Interviews

EU-DSGVO: Die Herausforderungen für das Kundendatenmanagement meistern

Sabine Heukrodt-Bauer, LL.M. (Fachanwältin für IT-Recht), RESMEDIA – Anwälte für IT-IP-Medien

Kurzbiografie:
Sabine Heukrodt-Bauer ist Gründerin der auf IT-Recht spezialisierten Kanzlei RESMEDIA Mainz. Sie ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes-Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über zehn Jahren für die INTERNET WORLD Business die Kolumne der „E-Shop Tipp“. Sie ist die Vorsitzende des gemeinsamen Vorprüfungsausschusses der Rechtsanwaltskammern Koblenz und Zweibrücken für die Erlangung der Bezeichnung "Fachanwalt für Informationstechnologie" und sitzt im Ausschuss "IT-Recht" der Bundesrechtsanwaltskammer.

Zum 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in allen Mitgliedsländern der Europäischen Union in Kraft. Alle Unternehmen mit Sitz in der Europäischen Union oder auch mit Sitz im Ausland, die personenbezogene Daten von europäischen Bürgern erheben und verarbeiten, sind jetzt gefordert und müssen bereits jetzt ihre Data-Governance-Prozesse an die kommende Rechtslage anpassen. Denn: Eine Übergangsfrist gibt es nicht.

Frau Heukrodt-Bauer, der Vortrag, den Sie auf der Uniserv Academy halten, gibt Einblick in die neue EU-DSGVO. Welchen Kernproblemen stehen Unternehmen in Bezug zum Datenschutz zurzeit gegenüber?

Bis Mai 2018 müssen die Prozesse und Zuständigkeiten in jedem Unternehmen der neuen Rechtslage angepasst sein. Das Problem ist aber, dass die EU-DSGVO sehr viele Öffnungsklauseln enthält, über die nach wie vor nationales Recht umgesetzt werden kann. Es ist derzeit aber noch unklar, wie der deutsche Gesetzgeber dies im Einzelfall gestalten wird. Auf jeden Fall müssen sich Unternehmen darauf einstellen, dass nunmehr die Geschäftsführung, der Datenschutzbeauftragte und auch der Auftragsverarbeiter in Haftung genommen werden können. Die Bußgelder werden drastisch erhöht und es gibt eine Fülle neuer Pflichten für Unternehmen und Rechte für den Betroffenen. Hierzu zählt insbesondere die neue Dokumentationspflicht, mit der das gesamte Datenschutzkonzept zu dokumentieren und insbesondere nachzuweisen ist, dass die Grundsätze der EU-DSGVO eingehalten werden. 

Welche Rolle spielen die Neuregelungen für den Bereich Kundendatenmanagement in Unternehmen? Wie werden diese Regelungen die Erfassung und Verarbeitung von Kundendaten in Zukunft beeinflussen?

Neben der Einwilligungserfordernis wird das „berechtigte Interesse“ an der Datenverarbeitung eine ganz bedeutende Rolle als gesetzlicher Erlaubnistatbestand für die Unternehmen spielen. Aber gerade bei diesem Thema ist die Rechtslage noch sehr unsicher. Denn der Rahmen und die Grenzen der dazu erforderlichen Abwägung zwischen dem Interesse an der Datenverarbeitung in einem CRM und dem Interesse des Kunden am Datenschutz sind noch nicht abgesteckt. 

Auch das bisherige Opt-In- und Opt-Out-Verfahren wird sich ändern. Was ist zu beachten, wenn Unternehmen Einwilligungen ihrer Kunden rechtskonform einholen wollen?

Einwilligungen können zukünftig formlos mündlich, elektronisch oder schriftlich eingeholt werden. Da das Unternehmen aber in der Lage sein muss, das Vorliegen der Einwilligung zukünftig nachzuweisen, ist eine umfangreiche Dokumentation erforderlich. Es bietet sich daher an, die Einwilligungen ausschließlich elektronisch einzuholen und im System zu protokollieren. Grundsätzlich würde das Opt-In ausreichen, allerdings bietet diese Ein-Klick-Lösung nicht die ausreichenden Möglichkeiten, auch den gesetzlichen Nachweispflichten nachzukommen. Bei der Einwilligung sollten Unternehmen daher ausschließlich mit dem Double-Opt-In arbeiten und zunächst einen Bestätigungslink versenden, bevor ein Einverständnis im System protokolliert wird. Unabhängig davon muss technisch gleichwohl bei allen Maßnahmen eine Opt-Out-Lösung integriert werden, damit der Betroffene jederzeit von seinem Widerspruchsrecht Gebrauch machen kann.

Mit der neuen EU-DSGVO werden vor allem die Rechte der Betroffenen grundsätzlich gestärkt, insbesondere die Auskunftsrechte der Kunden und ihr Recht auf Datenlöschung – dabei werden Pseudonymisierung und Anonymisierung von der EU als Schutzmaßnahmen genannt. Wie können Unternehmen die neuen Datenschutzregelungen einhalten, gleichzeitig aber trotzdem Big-Data-Analysen durchführen?

Grundsätzlich obliegt es den Unternehmen künftig, durch interne Maßnahmen den Datenschutz auch technisch sicherzustellen („Datenschutz by Design“). Darüber hinaus ist durch datenschutzfreundliche Einstellungen sicherzustellen, dass Daten nicht uferlos gesammelt werden: Dazu gehören Festlegung des Zwecks der Datenverarbeitung und Trennung bzw. Speicherung der Daten nach genau diesen Zweck-Kategorien, die Verarbeitung nur der erforderlichen Daten, der Zugriffsschutz und insbesondere auch die Anonymisierung und Pseudonymisierung der Daten, soweit das möglich ist. 

Ein elementarer Grundsatz des Datenschutzrechtes ist die Transparenz. Betroffene sollen in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen – Betroffene sollen also wissen wer was wann und bei welcher Gelegenheit über sie weiß. Können Unternehmen ohne eine einheitliche Sicht auf die (Kunden-) Daten und ohne entsprechende Data-Governance-Prozesse diese Anforderungen denn überhaupt erfüllen?

Es ist elementar, dass die Unternehmen in den nächsten Monaten die entsprechenden Prozesse aufsetzen, um gerade den neuen Betroffenenrechten nachkommen zu können. Die beantragten Informationen müssen den Betroffenen unverzüglich, in jedem Fall aber innerhalb eines Monats zur Verfügung gestellt werden können. Diese Frist kann zwar um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Dann müssen die Betroffenen aber über die Fristverlängerung und die Gründe für die Verzögerung unterrichtet werden. Wird der Verantwortliche auf den Antrag eines Betroffenen hin nicht tätig, ist er verpflichtet, die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen, zu unterrichten. Pflichtverletzungen in diesem Bereich können hohe Bußgelder zur Folge haben. 

Außerdem muss nach Art. 14 Abs. 2 f) DSGVO der Verantwortliche den Betroffenen darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt. Wie können Unternehmen, die zum Beispiel Stammdatensätze von mehr als 50.000 Daten verarbeiten, sicherstellen, dass sie (theoretisch) jedem Kunden diese Auskunft geben können?

Es führt kein Weg daran vorbei: Es ist künftig zu dokumentieren, auf welcher Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertragserfüllung usw.) und zu welchem Zweck die Datenspeicherung erfolgt. Dazu gehört dann automatisch auch die Herkunft der Daten und die Festlegung der erforderlichen Speicherfrist. Es ist daher technisch sicherzustellen, dass die Speichersysteme diese Angaben zu jedem Profil und Datensatz festhalten und angesichts der kurzen Reaktionszeiten auf entsprechende Anfragen der Betroffenen hin auch auswerfen.

Vielen Dank für das Gespräch – Wir freuen uns auf Ihren Vortrag!

Treffen Sie Sabine Heukrodt-Bauer bei unserer Uniserv Academy am 12. Juli in Hamburg. Sie können sich online zum Uniserv Academy Seminar anmelden. Die Teilnahme ist kostenlos und die Plätze sind begrenzt.

Melden Sie sich jetzt an >>

Mehr zum Thema