Neue DSGVO: „Die Herausforderungen beherzt angehen!“

CLO Konrad Ferichs
Konrad Frerichs, Geschäftsführer und Rechtssicherheit-Experte bei CleverReach®

In Zeiten von Big Data, Omnichannel Marketing und dem Internet der Dinge scheint die im Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (kurz: DSGVO) überfällig: Durch sie gelten dann für alle EU-Länder die gleichen Datenschutzstandards.

Doch was bedeutet das für Unternehmen und deren E-Mail Marketing im Speziellen? Wir haben dazu unseren Geschäftsführer und Rechtssicherheit-Experten Konrad Frerichs befragt (im Video erwartet Sie die Kurz-, hier im Magazin die Langfassung des Interviews).

 

PUSH: Lieber Konrad, was bleibt, was ist neu an der ab Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO)?

Konrad Frerichs: Die neue EU-Datenschutzgrundverordnung schützt die personenbezogenen Daten von natürlichen Personen. Das hat sie mit dem „alten“, derzeit noch geltenden Bundesdatenschutzgesetz gemein.

Durch die DSGVO wird der Datenschutz jedoch noch einmal transparenter, indem datenschutzrelevante Prozesse wesentlich intensiver als zuvor dokumentiert werden müssen.

Für wen gilt dies?

Für jeden – gleich ob Mensch, Unternehmen oder Behörde – der personenbezogene Daten verarbeitet oder den Auftrag dazu gibt. Also sowohl der Heizungsbauer, der seine Kundenkartei verwaltet; das Inkassounternehmen, das Forderungen einziehen will; die Industrie- und Handelskammer, die ihre Mitglieder verwaltet, und und und …

Welche konkreten Herausforderungen stellen sich jetzt an das Datenschutzmanagement von Unternehmen?

Schritt eins: Unternehmen müssen identifizieren, wo und wie bei ihnen personenbezogene Daten verarbeitet werden. In vielen Bereichen ist Datenverarbeitung heutzutage ja so selbstverständlich, dass einem dahingehend erst einmal die Augen geöffnet werden müssen. So denken sicher viele beim Thema Datenschutz an den Bereich der Kundenverwaltung, das ist auch richtig so. Aber wie sieht es zum Beispiel beim eigenen Personal aus? Auch hier werden Daten verarbeitet.

Schritt zwei: Nachdem die einzelnen Prozesse identifiziert wurden, muss geklärt werden, ob die Datenverarbeitung dort rechtens ist und entsprechend sauber abläuft. Die Verarbeitung personenbezogener Daten ist ja nur dann erlaubt, wenn es dazu einen Rechtfertigungsgrund gibt (z. B. die Einwilligung des Betroffenen, weil es notwendig zur Erfüllung eines Vertrages ist, rechtliche Verpflichtungen und dergleichen). Ist das nicht der Fall, müssen diese „Lücken“ gesetzeskonform geschlossen werden.

Schritt drei: Die neuen Dokumentations-, Transparenz- und Informationspflichten der DSGVO sind zu beachten und umzusetzen.

Worauf sollten gerade Newsletter-Verantwortliche ab Mai in Bezug auf Neukunden, aber auch hinsichtlich bereits bestehender Adresslisten, achten?

In der DSGVO sind eine Reihe von Gründe geregelt, die die Verarbeitung personenbezogener Daten, dazu gehören auch die verwendeten E-Mail-Adressen, zulassen. Im Rahmen von Newslettern ist in der Regel die Einwilligung des Empfängers der Grund, der die Verarbeitung zulässig werden lässt. Durch das DSGVO werden die Anforderungen an eine wirksame Einwilligung verschärft.

Daher gilt:

Punkt 1: Der Verantwortliche muss nachweisen können, dass der Empfänger in die Verarbeitung seiner Daten eingewilligt hat, also auch, den Newsletter zu erhalten. Dies muss nicht schriftlich sein, eine Protokollierung elektronischer Einwilligungen ist sinnvoll.

Punkt 2: Der Empfänger muss den Umfang der Daten, den Zweck, zu dem die Daten verarbeitet werden sollen, sowie die Folgen der Verweigerung einer Einwilligung kennen. Hierzu ist es erforderlich, dass das Ersuchen um die Einwilligung in leicht zugänglicher und verständlicher Form sowie in einer klaren und einfachen Sprache abgefasst ist. Der Empfänger ist schon bei der Einholung der Einwilligung auf die Möglichkeit des Widerrufs hinzuweisen. Eine nicht erforderliche Kopplung an eine Gegenleistung darf nicht erfolgen.

Punkt 3: Bei in der Vergangenheit bereits wirksam gegebenen Einwilligungen ist es nicht erforderlich, dass diese wiederholt werden. Diese Einwilligungen sind jedoch trotzdem an den Wirksamkeitsvoraussetzungen der DS-GVO an eine Einwilligung zu messen. Verstößt eine früher gegebene Einwilligung allerdings gegen das Gebot der Freiwilligkeit, gilt sie nicht weiter fort und muss erneut eingeholt werden. Dies sollte tunlichst vor Inkrafttreten der DSGVO erfolgen.

Mit welchen Konsequenzen müssen Unternehmen bei einem Verstoß gegen das neue Gesetz rechnen?

Es darf davon ausgegangen werden, dass die verhängten Bußgelder bei den hohen Bußgeldrahmen im Verhältnis zur Vergangenheit steigen werden. Mit einem vermehrten Einsatz von Bußgeldern ist nicht zuletzt deshalb zu rechnen, weil die formalen Anforderungen an zu fertigende Dokumentationen erheblich gestiegen sind und die Erfüllung von Formalitäten relativ einfach zu greifen ist. Wie in so vielen Punkten des neuen Gesetzes wird man hier jedoch abwarten müssen.

Ich kann allen Unternehmen aber nur den Tipp geben, in Anbetracht der neuen Anforderungen und drohender Bußgelder nicht in Schockstarre zu verfallen, sondern die Herausforderungen beherzt anzugehen und dadurch die negativen Folgen zu vermeiden.

Und wenn man sich nicht sicher ist, ob man schon alle nötigen Maßnahmen umgesetzt hat, an wen sollte man sich dann wenden?

Der erste Ansprechpartner wird immer – sofern vorhanden – der eigene oder auch ein sonst hinzuzuziehender Datenschutzbeauftragte sein. Er verfügt über die notwendige Sachkompetenz. 

Es ist zwar nicht die Aufgabe des Datenschutzbeauftragten, die Einhaltung von Datenschutzbestimmungen selber zu gewährleisten. Diese Aufgabe obliegt dem jeweils für die Datenverarbeitung Verantwortlichen bzw. dem Auftragsverarbeiter. Es ist aber auch nicht nur die Aufgabe des Datenschutzbeauftragten, die Einhaltung der Datenschutzbestimmungen zu überwachen, es gehört genauso zu seinen Aufgaben, den für die Datenverarbeitung Verantwortlichen bzw. den Auftragsverarbeiter über seine Pflichten zu unterrichten und zu beraten.

Daneben gibt es sicher eine Vielzahl anderer Berater, die man befragen kann. So haben sich eine ganze Reihe von Rechtsanwälten auf datenschutzrechtliche Fragen spezialisiert.

Ob man auch die Beratung durch die zuständigen Datenschutzaufsichtsbehörden in Anspruch nehmen möchte, mag jeder für sich entscheiden. Man sagte früher nicht zu Unrecht: ‚Gehe nicht zu Deinem Herrn, wenn Du nicht gerufen wurdest‘. Eine Behördenanfrage kann auch Behördenhandeln über die Fragestellung hinaus hervorrufen.

Zu guter Letzt: Welche Sicherheits-Features bietet CleverReach® seinen Kunden diesbezüglich?

CleverReach® setzt auf die Kombination aus Flexibilität und Sicherheit: Denn inwieweit personenbezogene Daten erfasst werden sollen, z. B. Öffnungen oder Klicks, liegt in der Verantwortung des jeweiligen Versenders. Gleichzeitig wird über unsere Software beim Double-Opt-in-Verfahren die Einwilligung der Kunden zur Erfassung seiner Daten vollständig protokolliert.

Lieber Konrad, wir danken für das Gespräch.

Sie haben weitere Fragen zur DSGVO? Unser FAQs helfen!

Auf unser Supportseite haben wir Ihnen die häufigsten Fragen und Antworten zur neuen Datenschutzgrundverordnung aufgelistet. Bitte beachten Sie, dass wir leider keine generelle Rechtsberatung geben und nur Empfehlungen, für die wir keine Haftung übernehmen, aussprechen können. Wir empfehlen Ihnen, sich bzgl. der Themen an Ihren Rechtsberater zu wenden, da Sie im Sinne der DSGVO die verantwortliche Stelle sind.

Hier geht es zu den FAQs zur DSGVO