Am 25. Mai dieses Jahres tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft – und alle, aber auch wirklich alle rasten aus. Plötzlich darf man angeblich nichts mehr. Die Unternehmen müssen alles auf den Prüfstand stellen, was sie jemals mit personenbezogenen Daten zu tun hatten. Die Unternehmen haben Panik – und viele Anwälte und Berater freuen sich, denn mit der Verunsicherung lässt sich prima Geld verdienen.
Aber was steckt denn wirklich dahinter? Wird der deutsche Datenschutz neu geschrieben? Dürfen wir überhaupt noch personalisiert z. B. Klicks und Website-Besuche tracken, und was hat das für Auswirkungen auf unsere Programme zur Marketing Automation?
Mein Tipp: Durchatmen. Okay? Und jetzt nochmal. RICHTIG TIEF DURCHATMEN.
Man kann das ganze Thema so zusammenfassen: Diejenigen, die bislang sich an die Regelungen gehalten haben und ihre Datenhaltung vernünftig organisiert haben, die haben recht wenig Stress. Manches wird sogar einfacher. Deshalb in Kürze eine sicherlich provokante Zusammenfassung für NICHTJURISTEN. Details sind weggelassen.
Klären wir erst einmal was sich nicht grundsätzlich ändert:1. Es gilt weiterhin, dass man für personenbezogenes Tracking bzw. die damit verbundene Datenhaltung eine Erlaubnis braucht.2. Es gilt auch weiterhin, dass man eine Erlaubnis für die Aufnahme in einen E-Mail-Verteiler benötigt.
Und was ändert sich:
1. Die Transparenz, welche Daten erfasst werden und was man damit anfängt, wird für den Nutzer verbessert. Das heisst vor allem, dass bei jedem Abfragen von Daten („progressive profiling“) eben nicht in verschrubbeltem Juristen- oder Marketing-Deutsch ein Texter irgendeinen Satz hinschreiben sollte, sondern dass recht klar gesagt werden muss, was mit den Daten angefangen wird. Diese Informationen sind damit eigentlich fast wichtiger als die ausführliche Datenschutzerklärung (mit der ja durchaus zutreffenden Logik, dass die Langfassung ohnehin kaum keiner liest). Der Leitgedanke der DSGVO ist, dass ein Nutzer tatsächlich weiß oder problemlos wissen kann, was mit seinen Daten angefangen wird, OHNE sich durch die Datenschutz-Erklärung durchwühlen zu müssen. Und das ist ja eigentlich kein schlechter Gedanke.
2. Es gibt ein deutlich umfangreicheres Auskunftsrecht als früher. Das ist vor allem ein Thema für die IT-Infrastruktur und die Organisation. Man muss eben in der Lage sein, einem Fragesteller auch eine Antwort geben zu können, und zwar in angemessener Zeit. Die Schwierigkeit ist, dies mit angemessenem internem Aufwand zu leisten. Menschen, die offensichtlich nix Besseres zu tun haben, haben „Folterfragebögen“ ins Netz gestellt, in der Hoffnung Unternehmen zu nötigen, zig-tausende von Anfragen zu beantworten. Im Prinzip ist das eine Art „ of-Service“-Attacke (mit der man Webserver mit Anfragen bombardiert), nur bombardiert man damit keine Server, sondern Unternehmensabteilungen. Meiner Meinung nach wird damit dem Datenschutz ein Bärendienst erwiesen. Aber solche Fälle wird es geben, und deshalb muss man sich darauf vorbereiten. Für mich stellt sich übrigens die Frage, was eigentlich passiert, wenn Unternehmen diese „Schikane“-Spielchen einfach ignorieren oder nicht in den letzten Details antworten. Die Auskunft kann man sich einklagen, aber ein weiteres Risiko dürfte sein, dass sich Aufsichtsbehörden an die Unternehmen wenden, weil Beschwerden bei den Aufsichtsbehörden eingehen.
3. Die Bußgelder wurden massiv erhöht. Sprich: wenn man sich nicht an die Spielregeln hält und erwischt wird, wird es deutlich teurer. Allerdings muss man dazu sagen, dass bei den vielzitierten Bußgeldern (4 % vom Weltumsatz, sprich ein Daimler müsste 6 Mrd. bezahlen) gerne das Wörtchen „bis zu“ vergessen wird. Bis Bußgelder verhängt werden, die in diese Richtung gehen, muss ein Konzern schon richtig übel Mist gebaut haben. Es gibt für Unternehmen immer noch den Rechtsweg, und der Grundsatz der Verhältnismäßigkeit ist ein Wesen des Rechtsstaates, der nicht einfach durch eine EU-Verordnung abgeschafft wird.
4. Was gerne vergessen wird, wenn über die Gefahren für Unternehmen durch die DSGVO gesprochen wird: Es darf, eine Abwägung verschiedener Interessen stattfinden. Es gibt das Interesse von Verbrauchern am Schutz ihrer Daten. Es gibt aber auch das Interesse von Unternehmen, sich am Markt wirtschaftlich zu betätigen. Der Datenschutz unterliegt damit also zumindest in Teilen einer Güterabwägung. Da die Schwelle zum Personenbezug nach der DSGVO niedriger gelegt wird, wird man öfter auf „Interessenabwägung“ ausweichen müssen, weil man sonst für jede Kleinigkeit eine Einwilligung braucht. Das kann (muss aber nicht) ein Minenfeld sein, und ein Unternehmen tut gut daran, sich an dieser Stelle juristisch gut beraten zu lassen. Vermutlich werden sich in überschaubarer Zeit best practices herausbilden. Jedenfalls ist nicht alles, was in der Verordnung steht, per se schlecht für Unternehmen.
Wenn Sie Ihr Unternehmen für die DSGVO fit machen, dann bedenken Sie vor allem 3 Punkte:
1. Sorgen Sie dafür, dass sie Daten transparent erheben. DAS war übrigens schon immer eine Empfehlung, nicht nur von mir, sondern auch von vielen anderen Online-Marketern.
2. Sorgen sie dafür, dass die Daten so gespeichert sind, dass eine Auskunft und auch eine Löschung einfach möglich sind. Dazu sollten die Daten nicht auf zig Systemen, sondern konsolidiert oder jedenfalls klar hierarchisch synchron vorgehalten werden, aber ganz ehrlich: DAS sollten Sie sowieso machen, wenn sie vernünftig datengetrieben Marketing und Vertrieb machen wollen.
3. Halten Sie sich einfach an die Spielregeln, die ohnehin schon längere Zeit gelten. Nonchalant darüber hinwegzugehen wird zumindest deutlich teurer als vorher.
Zum Abschluss folgendes Bild: Die DSGVO ist wie das Aufstellen von vielen zusätzlichen Radarfallen, verbunden mit einer deutlichen Erhöhung der Bußgelder für Rasen (haben Sie schon mal in der Schweiz ein Knöllchen für zu schnelles Fahren bekommen? Dann wissen Sie was ich meine ;-). Eigentlich ändert sich gar nicht so viel. Schon vorher durfte man nicht zu schnell fahren. Nur jetzt wird man eben mit größerer Wahrscheinlichkeit erwischt und darf dann auch noch mehr zahlen. Also, wenn Sie an die DSGVO denken, dann denken Sie einfach dran, was sie machen, wenn Sie in der Schweiz Auto fahren: Sie halten sich an die Geschwindigkeitsregel – sonst wird es teuer.
Comments