print logo

Die EU-Datenschutzreform könnte das Online Direktmarketing beschränken

Die EU-Kommission arbeitet an einer Reform des Datenschutzrechts mit signifikante Einflüsse auf das Online Direktmarketing
Stefan Mies | 14.12.2011

Die EU-Kommission arbeitet an einer Reform des Datenschutzrechts in der Europäischen Union. Doch schon jetzt ist ein inoffizieller Entwurf der neuen Datenschutzverordnung an die Öffentlichkeit durchgesickert. In ihrer jetzigen Form hätte die
Dazenschutzverordnung signifikante Einflüsse auf das Online Direktmarketing in der EU. Die Datenschutzverordnung würde einheitlich in der gesamten EU gelten und würde damit nationale Regelungen zum Datenschutz verhindern. Eine offizielle Stellungnahme der Kommission wurde für Ende Januar 2012 angekündigt. Im folgenden sind die Punkte aufgeführt, die für das Online Direktmarketing von Relevanz sind.

Direktmarketing ohne explizite Zustimmung des Nutzers soll verboten werden

»Art. 5(2): Processing of personal data for direct marketing for commercial purposes shall be lawful only if the data subject has given consent to the processing of their personal data for such marketing.«

Die Nutzung jeglicher Form personenbezogener Daten im kommerziellen Direktmarketing soll laut Verordnung nur noch nach expliziter Zustimmung des betroffenen Nutzers zulässig sein. Bisher sind im deutschen Recht Ausnahmen vorgesehen, welche die Nutzung personenbezogener Daten im kommerziellen Direktmarketing unter bestimmten Umständen auch ohne Einwilligung des Nutzers ermöglichen. Diese Ausnahmen würden mit Umsetzung der Verordnung verschwinden.

Der Schutz von Minderjährigen wird verschärft

»Art. 7(6): Consent of a child shall only be valid when given or authorized by the child's parent or custodian.«

Die Verordnung schreibt vor, dass eine Zustimmung von
Minderjährigen nur noch zulässig ist, wenn diese von
einem Elternteil oder berechtigten Vormund abgegeben wurde. Da bisher kein System für eine wirksame Altersüberprüfung im Direktmarketing existiert, bestünde die Gefahr für Unternehmen, dass sie versehentlich Minderjährige ansprechen.

Ein Recht auf Löschung und Vergessen soll etabliert werden

»Art. 15: The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data Die Verordnung sieht vor, dass ein Nutzer jederzeit die Löschung seiner erfassten Daten sowie die Unterlassung ihrer
Weiterverbreitung von einem Unternehmen verlangen darf. Die Umsetzung der Anfrage des Nutzers muss dabei prinzipiell ohne Verzögerung erfolgen.

Die Anforderungen an Profiling sollen verschärft werden

»Art. 18(1): Every natural person shall have the right not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which
is based on automated processing intended to evaluate
certain personal aspects relating to this natural person or to analyse or predict in particular the natural person's performance at work, creditworthiness, economic situation, location, health, personal preferences, reliability or behaviour.«

Die Verordnung sieht vor, dass die Profilbildung von Nutzern - inkl. Scoring - beschränkt werden soll, wenn die Möglichkeit besteht, dass daraus rechtliche Konsequenzen oder signifikante Auswirkungen im Hinblick auf eine Leistungsüberwachung am Arbeitsplatz, die Kreditwürdigkeit, die wirtschaftliche
Situation, den Wohnort, die Gesundheit, die persönlichen Vorlieben, die Zuverlässigkeit oder das allgemeine Verhalten des Nutzers haben könnten. Eine präzise Beschreibung, welche Auswirkung als signifikant zu gelten haben, liegt bisher nicht
vor.

Nutzer sollen erweiterte Auskunftsrechte erhalten

»Art. 9(1)&(2): The controller shall have transparent and easily accessible policies with regard to the processing of personal data and for the exercise of data subjects' rights. The controller shall provide any information and any communication relating to the processing of personal data to the data subject in an
intelligible form, using clear and plain language, adapted to the data subject, in particular for any information addressed specifically to a child.«

Laut Verordnung müssen datenverarbeitende Unternehmen
transparente, einfach verständliche und leicht
zugängliche Datenschutz-Richtlinien vorliegen haben. Die Richtlinien müssen in verständlicher Sprache
beschreiben, wie das Unternehmen Daten verarbeitet und wie es garantiert, dass die Rechte der Nutzer geachtet werden.

Nutzer sollen jederzeit anfragen dürfen, welche Daten von ihnen gespeichert werden und wie diese verarbeitet werden. Die Unternehmen sollen verpflichtet werden, Prozesse einzurichten, die eine verzögerungsfreie Beantwortung von Nutzeranfragen ermöglichen. Eine Auflistung der Informationen, welche einem Nutzer mitgeteilt werden müssen, findet sich in Art. 1.

Extraterritoriale Datenübermittlungen müssen an
EU-Standards angepasst werden

»Art. 37a: Any transfer of personal data which are undergoing processing or are intended for processing
after transfer to a third country or to an international organisation may only take place if: the level of protection of individuals for the protection of personal data guaranteed in the Union by this Regulation is not undermined«

Unternehmen, die Daten von EU-Bürgern an Unternehmen
außerhalb der EU übermitteln möchten, sollen dies
laut Verordnung nur noch tun dürfen, wenn sie garantieren können, dass die Daten auch dort nach EU Standards behandelt werden. Dies gilt auch für weiterführende Transfers, also auch, wenn das Nicht-EU-Unternehmen die Daten noch einmal an ein weiteres Nicht-EU-Unternehmen ubermittelt. Damit müssen sich
auch Nicht-EU-Unternehmen EU Recht unterwerfen, wenn sie mit Daten aus der EU arbeiten möchten. Globale Kooperationen werden dadurch erschwert. Ausnahmen müssen von der Kommission genehmigt werden.

Sanktionen für Verstöße sollen verschärft werden

Verstöße gegen die Verordnung können, je nach Schwere des Verstoßes, mit einer Geldstrafe von 100 € bis zu
1.000.000 € oder prozentual von 1 Prozent bis zu 5 Prozent des weltweiten Umsatzes des Unternehmens geahndet werden. Eine genaue Auflistung von Verstößen und möglichen Bußgeldern findet sich in Art. 79.

Rechtssicheres Opt-In Management mit Privacy Admission Control in ELAINE

Unternehmen stehen bei der Erhebung und Verarbeitung von Daten für das Marketing und insbesondere von personenbezogenen Reaktionsdaten vor hohen rechtlichen Anforderungen. Es bedarf rechtssicherer technischer Prozesse, sowie wirksam eingeholter und geeigneter Zustimmungen der Abonnenten im Rahmen der Datennutzungserklärungen.

Dieses Whitepaper erläutert die rechtlichen und technischen Anforderungen sowie den Einsatz des ELAINE Privacy Admission Control.

Laden Sie hier das Whitepaper für ein rechtssichers Opt-In Management herunter: http://www.artegic.de/pac


------------------

Weitere aktuelle Studien und Praxiswissen aus Dialogmarketing und E-CRM gibt es stets frisch über: http://twitter.com/artegic

Website der artegic AG: http://www.artegic.de

artegic AG
Dreizehnmorgenweg 40-42
53175 Bonn

Tel.: +49 (0)228 22 77 97-0
Fax: +49 (0)228 22 77 97-900
E-Mail: info@artegic.de
Url: www.artegic.de