Datenschutz-Verordnung: Neuerungen für KMU in 2018

Marketing und Kommunikation gehen immer mit der Verarbeitung personenbezogener Daten einher. Am 25. Mai 2018 treten zahlreiche Neuerungen in der Datenschutz-Grundverordnung (DSGVO) in Kraft. Der Digitalverband Bitkom äußerte sich vor wenigen Tagen zum aktuellen Status: „Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der Datenschutzgrundverordnung vollständig umgesetzt haben“, heißt es in der Pressemitteilung zu einer repräsentativen Umfrage des Verbandes. Nur knapp die Hälfte der befragten Unternehmen mit mehr als 20 Beschäftigten greifen auf externe Expertise zurück, um die Vorgaben korrekt und fristgemäß zu erfüllen. Bitkom stellte auch fest, dass viele Unternehmen eine Wartehaltung eingenommen haben – und damit in Anbetracht hoher möglicher Bußgelder die Gefahr verkennen.

Jedes Unternehmen im Zugzwang
Ein halbes Jahr bleibt Unternehmen noch, um die neuen Richtlinien der Datenschutzgrundverordnung umzusetzen. Dann endet die zweijährige Übergangsfrist. Da mittlerweile jede Firma personenbezogene Daten verarbeitet, ist auch jedes Unternehmen betroffen. Knapp mehr als ein Drittel nutzt laut Bitkom die Daten zur Optimierung von Produkten und Leistungen. Für zirka 42 Prozent sind die Daten sogar Basis des Geschäftsmodells. Dem gegenüber steht ein Drittel, das sich mit den unausweichlichen Neuerungen noch nicht einmal auseinandergesetzt hat.
Besonders relevant ist das Thema Datenschutz im Marketing. Überall dort, wo es um die Interaktion mit Kunden geht, sammeln sich persönliche Daten – zum Beispiel im E-Mail-Marketing. Und auch in der Neukundengewinnung bilden Personendaten eine immense Rolle. Die Datenschutzverordnung betrifft dabei nicht nur die großen Player, sondern auch den Mittelstand und selbst Kleinunternehmen, denn wenn die Kommunikationsmaßnahmen auch etwas geringer ausfallen, ganz verzichten können auch KMU auf Marketing nicht.

Dokumentationspflichten und graviernde Bußgelder  
Was genau aber verbirgt sich denn nun hinter der Datenschutz-Grundverordnung? Grundsätzlich, wie bereits erwähnt, gelten die gesetzlichen Regeln für alle Unternehmen, unabhängig von ihrer Größe. Verstöße gehen mit Bußgeldern in Millionenhöhe bzw. bis zu vier Prozent des gesamten Jahresumsatzes, auch international, einher. Bisher fielen die Summen hier mit bis zu 300.000 Euro um ein Vielfaches geringer aus. Wer Daten verarbeitet, muss zu jedem Zeitpunkt belegen können, dass er sich an die EU-Richtlinie hält. Die Dokumentation der Verarbeitungsprozesse ist daher verpflichtend.

Die DSGVO sieht keine Datenkategorien mehr vor. Bisher wurden Angaben in Relation zum damit verbundenen Risiko unterschiedlich eingestuft. Mit Ausnahme von gesundheitsbezogenen Daten entfallen diese Gruppierungen ab Mai 2018. Für die Marketingpraxis heißt das, dass in der Datenverarbeitung mehr möglich ist, aber dafür auch mehr Risiken in Kauf zu nehmen sind. Vor jeder Datennutzung stellt sich die Frage nach möglichen Rechtsfolgen. Unternehmen müssen also die Konsequenzen ihres Handelns sehr gut einschätzen können: Persönlichkeitsrechte und Freiheiten all derer, die Daten an Betriebe geben, dürfen nie gefährdet sein. Der Gesetzgeber verlangt deshalb eine Darstellung der Folgen für automatisierte, systematische und umfangreiche Datenerfassung (Datenschutzfolgeabschätzung). Selbst wenn Unternehmen meinen, ein berechtigtes Interesse an der Datenverarbeitung zu haben, die keiner Zustimmung bedarf, liegt das Risiko auf ihrer Seite. Grundsätzlich gilt ab Mai: Jede einzelne Datenverarbeitung benötigt die Einwilligung. Das betrifft übrigens auch sogenannte pseudonymisierte Daten. Auch hier müssen Unternehmen vor der Datenverarbeitung prüfen, woher die Daten stammen bzw. wie sie erhoben worden sind.

Unwissen schützt vor Strafe nicht
Um Rechts- oder Freiheitsverletzungen aktiv vorzeubeugen, sind technische und organisatorische Maßnahmen zu ergreifen. Kommt es trotz aller Vorkehrungen doch zu Problemen, gilt eine Meldefrist von 72 Stunden. Schuldzuweisungen an beauftragte externe Dienstleister sind künftig nicht mehr möglich. Auch wenn man die Erhebung, Verarbeitung und Auswertung von Daten an Fachleute mit Spezialwissen auslagert, obliegt die Rechtskonformität des Datenschutzes ausschließlich einem selbst. Die Nachweispflicht bleibt beim Unternehmen und geht nicht an den Auftragnehmer über.

Vorgaben für Datenschutz gehen mehr in die Tiefe
Für das Onlinemarketing greifen künftig ebenso strengere Regeln. Wer Daten verarbeiten lässt, beispielsweise die Auswertung von Besucherzahlen von Internetseiten, muss durch die DSGVO umfangreichere und detaillierte Verträge schließen, die auch Angaben von Unterauftragnehmern enthalten. Die Nutzung und Verarbeitung von Daten ist – wie bisher auch –  nur nach Einwilligung erlaubt. Mit Inkrafttreten der Verordnung gilt für die Personen, deren Daten verwendet werden, ein Alter von mindestens 16 Jahren. Wird die Einwilligung später widerrufen oder ist die Datenspeicherung nicht mehr nötig, können Personen die komplette Löschung ihrer Daten verlangen. Gleiches gilt bei unrechtmäßiger Datenverarbeitung oder dem Verstoß gegen Bundes- bzw. EU-Recht. Mitunter möchten Nutzer ihre Daten anderen Dienstleistern zur Verfügung stellen, etwa bei einem Anbieterwechsel. Dementsprechend müssen Unternehmen sicherstellen, dass die Daten „transportfähig“ sind.

Umsetzungshürden noch immer hoch
Laut Bitkom nehmen Unternehmen die Datenschutzgrundverordnung sechs Monate vor der Rechtswirksamkeit noch immer auf die leichte Schulter: Gerade einmal 13 Prozent arbeiten an ersten Maßnahmen oder haben diese eben erst beendet. Lediglich drei Prozent sind der Meinung, zumindest schon einmal über die Hälfte der Vorkehrungen getroffen zu haben. Die Gründe, weshalb sich Unternehmen mit dem Thema so schwer tun, liegen in der Unklarheit über den Aufwand und die Rechtslage sowie fehlender Hilfe in der praktischen Umsetzung. Hier fordern Unternehmen mehr Unterstützung vom Gesetzgeber, etwa durch Handlungsleitfäden und allgemeinverständliche Vorgaben. Immerhin sind rund 60 Prozent der befragten Unternehmen der Meinung, dass die neue Datenschutzverordnung langfristig zu mehr Rechtssicherheit und einheitlicheren Wettbewerbsbedingungen innerhalb der Europäischen Union führen. Nun müssen nur noch die Hürden für die Umsetzung der Verordnung genommen werden.

Share on

Start typing and press Enter to search

Shopping Cart