Die EU-Kommission arbeitet an einer Reform des Datenschutzrechts in der Europäischen Union. Doch schon jetzt ist ein inoffizieller Entwurf der neuen Datenschutzverordnung an die Öffentlichkeit durchgesickert. In ihrer jetzigen Form hätte die Dazenschutzverordnung signifikante Einflüsse auf das Online Direktmarketing in der EU. Die Datenschutzverordnung würde einheitlich in der gesamten EU gelten und würde damit nationale Regelungen zum Datenschutz verhindern. Eine offizielle Stellungnahme der Kommission wurde für Ende Januar 2012 angekündigt. Im folgenden sind die Punkte aufgeführt, die für das Online Direktmarketing von Relevanz sind.
Direktmarketing ohne explizite Zustimmung des Nutzers soll verboten werden
»Art. 5(2): Processing of personal data for direct marketing for commercial purposes shall be lawful only if the data subject has given consent to the processing of their personal data for such marketing.«
Die Nutzung jeglicher Form personenbezogener Daten im kommerziellen Direktmarketing soll laut Verordnung nur noch nach expliziter Zustimmung des betroffenen Nutzers zulässig sein. Bisher sind im deutschen Recht Ausnahmen vorgesehen, welche die Nutzung personenbezogener Daten im kommerziellen Direktmarketing unter bestimmten Umständen auch ohne Einwilligung des Nutzers ermöglichen. Diese Ausnahmen würden mit Umsetzung der Verordnung verschwinden.
Der Schutz von Minderjährigen wird verschärft
»Art. 7(6): Consent of a child shall only be valid when given or authorized by the child’s parent or custodian.«
Die Verordnung schreibt vor, dass eine Zustimmung von Minderjährigen nur noch zulässig ist, wenn diese von einem Elternteil oder berechtigten Vormund abgegeben wurde. Da bisher kein System für eine wirksame Altersüberprüfung im Direktmarketing existiert, bestünde die Gefahr für Unternehmen, dass sie versehentlich Minderjährige ansprechen.
Ein Recht auf Löschung und Vergessen soll etabliert werden
»Art. 15: The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data
Die Verordnung sieht vor, dass ein Nutzer jederzeit die Löschung seiner erfassten Daten sowie die Unterlassung ihrer Weiterverbreitung von einem Unternehmen verlangen darf. Die Umsetzung der Anfrage des Nutzers muss dabei prinzipiell ohne Verzögerung erfolgen.
Die Anforderungen an Profiling sollen verschärft werden
»Art. 18(1): Every natural person shall have the right not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which is based on automated processing intended to evaluate
certain personal aspects relating to this natural person or to analyse or predict in particular the natural person’s performance at work, creditworthiness, economic situation, location, health, personal preferences, reliability or behaviour.«
Die Verordnung sieht vor, dass die Profilbildung von Nutzern – inkl. Scoring – beschränkt werden soll, wenn die Möglichkeit besteht, dass daraus rechtliche Konsequenzen oder signifikante Auswirkungen im Hinblick auf eine Leistungsüberwachung am Arbeitsplatz, die Kreditwürdigkeit, die wirtschaftliche Situation, den Wohnort, die Gesundheit, die persönlichen Vorlieben, die Zuverlässigkeit oder das allgemeine Verhalten des Nutzers haben könnten. Eine präzise Beschreibung, welche Auswirkung als signifikant zu gelten haben, liegt bisher nicht vor.
Nutzer sollen erweiterte Auskunftsrechte erhalten
»Art. 9(1)&(2): The controller shall have transparent and easily accessible policies with regard to the processing of personal data and for the exercise of data subjects’ rights.
The controller shall provide any information and any communication relating to the processing of personal data to the data subject in an intelligible form, using clear and plain language, adapted to the data subject, in particular for any information addressed specifically to a child.«
Laut Verordnung müssen datenverarbeitende Unternehmen transparente, einfach verständliche und leicht zugängliche Datenschutz-Richtlinien vorliegen haben. Die Richtlinien müssen in verständlicher Sprache beschreiben, wie das Unternehmen Daten verarbeitet und wie es garantiert, dass die Rechte der Nutzer geachtet werden.
Nutzer sollen jederzeit anfragen dürfen, welche Daten von ihnen gespeichert werden und wie diese verarbeitet werden.
Die Unternehmen sollen verpflichtet werden, Prozesse einzurichten, die eine verzögerungsfreie Beantwortung von Nutzeranfragen ermöglichen. Eine Auflistung der Informationen, welche einem Nutzer mitgeteilt werden müssen, findet sich in Art. 1.
Extraterritoriale Datenübermittlungen müssen an EU-Standards angepasst werden
»Art. 37a: Any transfer of personal data which are undergoing processing or are intended for processing
after transfer to a third country or to an international organisation may only take place if: the level of protection of individuals for the protection of personal data guaranteed in the Union by this Regulation is not undermined«
Unternehmen, die Daten von EU-Bürgern an Unternehmen außerhalb der EU übermitteln möchten, sollen dies laut Verordnung nur noch tun dürfen, wenn sie garantieren können, dass die Daten auch dort nach EU Standards behandelt werden. Dies gilt auch für weiterführende Transfers, also auch, wenn das Nicht-EU-Unternehmen die Daten noch einmal an ein weiteres Nicht-EU-Unternehmen ubermittelt. Damit müssen sich auch Nicht-EU-Unternehmen EU Recht unterwerfen, wenn sie mit Daten aus der EU arbeiten möchten. Globale Kooperationen werden dadurch erschwert. Ausnahmen müssen von der Kommission genehmigt werden.
Sanktionen für Verstöße sollen verschärft werden
Verstöße gegen die Verordnung können, je nach Schwere des Verstoßes, mit einer Geldstrafe von 100 € bis zu 1.000.000 € oder prozentual von 1 Prozent bis zu 5 Prozent des weltweiten Umsatzes des Unternehmens geahndet werden. Eine genaue Auflistung von Verstößen und möglichen Bußgeldern findet sich in Art. 79.