Sie sind hier:

"Im Datenschutz ist alles verboten" – Nachbericht unseres Seminars "Online-Marketing-Recht"

28 Feb
Foto des Referenten Carsten Ulbricht am Rednerpult
Foto: BIEG Hessen

(28.02.2018) Für unsere „kurzen“ Seminare sind über 200 Anmeldungen selten. Ausnahme: unser Seminar zum Onlinerecht vorige Woche, bei dem die kleinen Unternehmen in Scharen in die IHK Frankfurt strömten. Immerhin tritt am 25. Mai die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Im Gegensatz zu vielen anderen Veränderungen im Onlinerecht hat sie die Ehre, prominent in der Presse angekündigt zu werden. Die Folge: verunsicherte Unternehmer.

Nach drei Stunden Rechtsinfo-Dauerbeschuss durch Redner Dr. Carsten Ulbricht aka „das Maschinengewehr" (Bartsch Rechtsanwälte) schwirrten den meisten Teilnehmern die Köpfe. Dafür war aber die Verunsicherung weg. Schon mal gut als Orientierung zu wissen: „Im Datenschutz ist grundsätzlich alles verboten“, so Dr. Ulbricht. „Es sei denn, es wurde spezifisch gesetzlich erlaubt.“ Was das im Einzelnen bedeutet? Hier die wichtigsten Take-aways:

Datenschutzrichtlinie? EU-DSGVO? E-Privacy?

Hier die Situation: Wenn es um den sachgemäßen Umgang mit Kundendaten im Internet ging, konnten Unternehmer sich bislang „nur“ auf gesetzliche Richtlinien beziehen, nämlich die Datenschutzrichtlinien (auf Fachdeutsch: Richtlinie 95/46/EG) und die „Cookie-Richtlinie“ (2009/136/EG). Jetzt wird der Gegenstand der Datenschutzrichtlinien „richtig“ in einer EU-weiten Verordnung geregelt, eben der EU-DSGVO. Die Cookie-Richtlinie ist erst 2019 dran, in der sogenannten E-Privacy-Verordnung.

Konzentrieren wir uns auf die DSGVO. Sie spielt immer dann eine Rolle, wenn Sie mit Ihrem Unternehmen innerhalb der EU Kunden anwerben und im Zuge dessen personenbezogene Daten speichern.

Personenbezogene Daten?

Gemäß Definition in Artikel 4 der neuen Verordnung handelt es sich bei personenbezogenen Daten um Informationen, die entweder einer bestimmten, individuellen Person zugeordnet werden können, oder die es andersherum ermöglichen, eine solche Person zu identifizieren. Das Paradebeispiel im Online-Marketing sind IP-Adressen, denn sie identifizieren den Computer, an dem ein Internetnutzer arbeitet, und erlauben daher auch zumindest den Rückschluss darauf, wer dieser Nutzer ist. Deutschland und EU vertreten den Grundsatz, dass jede Person das Recht hat selbst darüber zu bestimmen, wer die eigenen personenbezogenen Daten speichern und verwenden darf. Deshalb muss die Einwilligung der Betroffenen her, bevor ihre Daten gespeichert werden.

Foto des vollen Ludgwig-Erhard-Saals in der IHK Frankfurt
Foto: BIEG Hessen

Einwilligung der Betroffenen

 „Verhältnismäßigkeit“ und „Angemessenheit“ waren zwei häufig verwendete Schlagworte, wenn es um die Einwilligung der Betroffenen zur Speicherung ihrer Daten ging. So kann von einem durchschnittlichen Internetnutzer erwartet werden, dass er beim Besuch einer Website mit einer Erhebung seiner Verhaltensdaten rechnet, zumal ohnehin nur die anonymisierte Speicherung seiner Daten erlaubt ist. Ergo muss er dieser Erhebung nicht explizit (mit Häkchen) zustimmen; es muss lediglich sichergestellt sein, dass eine Datenschutzerklärung vorhanden ist, die er im Bedarfsfall leicht auffinden kann und die ihm Aufschluss über den Verbleib seiner Daten gibt. Darüber hinaus gelten einige weitere Anforderungen:

  • Es ist nicht möglich, eine pauschale Einwilligung zur Datennutzung einzuholen. Datenschutzerklärungen und Einwilligungen zur Datennutzung beziehen sich immer auf einen konkreten Fall, z.B. auf die Erlaubnis, Kontaktdaten zu speichern, um dem Kunden später weitere Angebote zu schicken.
  • Der Kunde muss über die Nutzung seiner Daten vollumfänglich und unmissverständlich informiert werden. Von Ausnahmen wie der obigen abgesehen darf die Einwilligung des Kunden nicht vorausgesetzt, er also bspw. nicht gezwungen werden, der Datenerhebung durch Klick auf einen Opt-out-Button zu widersprechen, ohne ihr vorher aktiv zugestimmt zu haben. 

  • Die Information über die Datenspeicherung muss räumlich von anderen rechtlichen Sachverhalten getrennt werden – z.B. nicht mit den AGB vermischt. 

  • Hat der Kunde seine Einwilligung erteilt, kann er sie dennoch jederzeit widerrufen, und er muss darüber informiert werden, wie dieser Widerruf durchzuführen ist. 

  • Es besteht ein Koppelungsverbot: Die Erhebung bestimmter Daten darf nur dann an einen anderen Vorgang gebunden sein, wenn sie für die Ausführung des Vorgangs notwendig sind. Heißt: Die Einwilligung des Kunden, in Zukunft Werbung zu empfangen, ist für die Abwicklung seiner Bestellung nicht erforderlich. Der Kunde darf also nicht gezwungen werden, der Werbung einzuwilligen, um eine Bestellung aufgeben zu können. 

Berechtigte Interessen

Zusätzlich zur Einwilligung des Kunden oder Besuchers müssen bestimmte Voraussetzungen erfüllt sein, damit der Unternehmer personenbezogene Daten erheben darf. Die wichtigste davon: Es müssen sogenannte berechtigte Interessen an den Daten bestehen. Das heißt, das Unternehmen kann eine logische und nachvollziehbare Antwort darauf geben, warum es genau diese Daten in diesem Umfang in seinen Besitz bringen möchte. Häufig ist die Antwort auf diese Frage einfach und offensichtlich: Wer ein verkauftes Produkt verschicken möchte, benötigt dafür Versandinformationen. Weniger offensichtlich, aber ebenso akzeptabel: Wer die Performance seiner Website auswerten will, muss dafür Daten über das Nutzerverhalten speichern – es besteht jedoch kein Grund, aus dem es dem Unternehmen möglich sein muss, diese Daten einer bestimmten Person zuzuordnen, weshalb die Speicherung von IP-Adressen in diesem Fall eben auch nur anonymisiert erlaubt ist. Das Unternehmen muss also einen vernünftigen Bedarf an den jeweiligen Daten haben und abwägen, ob die Datenerhebung den Interessen der Betroffenen widerspricht. Womit wir zurück bei der Verhältnismäßigkeit und Angemessenheit wären.

Ist es noch (bis 25. Mai) zu schaffen?

Was ist nun für Unternehmen zu tun? Können Sie die Umsetzung bis 25. Mai noch schaffen? Dr. Ulbricht glaubt: ja. Da die Datenverarbeitung bei kleinen Unternehmen häufig entsprechend weniger komplex und aufwändig ist als bei großen, besteht noch genug Zeit für die Umstellung.

Was zu tun ist? Beginnen Sie mit einer Mitarbeitersensibilisierung für das Thema Datenschutz, damit Sie alle mit an Bord haben, und führen Sie eine Bestandaufnahme durch: Finden Sie heraus, welche personenbezogenen Daten Sie wo erheben und was mit diesen Daten geschieht. Prüfen Sie Ihre Verträge mit Drittanbietern und von Ihnen eingesetzten Tools, um zu sehen, ob weiterhin Datenschutzkonformität gegeben ist, wenn Sie die Daten dort einspeisen. Das Ganze gleichen Sie mit den neuen Vorschriften ab, so dass Sie Ihre Datenschutz- und Einwilligungserklärungen aktualisieren und Ihre Informationspflichten erfüllen können. Stellen Sie sicher, dass Ihnen am Ende eine Dokumentation Ihrer gesamten Verarbeitung personenbezogener Daten vorliegt. So können Sie auch Auskunft geben, wenn ein Kunde anruft und von seinem Recht Gebrauch macht zu erfragen, was alles mit seinen Daten passiert.

BIEG-Leitfaden: Datenschutz = Abmahnschutz

Wer sich einen kompakten Überblick über das Thema Datenschutz verschaffen will oder das Seminar verpasst hat, dem sei die Lektüre unseres BIEG-Leitfadens nahegelegt. Dort gibt’s alles noch mal ganz genau direkt vom Jurist, unserem Gastautor Dr. Volker Baldus. Zur Lektüre und zum selbstverständlich kostenlosen PDF-Download geht es hier: BIEG-Leitfaden: Datenschutz = Abmahnschutz.

Weiter geht’s mit Suchmaschinen

Wenn Sie Ihre Datenschutzhausaufgaben gemacht haben, können Sie ja mit Marketing fortfahren. Großes Thema: online gefunden werden. Darum dreht sich alles am 26. April auf der Veranstaltung Digitale Sichtbarkeit, zu dem wir übrigens weit über 200 Teilnehmer erwarten. Melden Sie sich an!


Autor

Angelika Niere
Referentin

Nach einem Studium der Literaturwissenschaft wurde ich 2009 Referentin des BIEG Hessen. Dort betreue ich unsere Leitfäden und unseren Blog. Meine Schwerpunkte sind Content-Marketing und Storytelling.

Archiv

Der BIEG Newsletter

Immer auf dem Laufenden bleiben Sie mit unserem monatlichen Newsletter. Wir informieren Sie über aktuelle Veranstaltungen und unsere neuesten Leitfäden!