DATENSCHUTZ 24 NEW BUSINESS | MAI 2017 Fotos: Fotolia/momius, Pixabay oder Gesundheit des Kunden – bereits eine ausdrückliche Zustimmung des Kunden erforderlich, für die Verarbeitung nicht-sensibler Daten (etwa Adressdaten) kann aber die Zustimmung durch Schweigen erteilt werden – also dann, wenn deutlich und unübersehbar über die Datenverarbeitung informiert wurde und der Betroffene dies hinnimmt. Das ändert sich nun: Ab Mai 2018 muss die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der die Person ihr Einverständnis bekundet. Diese Erklärung kann entweder durch eine ausdrückliche Erklärung erfolgen oder indem der Kunde durch sein Verhalten sein Einverständnis zum Bearbeiten seiner Daten signalisiert. Informationspfl ichten bei der Datenverarbeitung beachten: Im Gegensatz zur Speicherung von persönlichen Daten versteht man unter „Pro ling“ die automatisierte Verarbeitung von persönlichen Daten. Pro ling wird zwar auch künftig nicht verboten sein, unterliegt aber strengen Informationsp ichten, heißt es vom ÖZV (Österreichischen Zeitungs- und Fachmedienverband): Vor allem müssen die betroffenen Personen zum Zeitpunkt der Erhebung aussagekräftige Informationen über die Tragweite und die angestrebte Auswirkung der Datenverarbeitung erhalten. Für den Bereich Journalismus gilt bei der Datenverarbeitung laut ÖZV jedoch das Prinzip „Mediengesetz schlägt Datenschutz“: Wenn die Daten unmittelbar für die publizistische Tätigkeit verwendet werden, sind vom Datenschutzgesetz nur einzelne Bestimmungen anzuwenden. Die Verordnung lässt zwar auch hier abweichende nationale Regelungen zu, aber nur, wenn sie erforderlich sind, um das Recht auf Datenschutz und das Recht auf Meinungsäußerung in Einklang zu bringen. Zustimmung für Targeted Ads holen: Für Targeting, Retargeting und Programmatic Advertising – also die Automatisierung von Targeting – muss laut Jenzer eigentlich die Zustimmung des Users eingeholt werden. Die Frage ist jedoch, wie diese Zustimmung eingeholt wird. In diesem Kontext steht auch die Verwendung von Cookies derzeit zur Diskussion: Dem aktuellen Entwurf der E-Privacy-Verordnung zufolge soll der Nutzer fast immer sein Einverständnis für die Erhebung und Verarbeitung von Daten geben müssen – auch wenn diese anonym sind. Demnach dürfen beispielsweise Third-Party-Cookies großteils nicht mehr ohne explizite Einwilligung eingesetzt werden, bemängelt das iab (Internet Advertising Bureau). Gedruckte Mailings: Für Prospekte, kostenlose Kundenzeitschriften und sonstige gedruckte Mailings mit namentlicher Anschreibung gilt laut Jenzer nach wie vor die Opt-out- Regel: Es ist also keine explizite Zustimmung des Kunden erforderlich. Allerdings weist Jenzer darauf hin, dass weiterhin ein Abgleich mit der Robinsonliste nötig ist – also mit jenen rund 100.000 Personen in Österreich, die keine personalisierten schriftlichen Mailings bekommen wollen. Digitale Medien/Newsletter: Anders verhält es sich laut Jenzer bei digitalen Medien – also SMS-Marketing, E-Mail und telefonische Kaltanrufe. Hier sieht die DSGVO eine „unmissverständliche Zustimmung“ vor. Ein Schlup och: Denn während die „ausdrückliche Zustimmung“ das explizite schriftliche oder mündliche Okay des Beworbenen erfordert, reicht bei der „unmissverständlichen Zustimmung“ eine entsprechende Handlung des Kunden – etwa, wenn er mit dem Unternehmen interagiert und Interesse gezeigt hat. Das bedeutet in Bezug auf Newsletter: Das Beschicken von Nicht-Kunden wird zwar generell als Spam gewertet; wenn aber ein Kunde bereits mit dem Unternehmen interagiert hat, hat er durch diese Interaktion sein Einverständnis klargemacht. Löschung von Daten akzeptieren: Der Kunde kann die Löschung seiner Daten aus einer Datenbank beantragen. Fazit Information ist das A und O: Jedes Unternehmen sollte die EU-Verordnung sichten und sich überlegen, ob das Einschalten eines Datenschutzbeauftragten sinnvoll ist. Waltraut Kotschy, österreichische Expertin für Datenschutz, legt Branchen das Erstellen eines sogenannten Codes of Conduct ans Herz – Verhaltensregeln, die klar definiert werden. Das würde das Risiko, ins Visier der Aufsichtsbehörden zu geraten, senken. Sie meinte jedoch auch, dass jetzt der richtige Zeitpunkt wäre, sich das eigene Unternehmen hinsichtlich der neuen Datenschutz- Grundverordnung anzusehen und über mögliche Maßnahmen nachzudenken. Von konkreten Schritten rät sie derzeit ab, da erst im Herbst 2017 die finalen Punkte festgesetzt werden. VM
NEW BUSINESS 4/2017
To see the actual publication please follow the link above