Im Mai 2018 kommt sie nun und bereitet jedem, der das Internet für Marketingzwecke nutzt, zunehmend Kopfschmerzen: Die EU-DSGVO – die EU-Datenschutz-Grundverordnung.
Die EU-Datenschutz-Grundverordnung (DSGVO)
Doch was beinhaltet diese Verordnung eigentlich, für wen ist sie wann wichtig und wie setzt man sie am besten um? Diese Fragen stellen mir im Moment viele Tierisch Selbstständige, daher gibt es nun einen kleinen Überblick zum Einstieg in das große Thema, dass ich in der nächsten Zeit immer wieder auf dem Blog aufgreifen werde.
Warum Marketing und Datenschutz zusammen gehören
Während das klassischen Marketing, also Zeitungsanzeigen oder Fernsehwerbung keine Änderungen zu befürchten hat, wird bei Werbemaßnahmen im Internet quasi alles umgekrempelt. Der Grund ist, dass bei nahezu allen Werbemaßnahmen, die wir im Internet nutzen, personenbezogene Daten aufgenommen, genutzt und weiter verarbeitet werden. Ein gutes Beispiel ist der Newsletter.
Ein Newsletter wird häufig zu Marketingzwecken genutzt, empfangen kann ihn aber nur, wer seine E-Mail-Adresse in die Empfänger-Liste einträgt und per Double OptIn bestätigt. Doch selbst ohne die Bestätigung wird die E-Mail-Adresse erst einmal in der Empfängerliste angelegt. Der Datensatz mit der E-Mail-Adresse muss also entsprechend geschützt werden, damit dieser tatsächlich nur im Rahmen des Newsletter-Versandes genutzt wird.
Dasselbe Prinzip gilt auch bei allen anderen Vorgängen, bei denen personenbezogenen Daten vom Nutzer erhoben werden, also z.B.
- Anlegen einer Kunden oder Interessentendatenbank
- Werbekampagnen in Social Media
- E-Mail-Marketing
- Remarketing
- Tracking der Besucher auf Webseiten und durch Google Analytics
Überall, wo also Daten erhoben werden, stehen wir als Unternehmer in der Verpflichtung, mit diesen sorgsam umzugehen und sie zu schützen.
Was sind überhaupt personenbezogene (Nutzer-)Daten?
Schützenswert sind prinzipiell alle Daten, die der Nutzer bewusst und unbewusst im Internet hinterlässt. Dazu gehören im speziellen:
- Name
- Anschrift
- Geburtsdatum
- E-Mail-Adresse
- Ausbildung
- Einkommen
- IP-Adresse
- Verhalten auf einer Webseite
- Kauf- und Klick-Verhalten auf einer Webseite
Du siehst, da kommt ganz schön was zusammen, und vielleicht ist dir vieles auch noch gar nicht so bewusst gewesen. Aber immer dann, wenn diese Daten nicht vollständig anonymisiert erhoben werden, unterstehen sie dem Datenschutz. Und zwar auch dann, wenn du von den Datenspeicherungsprozessen nichts gesondert mitbekommst. In den meisten Fällen werden Dinge wie IP-Adresse, Kauf, Klick und sonstiges Verhalten auf der Webseite nämlich nicht direkt durch dich „getrackt“, sondern durch den Hoster deiner Internetseite. Bei Verstößen hältst allerdings DU den Kopf hin.
Stichtag 25. Mai 2018
Bisher regelte jedes Land den Datenschutz für sich und hatte eigene Maßstäbe, an denen sich der Datenschutz orientiert hat. Doch am 25. Mai 2018 tritt nun die neue EU-Datenschutzverordnung in Kraft. Diese hat das Ziel, den Datenschutz in das moderne Zeitalter der Digitalisierung zu katapultieren und ‚überschreibt‘ gleichzeitig bisher geltende Regelungen (setzt allerdings andere Regelungen wir das Telemediengesetz und das Wettbewerbsgesetz keineswegs außer Kraft).
Die neue Verordnung gilt für alle Unternehmen, deren Sitz sich in der EU befindet und personenbezogene Daten nutzt oder einen Internetauftritt mit einer Homepage oder einer Social-Media-Seite hat und/oder die von EU-Bürgern genutzt wird/werden kann.
Die DSGVO enthält breit gefächerte Neuregelungen, die in 99 Artikeln des Gesetzes aufbereitet wurden. Alle Artikel des Gesetzes lassen sich im Internet nachlesen, die für dich wichtigsten möchte ich hier ansprechen.
Wie hoch kann ein Bußgeld bei einem Verstoß gegen die DSGVO werden?
Mit den ganzen Neuregelungen wurde auch ein neuer Bußgeldkatalog eingeführt. Dieser besagt, dass Verstöße gegen die DSGVO mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes geahndet werden können – je nachdem, welcher Betrag höher ist! (Art. 83 DSGVO)
Bei Verstößen eines Tochterunternehmens kann unter Umständen sogar der gesamte Konzern haften und dessen Jahresumsatz als Bemessungsgrundlage für die Bußgeldhöhe herangezogen werden. Wenn du also z.B. eine Hundeschule mit mehreren Standorten hast, und das ganze als Mutter- bzw. Tochterunternehmen geführt wird, können Verstöße im Tochterunternehmen für Mutter- und Tochterkonzern einen großen finanziellen Schaden bedeuten.
Wie hoch nun im einzelnen die Bußgelder werden, lässt sich momentan noch schwer abschätzen, da diese unter anderem vom Umsatz abhängig sind. Außerdem spielen folgende Kriterien bei der Berechnung der Bußgeldhöhe eine Rolle:
- Art, Dauer und Schwere des Verstoßes
- Art der betroffenen Daten
- frühere Verstöße
- Verstoß aufgrund von Fahrlässigkeit oder Vorsatz
- finanzielle Vorteile, die durch den Verstoß erlangt wurden
- geleistete technische und organisatorische Maßnahmen, die einen Verstoß verhindern sollen
- Maßnahmen zur Schadensminderung
- Selbstanzeige des Unternehmens
Wenn es zu einem Verfahren und/oder einer Bußgeldandrohung kommt
Da auch das Verhalten des Unternehmens in einem Verfahrensfall von den Behörden beobachtet wird, solltest du dich im Falle eines Verfahrens wegen eines Verstoßes gegen die DSGVO (wie auch bei allen anderen behördlichen Verfahren) auf alle Fälle kooperationsbereit zeigen. Außerdem solltest du dir einen Anwalt zur Seite nehmen, der für dich die Kommunikation mit der Datenschutzbehörde übernimmt. Es gibt hier sehr viele Feinheiten zu beachten und viele Möglichkeiten, Fehler zu machen und in Anbetracht der drohenden Bußgelder sind die Kosten für einen guten Anwalt in jedem Fall kleiner und gut investiert.
Der Weg zur Datenschutzkonformität
Je nachdem, wie sehr du dich bereits in der Vergangenheit mit dem Thema Datenschutz beschäftigt hast, und worauf du bisher datenschutzrechtlich wert gelegt hast, ist der Weg zur korrekten Umsetzung der DSGVO mal länger, mal kürzer. Grundsätzlich gilt es zu aller erst einmal, sich einen Überblick zu verschaffen und den Ist-Stand zu analysieren. Bei der Analyse hilft es dir, die folgenden Fragen für dich und dein Unternehmen zu beantworten.
Datenbestand:
Welche personenbezogenen Daten von Kunden und Interessenten liegen im Unternehmen vor?
Welche dieser Daten werden tatsächlich von dir und den Mitarbeitern im Unternehmen genutzt?
Welche Daten dürfen rechtmäßig im Unternehmen genutzt werden?
Welche Daten dürfen rechtmäßig an andere Unternehmen weitergegeben werden?
Woher kommen die Nutzerdaten?
Was sind genutzte Datenquellen? (z.B. Newsletter- und Kontaktformulare)
Welche Daten werden rechtmäßig von Ihnen erhoben?
Welche Daten dürfen rechtmäßig zu welchem Zweck nutzen?
Welche Daten dürfen verbundenen Unternehmen rechtmäßig zur Verfügung gestellt werden?
Wenn du weißt, welche Nutzerdaten du für dein Unternehmen erhebst und wie du das machst, geht es im zweiten Schritt darum, die vorhandenen Daten an die Regelungen der DSGVO anzupassen.
- Bereinigung
Bereinige die analysierten und vorhandenen Datensätze. Daten, die nicht benötigt werden und/oder unrechtmäßig erworben wurden, müssen gelöscht werden. - Abgleich
Vergleiche die Analyseergebnisse hinsichtlich der Datenerhebung und Datenschutzregelungen mit den neuen Regelungen aus der DSGVO. - Umsetzung
Umsetzung der Regelungen der DSGVO, Schritt für Schritt und Punkt für Punkt. - ggf. externe Hilfestellung
Unter Umständen ist es ratsam, dich bei der Analyse und Umsetzung der DSGVO von einer externen fachkundigen Stelle unterstützen zu lassen.
Vorteile durch die Umsetzung der DSGVO
Dich jetzt schnellstmöglich mit der DSGVO und deren Umsetzung zu beschäftigen bietet dir einige Vorteile. Zum einen ist die Gefahr, eines Verfahrens und/oder eines Bußgeldes natürlich minimiert, wenn du dich an die Regeln hältst. Doch selbst, wenn es trotz deiner Bemühungen zu einem Datenschutzproblem kommt, wirkt sich ein professionelles Datenschutz-Management positiv im Verfahren aus und kann dadurch die Höhe des Bußgeldes beeinflussen.
Auch das Vertrauen der Nutzer wird gestärkt, wenn du dich um den Datenschutz kümmerst, gleichzeitig bleiben Nutzerbeschwerden und negative Bewertung aufgrund Datenschutzprobleme aus.
Und schlussendlich kannst du dich nach der Umsetzung der DSGVO wieder auf dein Kerngeschäft konzentrieren, weil dein Marketing datenschutzrechtlich sauber ist und keine Unsicherheit im Umgang mit Kundendaten besteht.
Wie bereits erwähnt, enthält die DSGVO 99 Artikel, die sich mit allen möglichen Belangen beschäftigen. Ich werde dich in den nächsten Wochen in einer Artikelserie bei der Umsetzung der DSGVO unterstützen, damit du wieder entspannt arbeiten kannst.
Hier eine Übersicht der einzelnen Artikel:
- Allgemeines zur DSGVO
- Die Datenschutzerklärung
- Newsletter, Freebies und Co.
- Auftragsdatenvereinbarung
- Verarbeitungsverzeichnis
- Kontaktformular
- „Kannst du nicht mal eine Schritt-für-Schritt-Anleitung für die DSGVO-Umsetzung schreiben?“
Hast du bereits spezifische Fragen zur DSVGO? Dann hinterlass mir doch einfach ein Kommentar und ich werde versuchen, die Frage in den nächsten Beiträgen zu beantworten 🙂
0 Kommentare
Trackbacks/Pingbacks