Die neue EU-DSGVO und ihre Auswirkungen auf Unternehmen

« Blog

Im Jahr 2016 hat das Europäische Parlament ein Gesetz zum Schutz personenbezogener Daten verabschiedet. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist ab dem 25. Mai 2018 verpflichtend anzuwenden. Mit der neuen Verordnung werden einige Neuerungen für das Datenschutzrecht eingeführt. Experten erwarten deshalb, dass sich die Datenverarbeitungspraktiken großer wie kleiner Unternehmen grundlegend ändern werden.

Was bedeutet die Umsetzung der EU-DSGVO für die betroffenen Unternehmen konkret? Diese Frage stellen sich zurzeit zahlreiche Firmen. Laut einer Studie von Dell wissen etwa 80 % der Umfrageteilnehmer wenig bis nichts über die neue Verordnung. Darüber hinaus haben ganze 97 % der Unternehmen noch keine formelle Strategie, um sich auf die Datenschutzverordnung vorzubereiten. Aus diesem Grund erläutern wir für Sie die wichtigsten Änderungen der Datenschutz-Grundverordnung und ihre Konsequenzen.


Die neue EU-Datenschutz-Grundverordnung

Das Europäische Parlament hat im April 2016 nach mehrjähriger Beratung die EU-DSGVO verabschiedet, die am 25. Mai 2018 in Kraft tritt. Das Ziel der Datenschutzverordnung ist der Schutz personenbezogener Daten von EU-Bürgern. Damit erhalten die Bürger eine vollständige Autonomie über ihre digitalen Informationen. Die DSGVO gilt für alle Unternehmen in der EU sowie für alle außerhalb der EU registrierten Unternehmen, die personenbezogene Daten von EU-Bürgern speichern.

Die EU-Datenschutz-Grundverordnung ist ein offizielles Rechtsdokument und enthält einige einschlägige Fachausdrücke. Ein solcher Begriff sind beispielsweise die personenbezogenen Daten, die wie folgt beschrieben werden: „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die mit diesen Informationen direkt oder indirekt identifiziert werden kann.“ Zu diesen Informationen gehören Name, Foto, Social-Media-Daten, Gesundheitsdaten, E-Mail-Adresse und IP-Adresse des Computers einer Person.

Mit der neuen Datenschutz-Grundverordnung haben Ihre Kunden folgende Rechte:

  • Recht auf Auskunft
    Der Kunde darf vom Unternehmen (dem Verantwortlichen, der über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) Auskunft über seine gespeicherten persönlichen Daten einholen. Er hat das Recht nachzufragen, wie seine Daten verarbeitet werden und wo sie gespeichert sind. Wenn der Kunde eine Dateninformation anfordert, muss das verantwortliche Unternehmen alle Daten in elektronischer Form kostenlos offenlegen.
  • Recht auf Vergessenwerden
    Die betroffene Person (Privatperson oder Kunde) darf vom Verantwortlichen verlangen, dass ihre personenbezogenen Daten gelöscht werden. In einem solchen Fall muss das verantwortliche Unternehmen alle Daten löschen und dafür sorgen, dass Dritte die Daten nicht mehr nutzen. Meldung von Verletzungen des Schutzes personenbezogener Daten.
  • Meldung von Verletzungen des Schutzes personenbezogener Daten
    Wird der Schutz der persönlichen Daten verletzt, muss die betroffene Person innerhalb von 72 Stunden informiert werden, sobald dem Verantwortlichen der Verstoß bekannt wird.
  • Recht auf Datenübertragbarkeit
    Die betroffene Person hat Anspruch darauf, dass ihre Daten zu einem anderen Verantwortlichen übertragen werden. Die Daten müssen dann in einem gängigen, maschinenlesbaren Format übermittelt werden.
  • Informationspflicht
    Der Kunde muss darüber informiert werden, dass seine Daten erfasst und gespeichert werden. Der Kunde muss sich aktiv entscheiden können, ob er einer Erhebung seiner Daten zustimmt. Der Text zur Einwilligung muss klar und unmissverständlich und darf keine einfache Einverständniserklärung sein.
  • Recht auf Datenberichtigung
    Wenn die erfassten Daten Fehler enthalten, kann die betroffene Person eine Berichtigung der Daten verlangen.
  • Recht auf Einschränkung der Datenverarbeitung
    Die betroffene Person kann jederzeit ihre Einwilligung zur Verarbeitung ihrer Daten zurückziehen oder verlangen, dass die Datenverarbeitung eingeschränkt wird. Wenn dieses Recht in Anspruch genommen wird, muss das verantwortliche Unternehmen die Verarbeitung der Daten unverzüglich beenden. Hinweis: Dieses Recht ist nicht gleichzusetzen mit dem Recht auf Vergessenwerden.

Die EU-Datenschutz-Grundverordnung macht außerdem keinen Unterschied zwischen personenbezogenen Daten von natürlichen Personen und Daten zur Auftragsverarbeitung. Dies bedeutet, dass auch zwei Einzelpersonen in der B2B-Kommunikation, die Daten im Namen ihrer Unternehmen teilen, gemäß der EU-DSGVO als Einzelpersonen und nicht als Vertreter von Wirtschaftseinheiten behandelt werden.

Die EU-Mitgliedstaaten verhängen Unternehmen, die gegen die EU-DSGVO verstoßen, scharfe Sanktionen. Bei Verstößen werden Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängt (je nachdem, welcher Betrag höher ist). Verletzungen gegen die Bestimmungen der Datenschutz-Grundverordnung können schwerwiegende Konsequenzen für Unternehmen haben.

GDPR

Anforderungen der EU-DSGVO: Was bedeutet die Umsetzung der Datenschutz-Grundverordnung für Unternehmen?

Mit den Änderungen durch die EU-Datenschutz-Grundverordnung stellt sich die folgende Frage: Welche Pflichten kommen nun auf Unternehmen zu? Nach dem Inkrafttreten der Datenschutz-Grundverordnung werden die Privatsphäre und Sicherheit der personenbezogenen Kundendaten stärker geschützt. Daher wird zunächst empfohlen, die Daten zu identifizieren, die gemäß der DSGVO geschützt werden müssen. Dies sind alle Daten, mit denen Kunden identifiziert werden können (einschließlich IP-Adressen und Mobilgerät-Kennung). Die Ermittlung der zu schützenden Daten ist die Grundlage dafür, welche Maßnahmen Ihr Unternehmen ergreifen muss, um die DSGVO zu erfüllen. Richten Sie also Ihr Augenmerk besonders auf die gespeicherten Daten, mit denen ein Kunde identifiziert werden kann.

In Artikel 30 der DSGVO wird explizit angegeben, dass die Pflichten nicht für Unternehmen gelten, die weniger als 250 Mitarbeiter beschäftigen. Aber: Dies entbindet kleine Unternehmen keineswegs von ihren Pflichten! Denn sobald Unternehmen personenbezogene Daten verarbeiten, sind sie an die Richtlinien der EU-Datenschutz-Grundverordnung gebunden. Ihr Unternehmen muss gemäß den Vorgaben der EU-DSGVO einen Datenschutzbeauftragten ernennen. Dies betrifft große Unternehmen (mit mehr als 250 Mitarbeitern) sowie kleine Unternehmen, die regelmäßig personenbezogene Daten verarbeiten. Der Datenschutzbeauftragte ist dafür verantwortlich, dass Ihr Unternehmen im Einklang mit der Datenschutz-Grundverordnung Daten erfasst. Er ist auch darin geschult, wie Daten sicher und DSGVO-konform verarbeitet und gespeichert werden.

Des Weiteren wird das Einholen der Einwilligung in die Datenerhebung unter der neuen EU-DSGVO strenger gehandhabt. Der Kunde muss Ihrem Unternehmen ausdrücklich seine Zustimmung zur Erfassung seiner Daten geben. Dies wird in der Praxis mit einem Opt-in-Verfahren realisiert. Eine stillschweigende Zustimmung mit Opt-Out-Möglichkeit reicht dann nicht mehr aus. Ihr Unternehmen muss sicherstellen, dass der Kunde der Verarbeitung seiner personenbezogenen Daten explizit eingewilligt hat. Diese Regelung gilt übrigens auch rückwirkend: Alle Daten, die vor der EU-DSGVO erfasst wurden, dürfen nur dann verarbeitet werden, wenn der Kunde der Verarbeitung ausdrücklich zugestimmt hat. Demzufolge müssen in Ihrem Unternehmen Verfahren und Mechanismen vorhanden sein, um die ausdrückliche Zustimmung Ihrer Kunden einzuholen. In diesem Zusammenhang müssen auch die Geschäftsbedingungen Ihres Unternehmens aktualisiert werden.

Die Meldepflicht von Verletzungen des Schutzes personenbezogener Daten ist eine weitere Vorgabe der neuen Datenschutz-Grundverordnung. Denn diese wirkt sich direkt auf Ihr Unternehmen aus. Verstöße gegen den Datenschutz müssen innerhalb von 24 Stunden bzw. spätestens nach 72 Stunden nach Bekanntwerden des Verstoßes der Aufsichtsbehörde gemeldet werden. Deshalb benötigt Ihr Unternehmen einen funktionierenden Ablaufplan. So können Verletzungen gegen den Schutz personenbezogener Daten in der angegebenen Frist gemeldet werden.

Weiterhin sind Instrumente erforderlich, die das Auftreten solcher Verstöße im Vorfeld verhindern, wie zum Beispiel das Bestimmen eines dedizierten Sicherheitsbeauftragten (siehe die Ernennung eines Datenschutzbeauftragten oben) oder das Verschlüsseln aller Kundendaten, bevor sie in Ihren Systemen gespeichert werden. Kleine Maßnahmen können dabei viel bewirken: Die Vorteile der eingesetzten Schritte, die für den Datenschutz getroffen werden, sind größer als die hierfür anfallenden Kosten.


Welche Herausforderungen bringt die Datenschutz-Grundverordnung für Marketing und Vertrieb?

Die Auswirkungen der EU-DSGVO sind weitreichend und erstrecken sich möglicherweise auch auf die Marketing- und Vertriebsprozesse. Da sich die Datenschutz-Grundverordnung auf digitale Kundendaten bezieht, ist das E-Marketing von den überarbeiteten Bestimmungen stark betroffen.

Im Mittelpunkt des modernen E-Marketing steht das E-Mail-Marketing. Und das zu Recht: Laut einer Studie erwarten Marketingexperten eine durchschnittliche Rentabilität (ROI) von 119 % für E-Mail-Marketing-Kampagnen. Aber nicht nur Unternehmen sind an E-Mail-Marketing interessiert: 77 % der Kunden ziehen es vor, per E-Mail über Angebote informiert zu werden. Die Regeln des E-Mail-Marketing ändern sich jedoch durch die neue EU-Datenschutz-Grundverordnung grundlegend.

Die DSGVO setzt voraus, dass Kunden aktiv einwilligen, dass ihre Daten verarbeitet werden. Daher dürfen keine E-Mails mehr an Interessenten und potenzielle Kunden gesendet werden, die kein Interesse am Produkt oder an der Dienstleistung zeigen. Dies gilt nicht nur für Ihre aktuelle Mailing-Liste, sondern auch für alle Listen, die Sie von Dritten einkaufen. Auch bei Adresslisten von Dritten müssen die Kunden eindeutig zugestimmt haben, dass sie Marketing-E-Mails empfangen möchten.

Sorgen Sie dafür, dass alle Einwilligungserklärungen der Kunden an einem Ort zentral gespeichert und abgelegt werden. Die DSGVO sieht auch vor, dass Sie von allen Kunden einen Nachweis der Zustimmung zur Verarbeitung der Daten durch Ihr Unternehmen haben.

Darüber hinaus sind Prozesse und Maßnahmen erforderlich, wenn Kunden um die Löschung ihrer Daten bitten. Dies ist eine direkte Folge des „Rechts auf Vergessenwerden“ der Datenschutz-Grundverordnung. Daher wird es notwendig sein, dass Sie Ihre Methoden für das Kundenprofiling entsprechend anpassen müssen.

Die DSGVO bietet Ihnen allerdings auch einige neue Möglichkeiten: Deutsche Unternehmen sind mit Inkrafttreten des Gesetzes endlich genauso wettbewerbsfähig wie ihre europäischen Konkurrenten. Der § 28 Absatz 3 des BDSG wird mit der neuen EU-Richtlinie abgeschafft. Außerdem ist ab 2018 die Datennutzung zu Marketing-Zwecken erlaubt, sofern ein berechtigtes Interesse besteht. Diese war in Deutschland seit der BDSG-Novelle aus dem Jahr 2009 für Daten, die aus öffentlichen Verzeichnissen stammen, mehr oder weniger eingeschränkt.


Fazit

Unsere Wirtschaft ist in hohem Maße datengesteuert und der Verkehr personenbezogener Daten nimmt stetig zu. Persönliche Daten spielen somit eine zentrale Rolle, die mit der neuen EU-Datenschutz-Grundverordnung besser geschützt werden. Die DSGVO soll sicherstellen, dass Unternehmen mit den privaten Daten ihrer Kunden sorgfältig umgehen. Die neue Gesetzgebung muss sich nicht zwangsläufig auf die Rentabilität einiger Unternehmen auswirken. Sie kann auch als Chance verstanden werden, um einen Wettbewerbsvorteil zu erzielen.