Marketing-Börse PLUS - Fachbeiträge zu Marketing und Digitalisierung
print logo

Grundlagen der DSGVO: Was bei der EU-Datenschutzverordnung zu beachten ist

Was sollte jeder Marketing- und Kommunikationsverantwortliche über die neue Datenschutzgrundverordnung der EU wissen? Ein Überblick plus Checkliste.
Lianatech GmbH | 06.11.2017
© Lianatech GmbH
 

Was sollte jeder Marketing- und Kommunikationsverantwortliche über die neue Datenschutzgrundverordnung (DSGVO) der EU wissen? Die Menge an verfügbaren Informationen zu diesem Thema ist nahezu unendlich und insbesondere die juristische Terminologie ist eine Herausforderung. In diesem Artikel geht es darum, die Grundlagen zu klären, die Terminologie zu erläutern und notwendige Schritte zur Vorbereitung darzustellen.

Worum geht es bei der DSGVO überhaupt?

Die DSGVO (Datenschutzgrundverordnung) tritt im Mai 2018 in allen Mitgliedsstaaten der EU in Kraft. Die Verordnung zielt darauf ab, die Datenschutzpraktiken innerhalb der EU zu harmonisieren und die Privatsphäre der EU-Bürger besser zu schützen. Die Verordnung betrifft alle Organisationen und Unternehmen, die personenbezogene Daten sammeln, speichern und verarbeiten – sei es eine große börsennotierte Gesellschaft, eine Stiftung, eine kleines Unternehmen oder eine Verwaltungsorganisation. Da fast alle Unternehmen eine Art Register führen (wie beispielsweise Kunden- oder Mitgliederregister), trifft die Verordnung nahezu jeden. Die DSGVO muss ernst genommen werden, weil im Fall von Verstößen hohe Geldbußen verhängt werden – je nach Unternehmensgröße bis zu 20 Millionen Euro oder 4% der Einnahmen aus dem Vorjahr. Die Verordnung tritt am 25 Mai 2018 in Kraft. Sie betrifft auch Unternehmen außerhalb der EU, sofern diese Daten von EU-Bürgern verarbeiten.

Grundlegende Terminologie der DSGVO

Bevor es um Inhaltliches geht, sind zunächst ein paar grundlegende Begrifflichkeiten zu klären: Personenbezogene Daten: Alle Daten, mit denen eine natürliche Person identifiziert werden kann. Das kann ein Name, eine Adresse, eine Sozialversicherungsnummer, eine E-Mail-Adresse oder eine IP-Adresse sein. Personenregister: Ein strukturiertes Ablagesystem für personenbezogene Daten, das nach bestimmten Kriterien zugänglich ist. Datenverantwortlicher: Eine natürliche Person, eine Gemeinschaft, ein Büro, eine Stiftung oder eine andere Einrichtung, für die ein Register eingerichtet wurde und die das Recht hat, die Daten zu nutzen. Datenverarbeiter: Eine natürliche Person, ein Regierungsvertreter, ein Büro oder ein Unternehmen, welches das Register im Auftrag des Datenverantwortlichen bearbeitet, wie beispielsweise ein Anbieter von E-Mail-Marketing-Software. Betroffene Person: Eine Person im Register, die identifiziert werden kann. Opt-in: Die Einwilligung einer Person zur Erhebung und Verarbeitung ihrer personenbezogenen Daten.

Die DSGVO bringt Rechte, Pflichten und Verantwortlichkeiten

Mit dem Inkrafttreten der Datenschutz-Grundverordnung nehmen die Rechte der betroffenen Personen zu, während gleichzeitig die Pflichten und Verantwortlichkeiten der Datenverantwortlichen wachsen. Die Verordnung erlaubt den betroffenen Personen, Auskunft über ihre personenbezogenen Daten sowie deren Verwendung zu erhalten. Sie erhalten außerdem das Recht, ihre personenbezogenen Daten löschen zu lassen und deren weiterer Verarbeitung zu widersprechen. Im Rahmen der DSGVO muss der Datenverantwortliche sicherstellen, dass er in der Lage ist, Auskunft über die angeforderten Daten an die betroffenen Personen zu erteilen und er muss die Anforderungen zur Löschung von Daten erfüllen. Der Datenverantwortliche muss darüber hinaus nachweisen können, dass er berechtig ist, personenbezogene Daten zu erheben und zu verarbeiten. Bei der Verarbeitung personenbezogener Daten muss der Datenverantwortliche die Grundsätze von Artikel 5 der DSGVO beachten. Wichtige Elemente der neuen Regelung sind eingebaute Datenschutz-Einstellungen ("Privacy by Design") sowie standardmäßige datenschutzfreundliche Voreinstellungen ("Privacy by Default"). Dies bedeutet, dass Unternehmen und Organisationen verpflichtet sind, bei der Entwicklung von Systemen, Diensten und Praktiken Aspekte der Datensicherheit zu berücksichtigen, sofern diese in irgendeiner Weise mit der Verarbeitung personenbezogener Daten in Verbindung stehen ("Privacy by Design"). Sie müssen außerdem sicherstellen, dass sie nur die relevanten personenbezogenen Daten erfassen und verarbeiten ("Privacy by Default"). Im Wesentlichen bringt die DSGVO mehr Transparenz und Sicherheit in den Prozess der Erhebung und Verarbeitung personenbezogener Daten. Mit dem Recht auf Vergessenwerden können betroffene Personen ihre persönlichen Daten einfach löschen lassen; dies war bislang nur mit größerem Aufwand möglich. Mit Inkrafttreten der DSGVO müssen die Datenverarbeiter von persönlichen Datenregistern sicherstellen (und nachweisen können!), dass sie die Datenschutzbestimmungen einhalten und die Sicherheit der personenbezogenen Daten wahren.

DSGVO [Checkliste] – Vorbereitung auf die Datenschutzgrundverordnung:

1. Kennen Sie Ihre Rolle – sind Sie Datenverantwortlicher oder Datenverarbeiter? Stellen Sie sicher, dass Sie sich darüber im Klaren sind, welche Rolle Ihre Organisation beim Umgang mit personenbezogenen Daten spielt: Sind Sie Datenverantwortlicher, Datenverarbeiter oder gar beides? Die Definition Ihrer Rolle bildet die Grundlage für Ihren Pflichten und Verantwortlichkeiten. 2. Überprüfen Sie die Rechtmäßigkeit der Verarbeitung personenbezogener Daten Überprüfen Sie, welche persönlichen Daten Ihre Organisation sammelt, wie sie verarbeitet werden und in welchen Systemen sie gespeichert werden. Vergessen Sie dabei nicht, auch die ausgelagerte Verarbeitung personenbezogener Daten zu berücksichtigen. Stellen Sie sicher, dass Sie personenbezogene Daten ausschließlich gemäß der Vorgaben der DSGVO verarbeiten und überarbeiten Sie gegebenenfalls Ihre Prozesse. Überprüfen Sie, ob es möglich ist, dies in allen Systemen umzusetzen, in denen persönliche Daten (für Sie) verarbeitet werden (z. B. E-Mail-Marketing-Tool). Vergewissern Sie sich, dass die Personen, die sich in Ihrem Register befinden, der Erhebung ihrer personenbezogenen Daten zugestimmt haben oder dass andere Kriterien die Verarbeitung dieser Daten legitimieren. Wenn Sie keine Legitimation zur Nutztung aller persönlichen Daten in Ihrem Register haben, überlegen Sie, auf welchem Weg Sie die fehlenden Einwilligungen erhalten können (Opt-in). Seien Sie notfalls bereit, Ihre Praktiken zu revidieren und auf die Nutzung der persönlichen Daten zu verzichten, die sich in einer Grauzone befinden. Danken Sie außerdem daran, dass in vielen EU-Ländern die nationalen Rechtsvorschriften, die die DSGVO ergänzen werden, noch nicht vollständig sind. 3. Berücksichtigen Sie die Rechte der betroffenen Person Seien Sie darauf vorbereitet, den betroffenen Personen auf Verlangen Informationen über ihre personenbezogenen Daten und deren Speicherung in elektronischer Form bereitzustellen. Die Informationen sollten dabei übersichtlich und leicht verständlich dargestellt werden. Stellen Sie sicher, dass die betroffene Person ihre personenbezogenen Daten übertragen oder sich vollständig aus dem Register löschen kann. Sofern das Register der personenbezogenen Daten außerhalb der EU gespeichert wird, stellen Sie sicher, dass die betroffenen Personen ihre Zustimmung zur Übertragung ihrer Daten außerhalb der EU erteilt haben. included image In der Datenschutzerklärung von Twitter wird angegeben, dass Nutzerdaten auch in den USA gespeichert werden dürfen. 4. Achten Sie auf die Datensicherheit Stellen Sie sicher, dass die Datensicherheit der personenbezogenen Daten entsprechend beachtet wird und führen Sie eine Risikobewertung aller plausiblen Bedrohungen durch. Dokumentieren Sie die Datensicherheitspraktiken Ihres Unternehmens, indem Sie mindestens die folgenden Fragen beantworten: Wie werden personenbezogene Daten verarbeitet und aus welchen Gründen? Wie wird Datensicherheit gewährleistet? Welche Maßnahmen werden bei einer möglichen Datenschutzverletzung ergriffen? Wer in der Organisation hat Zugang zu persönlichen Daten und verarbeitet sie? Bringen Sie in Erfahrung, wie sich Ihre Systemanbieter auf etwaige Datenschutz-Probleme vorbereitet haben. Bitten Sie um eine schriftliche Dokumentation, die Sie für die zukünftige Verwendung speichern können. 5. Aktualisieren Sie Ihre Datenschutzrichtlinien und Nutzungsbedingungen Vergewissern Sie sich, dass Sie eine Datenschutzrichtlinie für alle Ihre Register haben und dass diese Richtlinien leicht zugänglich sind. Ergänzen Sie Ihre Nutzungsbedingungen um Geschäftspraktiken, die relevant für den Datenschutz sind. Überprüfen Sie Ihre Verträge mit Kunden, Dienstleistern, Subunternehmern und Systemanbietern und beachten Sie, dass der Datenverarbeiter ohne eine schriftliche Vereinbarung (oder ein anderes rechtskräftiges Dokument) mit dem Datenverantwortlichen keine persönlichen Daten verarbeiten kann. Diese Vereinbarung muss alle Informationen enthalten, die in Artikel 28 der DSGVO erwähnt werden. Stellen Sie sicher, dass die Inhalte der Vereinbarungen, die die Verwendung personenbezogener Daten betreffen, mit den Datenschutzgesetzen des jeweiligen Landes übereinstimmen. Mit separaten Datensicherheitsvereinbarungen sorgen Sie dafür, dass sich alle Beteiligten um die Pflichten und Verantwortlichkeiten kümmern, die die Datenschutzverordnung mit sich bringt. 6. Nominieren Sie einen Datenschutzbeauftragten In Organisationen des öffentlichen Sektors und in Unternehmen mit mehr als 250 Mitarbeitern muss ein Datenschutzbeauftragter nominiert werden. Ein Datenschutzbeauftragter muss auch immer dann nominiert werden, wenn das Kerngeschäft eines Unternehmens die Verarbeitung sensibler persönlicher Daten oder großer persönlicher Datenregister beinhaltet. 7. Schulen Sie Ihre Mitarbeiter Schulen Sie die Mitarbeiter, die mit personenbezogenen Daten umgehen, damit diese über die Änderungen, die die DSGVO mit sich bringt, informiert sind. Mehr zum Thema DSGVO: Wie können sich Marketer auf die DSGVO vorbereiten? Die DSGVO im E-Mail-Marketing – die wichtigsten Änderungen Dieser Artikel wurde erstmals am 6. November 2017 veröffentlicht. Er stellt lediglich eine Empfehlung dar und ersetzt keinesfalls eine Rechtsberatung.