DSGVO Korrekturen: EU ändert kurzfristig die neue Datenschutz-Verordnung

DSGVO Korrekturen

EU ändert kurzfristig die neue Datenschutz-Verordnung

Kurz vor dem Stichtag am 25. Mai hat die EU die neue Datenschutz-Verordnung noch einmal geändert. Damit entstehen neue Unsicherheiten für jeden, der Newsletter und Mailings verschickt.

4. Mai 2018, 14:47 Uhr, von Dorothée Schmid

Datenschutz Datenschutz-Grundverordnung E-Commerce Online-Marketing

Kommentieren

Der Europäische Rat hat die DSGVO kurzfristig in einigen Punkten korrigiert – und trägt damit zu noch mehr Verunsicherung bei.

Man darf nur Daten verarbeiten, die unbedingt erforderlich sind

Konkret geht es um Artikel 25 Abs. 2 S.1. Dort hieß es bisher: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“ Das Wort „grundsätzlich“ wurde nun entfernt.

Für Juristen ist das durchaus relevant, denn wenn in einem Gesetzestext das Wort „grundsätzlich“ steht, dann heißt dies, dass es Ausnahmen geben kann, wie Swantje Wallbraun erklärt. Sie ist Rechtsanwältin in Hamburg und berät Unternehmen in Sachen Datenschutz. Wenn nun das Wort fehlt, dann heiße das, dass keine Ausnahmen möglich sind.

Allerdings gibt die Rechtsanwältin zu bedenken, dass die bisherige Formulierung nur dann Ausnahmen ermöglicht hätte, wenn man diese sehr gut hätte begründen können. Zudem stehe im englischsprachigen Originaltext der DSGVO auch kein „grundsätzlich“. Man kann also davon ausgehen, dass nur ein Übersetzungsfehler behoben wurde.

Für Newsletter-Versand ist nur die E-Mail-Adresse notwendig

Für den Versand eines Newsletters oder eines Mailings ist lediglich die E-Mail-Adresse notwendig. Der Versender braucht weder den Vornamen noch den Nachnamen zwingend. Deshalb darf er vom Kunden nur die E-Mail-Adresse als Pflichtangabe anfordern. Das war auch bisher schon so. Viele Unternehmen haben in ihren Webformularen aber auch noch nach dem Vor- und Nachnamen, manchmal sogar nach der Adresse, Telefonnummer oder dem Geburtsdatum gefragt. Diese Daten konnten die Kunden freiwillig angeben oder auch nicht. Jetzt ist die Frage, ob das auch noch möglich ist, wenn am 25. Mai die DSGVO in Kraft tritt.

„Über diese Frage kann man streiten“, sagt Rechtsanwältin Swantje Wallbraun. Sie ist aber der Meinung, dass die Abfrage unter einer Voraussetzung weiterhin möglich sei und den Anforderungen des Artikel 25 der DSGVO genüge: Es müsse auf den ersten Blick auch für den internetunerfahrenen Nutzer ersichtlich sein, dass die Angaben, die über die E-Mail-Adresse hinausgehen, freiwillig sind. Der Nutzer müsse also erkennen können, dass er den Newsletter auch dann bestellen kann, wenn er keine weiteren Daten angibt.

Namen darf man weiterhin abfragen – wenn die Angabe freiwillig ist

Dieser Meinung schließt sich auch Dirk Hensel an, Sprecher des Bundesbeauftragten für Datenschutz. Er weist außerdem darauf hin, dass man seiner Informationspflicht nachkommen müsse, wenn man solche freiwilligen Daten zusätzlich erhebe. Man muss also darüber informieren, warum man die Daten haben möchte und was man genau damit macht. Dies geschieht in der Datenschutzerklärung. „Der Nutzer muss gut informiert werden, sonst wird seine Einwilligung nicht als freiwillig angesehen“, sagt Hensel.

Fazit

Wer auf seiner Unternehmenswebsite ein Formular für den Newsletterversand oder für Mailings hat, der darf als Pflichtangabe lediglich die E-Mail-Adresse abfragen. Weitere Daten darf man dann abfragen, wenn ganz klar ersichtlich ist, dass die Angaben freiwillig sind und man die Zusendungen auch dann erhält, wenn man die Felder leer lässt. Zudem sollte man in der Datenschutzerklärung darüber informieren, warum man welche freiwilligen Angaben haben möchte und was man mit diesen Daten macht. Wer das befolgt, für den dürfte das Risiko einer Abmahnung gering sein.

In eigener Sache

Online-Workshop für Unternehmer

Heben Sie sich bereits von Ihrer Konkurrenz ab?

Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.

Jetzt buchen

Vor einigen Tagen hat der Europäische Rat ein Corrigendum zur Datenschutz-Verordnung (DSGVO) veröffentlicht. Eigentlich dient ein solches Werk dazu, falsche Seitenverweise, Rechtschreibfehler und missverständliche Formulierungen zu korrigieren. Im Fall der DSGVO-Korrektur ist allerdings eine Formulierung geändert worden, die als Verschärfung gedeutet werden kann. Sie dürfte alle, die Newsletter und Mailings versenden, noch mehr verunsichern. Man darf nur Daten verarbeiten, die unbedingt erforderlich sind Konkret geht es um Artikel 25 Abs. 2 S.1. Dort hieß es bisher: "Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“ Das Wort "grundsätzlich" wurde nun entfernt. Für Juristen ist das durchaus relevant, denn wenn in einem Gesetzestext das Wort „grundsätzlich“ steht, dann heißt dies, dass es Ausnahmen geben kann, wie Swantje Wallbraun erklärt. Sie ist Rechtsanwältin in Hamburg und berät Unternehmen in Sachen Datenschutz. Wenn nun das Wort fehlt, dann heiße das, dass keine Ausnahmen möglich sind. Allerdings gibt die Rechtsanwältin zu bedenken, dass die bisherige Formulierung nur dann Ausnahmen ermöglicht hätte, wenn man diese sehr gut hätte begründen können. Zudem stehe im englischsprachigen Originaltext der DSGVO auch kein „grundsätzlich“. Man kann also davon ausgehen, dass nur ein Übersetzungsfehler behoben wurde. Für Newsletter-Versand ist nur die E-Mail-Adresse notwendig Für den Versand eines Newsletters oder eines Mailings ist lediglich die E-Mail-Adresse notwendig. Der Versender braucht weder den Vornamen noch den Nachnamen zwingend. Deshalb darf er vom Kunden nur die E-Mail-Adresse als Pflichtangabe anfordern. Das war auch bisher schon so. Viele Unternehmen haben in ihren Webformularen aber auch noch nach dem Vor- und Nachnamen, manchmal sogar nach der Adresse, Telefonnummer oder dem Geburtsdatum gefragt. Diese Daten konnten die Kunden freiwillig angeben oder auch nicht. Jetzt ist die Frage, ob das auch noch möglich ist, wenn am 25. Mai die DSGVO in Kraft tritt. „Über diese Frage kann man streiten“, sagt Rechtsanwältin Swantje Wallbraun. Sie ist aber der Meinung, dass die Abfrage unter einer Voraussetzung weiterhin möglich sei und den Anforderungen des Artikel 25 der DSGVO genüge: Es müsse auf den ersten Blick auch für den internetunerfahrenen Nutzer ersichtlich sein, dass die Angaben, die über die E-Mail-Adresse hinausgehen, freiwillig sind. Der Nutzer müsse also erkennen können, dass er den Newsletter auch dann bestellen kann, wenn er keine weiteren Daten angibt. Namen darf man weiterhin abfragen – wenn die Angabe freiwillig ist Dieser Meinung schließt sich auch Dirk Hensel an, Sprecher des Bundesbeauftragten für Datenschutz. Er weist außerdem darauf hin, dass man seiner Informationspflicht nachkommen müsse, wenn man solche freiwilligen Daten zusätzlich erhebe. Man muss also darüber informieren, warum man die Daten haben möchte und was man genau damit macht. Dies geschieht in der Datenschutzerklärung. „Der Nutzer muss gut informiert werden, sonst wird seine Einwilligung nicht als freiwillig angesehen“, sagt Hensel. Fazit Wer auf seiner Unternehmenswebsite ein Formular für den Newsletterversand oder für Mailings hat, der darf als Pflichtangabe lediglich die E-Mail-Adresse abfragen. Weitere Daten darf man dann abfragen, wenn ganz klar ersichtlich ist, dass die Angaben freiwillig sind und man die Zusendungen auch dann erhält, wenn man die Felder leer lässt. Zudem sollte man in der Datenschutzerklärung darüber informieren, warum man welche freiwilligen Angaben haben möchte und was man mit diesen Daten macht. Wer das befolgt, für den dürfte das Risiko einer Abmahnung gering sein.