Datenschutz Neu – was kommt auf uns zu?

Ab 25. Mai 2018 tritt die neuen EU Datenschutz Grundverordnung in Kraft. Anlässlich dessen initiierte der DMVÖ einen Workshop, der über die für das Dialogmarketing wichtigsten Neuerungen und Anforderungen im Datenschutz informierte.

Durch den Workshop führte Frau MMag. Dr. Kotschy, vormals langjähriges geschäftsführendes Mitglied der Datenschutzkommission und Leiterin der Datenschutzabteilung im Bundeskanzleramt.

Aktuelle rechtliche Situation:

Aktuell gilt das DSG 2000, das auf der Datenschutz-Richtlinie 95/46/EG beruht. Dieses Gesetz bezieht sich allerdings nur auf postalische Werbung, denn zu Zeiten des Erlasses war von Internet und Multichannel noch nicht die Rede. Punktuelle Bestimmungen aus dem Telekommunikationsgesetzt gelten wohl auch für E-Mail Marketing, wie Tracking und Targeting mit Cookie-ähnlicher Technologie (e-privacy Richtlinie).

Die neue Datenschutz Verordnung gilt ab Mai 2018 und ist in den Mitgliedsstaaten der EU unmittelbar anzuwenden. Bei Nichtbefolgung der Verordnung drohen bis zu 20 Millionen €  Strafe (oder 4% des weltweiten Jahresumsatz, wenn dieser höher als 20 Millionen ist).

 

Neuerungen im DSGV:

Level Playing Field

  • Auch Auftraggeber mit Sitz im Ausland unterliegen dem EU-Datenschutz, wenn sie Personen in der EU tracken oder Waren und Dienstleistungen in der EU anbieten.

Berechtigte Interessen des Auftraggebers

  • Interessen des Auftraggebers können so weit verfolgt werden, insofern die Schutzinteressen der Betroffenen überwiegen
  • Der Betroffene kann jederzeit Widerspruch auf Grundlagen „berechtigter Interessen“ gegen die Verarbeitung erheben
  • Weiterverarbeitung ist nur zulässig, wenn es dem Auftraggeber gelingt nachzuweisen, dass keine überwiegenden Schutzinteressen bestehen

Zustimmung des Betroffenen

  • Nur Opt-In gilt (nicht Opt-Out!!)
  • Ob ein absolutes Koppelungsverbot gilt, ist nicht klar interpretiert
  • Ab wann ein Kind ein Kind ist, und werblich nicht angesprochen werden darf, ist noch nicht eindeutig geregelt

Kompatible Weiterverwendung von Daten

  • Ist an sich verboten aufgrund des datenschutzrechtlichen Zweckbindungsprinzip,
  • aber ausnahmsweise erlaubt wenn Weiterverwendung „kompatibel“ ist mit ursprünglichen Zweck

Rechte der Betroffenen

  • Verstärkte Informationspflicht der Betroffenen
  • Betroffener hat absolutes Widerspruchsrecht, d.h. Widerspruch gegen Verwendung von Daten für Marketingzwecke bedarf keiner Begründung und muss umgehend durch der Löschung der Daten befolgt werden + Mitteilungsverpflichtung

Verantwortung des Auftraggebers:

  • Auftraggeber hat das Risikopotential seiner Datenanwendung nunmehr ganz selbstständig zu beurteilen („Risikofolgenabschätzung“)
  • Keine Meldepflicht mehr mit einer Beurteilung durch die Datenschutzbehörde
  • Auftraggeber muss in seinen Datenanwendungen die Grundsätze der Datenminimierung befolgen
  • Privacy by design : es muss einfach sein, mich abzumelden
  • Privacy by default: Einstellungen müssen von Haus aus auf „Ablehnen“ eingestellt sein
  • Auftraggeber muss Datensicherheit gewährleisten

 

Folgen von Datenschutzverletzungen:
  • Bei umfangreichen Datenverlust:  Meldung an die Datenschutzbehörde und Verständigung der Betroffenen
  • Bei grenzüberschreitender Bedeutung: gemeinsames Verfahren vor allen beteiligten Datenschutzbehörden. Ob eine „Popularklage“ zugelassen wird, obliegt der nationalen Gesetzgebung
  • Neuer Strafrahmen mit wesentlich höheren Obergrenzen

 

Was können Unternehmen vorsorglich tun?
  • Bestellung eines Datenschutzbeauftragten
  • Zertifizierung
  • Konsulationsverfahren: Befassung der Datenschutzbehörde als Nachfolger der Art.29- Gruppe
  • Codes of conduct für eine Branche

 

To Dos für Unternehmen:
  1. Bestandsaufnahme (System, Verträge,…)
  2. Analyse der derzeitigen und zukünftig geplanten Geschäftsmodelle auf „Kompatibilität“ mit DSGV
  3. Überarbeitung von Geschäftsmodellen (Privacy by design!)
  4. Information und Schulung der Mitarbeiter