Unternehmen sollten sich auf die neuen Datenschutzrichtlinien einstellen. (c) Thinkstock/KrulUA
Unternehmen sollten sich auf die neuen Datenschutzrichtlinien einstellen. (c) Thinkstock/KrulUA
Datenschutz-Grundverordnung

Was Unternehmen jetzt wissen müssen (1)

Die Datenschutz-Grundverordnung (kurz „DSGVO“) wird mit Wirkung zum 25. Mai 2018 geltendes Recht. Unternehmen und Organisationen müssen sich im Zuge dessen europaweit auf zahlreiche Änderungen einstellen. Was die neuen Pflichten und Handlungserfordernisse für Unternehmen konkret bedeuten, erklärt dieser Zweiteiler.
Jan O. Baier

Unternehmen müssen sich auf strengere Datenschutzrichtlinien gefasst machen: Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO). Dieser Beitrag erklärt, für wen und für welche Daten die DSGVO relevant ist und welche Grundsätze bei der Verarbeitung personenbezogener Daten wichtig sind.

1. Gilt die DSGVO nur in der Europäischen Union (EU)?

Zukünftig gilt das Marktortprinzip. Der Anwendungsbereich der DSGVO erstreckt sich damit auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind und deren Waren oder Dienstleistungen sie an Kunden in der EU anbieten, zum Beispiel US-amerikanische Unternehmen wie Google oder Apple.

2. Welche Daten sind geschützt?

Die DSGVO schützt auch weiterhin personenbezogene Daten. Da der Begriff sehr weit zu verstehen ist, fallen darunter sämtliche Daten, die einer Person zugeordnet werden können. Dies können neben persönlichen Daten wie Name, Anschrift und E-Mail-Adresse auch alle möglichen sonstigen Daten einer Person sein wie die Schuhgröße, die Haarfarbe oder die simple Tatsache, dass eine Person Kunde eines Unternehmens ist. Es reicht, dass die Person mithilfe der zur Verfügung stehenden Daten identifiziert werden könnte. Wichtig ist insoweit, dass sehr viele Daten Personenbezug aufweisen und damit den Regelungen der DSGVO unterliegen.

3. Wann darf ich personenbezogene Daten verarbeiten?

Will man personenbezogene Daten im Unternehmen speichern oder in sonstiger Weise verarbeiten, zum Beispiel E-Mail-Adressen für den Newsletter-Versand, ist die Kernfrage, welche gesetzliche Grundlage es hierfür gibt. Es gilt hierfür ein sogenanntes Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass alles verboten ist, was nicht ausdrücklich erlaubt ist.

Die insoweit wichtigsten drei Regelungen sind:

  • Einwilligung
    Die betroffene Person hat eine Einwilligung zur Verarbeitung ihrer personenbezogener Daten erteilt (zum Beispiel per Opt-In zu einer Datenschutzerklärung).
  • Vertragserfüllung
    Die personenbezogenen Daten werden zur Durchführung eines Vertrages benötigt (zum Beispiel zur Bestellabwicklung).
  • Berechtigte Interessen (Generalklausel)
    Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich.

Neben der für die Praxis sehr relevanten Einwilligung des Betroffenen ist die Bedeutung der  neu gefassten Generalklausel „Datenverarbeitung zur Wahrung berechtigter Interessen“ nicht zu unterschätzen. Damit erhalten Unternehmen die Möglichkeit, ihre eigenen Interessen mit den Interessen der Nutzer am Datenschutz abzuwägen. Diese Erlaubnis wird daher im Marketing und bei neuen Technologien (Stichwort „Big Data“) auf jeden Fall eine große Rolle spielen.

Konkret bedeutet das: Eine Verarbeitung von Daten für Direktmarketingzwecke kann unter Umständen auf diese Erlaubnis gestützt werden. Dabei muss sich das Unternehmen im Rahmen der Interessenabwägung genau fragen, inwieweit die Adressaten mit der Verwendung ihrer Daten zu Direktmarketingzwecken rechnen können. Eine entscheidende Rolle wird hierbei spielen, ob Unternehmen die betroffenen Personen über die geplante Verwendung der Daten bei der Erhebung hingewiesen haben. Zukünftig sollten daher die Adressaten in den Datenschutzerklärungen der Unternehmen noch konkreter informiert werden, was mit erfassten Daten wie der E-Mail-Adresse geschieht – denn dann wissen die betroffenen Personen auch sicher, was sie zu erwarten haben.

4. Worauf muss ich beim Versand von Newslettern achten?

Außerhalb der zulässigen Bestandskundenwerbung ist beim Newsletter-Versand eine Einwilligung der Empfänger notwendig. Neu ist, dass diese Einwilligung nachweisbar sein muss. Daher ist auch künftig das Double-Opt-in-Verfahren bei der Anmeldung zu einem Newsletter zu empfehlen.

Wichtig ist auch, dass die E-Mail-Empfänger stets innerhalb des Newsletters auf die Möglichkeit des Widerrufs hingewiesen werden und eine einfache Abmeldemöglichkeit gegeben sein muss. In der Regel ist hierfür ein „Unsubscribe“-Link am Ende des Newsletters die rechtssicherste Lösung. 

5. Was ist bei der Zusammenarbeit mit externen Dienstleistern zu beachten?

Ob Newsletter-Versand, Projektmanagement-Software oder Cloud-basierte Social-Collaboration-Plattform – wer Tools externer Dienstleister nutzt, muss künftig einen sogenannten Vertrag zur Auftragsverarbeitung (AVV) abschließen, der den Anforderungen an die DSGVO genügt.

Eine entsprechende Anforderung gibt es zwar auch schon nach bestehendem Recht (§ 11 BDSG), nach der DSGVO sind allerdings die Mindestanforderungen an eine entsprechende Vereinbarung gestiegen, sodass geprüft werden sollte, ob ein diesen Anforderungen genügender Vertrag zur Auftragsverarbeitung mit dem Dienstleister vorliegt.

6. Was passiert mit schon vorhandenen Einwilligungen?

Gerade im Bereich der Kommunikation besteht eine gewisse Unsicherheit darüber, was mit schon vorhandenen Einwilligungen passiert, die Nutzer beispielsweise zum Erhalt eines Newsletters abgegeben haben. Hierzu haben die Aufsichtsbehörden eine Entschließung veröffentlicht.

Die gute Nachricht ist, dass bereits erteilte rechtswirksame Einwilligungserklärungen weiterhin gültig sein sollen, sofern sie den wesentlichen Voraussetzungen der DSGVO entsprechen. Insbesondere müssen die Einwilligungen freiwillig erteilt worden sein.

Da jedoch zukünftig gesteigerte Anforderungen an Einwilligungen gelten, sollten diese auf jeden Fall im Hinblick auf die Anforderungen der DSGVO überarbeitet werden. Außerdem ist zu beachten, dass künftig ein Kopplungsverbot gilt: Unternehmen dürfen die Erfüllung eines Vertrages nicht mehr ohne Weiteres davon abhängig machen, dass die betroffene Person in Datenverarbeitungen einwilligt, die für die Erfüllung dieses Vertrages nicht erforderlich sind.

Konkret heißt das: Macht man die Teilnahme am Gewinnspiel abhängig von einer Einwilligung in weite4re Datenverarbeitungen (zum Beispiel zum Erhalt in künftige Werbung), so dürfte dies unzulässig sein.

***

Lesen Sie in Teil 2, welche gesteigerten Dokumentations- und Informationspflichten nach der DSGVO gelten und welche Strafen bei Verstößen drohen.

 

 
 

ps/NEWS: Der Newsletter für PR-Profis

 

Ob wichtige Nachrichten, Hintergründe, Case Studies oder aktuelle Debatten: Mit den ps/NEWS erhalten Sie die wichtigsten Informationen der Kommunikationsbranche kostenlos in Ihre Mailbox.
 

CAPTCHA

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.



randbemerkung

Bitte achten Sie bei Ihren Beiträgen unsere Netiquette.

Das könnte Sie auch interessieren.

Wie kann die interne Kommunikation integres Handeln unterstützen? (c) Getty Images / EtiAmmos
Foto: Getty Images / EtiAmmos
Kolumne

Wenn Compliance und Werte Hand in Hand gehen

Die Themen Wertorientierung und Integrität beschäftigen aktuell viele Unternehmen. Wie kann die interne Kommunikation integres Handeln unterstützen? »weiterlesen
 
Die Hamburger Sparkasse verabschiedet sich von ihrem Kundenmagazin. (c) Getty Images / aldorado10
Foto: Getty Images / aldorado10
Meldung

Hamburger Sparkasse stellt ihr Kundenmagazin ein

Die Hamburger Sparkasse verabschiedet sich von ihrem „Haspa Magazin“. Künftig will man dort mehr auf „digitale Services“ setzen. »weiterlesen
 
Der BdP veröffentlicht einen Leitfaden zur tariflichen Einordnung von Kommunikatoren im öffentlichen Dienst. (c) Getty Images / sunnychicka
Foto: Getty Images / sunnychicka
Meldung

BdP veröffentlicht Leitfaden zur PR-Bezahlung

Die Anforderungen an Kommunikatoren im öffentlichen Dienst wachsen – die tarifliche Eingruppierungspraxis bildet die Vielfalt an Aufgaben jedoch nur unzureichend ab. Der BdP reagiert nun auf diesen Umstand und veröffentlicht einen Leitfaden zur tariflichen Eingruppierung von Kommunikatoren. »weiterlesen
 
So werden Bilanzpressekonferenzen zum Event. (c) Getty Images / Andrii Atanov
Foto: Getty Images / Andrii Atanov
Gastbeitrag

Geschäftszahlen mit Pep

Bilanzpressekonferenzen waren für Unternehmen lange Zeit Pflichtveranstaltungen – und eine sichere Sache. Die wichtigsten Journalisten kamen jedes Jahr. Das hat sich geändert. Wie Bilanz-PKs zu einem Event werden, zeigen Otto und Bosch. »weiterlesen
 
Der FC Bayern recycelt in ihrer Pressemitteilung zur Entlassung von Niko Kovač eine Floskel. (c) Getty Images / ah_fotobox
Foto: Getty Images / ah_fotobox
Meldung

Peinliche PR-Panne beim FC Bayern München

Die Entlassung von Trainer Nico Kovač 2019 wird vom FC Bayern mit den gleichen Worten kommentiert wie die Entlassung von Trainer Carlo Ancelotti 2017. »weiterlesen
 
Die Deutsche Telekom könnte ihr Monopol auf die Farbe Magenta verlieren. (c) Deutsche Telekom
Foto: Deutsche Telekom
Meldung

Telekom-Monopol auf „Magenta“ in Gefahr

Bei der Deutschen Telekom dreht sich alles um die Farbe Magenta – der Konzern ließ diese sogar rechtlich schützen. Ein US-Versicherer geht dagegen nun vor. »weiterlesen