Die EU-Datenschutzverordnung: Ein Jahr später

  • geschrieben von am

Neue Regelungen versuchten das europäische Datenschutzgesetz zu verändern, was erheblichen Einfluss auf das digitale Marketing haben könnte. Ein Jahr später schauen wir uns näher an was jeder tun sollte, um den neuen Gesetzgebungen nachzukommen.

Teilen

In fast genau 11 Monaten wird ein neues Gesetz in der europäischen Union verabschiedet.

Die EU-Datenschutzverordnung (engl.: GDPR=General Data Protection Regulation) kann die Art, wie jeder der 500 Millionen Nutzer in der EU mit ihren Daten umgehen, komplett verändern. Von der privaten Facebook Seite bis hin zu einer ärztlichen Bescheinigung.

Und falls Du das gerade liest und nicht in der EU wohnst oder in Großbritannien und denkst, dass dich das aufgrund des Brexits nicht tangieren wird, solltest Du noch einmal kurz überlegen. Es gibt kleine Ausnahmen, sodass das neue Gesetz auch Dich betreffen könnte.

Die EU-Datenschutzverordnung wird am 25. Mai 2018 in Kraft treten und viele warten bisher vergeblich auf Handlungshinweise seitens der Europäischen Kommission, die allen helfen könnten die neue Verordnung zu befolgen. In der Zwischenzeit gibt es aber einige Dinge, die wir bereits mit Sicherheit sagen können. Die folgenden Schritte helfen Dir bei der Einhaltung der neuen Verordnung.

  1. Das Gesetz kennen. Falls Du den Post bis hier gelesen hast und Dich fragst, was die EU-Datenschutzverordnung überhaupt ist, solltest Du unseren ersten Schritt schnellstmöglich abhaken. Eine Umfrage unter 2.000 IT Experten in Großbritannien hat ergeben, dass 53% von ihnen nichts von der Verordnung wussten. Zugegeben, das ist nicht allein ihre Schuld. Selbst seit Jahren Beteiligte warten immer noch auf eine Klärung vieler kritischer Punkte der Verordnung. Falls Dir also eine Rechtsberatung alle Antworten verspricht, kannst Du Dir sicher sein, dass das nicht der Wahrheit entspricht.
  2. Bestimme einen Datenschutzbeauftragen. Nachdem Punkt eins erledigt ist, sollten Unternehmen einen internen Ansprechpartner bestimmen, der bestens über den aktuellen Stand der Verordnung Bescheid weiß. Auf den ersten Blick scheint das eine Aufgabe für größere Firmen zu sein, aber die Verordnung könnte für Unternehmer jeglicher Größe relevant sein. Es ist jedoch wahrscheinlicher, dass große Unternehmen gegen die Verordnung verstoßen oder einer Untersuchung unterzogen werden. Der Datenschutzbeauftragte sollte unparteiisch sein und unabhängig von Deinem Unternehmen agieren – es könnte also sein, dass diese Rolle von vielen Firmen ausgelagert wird.
  3. Bitte Deine Datenschutzbehörde um Rat. Jeder Mitgliedsstaat hat eine lokale Datenschutzbehörde und es ist ihre Aufgabe, Unterstützung und Hilfe für alle Unternehmen anzubieten. Da ein Implementierungsprozess einer europäischen Verordnung langwierig ist, liegt es an jedem einzelnen die neue Richtlinie zu erfüllen. Eine Übersicht über alle Datenschutzbehörden findest Du hier.
  4. Verstehe was die Datenschutzverordnung einschließt. Die Verordnung beschränkt sich nicht auf die Nutzung persönlicher Daten in der digitalen Werbung, aber wir gehen davon aus, dass Dich das am meisten interessiert. Es ist jedoch wichtig, dass Du den Umfang der Verordnung kennst. Diese gilt für alle persönlichen Daten, aber was das für Dich bedeutet, könnte nicht das Gleiche für die EU sein. Cookies und IP-Adressen könnten genauso zu personenbezogenen Daten wie Rasse oder Sexualität gezählt werden.
  5. Lerne was pseudonymisierte Daten sind. Die EU-Datenschutzverordnung wurde erstellt, um Unternehmen zum Nachdenken über die Nutzung, Speicherung und Löschung von persönlichen Daten ihrer Nutzer anzuregen. Ein Konzept, das vorgestellt wurde, um das Risiko zu minimieren heißt „Pseudonymisierung“. Das bedeutet, dass Daten so zerlegt oder voneinander getrennt werden, dass sie nicht mehr einer einzigen Person zugerodnet werden können. Zum Beispiel zerlegt Awin Daten beim Cross Device Tracking, um die Customer Journey besser zu verstehen – wir können aber keine konkreten User bestimmen. Das Konzept „Privatsphäre durch Gestaltung“ ist hier wichtig.
  6. Wenn Du Kunden in der EU hast, spielt es keine Rolle wo Dein Unternehmen sitzt. Die Verordnung gilt für Kunden in der EU, also ist es irrelevant ob Dein Unternehmen dort mit Daten agiert oder einen Rechtsträger hat. Für Unternehmen in Großbritannien und Amerika zählt also nur, ob sie Waren und Dienstleistungen europäischen Kunden anbieten.
  7. Es gibt Ausnahmen. Legitime Interessen können als Rechtsgrundlage für die Nutzung und Speicherung von personenbezogenen Daten genannt werden, aber es ist wahrscheinlich, dass die Grenzen dieser Interessen beschränkt sind. Die Verordnung legt diese genau dar. Eins der sehnlich erwarteten Dokumente mit praktischen Ratschlägen ist die Anwendung der Zustimmung zur Nutzung personenbezogener Daten. Diese Richtlinie soll im Juni veröffentlicht werden.
  8. Erhöhte Verpflichtungen. Die Verordnung gilt sowohl für Datencontroller als auch für Prozessoren. Mit anderen Worten müssen auch Unternehmen, die als Controller agieren (zum Beispiel cloudbasierte Speicherlösungen), Ordnung schaffen. Damit wird der Geltungsbereich der Verordnung auf eine Vielzahl von zusätzlichen Unternehmen ausgedehnt und im Sinne der Verordnung zählt man entweder immer zu dem Einen oder dem Anderen.
  9. Verliere das Positive nicht aus den Augen. Kunden waren lange misstrauisch darüber, wie ihre Daten genutzt werden. Das weite Internet hat eine zusätzliche Dimension geschaffen, die nur wenige verstehen. Indem wir Bewusstschein schaffen und die Kontrolle in die Hände der Nutzer übergeben, geben wir der Industrie die Chance darüber nachzudenken, wie wir unsere Nutzen bisher nach ihrer Einwilligung gefragt haben und wie wir in Zukunft mit ihren Daten umgehen sollten. Das ermöglicht zukunftsweisendes Denken und fortschrittliche Unternehmen können einen komplett neuen Weg schaffen, um mit ihren Kunden zukünftig zu interagieren.
  10. Du kannst es nicht einfach ignorieren. Egal ob Du denkst, dass das die beste Idee ist, die unsere EU jemals hatte oder die größte Gefahr, die die digitale Wirtschaft je gesehen hat – die Datenschutzverordnung ist unvermeidlich. Um die Botschaft noch einmal deutlich zu machen: eine Verletzung der Verordnung kann Unternehmen bis zu 20 Millionen Euro oder 4% des jährlichen Umsatzes (je nachdem welche Zahl größer ist) kosten. Das ist eine deutliche Botschaft an unsere Industrie.

Wir können Dich jedoch ein wenig beruhigen – es ist noch genug Zeit, um dich mit der neuen Verordnung vertraut zu machen. Das Informationskommisariat in Großbritannien hat ein paar gute Ratschläge für Einsteiger zusammengestellt.

Alternativ kannst Du auch bei Wikipedia vorbeischauen und mehr über die beteiligten Parteien erfahren.