Die EU-Datenschutzgrundverordnung verändert den digitalen Dialog mit dem Kunden

Bonn (ots) - Am 21. Oktober 2013 hat der sog. LIBE-Ausschuss
(Ausschuss für bürgerliche Freiheiten, Justiz und Inneres) des
Europäischen Parlaments über die geplante
EU-Datenschutzgrundverordnung abgestimmt. Die Abgeordneten haben dem
vorab erarbeiteten Kompromissentwurf weitgehend zugestimmt und damit
den Weg frei gemacht für weitere Verhandlungen mit dem Ministerrat
der EU-Mitgliedsstaaten.

Ziel der geplanten EU-Datenschutzgrundverordnung ist es, eine
europaweit einheitliche Rechtsgrundlage zum Datenschutz - unter
anderem auch für die datenerhebende Industrie und somit auch für den
digitalen Dialog mit Kunden - zu schaffen. Nach langen Verhandlungen
hat der LIBE-Ausschuss des Europäischen Parlaments am Montag, den 21.
Oktober 2013, sein Verhandlungsmandat für einen zuvor erarbeiteten
Kompromissentwurf erteilt. Über die konkrete Ausgestaltung wird nun
im Ministerrat mit den einzelnen EU-Staaten diskutiert.

EU-weite Vereinheitlichung des Datenschutzes

Die EU-Datenschutzgrundverordnung, als unmittelbar in jedem
Mitgliedstaat der EU geltendes Recht, wird die gesetzliche Grundlage
für den Datenschutz in der gesamten EU sein und damit die bisherigen
nationalen Einzelregelungen in Bezug auf den Datenschutz ersetzen.
Sobald Daten von EU-Bürgern erfasst und verarbeitet werden, wird dies
ausschließlich EU-Recht unterfallen. Dabei ist es unerheblich, ob die
datenverarbeitenden Unternehmen selbst einen Sitz in einem
EU-Mitgliedstaat haben oder nicht. Das EU-Recht soll unter bestimmten
Voraussetzungen auch für Unternehmen außerhalb der EU gelten, wenn
diese Daten von EU-Bürgern verarbeiten (Artikel 3 des Entwurfs).

Den Verbraucher schützen

Die Datenschutzgrundverordnung hat sich zum Ziel gesetzt, den
Verbraucher vor der ungewollten Nutzung seiner personenbezogenen
Daten zu schützen. Welche Daten als personenbezogen gelten, ist in
Artikel 4 (2) des Entwurfs geregelt. "'personal data' means any
information relating to an identified or identifiable natural person
('data subject'); an identifiable person is one who can be
identified, directly or indirectly, in particular by reference to an
identifier such as a name, an identification number, location data,
unique identifier or to one or more factors specific to the physical,
physiological, genetic, mental, economic, cultural or social or
gender identity of that person". Dies bedeutet konkret: Sobald ein
vorliegendes Datum dazu geeignet ist, eine Person zu identifizieren,
gilt dieses Datum als schutzwürdig im Sinne der Verordnung.

Der Entwurf der EU-Datenschutzgrundverordnung sieht vor, dass
Unternehmen personenbezogene Daten neben den in Artikel 6 des
Entwurfs genannten allgemeinen Voraussetzungen (z.B. zur Erfüllung
von Verträgen oder rechtlichen Verpflichtungen) nur noch dann
verarbeiten dürfen, wenn sie dafür eine explizite Zustimmung (sog.
Opt-In) des Nutzers erhalten. Explizit bedeutet, dass die Zustimmung
frei durch den Nutzer erfolgen muss, nicht an sonstige Leistungen -
z.B. die Durchführung eines Kaufs - gekoppelt werden darf, die mit
der eigentlichen Erhebung der Daten nicht im Zusammenhang stehen, und
vom Nutzer aktiv gesetzt werden muss. Letzteres bedeutet: Das Häkchen
im Opt-In Formular darf nicht bereits vorausgewählt sein und die
Zustimmung darf nicht bereits durch AGB des datenverarbeitenden
Unternehmens fingiert werden. Ebenso soll die
EU-Datenschutzgrundverordnung europaweit den Grundsatz der
Datensparsamkeit regeln: "(...) adequate, relevant, and limited to
the minimum necessary in relation to the purposes for which they are
processed; they shall only be processed if, and as long as, the
purposes could not be fulfilled by processing information that does
not involve personal data (data minimisation);" (Artikel 5 c des
Entwurfs). Unternehmen dürfen also nur so viele personenbezogene
Daten eines Nutzers erheben, wie sie für den beabsichtigten Zweck
unbedingt benötigen. Beispielsweise dürften keine Konsumgewohnheiten
verpflichtend abgefragt werden, wenn der Nutzer einen Newsletter
abonnieren möchte. Vorsicht: In manchen Ländern gibt es Regelungen im
nationalen Wettbewerbsrecht, beispielsweise die des UWG in
Deutschland, die möglicherweise strengere Restriktionen vorsehen und
neben der EU-Datenschutzgrundverordnung anwendbar sind.

In Deutschland und einigen anderen EU-Mitgliedstaaten ist die
Pflicht zum expliziten Opt-In bereits seit Jahren geltende
Rechtslage. Es gibt jedoch Ausnahmen, in denen personenbezogene Daten
auch ohne explizites Opt-In verarbeitet werden dürfen. Generell sind
die Regelungen zur Einwilligungspflicht und möglichen Ausnahmen
innerhalb der EU teilweise sehr unterschiedlich (siehe Infografik am
Ende des Beitrags).

Einwilligung auf Basis von bestehenden Geschäftsbeziehungen Die
Datenschutzgrundverordnung will Daten von natürlichen Personen
schützen, so heißt es unter Erwägungsgrund Nr. 23 des Entwurfs: "The
principles of data protection should apply to any information
concerning an identified or identifiable natural person. To determine
whether a person is identifiable, account should be taken of all the
means reasonably likely to be used either by the controller or by any
other person to identify or single out the individual directly or
indirectly". Die Verordnung lässt damit Interpretationsspielraum für
die Nutzung von beispielsweise einer allgemeinen oder
funktionsbeschreibenden E-Mail Adresse eines Unternehmens z.B.:
info@artegic.tld oder marketing@artegic.tld. Diese enthalten kein
personenbezogenes Datum (der Firmenname wird ausdrücklich nicht
geschützt, auch wenn er Namensbestandteil einer natürlichen Person
ist) und somit wäre eine werbliche Anschrift auch ohne Opt-In
möglich. Weitergehende Restriktionen, die durch andere nationale
Regelungen entstehen, wie zum Beispiel in Deutschland durch das UWG,
bleiben von der EU-Datenschutzgrundverordnung unberührt. Gemäß § 7
Abs. 2 Nr. 2 UWG bedarf der werbliche E-Mail-Versand in Deutschland
einer vorherige, ausdrücklichen Einwilligung des Empfängers.
E-Mail-Werbung ist in Deutschland aber trotz Fehlens einer
ausdrücklichen Einwilligungserklärung dann zulässig, wenn

- ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder
Dienstleistung von dem Kunden dessen elektronische Postadresse
erhalten hat,

- der Unternehmer die Adresse zur Direktwerbung für eigene
ähnliche Waren oder Dienstleistungen verwendet,

- der Kunde der Verwendung nicht widersprochen hat und

- der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar
und deutlich darauf hingewiesen wird, dass er der Verwendung
jederzeit widersprechen kann, ohne dass hierfür andere als die
Übermittlungskosten nach den Basistarifen entstehen.

Weitergabe innerhalb von Konzernstrukturen

Viele datenverarbeitende Unternehmen sind in einer Konzernstruktur
organisiert und bestehen aus einer Vielzahl von Tochterunternehmen,
insbesondere international tätige Unternehmen. Für diese Unternehmen
ist es oftmals notwendig, personenbezogene Daten innerhalb der
Konzernstruktur an Tochterunternehmen weiterzugeben. Dies ist nach
der geplanten EU-Datenschutzgrundverordnung auch ohne ausdrückliche
Zustimmung des Betroffenen unter den Voraussetzungen des Artikel 22
(3a) zulässig: "The controller shall have the right to transmit
personal data inside the Union within the group of undertakings the
controller is part of, where such processing is necessary for
legitimate internal administrative purposes between connected
business areas of the group of undertakings and an adequate level of
dataprotection as well as the interests of the data subjects are
safeguarded by internal data protection provisions or equivalent
codes of conduct as referred ...".

Unter "controller" wiederum versteht man: "... natural or legal
person, public authority, agency or any other body which alone or
jointly with others determines the purposes and means of the
processing of personal data; where the purposes and means of
processing are determined by Union law or Member State law, the
controller or the specific criteria for his nomination may be
designated by Union law or by Member State law".

Handelt es sich beim Unternehmen, an das die Daten weitergegeben
werden, also um ein mit der datenverarbeitenden Stelle verbundenes
Unternehmen und ist die Weitergabe notwendig, um den Zweck zu
erfüllen, zu dem die Daten erhoben wurden, ist keine separate
Einwilligung zur Weitergabe notwendig. Es muss jedoch im Einzelfall
exakt geprüft werden, wie der Zweck definiert ist, ob eine Weitergabe
wirklich zur Zweckerfüllung dient und wer im Sinne der
Datenschutzgrundverordnung als "Controller" fungieren kann. Da diese
Regelung einen gewissen Handlungsspielraum zulässt, sollten
Unternehmen, die rechtlich auf der sicheren Seite stehen möchten,
jedoch stets eine explizite Zustimmung für die Weitergabe einholen.

Ein Opt-In ist in jedem Fall notwendig, wenn personenbezogene
Daten an Dritte weitergegeben werden sollen, also beispielsweise an
ein Partnerunternehmen, das nicht zum Konzernverbund gehört. "Dritte"
im Sinne der Datenschutzgrundverordnung sind wie folgt definiert:
"'third party' [Dritte] means any natural or legal person, public
authority, agency or any other body other than the data subject, the
controller, the processor and the persons who, under the direct
authority of the controller or the processor, are authorized to
process the data" (Artikel 3 (7a) des Entwurfs).

Best Practice: UNO Flüchtlingshilfe setzt Standards der
EU-Datenschutzgrundverordnung um

Die Pläne zur EU-Datenschutzgrundverordnung haben bei vielen
Unternehmen im Online Dialogmarketing zu Unsicherheit und Sorge um
die Wettbewerbsfähigkeit geführt. Dass eine konsequente Umsetzung der
EU-Datenschutzgrundverordnung auch ein Vorteil sein kann, hat zuletzt
auch die UNO-Flüchtlingshilfe gezeigt, die zusammen mit artegic die
Privacy Admission Control Technologie in ihr Dialogmarketing
integriert hat und dafür im Rahmen der MarketingSherpa Email Awards
2014 ausgezeichnet wurde. Privacy Admission Control ermöglicht dabei
die rechtssichere Abbildung der Einwilligungen für unterschiedliche
Permissions im Kundendialog auf Basis jedes einzelnen Nutzers.

Privacy Admission Control:
http://www.artegic.de/privacy-admission-control

Infografik E-Mail Marketing Opt-Ins im B2C:
http://news.artegic.net/go/o4k884oc/adbtnxny/67/preview

Infografik E-Mail Marketing Opt-Ins im B2B:
http://news.artegic.net/go/o4k884oc/o5sfp5am/67/preview

artegic AG - Know-how und Technologie für Online CRM

Die artegic AG unterstützt Unternehmen beim Aufbau von loyalen und
profitablen B-to-B- und B-to-C-Kundenbeziehungen über Online-Kanäle.
Das Leistungsportfolio umfasst strategische Beratung, Technologien
und Business-Services für Online CRM und Dialogmarketing per E-Mail,
RSS, Mobile und Social Media. Mit der Online CRM Technologie ELAINE
FIVE bietet artegic eine leistungsfähige und einzigartige Lösung für
die übergreifende Durchführung von Kampagnen sowie die
Marketing-Automatisierung auf Basis von selbst schärfenden
analytischen Kundenprofilen. Für die richtungweisende Umsetzung
datenschutzrechtlicher Anforderungen wurde die artegic 2012 mit dem
eco Internet Award ausgezeichnet. International werden jeden Monat
über die ELAINE FIVE Technologie rund 1,4 Mrd. E-Mails, SMS und
Social Media Messages versandt. artegic greift dabei als assoziiertes
Unternehmen auf das Know-how der Fraunhofer Gesellschaft zurück sowie
auf die Expertise aus langjährigen Best-Practices mit namhaften
Kunden wie RTL, PAYBACK, Web.de, REWE, maxdome, Hyundai sowie den
Bundesministerien der Finanzen und der Justiz. artegic ist vom TÜV
Rheinland unternehmensweit nach dem internationalen Standard für IT-
und Datensicherheit ISO/IEC 27001 zertifiziert.

Pressekontakt:

artegic AG
Zanderstraße 7
53177 Bonn

Herr Sebastian Pieper

Tel: +49(0)228 22 77 97-0
Fax: +49(0)228 22 77 97-900
pr@artegic.de
http://www.artegic.de
Twitter: twitter.com/artegic
Facebook: facebook.com/artegic