. Ein Beispiel hierfür ist die Verschlüsselung, die Daten für Dritte ohne Zugriff auf einen Dekodierungsschlüssel unverständlich macht. Pseudonymisierung wird empfohlen, um die Risiken für betroffene Personen zu verringern und Datenverantwortliche und -verarbeiter dabei zu unterstützen, ihre Datenschutzverpflichtungen zu erfüllen. Eine Verarbeitung ohne Einwilligung ist in solchen Fällen zulässig, wenn der Schutz der Rechte und Freiheiten von Einzelpersonen, die nationale Sicherheit, das allgemeine öffentliche Interesse sowie die Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten zu gewährleisten ist. Organisationen, die eine Datenverarbeitung ohne Einwilligung in Betracht ziehen, müssen mögliche Konsequenzen bei der Art der Daten sowie ihrer Verarbeitung bedenken und ob geeignete Sicherheitsmaßnahmen bestehen.

Datenschutzbeauftragte werden in vielen Fällen zur Pflicht

Organisationen, die Daten kontrollieren oder verarbeiten und deren Kerngeschäft darin besteht, personenbezogene Daten regelmäßig und systematisch zu überwachen oder besondere Kategorien personenbezogener Daten in großem Umfang zu verarbeiten wie z.B. solche, die politische Meinungen, rassische oder ethnische Herkunft sowie religiöse oder philosophische Überzeugungen veranschaulichen, müssen einen Datenschutzbeauftragten benennen. Alle anderen Organisationen, die personenbezogene Daten verarbeiten, müssen einen Datenschutzverantwortlichen benennen. Ein Datenschutzverantwortlicher muss über “Expertenwissen in Bezug auf Datenschutzgesetze und -praktiken" sowie über Zugriff auf das Personal und die Arbeitsprozesse im Bereich Datenverarbeitung verfügen. Er muss unabhängig bei der Erfüllung seiner Aufgaben sein und direkt an die oberste Führungsebene der Organisation berichten. Wenn keine Interessenskonflikte dadurch entstehen, kann er auch andere Aufgaben und Pflichten wahrnehmen und auch für mehrere Tochtergesellschaften tätig sein, sofern er für jede Gesellschaft einfach zu erreichen ist. Ein Datenschutzbeauftragter kann entweder ein Angestellter oder ein Dienstleister eines Drittanbieters sein und darf für die Ausführung seiner Aufgaben nicht bestraft oder entlassen werden.

Datenschutz fängt bereits beim Software-Design und bei Voreinstellungen an

Die DSGVO schreibt vor, dass der Datenschutz bei der Entwicklung neuer Produkte, Dienstleistungen oder Geschäftsprozesse berücksichtigt werden muss. Alle Voreinstellungen für den Benutzer müssen standardmäßig ein Höchstmaß an Datenschutz festlegen (d.h. Informationen werden nicht weitergegeben) und Datenverantwortliche müssen sicherstellen, dass die Datenverarbeitung während des gesamten Lebenszyklus mit der DSGVO übereinstimmt. Mechanismen müssen eingerichtet werden, die sicherstellen, dass personenbezogene Daten nur verarbeitet werden, wenn dies für einen spezifischen Zweck erforderlich ist. Verschlüsselungs- und Entschlüsselungsvorgänge müssen lokal statt ferngesteuert ausgeführt werden, sodass sowohl die Codes als auch die Daten beim Dateneigentümer verbleiben, um deren Datenschutz sicherzustellen. Ausgelagerte, entfernte Datenspeicher (in der Cloud) sind praktisch und relativ sicher, solange nur der Dateneigentümer die Dekodierungsschlüssel besitzt.

Personen haben ein Recht auf Datenübertragbarkeit

Die DSGVO stärkt und erweitert das Recht von Einzelpersonen, ihre Daten zu kontrollieren. Eine dieser Erweiterungen ist die Forderung nach Datenübertragbarkeit, die den Wettbewerb erhöhen und Anbieterwechsel reibungsloser machen soll. Der Grundsatz der Datenübertragbarkeit legt lediglich fest, dass eine Person das Recht hat, ihre personenbezogenen Daten von einer Organisation oder einem Unternehmen an eine andere zu übertragen. Dementsprechend müssen diese Daten in einem offenen Format bereitgestellt werden, das strukturiert, gängig und maschinenlesbar ist. Wenn es technisch machbar ist, müssen Organisationen auf Anfrage die Datenübertragung einer Person an eine andere Organisation erleichtern.

Was bei Datenpannen zu tun ist

Die DSGVO besagt, eine Verletzung des Schutzes personenbezogener Daten sei "ein Sicherheitsverstoß, der zur versehentlichen oder illegalen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt". Die Datenverantwortlichen müssen der zuständigen Aufsichtsbehörde unverzüglich eine Verletzung des Schutzes personenbezogener Daten melden. Dies sollte, wenn möglich, spätestens nach 72 Stunden erfolgen, wenn die Datenpanne einer gewissen Wahrscheinlichkeit nach zu einer Gefährdung der Rechte und Freiheiten einzelner Personen führt. (Wenn es unwahrscheinlich ist, dass die Datenpanne zu einem Risiko für die Rechte und Freiheiten von Einzelpersonen führt, ist keine Benachrichtigung erforderlich.) Die mutwillige Zerstörung oder Veränderung von Daten stellt dabei im Übrigen genau so einen Verstoß wie Diebstahl dar. Erfolgt innerhalb von 72 Stunden keine Benachrichtigung an die zuständige Behörde, muss der Verantwortliche eine "vernünftige Begründung" für die Verzögerung vorlegen. Zudem muss der Datenverantwortliche diese Datenpanne – wenn sie denn ein ernsthaftes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt – die betroffenen Personen “ohne unangemessene Verzögerung” darüber informieren.

Personen haben das Recht, gelöscht und vergessen zu werden

Datenverantwortliche müssen Personen darüber informieren, wie lange ihre Daten aufbewahrt werden und zu welchem Zweck. Personen haben das Recht, dass ihre personenbezogenen Daten unverzüglich gelöscht werden, wenn diese nicht mehr für den ursprünglichen Zweck benötigt werden, oder sie ihre Einwilligung widerrufen oder sie der Datenverarbeitung widersprechen. Wenn eine Organisation personenbezogene Daten weitergegeben hat, müssen die Datenverantwortlichen angemessene Schritte einleiten, um jede andere Organisation zu informieren, die die zu löschenden Daten verarbeitet.

DSGVO erfordert differenzierte Betrachtung beim Direktmarketing

Die Datenverarbeitung für "Direktmarketingzwecke" wird im Rahmen der DSGVO als berechtigtes Interesse angesehen. Eine solche Verarbeitung ist zulässig, wenn "die Verarbeitung im Hinblick auf die berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich ist, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, außer Kraft gesetzt, insbesondere wenn die betroffene Person ein Kind ist.

“Direktmarketing” wurde jedoch nicht im Rahmen der DSGVO definiert, so dass es sich lohnt, die genaue Art der beabsichtigten Marketingaktivität daraufhin zu überprüfen, ob sie unter diesen Grundsatz fällt oder nicht.

Peter Galdies, Director bei DataIQ, zur Frage, was zulässig ist:

"Das kann zum Beispiel heißen, dass ein einfacher Versand ähnlicher Waren und Dienstleistungen an bestehende Kunden und Interessenten ohne direkte Einwilligung völlig legitim ist - aber es umfasst sicherlich kein “Profiling "für Marketingzwecke, was eine Einwilligung erfordert."

Personen entscheiden beim Profiling mit

Die DSGVO definiert Profiling als automatisierte Verarbeitung personenbezogener Daten, um Kriterien für eine Person festzulegen. "Insbesondere um Aspekte zu analysieren oder zu prognostizieren, die sich auf die Leistung einer natürlichen Person bei der Arbeit, die wirtschaftliche Situation, die Gesundheit, persönliche Vorlieben, Interessen, die Zuverlässigkeit, das Verhalten, den Standort oder Bewegungen beziehen." Galdies stellt fest, dass "die vollständige Personalisierung und andere Ad-Serving-Techniken beispielsweise auf einem Auswahlgrad beruhen, der normalerweise auf Verhaltens- oder Kaufprofilen basiert – ist eine ausdrückliche Einwilligung dafür jetzt erforderlich? So sieht es aus. " Personen haben nun das Recht, sich von einem solchen Profiling auszuschließen, das rechtliche Auswirkungen auf sie hat oder sie auf andere Weise erheblich beeinflusst. Automatisierte Entscheidungen sind legal, wenn Personen diesen ausdrücklich zustimmen oder wenn ein Profiling im Rahmen eines Vertrags zwischen einer Organisation und einer Person erforderlich ist oder wenn das Profiling durch das EU-Recht oder das Recht des Mitgliedstaates gedeckt ist.

“One-Stop-Shop”-System regelt Zuständigkeiten

Die DSGVO führt ein "One-Stop-Shop"-System für EU-weit tätige Organisationen mit einem einheitlichen Regelwerk ein, das für alle EU-Mitgliedstaaten gilt. Jeder Staat hat eine unabhängige Aufsichtsbehörde, um Beschwerden zu sammeln und zu untersuchen, Ordnungswidrigkeiten zu sanktionieren etc. Diese Aufsichtsbehörden dürfen länderübergreifend zusammenarbeiten, um die Kontaktmöglichkeiten für Unternehmen zu vereinfachen. Organisationen mit mehreren Niederlassungen innerhalb der EU haben eine einzige Aufsichtsbehörde als "federführende Behörde", und zwar an dem Ort, wo die Datenverarbeitung hauptsächlich stattfindet – diese Regelung wird "One-Stop-Shop" genannt. Für bestimmte Daten, die in einem Beschäftigungszusammenhang oder die für die nationale Sicherheit verarbeitet werden, können sich außerdem lokale Behörden einschalten.

Verstöße gegen die DSGVO können mehrere Millionen Euro kosten

Organisationen, die die DSGVO nicht einhalten, werden mit erheblichen Geldbußen zur Verantwortung gezogen. Die Regulierungsbehörden können Bußgelder in Höhe von 10 Millionen Euro oder zwei Prozent des weltweiten Bruttoumsatzes einer Organisation – je nachdem, welcher Betrag höher ist – für Verstöße gegen Aufzeichnungen, gegen die Sicherheit, gegen die Benachrichtigung bei Verstößen und gegen die Folgenabschätzung für den Datenschutz verhängen. Verstöße gegen Verpflichtungen, die im Zusammenhang mit der Datenverarbeitung stehen (z. B. Einwilligung), gegen die Rechte Betroffener, gegen die Übermittlung personenbezogener Daten oder die Nichteinhaltung einer Anweisung durch die Aufsichtsbehörde können zu Strafen in Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes einer Organisation führen – je nachdem, welcher Betrag höher ist.

Mit diesen wichtigen Schritten lässt sich die DSGVO implementieren

Der beste Zeitpunkt für Unternehmen, sich mit der DSGVO auseinanderzusetzen, war bereits gestern. Der zweitbeste Zeitpunkt ist heute. Das Erste, was eine Organisation tun sollte, ist einen Datenschutzverantwortlichen zu installieren. Dieser wird die Situation der Organisation analysieren und einen Plan zur Implementierung erstellen können. Das Zweite ist, sofort ein umfassendes Audit durchzuführen und alles, was die Organisation gerade macht, zu bewerten. Marketingspezialisten müssen eine inhaltliche Kontrolle durchführen, um genau zu analysieren, wo ihre aktuellen Kampagnen und Strategien überarbeitet werden müssen, um der DSGVO zu entsprechen. Sobald eine Organisation eine umfassende Prüfung durchgeführt hat, muss sie geeignete Richtlinien und Verfahren basierend auf den Prüfungsergebnissen erstellen und diese umfassend und schnell verbreiten. Die DSGVO ist ein wichtiges Gesetz, das jede Organisation mit auch nur einem Kunden oder Nutzer mit Wohnsitz in der EU betrifft. Es wird erhebliche Anstrengungen erfordern, um diesem Gesetz zu entsprechen, und die Geldstrafen für Verstöße sind nicht von geringer Höhe. Die DSGVO bietet Unternehmen jedoch auch die Möglichkeit, ihren Datenschutz so zu ändern, dass sie das Vertrauen stärken und ihre Kundenbasis erweitern können.

DSGVO Influencer, denen Sie folgen sollten

Wenn Sie ab sofort immer auf dem neuesten Stand hinsichtlich DSGVO sein wollen, lohnt es sich, folgenden Influencern zu folgen:

Thomas Power | @thomaspower London, UK

Eduardo Ustaran | @EUstaran | London, UK

David Clarke | @1DavidClarke | London, UK

HoganLovells Privacy | @HLPrivacy | Washington, DC

Ian Moyse | @imoyse | Reading, England

(ISC)2 | @ISC2 | Clearwater, FL

IT Governance | @ITGovernance | UK

ENISA | @enisa_eu | Greece

GDPR:Report | @GDPRReport | UK

EDPS | @EU_EDPS | Brussels, Belgium