Datenschutz – Umstellung Listenprivileg muss abgeschlossen sein

Die Datenschutznovellen 2009 zogen eine Vielzahl von Änderungen im Bereich der Verarbeitung personenbezogener Daten nach sich. Für einige Regelungen hatte der Gesetzgeber daher eine Übergangsregel geschaffen, die zum 31. August 2012 ausläuft. Bei ordnungsgemäßer datenschutzrechtlicher Organisation der Abläufe und Prozesse sollte dieses Datum keine Befürchtungen auslösen. Aber wurde tatsächlich an alles gedacht?

Datenverarbeitung 2012 ist eine Schlüsselkompetenz

Wenn man schlagwortartig davon hört, dass us-amerikanische Unternehmen ein distanziertes Verhältnis zum Datenschutz haben, so findet man sich in dieser Einschätzung bestätigt, wenn man an die aufsichtsrechtlichen Verfahren etwa gegen Google Inc. (vgl. Heise zu WLAN und Google Analytics) oder Facebook Inc. (vgl. Heiseticker) denkt.

Tatsächlich besteht aber Einigkeit darüber, dass der Datenschutz Themen umfasst, die für die Überlebensfähigkeit der Unternehmen von zentraler Bedeutung sind.

Daher sollten die Prozesse und Abläufe in Bezug auf die Erhebung, Speicherung, Nutzung, Weitergabe und sonstige Verarbeitung von Daten laufend kontrolliert und optimiert werden. D.h. all dies sollte nicht allein aus datenschutzrechtlichen oder Compliance Gründen, sondern aus strategischen Gründen und der zentralen Bedeutung, die der Datenverarbeitung zukommt, erfolgen. Der Datenschutz korrespondiert mit der Datensicherheit. Beide Themenbereiche überschneiden und bedingen sich.

Wurde dieser unternehmerische Anspruch an den Datenschutz bislang nicht konsequent umgesetzt, drohen jetzt, mit Ablauf der Übergangsfrist, weitere Gefahren aus dem Bereich der Werbung, insbesondere beim Direktmarketing.

Gerade dort wirkt sich die Übergangsregelung aus, da die alte Regelung zum Listenprivileg die Erhebung, Speicherung und vor allem Nutzung von Adressdaten deutlich einfacher gestaltete, als dies nunmehr der Fall ist.

Werden aber ab dem 1. September 2012 Werbemaßnahmen durchgeführt, die auf Adressdatenbestände zurückgreifen, die nicht den neuen Anforderungen entsprechen, liegen schon aus diesem Grund datenschutzrechtliche Verletzungen vor, die zu vielfältigen Konsequenzen führen können (vgl. hierzu unsere FAQ Datenschutz).

Ergänzend ist darauf hinzuweisen, dass es sich im Verhältnis von Unternehmen untereinander um unzulässige Werbung (§§ 4 Nr. 11, 7 UWG) handelt, die kostenpflichtig abgemahnt werden kann (vgl. FAQ Abmahnung). Diese Folge dürfte die folgenschwere sein. Darüber hinaus kann der Betroffene selbst Rechte geltend machen.

Unangenehm könnte es natürlich auch werden, wenn die Datenschutzaufsicht informiert wird und eine Untersuchung einleitet. Es könnte der Fall eintreten, dass sie von einem systematischen Verstoß ausgeht, weil der Unternehmer nicht seiner Verpflichtung nachgekommen ist, die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.

Was ist zu tun?

• Feststellung, ob aktuell Werbemaßnahmen unter Verwendung von Adressdaten starten und Kontrolle, auf welchen Adressdatenbeständen diese beruhen;
• Überprüfung der zugrundeliegenden Verträge bzw. getroffenen Absprachen im Hinblick auf Haftung und Freistellung;
• Feststellung, ob die eigenen Prozesse und Abläufe zur Datenerhebung den aktuellen Anforderungen in tatsächlicher und rechtlicher Hinsicht entsprechen.

Sollten Fragen hierzu ungeklärt bleiben, sollte ein entsprechender hausinterner Audit durchgeführt werden. Zu all dem hilft auch ein Workshop zum „rechtssicheren E-Mail-Marketing“ oder zum „Datenschutz im Unternehmen“ – sprechen Sie uns gerne darauf an und greifen Sie auf unsere diesbezüglichen langjährigen Erfahrungen aus der Praxis zurück.