Fallstrick vor der Ziellinie

Eine Meldung hat in der vergangenen Woche unter Datenschützern für Aufmerksamkeit gesorgt: Kurz vor der Ziellinie am 25. Mai 2018 hat der Europäische Rat die dann vollumfänglich in Kraft tretende Datenschutz-Grundverordnung (DS-GVO) nochmals verändert. 

Seit einiger Zeit scheint es in der Digital-Business-Szene ohnehin nur noch ein Thema zu geben: die DS-GVO. Diese fünf Buchstaben treiben aktuell manchem Schweißperlen auf die Stirn. Wenige Tage vor dem Ende der Übergangsfrist schiebt der Europäische Rat eine Änderung hinterher. Diese Änderungen betreffen besonders Unternehmen, welche zum Versand von Newslettern und Mailings Kundendaten erheben. Anfang Mai hat die EU ein Corrigendum veröffentlicht. Das ist eine 386 Seiten umfassenden „Ergänzung und Klarstellung zur Datenschutzgrundverordnung“. Wer das Dokument HIER im Original lesen möchte, der darf nicht erschrecken, das Dokument ist in 17 Sprachen zusammengefasst, es bleiben auf deutscher Sprache also gerade 17 Seiten unterm Strich übrig (ab Seite 47).

Die Überraschung im Corrigendum

In der Vergangenheit diente ein solch ergänzendes Werk meist der Klarstellung von Rechtschreibfehlern, missverständlichen Formulierungen oder falschen Sichtweisen. In diesem Fall ist aber eine Formulierung geändert worden, welche weit über die üblichen Änderungen hinausgeht. So heiß es bisher in Art.25 Abs.2 S.1: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. In der berichtigten und damit in letzter Konsequenz dann auch bindenden Variante wurde das Wort „grundsätzlich“ entfernt. Damit beginnt nun der erste juristische Eiertanz. Statt Klarheit zu schaffen und Missverständnisse auszuräumen, könnte das gerade für solche sorgen! „Grundsätzlich“ heißt nämlich im Juristendeutsch, dass es auch Ausnahmen gibt, die von dem Grundsatz abweichen können.

Praktisch gesehen ist für den Versand eines Newsletters in der Praxis eigentlich nur die E-Mail-Adresse nötig, wenn man nicht die Rechtsauffassung vertritt, dass eine individuelle Anrede oder Ansprache des Kunden zu einem solchen Schreiben gehört. Doch selbst dann wäre das Speichern weiterer Daten wie Adresse oder Telefonnummer untersagt. Auch die Anpassung an Alter oder Geschlecht bei der Auswahl der zu bewerbenden Produkte wäre ein Punkt, der dadurch nicht mehr so einfach möglich ist.

Das Streichen des Wortes „grundsätzlich“ hat, rein juristisch gesehen, also zur Folge, dass in Zukunft also nur noch die E-Mail-Adresse selbst abgefragt werden darf. In der ursprünglichen Fassung der Verordnung hätte man wenigstens noch weitere Daten auf freiwilliger Basis abfragen dürfen. „Bezogen auf das obige Beispiel des Newsletters könnte das bedeuten, dass die Behörden es in Zukunft als Verstoß gegen Art. 25 DS-GVO ansehen, wenn bei der Anmeldung zum Newsletter neben der Mail-Adresse noch weitere Daten erhoben werden – auch wenn diese keine Pflichtfelder sind“, erklärt Wirtschaftsjurist und E-Commerce-Experte Martin Rätze. Diese Beschränkung durch das entfallene „grundsätzlich“ wird viele Onlinehändler, aber auch Unternehmen, die Kunden ansprechen, vor neue Probleme stellen.

Mit der DS-GVO beschäftigen

Zwar sollte man sich nicht von der DS-GVO verrückt machen lassen, wohl aber sollte man sich damit beschäftigen. Eine solche Änderung so spät und knapp vor dem Stichtag zu kommunizieren, trägt allerdings nicht dazu bei, dass Unternehmen möglichst frühzeitig mit der Umsetzung beginnen. In den letzten Wochen häufen sich die mehr oder weniger fundierten Studien, die hervorheben, wie viele Unternehmen noch nicht oder nicht ausreichend auf das neue Gesetzeswerk vorbereitet sind. Auch wenn bei der DS-GVO, wie bei vielem anderen, nicht alles so heiß gegessen wie es gekocht wird, ist die DS-GVO ein Thema, welches man ernst nehmen sollte, wenn man als Unternehmen mit der Verarbeitung und Nutzung von Daten zu tun hat. Jedenfalls dürfte auch in diesem Falle eine ganze Armada an Abmahn-Anwälten bereitstehen, um säumige Unternehmen auf die finanziellen Füße zu steigen.

Quellen:

www.delegedata.de

t3n.de

www.impulse.de

www.ecommerce-vision.de

shopbetreiber-blog.de