EU-DatenschutzVO – Auswirkungen auf die Werbewirtschaft absehbar
Am 25.01.2012 hat die EU-Kommission ihren Vorschlag zur Reform des Datenschutzes in Europa vorgestellt. Kernstück ist eine - bereits vor ihrer offiziellen Veröffentlichung - kontrovers diskutierte Datenschutzverordnung. Es handelt sich bisher aber nur um einen Vorschlag. Das ist entscheidend. Denn damit besteht die Möglichkeit, auf den Inhalt Einfluss zu nehmen.
Inhalt des Reformpaketes der EU Kommission
Unter http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm wurde das Reformpaket veröffentlicht. Es umfasst
· eine Mitteilung über die politischen Ziele der Kommission sowie neben
· dem Vorschlag einer Verordnung zum Schutz personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) auch
· den Vorschlag einer Richtlinie zum Schutz personenbezogener Daten, die zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten und für damit verbundene justizielle Tätigkeiten.
Hintergrund aus Sicht der EU-Kommission
Die EU-Kommission sieht den Hintergrund für das Reformpaket ausweislich der Pressemitteilung in Folgendem:
„Personenbezogene Daten“ sind alle Informationen über das Privat-, Berufs- oder öffentliche Leben einer Person. Personenbezogene Daten können zum Beispiel der Name, ein Foto, eine E-Mail-Adresse, Bankdaten, Posts auf den Webseiten sozialer Netzwerke, medizinische Daten oder die IP-Adresse eines Computers sein. Nach der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten, und zwar in allen Bereichen ihres Lebens, d. h. zuhause, am Arbeitsplatz, beim Einkaufen, beim Arzt, bei der Polizei oder im Internet.
Die Erhebung und Speicherung von personenbezogenen Daten ist im digitalen Zeitalter von wesentlicher Bedeutung. Alle Unternehmen, angefangen bei Versicherungen und Banken bis hin zu Websites sozialer Medien und Suchmaschinen, verwenden derartige Daten. In der globalisierten Welt von heute ist die Übermittlung von Daten an Länder außerhalb der EU zu einem wichtigen Aspekt des täglichen Lebens geworden. In der Onlinewelt gibt es keine Grenzen, und das Cloud computing macht es beispielsweise möglich, dass Daten von Berlin zu Verarbeitungszwecken nach Boston geschickt und dann in Bangalore gespeichert werden.
Was bedeutet EU-Verordnung?
Die Regelung des Datenschutzes ist – anders als bisher die europäischen Datenschutzregelungen - als Verordnung geplant. Die Besonderheit von EU-Verordnungen ist, dass sie in allen ihren Teilen verbindlich sind und unmittelbar in jedem Mitgliedstaat gelten. Sie unterscheidet sich von dem Rechtsakt EU-Richtlinie dadurch in mehrerlei Hinsicht, durch die bisher europäische Datenschutzregelungen geschaffen wurden. Einer Umsetzung in nationales Recht durch ein nationales Gesetz bedarf es nicht. Änderungen des Regelungsgehalts der vorgegebenen Regelungen durch die einzelnen Mitgliedstaaten sind grundsätzlich nicht möglich. Nur soweit Artikel einer Verordnung ausdrücklich Anpassungen an nationales Recht vorschreiben oder gestatten, besteht ein Spielraum. Beispielsweise ist das Thema Beschäftigtendatenschutz für nationale Regelungen geöffnet.
Der Vorschlag der Verordnung umfasst 139 Erwägungsgründe und 91 Artikel. Die erste Durchsicht ergibt den Eindruck, dass dadurch das deutsche Bundesdatenschutzgesetz (BDSG) und die Datenschutzbestimmungen des deutschen Telemediengesetzes (TMG) sowie das österreichische Datenschutzgesetz 2010 (DSG 2010) weitgehend obsolet wird. Durch Artikel 88 Abs. 1 der DatenschutzVO soll insbesondere die Richtlinie 85/46/EG, auf welcher im Kern das BDSG und das DSG 2010 beruhen, aufgehoben werden. Nach Art. 89 Abs. 1 DatenschutzVO sollen die speziellen Datenschutzbestimmungen für den Telekommunikationssektor jedoch unberührt bleiben.
Wichtigste Änderungen im Zuge der Reform aus der Sicht der EU-Kommission
In der Pressemitteilung zur Vorstellung des Reformpakets hat die EU-Kommission die wichtigsten Änderungen im Zuge der Reform benannt. Für die Werbewirtschaft ergibt sich daraus Folgendes:
· Künftig wird es ein EU-weit geltendes Gesamtregelwerk für den Datenschutz geben. Für die Werbewirtschaft hat dies den Vorteil, dass bei grenzüberschreitender Werbung und Werbung im Internet die datenschutzrechtliche Bewertung europaweit - der Idee nach - leichter wird.
· Unternehmen und Organisationen sollen beispielsweise bei einer schweren Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich (d. h. nach Möglichkeit binnen 24 Stunden) benachrichtigen müssen. Eine Regelung mit gleicher Zielsetzung kennt das deutsche Datenschutzrecht bereits in §§ 42a BDSG, 15a TMG. Die Regelung war im Jahr 2009 unter anderem eine Reaktion auf die Datenschutzskandale im Kontext von Werbung durch Callcenter. Ganz neu ist die Regelung daher nicht. Nach einem ersten Eindruck dürfte die neue Regelung strenger sein als der bisherige § 42a BDSG.
· Alleiniger Ansprechpartner für Organisationen soll die nationale Datenschutzbehörde des EU-Landes sein, in dem sie ihre Hauptniederlassung haben. Ebenso sollen sich Bürger künftig auch dann an die Datenschutzbehörde ihres Landes wenden können, wenn ihre Daten von einem außerhalb der EU niedergelassenen Unternehmen verarbeitet werden. Dies ist für Unternehmen doppelschneidig. Zwar wird die Abstimmung für beispielsweise CRM-Lösungen dadurch erleichtert, dass eine Abstimmung für die ganze EU mit einer Behörde erfolgen kann. Andererseits sehen sich Unternehmen unter Umständen auch mit Anfragen ausländischer Aufsichtsbehörden konfrontiert.
· In Bezug auf Datenverarbeitungen, die der vorherigen Genehmigung bedürfen, wird nunmehr klargestellt, dass die Genehmigung ausdrücklich erteilt werden muss und nicht stillschweigend vorausgesetzt werden darf. Das macht insbesondere das Einholen von Werbeeinwilligungen zukünftig schwerer. Allerdings ist aus deutscher Sicht zu beachten, dass § 7 UWG die „Messlatte“ für das Einholen von Einwilligungen bereits recht hoch gelegt hat. Es wird sich zeigen müssen, ob darüber hinaus tatsächlich noch eine Verschärfung für die Werbung droht.
· Das „Recht auf Vergessenwerden“ soll eine bessere Beherrschung der bei Onlinediensten bestehenden Datenschutzrisiken ermöglichen. Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen. Gerade Profilierungen und CRM-Anwendungen werden mit dieser Vorgabe „umgehen lernen“ müssen.
· Die nationalen Datenschutzbehörden sollen künftig Geldbußen gegen Unternehmen verhängen können, die gegen die Datenschutzbestimmungen der EU verstoßen. Das ist nicht neu. Aber die Höhe der Geldbuße soll bis zu 1 Mio. EUR oder 2 Prozent des Jahresumsatzes eines Unternehmens betragen können.
Neben diesen direkt erkennbaren Auswirkungen werden sich im Laufe der Diskussion eine Reihe weiterer Aspekte ergeben.
· Es wird die Diskussion neu angefacht, wann personenbezogene Daten vorliegen. Das hat Auswirkungen auf die Bewertung der dynamischen IP-Adresse beispielsweise im Kontext von Reichweitenmessungen im Internet.
· Ebenso werden die Regelungen über die Auftragsdatenverarbeitung geändert, was Auswirkungen beispielsweise auf die Nutzung von CRM-Dienstleister und die Bereitstellung von Adressen an Dritte zu Werbezwecken haben kann.
· Die Sonderregelungen zur Werbung und zum Adresshandel, welche zum 01.09.2009 in § 28 Abs. 3 BDSG in Kraft getreten sind, werden auch nicht „1 zu 1“ in der DatenschutzVO enthalten sein. Das würde wiederum Umstellungen bedeuten.
· Auch wird die Frage zu diskutieren sein, ob es neben der DatenschutzVO noch Datenschutzbestimmungen im TMG geben darf. Das TMG regelt beispielsweise recht rigide die Weitergabe von Daten zu Werbezwecken und § 15 TMG regelt bisher recht streng das Messen von Nutzerverhalten. Durch eine DatenschutzVO können sich, müssen sich aber nicht, Erleichterungen ergeben.
Klar ist jedenfalls, dass die DatenschutzVO auch für den Bereich des Marketing eine zu beachtende Auswirkung ist und die Diskussion auch aus der Sicht des Marketing mit geführt werden muss.
Was ist der nächste Schritt nach Veröffentlichung des Vorschlags?
Die Vorschläge der Kommission werden nun dem Europäischen Parlament und den EU-Mitgliedstaaten (d. h. dem EU-Ministerrat) zur weiteren Erörterung übermittelt. Sie sollen zwei Jahre nach ihrer Annahme in Kraft treten.
Inhalt des Reformpaketes der EU Kommission
Unter http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm wurde das Reformpaket veröffentlicht. Es umfasst
· eine Mitteilung über die politischen Ziele der Kommission sowie neben
· dem Vorschlag einer Verordnung zum Schutz personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) auch
· den Vorschlag einer Richtlinie zum Schutz personenbezogener Daten, die zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten und für damit verbundene justizielle Tätigkeiten.
Hintergrund aus Sicht der EU-Kommission
Die EU-Kommission sieht den Hintergrund für das Reformpaket ausweislich der Pressemitteilung in Folgendem:
„Personenbezogene Daten“ sind alle Informationen über das Privat-, Berufs- oder öffentliche Leben einer Person. Personenbezogene Daten können zum Beispiel der Name, ein Foto, eine E-Mail-Adresse, Bankdaten, Posts auf den Webseiten sozialer Netzwerke, medizinische Daten oder die IP-Adresse eines Computers sein. Nach der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten, und zwar in allen Bereichen ihres Lebens, d. h. zuhause, am Arbeitsplatz, beim Einkaufen, beim Arzt, bei der Polizei oder im Internet.
Die Erhebung und Speicherung von personenbezogenen Daten ist im digitalen Zeitalter von wesentlicher Bedeutung. Alle Unternehmen, angefangen bei Versicherungen und Banken bis hin zu Websites sozialer Medien und Suchmaschinen, verwenden derartige Daten. In der globalisierten Welt von heute ist die Übermittlung von Daten an Länder außerhalb der EU zu einem wichtigen Aspekt des täglichen Lebens geworden. In der Onlinewelt gibt es keine Grenzen, und das Cloud computing macht es beispielsweise möglich, dass Daten von Berlin zu Verarbeitungszwecken nach Boston geschickt und dann in Bangalore gespeichert werden.
Was bedeutet EU-Verordnung?
Die Regelung des Datenschutzes ist – anders als bisher die europäischen Datenschutzregelungen - als Verordnung geplant. Die Besonderheit von EU-Verordnungen ist, dass sie in allen ihren Teilen verbindlich sind und unmittelbar in jedem Mitgliedstaat gelten. Sie unterscheidet sich von dem Rechtsakt EU-Richtlinie dadurch in mehrerlei Hinsicht, durch die bisher europäische Datenschutzregelungen geschaffen wurden. Einer Umsetzung in nationales Recht durch ein nationales Gesetz bedarf es nicht. Änderungen des Regelungsgehalts der vorgegebenen Regelungen durch die einzelnen Mitgliedstaaten sind grundsätzlich nicht möglich. Nur soweit Artikel einer Verordnung ausdrücklich Anpassungen an nationales Recht vorschreiben oder gestatten, besteht ein Spielraum. Beispielsweise ist das Thema Beschäftigtendatenschutz für nationale Regelungen geöffnet.
Der Vorschlag der Verordnung umfasst 139 Erwägungsgründe und 91 Artikel. Die erste Durchsicht ergibt den Eindruck, dass dadurch das deutsche Bundesdatenschutzgesetz (BDSG) und die Datenschutzbestimmungen des deutschen Telemediengesetzes (TMG) sowie das österreichische Datenschutzgesetz 2010 (DSG 2010) weitgehend obsolet wird. Durch Artikel 88 Abs. 1 der DatenschutzVO soll insbesondere die Richtlinie 85/46/EG, auf welcher im Kern das BDSG und das DSG 2010 beruhen, aufgehoben werden. Nach Art. 89 Abs. 1 DatenschutzVO sollen die speziellen Datenschutzbestimmungen für den Telekommunikationssektor jedoch unberührt bleiben.
Wichtigste Änderungen im Zuge der Reform aus der Sicht der EU-Kommission
In der Pressemitteilung zur Vorstellung des Reformpakets hat die EU-Kommission die wichtigsten Änderungen im Zuge der Reform benannt. Für die Werbewirtschaft ergibt sich daraus Folgendes:
· Künftig wird es ein EU-weit geltendes Gesamtregelwerk für den Datenschutz geben. Für die Werbewirtschaft hat dies den Vorteil, dass bei grenzüberschreitender Werbung und Werbung im Internet die datenschutzrechtliche Bewertung europaweit - der Idee nach - leichter wird.
· Unternehmen und Organisationen sollen beispielsweise bei einer schweren Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich (d. h. nach Möglichkeit binnen 24 Stunden) benachrichtigen müssen. Eine Regelung mit gleicher Zielsetzung kennt das deutsche Datenschutzrecht bereits in §§ 42a BDSG, 15a TMG. Die Regelung war im Jahr 2009 unter anderem eine Reaktion auf die Datenschutzskandale im Kontext von Werbung durch Callcenter. Ganz neu ist die Regelung daher nicht. Nach einem ersten Eindruck dürfte die neue Regelung strenger sein als der bisherige § 42a BDSG.
· Alleiniger Ansprechpartner für Organisationen soll die nationale Datenschutzbehörde des EU-Landes sein, in dem sie ihre Hauptniederlassung haben. Ebenso sollen sich Bürger künftig auch dann an die Datenschutzbehörde ihres Landes wenden können, wenn ihre Daten von einem außerhalb der EU niedergelassenen Unternehmen verarbeitet werden. Dies ist für Unternehmen doppelschneidig. Zwar wird die Abstimmung für beispielsweise CRM-Lösungen dadurch erleichtert, dass eine Abstimmung für die ganze EU mit einer Behörde erfolgen kann. Andererseits sehen sich Unternehmen unter Umständen auch mit Anfragen ausländischer Aufsichtsbehörden konfrontiert.
· In Bezug auf Datenverarbeitungen, die der vorherigen Genehmigung bedürfen, wird nunmehr klargestellt, dass die Genehmigung ausdrücklich erteilt werden muss und nicht stillschweigend vorausgesetzt werden darf. Das macht insbesondere das Einholen von Werbeeinwilligungen zukünftig schwerer. Allerdings ist aus deutscher Sicht zu beachten, dass § 7 UWG die „Messlatte“ für das Einholen von Einwilligungen bereits recht hoch gelegt hat. Es wird sich zeigen müssen, ob darüber hinaus tatsächlich noch eine Verschärfung für die Werbung droht.
· Das „Recht auf Vergessenwerden“ soll eine bessere Beherrschung der bei Onlinediensten bestehenden Datenschutzrisiken ermöglichen. Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen. Gerade Profilierungen und CRM-Anwendungen werden mit dieser Vorgabe „umgehen lernen“ müssen.
· Die nationalen Datenschutzbehörden sollen künftig Geldbußen gegen Unternehmen verhängen können, die gegen die Datenschutzbestimmungen der EU verstoßen. Das ist nicht neu. Aber die Höhe der Geldbuße soll bis zu 1 Mio. EUR oder 2 Prozent des Jahresumsatzes eines Unternehmens betragen können.
Neben diesen direkt erkennbaren Auswirkungen werden sich im Laufe der Diskussion eine Reihe weiterer Aspekte ergeben.
· Es wird die Diskussion neu angefacht, wann personenbezogene Daten vorliegen. Das hat Auswirkungen auf die Bewertung der dynamischen IP-Adresse beispielsweise im Kontext von Reichweitenmessungen im Internet.
· Ebenso werden die Regelungen über die Auftragsdatenverarbeitung geändert, was Auswirkungen beispielsweise auf die Nutzung von CRM-Dienstleister und die Bereitstellung von Adressen an Dritte zu Werbezwecken haben kann.
· Die Sonderregelungen zur Werbung und zum Adresshandel, welche zum 01.09.2009 in § 28 Abs. 3 BDSG in Kraft getreten sind, werden auch nicht „1 zu 1“ in der DatenschutzVO enthalten sein. Das würde wiederum Umstellungen bedeuten.
· Auch wird die Frage zu diskutieren sein, ob es neben der DatenschutzVO noch Datenschutzbestimmungen im TMG geben darf. Das TMG regelt beispielsweise recht rigide die Weitergabe von Daten zu Werbezwecken und § 15 TMG regelt bisher recht streng das Messen von Nutzerverhalten. Durch eine DatenschutzVO können sich, müssen sich aber nicht, Erleichterungen ergeben.
Klar ist jedenfalls, dass die DatenschutzVO auch für den Bereich des Marketing eine zu beachtende Auswirkung ist und die Diskussion auch aus der Sicht des Marketing mit geführt werden muss.
Was ist der nächste Schritt nach Veröffentlichung des Vorschlags?
Die Vorschläge der Kommission werden nun dem Europäischen Parlament und den EU-Mitgliedstaaten (d. h. dem EU-Ministerrat) zur weiteren Erörterung übermittelt. Sie sollen zwei Jahre nach ihrer Annahme in Kraft treten.