(openPR) Am 21. Oktober 2013 hat der sog. LIBE-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres) des Europäischen Parlaments über die geplante EU-Datenschutzgrundverordnung abgestimmt. Die Abgeordneten haben dem vorab erarbeiteten Kompromissentwurf weitgehend zugestimmt und damit den Weg frei gemacht für weitere Verhandlungen mit dem Ministerrat der EU-Mitgliedsstaaten.
Ziel der geplanten EU-Datenschutzgrundverordnung ist es, eine europaweit einheitliche Rechtsgrundlage zum Datenschutz – unter anderem auch für die datenerhebende Industrie und somit auch für den digitalen Dialog mit Kunden – zu schaffen. Nach langen Verhandlungen hat der LIBE-Ausschuss des Europäischen Parlaments am Montag, den 21. Oktober 2013, sein Verhandlungsmandat für einen zuvor erarbeiteten Kompromissentwurf erteilt. Über die konkrete Ausgestaltung wird nun im Ministerrat mit den einzelnen EU-Staaten diskutiert.
EU-weite Vereinheitlichung des Datenschutzes
Die EU-Datenschutzgrundverordnung, als unmittelbar in jedem Mitgliedstaat der EU geltendes Recht, wird die gesetzliche Grundlage für den Datenschutz in der gesamten EU sein und damit die bisherigen nationalen Einzelregelungen in Bezug auf den Datenschutz ersetzen. Sobald Daten von EU-Bürgern erfasst und verarbeitet werden, wird dies ausschließlich EU-Recht unterfallen. Dabei ist es unerheblich, ob die datenverarbeitenden Unternehmen selbst einen Sitz in einem EU-Mitgliedstaat haben oder nicht. Das EU-Recht soll unter bestimmten Voraussetzungen auch für Unternehmen außerhalb der EU gelten, wenn diese Daten von EU-Bürgern verarbeiten (Artikel 3 des Entwurfs).
Den Verbraucher schützen
Die Datenschutzgrundverordnung hat sich zum Ziel gesetzt, den Verbraucher vor der ungewollten Nutzung seiner personenbezogenen Daten zu schützen. Welche Daten als personenbezogen gelten, ist in Artikel 4 (2) des Entwurfs geregelt. “’personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person”. Dies bedeutet konkret: Sobald ein vorliegendes Datum dazu geeignet ist, eine Person zu identifizieren, gilt dieses Datum als schutzwürdig im Sinne der Verordnung.
Der Entwurf der EU-Datenschutzgrundverordnung sieht vor, dass Unternehmen personenbezogene Daten neben den in Artikel 6 des Entwurfs genannten allgemeinen Voraussetzungen (z.B. zur Erfüllung von Verträgen oder rechtlichen Verpflichtungen) nur noch dann verarbeiten dürfen, wenn sie dafür eine explizite Zustimmung (sog. Opt-In) des Nutzers erhalten. Explizit bedeutet, dass die Zustimmung frei durch den Nutzer erfolgen muss, nicht an sonstige Leistungen – z.B. die Durchführung eines Kaufs – gekoppelt werden darf, die mit der eigentlichen Erhebung der Daten nicht im Zusammenhang stehen, und vom Nutzer aktiv gesetzt werden muss. Letzteres bedeutet: Das Häkchen im Opt-In Formular darf nicht bereits vorausgewählt sein und die Zustimmung darf nicht bereits durch AGB des datenverarbeitenden Unternehmens fingiert werden. Ebenso soll die EU-Datenschutzgrundverordnung europaweit den Grundsatz der Datensparsamkeit regeln: "(…) adequate, relevant, and limited to the minimum necessary in relation to the purposes for which they are processed; they shall only be processed if, and as long as, the purposes could not be fulfilled by processing information that does not involve personal data (data minimisation);“ (Artikel 5 c des Entwurfs). Unternehmen dürfen also nur so viele personenbezogene Daten eines Nutzers erheben, wie sie für den beabsichtigten Zweck unbedingt benötigen. Beispielsweise dürften keine Konsumgewohnheiten verpflichtend abgefragt werden, wenn der Nutzer einen Newsletter abonnieren möchte. Vorsicht: In manchen Ländern gibt es Regelungen im nationalen Wettbewerbsrecht, beispielsweise die des UWG in Deutschland, die möglicherweise strengere Restriktionen vorsehen und neben der EU-Datenschutzgrundverordnung anwendbar sind.
In Deutschland und einigen anderen EU-Mitgliedstaaten ist die Pflicht zum expliziten Opt-In bereits seit Jahren geltende Rechtslage. Es gibt jedoch Ausnahmen, in denen personenbezogene Daten auch ohne explizites Opt-In verarbeitet werden dürfen. Generell sind die Regelungen zur Einwilligungspflicht und möglichen Ausnahmen innerhalb der EU teilweise sehr unterschiedlich.
Einwilligung auf Basis von bestehenden Geschäftsbeziehungen
Die Datenschutzgrundverordnung will Daten von natürlichen Personen schützen, so heißt es unter Erwägungsgrund Nr. 23 des Entwurfs: „The principles of data protection should apply to any information concerning an identified or identifiable natural person. To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used either by the controller or by any other person to identify or single out the individual directly or indirectly“. Die Verordnung lässt damit Interpretationsspielraum für die Nutzung von beispielsweise einer allgemeinen oder funktionsbeschreibenden E-Mail Adresse eines Unternehmens z.B.:
oder 
. Diese enthalten kein personenbezogenes Datum (der Firmenname wird ausdrücklich nicht geschützt, auch wenn er Namensbestandteil einer natürlichen Person ist) und somit wäre eine werbliche Anschrift auch ohne Opt-In möglich. Weitergehende Restriktionen, die durch andere nationale Regelungen entstehen, wie zum Beispiel in Deutschland durch das UWG, bleiben von der EU-Datenschutzgrundverordnung unberührt. Gemäß § 7 Abs. 2 Nr. 2 UWG bedarf der werbliche E-Mail-Versand in Deutschland einer vorherige, ausdrücklichen Einwilligung des Empfängers. E-Mail-Werbung ist in Deutschland aber trotz Fehlens einer ausdrücklichen Einwilligungserklärung dann zulässig, wennein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
der Kunde der Verwendung nicht widersprochen hat und
der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Weitergabe innerhalb von Konzernstrukturen
Viele datenverarbeitende Unternehmen sind in einer Konzernstruktur organisiert und bestehen aus einer Vielzahl von Tochterunternehmen, insbesondere international tätige Unternehmen. Für diese Unternehmen ist es oftmals notwendig, personenbezogene Daten innerhalb der Konzernstruktur an Tochterunternehmen weiterzugeben. Dies ist nach der geplanten EU-Datenschutzgrundverordnung auch ohne ausdrückliche Zustimmung des Betroffenen unter den Voraussetzungen des Artikel 22 (3a) zulässig: „The controller shall have the right to transmit personal data inside the Union within the group of undertakings the controller is part of, where such processing is necessary for legitimate internal administrative purposes between connected business areas of the group of undertakings and an adequate level of dataprotection as well as the interests of the data subjects are safeguarded by internal data protection provisions or equivalent codes of conduct as referred …“.
Unter “controller” wiederum versteht man: “… natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by Union law or Member State law, the controller or the specific criteria for his nomination may be designated by Union law or by Member State law”.
Handelt es sich beim Unternehmen, an das die Daten weitergegeben werden, also um ein mit der datenverarbeitenden Stelle verbundenes Unternehmen und ist die Weitergabe notwendig, um den Zweck zu erfüllen, zu dem die Daten erhoben wurden, ist keine separate Einwilligung zur Weitergabe notwendig. Es muss jedoch im Einzelfall exakt geprüft werden, wie der Zweck definiert ist, ob eine Weitergabe wirklich zur Zweckerfüllung dient und wer im Sinne der Datenschutzgrundverordnung als „Controller“ fungieren kann. Da diese Regelung einen gewissen Handlungsspielraum zulässt, sollten Unternehmen, die rechtlich auf der sicheren Seite stehen möchten, jedoch stets eine explizite Zustimmung für die Weitergabe einholen.
Ein Opt-In ist in jedem Fall notwendig, wenn personenbezogene Daten an Dritte weitergegeben werden sollen, also beispielsweise an ein Partnerunternehmen, das nicht zum Konzernverbund gehört. „Dritte” im Sinne der Datenschutzgrundverordnung sind wie folgt definiert: “’third party’ [Dritte] means any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data” (Artikel 3 (7a) des Entwurfs).
Best Practice: UNO Flüchtlingshilfe setzt Standards der EU-Datenschutzgrundverordnung um
Die Pläne zur EU-Datenschutzgrundverordnung haben bei vielen Unternehmen im Online Dialogmarketing zu Unsicherheit und Sorge um die Wettbewerbsfähigkeit geführt. Dass eine konsequente Umsetzung der EU-Datenschutzgrundverordnung auch ein Vorteil sein kann, hat zuletzt auch die UNO-Flüchtlingshilfe gezeigt, die zusammen mit artegic die Privacy Admission Control Technologie in ihr Dialogmarketing integriert hat und dafür im Rahmen der MarketingSherpa Email Awards 2014 ausgezeichnet wurde. Privacy Admission Control ermöglicht dabei die rechtssichere Abbildung der Einwilligungen für unterschiedliche Permissions im Kundendialog auf Basis jedes einzelnen Nutzers.
