Alles was Online Marketer über den neuen Datenschutz wissen müssen
Ich bin ein Datenschutz Fan! Ich liebe Datenschutz und wir bei morefire haben den Datenschutz auch immer schon sehr ernst genommen! Welche Daten sind es bei mir persönlich, die ich schützenswert finde?
- Ich möchte z.B. nicht, dass mein Gesicht im öffentlichen Raum oder in Geschäften aufgenommen oder veröffentlicht wird.
- Ich möchte nicht, dass unverlangt Werbung in meinem Briefkasten liegt, die mich nicht interessiert.
- Ich möchte nicht, dass mich ein Telefonrobot anruft.
- Ich möchte nicht, dass ich völlig sinnlose E-Mails von indischen “Dienstleistern” bekomme.
- Ich möchte nicht, dass gespeichert wird mit wem und wann ich telefoniere.
- Ich möchte nicht, und das ist mir schon passiert, dass eine Online-Apotheke meine Bestellung aufgrund eines falschen Scorings ablehnt.
- Ich möchte, dass ich weiß wo die Daten landen, wenn mich ein Beamter zum Thema Mikrozensus mit sensiblen Fragen nervt.
- Ich möchte nicht, dass jeder X-Beliebige im Darknet meine Kreditkartendaten erwerben kann
- Ich möchte nicht, dass mich auf Facebook jeder anpöbeln kann.
- Ich möchte nicht, dass jede Kassiererin bei Rewe meine EC oder Kreditkartendaten kennt. Und meinen Namen.
- Ich möchte nicht, dass der Grenzbeamte bei der Einreise in die USA weiß, welche Bücher ich bei Amazon bestellt oder welche Dinge ich mit meiner Kreditkarte gekauft habe.
Jetzt die schlechte Nachricht: Keiner dieser Punkte wird durch die neue EU Datenschutz-Grundverordnung (EU-DSGVO), die ab Mai 2018 europaweit gilt, geregelt! Wenn wir die Sache ganz genau betrachten, wird der Punkt mit dem Scoring (bzw. Profiling) in der DSGVO geregelt. Die Eindeutschung war dann aber so schlau, den einzig für mich sinnvollen Teil der DSGVO, dem Schutz gegen die Schufa und andere Bonitätsdienste zu annulieren.
DSGVO, GDPR, EPV? Was Werber über die Änderungen im Datenschutzrecht wissen müssen
Wenn ich derzeit auf Networking-Events das Thema Datenschutz-Grundverordnung anspreche, beobachte ich drei Reaktionen. Die einen winken ab und sagen sowas wie: “Ach das kommt eh nicht so wie es angedacht ist und wir haben ja noch Zeit”. Andere sind eher panisch und äußern sowas wie: “Unsere Leute sind da dran, wir haben schon alle unsere Prozesse durchleuchtet und alle Vereinbarungen mit Dritten aktualisiert, oh Gott ist das viel Arbeit”. Und wieder andere sehen das Ganze pragmatisch und meinen: “Wir haben schon Schulungen mit den Mitarbeitern gemacht, die Dinge sondiert und schauen uns gerade an, wie wir unsere E-Mail compliant bekommen.” Die zweite Reaktion, die panische, kommt oft aus der IT 🙂 . Dieser Blogartikel wendet sich am ehesten an die pragmatische Fraktion, also die dritte Gruppe.
Zusammen mit Tim Berger (Fachanwalt für gewerblichen Rechtsschutz) werde ich die wichtigsten Erkenntnisse für Euch zusammenfassen und sie nach Themenfeldern in den nächsten Wochen veröffentlichen. Ich hoffe auf eine Menge Kommentare, sodass wir dieses Thema zusammen stemmen.
Sooo viele Fachbegriffe
Es gibt die EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese regelt wie ich Daten verarbeiten muss. Sie regelt aber auch “nur” das.
Wenn ich jemandem ohne dessen Einwilligung eine E-Mail schreibe, regelt die DSGVO z.B. nur den seelischen Schaden, der dem Angeschriebenen dadurch entsteht (den der Betroffene auch geltend machen kann als Schadenersatz), dass ich seine Daten unberechtigt verarbeitet, also benutzt habe. Der Betroffene kann diesen Schaden auch geltend machen und Schadensersatz einfordern.
Die Mail selbst, also der Akt des Schreibens und Verschickens, wird nach wie vor durch §7 UWG (unzumutbare Belästigung) geregelt.
Jetzt ist die EU-DSGVO aber eine Verordnung, die in jedem Land der EU gilt. Grundsätzlich! Aber jedes Land kann sie “anpassen”. Da sich kein Mensch “Datenschutz-Anpassungs- und Umsetzungsgesetz“ merken kann, heißt das jetzt BDSG (neu). Ich finde den Namen allerdings sehr unglücklich gewählt, denn er hat mit dem BDSG (alt) eigentlich nichts zu tun, sondern ist die Eindeutschung der DSGVO. Das ist eine Nebelkerze.
Um das Ganze besonders unumsetzbar zu machen, haben die Datenschutzgötter uns zeitgleich die neue E-Privacy-Verordnung (EPV) geschenkt. Dies bedeutet, das EU Parlament hat dem Entwurf zugestimmt. Auf Basis des Parlamentsbeschlusses wird das Parlament nun in die Trilog-Verhandlungen mit der EU-Kommission und den Mitgliedstaaten gehen.
Damit es besonders großen Spaß macht, widersprechen sich beide Verordnungen in weiten Teilen. Das ist auch die größte Kritik an der EU-DSGVO: Weitestgehend ist sie selbst für Juristen unverständlich, vage formuliert und die verschiedenen Verordnungen widersprechen sich. Dazu kommen wir, spätestens in dem Teil, in dem es um die Cookie-Einwilligungen auf der Webseite geht.
Das einzig Gute ist: § 11 ff. TMG verlieren ihre Wirkung (Telemediengesetz, hier wird der Datenschutz geregelt).
Warum sollte uns das kümmern?
Sanktionen
Bei Datenschutzverstößen können Geldbußen in Höhe von bis zu 20 Millionen Euro verhängt werden oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Das hängt davon ab, welcher Betrag der höhere ist. Laut Verordnung sollen die Bußgelder abschreckend hoch sein.
Schadensersatz
Jede Person, deren Daten unerlaubt verarbeitet werden, hat das Recht auf Schadensersatz. Es gilt das “seelisch erlittene Unrecht”, nicht etwa wie sonst üblich der entstandene wirtschaftliche Schaden. Hier droht auch Gefahr von ausscheidenden Mitarbeitern und unzufriedenen Kunden. Die Kanzlei Bahr hat in der Website Boosting (#23) eine interessante These veröffentlicht: Danach gehen die Anwälte der Kanzlei Bahr davon aus, dass hier eine ganze Industrie entstehen könnte.
Man sollte sich das nochmal auf der Zunge zergehen lassen: Jeder Bürger kann jede Organisation oder Firma in jedem EU-Land auf Schadensersatz verklagen!
Abmahnungen
zu Befürchten sind auch Abmahnungen. Sowohl von Abmahnanwälten, alsauch „normalen“ betroffenen sowie von Verbraucherschutzverbänden. Unklar ist inwieweit das Wettbewerbsrecht Anwendung findet.
Update 14.11.2018: Auf der Webseite der Kanzlei HMS gibt es erste Fälle von Abmahnungen wegen Verstoßes gegen Anonymze-Ip bei Google Analytics.
Geltungsbereich
Extraterritorialität: Die EU-DSGVO gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten, auch wenn sie keine Niederlassung innerhalb der EU haben.
Marktortprinzip: Es gilt künftig das sogenannte Marktortprinzip, wonach die DSGVO Anwendung findet, wenn sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient.
Strafrecht
In § 42 BDGS (neu) steht jetzt sogar: “Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, …“.
Die Nachweispflicht liegt beim Verletzer! Auf gut Deutsch heißt das: Kein Wegducken möglich.
Für wen? Die DSGVO gilt für theoretisch für ALLE personenbezogenen Daten.
Hierzu gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. „Identifizierbar“ ist künftig eine Person auch dann, wenn ihre Daten zwar pseudonymisiert wurden, aber mit weiteren Informationen auf dem Server zusammengeführt und so zur Profilbildung genutzt werden können.
Wichtig: Laut vieler Experten fallen anonyme Daten nicht unter die DSGVO. Die meisten Datenschützer sagen aber ganz klar, auch anonymisierte Daten fallen unter die DSGVO (Quelle Prof. Dr. Christoph Bauer, ePrivacy GmbH).
Auch die Daten von Geschäftskontakten in einem anderen Unternehmen sind personenbezogene Daten und fallen in den Anwendungsbereich der DSGVO. Ausgenommen sind nur die Namens- und Adressdaten usw. von Unternehmen an sich.
ERGO: Es gibt keine Ausnahmen für B2B-Kontaktdaten!
Politische Würdigung
Anders als es in den Medien häufig kolportiert wird, sind wir als Agentur absolut für ein wirksames Datenschutzrecht. In diesem Fall ist es aber einfach schlecht gemacht. Viele Regelungen in den einzelnen Gesetzen widersprechen einander und machen es Unternehmen unmöglich, sich daran zu halten. Man muss sich irgendwie durchlavieren.
Ein Beispiel ist die Frage, wie ich Cookies rechtskonform einsetze. Hier widersprechen sich EU-DSGVO und die noch geltende E-Privacy-Richtlinie.
Des Weiteren ist das Ganze ein Bürokratiemonster. Ich persönlich habe bereits über 100 Arbeitsstunden in das Thema gesteckt. Wir rechnen, bei einer Größe von 65 Mitarbeitern, mit ungefähr 10.000-14.000 Arbeitsstunden, die bis Ende 2018 nur wegen der EU-DSGVO zusätzlich anfallen!
Wenn man das auf die gesamte Wirtschaft hochrechnet, ist das ein Schaden in Milliardenhöhe.
In puncto Wettbewerbsfähigkeit und Infrastruktur liegen Deutschland und die EU für das digitale Marketing bereits jetzt hinter Ländern wie Uganda oder Kenia zurück. Dieser Abstand wird sich weiter vergrößern. Der Abstand zu Indien, USA, Israel, Brasilien und China wird sich dramatisch erhöhen. Deutschland wird digitales Entwicklungsland. Da helfen auch hektisch aus dem Boden gestampfte Förderprogramme nichts.
Selbst eine Studie für das Bundesministerium für Wirtschaft und Energie kommt zu dem Ergebnis, dass EPV und DSGVO für viele Firmen existenzbedrohend sein wird, es einen Widerspruch zur „Free Flow of Data“-Verordnung gibt, es eine „wahrscheinliche Schlechterstellung des Konsumenten“ geben wird und die Wirtschaft nachhaltig geschädigt wird.
Mich als Verbraucher stört es vor allem, dass meine Daten an die NSA gelangen und ich nicht weiß, wer danach an diese Daten herankommt. Die EU tut so, als wenn die USA, was die Daten angeht, ein Bananenstaat sei und die EU der Vorreiter. Gleichzeitig unterbindet Deutschland aber nicht, dass die NSA am Datenknotenpunkt DE-CIX in Frankfurt unsere Daten absaugt.
Also ganz ernsthaft: Die deutsche Wirtschaft steckt Milliarden an Geld und viel Zeit in den Datenschutz. Jedes noch so kleine System wird sicher gemacht, während die US-Amerikaner – und über diese auch jeder andere staatliche oder private Dienst – sich alle gewünschten Daten dort abholen. Und darüber wird nicht einmal mehr gesprochen.
Unser Staat verkauft nach wie vor unsere Adressen. Viele Firmen haben eine Schnittstelle, wo sie ganz bequem unsere privaten Adressdaten vom Einwohnermeldeamt absaugen können. Habt Ihr Euch schon mal gefragt, wieso Ihr Werbung und GEZ-Briefe bekommt, wenn Ihr irgendwo neu einzieht?
Praktisch für den Staat ist auch, dass die EU-DSGVO für alle gilt. Für alle? Nun ja für alle außer Polizei, Justiz und EU-Organe, wie das EU-Parlament. Man fragt sich schon, warum. Wenn es wirklich wichtig wäre, dass unsere Daten geschützt werden, sollte die EU-DSGVO dann nicht auch für alle gelten?
Aus meiner Sicht ist der tiefere Sinn hinter dieser Verordnung, dass man Facebook, Google und Co. endlich dazu bewegen kann, Geld zu bezahlen. Letztendlich ist es eine verdeckte Steuer. Sie enthält so viele schwammige Prinzipien, dass der Großteil normaler Unternehmen diese nicht wirklich einhalten kann. Dann droht man mit einem Bußgeld, einigt sich in der Mitte und ist nicht mehr böse, dass man keine Steuern erheben konnte. Klingt auch erst mal ganz gut. Aber Facebook und Google trifft es eben nicht. Google hat in beachtlicher Geschwindigkeit die Cloud-Dienste so angepasst, dass diese datenschutzkonform sind und Facebook sitzt es einfach aus. Es trifft aber eben viele, viele mittelständische Unternehmen. Natürlich wird es nicht alle Unternehmen treffen. Und dadurch entsteht Willkür. Wir werden sehen, dass sich der Staat willkürlich Unternehmen, die ihm nicht passen, rauspickt und bestraft. Eine Rechtssicherheit gibt es eben nicht. Gibt es einen Aufschrei wegen dieser Willkür? Nein mitnichten.
Genug gejammert
Sehen wir das Positive. Natürlich haben wir als Dienstleister jetzt auch die Möglichkeit uns durch die Beratung für unserere Kunden hervorzutun. Außerdem ist es für jeden eine Chance, alle Prozesse einmal zu durchleuchten, zu modifizieren und sauber zu verschriftlichen.
Wir werden hier in den nächsten Wochen und Monaten alle relevanten Marketing-Produkte durchleuchten und Euch sagen, welche Produkte modifiziert werden müssen.
Angedacht haben wir die Themen IT (Cloud), E-Mail-Marketing, CRM, Marketing-Automation, Tracking, Targeting, Profiling und spezielle Produkte, wie AdWords, Facebook und Co. Außerdem werden wir unser „Cookie Compliance Module“ vorstellen. Wenn Euch etwas speziell unter den Nägeln brennt, schickt es uns oder kommentiert diesen Blogbeitrag.
Hier findet Ihr außerdem, was im Rahmen der DSGVO unbedingt umgesetzt werden sollte:
