Die neue EU-Datenschutzverordnung und ihre Auswirkungen auf das E-Mail-Marketing
by Tobias Guenther
Mit großem Aufsehen wurde vergangene Woche die Präsentation des Entwurfes für die neue EU-Datenschutzverordnung begleitet, so wie bereits schon im Vorfeld bekannt gewordene Details in allen europäischen Mitgliedstaaten hitzig diskutiert wurden. Die neue Datenschutzverordnung wird die Datenschutz-Richtlinie von 1995 ersetzen, nach welcher sich bislang alle nationalen europäischen Gesetze zum Datenschutz richten (so auch das deutsche BDSG). Um einen einheitlichen Datenschutz in Europa zu erreichen und damit das europäische Datenschutzrecht an die Realitäten des digitalen Datenflusses anzupassen, entschied sich die Kommission für umfassende Regelungen in Form einer EU-Verordnung. Dies hat zur Folge, dass die Mitgliedstaaten die Vorgaben nicht erst – wie bei einer Richtlinie – per nationalem Gesetz umsetzen müssen, was regelmäßig zu starken Schwankung in inhaltlicher und zeitlicher Umsetzung in den einzelnen Nationalstaaten führt. Eine EU-Verordnung gilt unmittelbar in allen Mitgliedstaaten der Europäischen Union.
Das neue Datenschutzrecht der EU ist wie erwartet um einiges strenger als die alte Richtlinie. Zum einen sieht die Verordnung stärkere Sanktionen vor, welche für Verstöße verhängt werden können. So sollen die jeweiligen Aufsichtsbehörden die Möglichkeit erhalten, Bußgelder von bis zu 1 Mio. EUR zu verhängen, wenn ein Datenverarbeiter nicht die gesetzlichen Vorschriften und Sicherheitsmaßnahmen einhält. Gegen Unternehmen beträgt das Bußgeld bis zu 2% des weltweiten Jahresumsatzes. Dabei ist das europäische Datenschutzrecht nicht mehr nur für solche Personen und Unternehmen verpflichtend, welche Ihren Sitz innerhalb der EU haben, sondern kann auch Datenverarbeiter außerhalb der EU treffen, wenn diese Daten von Bürgern eines Mitgliedsstaates der EU verarbeiten. Folglich genießen alle EU-Bürger weltweit den gleichen datenrechtlichen Schutz, egal durch wen, wie oder wo ihre Daten verarbeitet oder übermittelt werden. Wie dies technisch umgesetzt werden kann, ist allerdings fraglich, da sich im weltweiten elektronischen Datenverkehr üblicherweise die Herkunft eines Betroffenen nicht durch einen Datensatz allein offenbart.
Abgesehen von diesen Neuerungen in Umsetzung und Reichweite des Gesetzes ändert sich für den deutschen Datenverarbeiter und insbesondere im Bereich des E-Mail-Marketings nach dem aktuellen Entwurf nichts Wesentliches. Insbesondere bei der Einwilligung in die Zusendung von E-Mail-Werbung ergeben sich für Deutschland keine gesetzlichen Neuerungen. Die Verordnung fordert nach jetzigem Stand eine ausdrückliche Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten für einen jeweils konkret bestimmten Zweck. Diese Anforderung einer freiwilligen, transparenten, bewussten und eindeutigen Einwilligung gibt es nach deutschem Recht und höchstrichterlicher Ausgestaltung bereits jetzt.
Mehraufwand könnte sich im Umfeld der Lead-Generierung ergeben, wenn der Betroffene initial nicht nur eine Einwilligung für einen Datenverarbeiter erteilt, sondern gleich für mehrere. Denn das neue „right to be forgotten“ gibt jedem Betroffenen das Recht, von der verantwortlichen Stelle die Löschung seiner personenbezogenen Daten zu verlangen. Dies enthält auch die Pflicht der verantwortlichen Stelle, Dritte anzuweisen, diesen übermittelte oder veröffentliche Daten zu löschen. Weiterhin hat der Datenverarbeiter Mechanismen zu implementieren, die sicherstellen, dass personenbezogene Daten nach bestimmten Fristen gelöscht und die Erforderlichkeit der Speicherung regelmäßig überprüft werden. Diese Regelung zielt selbstredend auf soziale Netzwerke ab, für die es gesetzlich zur Pflicht wird, alle Daten, die durch sie veröffentlicht werden, weiterhin zu kontrollieren und gegebenenfalls auch Dritte, z.B. Werbepartner, welche die Daten nutzen um personalisierte Werbung anzubieten, dazu zu zwingen, diese Daten auf Wunsch des Betroffenen wieder zu löschen.
Der Entwurf der Verordnung wird nun das europäische Gesetzgebungsverfahren durchlaufen, in dessen Verlauf noch einige Änderungen zu erwarten sind. Zudem enthält der Entwurf, trotz seiner unmittelbaren Wirkung in allen Mitgliedsstaaten, Möglichkeiten für Mitgliedstaaten bereit, an bestimmten Stellen weitergehende, nationale Regelungen zu treffen.
Fazit: Insgesamt stellt die Verordnung, wie erwartet, einen großen Schritt für die Europäische Union in Sachen Datenschutz dar. Für einige Mitgliedstaaten bedeuten die Regelungen eine deutliche Verschärfung des Datenschutzes, was schlussendlich jedem Bürger zu Gute kommt. Die Verordnung bietet durch ihre homogene europaweite Struktur große Vorteile gerade für global oder europaweit agierende Unternehmen. Andererseits ist zu erwarten, dass noch Veränderungen im Gang des Gesetzgebungsverfahrens vorgenommen werden und sich wieder nationale Unterschiede gerade durch die verschiedenen Ausgestaltungsmöglichkeiten ergeben werden.
Für E-Mail-Marketer gilt: Wenn Sie bisher bereits sauberen Einwilligungs- und Abmeldeprozesse implementiert haben, bringt die die neuen Richtlinien kaum Änderungen und stellt entsprechend kein Grund zur Panik dar.
Weitere Informationen unter http://www.ecircle.com/blog/de
Mit großem Aufsehen wurde vergangene Woche die Präsentation des Entwurfes für die neue EU-Datenschutzverordnung begleitet, so wie bereits schon im Vorfeld bekannt gewordene Details in allen europäischen Mitgliedstaaten hitzig diskutiert wurden. Die neue Datenschutzverordnung wird die Datenschutz-Richtlinie von 1995 ersetzen, nach welcher sich bislang alle nationalen europäischen Gesetze zum Datenschutz richten (so auch das deutsche BDSG). Um einen einheitlichen Datenschutz in Europa zu erreichen und damit das europäische Datenschutzrecht an die Realitäten des digitalen Datenflusses anzupassen, entschied sich die Kommission für umfassende Regelungen in Form einer EU-Verordnung. Dies hat zur Folge, dass die Mitgliedstaaten die Vorgaben nicht erst – wie bei einer Richtlinie – per nationalem Gesetz umsetzen müssen, was regelmäßig zu starken Schwankung in inhaltlicher und zeitlicher Umsetzung in den einzelnen Nationalstaaten führt. Eine EU-Verordnung gilt unmittelbar in allen Mitgliedstaaten der Europäischen Union.
Das neue Datenschutzrecht der EU ist wie erwartet um einiges strenger als die alte Richtlinie. Zum einen sieht die Verordnung stärkere Sanktionen vor, welche für Verstöße verhängt werden können. So sollen die jeweiligen Aufsichtsbehörden die Möglichkeit erhalten, Bußgelder von bis zu 1 Mio. EUR zu verhängen, wenn ein Datenverarbeiter nicht die gesetzlichen Vorschriften und Sicherheitsmaßnahmen einhält. Gegen Unternehmen beträgt das Bußgeld bis zu 2% des weltweiten Jahresumsatzes. Dabei ist das europäische Datenschutzrecht nicht mehr nur für solche Personen und Unternehmen verpflichtend, welche Ihren Sitz innerhalb der EU haben, sondern kann auch Datenverarbeiter außerhalb der EU treffen, wenn diese Daten von Bürgern eines Mitgliedsstaates der EU verarbeiten. Folglich genießen alle EU-Bürger weltweit den gleichen datenrechtlichen Schutz, egal durch wen, wie oder wo ihre Daten verarbeitet oder übermittelt werden. Wie dies technisch umgesetzt werden kann, ist allerdings fraglich, da sich im weltweiten elektronischen Datenverkehr üblicherweise die Herkunft eines Betroffenen nicht durch einen Datensatz allein offenbart.
Abgesehen von diesen Neuerungen in Umsetzung und Reichweite des Gesetzes ändert sich für den deutschen Datenverarbeiter und insbesondere im Bereich des E-Mail-Marketings nach dem aktuellen Entwurf nichts Wesentliches. Insbesondere bei der Einwilligung in die Zusendung von E-Mail-Werbung ergeben sich für Deutschland keine gesetzlichen Neuerungen. Die Verordnung fordert nach jetzigem Stand eine ausdrückliche Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten für einen jeweils konkret bestimmten Zweck. Diese Anforderung einer freiwilligen, transparenten, bewussten und eindeutigen Einwilligung gibt es nach deutschem Recht und höchstrichterlicher Ausgestaltung bereits jetzt.
Mehraufwand könnte sich im Umfeld der Lead-Generierung ergeben, wenn der Betroffene initial nicht nur eine Einwilligung für einen Datenverarbeiter erteilt, sondern gleich für mehrere. Denn das neue „right to be forgotten“ gibt jedem Betroffenen das Recht, von der verantwortlichen Stelle die Löschung seiner personenbezogenen Daten zu verlangen. Dies enthält auch die Pflicht der verantwortlichen Stelle, Dritte anzuweisen, diesen übermittelte oder veröffentliche Daten zu löschen. Weiterhin hat der Datenverarbeiter Mechanismen zu implementieren, die sicherstellen, dass personenbezogene Daten nach bestimmten Fristen gelöscht und die Erforderlichkeit der Speicherung regelmäßig überprüft werden. Diese Regelung zielt selbstredend auf soziale Netzwerke ab, für die es gesetzlich zur Pflicht wird, alle Daten, die durch sie veröffentlicht werden, weiterhin zu kontrollieren und gegebenenfalls auch Dritte, z.B. Werbepartner, welche die Daten nutzen um personalisierte Werbung anzubieten, dazu zu zwingen, diese Daten auf Wunsch des Betroffenen wieder zu löschen.
Der Entwurf der Verordnung wird nun das europäische Gesetzgebungsverfahren durchlaufen, in dessen Verlauf noch einige Änderungen zu erwarten sind. Zudem enthält der Entwurf, trotz seiner unmittelbaren Wirkung in allen Mitgliedsstaaten, Möglichkeiten für Mitgliedstaaten bereit, an bestimmten Stellen weitergehende, nationale Regelungen zu treffen.
Fazit: Insgesamt stellt die Verordnung, wie erwartet, einen großen Schritt für die Europäische Union in Sachen Datenschutz dar. Für einige Mitgliedstaaten bedeuten die Regelungen eine deutliche Verschärfung des Datenschutzes, was schlussendlich jedem Bürger zu Gute kommt. Die Verordnung bietet durch ihre homogene europaweite Struktur große Vorteile gerade für global oder europaweit agierende Unternehmen. Andererseits ist zu erwarten, dass noch Veränderungen im Gang des Gesetzgebungsverfahrens vorgenommen werden und sich wieder nationale Unterschiede gerade durch die verschiedenen Ausgestaltungsmöglichkeiten ergeben werden.
Für E-Mail-Marketer gilt: Wenn Sie bisher bereits sauberen Einwilligungs- und Abmeldeprozesse implementiert haben, bringt die die neuen Richtlinien kaum Änderungen und stellt entsprechend kein Grund zur Panik dar.
Weitere Informationen unter http://www.ecircle.com/blog/de