DSGVO und ePrivacy

Was uns erwartet

DSGVO und ePrivacy – was uns erwaret
23. Oktober 2017 Marketing Natives

Ganz schön voll ist es im lauschigen Purpur Meeting Raum im 6. Bezirk. Der Andrang war groß. Ein nicht überraschender Beweis für das rege Interesse an der neuen Gesetzeslage in Bezug auf die anstehende Datenschutzgrundverordnung.

Vertreten sind Marketingverantwortliche aus Finanz- und Bildungswesen, AgenturmitarbeiterInnen, StudentInnen und Bloggerinnen. Ein Mix aus Digital Marketing Pro’s und jene die es noch werden wollen. Unterschiedlich sind unsere beruflichen Wurzeln und Branchen. Was uns eint, ist die Frage nach dem Datenschutz-Big-Bang ab Mai nächsten Jahres. Einige Antworten darauf liefert die Agenturchefin und Gastgeberin Alexandra Vetrovsky-Brychta von der purpur Media Vermarktungs GmbH.

„Schau ma mal dann seh’ ma eh“ – Abwarten und sich darauf verlassen im richtigen Moment eh das Richtige zu tun, sollte man bei der DSVGO nicht. Denn eine gute Vorbereitung ist jedenfalls notwendig, meint auch die Expertin Alexandra.

Der Frage nach dem WIE diese Vorbereitung aussehen kann, werden wir in dem Vortrag von Alexandra noch erfahren. Ebenso hören wir WARUM die DSVGO ins Leben gerufen wurde, WO man sich darüber informieren kann und WAS uns in Bezug auf das digitale Marketing noch erwarten könnte. Mit Betonung auf könnte. Denn derzeit scheint der Konjunktiv noch King zu sein.

Vage Formulierungen und keine ausjudizierten Fälle erlauben einen Interpretationsspielraum, der so groß ist wie ein Fußballfeld. Wer auf dem (digitalen) Spielfeld ins Aus schießt, eine rote Karte erhält und abgestraft wird, kann derzeit nur gemutmaßt werden.

 

Aber weg von den Möglichkeiten hin zu dem, was bisher konkret vorliegt. Ein paar Insights vom Workshop klären auf:

WARUM? Ziele der DSGVO

Es sollte eine einheitliche und vereinfachte Regelung in der EU geben sowie eine Ausgewogenheit zwischen wirtschaftlichen Interessen und Konsumentenschutz erzielt werden.

Nicht jedes EU Mitgliedsland soll sein eigenes Datenschutz-Süppchen kochen, wie es bisher durch nationale Gesetzgebung basierend auf der EU-Datenschutzrichtlinie erfolgt ist. Aufgrund von unvereinbarten Positionen gibt es jedoch auch sogenannte Öffnungsklauseln. Diese erlauben nationale Anpassungen. In Österreich wird die DSGVO allerdings fast ausnahmslos übernommen. Eine Öffnungsklausel tritt beispielsweise bei der datenschutzrechtlichen Einwilligung von Kindern in Kraft. In Österreich wurde eine Altersgrenze mit dem vollendeten 14. Lebensjahr festgesetzt.

 

WAS erwartet uns und WIE können wir uns vorbereiten?

Was bis zum Inkrafttreten der DSVGO Bagatellstrafen zur Folge hatte, zieht ab Mai 2018 enorm hohe Strafen nach sich (bis zu 20 Millionen Euro bei schwerwiegenden Verstößen oder 4% des Jahresumsatzes!).

Die Dokumentation der personenbezogenen Daten (welche Daten werden erhoben, wo werden sie gespeichert, für welche Zwecke werden sie verwendet etc.) muss künftig vom Unternehmen selbst vorgenommen werden und ersetzt die Meldung an das DVR (Datenverarbeitungsregister).

Neben der Dokumentation der Daten-(anwendungen), sollte eine Folgeabschätzung erfolgen (das heißt sich in Empathie üben, in die Rolle des Betroffenen schlüpfen und die Folgen abschätzen).

Sowohl Unternehmen/Auftraggeber als auch Dienstleister (z.B. Buchhalter, Cloud-Anbieter, Werbeagentur) werden künftig noch stärker in die Pflicht genommen. Um sich generell rechtlich abzusichern, sollte eine juristische Beratung konsultiert werden. Der Jurist/die Juristin wird in dem Zusammenhang auch auf sogenannte Dienstleistungsverträge verweisen, die mit den betroffenen Parteien abgeschlossen werden sollten.

Mitarbeiter sollten gründlich geschult sowie technisch-organisatorische Maßnahmen (z.B. Back-up Programme) getroffen werden.

Auch sollte geprüft werden, ob ein Datenschutzbeauftragter im Unternehmen (basiert die Kerntätigkeit im Unternehmen auf Datenverarbeitung ?) benötigt wird.

Die Informations- und Auskunftspflichten gegenüber Betroffenen werden gestärkt. Eine genaue Ausformulierung wofür die Daten verwendet werden ist dazu u.A. notwendig. Ein allgemeines „Daten werden für Werbezwecke verwendet“ genügt nicht mehr.

Das Territorialprinzip gehört der Vergangenheit an. Nicht mehr der Sitz des datenverarbeitenden Unternehmens ist ausschlaggebend, sondern jener Ort der betroffenen Person. Konsumenten können somit leichter ihre Rechte einfordern.

Eine Pseudonymisierung und Verschlüsselung von personenbezogenen Daten mittels Verschlüsselungstechniken (z.B. Hash-Verfahren) unterstützen Unternehmen bei der Einhaltung beim Datenschutz.

Eine Zustimmung zur Datenverarbeitung (z.B. Erheben, Organisieren, Speichern von personenbezogenen Daten) ist prinzipiell erforderlich. Das über die Gewerbeordnung geregelte „berechtigte Interesse“ eröffnet einen Spielraum für Verantwortliche. In der Direktwerbung ist z.B. die Zusendung von Werbematerial per Post erlaubt. Im E-Mail- und SMS-Marketing gelten hingegen gesonderte Vorschriften, die derzeit noch im TKG (Telekommunikationsgesetz) geregelt sind. Abgelöst wird das TKG von der ePrivacy Verordnung. 

 

Exkurs ePrivacy Verordnung

Im Jänner 2017 wurde der Entwurf der ePrivacy Verordnung veröffentlicht. Sie sollte zugleich mit der DSVGO in Kraft treten und die elektronische Datenverarbeitung regeln.

Die wichtigste Änderung betrifft wohl das Setzen von Cookies. Opt-Out (bloßes Informieren) wird durch Opt-In (explizite Einwilligung über den Browser) ersetzt.

Das Koppelungsverbot (Einwilligungen ohne Koppelung an andere Bedingungen; z.B. pro Datenanwendung eine Checkbox) wird verschärft.

Wie schon zuvor ist erst nach Einwilligung des Empfängers der Versand einer E-Mail mit werblichem Inhalt erlaubt. Nicht notwendig ist die Einwilligung, wenn der E-Mail Inhalt mit einem vorherigen Geschäftsabschluss zu tun hat.

 

WO kann man sich informieren & Fazit

Fest steht derzeit das Inkrafttreten der DSGVO am 25. Mai 2018. In Rechtsberatung zu investieren lohnt sich jedenfalls. Eine rechtzeitige Vorbereitung (spätestens jetzt!) ist Pflicht. Ein Blueprint für die Vorbereitung gibt es nicht. Eine hilfreiche Checkliste bieten zum Beispiel die Privacy Officers: https://www.privacyofficers.at/privacyofficers-at-veroeffentlicht-aktualisierte-version-2-0-der-checkliste-zur-umsetzung-der-dsgvo/.

 

Autorin: Katharina Höfferer

 

The Community for Young Marketers in Austria. Join us!