Positionspapier zur EU DSGV/ePrivacy Verordnung

Positionspapier des Dialog Marketing Verbandes Österreich – DMVÖ
zur EU Datenschutz Grundverordnung – EU DSGV/ePrivacy Verordnung

Die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz EU Datenschutz-Grundverordnung (EU DSGV) genannt, wurde im April 2016 nach jahrelangen Verhandlungen und intensiven Lobbying-Aktivitäten von unterschiedlichen Interessensgruppen beschlossen und wird auch in Österreich am 25.Mai 2018 in Kraft treten. Die ePrivacy Grundverordnung ist ergänzend dazu ein Regelwerk, deren Inkrafttreten aus heutiger Sicht noch nicht fixiert ist.

Angesichts des angedrohten Strafrahmens von bis zu 4% des Jahres Nettoumsatzes, oder EUR 20 Millionen bei Zuwiderhandlungen, ist es unbedingt notwendig, für werbetreibende Unternehmen durch die Formulierung von Guidelines beziehungsweise eines Code of Conduct ein hohes Maß an Rechtssicherheit zu schaffen. 

Der DMVÖ informiert Unternehmen in Österreich generell und punktuell über die Inhalte der EU DSGV/ePrivacy Verordnung und unterstützt mit konkreten Empfehlungen die österreichischen Dialog Marketing Unternehmen bei den notwendigen Vorbereitung. Zu diesem Zweck wird der DMVÖ, gemeinsam mit Partnern, unter anderem den bestehenden CODE of CONDUCT erweitern bzw. einen neuen CODE of CONDUCT erarbeiten, der die für das Dialog Marketing relevanten Bereiche und deren Geschäftsfälle konkretisieren wird. 

In diesem Zusammenhang fordert der DMVÖ, dass die rund 60 Öffnungsklauseln, die durch die jeweiligen EU Mitgliedsstaaten individuell für das jeweilige Mitgliedsland geregelt werden, für Österreich nicht hinter verschlossenen Türen bei den zuständigen staatlichen Stellen behandelt werden, sondern die Vertreter der Wirtschaft, insbesondere aus der Dialog Marketing Branche, mit einbezogen werden. 

Es geht darum, für Unternehmen und Organisationen eine wirtschaftsverträgliche Regulierung sicher zu stellen und hohe Rechtssicherheit beim Umgang mit Daten in der täglichen Praxis zu erreichen.

 

Zentrale Änderungen im Daten­schutz

Im Mai 2018 tritt die neue Datenschutz-­Grundverordnung europaweit in Kraft, Unternehmen müssen dafür schon jetzt die Weichen stellen. Der DMVÖ widmet sich laufend diesem Thema: Wir beleuchten, was das für die Medien- und Werbebranche bedeutet.

Im heurigen Jahr werden sich heimische Unternehmen der Kommunikationsbranche intensiv mit dem Thema Datenschutz auseinandersetzen.

Denn die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz Datenschutz-Grundverordnung (DS-GVO) genannt, wurde im April des vergangenen Jahres nach jahrelangen Verhandlungen und intensiven Lobbying-Aktivitäten von unterschiedlichen Interessensgruppen beschlossen und soll voraussichtlich im Mai 2018 in Kraft treten.

Spätestens zu diesem Zeitpunkt müssen Unternehmen aus der Marketing- und Medienbranche sichergehen, dass die gesetzlichen Vorgaben eingehalten werden. HORIZONT hat sich bei Juristen und Branchenverbänden umgehört, welche Punkte in Zukunft beachtet werden müssen.

Datenschutz 2018: Die wichtigsten 10 Punkte

1. Der Zeitplan

Die DS-GVO wurde im April 2016 vom Europäischen Parlament beschlossen und ersetzt ab dem 25. Mai 2018 die nationalen Gesetze in den einzelnen EU-Mitgliedstaaten. Bis zu diesem Zeitpunkt müssen Unternehmen also darauf achten, dass sie die entsprechenden Vorgaben einhalten. Bei der DS-GVO handelt es sich um eine Verordnung.

Im Gegensatz zu einer Richtlinie, die den EU-Mitgliedstaaten viel Gestaltungsraum auf nationaler Ebene lässt, gilt diese unmittelbar in allen EU-Mitgliedsstaaten. Allerdings mit einer gewissen Einschränkung: Die DS-GVO enthält mehr als 60 sogenannte „Öffnungsklauseln“, die nationalstaatliche Regelungen ermöglichen beziehungsweise in manchen Fällen sogar zwingend vorsehen.

Im Laufe des Jahres 2017 werden die Öffnungsklauseln also auf nationaler Ebene umgesetzt. Laut Lukas Feiler, Rechtsanwalt und Leiter des IT-Teams bei Baker & McKenzie, liegt in Deutschland dafür mittlerweile der dritte Entwurf vor; der erste österreichische Entwurf sollte im Laufe des ersten Quartals 2017 kommen. Ungeachtet der Öffnungsklauseln sind die meisten Verpflichtungen für heimische Unternehmen aber schon festgelegt.

Dementsprechend ist der Spielraum für Lobbyisten auf nationaler Ebene sehr eingeschränkt, hier wurden die meisten Aktivitäten in den vergangenen Jahren in Brüssel gesetzt. Eng verzahnt mit der DS-GVO ist aber auch die E-Privacy-Verordnung, für welche die EU-Kommission vergangene Woche einen Entwurf zur Überarbeitung vorgelegt hat. Betroffen von dieser Verordnung sind unter anderem der Einsatz von Cookies in der Werbung sowie der Datenschutz bei Chat- oder Voice-over-IP-Anwendungen wie WhatsApp und Skype.

Für diese Verordnung werden noch aktiv Lobbying Aktivitäten gesetzt. So kritisierten etwa der deutsche Bundesverband Digitale Wirtschaft (BVDW) und das Internet Advertising Bureau Austria (iab) die E-Privacy-Verordnung.

2. Die Strafen

Die Regeln der DS-GVO sollten auf keinen Fall auf die leichte Schulter genommen werden, denn eine Neuerung ist, dass bei Zuwiderhandeln extrem hohe Strafen drohen: für „administrative“ Vergehen werden zehn Millionen Euro oder zwei Prozent des globalen Umsatzes fällig, für „fundamentale ethische Vergehen“ sind es 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, was mehr ist.

Laut Anton Jenzer, Präsident des DMVÖ, richtet sich die Unterscheidung der beiden Strafhöhen danach, ob bloß technische Fehler gemacht oder bewusst das Datenschutzrecht verletzt werden. Konkrete Beispiele nennt Feiler: Wer bei der Erhebung persönlicher Daten vergisst, den Kunden angemessen zu informieren, der wird mit bis zu zehn Millionen Euro bestraft; wer gar keine Zustimmung zur Verarbeitung der Daten einholt, zahlt bis zu 20 Millionen Euro Strafe.

3. Transparenz

Unternehmen müssen die Regeln der DS-GVO nicht nur einhalten – sondern auch demonstrieren können, dass sie sich daran halten; Werbeunternehmen müssen also ihr Customer Relationship Management ebenso wie ihr Social Media Management intern klar dokumentieren. „Dafür müssen die Unternehmen investieren und bestehende Prozesse und Dokumente überarbeiten“, sagt Feiler.

Fragt eine Behörde nach, so muss das Unternehmen die Schritte darlegen können – ansonsten droht ein Verfahren. „Das ist aber vor allem für große Unternehmen wichtig, KMU wird man faktisch wohl an anderen Maßstäben messen“, sagt Feiler.

4. Beauftragte

Die DS-GVO sieht außerdem für ­bestimmte Betriebe die Schaffung eines Datenschutzbeauftragten vor. Dieser nimmt eine Position zwischen dem Unternehmen und den Kunden ein und muss auf heikle datenschutzrechtliche Themen aufmerksam machen. Er hat zwar kein Vetorecht und haftet auch nicht persönlich für Vergehen, ist aber in datenschutzrechtlichen Fragen zu konsultieren.

Wer genau einen Datenschutzbeauftragten braucht, das ist ebenfalls Teil einer Öffnungsklausel und kann daher national noch adaptiert werden. Die EU schlägt aber vor, dass ab einer Betriebsgröße von 250 Mitarbeitern ein Datenschutzbeauftragter ernannt werden muss, ebenso bei Unternehmen, die ein datengetriebenes Geschäft als Kerntätigkeit betreiben – dass würde laut Feiler eine Marketing­agentur nicht betreffen, ein Online-Advertising-Netzwerk aber sehr wohl.

Feiler glaubt, dass man in Deutschland im Rahmen der Öffnungsklauseln wohl eine Pflicht zu Datenschutzbeauftragten einführt, in Österreich hingegen nicht. „Trotzdem ist es sinnvoll, dezidiert eine Datenschutzrolle im Unternehmen zu schaffen“, sagt Feiler: Ansonsten ist die Umsetzung der Vorgaben schwierig und folglich eine Strafe möglich.

5. Datenspeicherung

Derzeit ist zwar für die Verarbeitung sensibler Daten – etwa über Geschlecht oder Gesundheit des Kunden – bereits eine ausdrückliche Zustimmung des Kunden erforderlich, für die Verarbeitung nicht-sensibler Daten (etwa Adressdaten) kann aber die Zustimmung durch Schweigen erteilt werden – also dann, wenn deutlich und unübersehbar über die Datenverarbeitung informiert wurde und der Betroffene dies hinnimmt.

Das ändert sich nun: Ab Mai 2018 muss die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der die Person ihr Einverständnis bekundet. Diese Erklärung kann entweder durch eine ausdrückliche Erklärung erfolgen oder indem der Kunde durch sein Verhalten sein Einverständnis zum Bearbeiten seiner Daten signalisiert.

6. Datenverarbeitung

Im Gegensatz zur Speicherung von persönlichen Daten versteht man unter „Profiling“ die automatisierte Verarbeitung von persönlichen Daten. Profiling wird zwar auch künftig nicht verboten sein, unterliegt aber strengen Informationspflichten, heißt es vom ÖZV: Vor allem müssen die betroffenen Personen zum Zeitpunkt der Erhebung aussagekräftige Informationen über die Tragweite und die angestrebte Auswirkung der Datenverarbeitung erhalten.

Für den Bereich Journalismus gilt bei der Datenverarbeitung laut ÖZV jedoch das Prinzip „Mediengesetz schlägt Datenschutz“: Wenn die Daten unmittelbar für die publizistische Tätigkeit verwendet werden, sind vom Datenschutzgesetz nur einzelne Bestimmungen anzuwenden. Die Verordnung lässt zwar auch hier abweichende nationale Regelungen zu – aber nur, wenn sie erforderlich sind, um das Recht auf Datenschutz und das Recht auf Meinungsäußerung in Einklang zu bringen. Der VÖZ signalisiert bereits, dass man wachsam sein werde in Bezug auf potenzielle Änderungen im Medienrecht.

7. Targeted Ads

Für Targeting, Retargeting und Programmatic Advertising – also die Automatisierung von Targeting – muss laut Jenzer eigentlich die Zustimmung des Users eingeholt werden. Die Frage ist laut Jenzer jedoch, wie diese Zustimmung eingeholt wird.

In diesem Kontext steht auch die Verwendung von Cookies derzeit zur Diskussion: Dem aktuellen Entwurf der E-Privacy-Verordnung zufolge soll der Nutzer fast immer sein Einverständnis für die Erhebung und Verarbeitung von Daten geben müssen – auch wenn diese anonym sind. Demnach dürfen beispielsweise Third-Party-Cookies großteils nicht mehr ohne explizite Einwilligung eingesetzt werden, bemängelt das iab.

8. Gedruckte Mailings

Für Prospekte, kostenlose Kundenzeitschriften und sonstige gedruckte Mailings mit namentlicher Anschreibung gilt laut Jenzer nach wie vor die Opt-out-Regel: Es ist also keine explizite Zustimmung des Kunden erforderlich. Allerdings weist Jenzer darauf hin, dass weiterhin ein Abgleich mit der Robinsonliste nötig ist – also mit jenen rund 100.000 Personen in Österreich, die keine personalisierten schriftlichen Mailings bekommen wollen.

9. Digitale Medien

Anders verhält es sich laut Jenzer bei digitalen Medien – also SMS-Marketing, E-Mail und telefonische Kaltanrufe. Hier sieht die DS-GVO eine „unmissverständliche Zustimmung“ vor. Ein Schlupfloch: Denn während die „ausdrückliche Zustimmung“ das explizite schriftliche oder mündliche Okay des Beworbenen erfordert, reicht bei der „unmissverständlichen Zustimmung“ eine entsprechende Handlung des Kunden – etwa, wenn er mit dem Unternehmen interagiert und Interesse gezeigt hat.

Das bedeutet auch in Bezug auf Newsletter: Das Beschicken von Nicht-Kunden wird zwar generell als Spam gewertet; wenn aber ein Kunde bereits mit dem Unternehmen interagiert hat, hat er durch diese Interaktion sein Einverständnis klargemacht.

10. Löschung

Abschließend sei noch erwähnt, dass das Recht auf Vergessen in der DS-GVO klar festgelegt ist. Der Kunde kann also die Löschung seiner Daten aus einer Datenbank beantragen.

Offene Punkte

Zwar gelten bei einer Verordnung im Gegensatz zu einer EU-Richtlinie für alle Staaten die gleichen Regeln, jedoch gibt es bei der DS-GVO 69 sogenannte „Öffnungsklauseln“, die nationalstaatliche Adaptierungen ermöglichen, beziehungsweise in manchen Fällen zwingend vorsehen. Nicht alle davon sind für die Kommunikationsbranche relevant – die wichtigsten seien hier aber kurz angeführt.

Marketing gegenüber Minderjährigen:
Die Altersgrenze für die wirksame Einwilligung eines Kindes – also, ab welchem Alter es direkt angeschrieben werden darf – kann von 16 auf 15, 14 oder 13 Jahre herabgesetzt werden. In Irland entschied man sich etwa für die Altersgrenze von 14 Jahren, für Österreich sind die Aussichten noch unklar.

Big-Data-basiertes personalisiertes Marketing:
Der Umgang mit Profiling kann ebenfalls auf nationaler Ebene geregelt werden; der ÖZV prognostiziert in seinem Geschäftsbericht 2016, dass Profiling auch künftig nicht verboten sein, aber strengen Auflagen unterliegen wird. Jenzer plädiert für eine genaue Definition von Profiling – die Einteilung der Kunden in Sinus Milieus fällt seiner Meinung nach zum Beispiel nicht darunter.

Meinungsäußerungsfreiheit vs. Datenschutz:
Der Gesetzgeber muss darauf achten, wie sich der Datenschutz im Verhältnis zu künstlerischen und journalistischen Tätigkeiten verhält. Derzeit übertrumpft das Mediengesetz das Datenschutzgesetz in einigen Punkten; bei publizistischen Tätigkeiten sind vom Datenschutzgesetz nur einzelne Bestimmungen anzuwenden. Die DS-GVO ermöglicht nun theoretisch Eingriffe ins Mediengesetz im Spannungsfeld zwischen dem Schutz der persönlichen Daten und dem grundlegenden Recht auf ­Meinungsäußerung.

Datenschutzbeauftragter:
Auch die Regelung, ab welcher Betriebsgröße ein Datenschutzbeauftragter fix zu bestellen ist, kann national adaptiert werden.

Das sagt der VÖZ:

„Mediengesetz sticht Datenschutzgesetz – dieser Grundsatz muss auch in Zukunft gelten“, sagt VÖZ-Präsident Thomas Kralinger. Der VÖZ sei nun besonders wachsam, dass es zu keiner Einschränkung der Meinungsfreiheit kommt, denn derzeit gelten durch das Mediengesetz für Journalisten und Verlage noch Ausnahmen in puncto Datenschutz.

„Jede Änderung im Mediengesetz, die als vermeintlich erforderliche Anpassung an das neue Datenschutzrecht präsentiert wird, wird von uns ganz genau beobachtet und geprüft“, sagt Kralinger. Lange Zeit hat es laut Kralinger so ausgesehen, dass die EU die Adressverarbeitung für Direktmarketingzwecke faktisch verunmöglichen würde: „Die Vorabzustimmungspflicht hätte in ihrer ursprünglichen Form die Wirtschaft gehemmt und Arbeitsplätze gefährdet.“

Die Rechtslage bleibe nun im Großen und Ganzen jedoch unverändert und werde somit weiterhin den Interessensausgleich zwischen Wirtschaft und Konsumentenschutz erhalten.

Das sagt der DMVÖ

„Es ist auch im Interesse der Werbetreibenden, dass für den Kunden Transparenz herrscht“, sagt Anton Jenzer, Präsident des Dialog Marketing Verband Österreich (DMVÖ). Es gebe nun einen „Balanced Approach“ der EU, bei dem die Interessen des Einzelnen gegen jene der Branche abgewogen wurden.

Jenzer sieht Parallelen zum Jahr 2004, als mit der Reform der Gewerbeordnung auch die Regeln für seine Branche neu definiert wurden. Damals hatte der Verband einen „Code of Conduct“ mit Verhaltensregeln erstellt; nun ist aufgrund der DS-GVO eine neue Version in Kooperation mit der Wirtschaftskammer, dem iab und dem Fundraising Verband in Arbeit.

Im Lauf des Jahres werden gemeinsam neue Verhaltensregeln – vor allem für das Online-Business – formuliert und das Ergebnis vom Bundeskanzleramt geprüft. „Nach der positiven Prüfung durch das Bundeskanzleramt werden Marketer auf der sicheren Seite sein, wenn sie sich an den Code of Conduct halten“, sagt Jenzer.