Ein Fachbeitrag von Andreas Kühnke, Rechtsberater bei Project A
Es sind nur noch wenige Wochen, bis am 25. Mai 2018 die neue Datenschutz-Grundverordnung (DSGVO) wirksam wird. Dann gelten neue Spielregeln im Umgang mit personenbezogenen Daten. Betroffen ist das Großunternehmen ebenso wie das Wohnzimmer–Startup. Die DSGVO hat Auswirkungen auf alle Unternehmensbereiche. Besondere Bedeutung hat sie allerdings im Online-Marketing.
DSGVO: Was ist das eigentlich?
Mit der DSGVO hat der europäische Gesetzgeber einen neuen Rechtsrahmen geschaffen, der EU–weit einheitliche Regelungen schaffen soll und der gleichermaßen für alle Unternehmen gilt, die personenbezogene Daten von EU–Bürgern verarbeiten. Das geschieht ´dadurch, dass der Verfolgungsdruck gegenüber den datenverarbeitenden Unternehmen erhöht wird, vor allem durch die Schaffung erheblicher Bußgeld- sowie Abmahnungs- und Schadensersatzmöglichkeiten.
Was sind personenbezogene Daten?
Die DSGVO wird immer dann anwendbar sein, wenn es um die Verarbeitung personenbezogener Daten geht. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung, identifiziert werden kann.
Entscheidend ist demnach allein die Möglichkeit der Identifizierung. Egal durch wen. Es handelt sich nach der DSGVO also auch dann um personenbezogene Daten, wenn zwar nicht das datenverarbeitende Unternehmen selbst, aber ein Dritter die Möglichkeit zur Identifizierung hat. Nach der Vorstellung des Gesetzgebers können daher auch pseudonymisierte Daten personenbezogen sein. Die DSGVO hat damit ein weiteres Begriffsverständnis als das momentan geltende Datenschutzrecht und wird auch Online-Identifier, etwa IP-Adressen und Cookies als personenbezogene Daten erfassen.
Für die tägliche Praxis bedeutet dieses weite Begriffsverständnis, den Personenbezug von Daten im Zweifel eher zu bejahen als zu verneinen, da nahezu jede Information als personenbezogenes Datum definiert werden kann. Erstens soll sie den bisherigen datenschutzrechtlichen Flickenteppich beseitigen und EU–weite Standards einführen. Zweitens soll der Schutz für betroffene Personen verbessert werden.
Was ist neu an der Verordnung?
Auch bisher ist Online-Marketing nicht ohne die Einhaltung von datenschutzrechtlichen Vorgaben umsetzbar. Das folgt aus dem Grundsatz des Verbots mit Erlaubnisvorbehalt, wonach jede Datenverarbeitung zunächst verboten ist. Eine Erlaubnis ergibt sich entweder aus einem bestimmten Gesetz oder sie folgt aus der Einwilligung der betroffenen Person, die teilweise an sehr strenge Wirksamkeitsvoraussetzungen geknüpft ist. Zum Beispiel das Double-Opt-in bei Newsletter-Werbung. So oder so muss die betroffene Person stets ausreichend informiert und ihr die Möglichkeit zum Opt-out eingeräumt werden.
Was gilt ab dem 25. Mai für das Online-Marketing?
Die DSGVO wird das Prinzip „Verbot mit Erlaubnisvorbehalt“ beibehalten. Auch zukünftig ist also jegliche Datenverarbeitung verboten. Die DSGVO folgt bei den Ausnahmen einem „One-fits-all-Prinzip“. Sie differenziert also nicht nach unterschiedlichen Nutzungszwecken oder Datenkategorien, sondern hält für alle Datenverarbeitungen bestimmte Erlaubnistatbestände bereit. Zum Beispiel die Einwilligung der betroffenen Person, die Erfüllung eines Vertrages oder die Wahrung überwiegender berechtigter Unternehmensinteressen.
Für das Online-Marketing wird zukünftig neben der Einwilligung auch das berechtigte Interesse bedeutsam sein. Erforderlich ist, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen, also des werbenden Unternehmens, erforderlich ist und nicht die Interessen der betroffenen Person überwiegen. Also die des Werbeempfängers. Hierin kommt besonders deutlich zum Vorschein, dass es sich beim zukünftigen Datenschutzrecht noch viel mehr um ein Abwägungsrecht handelt, bei dem häufig keine einfachen Lösungen existieren.
Nach den Vorstellungen des Gesetzgebers kann Direktwerbung ein berechtigtes Interesse des werbenden Unternehmens darstellen. Ob und wann dieses Werbeinteresse aber die Interessen oder Rechte des Werbeempfängers überwiegt, ist stets eine Frage des Einzelfalls. Hierbei geht es um die vernünftigen Erwartungen der betroffenen Person und ihre Beziehung zum Verantwortlichen. Wo genau hier die Grenzen verlaufen werden, ist momentan nicht rechtssicher vorherzusagen.
Die vom Unternehmen selbst durchzuführende Interessenabwägung wird zukünftig eine wesentliche Rolle spielen, aber solange schwierig bleiben, bis belastbare Erfahrungswerte und gefestigte Rechtsprechung vorliegen. Im Übrigen kann die betroffene Person sowohl der Direktwerbung als auch dem Abwägungsergebnis des Unternehmens jederzeit widersprechen.
Die Einwilligung der betroffenen Person wird daher auch weiterhin wichtiges Erlaubniskriterium bleiben. Sie trägt aber weiter das permanente Risiko in sich, jederzeit widerrufen zu werden. Hinzu kommen strengere Anforderungen sowie neu geschaffene Vorgaben, deren Anwendung noch ungeklärt ist.
1. Erfassung und Dokumentation des Status Quo
Vielen Unternehmen fehlt eine Übersicht über die von ihnen genutzten personenbezogenen Daten. Häufig besteht ein erster Schritt also darin, diese Wissenslücke zu schließen und die gewonnen Erkenntnisse zu dokumentieren. Beginnen lässt sich mit folgenden Fragestellungen:
- Welche Online-Marketing-Prozesse habe ich im Unternehmen?
- Bei welchen dieser Prozesse werden personenbezogene Daten verarbeitet?
- Wo kommen diese personenbezogenen Daten her?
- An wen werden diese personenbezogenen Daten weitergeben?
- Mittels welchen Datenbanken und Tools verarbeite ich diese Daten?
2. Prüfung der Rechtsgrundlagen der Verarbeitung
Als nächstes sollte für jeden Online-Marketing-Prozess, der die Verarbeitung personenbezogener Daten beinhaltet, die Rechtsgrundlage geklärt werden. Hier muss zum einen die beschriebene Interessenabwägung erfolgen und zum anderen müssen die vorhandenen Einwilligungen überprüft werden. Dies gilt auch für bereits in der Vergangenheit eingeholte Einwilligungen, die zukünftig nur dann wirksam bleiben, wenn sie den strengeren Anforderungen der DSGVO entsprechen. Beide Prüfungsergebnisse sollten ebenfalls dokumentiert werden. Falls keine Rechtfertigungen gefunden werden, müssen Maßnahmen abgeleitet werden: Heilung oder Löschung.
3. Prüfung der Rechtsgrundlagen der Weitergabe
Sofern die personenbezogenen Daten an Dritte weitergegeben werden – das betrifft üblicherweise sämtliche Cloud-Anbieter und Online-Marketing-Dienstleister – muss mit diesen Dritten ein Auftragsverarbeitungs-Vertrag geschlossen werden. Sofern dieser Dritte außerhalb der EU sitzt, sind weitere Schutzmaßnahmen erforderlich.
4. Anpassung von Rechtstexten
Da die DSGVO deutlich umfangreichere Transparenz- und Informationspflichten gegenüber den betroffenen Personen vorsieht, sollten die hierfür genutzten Informationskanäle – allen voran die Datenschutzerklärung sowie die Einwilligungstexte – angepasst werden. Die Artikel 12 bis 14 der DSGVO geben hierzu eine gute erste Orientierung. Notwendig sind etwa Erläuterungen zur Interessenabwägung, zum Löschkonzept oder zu den Betroffenenrechten.
5. Vorbereitung auf Anfragen
Nach der DSGVO unterliegen die datenverarbeitenden Unternehmen zukünftig umfangreicheren Rechenschafts- und Dokumentationspflichten als bisher. Insbesondere die Betroffenenrechte wurden gestärkt und erweitert. Auf entsprechende Anfragen von betroffenen Personen sollten sich Marketingabteilungen vorbereiten. Denn sie müssen in der Lage sein, sehr ausführlich Auskunft über Einzelheiten der Datenverarbeitung zu geben, sowie das Widerspruchsrecht umsetzen zu können. Eine gute Bestandsaufnahme erleichtert das Ganze ungemein.
Fazit
Vieles ist derzeit noch unklar und wird sich erst im Laufe der nächsten Monate und Jahre geraderücken. Trotz dieser Unwägbarkeiten müssen sich alle Marketingabteilungen mit der DSGVO auseinandersetzen und ihre Prozesse anpassen. Je mehr sie bereits nach aktuellem Stand rechtskonform agieren, umso geringer ist der Umstellungsaufwand.
Begonnen werden sollte jedes DSGVO-Projekt zunächst mit einer detaillierten und angemessen dokumentierten Bestandsaufnahme. Hierauf aufbauend werden sich dann die notwendigen Folgeaktivitäten ergeben, insbesondere die Klärung der jeweiligen datenschutzrechtlichen Zulässigkeit des Online-Marketings.
Die DSGVO stellt das Online-Marketing nicht vom Kopf auf die Füße, bringt aber relevante Änderungen mit sich. Einige dieser Änderungen, etwa die gesteigerten Dokumentationspflichten sowie die gestärkten Rechte der Werbeempfänger, machen es für werbende Unternehmen eher schwieriger. Andere Aspekte – etwa die grundsätzliche Anerkennung von Werbung als berechtigtes Interesse für Datenverarbeitung – können einen Vorteil bedeuten.
Foto: 
Bestimmte Rechte vorbehalten von Newchurch ™