Datenschutzkonformes Marketing – der Einstieg

Datenschutz 0
Grafik zu Blogbeitrag Azurgelb -Datenschutz-konformesmarketing Einstieg

Im Mai 2018 sind mit der Datenschutzgrundverordnung (DSGVO) der EU und dem Bundesdatenschutzgesetz (BDSGneu) der Bundesrepublik zwei Gesetze in Kraft getreten, die Unternehmern, Selbstständigen und Freiberuflern zu schaffen machen. In den nächsten Wochen sorgen wir für Klarheit hinsichtlich der Relevanz der DSGVO im Marketing und geben einen Einblick in die Grundlagen des Datenschutz.

DSGVO – Die Grundlagen verständlich erklärt

 

Was sind personenbezogene Daten?

Das sind alle Daten, durch die ein Mensch eineindeutig identifiziert werden kann. Dazu gehören Namen, E-Mail-Adressen und Telefonnummern (privat und geschäftlich), Postanschriften, Bankverbindungen, Informationen über Familienstand, Krankheiten, Kaufverhalten, Ethnie usw. Der Gesetzgeber unterscheidet dabei zwischen (1) allgemeine, personenbezogene Daten und (2) besonders schützenswerte, sensible Daten. Das sind z. B. Informationen über Gewerkschafts-Zugehörigkeiten, zur Weltanschauung, Gesundheit, zum Sexualleben oder zu biometrischen Daten. (DSGVO §4 Abs. 1)

Darf man personenbezogene Daten erheben?

Ja, man darf. Ohne personenbezogene Daten könnte kein Online-Shop oder Arzt, keine Bank oder Behörde arbeiten. Die Gesetze regeln, wie man mit diesen Daten umgehen muss und wie sie zu schützen sind:

  • Wenn die Verarbeitung der Daten notwendig ist, um einen Vertrag zu erfüllen, z. B für die Zustellung von Waren oder zur Abrechnung von Dienstleistungen, darf man personenbezogene Daten erheben.
  • Wenn die Verarbeitung der Daten nicht notwendig aber nützlich ist, kann man sich für die Verarbeitung eine Erlaubnis einholen z. B. schriftlich oder über Double Opt-in auf der Website. (DSGVO §6)
  • Die Verarbeitung sensibler Daten ist grundsätzlich untersagt, außer der Betroffene hat es ausdrücklich erlaubt, es dient dem Schutz lebenswichtiger Interessen oder es besteht ein entsprechendes öffentliches Interesse. (DSGVO §9 – hier gibt es eine detaillierte Auflistung aller Ausnahmen)

Was ist der Unterschied zwischen der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSGneu)?

Die Datenschutzgrundverordnung (DSGVO) ist eine EU-Verordnung und gilt unmittelbar in allen Mitgliedsländern der Europäischen Union. Diese Verordnungen können über nationale Gesetze noch konkretisiert werden. Nationales Recht kann jedoch dem EU-Recht widersprechen oder es aufweichen. Im Gegensatz dazu müssen Europäische Richtlinien von den Mitgliedsländern in entsprechende Gesetze umgewandelt werden.

Das Bundesdatenschutzgesetz (BDSGneu) enthält ergänzende Regelungen zur DSGVO. Es regelt die Einhaltung der europäischen Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung ihrer Daten durch Behörden zur Verhinderung, Aufdeckung und Verfolgung von Straftaten. In Teil 3 und 4 des BDSGneu gibt es außerdem noch Regelungen für spezielle öffentliche Stellen, die für Unternehmen jedoch nicht relevant sind.

Wer ist für den Datenschutz verantwortlich?

Verantwortlich ist derjenige, der darüber entscheidet, zu welchem Zweck und auf welche Art die personenbezogenen Daten verarbeitet werden. Die Verantwortliche Stelle kann sowohl eine natürliche als auch eine juristische Person (z. B. GmbH, AG, e.V.) sein. Der Datenschutz-Beauftragte hingegen ist nicht befugt, Entscheidungen zu treffen. Er muss den Verantwortlichen beraten, was zu tun ist, um die Datenschutz-Vorschriften einzuhalten. Damit Interessenskonflikte vermieden werden, darf kein Mitarbeiter in leitender Position oder der Geschäftsführer selbst zum Datenschutz-Beauftragten ernannt werden. (DSGVO §4 Abs. 7)

Weniger als 10 Mitarbeiter: Muss man „Datenschutz machen“?

Jedes Unternehmen, jeder Selbstständige und jeder Freiberufler muss die personenbezogenen Daten schützen, die er verarbeitet (DSGVO §2). Das Bundesdatenschutzgesetz legt für die DSGVO fest, dass bei mindestens 10 Beschäftigten in einem Unternehmen ein Datenschutz-Beauftragter benannt werden muss (BDSG §38).

Auftrags-Verarbeiter: Was ist zu beachten, wenn Dienstleister Daten verarbeiten?

Verantwortlich ist immer der, der über die Datenverarbeitung entschieden hat. Wenn also z. B. ein Unternehmen ein Call-Center beauftragt Kunden anzurufen, ist das Unternehmen dem Kunden gegenüber verantwortlich, die Daten zu schützen. Wie dies zu geschehen hat, ist mit dem Dienstleister (Auftrags-Verarbeiter) über einen Vertrag (Auftragsverarbeitungsvertrag, kurz AVV) zu klären.

Ist die Datenschutzgrundverordnung (DSGVO) für mich relevant?

Für jeden der Daten von EU-Bürgern verarbeitet oder Geschäfte mit Personen / Unternehmen in der EU anstrebt, ist die DSGVO wichtig (Marktort-Prinzip). Damit gilt die DSGVO auch für Unternehmen aus anderen Ländern, sobald Sie sich an EU-Bürger richten (z. B. Facebook, Samsung, Sony, etc.).

Anika Iliev ist zertifizierte Datenschutzbeauftragte (TÜV Nord Zertifikat 08/2018). Alle Angaben zum Thema Datenschutz spiegeln ihre Lesart der Gesetze und Rechtssprechungen wider, verstehen sich aber weder als vollständig noch als rechtsverbindlich. Die Inhalte der Website und Vorträge sollen einen pragmatischen Einstieg in ein komplexes Thema bieten. Sie ersetzen jedoch keine Beratung von einem Anwalt. Gern berät sie Sie zu Ihren spezifischen Fragen hinsichtlich datenschutzkonformen Marketingmaßnahmen.


Add CommentYour email address will not be published