DSGVO

DSGVO
Die Datenschutz-Gundverordnung, kurz DSGVO, ist eine Verordnung zur Verarbeitung und zum Schutz personenbezogener Daten in der Europäischen Union. Sie findet seit dem 25. Mai 2018 Anwendung – und zwar über alle Branchen und Institutionen hinweg. In diesem Artikel erfahren Sie was Sie wirklich wissen müssen, sollte sich Ihr Unternehmen noch nicht mit dem Thema DSGVO befasst haben. Gleichzeitig verraten wir, wie Sie die Einhaltung der DSGVO-Richtlinien zu Ihrem Vorteil ausspielen können.

DSGVO – was müssen Sie wirklich wissen?

Grundsätzlich sind alle Unternehmen von der DSGVO betroffen, die ihren Sitz innerhalb der Europäischen Union (EU) haben oder aber Kunden aus der EU bedienen oder beliefern. Die EU-Datenschutz-Grundverordnung ersetzt die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr von 1995. Wesentlicher Bestandteil der DSGVO sind die sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten:

  1. Einwilligung: Jedes Unternehmen braucht eine Einwilligung des Kunden oder Abonnenten zur Speicherung seiner Daten. Der Versand von E-Mails ohne ausdrückliche Zustimmung verstößt somit gegen die EU-Datenschutzrichtlinie.
  2. Vertragserfüllung: Es ist notwendig einen Vertrag mit dem Kunden zu schließen, in dem er der Datenverarbeitung zustimmt. Bei bestehenden Kunden muss eine aktualisierte Zustimmung vom Kunden eingeholt werden.
  3. Erfüllung einer gesetzlichen Verpflichtung: Es gibt auch Daten, die ohne konkrete Einwilligung verarbeitet werden müssen, da sie gesetzlich notwendig sind. Darunter fallen etwa Beschäftigungsunterlagen, Arbeitsschutzaufzeichnungen oder Unfallberichte.
  4. Lebenswichtige Interessen: Betrifft nur Unternehmen wie Notfalldienste, die eine Patientenliste erhalten und folglich eine schriftliche Einwilligung nicht benötigen.
  5. Öffentliches Interesse: Diese Rechtsgrundlage schließt behördliche Interessen, wie etwa Finanzämter, oder auch Parteien ein. Auch hier besteht aufgrund der öffentlichen Interessenslage keine Einwilligungspflicht
  6. Legitimes Interesse: Diese Rechtsgrundlage ist wahrscheinlich am wenigsten eindeutig. So gibt es bestimmte, wenn auch vage Szenarien, in denen Daten ohne Einwilligung verarbeitet werden dürfen. Darunter können beispielsweise auch Kunden- oder Dienstleistungsbeziehungen fallen oder auch Verfahren zur Verhinderung von Betrug. Im Zweifelsfall sollte bei der Anwendung dieser Rechtsgrundlage zunächst ein Anwalt konsultiert werden.

Dank dieser Rechtsgrundlagen wollen die EU-Datenschützer das unnötige Sammeln von Kundendaten eindämmen und eine Rechtssicherheit für all jene schaffen, denen es gestattet ist Daten auch ohne Einwilligung zu verarbeiten. Im Umkehrschluss heißt dies, nur wenn die Daten wirklich wichtig sind, um beispielsweise das Erlebnis eines Online-Angebots vollständig nutzen zu können, oder um eine Abrechnung vornehmen zu können, handelt es sich um sammelwürdige Daten. Doch selbst diese Daten darf das Unternehmen nur auf rechtlich einwandfreie Weise beziehen. D.h. sie benötigen die Einwilligung des Kunden oder Interessenten. Dies kann etwa durch ein Anmeldeformular mit einem Double-Opt-in und dem Verweis auf die Datenschutzbestimmungen des Unternehmens erfolgen.

Ob auch die Datenschutzbestimmungen des Unternehmens angepasst werden müssen, hängt von dem Angebot und der bezogenen Daten ab. In jedem Fall, so noch nicht geschehen, sollte sich jedes Unternehmen einem DSGVO-Check unterziehen. Hier helfen Anwälte, aber auch viele Online-Agenturen, die sich zwar ein Know-how zum Thema oftmals angeeignet haben, jedoch selbstverständlich keine juristische Korrektheit gewährleisten können.

DSGVO und die Subscription Economy

Digitale Subscription-Angebote sind besonders von der DSGVO betroffen. Die Gründe hierfür liegen auf der Hand: Für ein einwandfreies Nutzererlebnis, benötigt das Subscription-Unternehmen Daten wie E-Mail-Adresse, Name, Postadresse bis hin zu Payment-Daten für die Kaufabwicklung. Für all diese Daten benötigt das Unternehmen eine Zustimmung – und zwar nicht nur vom Kunden, sondern auch vom Interessenten, der sich beispielsweise über die Webseite lediglich in den Newsletter-Verteiler eingetragen hat.

Konkret benötigen Sie die Zustimmung zur Verwendung personenbezogener Daten für folgende Szenarien:

  • Bestandskunden (Käufer): Die Einwilligung ist als gegeben vorausgesetzt, jedoch sollten bestehende Verträge überprüft werden.
  • Ehemalige Kunden: Unternehmen sind nicht mehr berechtigt die Daten ehemaliger Kunden zu speichern – außer, sie haben die Einwilligung.
  • Aktive E-Mail-Subscriber ohne nachweisbare Einwilligung: Unternehmen müssen darlegen, dass der Newsletter-Verteiler einen Mehrwert für die Empfänger bietet. Ansonsten müssen sie sie löschen.
  • Inaktive E-Mail-Subscriber: Diese Daten müssen gelöscht werden.
  • Neukunden / E-Mail-Subcriber: Um Datenschutzbehörden nachzuweisen, dass eine Einwilligung vorliegt, sollte auch der Wortlaut der Einwilligungserklärung für jeden Kunden gespeichert werden. Nur eine Excel-Liste mit Kundendaten mit der beispielhaften Überschrift „Eingewilligte Kunden“ reicht hier nicht aus.

Daneben müssen Unternehmen auch aktualisierte Verträge mit Mitarbeitern und Agenturen und anderen Zulieferern schließen. Das neue Datenschutzgesetz unterscheidet nämlich zwischen Datenverantwortlichen (i.d.R. das Unternehmen, das die Daten benötigt) und dem Auftragsverarbeiter (i.d.R. ein Mitarbeiter oder eine Agentur, der oder die im Sinne des Unternehmens handelt).

DSGVO – die wichtigsten Hausaufgaben auf einen Blick

 Auf den ersten Blick liefert das neue Datenschutzgesetz mehr Pflichten als Rechte. Schließlich gehen mit der Einhaltung der DSGVO jede Menge Hausaufgaben auf Unternehmensseite einher:

  • Welche Kundendaten werden bezogen?
  • Welche Kundendaten werden auch wirklich benötigt (Stichwort Verhältnismäßigkeit)
  • Führen Sie ein Auftragsverarbeitungsverzeichnis, um nachweisen zu können wer auf welche Kundendaten in ihrem Unternehmen und darüber hinaus Zugriff hat?
  • Wie sind die Daten gesichert (werden beispielsweise geschäftliche Daten auf privaten Smartphones genutzt?
  • Muss die Datenschutz-Einwilligung aktualisiert werden? (z.B. Anmelde- und Kontaktformulare)
  • Sind alle Online- und Offline-Datenquellen DSGVO-konform?
  • Gibt es einen Datenschutzhinweis auf der Webseite?
  • Der Nutzer muss die Möglichkeit besitzen, dem Erhalt von Werbung zu widersprechen
  • Dem Nutzer muss ein Recht auf Vergessenwerden eingeräumt werden. Wie schnell kann das Unternehmen also eine Löschanforderung umsetzen?
  • Sind die Datenschutzrichtlinien auf dem neuesten Stand?

Das sind nur die wichtigsten Beispiele von Maßnahmen, die notwendig sind, um ein DSGVO-konformes Angebot zu betreiben.

Die DSGVO als Wettbewerbsvorteil nutzen

Ein europäisches Subscription-Unternehmen, und nicht nur die, stehen oftmals im direkten Wettbewerb mit amerikanischen oder asiatischen Unternehmen. Ähnlich wie bei dem Siegel „Made in Germany“ kann der europäische Datenschutz durchaus als Wettbewerbsvorteil genutzt werden. Denn die Datenschutz-Grundverordnung ist vor allem im Sinne der Kundenfreundlichkeit entwickelt worden. Unternehmen, die also mit der DSGVO werben, gelten bei Nutzern als besonders sicher und vertrauenswürdig.

Allerdings muss jedes Unternehmen dranbleiben und die DSGVO als einen dynamischen Prozess verstehen. So werden für 2019 weitere Maßnahmen zur Optimierung des Datenschutzgesetzes vorgenommen. Allen voran die sogenannte ePrivacy-Verordnung, kurz ePV. Ihre Inhalte stehen noch nicht abschließend fest, doch gilt sie als die nächste Stufe der DSGVO. Betroffen werden sämtliche Online-Anbieter, wie z.B. Webseiten, Online-Tracking-Tools oder Angebote, die elektronisches Direktmarketing verwenden, darunter eben auch Newsletter- und Subscription-Anbieter.

in Wiki: Standards & Normen