Datenschutzverordnung ab Mai 2018 E-Mail-Marketing-Profi Corc Uysal über die EU-DSGVO

Corc Uysal, Geschäftsführer der Interactive One GmbH Foto: Corc Uysal/Interactive One GmbH

Im Mai 2018 tritt die neue, EU-weite Datenschutzgrundverordnung, kurz DSGVO, in Kraft, die für alle Unternehmen mit Internetauftritt und Online-Kundenbeziehungen interessant sein dürfte. Corc Uysal, Geschäftsführer der Interactive One GmbH, beantwortet die wichtigsten Fragen.

Im Mai 2018 tritt die neue, EU-weite Datenschutzgrundverordnung in Kraft, welche für alle Unternehmen mit Internetauftritt und Online-Kundenbeziehungen wie E-Mail-Marketing und Newslettern interessant sein dürfte. Die DSGVO abgekürzte Verordnung wirft einige Fragen auf, welche im Folgenden beantwortet werden sollen. Für die fachlich richtige Ausführung aller Sachverhalte haben wir uns Hilfe von Corc Uysal geholt, dem Geschäftsführer der Interactive One GmbH.

Die neue DSGVO unter der Lupe

Ab Mai 2018 gilt die neue DSGVO, aufgrund ihres europaweiten In-Kraft-Tretens auch EU-DSGVO genannt, im Staatenbund und regelt den Datenschutz für Unternehmen mit Online-Kundenkontakt neu. Eines der Ziele ist dabei die Vereinheitlichung der bisher noch je nach Land geregelten Datenschutzgesetze. Unternehmen sowie Verbraucher aus der EU können so die einzelnen Daten als sicherer erachten. Dies auch, weil die Verordnung außerdem für jene Firmen gültig ist, die nicht in der EU ansässig sind, aber mit Kunden aus der Europäischen Union interagieren.

Muss jeder Unternehmer die EU-DSGVO beachten?

Vor allem für den Online-Bereich ist das einheitliche Datenschutzgesetz wichtig. Rundum offline agierende Firmen müssen sich also auf weithin weniger Neuerungen gefasst machen als jene Unternehmen, die via Shop, per Mailing, über Facebook und andere digitale Wege mit ihren Kunden in Kontakt treten. Das gilt auch für das Nutzer-Tracking auf der eigenen Webseite.

Theoretisch schon seit 2016 in Kraft

Rein theoretisch gibt es die EU-DSGVO schon als (halbwegs) verbindliche Verordnung seit dem 25. Mai 2016. Jedoch gab es eine zweijährige Übergangsphase für die Mitgliedsstaaten der Europäischen Union, sodass die konkrete Umsetzung erst ab dem 25. Mai 2018 gefordert ist. Dabei ist zu beachten, dass es sich um einen definitiven Stichtag handelt und dass z. B. in Deutschland die Regierung nicht erst ein Gesetz daraus machen muss.

Was genau sagt die Datenschutzgrundverordnung aus?

Inhalt der neuen Regelung ist, dass Unternehmen mit einer Niederlassung in der EU und/oder durch die Verwendung von personenbezogenen Daten von EU-Bürgern sich dem Schutz der Daten verschreiben müssen. Zu den personenbezogenen Daten zählen dabei nicht nur Name, Anschrift, Ausweisnummer, Kontodaten und ähnliches, sondern auch Daten, die es theoretisch ermöglichen, die Person zu identifizieren. Hier eine Liste mit Daten, die Sie vielleicht von Kunden erhoben haben und ab Mai 2018 besonders gut schützen müssen:

  • Name und Adresse
  • Geburtstag und Ausweisdaten
  • Telefonnummer und E-Mail-Adresse
  • Cookies und IP-Adressen
  • Standortdaten und Bewegungsprofile
  • KfZ- bzw. Zweirad-Kennzeichen
  • Kontodaten und Kreditkarteninformationen
  • Etc.

Interview mit E-Mail-Marketing-Profi Corc Uysal

Auch und vor allem für das E-Mail-Marketing werden kundenbezogene Daten wie Name, E-Mail-Adresse und vielleicht sogar der Geburtstag erhoben. Deshalb müssen vom kleinen Unternehmen mit Newsletter hin zum multinationalen Konzern mit E-Mail-Werbekampagnen alle die neuen Verordnungen und Regelungen kennen. Einer, der sich besonders gut damit auskennt, ist Corc Uysal. Er ist der Geschäftsführer der Interactive One GmbH, welche über zehn Jahre Erfahrung mit E-Mail-Marketing hat. Im Interview hat Corc Uysal einige Erkenntnisse zur EU-DSGVO mit uns geteilt.

Redaktion: Herr Uysal, danke für Ihre Zeit. Derzeit läuft ja der Countdown zur DSGVO. Was müssen Firmen darüber wissen bzw. beim Umstieg beachten?

Corc Uysal: Nun, einen richtigen Umstieg wird es sicher für die wenigsten Firmen geben. Wer bisher schon pfleglich mit den Daten der Kunden und Nutzer umgegangen ist, der wird auch ab Ende Mai 2018 keinen Stress mit Neuregelung bekommen. Jedoch gibt es ein paar Punkte, die wirklich neu sind und die vor allem im operativen Bereich ansetzen.

Redaktion: Welche sind das?

Corc Uysal: Zum Beispiel gibt es mit der Datenschutzgrundverordnung die neue Pflicht, ein deutlich umfassenderes Verzeichnis von Datenverarbeitungstätigkeiten zu führen[MB1] als bislang. Es sind weiterhin neue Vorgaben für die online sowie offline eingesetzte Einwilligungserklärung zu beachten. Die Vorgaben für Datenschutzerklärungen auf Webseiten wurden ebenfalls erweitert. Auch die Auftragsdatenverarbeitung wird entsprechend strenger behandelt. Zum Schluss gibt es das Recht auf Vergessenwerden sowie die Pflicht zum Ermöglichen einer Datenportabilität.

Redaktion: Was genau kann man unter dem "Recht auf Vergessenwerden" und "Datenportabilität" verstehen?

Corc Uysal: Alle Unternehmen, die personenbezogene Daten sammeln, verarbeiten oder direkt nutzen, müssen der entsprechenden Person, zu der die Daten gehören, insbesondere zwei Rechte einräumen. Das Vergessenwerden meint, dass Daten und Datensätze einzelner Personen auf deren Wunsch hin gelöscht werden können und müssen. Die Datenportabilität beschreibt die Möglichkeit zur Abfrage der personenbezogenen Daten. Dabei ist wichtig, dass die Datensätze logisch strukturiert sowie in einem gängigen, lesbaren Format übermittelt werden.

Redaktion: Was heißt das In-Kraft-Treten der EU-DSGVO im Mai 2018 für Ihr Unternehmen sowie für Datenkraken wie Facebook, Google und Co.?

Corc Uysal: Für Unternehmen aus dem Bereich E-Mail-Marketing, wie die von mir geführte Interactive One GmbH, heißt die neue Verordnung natürlich, dass vor allem der Kontakt mit den Dateninhabern verbessert werden musste. Vor allem die letztgenannten Punkte setzen dies voraus. Auch bei der Zusammenarbeit mit Auftraggebern sind natürlich strengere Regeln und mehr Informationen wichtig. Nach der neuen Verordnung gibt es zudem eine erweiterte Meldepflicht bei Datenpannen, neue Haftungsregeln und höhere Bußgelder bei Missachtung einzelner Punkte. Kurzum: Bei uns hat es dazu geführt, dass wir uns mit dem Thema auseinandergesetzt und entsprechende Schritte eingeleitet haben. Wir sind vorbereitet.

Bei sogenannten "Datenkraken", sozialen Netzwerken und Suchmaschinen müssen die einzelnen Verordnungen und Regelungen natürlich auch eine Rolle spielen. Nicht zuletzt die Cambridge-Analytica-Affäre von Facebook, die nun erst Jahre nach ihrem Stattfinden der Öffentlichkeit bekannt wird, zeigt, dass es dafür an der Zeit ist. Mark Zuckerberg hat selber in einem Interview mit CNN gesagt, dass er darüber nachdenke, ob seine Webseite sowie der ebenfalls zum Konzern gehörende Messenger WhatsApp nicht vielleicht von staatlicher Seite reguliert werden solle. In der EU ist dem nun so. Das Gleiche kann man über Google, Twitter und so weiter sagen.

Redaktion: Nun, dann hoffen wir, dass sich der Umgang mit den Nutzerdaten ab Ende Mai allerorten verbessert. Vielen Dank für das Gespräch, Herr Uysal.

Corc Uysal: Sehr gern.

Zusammenfassung zu den Neuerungen

Allen Unternehmern, Firmen und Datenschutzbeauftragten bzw. Online-Marketing-Angestellten ist an dieser Stelle zu raten, dass sie sich mit der kommenden EU-DSGVO auseinandersetzen, so dies noch nicht geschehen ist. Als Anhaltspunkte hier noch einmal übersichtlich die wichtigsten Neuerungen, welche die EU-Verordnung mit sich bringt:

  • Datenschutzerklärungen auf Websites sind nach den neuen Vorgaben zu gestalten
  • Neue Vorgaben zur online oder offline gegebenen Einwilligungserklärung sind einzuhalten
  • Umfassenderes Verzeichnis von Datenverarbeitungstätigkeiten
  • Eine Datenschutz-Folgeabschätzung für neue Tools, Technologien und Datenbanksysteme ist Pflicht
  • Die Datenportabilität wird für alle Unternehmen mit personenbezogenen Daten Pflicht
  • Nutzerdaten unterliegen nun auch dem Recht auf Vergessenwerden
  • Die Auftragsdatenverarbeitung wird auch (teils) neu geregelt
  • Neue Informationspflichten für Kinder-Angebote
  • Überarbeitete Regelungen für den Datenschutzbeauftragten und dessen Stellung
  • Datenpannen unterliegen jetzt einer Meldepflicht
  • Neue Regeln zu den Themen Haftung und Bußgeld treten in Kraft

Fazit

Wer mit seinem Unternehmen online aktiv ist und so personenbezogene Daten von Kunden und Interessenten sowie auch von Auftraggebern und Mitarbeitern sammelt respektive verarbeitet, der muss sich zur neuen EU-DSGVO informieren und sie einhalten. Im Zweifelsfall gibt es auf Datenschutzrecht hin spezialisierte Anwaltskanzleien, die zurate gezogen werden können. Neben den Daten der Verbraucher sind auch solche von Unternehmenspartnern, Auftraggebern und Mitarbeitern besonders zu schützen, auf Bedarf an den Dateninhaber herauszugeben oder zu löschen. Ein guter Schritt in Richtung Verbraucherschutz im sogenannten Informationszeitalter.

Disclaimer: Ein Advertorial ist ein von einem Werbekunden bezahlter, redaktionell aufbereiteter Beitrag.

  • Bewertung
    1