DSGVO europäische Datenschutz Grundverordnung und Dialogmarketing

Das Dialogmarketing und die neue europäische Datenschutz-Grundverordnung – Auswirkungen auf die Praxis

Nach vier Jahren Debatte ist es nun soweit: die neue europäische Datenschutz-Grundverordnung wird am 25. Mai 2018 die seit 1995 geltende EU-Datenschutzrichtlinie ersetzen. Damit wird das Datenschutzrecht innerhalb Europas vereinheitlicht und dem Einzelnen mehr Kontrolle über seine Daten gewährt.

Im Vorfeld der Verabschiedung der neuen Verordnung kamen viele Diskussionen auf, in denen auch immer wieder postuliert wurde, dass die europäische DS-GVO Marketing, vor allem elektronisches Marketing und Dialogmarketing, einschränken bis unmöglich machen würde. Auch wenn vieles im Hinblick auf Vergessenwerden, Einwilligungsvorbehalt oder Datenportabilität diskutiert wurde und Kritiker am liebsten gesehen hätten, dass Marketing grundsätzlich nur mit Einwilligung möglich sein sollte, sind diese Themen für die praktische Umsetzung der Verordnung für die Unternehmen nicht so relevant. Die europäische Datenschutz-Grundverordnung erlaubt die Verarbeitung personenbezogener Daten auch weiterhin. Was auf Unternehmen und das Dialogmarketing vor allem zukommt, ist mehr Bürokratie.

Die europäische Datenschutz-Grundverordnung – was ändert sich?

Im Großen und Ganzen werden durch die neue Datenschutz-Grundverordnung folgende Bereiche angeschnitten und beeinflusst: Die Datenübertragung, die Verarbeitung personenbezogener Daten, die Transparenz der Daten und die Datenlöschung. Hinzu kommen zahlreiche Regelungen, die Sonderregelungen der einzelnen Mitgliedsstaaten der EU ablösen und die Rechte der Betroffenen werden ausgebaut. So haben Betroffene ein umfangreiches Recht auf Information und Auskunft, ein Recht auf Berichtigung, Löschung und Einschränkung, ein Widerspruchsrecht und ein Recht auf Datenübertragbarkeit.

DSGVO Logo

Im Einzelnen heißt dies, dass der Betroffene (die Person, deren Daten erhoben, gespeichert und verarbeitet werden):

  • sofort über den Zweck, den Umfang und die Art der Datenverarbeitung informiert werden muss
  • jederzeit Auskunft erhält, welche Daten über ihn gespeichert sind
  • ein Recht auf Vergessenwerden hat, die Daten oder Teile davon also gelöscht werden, wenn der Betroffene dies wünscht, seine Einwilligung zur Speicherung widerrufen hat, die Daten nicht mehr benötigt werden oder die Daten rechtswidrig verarbeitet wurden
  • jederzeit und ohne Hindernisse seine Daten von einer Anwendung auf eine andere übertragen kann

Daraus ergibt sich für Unternehmen, die mit Daten arbeiten wie das Dialogmarketing, dass die personenbezogenen Daten transparenter und nachvollziehbarer gespeichert werden müssen, die Personen umfänglich über die Nutzung ihrer Daten informiert werden müssen und jederzeit unbürokratisch aus Registern und Katalogen gänzlich oder in Teilen gelöscht oder übertragen werden.

Grundsätzlich ist es verboten, personenbezogene Daten auszuwerten. Allerdings hat auch die EU ein Einsehen und geht auf die Bedürfnisse von Unternehmen ein. Marketing und Werbung sind also durchaus weiterhin möglich, wenn ein Erlaubnistatbestand vorliegt. Drei Erlaubnistatbestände gibt es in der neuen europäischen Datenschutz-Grundverordnung (kurz DS-GVO):

  1. Die Einwilligung der betreffenden Person liegt vor
  2. Ein berechtigtes Interesse an der Verarbeitung der Daten liegt vor und verstößt nicht gegen besonders schutzwürdige Interessen
  3. Für die Erfüllung eines Vertrages, vorvertragliche Maßnahmen, zur Erfüllung einer rechtlichen Verpflichtung, zum Schutz lebenswichtiger Interessen der betreffenden Person oder einer anderen natürlichen Person oder für das öffentliche Interesse, die Ausübung öffentlicher Gewalt ist die Datenverarbeitung notwendig.

Die DSVGO – Dialogmarketing mit Interessenabwägung, Einwilligung oder Zweckänderung

Im Dialogmarketing ist die Verarbeitung personenbezogener Daten eine Grundvoraussetzung für die alltägliche Arbeit. Dialogmarketing spricht potentielle Neukunden und Bestandskunden interessengerichtet an und greift dabei zwangsläufig auf personenbezogene Daten zurück, selektiert diese im Hinblick auf bestimmte Zielgruppen und tritt mit diesen über passende Kommunikationskanäle in Kontakt. Die Selektion erfolgt dabei über pseudonomisierte oder anomynisierte personenbezogene Daten. Die DS-VGO betrifft also das Dialogmarketing durchaus und es gilt, die neuen Regelungen, die eigenen Pflichten und die Rechte der Betroffenen gesetzeskonform umzusetzen. Die tägliche Arbeit im Dialogmarketing muss daher auf einen der drei Erlaubnistatbestände gründen. Im Falle des Dialogmarketings können dies vor allem die beiden erstgenannten Erlaubnistatbestände sein: die Interessenabwägung und die Einwilligung. Wir stellen diese im Folgenden vor.

Interessenabwägung

Die europäische Datenschutz-Grundverordnung erlaubt die Verarbeitung personenbezogener Daten, wenn das Interesse des Betroffenen gegenüber dem Interesse des Unternehmens an der Datenverarbeitung nicht überwiegt. (DS-VGO Artikel 6 (1) f). Verarbeitung bedeutet die Erhebung, Speicherung, Verwendung und Übermittlung von Daten. Diese Rechtsgrundlage gilt also für den kompletten Umfang einer Dienstleistung im Dialogmarketing. Grundsätzlich wird im Erwägungsgrund 47 festgestellt, dass die Durchführung von Dialogmarketing als berechtigtes Interesse gilt. Hier hat sich nichts geändert. Verbraucher, betroffene Personen können nun der Datenverarbeitung widersprechen. Dann findet der Erwägungsgrund seine Grenzen. Des weiteren kann eine Verschiebung der Interessensensitivität zu Gunsten des Betroffenen geschehen, wenn zum Beispiel besonders sensible Daten, beispielsweise Gesundheitsdaten, erhoben und verarbeitet, besonders im Sinne der Übermittlung an Dritte,  werden. Dies kommt im Alltag des Dialogmarketings quasi nicht vor und wenn, beugen wir im Dialogmarketing durch geeignete Verfahren wie zum Beispiel der Pseudonymisierung vor.

Wegfall der Fallgruppen

Die neue europäische Datenschutz-Grundverordnung ist für die tägliche Arbeit als Dialogmarketer durchaus flexibler als die bisher geltenden gesetzlichen Bestimmungen. Nach denen war die Zulässigkeit für die Verwendung von personenbezogenen Daten für das Marketing auf bestimmte Fallgruppen beschränkt. Durch die grundsätzliche Anwendung der Interessenabwägung fallen diese nun weg. Es ist möglich, auch über diese definierten Fallgestaltungen hinaus, Daten zu Marketingzwecken heranzuziehen und zu verarbeiten.

Einwilligung

Wenn nach der Interessenabwägung die schutzbedürftigen Interessen der Betroffenen überwiegen, greift das Prinzip der Einwilligung. Die Einwilligung muss nachweisbar sein und sollte daher protokolliert sein. Bewährt hat sich das Double-Opt-In-Verfahren, welches auch zukünftig genutzt werden wird. Reines Ankreuzen eines Kästchens auf einer Webseite reicht nicht aus, um eine rechtskräftige Einwilligung zu bekommen und diese vor allem nachweisen zu können. Bei dieser aktiven Einholung der Einwilligung sollte auch gleich der Informationspflicht nachgekommen werden, und der Person der Grund und der Umfang der Datenerhebung und -Verarbeitung deutlich mitgeteilt werden .Durch die Stärkung der Rechte der Betroffenen hinsichtlich des Widerspruchs, sollte zusätzlich bei jeder Kommunikation auch das Opt-Out angeboten werden.

Zusätzlich hat die europäische Datenschutz-Grundverordnung eine Liste mit sensiblen Daten erstellt, bei denen grundsätzlich eine Einwilligung vonnöten ist. Hierzu gehören unter anderem religiöse und weltpolitische Ansichten und Daten über die Gesundheit. Schon vor der DS-GVO unterlagen diese Daten laut Bundesdatenschutzgesetz diesen Ansprüchen, doch im europäischen Recht sind sie etwas feiner definiert und detaillierter. Eine Maßnahme in der praktischen Umsetzung der DSGVO ist es, die schon eingeholten Einwilligungen auf Konformität zu überprüfen.

Besonderheit Profiling

Neu in der neuen Verordnung sind Regelungen zum Profiling. Im Prinzip wird jede Marktselektion als Profiling definiert und teilweise als Beispiel für Datenverarbeitung genannt. Dialogmarketing basiert auf Marktselektion und somit Profiling, doch wird von den Regelungen kaum oder gar nicht betroffen sein. Die Regelungen und Einschränkungen kommen laut DS-GVO nur zur Anwendung, wenn aufgrund des Profilings automatisierte Entscheidungen getroffen werden, die die Betroffenen erheblich beeinträchtigen oder eine rechtliche Wirkung entfalten. Solche Auswirkungen sind im Dialogmarketing mehr als unwahrscheinlich.

Verarbeitung personenbezogener Daten

Europäische Datenschutz-Grundverordnung – Transparenz und Pflichten im Dialogmarketing

Wie man sehen konnte, sind die Veränderungen im Umgang mit personenbezogenen Daten nicht gar so dramatisch, wie angenommen. Die europäische Datenschutz-Grundverordnung dient vor allem der europaweiten Vereinheitlichung der Regeln und verpflichtet auch außereuropäische Unternehmen, die in Europa tätig sind bzw. Produkte und Dienstleistungen in Europa vertreiben, zum Datenschutz nach europäischem Recht. Was allerdings eine bedeutende Änderung darstellt, sind die Pflichten zur aktiven Information über den Umgang mit personenbezogenen Daten. Auch in einem kommerziellen Umfeld, in dem naheliegt, dass die Daten für Werbezwecke genutzt werden, wie im Dialogmarketing, muss nun der Betroffene aktiv und deutlich darüber informiert werden. Zusätzlich zu den Datenschutzbestimmungen im Impressum muss nun auch der Datenschutzbeauftragte mit Kontaktdaten genannt werden. Die Belehrung über die Widerspruchsmöglichkeit ist ohnehin schon Standard.

Außerdem muss genau ersichtlich sein, welches Interesse ein Unternehmen an der Verarbeitung der Daten zu Werbezwecken hat. Dies ist vor allem unter dem Gesichtspunkt der Zweckbindung notwendig, der in der Verordnung festgeschrieben ist. Diese Zweckbindung war zwar auch schon in der Datenschutzrichtlinie von 1995 enthalten, wurde allerdings in den meisten Ländern, wie auch in Deutschland, in der Privatwirtschaft kaum beachtet. Bei der Zweckbindung geht es darum, ob und wie die Daten zu einem späteren Zeitpunkt noch einmal verwendet werden können. Dies kann nur unter bestimmten Voraussetzungen erfolgen. Im Dialogmarketing wird dieser Punkt wichtig, wenn die Vermietung von Adressen im alltäglichen Geschäft eine Rolle spielt.

Zwingende sofortige Information und zusätzliche Informationen

Die Pflichten zur Information sind umfänglich, wenn alle Zwecke und Interessen, sonstige Weiterverwendung der Daten zum Beispiel durch Adressvermietung, Datenschutzbeauftragter, Hinweise zum Widerspruchsrecht und einiges mehr offen gelegt werden müssen. Dies ist in manchen Situationen, wie der Erhebung von Daten aus öffentlichen Quellen und bei manchen Werbemitteln so nicht möglich. Hier empfiehlt es sich, zum Beispiel auf Flyern oder Coupons eine erste zwingende Information, dass es sich hier um ein Werbemittel handelt und die Daten zu Werbezwecken verwendet werden, mit aufzudrucken und alle weiteren Informationen zum Datenschutz und den Interessen und Gründen des Unternehmens auf einer öffentlich zugänglichen Webseite zu hinterlegen. Der Hinweis, wo die ausführlichen Informationen zu finden sind, muss natürlich auf dem Werbemittel, dem Werbeanschreiben deutlich sichtbar aufgebracht sein.

Bei der Zusammenarbeit mit Dritten wie Adressdienstleistern, die Daten erheben, mit denen dann im Dialogmarketing gearbeitet wird, ist es wichtig, dass sich der Marketer nicht blind und gutgläubig darauf verlassen sollte, dass die Daten konform zur DS-GVO erhoben wurden. Früher konnte man die Verantwortung da recht gut auf den Dienstleister schieben. Dies ist nun so nicht mehr möglich, denn jedes Unternehmen steht in der Pflicht den kompletten Prozess der Erhebung und Verwendung von Daten streng nach den Richtlinien sicherzustellen. So empfiehlt es sich, seine Dienstleister und Kooperationspartner zu kontaktieren und deren Datenschutzverfahren zu überprüfen. Nur so kann bei Bedarf der regelgerechte Umgang mit personenbezogenen Daten lückenlos nachgewiesen werden.

Bei der Erhebung von Daten aus öffentlichen Quellen, ist es gar nicht möglich oder durch die Vielzahl der Personen unverhältnismäßig aufwändig, den Betroffenen sofort bei Erhebung über den Zweck zu informieren. In solchen Fällen sind Ausnahmeregelungen zugelassen und es kann erst bei der ersten Kontaktaufnahme informiert werden.

GDPR - General Data Protection Regulation - die neue europäische Datenschutz-Grundverordnung

Anforderungen an die interne Organisation der Unternehmen im Dialogmarketing

Wie eingangs schon erwähnt, erhöht sich für die datenverarbeitenden Unternehmen das Maß an Bürokratie. Die Datenverarbeitung muss umfänglich erfasst und dokumentiert und auf Verlangen sofort vorzeigbar sein. Unternehmen mit mehr als 250 Mitarbeitern sind grundsätzlich verpflichtet, ein Verfahrensverzeichnis zu führen. Unternehmen mit weniger Beschäftigten müssen dies nur, wenn sie nicht nur gelegentlich und /oder besonders sensible Daten erheben und verarbeiten. Da im Dialogmarketing nun wirklich nicht nur gelegentlich mit personenbezogenen Daten umgegangen wird, sollte das Anlegen eines solchen Verzeichnisses unbedingt erfolgen, um den Anforderungen der DS-GVO gerecht zu werden.

Zudem muss ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte eingesetzt werden, der oder die nicht nur pro forma, sondern aktiv die Vorgänge der Datenverarbeitung überwacht und die Einhaltung der Regelungen kontrolliert. Im deutschen Umsetzungsgesetz der europäischen Datenschutz-Grundverordnung ist bestimmt, dass Unternehmen, in denen stetig mehr als neun Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, ein/e Datenschutzbeauftragter/e zu bestellen ist.

Unternehmen müssen technische und organisatorische Maßnahmen zum Schutz der Daten treffen. Welche hier für das Dialogmarketing als angemessen gelten, wird derzeit vom Deutschen Dialogmarketing Verband geprüft.

All diese Maßnahmen und Regelungen sind in Deutschland schon unter dem Bundesdatenschutzgesetz gefordert. Nun werden sie aber etwas detaillierter und die Kontrolle durch die Befugnisse sowie die Befugnisse und Aufgaben der Datenschutzbehörden und Datenschutzbeauftragten werden erweitert. Im Hinblick auf die hohen Strafen und Bußgelder, die das DS-GVO bei Verstößen gegen die Verordnung anberaumt, sollte ein jeder seine bisherigen Mechanismen und Mittel prüfen und gegebenenfalls anpassen.

Tipp:

Wer mit Dienstleistern als Auftragsdatenverarbeiter zusammenarbeitet, sollte die Verträge bis Inkrafttreten der neuen europäischen Datenschutz-Grundverordnung in jedem Fall umstellen. Für die sogenannten Auftragsverarbeiter gelten ganz spezifische Bedingungen, die allerdings völlig andere sind, als die im geltenden Bundesdatenschutzgesetz.