Positionspapier zur EU DSGV/ePrivacy Verordnung

Positionspapier des Dialog Marketing Verbandes Österreich – DMVÖ
zur EU Datenschutz Grundverordnung – EU DSGV/ePrivacy Verordnung

Die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz EU Datenschutz-Grundverordnung (EU DSGV) genannt, wurde im April 2016 nach jahrelangen Verhandlungen und intensiven Lobbying-Aktivitäten von unterschiedlichen Interessensgruppen beschlossen und wird auch in Österreich am 25.Mai 2018 in Kraft treten. Die ePrivacy Grundverordnung ist ergänzend dazu ein Regelwerk, deren Inkrafttreten aus heutiger Sicht noch nicht fixiert ist.

Angesichts des angedrohten Strafrahmens von bis zu 4% des Jahres Nettoumsatzes, oder EUR 20 Millionen bei Zuwiderhandlungen, ist es unbedingt notwendig, für werbetreibende Unternehmen durch die Formulierung von Guidelines beziehungsweise eines Code of Conduct ein hohes Maß an Rechtssicherheit zu schaffen. 

Der DMVÖ informiert Unternehmen in Österreich generell und punktuell über die Inhalte der EU DSGV/ePrivacy Verordnung und unterstützt mit konkreten Empfehlungen die österreichischen Dialog Marketing Unternehmen bei den notwendigen Vorbereitung. Zu diesem Zweck wird der DMVÖ, gemeinsam mit Partnern, unter anderem den bestehenden CODE of CONDUCT erweitern bzw. einen neuen CODE of CONDUCT erarbeiten, der die für das Dialog Marketing relevanten Bereiche und deren Geschäftsfälle konkretisieren wird. 

In diesem Zusammenhang fordert der DMVÖ, dass die rund 60 Öffnungsklauseln, die durch die jeweiligen EU Mitgliedsstaaten individuell für das jeweilige Mitgliedsland geregelt werden, für Österreich nicht hinter verschlossenen Türen bei den zuständigen staatlichen Stellen behandelt werden, sondern die Vertreter der Wirtschaft, insbesondere aus der Dialog Marketing Branche, mit einbezogen werden. 

Es geht darum, für Unternehmen und Organisationen eine wirtschaftsverträgliche Regulierung sicher zu stellen und hohe Rechtssicherheit beim Umgang mit Daten in der täglichen Praxis zu erreichen.

 

Zentrale Änderungen im Daten­schutz

Im Mai 2018 tritt die neue Datenschutz-­Grundverordnung europaweit in Kraft, Unternehmen müssen dafür schon jetzt die Weichen stellen. Der DMVÖ widmet sich laufend diesem Thema: Wir beleuchten, was das für die Medien- und Werbebranche bedeutet.

Im heurigen Jahr werden sich heimische Unternehmen der Kommunikationsbranche intensiv mit dem Thema Datenschutz auseinandersetzen.

Denn die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz Datenschutz-Grundverordnung (DS-GVO) genannt, wurde im April des vergangenen Jahres nach jahrelangen Verhandlungen und intensiven Lobbying-Aktivitäten von unterschiedlichen Interessensgruppen beschlossen und soll voraussichtlich im Mai 2018 in Kraft treten.

Spätestens zu diesem Zeitpunkt müssen Unternehmen aus der Marketing- und Medienbranche sichergehen, dass die gesetzlichen Vorgaben eingehalten werden. HORIZONT hat sich bei Juristen und Branchenverbänden umgehört, welche Punkte in Zukunft beachtet werden müssen.

Datenschutz 2018: Die wichtigsten 10 Punkte

1. Der Zeitplan

Die DS-GVO wurde im April 2016 vom Europäischen Parlament beschlossen und ersetzt ab dem 25. Mai 2018 die nationalen Gesetze in den einzelnen EU-Mitgliedstaaten. Bis zu diesem Zeitpunkt müssen Unternehmen also darauf achten, dass sie die entsprechenden Vorgaben einhalten.

2. Die Strafen

Die Regeln der DS-GVO sollten auf keinen Fall auf die leichte Schulter genommen werden, denn eine Neuerung ist, dass bei Zuwiderhandeln extrem hohe Strafen drohen: für „administrative“ Vergehen werden zehn Millionen Euro oder zwei Prozent des globalen Umsatzes fällig, für „fundamentale ethische Vergehen“ sind es 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, was mehr ist.

3. Transparenz

Unternehmen müssen die Regeln der DS-GVO nicht nur einhalten – sondern auch demonstrieren können, dass sie sich daran halten; Werbeunternehmen müssen also ihr Customer Relationship Management ebenso wie ihr Social Media Management intern klar dokumentieren.

4. Beauftragte

Die DS-GVO sieht außerdem für ­bestimmte Betriebe die Schaffung eines Datenschutzbeauftragten vor. Dieser nimmt eine Position zwischen dem Unternehmen und den Kunden ein und muss auf heikle datenschutzrechtliche Themen aufmerksam machen. Er hat zwar kein Vetorecht und haftet auch nicht persönlich für Vergehen, ist aber in datenschutzrechtlichen Fragen zu konsultieren.

5. Datenspeicherung

Derzeit ist zwar für die Verarbeitung sensibler Daten – etwa über Geschlecht oder Gesundheit des Kunden – bereits eine ausdrückliche Zustimmung des Kunden erforderlich, für die Verarbeitung nicht-sensibler Daten (etwa Adressdaten) kann aber die Zustimmung durch Schweigen erteilt werden – also dann, wenn deutlich und unübersehbar über die Datenverarbeitung informiert wurde und der Betroffene dies hinnimmt.

Das ändert sich nun: Ab Mai 2018 muss die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der die Person ihr Einverständnis bekundet. Diese Erklärung kann entweder durch eine ausdrückliche Erklärung erfolgen oder indem der Kunde durch sein Verhalten sein Einverständnis zum Bearbeiten seiner Daten signalisiert.

6. Datenverarbeitung

Im Gegensatz zur Speicherung von persönlichen Daten versteht man unter „Profiling“ die automatisierte Verarbeitung von persönlichen Daten. Profiling wird zwar auch künftig nicht verboten sein, unterliegt aber strengen Informationspflichten, heißt es vom ÖZV: Vor allem müssen die betroffenen Personen zum Zeitpunkt der Erhebung aussagekräftige Informationen über die Tragweite und die angestrebte Auswirkung der Datenverarbeitung erhalten.

7. Targeted Ads

Für Targeting, Retargeting und Programmatic Advertising – also die Automatisierung von Targeting – muss laut Jenzer eigentlich die Zustimmung des Users eingeholt werden. Die Frage ist laut Jenzer jedoch, wie diese Zustimmung eingeholt wird.

In diesem Kontext steht auch die Verwendung von Cookies derzeit zur Diskussion: Dem aktuellen Entwurf der E-Privacy-Verordnung zufolge soll der Nutzer fast immer sein Einverständnis für die Erhebung und Verarbeitung von Daten geben müssen – auch wenn diese anonym sind. Demnach dürfen beispielsweise Third-Party-Cookies großteils nicht mehr ohne explizite Einwilligung eingesetzt werden, bemängelt das iab.

8. Gedruckte Mailings

Für Prospekte, kostenlose Kundenzeitschriften und sonstige gedruckte Mailings mit namentlicher Anschreibung gilt laut Jenzer nach wie vor die Opt-out-Regel: Es ist also keine explizite Zustimmung des Kunden erforderlich. Allerdings weist Jenzer darauf hin, dass weiterhin ein Abgleich mit der Robinsonliste nötig ist – also mit jenen rund 100.000 Personen in Österreich, die keine personalisierten schriftlichen Mailings bekommen wollen.

9. Digitale Medien

Anders verhält es sich laut Jenzer bei digitalen Medien – also SMS-Marketing, E-Mail und telefonische Kaltanrufe. Hier sieht die DS-GVO eine „unmissverständliche Zustimmung“ vor. Ein Schlupfloch: Denn während die „ausdrückliche Zustimmung“ das explizite schriftliche oder mündliche Okay des Beworbenen erfordert, reicht bei der „unmissverständlichen Zustimmung“ eine entsprechende Handlung des Kunden – etwa, wenn er mit dem Unternehmen interagiert und Interesse gezeigt hat.

Das bedeutet auch in Bezug auf Newsletter: Das Beschicken von Nicht-Kunden wird zwar generell als Spam gewertet; wenn aber ein Kunde bereits mit dem Unternehmen interagiert hat, hat er durch diese Interaktion sein Einverständnis klargemacht.

10. Löschung

Abschließend sei noch erwähnt, dass das Recht auf Vergessen in der DS-GVO klar festgelegt ist. Der Kunde kann also die Löschung seiner Daten aus einer Datenbank beantragen.

Offene Punkte

Zwar gelten bei einer Verordnung im Gegensatz zu einer EU-Richtlinie für alle Staaten die gleichen Regeln, jedoch gibt es bei der DS-GVO 69 sogenannte „Öffnungsklauseln“, die nationalstaatliche Adaptierungen ermöglichen, beziehungsweise in manchen Fällen zwingend vorsehen. Nicht alle davon sind für die Kommunikationsbranche relevant – die wichtigsten seien hier aber kurz angeführt.

Marketing gegenüber Minderjährigen:
Die Altersgrenze für die wirksame Einwilligung eines Kindes – also, ab welchem Alter es direkt angeschrieben werden darf – kann von 16 auf 15, 14 oder 13 Jahre herabgesetzt werden. In Irland entschied man sich etwa für die Altersgrenze von 14 Jahren, für Österreich sind die Aussichten noch unklar.

Big-Data-basiertes personalisiertes Marketing:
Der Umgang mit Profiling kann ebenfalls auf nationaler Ebene geregelt werden; der ÖZV prognostiziert in seinem Geschäftsbericht 2016, dass Profiling auch künftig nicht verboten sein, aber strengen Auflagen unterliegen wird. Jenzer plädiert für eine genaue Definition von Profiling – die Einteilung der Kunden in Sinus Milieus fällt seiner Meinung nach zum Beispiel nicht darunter.

Meinungsäußerungsfreiheit vs. Datenschutz:
Der Gesetzgeber muss darauf achten, wie sich der Datenschutz im Verhältnis zu künstlerischen und journalistischen Tätigkeiten verhält. Derzeit übertrumpft das Mediengesetz das Datenschutzgesetz in einigen Punkten; bei publizistischen Tätigkeiten sind vom Datenschutzgesetz nur einzelne Bestimmungen anzuwenden. Die DS-GVO ermöglicht nun theoretisch Eingriffe ins Mediengesetz im Spannungsfeld zwischen dem Schutz der persönlichen Daten und dem grundlegenden Recht auf ­Meinungsäußerung.

Datenschutzbeauftragter:
Auch die Regelung, ab welcher Betriebsgröße ein Datenschutzbeauftragter fix zu bestellen ist, kann national adaptiert werden.

Das sagt der DMVÖ

„Es ist auch im Interesse der Werbetreibenden, dass für den Kunden Transparenz herrscht“, sagt Anton Jenzer, Präsident des Dialog Marketing Verband Österreich (DMVÖ). Es gebe nun einen „Balanced Approach“ der EU, bei dem die Interessen des Einzelnen gegen jene der Branche abgewogen wurden.

Jenzer sieht Parallelen zum Jahr 2004, als mit der Reform der Gewerbeordnung auch die Regeln für seine Branche neu definiert wurden. Damals hatte der Verband einen „Code of Conduct“ mit Verhaltensregeln erstellt; nun ist aufgrund der DS-GVO eine neue Version in Kooperation mit der Wirtschaftskammer, dem iab und dem Fundraising Verband in Arbeit.

Im Lauf des Jahres werden gemeinsam neue Verhaltensregeln – vor allem für das Online-Business – formuliert und das Ergebnis vom Bundeskanzleramt geprüft. „Nach der positiven Prüfung durch das Bundeskanzleramt werden Marketer auf der sicheren Seite sein, wenn sie sich an den Code of Conduct halten“, sagt Jenzer.

Vollversion : Coverstory Horizont vom 23.1.2017
Mag. (FH) Stefan Helmuth Mey, MA
http://www.horizont.at/home/news/detail/datenschutz-2018-die-10-wichtigsten-punkte.html

Datenschutzbeauftragter

Wann ist ein Datenschutzbeauftragter verpflichtend (in meinem Unternehmen) zu bestellen?
Der Verantwortliche bzw. Auftragsverarbeiter muss einen Datenschutzbeauftragten bestellen, wenn
a) die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
b) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (gemäß Art. 9) oder von personenbezogenen Daten überstrafrechtliche Verurteilungen und Straftaten (gemäß Art. 10) besteht.

Andere Verantwortliche oder Auftragsverarbeiter können einen Datenschutzbeauftragten auf freiwilliger Basis bestellen.
Eine Gruppe von Unternehmen bzw. öffentliche Einrichtungen können einen gemeinsamen Datenschutzbeauftragten benennen. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Datenschutzbehörde mitzuteilen.

Braucht der Datenschutzbeauftragte eine bestimmte (akademische) Ausbildung?
Nein. Gemäß Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner Fähigkeit zur Erfüllung der Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DSGVO.

Stellung des Datenschutzbeauftragten
Die Stellung des Datenschutzbeauftragten ist in Art. 38 DSGVO näher geregelt.
Demnach erhält der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene.
Ferner müssen der Verantwortliche und der Auftragsverarbeiter den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellen. Art. 39 DSGVO.

Präsentation Mai 2017 Jürgen Polterauer, Dialogschmiede

Die Strafen

Die Geldbußen, bei welchen es sich um Verwaltungsstrafen handelt, reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens, bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Es bleibt den Mitgliedstaaten vorbehalten festzulegen, ob Geldbußen auch gegen Behörden und öffentliche Stellen verhängt werden können.

Verstoß/Übertretung Höchstbußebisher (max. Geldstrafe)  
Missachtung Bescheid d. DSB€ 20.000.000,–
oder 4 % v.Ums.
€ 25.000;–
Verletzung des Auskunftsrechts€ 20.000.000,–
oder 4 % v.Ums.
€ 500,–
Verletzung der Löschungsrechts€ 20.000.000,–
oder 4 % v.Ums.
€ 500,–
unrechtmäßige Datenspeicherung€ 20.000.000,–
oder 4 % v.Ums.
€ 10.000,–
unzulässige Auslandsübermittlung€ 20.000.000,–
oder 4 % v.Ums.
€ 10.000,–
fehlender Datenschutzbeauftragter€ 10.000.000,–
oder 2 % v.Ums
nicht strafbar
Nichtvornahme DSFA/DPIA€ 10.000.000,–
oder 2 % v.Ums.
nicht strafbar
mangelhafte Datensicherheit€ 10.000.000,–
oder 2 % v.Ums.
€ 10.000,–
kein Verarbeitungsverzeichnis€ 10.000.000,–
oder 2 % v.Ums.
€ 10.000,–(Meldepflicht)
fehlende Elternzustimmung€ 10.000.000,–
oder 2 % v.Ums.
nicht strafbar
Nicht-Kooperation mit DSB€ 10.000.000,–
oder 2 % v.Ums.
nicht strafbar

aus der Präsentation von Jürgen Polterauer, DMVÖ Roadshow Mai / Juni 2017