Gastbeitrag ••• Von Karin Bruchbacher
Ab 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedsstaaten der Europäischen Union und damit auch in Österreich unmittelbar anwendbar. Nach einer Schonfrist von zwei Jahren – die Verordnung ist bereits seit Mai 2016 in Kraft – muss dann jede Form der personenbezogenen Datenverarbeitung der neuen Rechtslage entsprechen. Für die Werbe- und Kommunikationsbranche bedeutet die Datenschutz-Grundverordnung, dass sie sich nicht nur mit ihren Kunden- und Mitarbeiterdaten, sondern auch mit den Kundendaten ihrer Kunden auseinandersetzen muss. Denn über Regressansprüche können Agenturen und Einzelberater auch für unsachgemäße Datenverarbeitung haftbar gemacht werden.
Die Grundsätze der zulässigen Datenverarbeitung sind nach der Datenschutz-Grundverordnung im Vergleich zur bisherigen Rechtslage nahezu unverändert. Für die Datenverarbeitung bedarf es weiterhin entweder der Einwilligung der Betroffenen oder eines anderen rechtfertigenden Grundes, etwa wenn die Datenverarbeitung für die Vertragserfüllung, die Erfüllung einer rechtlichen Verpflichtung, die Wahrung lebenswichtiger Interessen, der Wahrnehmung öffentlicher Aufgaben oder der Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Genau diese berechtigten Interessen betreffen das Kerngebiet von Werbung und Marktkommunikation.
Zwar ist in der Datenschutz-Grundverordnung explizit festgehalten, dass Werbung legitim und Datenverarbeitung zum „Zwecke der Direktwerbung” ein berechtigtes Interesse darstellt, aber die Fallen lauern im Detail.
So wurden sowohl die Rechte der Betroffenen, also die Rechte der Konsumenten und Mitarbeiter, deren Daten verarbeitet werden, gestärkt als auch die Pflichten der datenverarbeitenden Unternehmen („Verantwortliche”) verschärft.
Das Ende der DVR-Nummer
Mit der Datenschutz-Grundverordnung erfolgt eine Abkehr vom bisherigen System weitreichender Melde- und Registrierpflichten. In Zukunft wird es keine DVR-Nummer mehr geben, stattdessen müssen die Unternehmen selbst die Verantwortung für ihre Daten und deren Schutz übernehmen. So müssen sie nicht nur ihre Datenanwendungen stets dokumentieren und aufbewahren. In Fällen, in denen besonders risikobehaftete Datenverarbeitungen vorgenommen werden sollen, ist vom Verantwortlichen vorab eine Datenschutz-Folgenabschätzung, kurz PIA („Privacy Impact Assessment”) durchzuführen. Dies ist bei der Anwendung neuer Technologien, aber auch in allen Bereichen vorgesehen, in denen Kundendaten für zielgruppengerechte Kommunikation und Werbung zu Kundenprofilen verarbeitet werden.
Erstmals Regeln für Profiling
Die Datenschutz-Grundverordnung regelt erstmals auch den Umgang mit Profiling bzw. schränkt diesen ein. So hat jede Person – abgesehen von wenigen Ausnahmen – das Recht, dass eine sie betreffende Entscheidung nicht allein auf der Grundlage von Profiling ergehen darf. Die Kreditwürdigkeit einer Person darf demnach nicht nur von deren Einkaufsverhalten abhängen.
Gestärkt werden zudem die Rechte der Betroffenen. In Zukunft hat jeder Betroffene das Recht, zu erfahren, ob bzw. welche seiner personenbezogenen Daten von einem Verantwortlichen verarbeitet werden. Ihm steht zudem eine Auskunft bezüglich verschiedener die Verarbeitung betreffender Details zu, wie z.B. den Zweck der Verarbeitung, die beabsichtigte Speicherdauer und die Bekanntgabe des Empfängers der Daten im Falle einer Übermittlung. Die Betroffen haben zudem das Recht auf eine Kopie ihrer Daten und das Recht auf Datenübertragbarkeit. Wechselt ein Konsument beispielsweise den Telefonanbieter, so kann er in Zukunft verlangen, dass der gekündigte Anbieter die Daten an den neuen Vertragspartner übermittelt. Weiterhin bestehen bleibt zudem das Recht auf Berichtigung bzw. Vervollständigung sowie das Recht auf Löschung. Wurden die Daten bereits veröffentlicht, so ist der Verantwortliche verpflichtet, alle anderen Verantwortlichen über die Löschung zu informieren. Ist die Löschung aus wirtschaftlichen oder technischen Gründen nicht sofort möglich, so muss die Verarbeitung vorübergehend beschränkt werden.
Datenschutzbeauftragte
Die Pflicht zur Bestellung eines Datenschutzbeauftragten stellt ebenfalls eine Neuerung der DSGVO dar, welche für bestimmte aufgezählte Fälle vorgesehen ist. Eine solche Pflicht besteht demnach bei der Verarbeitung durch Behörden, im Zusammenhang mit umfangreichen regelmäßigen und systematischen Überwachungen oder umfangreichen Verarbeitungen besonderer Datenkategorien bzw. von Daten über strafrechtliche Verurteilungen und Straftaten.
Vorsicht Haftung
Bei Verstößen gegen die Datenschutz-Grundverordnung sind Geldbußen bis zu 4% des weltweit erzielten Vorjahresumsatzes bzw. 20 Mio. Euro – je nachdem, was höher ist – vorgesehen. Darüber hinaus stehen den Betroffenen Schadenersatzansprüche zu.
Für Auftragsverarbeiter bedeutet das, dass diese bei Verstößen gegen die Datenschutz-Grundverordnung von ihren Auftraggebern, den Verantwortlichen, zur Verantwortung gezogen werden können. Die Regressansprüche der Unternehmen an den meist deutlich kleineren Auftragverarbeitern können für diese schwerwiegenden Konsequenzen haben.
Was tun?
Aufgrund der möglichen Strafen bei Verstoß gegen die Datenschutzvorschriften müssen Strukturen und Prozesse angelegt sein, um eine Kontrolle durch die Datenschutzbehörde zu bestehen; unerlässlich sind daher die Erhebung und die Analyse des unternehmensinternen datenschutzrechtlichen Ist-Zustands, um entsprechend notwendige Maßnahmen setzen zu können, wie etwa mit dem PHH Datenschutz Check-up. Ziel ist nicht, alles neu aufzusetzen, sondern dort nachzuschärfen, wo noch Lücken bestehen.
