Am 25. Mai 2016 ist die Datenschutzgrundverordnung (2016/679/EU, "DSGVO") in Kraft getreten. Am 25. Mai 2018 wird sie wirksam. In dieser Folge sprechen Volker und ich darüber, was die DSGVO für die aktuelle Gesetzeslage bedeutet, zeigen ein paar wichtige Änderungen auf und sprechen auch darüber, welche Rolle die Einwilligungserklärung im Vergleich zur Abwägung betroffener Interessen bei Direktwerbung und Online-Marketing zukünftig spielt. Mit diesen Hinweisen sollten Marketer einen Begriff davon bekommen, was sie zukünftig anders machen müssen, welche Hinweise ab dem 25. Mai 2018 notwendig sein werden und was der deutsche Gesetzgeber nun tun muss.

Inhalte dieser Podcast-Folge:

01:43: Inhaltliche Einleitung

02:06: Hart rein ins Thema

Unterschied zwischen Inkrafttreten und Wirksamkeit, außerdem zur unmittelbaren Wirksamkeit von EU-Verordnungen im Vergleich zu EU-Richtlinien, die für ihre Wirksamkeit zunächst in nationales Recht gegossen werden müssen. Wir sprechen darüber, was mit den nationalen Gesetzen in Deutschland, vor allem dem BDSG, und der bisherigen EU-Datenschutzrichtlinie (95/46/EG), der E-Privacy-Richtlinie (2002/58/EG) und der Cookie-Richtlinie (2009/136/EG) geschieht. Außerdem sprechen wir über Geltungs- und Anwendungsvorrang und Gesetzgebungskompentenzen Deutschlands und Europas.

07:41: Zu den kollidierenden Teilen des BDSG mit der DSGVO

Wie das aktuelle BDSG nicht vollständig abgeschafft wird, sondern der deutsche Gesetzgeber Handlungsbedarf mit Blick auf die nicht mit der DSGVO deckungsgleichen Aspekte sieht. Hier zur Entstehungsgeschichte der DSGVO auf CR online.

10:20: Neuerungen der DSGVO

​10:56: Wer muss die DSGVO beachten?

Ausschlaggebend ist, ob sich die jeweils betroffene Person in der EU aufhält.

12:50: "Personenbeziehbar" wird zu "identifizierbar"

Zukünftig reicht auch die Identifizierbarkeit einer natürlich Person über eine Online-Kennung, z. B. eine Cookie-ID, um Personenbezug herzustellen.

17:04: Braucht man zukünftig für das Setzen auch pseudonymer Cookies eine Einwilligung?

Kurz gesagt: nein, nicht zwingend. Wir sprechen über die Rolle der Cookies-Hinweise und warum man hierbei keine aktive Einwilligung erklären muss.

19:50: Kernstück der neuen Interessenabwägung: Art. 6 Abs. 1 lit. f DSGVO

Abwägung der betroffenen Interessen, also z. B. Direktwerbung des die Cookies einsetzenden Unternehmens auf der einen und das Recht auf informationelle Selbstbestimmung des Betroffenen auf der anderen Seite. Achtung: Gleichgewicht reicht aus, um eine bestimmte Maßnahme durchführen zu dürfen. Die Interessen des Betroffenen dürfen nur nicht überwiegen. Bei dieser Abwägung sind auch die "vernünftigen Erwartungen" des Betroffenen einzubeziehen.
Das bedeutet in der Praxis: Je mehr Leute bestimmte Daten erheben und das kommunizieren, desto eher werden die entsprechenden Maßnahmen als "vernünftige Erwartung" gelten.

23:15: Bereiche, in denen zukünftig trotzdem auf jeden Fall eine Einwilligung erforderlich ist

Beispiele: Daten von "Kindern" (und was das bedeutet), außerdem besonders sensible Daten

26:18: Wie passen Online-Tracking by default und der Grundsatz der privacy by default zusammen?

28:34: Rechte Betroffener nach der DSGVO

Zu Auskunft, Berichtigung und Löschung und was Löschen zukünftig bedeutet.

29:56: Das Paradoxon von "Lösch alle meine Daten und track mich nicht mehr!"

34:08: Änderungen des Konstruktes der Auftrags(daten)verarbeitung

36:37: Was ist aktuell beim deutschen Gesetzgeber los?

Zum 1. Referentenentwurf des Bundesministeriums des Inneren und warum der auch und vor allem beim früheren Bundesdatenschutzbeauftragten Dr. Peter Schaar gar nicht gut ankommt.

38:38: FAZIT

Ich bete gerade meine positiven Seiten der DSGVO herunter, als uns klar wird, dass wir ein Missverständnis dazu haben, dass die DSGVO bei Weitem nicht sanktionslos ist, sondern

41:16: Bußgelder steigen, auf maximal 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes!

Auch dazu, wann Bußgelder verhängt werden und welche Faktoren für die Höhe eine Rolle spielen.
Außerdem kurze Erwähung der Meldepflicht in Art. 33 DSGVO, nach der Datenschutzverstöße innerhalb von 72 Stunden nach Kenntniserlangung an die Datenschutzaufsichtsbehörde melden (nicht beheben!) muss.

43:46: ENDRUNDE

• Ausblick auf Folge 8: WhatsApp & Co. (Instant Messenger) in der Kundenkommunikation

• Was denkt ihr? Bekommt der deutsche Gesetzgeber die nötigen Änderungen rechtzeitig hin? Vermisst ihr Aspekte, die wir auch noch besprechen sollen? Wird die DSGVO tatsächlich für mehr Verlässlichkeit im europäischen Datenschutz bringen?

Weitere Internet-Ressourcen zu dieser Folge:

• bisherige EU-Datenschutzrichtlinie (95/46/EG)
• E-Privacy-Richtlinie (2002/58/EG)
• Cookie-Richtlinie (2009/136/EG) 

 

Folge verpasst? Alle Podcast-Folgen sind hier.

Kommentar hinterlassen oder E-Mail an podcast@stiegler-legal.com schicken!

Viel Spaß beim Hören!