print logo

Seit September drohen bei Datenvergehen hohe Strafen

Epsilon beleuchtet die wichtigsten Änderungen der Datenschutznovelle und zeigt, worauf Unternehmen zukünftig achten sollten
Erfolgreiches Marketing zeichnet sich aus durch starke Kundenausrichtung, Botschaften mit hoher Aussagekraft und Relevanz für den Empfänger. Daher spielen Kundendaten von jeher eine entscheidende Rolle, wenn es darum geht, eine persönliche und authentische Beziehung mit dem Konsumenten aufzubauen. Umso wichtiger ist nun der 1. September 2012 für deutsche Vermarkter; egal ob Offline- oder Online-Marketing, solange Unternehmen persönliche Daten sammeln und für Werbezwecke einsetzen, müssen sie auf diesen Termin vorbereitet sein: Denn die Übergangsfrist der 2009 beschlossenen Novelle des Bundesdatenschutzgesetzes (BDSG) endet am 31. August.

Im Grunde wird sich nicht viel ändern, zumindest für diejenigen Unternehmen, die ohnehin schon die hohen Standards bezüglich der Einwilligung zum Sammeln, Speichern und Nutzen personenbezogener Kundendaten für Werbezwecke einhalten. Dennoch wird das Auslaufen der Frist einige Unternehmen unvorbereitet treffen – und dies, obwohl harte Strafen drohen. Höchste Zeit also, die Datenbestände auf Vordermann zu bringen.

Die wichtigsten Änderungen, und was es ab September zu beachten gilt, werden im Folgenden zusammengefasst:

• Geringe Verwarngelder gehören der Vergangenheit an
Es wird zukünftig keine geringen Verwarngelder mehr geben. Ab 1. September dieses Jahres werden Datenschutzvergehen mit hohen Geldbußen von bis zu 300.000 € geahndet – ein Preis, der weit größer ist als der wirtschaftliche Nutzen, den Unternehmen aus der unrechtmäßigen Verwendung der Kundendaten ziehen. Im schlimmsten Fall können die Behörden sogar eine weitere Datenverarbeitung stoppen, sofern die Probleme trotz Beanstandung und Verhängung einer Geldbuße nicht innerhalb einer angemessenen Frist behoben werden. Dies kann für Unternehmen, für die diese Daten der Treibstoff ihrer Vertriebs-und Marketingaktivitäten sind, schnell geschäftskritische Konsequenzen haben.

• Keine Ausnahmen für alte Datenbestände
Es gibt keine Ausnahmeregelung für Altdaten: In einigen Unternehmen existieren immer noch alte Adressbestände, die vor 2009, ohne Beachtung der Vorgaben, entweder selbst erhoben oder aber von Dritten ohne entsprechende Nachweismöglichkeit erworben wurden. Noch bis zum 31. August haben Unternehmen Zeit, eventuell fehlende Einwilligungen zur Datenspeicherung und -nutzung für Werbezwecke einzuholen. Soweit nicht schon längst geschehen, sollte also spätestens jetzt ein Datenaudit durchgeführt werden, um diejenigen Datensätze zu identifizieren, die diese Anforderungen nicht erfüllen. Schließlich bleibt nicht einmal ein Monat, um eine Kampagne zur Wiederanmeldung umzusetzen und so die notwendigen Zustimmungen noch zu erlangen. Empfänger, die auf die erneute Opt-in-Anfrage nach Ablauf der Frist nicht reagiert haben, müssen aus der Datenbank entfernt werden.

• 100 Prozent Opt-In – Keine Ausnahme bei bestehenden Kundenbeziehungen
Kundendaten, die primär für die Zusendung von E-Mails im Rahmen bestehender Vertragsbeziehungen für Werbezwecke genutzt wurden, unterlagen bislang einer Ausnahmeregelung. Vor der Novelle genügte es, dass den Kunden die Möglichkeit zum Widerruf in der Werbe-E-Mail gegeben wurde. Bestandskunden konnten dann einer weiteren Zusendung werblicher Inhalte widersprechen (Opt-out). Personenbezogene Daten sind private Informationen – daher erfordert die Speicherung und Nutzung dieser Daten für Werbezwecke auch die ausdrückliche Einwilligung der Betroffenen.

• Effektive Opt- out-Prozesse
Aber selbst wenn ein Unternehmen alle notwendigen Einwilligungen einwandfrei nachweisen kann, muss gewährleistet sein, dass Kunden auch jederzeit die Möglichkeit haben, ihre diversen Einwilligungen (Opt-in) zu widerrufen. Unternehmen müssen dann die entsprechenden Daten innerhalb einer angemessenen Frist aus der Datenbank entfernen. Hierbei kann eine moderne Kundenpräferenz Onlineform für alle Kanäle die Prozesse deutlich erleichtern.

• Qualifizierungsprozesse aufsetzen
Wichtig ist, genau zu prüfen, wie die Einwilligung eingeholt, wie und für welche Kanäle sie erteilt, sowie ob diese Einwilligung auch einwandfrei dokumentiert wurde. Schließlich müssen Werbetreibende insgesamt vier Einwilligungen von jedem Empfänger nachweisen können: eine für die Datenspeicherung, eine für die Nutzung zu Werbezwecken, eine für E-Mail- und eine für Telefonwerbung. Die Erlaubnis zur Datenspeicherung bedeutet also noch lange nicht, dass diese auch für Marketingzwecke genutzt werden dürfen.
Daher empfiehlt es sich, eine Datenbank mit einem belastbaren Qualifizierungsprozess aufzusetzen und zu pflegen. Dadurch sollten die benötigten Einwilligungen auf Anfrage schnell und effizient nachgewiesen werden können. Es bietet sich daher an, eine Kundenpräferenz Onlineform zur Erhebung und Speicherung der Daten und deren Verwendungserlaubnis, sowie zur Verwaltung der An- und Abmeldungen, einzurichten. Professionelle Marketing-Dienstleister mit solider Erfahrung im Datenmanagement sind in der Lage, eine solche maßgeschneiderte Onlineform für das jeweilige Unternehmen zu entwickeln.

• Internen Datenschutzverantwortlichen einsetzen
Falls noch nicht geschehen, sollten Unternehmen auch einen internen Datenschutzbeauftragten einsetzen, der über die notwendige Erfahrung und das Know-how verfügt, die Einhaltung der Datenschutzvorschriften zu überwachen. Dafür, sowie für die Entwicklung von Maßnahmen und Best-Practices und gleichfalls die Kommunikation der dafür notwendigen Praktiken an alle, die im Unternehmen Zugriff auf personenbezogene Daten haben, ist die Unterstützung durch das Management von zentraler Bedeutung. Es ist immer besser vorzusorgen, als Schäden zu regulieren, wenn Datenschutzverletzungen begangen worden sind.

• Datenschutzerklärung bereithalten
Auch wenn das Gesetz das Bereithalten einer Datenschutzerklärung nicht ausdrücklich vorschreibt, erhöht Transparenz im Umgang mit sensiblen Daten das Kundenerlebnis. Rechtzeitige Benachrichtigung, Transparenz und Klarheit sind entscheidend beim Thema Datenschutz. Daher sollte die Datenschutzerklärung des Unternehmens an allen Berührungspunkten mit dem Kunden verfügbar sein. Dies wird Verbraucher nicht abschrecken, die Einwilligung zur Nutzung der Daten zu geben – ein schlechter Ruf im Umgang mit persönlichen Daten dagegen schon.

„Wer diese Grundlagen beherzigt, kann dem Herbst entspannt entgegen sehen. Aber auch nach dem Inkrafttreten der Novelle sollte jedes Unternehmen regelmäßige Datenaudits bei sich und ihren Partnern, sofern diese sensible Daten verarbeiten, durchführen“, ergänzt Swen Krups, Vice President Client Services EMEA bei Epsilon International.


Haftungsausschluss
HINWEIS: Die in diesem Dokument von Epsilon bereitgestellten Informationen dienen lediglich der allgemeinen Information und nicht dem Zweck der Rechtsberatung oder als Rechtsgutachten. Leser sollten sich nicht auf diese Informationen berufen, ohne vorher eine professionelle Rechtsberatung erhalten zu haben.