Die EU-Datenschutzreform könnte das Online Direktmarketing beschränken

Die EU-Kom­mis­si­on arbei­tet an einer Reform des Daten­schutz­rechts in der Euro­päi­schen Uni­on. Doch schon jetzt ist ein inof­fi­zi­el­ler Ent­wurf der neu­en Daten­schutz­ver­ord­nung an die Öffent­lich­keit durch­ge­si­ckert. In ihrer jet­zi­gen Form hät­te die Dazen­schutz­ver­ord­nung signi­fi­kan­te Ein­flüs­se auf das Online Direkt­mar­ke­ting in der EU. Die Daten­schutz­ver­ord­nung wür­de ein­heit­lich in der gesam­ten EU gel­ten und wür­de damit natio­na­le Rege­lun­gen zum Daten­schutz ver­hin­dern. Eine offi­zi­el­le Stel­lung­nah­me der Kom­mis­si­on wur­de für Ende Janu­ar 2012 ange­kün­digt. Im fol­gen­den sind die Punk­te auf­ge­führt, die für das Online Direkt­mar­ke­ting von Rele­vanz sind.

Direktmarketing ohne explizite Zustimmung des Nutzers soll verboten werden

»Art. 5(2): Pro­ces­sing of per­so­nal data for direct mar­ke­ting for com­mer­ci­al pur­po­ses shall be law­ful only if the data sub­ject has given con­sent to the pro­ces­sing of their per­so­nal data for such mar­ke­ting.«

Die Nut­zung jeg­li­cher Form per­so­nen­be­zo­ge­ner Daten im kom­mer­zi­el­len Direkt­mar­ke­ting soll laut Ver­ord­nung nur noch nach expli­zi­ter Zustim­mung des betrof­fe­nen Nut­zers zuläs­sig sein. Bis­her sind im deut­schen Recht Aus­nah­men vor­ge­se­hen, wel­che die Nut­zung per­so­nen­be­zo­ge­ner Daten im kom­mer­zi­el­len Direkt­mar­ke­ting unter bestimm­ten Umstän­den auch ohne Ein­wil­li­gung des Nut­zers ermög­li­chen. Die­se Aus­nah­men wür­den mit Umset­zung der Ver­ord­nung ver­schwin­den.

Der Schutz von Minderjährigen wird verschärft

»Art. 7(6): Con­sent of a child shall only be valid when given or aut­ho­ri­zed by the child’s par­ent or cus­to­di­an.«

Die Ver­ord­nung schreibt vor, dass eine Zustim­mung von Min­der­jäh­ri­gen nur noch zuläs­sig ist, wenn die­se von einem Eltern­teil oder berech­tig­ten Vor­mund abge­ge­ben wur­de. Da bis­her kein Sys­tem für eine wirk­sa­me Alters­über­prü­fung im Direkt­mar­ke­ting exis­tiert, bestün­de die Gefahr für Unter­neh­men, dass sie ver­se­hent­lich Min­der­jäh­ri­ge anspre­chen.

Ein Recht auf Löschung und Vergessen soll etabliert werden

»Art. 15: The data sub­ject shall have the right to obtain from the con­trol­ler the era­su­re of per­so­nal data rela­ting to them and the abs­ten­ti­on from fur­t­her dis­se­mi­na­ti­on of such data

Die Ver­ord­nung sieht vor, dass ein Nut­zer jeder­zeit die Löschung sei­ner erfass­ten Daten sowie die Unter­las­sung ihrer Wei­ter­ver­brei­tung von einem Unter­neh­men ver­lan­gen darf. Die Umset­zung der Anfra­ge des Nut­zers muss dabei prin­zi­pi­ell ohne Ver­zö­ge­rung erfol­gen.

Die Anforderungen an Profiling sollen verschärft werden

»Art. 18(1): Every natu­ral per­son shall have the right not to be sub­ject to a mea­su­re which pro­du­ces legal effects con­cer­ning this natu­ral per­son or signi­fi­cant­ly affects this natu­ral per­son, and which is based on auto­ma­ted pro­ces­sing inten­ded to eva­lua­te
cer­tain per­so­nal aspects rela­ting to this natu­ral per­son or to ana­ly­se or pre­dict in par­ti­cu­lar the natu­ral person’s per­for­mance at work, credit­wort­hi­ness, eco­no­mic situa­ti­on, loca­ti­on, health, per­so­nal pre­fe­ren­ces, relia­bi­li­ty or beha­viour.
«

Die Ver­ord­nung sieht vor, dass die Pro­fil­bil­dung von Nut­zern – inkl. Sco­ring – beschränkt wer­den soll, wenn die Mög­lich­keit besteht, dass dar­aus recht­li­che Kon­se­quen­zen oder signi­fi­kan­te Aus­wir­kun­gen im Hin­blick auf eine Leis­tungs­über­wa­chung am Arbeits­platz, die Kre­dit­wür­dig­keit, die wirt­schaft­li­che Situa­ti­on, den Wohn­ort, die Gesund­heit, die per­sön­li­chen Vor­lie­ben, die Zuver­läs­sig­keit oder das all­ge­mei­ne Ver­hal­ten des Nut­zers haben könn­ten. Eine prä­zi­se Beschrei­bung, wel­che Aus­wir­kung als signi­fi­kant zu gel­ten haben, liegt bis­her nicht vor.

Nutzer sollen erweiterte Auskunftsrechte erhalten

»Art. 9(1)&(2): The con­trol­ler shall have trans­pa­rent and easi­ly acces­si­ble poli­ci­es with regard to the pro­ces­sing of per­so­nal data and for the exer­cise of data sub­jects’ rights.
The con­trol­ler shall pro­vi­de any infor­ma­ti­on and any com­mu­ni­ca­ti­on rela­ting to the pro­ces­sing of per­so­nal data to the data sub­ject in an intel­li­gi­ble form, using clear and plain lan­guage, adap­ted to the data sub­ject, in par­ti­cu­lar for any infor­ma­ti­on addres­sed spe­ci­fi­cal­ly to a child.«

Laut Ver­ord­nung müs­sen daten­ver­ar­bei­ten­de Unter­neh­men trans­pa­ren­te, ein­fach ver­ständ­li­che und leicht zugäng­li­che Daten­schutz-Richt­li­ni­en vor­lie­gen haben. Die Richt­li­ni­en müs­sen in ver­ständ­li­cher Spra­che beschrei­ben, wie das Unter­neh­men Daten ver­ar­bei­tet und wie es garan­tiert, dass die Rech­te der Nut­zer geach­tet wer­den.

Nut­zer sol­len jeder­zeit anfra­gen dür­fen, wel­che Daten von ihnen gespei­chert wer­den und wie die­se ver­ar­bei­tet wer­den.
Die Unter­neh­men sol­len ver­pflich­tet wer­den, Pro­zes­se ein­zu­rich­ten, die eine ver­zö­ge­rungs­freie Beant­wor­tung von Nut­zer­an­fra­gen ermög­li­chen. Eine Auf­lis­tung der Infor­ma­tio­nen, wel­che einem Nut­zer mit­ge­teilt wer­den müs­sen, fin­det sich in Art. 1.

Extraterritoriale Datenübermittlungen müssen an EU-Standards angepasst werden

»Art. 37a: Any trans­fer of per­so­nal data which are under­go­ing pro­ces­sing or are inten­ded for pro­ces­sing
after trans­fer to a third coun­try or to an inter­na­tio­nal orga­ni­sa­ti­on may only take place if: the level of pro­tec­tion of indi­vi­du­als for the pro­tec­tion of per­so­nal data gua­ran­teed in the Uni­on by this Regu­la­ti­on is not under­mi­ned
«

Unter­neh­men, die Daten von EU-Bür­gern an Unter­neh­men außer­halb der EU über­mit­teln möch­ten, sol­len dies laut Ver­ord­nung nur noch tun dür­fen, wenn sie garan­tie­ren kön­nen, dass die Daten auch dort nach EU Stan­dards behan­delt wer­den. Dies gilt auch für wei­ter­füh­ren­de Trans­fers, also auch, wenn das Nicht-EU-Unter­neh­men die Daten noch ein­mal an ein wei­te­res Nicht-EU-Unter­neh­men uber­mit­telt. Damit müs­sen sich auch Nicht-EU-Unter­neh­men EU Recht unter­wer­fen, wenn sie mit Daten aus der EU arbei­ten möch­ten. Glo­ba­le Koope­ra­tio­nen wer­den dadurch erschwert. Aus­nah­men müs­sen von der Kom­mis­si­on geneh­migt wer­den.

Sanktionen für Verstöße sollen verschärft werden

Ver­stö­ße gegen die Ver­ord­nung kön­nen, je nach Schwe­re des Ver­sto­ßes, mit einer Geld­stra­fe von 100 € bis zu 1.000.000 € oder pro­zen­tu­al von 1 Pro­zent bis zu 5 Pro­zent des welt­wei­ten Umsat­zes des Unter­neh­mens geahn­det wer­den. Eine genaue Auf­lis­tung von Ver­stö­ßen und mög­li­chen Buß­gel­dern fin­det sich in Art. 79.