Serienelemente
Die Rahmenbedingungen für den Umgang mit Daten ändern sich fundamental. Bild: Corbis

Mit der Datenschutzgrundverordnung (DSGVO) tritt im Mai 2018 europaweit erstmals ein voll harmonisiertes Datenschutzrecht in Kraft. Das ändert die Rahmenbedingungen für den Umgang mit Daten so fundamental, dass sich werbungtreibende Unternehmen jetzt schon dafür rüsten müssen.

Im bisher noch geltenden BDSG und TMG ist klar geregelt, was man mit Daten machen darf. Hier gibt es verschiedene Abstufungen, denn Daten sind unterschiedlich stark risikobehaftet, erklärt Michael Neuber, Justiziar des Bundesverbandes Digitale Wirtschaft (BVDW): "Online-Nutzungsdaten wie die Angabe des verwendeten Browsers oder die Uhrzeit kann man ohne Einwilligung des Nutzers beispielsweise über ein Cookie erheben. Pseudonymisiert man das Profil, das man auf dieser Basis erhebt, so dass die Daten für Dritte anonym vorliegen, muss man den Nutzer darüber informieren und ein Widerspruchsrecht (Opt-Out) einräumen."

An dem Prinzip von Datenkategorien, die verschiedenen Risikostufen zugeordnet sind, ändert auch die DSGVO zwar grundsätzlich nichts. Allerdings wird es künftig keine Datenkategorien mehr geben. Einzige Ausnahme: Gesundheitsdaten, weil die besonders schützenswert sind und bleiben. Der Umgang mit ihnen ist speziell geregelt. Für Unternehmen hat die neue DSGVO allerdings mehr Rechtsunsicherheit zur Folge, erklärt Neuber: "Jeder muss künftig selbst entscheiden, ob er für die Dinge, die er macht, eine Einwilligung braucht. Oder geht es auch ohne Einwilligung, wenn man bestimmte Grundsätze beachtet?" Marketer dürfen also auf Basis der DSGVO künftig mehr, tragen aber auch ein erhöhtes Risiko.

Und das Risiko ist erheblich. Drohten bislang bei Verstößen Strafen bis zu 300.000 Euro, werden bei Verstößen gegen die Verordnung künftig Bußgelder in Höhe von bis zu zehn Millionen Euro bzw. bis zu zwei Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres oder bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig.

Datenschutzgrundverordnung: Mehr Verantwortung für die Unternehmen

Gibt es für Unternehmen also keine Kategorisierung von Risikostufen im Umgang mit Daten mehr, muss jeder einzelne Vorgang mit einer Datenschutzfolgeabschätzung versehen werden. Sprich: Künftig brauchen Unternehmen für jede Datenverarbeitung eine Einwilligung. Verarbeiten Unternehmen Daten und haben diese ein legitimes Interesse, müssen sie überlegen, ob das legitime Interesse so weit reicht, dass man Daten ohne Einwilligung verarbeiten darf. Und das kann nur im Einzelfall entschieden werden. Dafür gibt es keine Norm mehr.

Die Verantwortung liegt allein bei den Unternehmen. Hat ein Unternehmen bislang pseudonymisierte Daten zu Werbezwecken genutzt, muss es künftig klären: Wo kommen die Daten her? Und wie wurden sie erhoben? Jedes Unternehmen, das mit Daten zu tun hat, ist künftig selbstverantwortlich. Hat ein Unternehmen bislang einen Datendienstleister beauftragt, Datenverarbeitung durchzuführen, ist das werbungtreibende Unternehmen in der Pflicht, maximale Transparenz über den Umgang der Daten zu schaffen. Jeder ist für sich datenschutzrechtlich verantwortlich. Niemand kann sich mehr damit herausreden, Dinge nicht gewusst zu haben.

Das bedeutet: Unternehmen haben eine lückenlose Dokumentationspflicht. Sie müssen selbst analysieren, evaluieren und dokumentieren, um im Zweifel jederzeit selbst nachweisen zu können, dass sie im Umgang mit Kundendaten alles richtig gemacht haben.

Schlagworte zum Thema:  Database, Big Data, Marketing, Online-Marketing, Datenschutz

Aktuell
Meistgelesen