Wann greift die Datenschutz-Grundverordnung, was leistet die prudsys RDE

Der Gesetzgeber erweitert mit der EU-weiten Datenschutz-Grundverordnung (DSGVO) den Schutz personenbezogener Daten. Das Gesetz gilt ab dem 25. Mai 2018 für alle Unternehmen, die Daten europäischer Bürger verwenden, als bindend.

Die DSGVO umfasst 99 Paragrafen und etwa 173 Erwägungsgründe. Das Gesetz stärkt die Auskunftsrechte der Betroffenen und weitet Rechenschaftspflichten der Unternehmen aus. Die DSGVO regelt auch rechtliche Themen im Onlinemarketing klarer, z.B. den Einsatz nutzerbezogener Werbung.

Bei einem Verstoß gegen die neue Datenschutz-Grundverordnung drohen Unternehmen Bußgelder in Höhe von bis zu 4 Prozent ihres weltweiten Umsatzes bzw. bis zu 20 Millionen Euro. Die DSGVO birgt aber auch Chancen für Händler und den gesamten Wettbewerbsstandort Europa.

Wir gehen in diesem Beitrag der Frage nach, was sich mit der DSGVO ändert, wie Sie den Änderungen begegnen und wie Sie mit personalisierter Werbung nach der neuen DSGVO umgehen. Da wir jedoch keine Rechtsberatung anbieten, empfehlen wir Ihnen bei juristischen Fragen immer auch einen Fachanwalt für Datenschutz und Onlinerecht zu Rate zu ziehen.

Welche Änderungen bringt die Datenschutz-Grundverordnung für Unternehmen mit sich?

  • Unternehmen stehen in der Pflicht, elektronische Devices und Anwendungen datenschutzfreundlich voreinzustellen.
  • Es besteht die Pflicht zur Datenschutzfolgeabschätzung. Neu ist, dass Unternehmen die Datenschutzfolgeabschätzung aus Sicht des Betroffenen gestalten. Das bedeutet, dass die zuständigen Mitarbeiter überlegen, welche Folgen für den Betroffenen entstehen. Die Datenschutzfolgeabschätzung greift dann, wenn ein Datenverarbeitungsverfahren ein vermutlich erhebliches Risiko für die Rechte der Nutzer darstellt.
  • Verträge zur Auftragsdatenverarbeitung (ADV) werden mit der DSGVO erweitert und damit zu Verträgen zur Auftragsverarbeitung (AV). Diese beinhalten weitere Rechte und Pflichten für die Vertragspartner. Neu ist beispielsweise, dass der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führt. Das Dokument listet alle Verfahren auf, bei denen die Verarbeitung personenbezogener Daten erfolgt.
  • Erweiterung der Melde- und Informationspflicht bei Datenpannen, insbesondere bei allen Verletzungen hinsichtlich des Schutzes personenbezogener Daten. Das Unternehmen ist verpflichtet, den Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde und ggf. an die Betroffenen zu melden.
  • Erweiterung der Gründe für die Benennung eines Datenschutzbeauftragten

Ergänzend zur DSGVO steht die ePrivacy-Verordnung gerade auf dem Prüfstand. Sie soll die DSGVO weiter präzisieren. Nach jetzigem Stand tritt die ePrivacy-Verordnung nicht zeitglich mit der DSGVO ein. Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Rat werden für die zweite Jahreshälfte 2018 erwartet. Nach einem Entwurf der ePrivacy-Verordnung soll jegliche Verarbeitung von Daten nur nach vorheriger ausdrücklicher Einwilligung durch den Nutzer möglich sein, es sei denn, die Verarbeitung ist zur Bereitstellung des Dienstes technisch zwingend notwendig. Die Verordnung wird heftig diskutiert, zahlreiche Änderungsanträge sind gestellt. Bisher können Unternehmen nur mit Annahmen arbeiten, welche Richtlinien das Gesetz umfassen wird. Im Laufe des Jahres erfahren wir dazu mehr.

Die DSGVO kommt – wo fangen Sie an?

Unternehmen stehen vor der Herausforderung, alle Abteilungen und Prozesse, die mit Datenerfassung und Datenverarbeitung zu tun haben, DSGVO-konform auszurichten. Beachten Sie dabei diese Aspekte:

  • Nehmen Sie den Status Quo aller datenverarbeiteten Prozesse in allen Abteilungen auf.
  • Verifizieren Sie Ihre Prozesse und planen Sie diese nach den neuen Anforderungen. Beziehen Sie alle Abteilungen in die Prozessplanung ein.
  • Etablieren Sie betriebliche, technische, rechtliche und organisatorische Schritte, um DSGVO konform zu handeln.
  • Richten Sie ein Datenschutzmanagementsystem ein. Orientieren Sie sich dabei zum Beispiel am VdS Standard 3473.
  • Überprüfen Sie Ihre Dienstleister, die Daten verarbeiten. Überarbeiten Sie alle ADV-Verträge und wandeln Sie diese in AV-Verträge um (nach DSGVO). In einem Vertrag mit der prudsys AG gewährleisten wir die zulässige Datenübertragung an die prudsys Realtime Decisioning Engine (kurz: prudsys RDE). Wir beraten Sie gern bei der Formulierung eines solchen Vertrages.
  • Überprüfen Sie Ihre Datenverarbeitungsvorgänge hinsichtlich der Risiken (Stichwort Datenschutzfolgeabschätzung).
  • Überprüfen Sie Ihr Verfahrensverzeichnis beziehungsweise richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein.
  • Überarbeiten Sie Ihre internen Regelungen und aktualisieren Sie diese hinsichtlich der neuen Gesetze.
  • Führen Sie Infoveranstaltungen und Schulungen für alle Mitarbeiter zum Thema DSGVO durch.
  • Strengen Sie Datenschutz-Zertifikate an, die Sie als Nachweis gegenüber Ihren Kunden nutzen können. Bisher existiert jedoch noch kein von der EU legitimiertes Zertifikat. Hier müssen Sie abwägen, ob Sie auf bestehende Zertifikate setzen oder auf den Gesetzgeber warten.

Datenschutz-Grundverordnung als Wettbewerbsvorteil

Die Neuregelungen im Datenschutzrecht bringen viele Veränderungen mit sich. Auf den ersten Blick resultieren aus den Gesetzen vor allem mögliche Mehrarbeit durch die umfassende Überarbeitung oder Neugestaltung von Prozessen.

Doch die Änderungen bieten auch die Chance, den europäischen Datenschutz als Wettbewerbsvorteil zu nutzen. Durch die Umsetzung sind Anbieter in der Lage, persönliche Daten ihrer Kunden effizient zu schützen. Neben den monetären Kosten ist ein Imageverlust bei einer Datenpanne enorm und nur schwer revidierbar.

Wann ist die Verarbeitung von personenbezogenen Daten zulässig?

Prüfen Sie die Zulässigkeit Ihrer Datenverarbeitung. Diese richtet sich nach der Art der Daten und dem Zweck der Verarbeitung. Die Datenverarbeitung ist zulässig, wenn einer der folgenden vier Punkte zutrifft:

  • Die Verarbeitung der Daten erfüllt einen Vertrag oder ist für vorvertragliche To Dos erforderlich.
  • Die Datenverarbeitung ist erforderlich, um rechtliche Verpflichtungen zu erfüllen.
  • Die Datenverarbeitung erfolgt nach Abwägung des berechtigten Interesses (wozu auch das Onlinemarketing zählt, Art 6 Abs. 1 lit. f DSGVO). Bei der Prüfung auf Grundlage von berechtigtem Interesse nehmen Sie eine Interessenabwägung zwischen Ihrem Unternehmen (Werbetreibender/ Onlineshop) und dem Nutzer vor.
  • Die Datenverarbeitung erfolgt durch Einholung einer Einwilligung durch Opt-in (Art 6 Abs. 1 lit. a, 7 DSGVO). Ist der Einsatz nutzerbezogener Werbemethoden nach einer Interessenabwägung nicht in Betracht zu ziehen, bleibt Ihnen die Möglichkeit, diese auf Basis der Einwilligung durch den Nutzer durch Opt-in anzuwenden.

Wie Sie personalisierte Werbung nach der neuen Datenschutz-Grundverordnung regelkonform einsetzen

Wenn Sie personenbezogene Daten im Onlinemarketing verwenden, legitimieren Sie die Verarbeitung dieser Daten auf Grundlage von berechtigtem Interesse oder auf Basis einer Einwilligung der Nutzer. Wenn Sie Marketingmaßnahmen ohne personenbezogene Daten umsetzen, werden die Shop-Besucher in ihrer Gesamtheit betrachtet. Die Verarbeitung der Daten fällt dann nicht unter die Vorschriften der DSGVO.

Wir bieten mit der prudsys RDE zahlreiche Marketingmaßnahmen an, die auch ohne Nutzung personenbezogener Daten funktionieren. Die prudsys RDE ermöglicht u.a. den Einsatz produktbezogener, kategoriebezogener, suchbegriffsbezogener, globaler und nutzerbezogener Empfehlungslogiken. Sie wählen die jeweils passenden Empfehlungslogiken für Ihr Onlinemarketing aus.

Wir stehen im Austausch mit Shop-Dienstleistern und einer Rechtsberatung zu den genannten Punkten hinsichtlich der DSGVO. Gern erarbeiten wir gemeinsam mit Ihnen eine individuelle Lösung für den datenschutzkonformen Einsatz nutzerbezogener Werbemethoden. Wenden Sie sich bei konkreten Fragen zum Projekt an Ihren Ansprechpartner oder an datenschutzbeauftragter@prudsys.de.


Stand: 08.02.2018.
Wir aktualisieren diesen Beitrag regelmäßig.

Quellen:

https://www.wbs-law.de/it-recht/datenschutzrecht/die-eu-datenschutzgrundverordnung/

https://dejure.org/gesetze/DSGVO

https://www.bitkom.org/Bitkom/Publikationen/FAQ-zur-Datenschutzgrundverordnung.html

https://www.datenschutz-notizen.de/synopse-zur-eprivacy-verordnung-veroeffentlicht-2919939/