Um einem populären Missverständnis gleich vorzubeugen: Die Richtlinien der DSGVO lassen sich nicht umsetzen, indem man in einer Software einen Schalter umlegt. Es trifft aber zu, dass der Einsatz einer cleveren CRM-Software wie AMTANGEE die Umsetzung der DSGVO-Richtlinien immens vereinfacht. Warum? Nehmen wir beispielsweise die häufig genannten Auskunfts- und Löschrechte. Was in AMTANGEE dank zentraler Steuerung mit einem Handgriff erledigt ist, wird zur Sisyphusarbeit für Unternehmen, die für jeden Arbeitsplatz z.B. einen eigenen Mailer bereitstellen. Aber der Reihe nach. Die großen Gewinner des neuen europäischen Datenschutzrechtes sind – Tusch! – die Verbraucher. Ihre Rechte werden gestärkt – und zwar einheitlich im gesamten europäischen Binnenmarkt.
Schluss mit dem Kauderwelsch!
Die Stärkung des Verbrauchers beginnt im Grunde schon, bevor jemand überhaupt zum Verbraucher wird, denn die DSGVO verpflichtet Unternehmen, Nutzer über die Erhebung und Verarbeitung ihrer Daten "in präziser, transparenter und leicht zugänglicher Form in einer klaren und einfachen Sprache" zu informieren. Der Gesetzgeber toleriert damit künftig nicht mehr, dass sich findige Unternehmen hinter juristischem Kauderwelsch verstecken. Oder anders gesagt: Verbraucher sollen einfacher als bisher verstehen können, was mit ihren Daten eigentlich passiert. Auch komplexe Sachverhalte oder technische Raffinessen können künftig nicht mehr als Ausreden herhalten, um die tieferen Zusammenhänge wortreich zu verschleiern. Allerdings ist die DSGVO – wen wundert es? – selbst alles andere als leichte Kost. Daher hat der Gesetzgeber in weiser Voraussicht den monströsen Gesetzestext durch so genannte "Erwägungsgründe" ergänzt, eine Art Beispielsammlung, die bei der Interpretation der einzelnen Artikel unterstützen soll.
Handfest: Auskunfts- und Löschrechte
Eine ganz handfeste Stärkung der Verbraucherrechte bedeuten die in der DSGVO festgelegten Auskunfts- und Löschrechte. Verbrauchern stehen endlich mehr Mittel als bisher zur Verfügung, um beispielsweise zu erfahren, welche Daten Unternehmen tatsächlich über sie speichern und in welcher Art sie verwendet werden. Über die konkrete Anwendung dieses gesetzlichen Anspruchs informiert Erwägungsgrund 63 ausführlich. Hier ist nachzulesen, dass Unternehmen auf Nachfrage belegen müssen, "zu welchen Zwecken die personenbezogenen Daten verarbeitet werden, und, wenn möglich, wie lange sie gespeichert werden [und] wer die Empfänger der personenbezogenen Daten sind". Mehr noch: Auch über die Logik des dahinterstehenden Profilings und über etwaige Risiken muss ein Unternehmen auf Nachfrage Auskunft erteilen.
Was ist Profiling?
Was unter Profiling zu verstehen ist, definiert Erwägungsgrund 71, nämlich jegliche "Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte" einer Person, "soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt". Die Auskunft des Unternehmens kann hierbei schriftlich oder auch elektronisch erfolgen. Wer sich beispielsweise wundert, dass er von der Hausbank schlechtere Kreditkonditionen erhält als sein Nachbar, kann von der Bank künftig Auskunft über die Erwägungen im Hintergrund einfordern – zumindest theoretisch.
Und weiter: Unternehmen müssen persönliche Daten löschen, sobald der Zweck entfallen ist, für den die Daten ursprünglich erhoben wurden. Bei einem Online-Kauf ist dies nicht das Transaktionsende, sondern vielmehr das Ende der steuerrechtlichen Aufbewahrungspflicht. Eine unmittelbare Handhabe zur Löschung besteht hingegen, wenn Sie der Einwilligung Ihrer Daten widersprechen, etwa bei der Datenerhebung im Rahmen eines Preisausschreibens. Die DSGVO fordert explizit eine unverzügliche Auskunftserteilung durch Unternehmen und nennt als Frist zur Beantwortung der Anfrage einen Monat. In Ausnahmefällen kann die Frist um zwei Monate verlängert werden, allerdings muss das Unternehmen dem Kunden dann triftige Gründe für die Fristverlängerung nennen.
Neuland: Recht auf Vergessenwerden, Recht auf Datenübertragbarkeit
Während sich der Gesetzgeber mit den bisher vorgestellten Konzepten auf bekanntem Terrain bewegt und nur Präzisierungen bekannten Rechts formuliert, bewegen sich die EU-Gesetzgeber mit dem „Recht auf Vergessenwerden“ (Artikel 17 und 19) sowie dem „Recht auf Datenübertragbarkeit“ (Artikel 20) auf Neuland. Das „Recht auf Vergessenwerden“ regelt die Tilgung personenbezogener Daten, die einem größeren Publikum zugänglich gemacht worden sind, z.B. durch Veröffentlichung im Internet. Auch Dritte, die ebenfalls die Informationen des ursprünglichen Verbreiters weitergegeben haben, sind über die Löschung zu informieren. Wie weit sich dieses „Recht auf Vergessenwerden“ in der Praxis auswirkt, ist derzeit noch völlig unklar. Ähnlich verhält es sich mit dem „Recht auf Datenübertragbarkeit“, das Bürger in die Lage versetzen soll, ihre personenbezogenen Daten nach eigenem Ermessen von einer IT-Umgebung in eine andere zu transferieren.
Gegen den "Lock-in-Effekt"
Der Gesetzgeber beabsichtigt hiermit, dem "Lock-in-Effekt" entgegenzuwirken, bei dem Unternehmen Verbraucher an sich fesseln – und zwar einzig aufgrund schwieriger Wechselmodalitäten. Zu Fragen der technischen Realisierbarkeit oder zu notwendigen organisatorischen Umbauten schweigt sich der Gesetzgeber allerdings aus. Dennoch: Als zahnlosen Tiger sollte man die DSGVO keinesfalls betrachten! Unternehmen drohen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist). Warten wir ab, was die DSGVO neben noch umfangreicheren Datenschutzerklärungen mit sich bringen wird. Als Initiative zum besseren Schutz des Kunden im digitalen Raum sollten wir sie in jedem Fall begrüßen.
Zum Schluss: Eine Frage der Verantwortung
Zentrales Anliegen der DSGVO ist nicht der Schutz von Daten; vielmehr geht es um die Person, die hinter den gespeicherten Daten steckt! Was dem Gesetzgeber hehre Pflicht ist, sollte seriösen Unternehmern nun zur unbedingten Herzenssache werden: Privacy is Key! Am Thema "Datenschutz" entzündet sich die alles bestimmende Wertedebatte unserer Zeit. Ihr als Unternehmer gleichgültig gegenüberzustehen, käme einer Preisgabe der eigenen Kunden gleich. Noch einmal: Die DSGVO lässt sich nicht durch einen Schalter firmenweit ausrollen, vielmehr geht es um Verantwortung, unternehmerisch wie menschlich.
Schon heute bietet AMTANGEE CRM als Unternehmens-Cockpit zahlreiche Möglichkeiten, sicherheitsrelevante Aspekte zentral zu steuern, etwa E-Mail-Verschlüsselung, rechtskonforme E-Mail-Archivierung, ein TÜV-zertifiziertes DMS-Langzeitarchiv. Und natürlich werden wir Sie auch optimal auf das Ende der DSGVO-Umsetzungsfrist am 25. Mai 2018 vorbereiten. Sprechen Sie mit uns!
Lesen Sie auch Teil 1 des Beitrags – DSGVO: Handlungsbedarf für Unternehmen
Weitere Informationen
- E-Mails, nur besser: AMTANGEE 5.6 ab sofort für Endkunden verfügbar
- AMTANGEE 5.6 bringt E-Mail-Verschlüsselung mit S/MIME: Eine Einführung
- Die permanente Evolution: Das große Sommergespräch mit René von AMTANGEE
- CRM mit Sahnehäubchen: AMTANGEE 5.6 integriert DMS
- Rechtssichere E-Mail-Archivierung: Was Sie jetzt wissen sollten
Bitte beachten Sie: Dies ist ein redaktioneller Betrag, der das komplexe Thema der Datenschutz-Grundverordnung allgemein verständlich aufbereitet. Wir haben hierbei unterschiedliche Informationen und Deutungen frei verfügbarer Quellen zusammengetragen und nach bestem Wissen und Gewissen sorgfältig ediert. Die Lektüre soll und kann keine Rechtsberatung ersetzen! Jede Entscheidung, die ein Unternehmen fällt, um den gesetzlichen Maßgaben zu entsprechen, muss in technischer und organisatorischer Hinsicht auf das jeweilige Unternehmen angepasst sein und sollte in jedem Fall von einem rechtlichen Beistand geprüft werden. Als Anbieter einer CRM-Lösung sind Datenschutz und IT-Sicherheit für uns von größter Bedeutung. Bitte beachten Sie daher auch zukünftige Blog-Beiträge zum Thema IT-Sicherheit sowie kommende Software-Releases, die bestimmte Gesichtspunkte der DSGVO adressieren.