Für jedes europäische Unternehmen gilt die 2018 eingeführte DSGVO. Für viele bedeutete die Einführung pures Chaos: Was soll dieser und jener Artikel bedeuten? Wie habe ich nun mit E-Mails, der Datenschutzerklärung auf der Webseite oder den Daten meiner Mitarbeiter umzugehen? Die falsche Herangehensweise macht die Umsetzung der DSGVO in Unternehmen für alle Beteiligten zur Belastungsprobe. In diesem Beitrag möchte ich Ihnen deshalb drei interessante Fallbeispiele aus der Praxis vorstellen, wie ich als Datenschutzbeauftragter gemeinsam mit Unternehmen zielgerichtet und einfach die DSGVO umgesetzt habe.
Fallbeispiel 1: Unlauterer Wettbewerb oder berechtigtes Interesse? Bei der DSGVO in Unternehmen sollte man lieber zweimal hinsehen
Vor der Einführung der DSGVO hat das Unternehmen seine bestehenden Kunden via E-Mail über Produktentwicklungen, Neuigkeiten, Sonderangebote oder auch aktualisierte Öffnungszeiten informiert. Schließlich ist die E-Mail dafür ein perfekt geeignetes Medium, nicht? Mit Inkrafttreten der DSGVO war der Datenschutzverantwortliche jedoch der Ansicht, dass das nicht mehr rechtens sei – und der gesamte E-Mail-Verkehr an die Kunden wurde eingestellt.
Widerspricht E-Mail-Werbung von Unternehmen der DSGVO? Um dieses Missverständnis aufzulösen, hilft zunächst ein Blick in Erwägungsgrund 47 der Datenschutzverordnung. Dort heißt es explizit:
„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“
Die DSGVO hat also zunächst einmal nichts dagegen, wenn E-Mail-Werbung verschickt wird
Der eigentliche Fallstrick liegt im Gesetz gegen unlauteren Wettbewerb (UWG) – genauer gesagt § 7, „Unzumutbare Belästigungen“. Hier geht es um belästigende Werbung, also unter anderem E-Mails, die ohne Einwilligung des Empfängers verschickt werden. Dieser Paragraph ist übrigens auch der Grund, warum Sie beim E-Mail-Marketing auf Double-Opt-In setzen sollten.
Doch Ausnahmen bestätigen wie so oft die Regel, und so finden wir auch in § 7 UWG, Absatz 3, eine Ausnahmeregelung:
„Abweichend […] ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn
- ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
- der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
- der Kunde der Verwendung nicht widersprochen hat und
- der Kunde bei der Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.“
Wichtig für den Datenschutz-Verantwortlichen: Vor dem Versand von Werbung müssen Kunden darüber informiert werden, dass das Unternehmen diese Ausnahmeregelung anwenden wird. Dafür müssen jedoch alle vier Punkte erfüllt sein. Ist das erledigt, versenden Unternehmen E-Mail-Werbung ganz DSGVO- und UWG-konform. Auch ohne ausdrückliche Einwilligung der Kunden.
Um diesen Datenschutzaspekt einfach zu erfüllen, füge ich direkt einen entsprechenden Passus in die Datenschutzhinweise meiner Kunden ein.
Fallbeispiel 2: DSGVO-konforme Datenschutzerklärungen müssen nicht kompliziert sein
Im zweiten Fall möchte ich Ihnen einen Kunden vorstellen, welcher im Jahr 2020 eine neue Webseite beauftragt hat. Eine Rechtanwaltskanzlei sollte dem Unternehmen eine DSGVO-konforme Datenschutzerklärung erstellen, die auf der Webseite eingebunden werden sollte. So weit, so gut. Der Auftrag im vierstelligen Bereich wurde unterzeichnet, der Kunde freute sich auf seine Datenschutzerklärung.
Doch was ihm dann zugesandt wurde, entsprach in keinster Weise seinen Vorstellungen. Anstelle einer fertigen Datenschutzerklärung erhielt er ein Word-Dokument mit einer ausführlichen Erklärung und zahlreichen roten Anmerkungen des Anwalts, unter welchen Bedingungen die jeweiligen Erklärungen gelten und wann nicht. Das Ganze natürlich in für Laien unverständlichem „Juristendeutsch“. Muss die DSGVO in Unternehmen so kompliziert sein?
Auf keinen Fall! Der Kunde hat uns kontaktiert und ich habe die Webseite überprüft. In einer fertigen, individuell angepassten Datenschutzerklärung habe ich „ready to use“ alle Informationen aufgeführt, die im Rahmen der DSGVO für Unternehmen wichtig sind: Basisinformationen, aber auch sämtliche Drittanbieter-PlugIns und Datenverbindungen, die auf der Webseite installiert waren. Der Kunde konnte diese Erklärung sofort übernehmen. Ganz ohne rauchenden Kopf und stundenlanges Durcharbeiten von Erklärungen und Anmerkungen.
Fallbeispiel 3: TOMs – ein besonders wichtiger DSGVO-Aspekt für Unternehmen
Eine der wichtigsten Aufgaben für Datenschutz-Verantwortliche in Unternehmen: die Einführung und Dokumentation der technischen und organisatorischen Maßnahmen zum Schutz der Daten. Auch bekannt als „TOMs“. Wer sich hier nicht auskennt, kann sehr viel Geld in völlig unnötige IT-Infrastruktur stecken oder Arbeitsabläufe durch praxisferne Prozesse empfindlich stören. Das führt regelmäßig zu Schattenprozessen, also inoffiziellen Umgehungen der Arbeitsschritte, da die Mitarbeiter diese umständlichen Maßnahmen als überflüssig erachten.
Ein Handwerksbetrieb, der einige Daten in Excel listet, braucht keine so umfassenden Sicherheitsmaßnahmen wie eine Arztpraxis, die auf ihrem Server sensible Patienteninformationen speichert.
Hier empfehle ich: Damit Unternehmen ihrer Dokumentationspflicht nach DSGVO praxisgerecht nachkommen können, sollten sie erst einmal eine Bestandsaufnahme durchführen. Wir stellen unseren Kunden dazu eine in Etappen aufgebaute Struktur zur Verfügung, bei der erst einmal nur Häkchen gesetzt werden müssen. Anschließend bewerten wir die Bestandsaufnahme gemeinsam und sehen uns detailliert die TOMs an, die in die einzelnen Verfahrensdokumentationen übertragen werden.
Mein Ziel hinter all dem: Datenschutz erleichtern. Für viele Unternehmen ist die DSGVO nach wie vor eine unbeliebte, mühsame Angelegenheit. Dabei können schon die richtige Herangehensweise und ein kompetenter Partner ausschlaggebend sein, den Datenschutz aus einem völlig neuen Blickwinkel zu betrachten.
Wenn auch Sie das Gefühl haben, dass es bei Ihnen noch einfacher geht, sprechen Sie mich gerne an. Gemeinsam finden wir eine Lösung für zielgerichteten Datenschutz mit gesundem Menschenverstand!