So arbeiten Sie im Online-Vertrieb DSGVO-konform

07.01.2021

Matthias Stauch, Vorstandsvorsitzender der Intervista AG / Foto: © Invervista

Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können.

Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

Zum einen wurden die Betroffenenrechte gestärkt: Personenbezogene Daten dürfen abseits von eng definierten Notwendigkeiten nur mit Einwilligung verarbeitet werden (Artikel 6). Gemäß Artikel 15 hat der Betroffene zudem ein Auskunftsrecht und darf erfragen, ob und zu welchem Zweck seine persönlichen Daten verarbeitet werden. Das Recht auf Vergessenwerden (Artikel 17) legt fest, dass auf Wunsch personenbezogene Daten gelöscht werden müssen. Zudem wurde beinhaltet die DSGVO das Recht auf Datenübertragbarkeit, auf Einschränkung der Verarbeitung sowie auf Berichtigung. Um die Durchsetzbarkeit zu gewährleisten, hat die EU die Sanktionsmöglichkeiten verschärft. Zuvor konnten Verstöße mit Bußgeldern bis zu 300000 belegt werden, mit der DSGVO sind nun deutlich höhere Strafen mit bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes möglich.

Der DSGVO wurde zunächst mit Skepsis begegnet, da unklar war, wie streng Behörden kontrollieren und wie stark Bürger ihre neuen Rechte einfordern würden.

Aufsichtsbehörden machen Ernst

Dass Bußgelder verhängt werden, zeigen Entwicklungen im November dieses Jahres: Die italienische Aufsichtsbehörde (Garante per la protezoni die dati personali) verhängte gegen Vodafone Italien eine Strafe von rund 12 Millionen Euro: Vodafone hatte bei aggressivem Telemarketing Anrufe ohne eine wirksame Einwilligung tätigen lassen und sich Daten zum Teil von Dritten beschafft. Vodafone muss nun Maßnahmen ergreifen, um Konformität nach der DSGVO zu erreichen. Dazu gehört auch ein Dokumentationssystem, das nachverfolgbar macht, ob die Verarbeitung personenbezogener Daten rechtskonform erfolgt. Auch die französische Aufsichtsbehörde (CNIL) verhängte Strafen gegen die Carrefour S.A., dem zweitgrößten Einzelhandelsunternehmen Europas. Zum einen wurde die Verarbeitung personenbezogener Daten über die Website nicht transparent genug dargestellt: Informationen zum Datenschutz des Treueprogramms waren für die User nur schwer zugänglich und kaum verständlich aufbereitet - damit wurde das Transparenzgebot verletzt. Außerdem war das Löschkonzept mangelhaft. Zum anderen wurden die Daten von inaktiven Kunden im Treueprogramm jahrelang aufbewahrt, ebenso Userdaten der Site carrefour.fr. Das Unternehmen hatte zudem Cookies gesetzt, ohne zuvor die Einwilligung der Nutzer einzuholen. Die Bußgelder gegen die Carrefour S.A und die Carrefour Banque belaufen sich auf rund zwei Millionen bzw. 800000 Euro.

Worauf es beim Umgang mit Cookies zu achten gilt, lesen Sie auf Seite 2