GDPR - Achtung! Online Marketer aufgepasst!

     

Im Mai 2018 wird die neue EU-Datenschutz-Grundverordnung – General Data Protection Regulation (GDPR) ‒ in Kraft gesetzt, die die zuständigen Gremien der EU schon 2016 beschlossen hatten. Obwohl die Schweiz kein Mitgliedsland der EU ist, wird GDPR auch einen Einfluss auf Schweizer Unternehmen haben. Denn das Besondere wird sein, dass die Bestimmungen Gültigkeit für alle Unternehmen in der EU und auch aus Drittstaaten haben werden. Und zwar unabhängig von der Branche und Grösse. Auch wenn für die Schweizer Unternehmen zum Teil Entwarnung gegeben werden kann, da die neuen Richtlinien ohnehin mit den helvetischen Bestimmungen vergleichbar sind, bleibt ein gewisses Restrisiko. Das Gesetzeswerk ist so komplex und umfangreich, dass Unternehmen auch unabsichtlich rasch gegen die Bestimmungen verletzen könnten. Und die Bussen sind happig: 4% vom Jahresumsatz oder bis zu 20 Mio. EUR.  

 

HIER VORLAGE  FÜR CONTENT MARKETING  STRATEGIE PLANUNG HERUNTERLADEN

 

Inhalte und Umsetzungsfrist herausfordernd

Nicht nur die Inhalte stellen eine grosse Herausforderung dar, sondern auch die Frist zur Umsetzung. Bis Mai 2018 müssen alle Unternehmen aus der EU oder aus Drittstaaten, die im Wirtschaftsraum der EU Geschäfte machen, die Regelkonformität sicherstellen. Wir haben hier nur ein paar Kernelemente aufgeführt:  

Datenschutzpannen müssen künftig innert 72 Stunden der zuständigen Datenschutzbehörde zur Kenntnis gebracht werden. In besonders schweren Fällen sind die Betroffenen zu informieren.

Privacy by Design und Privacy by Default: Hinter diesen Anglizismen versteckt sich die Vorschrift, dass die Unternehmen respektive die beauftragten Mitarbeiter für die Datenverarbeitung bereits bei der Auswahl der IT-Infrastruktur und Software den Datenschutz sicherzustellen haben.

Datenportabilität: Dateninhaber können ihre Daten jederzeit in gebräuchlicher Form herausverlangen, zum Beispiel, wenn sie zu anderen Anbietern wechseln wollen. Betroffene haben zudem das Recht auf die Löschung sämtlicher personenbezogener Daten.

Datenschutzbeauftragte: Risiko-Unternehmen müssen sogar eigens einen Datenschutzbeauftragten ernennen, der für die Informationssicherheit verantwortlich ist. Sind Personen aus der EU betroffen, so muss dieser sogar seinen Dienst- oder Geschäftssitz in der EU haben.

Datenschutz-Folgeabschätzung: Sehr anspruchsvolle Projekte erfordern demnächst eine vorgängige Folgeabschätzung und eine Meldung an die Aufsichtsbehörde, soweit hohe Restrisiken verbleiben.

Das alles klingt nach sehr viel Bürokratie und dürfte insbesondere für spezialisierte Fachanwälte eine Goldgrube sein, aber die neue Datenschutzrichtlinie ist eine direkte Konsequenz aus ausufernder Cyberkriminalität und dem laschen Datenschutz bei vielen US-amerikanischen Internetfirmen. Nehmen wir zum Beispiel Yahoo, wo 2013 bei einem Hackerangriff alle 3 Milliarden Nutzerkonten betroffen waren – das Unternehmen hatte anfänglich nur 1 Milliarde betroffene Konten eingeräumt – oder der im November 2017 bekannt gewordene Datenklau bei Uber, von dem 50 Mio. Fahrgäste und 7 Mio. Fahrer betroffen waren. Und Uber informierte übrigens in gut neoliberaler Manier nicht etwa zuerst die Betroffenen, sondern einen wichtigen Investor in Japan.    

Analytics können zum Minenfeld werden

Vor allem im Online Marketing könnte GDPR zu einem Minenfeld werden, wenn die Bestimmungen nicht korrekt eingehalten werden. Wenn ein Unternehmen oder ein Betreiber einer Website das Nutzerverhalten seiner Besucher analysieren will, dann ist er demnächst verpflichtet, die Einwilligung für die Verwendung der Nutzerdaten einzuholen. Und diese Einwilligung muss seitens des Nutzers auf freiwilliger Basis geschehen und für ihn unmissverständlich sein. Der bisherige Hinweis auf die Bestimmungen in den AGBs wird dann nicht mehr reichen.

E-Commerce Anbieter besonders gefordert

Auch für E-Commerce-Anbieter ist das keine gute Nachricht: Kunden können demnächst die Migration ihrer Daten verlangen. So könnten etwa Kunden von Galaxus verlangen, dass ihre Daten an Zalando migriert werden oder die Daten über eine Autoversicherung bei Generali zu Allianz. Das wird zu einer Menge an Mehrkosten führen und in einigen Fällen wahrscheinlich auch ein komplettes Redesign der Datenbanken erforderlich machen. Während sich europäische Firmen noch Gedanken über die Implementierung von GDPR machen, gehen US-amerikanische Firmen davon aus, dass sie millionenschwere Bussen zahlen werden müssen, weil sie den Vorschriften nicht vollumfänglich entsprechen können.

Und so geht die Prophylaxe

1. Ernennen Sie oder stellen Sie einen Data Protection Officer (DPO) ein, der die Umsetzung von GDPR von Anfang an betreut.

2. Halten Sie nicht mehr Informationen, als es dem Zweck Ihres Geschäftes dient. Denn die Richtlinie verlangt: “Personenbezogene Daten sollten adäquat, relevant und nicht exzessiv bezogen auf den Zweck, zu dem sie verarbeitet werden, sein.” Finden Sie deshalb unbedingt heraus, welche Daten wo gespeichert sind und wer darauf Zugriff hat.

3. Passen Sie mit Blick auf die neuen Datenschutzrichtlinien Ihre Prozesse an und schränken Sie den Zugriff auf sensitive Daten nach dem “Need-to-Know”-Prinzip ein.

4. Stellen Sie sicher, dass die wichtigsten Prozesse und Anforderungen im Ernstfall auch von Ihrem IT-System erfüllt werden: Die Löschung von Daten, Datenübertragung, Einwilligung für die Verwendung der Web-Nutzer- und Verhaltensdaten.

5. Dokumentieren Sie alle Ihre Datenverarbeitungs-Prozesse, damit Sie im Zweifelsfalle den Nachweis der Einhaltung erbringen können.

6. Verwenden Sie Systeme zur Einhaltung der Data Governance und zur Datenverschlüsselung.

7. Wenn Sie sich bei diesem Compliance-Thema überfordert fühlen, dann holen Sie sich jemanden, der etwas davon versteht.

Spricht man mit Branchenprofis aus dem Bereich Compliance und Datenschutz, dann gehen diese nach bisherigen Erfahrungswerten davon aus, dass die Umsetzung wohl ungefähr zwei Jahre in Anspruch nehmen wird. Höchste Zeit also, dass die Unternehmen etwas unternehmen... 

Sie möchten gerne mehr über Datenschutz gerechtes Online Marketing erfahren? Dann nehmen Sie doch ganz einfach Kontakt mit uns auf. Wir beraten Sie gerne! 

Hat Ihnen der Beitrag gefallen?