Ab dem 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie löst das bisherige nationale Datenschutzrecht Bundesdatenschutzgesetz (BDSG) in Deutschland ab. Dr. Katharina Küchler, Rechtsanwältin im eco Geschäftsbereich Professional Services, gibt im Interview einen Überblick, was auf die betroffenen E-Mail-Marketeers, Versender und Auftragsdatenverarbeiter im Detail zukommt.
Frau Dr. Küchler, die neue DSGVO setzt unter anderem auf „Opt-in“ statt „Opt-out“. Was bedeutet das konkret?
Bei der Frage „Opt-in“ oder „Opt-out“ geht es darum, in welcher Form die Einwilligung der Betroffenen in die Verarbeitung ihrer personenbezogenen Daten eingeholt werden muss. Müssen sie aktiv ihre Zustimmung, beispielsweise durch Setzen eines Hakens, erklären (Opt-in) oder darf die verarbeitende Stelle von einer Zustimmung ausgehen, wenn der Betroffene nichts anderes erklärt, beispielsweise durch Entfernen eines vorinstallierten Hakens („Opt-out“).
Hintergrund ist, dass sowohl nach dem Bundesdatenschutzgesetz (BDSG) als auch nach der DSGVO der Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Das heißt, die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es besteht ein Rechtfertigungsgrund. Ein solcher kann einmal eine gesetzliche Erlaubnis sein oder, wenn eine solche nicht besteht, die Einwilligung des Betroffenen. Die DSGVO fordert für eine gültige Einwilligung, dass diese durch eine eindeutige bestätigende Handlung erfolgt, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Erwägungsgrund 32 der DSGVO). Verlangt wird damit nun ein eindeutiges Opt-in, mit dem der Betroffene sein Einverständnis mit der Verarbeitung seiner Daten erklärt. Schweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollen keine Einwilligung darstellen.
Besonders relevant ist dies für den Bereich des E-Mail-Marketings. Schon nach der bisherigen Rechtslage lautete die Empfehlung der Certified Senders Alliance an Versender von E-Mail-Werbung, immer eine schriftliche Einwilligungserklärung im Wege des „Douple Opt-in“ einzuholen. Diese Empfehlung wird nun von der DSGVO bekräftigt. Details zum Thema zulässiges E-Mail-Marketing finden Sie hier.
Wie wichtig ist es zukünftig, ein gutes Risikomanagement zu haben?
Die DSGVO enthält eine Reihe von Dokumentations- und Nachweispflichten (Accountabilities). Unter anderem sind Unternehmen dazu verpflichtet ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Betroffene haben zudem weitgehende Informations- und Auskunftsrechte und Art. 35 DSGVO sieht neu vor, dass eine Datenschutzfolgenabschätzung für alle Verarbeitungen durchgeführt werden muss, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Angesichts dieser Fülle von Pflichten brauchen Unternehmen technische Lösungen, wie ein Datenschutzmanagementsystem, die helfen, Daten sicher zu erfassen, zu speichern, zu verarbeiten und zu analysieren.
Was gilt es insbesondere bei der Auftragsdatenverarbeitung (ADV) mit Dienstleistern zu beachten?
Die neue zentrale Norm für Auftragsdatenverarbeitungen ist Art. 28 DSGVO. Nach Abs.1 müssen Verantwortliche vor der Auswahl eines Dienstleisters (Auftragsverarbeiter) diesen auf seine Geeignetheit überprüfen. Das galt im Grunde bereits nach dem BDSG, auch wenn das BDSG keine explizite Klausel dahingehend kannte. Ansonsten muss auch weiterhin ein Vertrag mit dem Dienstleister über den Umfang seiner Tätigkeit geschlossen werden. Wie bisher bleibt es dabei, dass der Auftragsverarbeiter eine weisungsgebundene Tätigkeit für den Verantwortlichen durchführt. Für den Verantwortlichen der Verarbeitung wird sich durch die DSGVO daher nicht sehr viel ändern. Bisherige Vertragsmuster werden im Detail trotzdem an die neuen Bestimmungen angepasst werden müssen.
Erhebliche Änderungen kommen aber auf den Auftragsverarbeiter zu. Dieser ist gemäß Art. 30 Abs. 2 DSGVO nun auch verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (bisheriges Verfahrensverzeichnis) für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführte Tätigkeiten zu führen. Eine Pflicht, die bisher nur den für die Verarbeitung Verantwortlichen betraf. Zudem können sich Betroffene bei Verstößen gegen die DSGVO nun mit Schadensersatzansprüchen auch direkt an den Auftragsverarbeiter wenden. Somit werden die Auftragsverarbeiter mit der DSGVO viel stärker als bisher in die Verantwortung genommen. Die Pflichten und das Haftungsrisiko steigen für sie. Dies sollte bei der Gestaltung von Vereinbarungen für die Auftragsverarbeitung berücksichtigt werden.
Und was kommt auf die Unternehmen bei Verstößen zu?
Auf Unternehmen kommen zukünftig bei Verstößen gegen die DSGVO erheblich höhere Strafen als unter dem BDSG zu. Art. 83 Abs. 5 der DSGVO bietet den Aufsichtsbehörden die Möglichkeit, Bußgelder von bis zu 20 Millionen Euro beziehungsweise bei Konzernen von bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Damit sind Verstöße gegen den Datenschutz nicht mehr als Bagatelle anzusehen, sondern können, neben Reputationsschäden, ein Unternehmen erheblich schädigen.
Zudem hat der deutsche Gesetzgeber mit den §§ 41–43 DSAnpUG Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen eingeführt. Das Haftungsrisiko für Datenschutzverletzungen steigt mit der DSGVO also nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Sie müssen bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit weitaus höheren Strafen rechnen als bisher.