PromoBlog

Die neue EU-Datenschutzgrundverordnung Teil 2

Im ersten Teil unseres Artikels über die neue EU-Datenschutzgrundverordnung ging es um das Grundverständnis der Verordnung. Im Folgenden möchten wir näher auf die Betroffenenrechte, die wesentlichen neuen Anforderungen für Agenturen und Unternehmen der Event- und Promotionbranche eingehen und aufzeigen, welche Konsequenzen das Nichteinhalten der EU-DSGVO mit sich bringen.

Welche Rechte haben die Betroffenen?

Nach dem Grundsatz der informationellen Selbstbestimmung hat ab dem 25.05.2018 jeder Nutzer das Recht, selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen: also welche Daten werden gesammelt und wer nutzt diese zu welchem Zweck wie und wo? Daneben gibt es mit der EU-DSGVO einige wesentlichen neuen Rechte:

  • Recht auf Transparenz/Auskunft: Dieses Recht bezieht sich nach Art. 15 DSGVO darauf, dass jeder EU-Bürger auf Anfrage wissen darf, welche Daten von ihm wo genau gespeichert werden. Dies bedeutet, dass Agenturen und Unternehmen die Kette der Verarbeitung der Daten auf Anfrage aufzeigen müssen, also bei wem sich welche personenbezogenen Daten befinden, wie diese genutzt wurden und auch weitergegeben werden. Wird diese Anfrage elektronisch gestellt, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern nichts anderes angegeben wurde. Hier wäre empfehlenswert, wenn bei Personaldaten ein entsprechendes System mit umfangreichen Suchkriterien und einem Datenexport, wie z. B. bei iPM_Promotion, genutzt werden würde.
  • Recht auf Vergessenwerden: Dieses Recht bezieht sich nach Art. 17 DSGVO auf das unverzügliche Löschen von veralteten Daten oder ihrer Ansicht nach zu Unrecht erhobenen oder falschen Informationen. Sollten diese Daten öffentlich sein, müssen angemessene Maßnahmen getroffen werden und auch andere Stellen informieren, damit z. B. Links mit personenbezogenen Daten im Internet gelöscht werden. Auch für die Promotion- und Eventbranche bedeutet dies, dass es hillfreich wäre, ein System zu nutzen, dass Daten über beispielsweise Promoter, die nicht mehr für die Agentur tätig sind, schnell auffinden und löschen kann. Denn jeder Promoter, jeder Teilnehmer eines Events oder Kunden können fordern, dass ihre Daten unverzüglich gelöscht werden.
  • Recht auf Datenübertragbarkeit: Dieses Recht bezieht sich nach Art. 20 DSGVO auf die Einforderung seiner zur Verfügung gestellten Daten in einem gängigem Format. Auf Wunsch müssen diese auch direkt an Dritte übermittelt werden.
  • Recht auf Einschränkung der Verarbeitung: Dieses Recht bezieht sich nach Art. 18 DSGVO darauf, dass jede betroffene Person verlangen kann, dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Webseite entfernt werden. In Art. 18 Abs. 1 DSGVO werden die Voraussetzungen aufgeführt. Der Betroffene kann vom Verantwortlichen die Einschränkung der Verarbeitung seiner personenbezogenen Daten verlangen, wenn
    • der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet,
    • die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt, jedoch stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt,
    • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, der Betroffene die Daten jedoch für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
    • der Betroffene Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
  • Recht auf Berichtigung: Dieses Recht bezieht sich nach Art. 16 DSGVO darauf, dass jede betroffene Person die Berichtigung seiner falsch hinterlegten personenbezogenen Daten verlangen darf.
  • Recht auf Widerspruch: Dieses Recht bezieht sich nach Art. 21 DSGVO darauf, dass jede betroffene Person einer Verarbeitung seiner personenbezogenen Daten widersprechen darf. Sollte jedoch ein zwingendes öffentliches Interesse an der Datenverarbeitung bestehen, das die Interessen der betroffenen Person überwiegt oder wenn eine Rechtsvorschrift die verantwortliche Stelle zur Verarbeitung verpflichtet, gilt das Widerspruchsrecht nicht. Im Fall der Direktwerbung, z. B. Werbung durch Prospekte, Kataloge, Warenproben, automatische Anrufsysteme, E-Mails oder SMS, mit dem Ziel, den entgeltlichen Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, führt ein Widerspruch zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6 DS-GVO).

Was bedeuten die neuen Anforderungen für Agenturen und Unternehmen in der Praxis?

Agenturen und Unternehmen sollten im ersten Schritt prüfen, wo genau personenbezogene Daten verarbeitet werden. Stellen Sie sich auch bezüglich Ihres Kontaktformulars auf der Webseite oder Gewinnspielen usw. folgende Fragen: Wie gehen wir mit personenbezogenen Daten um? Welche Person oder welches Partnerunternehmen verarbeitet welche Daten? Wo und wie sicher werden Daten gespeichert? Hierzu muss auch ein Verzeichnis von Verarbeitungstätigkeiten angelegt werden, das nachweist, an welchen Stellen in der Agentur oder im Unternehmen welche personenbezogenen Daten erhoben und verarbeitet werden. Dieses interne Dokument ermöglicht Aufsichtsbehörden zu kontrollieren, ob Unternehmen ihren Pflichten nach der DSGVO nachkommen.

Laut Art. 24 DSGVO müssen auch geeignete technische und organisatorische Maßnahmen getroffen werden, die die Sicherheit vor Datenmissbrauch garantieren. Technische und organisatorische Maßnahmen (TOMS) reichen von der Ausrichtung technischer Systeme über die Einweisung des Personals, bis hin zur Pannenvorsorge. Diese Maßnahmen müssen in einer „TOM-Liste“ konkret beschrieben und dokumentiert werden. Das bedeutet, dass ein einfacher Passwortschutz hier nicht ausreicht. Vielmehr sollten starke Firewalls, Datenverschlüsselungen und Anonymisierungen vorgenommen werden.

In Art. 32 Abs. 1 DSGVO werden folgende TOMS genannt:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Weiterhin sollten Mitarbeiter im Umgang mit personenbezogenen Daten geschult werden. Hier muss darauf geachtet werden, dass nur Daten erhoben werden, die für die jeweilige Promotionaktion erforderlich sind. Denn nach den Grundsätzen der DSGVO gilt, dass so wenige Daten wie möglich abgefragt werden sollten. Wichtig ist, dass Daten nach Zweckerfüllung wieder gelöscht werden müssen.

Bei der Planung und Durchführung einer Promotionaktion sollte somit folgendes bedacht werden:

  • Darauf hinweisen, was mit den Daten passiert
  • Nur Daten, die unbedingt benötigt werden
  • Daten nur so lange speichern, wie unbedingt benötigt
  • Daten immer anonymisieren, wenn möglich
  • Klar mit Kunden kommunizieren und deren Einverständnis für eine möglichst konkrete Verwendung einholen
  • Mit Unternehmen zusammenarbeiten, die die DSGVO erfüllen und mit denen eine Datenschutzvereinbarung abgeschlossen wurde
  • Im Zweifelsfall von einem Datenschutzexperten beraten lassen

Durch die DSGVO müssen voraussichtlich bei Agenturen und Unternehmen eine Vielzahl an Verträgen angepasst werden, was mit einer Menge an Aufwand, Zeit und eventuell auch Kosten verbunden ist. Wer ganz sichergehen will, setzt auf professionelle Unterstützung durch einen eigenen oder einen externen Datenschutzbeauftragten.

Was passiert bei Verstößen?

Meldepflichten und Sanktionen werden durch die DSGVO bei Verletzung des Datenschutzes massiv verschärft. Die im Bundesdatenschutzgesetz festgelegte Höchstgrenze von Bußgeldern lag bisher bei 300 000 Euro. Im Vergleich dazu wird mit der neuen DSGVO bei Verstößen gegen die Grundprinzipien ein Bußgeld von bis zu 20 Mio. Euro oder bis zu vier Prozent des Jahresumsatzes angedroht. Bei leichteren Verstößen gegen Pflichten der DSGVO ist ein Bußgeld von maximal 10 Mio. Euro oder von zwei Prozent des Jahresumsatzes vorgesehen. Dies bedeutet gerade für viele kleinere und mittelständische Agenturen und Unternehmen eine hohe Einbuße bis hin zur Insolvenz.

Somit ist es jetzt noch wichtiger geworden, enger mit der IT zusammenzuarbeiten oder IT-Beratungen speziell auch für die Promotion- und Eventbranche in Anspruch zu nehmen. Wir beraten Sie gerne bei all Ihren Arbeitsabläufen und Datenverarbeitungsprozessen im Hinblick auf den Datenschutz. Denn nur durch eine moderne Software wie iPM_Promotion können all diese Neuerungen auch umgesetzt werden.

Bleibt die Frage: Wie gut sind Sie auf die neue DSGVO vorbereitet?

Posted in: