Ganz schön voll ist es im lauschigen Purpur Meeting Raum im 6. Bezirk. Der Andrang war groß. Ein nicht überraschender Beweis für das rege Interesse an der neuen Gesetzeslage in Bezug auf die anstehende Datenschutzgrundverordnung.
Vertreten sind Marketingverantwortliche aus Finanz- und Bildungswesen, Agenturmitarbeiter/innen, Student/innen und Blogger/innen. Ein Mix aus Digital Marketing Pro’s und jene die es noch werden wollen. Unterschiedlich sind unsere beruflichen Wurzeln und Branchen. Was uns eint, ist die Frage nach dem Datenschutz-Big-Bang ab Mai nächsten Jahres. Einige Antworten darauf liefert die Agenturchefin und Gastgeberin Alexandra Vetrovsky-Brychta von der purpur Media Vermarktungs GmbH.
„Schau ma mal dann seh’ ma eh“ – nach typisch österreichischer Manier abwarten und sich darauf verlassen im richtigen Moment eh das Richtige zu tun, sollte man bei der DSGVO nicht. Denn eine gute Vorbereitung ist jedenfalls notwendig, meint auch die Expertin Alexandra.
Der Frage nach dem WIE diese Vorbereitung aussehen kann, werden wir an dem Abend von Alexandra noch erfahren. Ebenso hören wir WARUM die DSGVO ins Leben gerufen wurde, WO man sich darüber informieren kann und WAS uns in Bezug auf das digitale Marketing noch erwarten könnte. Mit Betonung auf könnte. Denn derzeit ist der Konjunktiv in Bezug auf die DSGVO noch King.
Vage Formulierungen und keine ausjudizierten Fälle erlauben einen Interpretationsspielraum, der so groß ist wie ein Fußballfeld. Wer auf dem (digitalen) Spielfeld ins Aus schießt, eine rote Karte erhält und abgestraft wird, kann derzeit nur gemutmaßt werden.
Aber weg von den Möglichkeiten hin zu dem, was bisher konkret vorliegt. Ein paar Insights vom Workshop klären auf:
WARUM? Ziele der DSGVO
Es sollte eine einheitliche und vereinfachte Regelung in der EU geben sowie eine Ausgewogenheit zwischen wirtschaftlichen Interessen und Konsumentenschutz erzielt werden.
Nicht jedes EU Mitgliedsland soll sein eigenes Datenschutz-Süppchen kochen, wie es bisher durch nationale Gesetzgebung basierend auf der EU-Datenschutzrichtlinie, erfolgt ist. Aufgrund von unvereinbarten Positionen gibt es jedoch auch sogenannte Öffnungsklauseln. Diese erlauben nationale Anpassungen. In Österreich wird die DSGVO allerdings fast ausnahmslos übernommen. Eine Öffnungsklausel tritt beispielsweise bei der datenschutzrechtlichen Einwilligung von Kindern in Kraft. In Österreich wurde eine Altersgrenze mit dem vollendeten 14. Lebensjahr festgesetzt.
WAS erwartet uns und WIE können wir uns vorbereiten?
Was bis zum Inkrafttreten der DSGVO Bagatellstrafen zur Folge hatte, zieht ab Mai 2018 enorm hohe Strafen nach sich (bis zu 20 Millionen Euro bei schwerwiegenden Verstößen oder 4% des Jahresumsatzes!).
Die Dokumentation der personenbezogenen Daten (welche Daten werden erhoben, wo werden sie gespeichert, für welche Zwecke werden sie verwendet etc.), muss künftig von Unternehmen selbst vorgenommen werden und ersetzt die Meldung an das DVR (Datenverarbeitungsregister).
Neben der Dokumentation der Daten-(anwendungen) hat eine Folgeabschätzung zu erfolgen. Das heißt sich in Empathie übend in die Rolle des Betroffenen schlüpfen und künftige Szenarien durchdenken.
Sowohl Unternehmen/Auftraggeber/innen als auch Dienstleister/innen (z.B. Buchhalter/innen, Cloud-Anbieter/innen, Werbeagentur) werden künftig noch stärker in die Pflicht genommen. Um sich generell rechtlich abzusichern, sollte eine juristische Beratung konsultiert werden. Der Jurist/die Juristin wird in dem Zusammenhang auch auf sogenannte Dienstleistungsverträge verweisen, die mit den betroffenen Parteien abgeschlossen werden sollten.
Mitarbeiter/innen sollten gründlich geschult sowie technisch-organisatorische Maßnahmen (z.B. Back-up Programme) getroffen werden.
Auch sollte geprüft werden, ob ein Datenschutzbeauftragter/eineDatenschutzbeauftragteim Unternehmen (basiert die Kerntätigkeit im Unternehmen auf Datenverarbeitung?) benötigt wird.
Die Informations- und Auskunftspflichten gegenüber Betroffenen werden gestärkt. Eine genaue Ausformulierung wofür die Daten verwendet werden, ist dazu unter anderem notwendig. Ein allgemeines „Daten werden für Werbezwecke verwendet“ genügt nicht mehr.
Damit Konsumenten leichter ihre Rechte einfordern können, gehört das Territorialprinzip der Vergangenheit an. Nicht mehr der Sitz des datenverarbeitenden Unternehmens ist ausschlaggebend, sondern jener Ort der betroffenen Person.
Eine Pseudonymisierung und Verschlüsselung von personenbezogenen Daten mittels Verschlüsselungstechniken (z.B. Hash-Verfahren) unterstützen Unternehmen bei der Einhaltung beim Datenschutz.
Eine Zustimmung zur Datenverarbeitung (z.B. Erheben, Organisieren, Speichern von personenbezogenen Daten) ist prinzipiell erforderlich. Das über die Gewerbeordnung geregelte „berechtigte Interesse“ eröffnet einen Spielraum für Verantwortliche. In der Direktwerbung ist z.B. die Zusendung von Werbematerial per Post erlaubt. Im E-Mail- und SMS-Marketing gelten hingegen gesonderte Vorschriften, die derzeit noch im TKG (Telekommunikationsgesetz) geregelt sind. Abgelöst wird das TKG von der ePrivacy Verordnung.
Exkurs ePrivacy Verordnung
Im Jänner 2017 wurde der Entwurf der ePrivacy Verordnung veröffentlicht. Sie sollte zugleich mit der DSGVO in Kraft treten und die elektronische Datenverarbeitung regeln.
Die wichtigste Änderung betrifft das Setzen von Cookies. Opt-Out (bloßes Informieren) wird durch Opt-In (explizite Einwilligung über den Browser) ersetzt.
Das Koppelungsverbot (Einwilligungen ohne Koppelung an andere Bedingungen, z.B. pro Datenanwendung eine Checkbox) wird verschärft.
Wie schon zuvor ist erst nach Einwilligung des Empfängers der Versand einer E-Mail mit werblichem Inhalt erlaubt. Nicht notwendig ist die Einwilligung, wenn der E-Mail Inhalt mit einem vorherigen Geschäftsabschluss zu tun hat.
WO kann man sich informieren & Fazit
Fest steht derzeit das Inkrafttreten der DSGVO am 25. Mai 2018. In Rechtsberatung zu investieren lohnt sich jedenfalls. Eine rechtzeitige Vorbereitung (spätestens jetzt!) ist Pflicht. Ein Blueprint für die Vorbereitung gibt es nicht. Eine hilfreiche Checkliste bieten zum Beispiel die Privacy Officers: https://www.privacyofficers.at/privacyofficers-at-veroeffentlicht-aktualisierte-version-2-0-der-checkliste-zur-umsetzung-der-dsgvo/.
Autorin: Katharina Höfferer
