Hilfe, die DSGVO kommt!

Recht

1. Effekte auf die externe Kommunikation

Von Melanie Ludolph

Es ist so weit: Die Datenschutz-Grundverordnung (DSGVO) ist seit vergangenem Jahr verabschiedet und veröffentlicht. Bis zum 25. Mai ist noch Zeit, die neuen Anforderungen umzusetzen, ab dem Zeitpunkt gilt die Verordnung unmittelbar in allen EU-Mitgliedsstaaten und löst die bisherigen nationalen Regelungen und EU-weiten Richtlinien ab.

Das oft eher stiefmütterlich behandelte Thema Datenschutz kann künftig nicht mehr auf die leichte Schulter genommen werden, denn nach der neuen Gesetzeslage drohen drakonische Bußgelder: bis zu vier Prozent des globalen Konzernumsatzes des Vorjahrs – für jeden einzelnen Verstoß, versteht sich. Doch was ändert sich wirklich für Unternehmen im Rahmen der Kommunikation nach außen?

Website-Betreiber aufgepasst!

Webseitenbetreiber sollten einen besonderen Fokus auf die Aktualisierung ihrer Datenschutzerklärungen legen. Die DSGVO erweitert die Informationspflichten gegenüber den Betroffenen, sodass auf jeden Fall Nachbesserungsarbeiten stattfinden müssen. Der Fokus liegt dabei auf einer präzisen, transparenten, verständlichen, klaren und einfachen Sprache.

Die DSGVO enthält dagegen keine Sonderregelungen für Themen wie Big Data, Social Media oder Cookies. Diesbezüglich ist noch auf die Verabschiedung der sogenannten E-Privacy-Verordnung zu warten, die genau für diese Themen einheitliche Spielregeln für die europäischen Mitgliedsstaaten festlegen soll.

Klassische Funktionen wie der Facebook-„Like“-Button, Webformulare (wie Kontaktformulare, Newsletter), Cookies, Analyse-Tools (wie Piwik oder E-Tracker) und Targeting- beziehungsweise Audience-Optimization-Tools müssen transparent beschrieben werden. Für die Website-Compliance sollten aktuelle Gerichtsentscheidungen im Blick behalten werden.

Newsletter-Versand: Bewährtes bleibt

E-Mails sind und bleiben eines der am meisten genutzten Werbemittel – im B2B- und vor allem im B2C-Bereich. Aktuell gilt, dass – abgesehen von Fällen der Direktwerbung – die Einwilligung des Betroffenen erforderlich ist, um diesem eine Werbe-E-Mail zusenden zu dürfen. Um diese Einwilligung im Streitfall auch nachweisen zu können, wird in der Praxis überwiegend das Double-Opt-In-Verfahren verwendet.

Das wird auch nach dem neuen Recht so bleiben. Die DSGVO hebt allerdings das Kriterium der Freiwilligkeit der Einwilligung besonders hervor. Dies bekommt praktische Relevanz, wenn die Einwilligung an Handlungen des Kunden (zum Beispiel bei Gewinnspielen) geknüpft wird. Welche Kopplungen künftig noch zulässig sein werden, ist leider rechtlich nicht mehr so klar geregelt wie bisher. Mit fachlichem Rat sind aber auch hier die Hürden zu meistern.

Korrekturen und Feinjustierung

Fazit ist, dass sich inhaltlich nicht viel im Bereich der externen Kommunikation ändert. Angesichts der drohenden Bußgelder sollte die verbleibende Zeit allerdings genutzt werden, um die bestehenden Prozesse zu überprüfen und die hinzugekommenen Anforderungen zu integrieren.

Lesen Sie auf Seite 2: To-dos für die Interne Kommunikation

 

2. To-dos für die Interne Kommunikation

Von Klaus zu Hoene

Neben den Kunden sind die Beschäftigten die zweite große Gruppe, die von der Datenverarbeitung von Unternehmen betroffen ist. Deren Daten werden für viele Zwecke benötigt, etwa um sie als Nutzer in IT-Systemen anzulegen, um Personalakten zu führen oder ihnen Gehalt auszuzahlen. Der Arbeitgeber bleibt auch nach neuer Rechtslage berechtigt, die Beschäftigtendaten zu solchen Zwecken zu verarbeiten. Neu ist aber, dass er die Mitarbeiter über die Verarbeitung, deren Zwecke und Rechtsgrundlagen detailliert informieren muss.

Aufwand nicht unterschätzen!

Durch die neuen Informationspflichten kommt einige Arbeit auf den Datenschutzbeauftragten und die Mitarbeiter der Internen Kommunikation zu.

Zunächst muss geklärt werden, in welchen Zusammenhängen und zu welchen Zwecken die personenbezogenen Daten der Beschäftigten verarbeitet werden. Diese Arbeit muss ohnehin erledigt werden, weil das Unternehmen verpflichtet ist, sämtliche Verarbeitungstätigkeiten in einem Verzeichnis zu dokumentieren.

Die Zwecke der Datenverarbeitung sind im Unternehmen naturgemäß vielfältig, daher wird schon an dieser Stelle eine Fülle von Informationen zusammenkommen. Aber der Arbeitgeber muss darüber hinaus weitere Informationspflichten erfüllen. Dazu gehören unter anderem:

  • Kontaktdaten des Datenschutzbeauftragten,
  • Datenübermittlungen an Empfänger und ggf. in Staaten außerhalb der EU,
  • Löschfristen,
  • Rechte der Mitarbeiter auf Auskunft, Berichtigung und Löschung,
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Juristen brauchen vielleicht Hilfe

Wenn die Mitarbeiter mit Informationen überflutet werden, sind sie am Ende nicht schlauer. Daher sind Kürzungen sinnvoll und wahrscheinlich unvermeidbar. Der Gesetzgeber fordert sogar ausdrücklich, die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Das ist gerade für den ein oder anderen Juristen eine große Herausforderung, daher sind auch die Mitarbeiter der Unternehmenskommunikation gefragt.

Wie informieren?

Das Gesetz gibt vor, dass die Informationen schriftlich erfolgen, gegebenenfalls auch elektronisch. Soweit das Unternehmen über ein Intranet verfügt, wäre das also der ideale Weg, die Mitarbeiter zu erreichen. Auch Aushänge oder Broschüren, die den Mitarbeitern ausgehändigt werden, kommen in Betracht. Einige Unternehmen haben die Informationen sogar der Gehaltsabrechnung beigefügt, um eine Zustellung zu gewährleisten.

Gelesen, gelacht, gelocht?

Nein, zumindest nicht für den Arbeitgeber. Denn er muss sich als Verantwortlicher an das halten, was er in den Informationen verspricht. Die Aufsichtsbehörden werden es nachprüfen.

Wenn sich also ein Unternehmen auf bestimmte Löschfristen festlegt, muss es diese Fristen einhalten. Da immer noch viele IT-Systeme keine Löschung ermöglichen, keine Löschroutinen vorsehen oder nicht regelmäßig an den Ablauf von Speicherfristen erinnern, kann man an dieser Stelle leicht zu viel versprechen.

Auch interessant: So wird die Interne Kommunikation DSGVO-konform

***

Mehr zum Thema Datenschutzgrundverordnung (DSGVO) lesen Sie in unserem Dossier.

 

 

Dieser Beitrag erschien zuerst in der gedruckten Ausgabe DATEN. Das Heft können Sie hier bestellen.