Es dürfte deutschlandweit nicht sehr viele Unternehmen geben, die keine Datensätze über ihre Kunden – sei es elektronisch oder noch in Papierform – führen. Was den meisten Unternehmen kaum bekannt ist: Am 31.08.2012 läuft eine dreijährige Übergangsfrist im Bundesdatenschutzgesetz (BDSG) ab, wonach Datenbanken zwecks Werbung nur noch unter strengeren Voraussetzungen als bisher verwendet werden dürfen.
Wer ist betroffen?
Das BDSG gilt für private Unternehmen, sofern diese personenbezogene Daten von Kunden erheben, verarbeiten oder nutzen. Von der Übergangsfrist betroffen sind Unternehmen, die vor dem 01.09.2009 erhobene Kundendaten zu Werbezwecken einsetzen wollen. Es sind dabei nur wenige Nutzungsvarianten denkbar, die in diesem Sinne nicht werbender Natur sind. Unter Werbung fällt nämlich ganz allgemein jede Form der Ansprache von Menschen zur Veranlassung einer Handlung. Für nach dem 01.09.2009 erhobene Kundendaten gelten die verschärften Anforderungen des BDSG bereits heute.
Grundsatz: Ohne Einwilligung geht gar nichts
Folge des vom Gesetzgeber präferierten sog. „opt-in-Verfahrens“ ist, dass die Kunden der Verarbeitung bzw. Nutzung ihrer Daten zwecks Werbung grds. ausdrücklich und zwar – von wenigen Ausnahmen abgesehen – schriftlich zustimmen müssen. Dabei ist jeder Kunde zuvor nicht nur über die Tragweite seiner Einwilligung zu informieren, sondern auch auf sein Widerspruchsrecht (sog. „opt-out-Verfahren“) hinsichtlich der Verarbeitung oder Nutzung seiner Daten hinzuweisen.
Drohende Konsequenzen
Verstößt ein Unternehmen gegen die neuen Vorschriften, kann es sehr schnell sehr heikel werden: Zum einen kann sich die Aufsichtsbehörde in Gestalt des Landesdatenschutzbeauftagten – z.B. nach Anzeige eines Kunden oder eines Konkurrenten – einschalten. Es können Betriebsprüfungen erfolgen und Maßnahmen, wie ein Verbot der Erhebung und Nutzung einzelner Daten, verhängt werden. Zum anderen können die Unternehmen mit Bußgeldern bis zu dreihunderttausend Euro belegt werden. In besonders krassen Fällen kann sogar eine Strafverfolgung durch die Staatsanwaltschaft in Betracht kommen. Es drohen Geldstrafe oder Freiheitsstrafe bis zu zwei Jahren.
Schlussendlich drohen einem Unternehmen, das Daten rechtswidrig verarbeitet oder nutzt, neben dem öffentlichen Ansehensverlust, Unterlassungs- und Schadensersatzklagen.
Weitere Aspekte
Wer bis zum 01.09.2012 seine umfangreichen Hausaufgaben erledigt und für die Zukunft vorgesorgt hat, kann die Hände aber nicht in den Schoß legen. Der Gesetzgeber hält weitere Fallstricke parat.
So dürfte es noch weitgehend unbekannt sein, dass auch kleinere Unternehmen unter Umständen einen Datenschutzbeauftragten bestellen müssen.
Daneben werden Kunden nicht selten ihre Einwilligung zur Verarbeitung und Nutzung ihrer Daten von der Beantwortung von Sicherheitsfragen abhängig machen. Das bedeutet, dass bereits im Vorfeld Fragen der Datensicherheit geklärt werden müssen. Stichworte sind in diesem Zusammenhang: Rechenzentrumssicherheit, Virenschutz, Verschlüsselung, regelmäßige Back-ups, exakt definierte Zugriffsrechte, Notfallmanagement, etc.
Empfehlung
Die Änderungen zum 01.09.2012 sollten von den Unternehmen zum Anlass genommen werden, ihren Datenschutz im Unternehmen auf den Prüfstand zu stellen und insbesondere die vorhandenen Datenbanken in blitzsauberen Zustand zu bringen. Andernfalls kann Ungemach drohen!
