Ab 25. Mai 2018 muss die vom Europäischen Parlament beschlossene Datenschutz-Grundverordnung (DSGVO) angewendet werden. Die neue EU-Verordnung vereinheitlicht die Regeln für die Verarbeitung personenbezogener Daten sowie die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit. Sie gilt als die weltweit strengste Verordnung dieser Art –, Verstösse können mit bis zu vier Prozent des weltweiten Jahresumsatzes geahndet werden. Sich nicht mit der DSGVO auseinanderzusetzen, kann also gravierende Folgen haben. Die betroffenen Unternehmen und Behörden müssen ihre Geschäftsprozesse an die neue EU-Regelung anpassen, was für viele einen erheblichen Aufwand bedeutet.
Es gilt das Marktordnungsprinzip: Jeder, der innerhalb der EU Geschäfte macht, ist verpflichtet, die DSGVO einzuhalten. Sie gilt also auch für Unternehmen aus Nicht-EU-Staaten, die in der EU aktiv sind und Daten von EU-Bürgern verarbeiten, siehe Kapitel 3 DSGVO. Auch für Schweizer Unternehmen gilt: Die neue Verordnung ist anzuwenden, wenn sie im oder mit Bezug auf den EU-Raum agieren und dadurch Daten von Kunden, Lieferanten oder Mitarbeitern in der EU bearbeiten. Andere Unternehmen werden indirekt betroffen sein, da die DSGVO Einfluss auf die Revision des schweizerischen Datenschutzrechts haben wird. Es ist also für alle Schweizer Unternehmen sinnvoll, sich mit den Anforderungen der neuen EU-Regelung vertraut zu machen.
Die DSGVO räumt den EU-Bürgern weitreichende Rechte ein. Auf die Organisationen kommen neue, erweiterte Transparenzpflichten zu, und die Nachverfolgbarkeit der Nutzung und Verarbeitung persönlicher Daten muss gewährleistet sein. Welche Daten des Nutzers sind gespeichert? Wo stammen diese Daten her? Wie werden sie verarbeitet? Wo und wie werden sie analysiert? Zu diesen Punkten müssen die Unternehmen jederzeit transparent Auskunft geben können.
Eine der wichtigsten Neuerungen findet sich in Artikel 13 DSGVO: Unabhängig von einem aktiven Auskunftsbegehren der Betroffenen werden den Organisationen umfangreiche Informationspflichten bereits zum Zeitpunkt der Datenerhebung auferlegt. Diese gelten auch dann, wenn keine Einverständniserklärung des Betroffenen notwendig ist. Und auch wenn das Unternehmen die Personendaten nicht direkt vom Nutzer erhalten hat, gelten laut Artikel 14 DSGVO strenge Informationspflichten!
Die Pflichten umfassen viele Punkte, über die (wenn im Einzelfall zutreffend) Auskunft gegeben werden muss, wie Name und Kontaktdaten des für die Datenverarbeitung Verantwortlichen, Zweck und Rechtsgrundlage für die Verarbeitung, Angabe der berechtigten Interessen zur Datenverarbeitung (wenn diese nicht auf einer Einwilligung, sondern auf einer Interessenabwägung beruht), Empfänger oder Kategorien von Empfängern; Absicht, Daten an ein Drittland oder eine internationale Organisation zu übermitteln, Speicherdauer bzw. Kriterien für die Festlegung der Dauer und vieles mehr.
Diese Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache bereitgestellt werden. Siehe Artikel 12 DSGVO
In vielen Unternehmen lässt sich diese Herausforderung nur meistern, wenn die Datenstrategie grundlegend überarbeitet wird. Unterschiedliche Datenquellen versperren häufig die gesamtheitliche Sicht auf den Datenbestand einer Person. Eine Verknüpfung der Quellen ist notwendig, um den vollständigen Überblick herzustellen.
Alle personalisierten Daten, über die ein Unternehmen verfügt, sollten zunächst identifiziert und dann gekennzeichnet werden. Schon unterschiedliche Datenbanken und Formate können es einem hier schwer machen –, ein besonderes Problem stellen unstrukturierte Datenquellen dar, wie Audio und Video, Social Media und Schriftverkehr. Generell muss ein Unternehmen sich Kenntnis darüber verschaffen, wo Personendaten überhaupt gespeichert sind, für welche Geschäftsprozesse diese Daten genutzt werden und wer darauf zugreifen kann.
Ziel sollte es sein, alle Inhalte zu indizieren – auch in Quellen mit unstrukturierten Daten – damit alle personenbezogenen Daten über einen einzigen Zugriffspunkt lokalisiert werden können. Dies gilt für alle Speicherorte und Applikationen – on premise und in der Cloud: lokale Speicherung auf Endgeräten, Private und Public Clouds, Archive, Backups etc. Transparente Datenmanagement-Prozesse und eine sichere Datenmanagement-Plattform sollten implementiert werden, die alle Speicherorte umfassen, Endgeräte, Rechenzentren und die Cloud.
Damit die Marketingabteilungen weiterhin analytisches Marketing betreiben können, müssen die Unternehmen einen Weg finden, wie sie die regelkonforme Datenhaltung gewährleisten und zugleich die Informationen für das Marketing nutzen können. Die indizierten personalisierten Daten können beispielsweise verschlüsselt oder anonymisierte werden.
Auch um Kunden und Interessenten im Rahmen digitaler Massnahmen weiterhin namentlich ansprechen zu können – regelkonform gemäss DSGVO – muss unter anderem gewährleistet sein, dass
Unternehmen sind verpflichtet, technische und organisatorische Massnahmen zu treffen
Artikel 24 DSGVO regelt unter dem sperrigen Terminus "Verantwortung des für die Verarbeitung Verantwortlichen", wozu die Unternehmen verpflichtet sind, um die Datenschutzverordnung einhalten zu können. Dort heisst es, dass der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Massnahmen umzusetzen hat, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäss der DSGVO erfolgt. Diese Massnahmen werden erforderlichenfalls überprüft und aktualisiert.
Weiter heisst es in Artikel 25 DSGVO, dass interne Strategien festgelegt und Massnahmen getroffen werden müssen, die dem Grundsatz des Datenschutzes durch Technik (Data Protection by Design) und durch datenschutzfreundliche Voreinstellungen (Data Protection by Default) gerecht werden. Hier sind unterschiedlichste Massnahmen und Strategien denkbar. Beispielsweise kann die Verarbeitung personenbezogener Daten minimiert werden, Personendaten können pseudonymisiert werden. Transparente Datenverarbeitungsprozesse einzuführen kann ebenso eine solche Massnahme darstellen. Oder Funktionen, die es dem Nutzer selbst erlauben, die Verarbeitung seiner Daten zu überwachen. Solche Ausführungen sind in den Erwägungsgründen zur DSGVO zu finden. Zwei Beispiele: Erwägungsrund 59 und Erwägungsrund 60
Unternehmen bzw. Einrichtungen ab 250 Mitarbeitern sind laut Artikel 30 DSGVO dazu verpflichtet, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen. Inhalte müssen sein: Namen und Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter), Zwecke der Verarbeitung, Kategorien von betroffenen Personen und personenbezogenen Daten, Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern), Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation. Und, wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen, die sich auf die Sicherheit der Verarbeitung beziehen.
Der Nutzer muss dem Prozess der Datenverarbeitung zustimmen, in schriftlicher, elektronischer, mündlicher Form oder auch in konkludenter Form, also durch stillschweigende Willenserklärung. Es reicht nicht aus, dem Nutzer im Internet eine Einwilligungserklärung für die Verarbeitung seiner Daten zu präsentieren, die so voreingestellt ist, dass der Nutzer selbst aktiv werden muss, um dem zu widersprechen. Denn auch wenn kein Widerspruch erfolgt, gilt dies nicht als Einwilligung. Default gesetzte Häkchen in Checkboxen sind also keine Lösung mehr. Vielmehr müssen Online Services datenschutzfreundlich konzipiert sein, also so, dass der Nutzer nicht erst Änderungen vornehmen muss, um den Schutz seiner Daten zu erwirken.
Werden digitale Services angeboten, dürfen ausserdem nur diejenigen Personendaten abgefragt und verarbeitet werden, die dem Zweck angemessen und relevant sind. Es gilt also das Prinzip der „Datenminimierung“. Siehe Artikel 16 DSGVO
Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Die Datenschutz-Grundverordnung räumt den EU-Bürgern Rechte ein, auf die sich die Unternehmen einstellen sollten, um rechtskonform reagieren zu können, wenn diese Rechte eingefordert werden.
Weiterhin hat der Nutzer das Recht darauf, dass seine Daten im Sinne einer Berichtigung geändert werden. Er kann der Verarbeitung seiner Daten widersprechen oder die Verarbeitung einschränken. Und er kann die Löschung seiner Daten fordern. In der DSGVO heisst dieses Recht auf Löschung auch "Recht auf Vergessenwerden". Siehe Artikel 17 DSGVO
Der Nutzer kann auch verlangen, dass seine Daten an einen anderen Dienstleister übertragen werden. Das datenverarbeitende Unternehmen hat die Pflicht, diese Forderung zu erfüllen.
Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, so muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Siehe Artikel 33 DSGVO. Gemäss Artikel 34 DSGVO muss auch der Betroffene über die Verletzung informiert werden, wenn voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten besteht.
Mit der Datenschutz-Grundverordnung verfügt die EU über ein einheitliches Regelwerk –, das Datenschutzniveau innerhalb der EU wird also harmonisiert. Natürlich ist der internationale Datenverkehr weiterhin zulässig. Doch wenn personenbezogenen Daten übermittelt werden, ist dafür Sorge zu tragen, dass das Schutzniveau gewahrt wird. Die EU legt fest, welche Länder die Voraussetzung dafür erfüllen. Der Datenverkehr zwischen der EU und den USA ist derzeit in einer gesonderten Vereinbarung – dem EU-U.S. and Swiss-U.S. Privacy Shield – geregelt.
Viel Zeit bleibt nicht mehr. Wenn Sie das Risiko vermeiden wollen, als Präzedenzfall am Pranger zu stehen, sollten Sie spätestens jetzt aktiv werden und die Voraussetzungen dafür schaffen, die EU-DSGVO rechtskonform umsetzen zu können. Es gibt dafür keine allgemeingültige Anleitung. Denn Datenstrategie und Datenmanagement müssen auf Ihr spezifisches Geschäftsmodell abgestimmt sein.
Auf der Internetseite der Wirtschaftskammer Österreich haben wir eine Checkliste gefunden, die Ihnen helfen kann, schnell und effektiv in die Vorbereitungen einzusteigen. Die Checkliste fokussiert auf die wichtigen Fragen, die sich für die Unternehmen aus den neuen EU-Regelungen ergeben. Dort findet sich auch eine Übersichtsseite mit den wichtigsten für Websites und Webshops relevanten Themen inklusive konkreter Beispiele, wie die notwendigen Anpassungen erfolgen können.
Auch intelligente CRM-Systeme, die als zentrale Plattform für die Kundenkommunikation sowie für die Verwaltung der Marketing-Aktivitäten eingesetzt werden können, helfen dabei, mit personenbezogenen Daten rechtskonform umzugehen. Als Inbound Marketing Pionier in der Schweiz stehen wir im konstruktiven Austausch mit unseren Tool-Anbietern, die entsprechende Lösungen entwerfen. Ziel ist es, den Unternehmen die Einhaltung der aus der DSGVO resultierenden zusätzlichen Anforderungen und Einschränkungen zu erleichtern. Wir werden über die Entwicklungen zeitnah informieren.
WEITERE INFOS
Sammle weiterführende Informationen auf anderen Websites:
Du möchtest über Digital Marketing immer informiert sein?
Psst, unser Geheimtipp: Abonniere unsere BEE.News.