Warum Touristiker auf die neue
Im Mai nächsten Jahres tritt die neue Datenschutz-Grundverordnung der EU in Kraft. Sie stärkt den Anspruch von Verbrauchern auf klare und verständliche Informationen darüber, wer ihre Daten nutzt, zu welchem Zweck das geschieht und wie es erfolgt. Touristiker müssen damit künftig detailliert darlegen, welche Daten ihrer Kunden von ihnen verarbeitet werden, wo diese liegen und wohin sie weitergegeben werden.
Keine Bedingungen für Gewinnspiele mehr. Die Datennutzung unterliegt zudem einem so genannten Kopplungsverbot, wonach "die Erbringung einer Dienstleistung nicht von der Einwilligung zur Verarbeitung von Daten abhängig gemacht" werden darf, die dafür nicht erforderlich ist. Diese Regelung betrifft etwa die bisher gängigen Kopplungen bei Gewinnspielen, bei denen man zur Teilnahme an einer Verlosung der Verwendung der persönlichen Daten zu Marketingzwecken zustimmen muss. Das ist in Zukunft verboten.
Aktive Einwilligung erforderlich. Sollen persönliche Daten verarbeitet werden, müssen sich Nutzer künftig damit aktiv einverstanden erklären. Bisher genügte es, dass sie der Nutzung nicht aktiv widersprachen. Das bedeutet unter anderem, dass ein Newsletter-Versand oder ein Kundenmailing nur noch mit ausdrücklicher Zustimmung des Empfängers möglich ist. Um eine gültige Einwilligung in die Datenverarbeitung abzugeben, müssen Jugendliche künftig 16 statt wie bislang 13 Jahre alt sein. Ohne Zustimmung der Eltern können sich Teenager dann nicht mehr bei Internetdiensten wie Facebook und Instagram anmelden. Außerdem neu: Verbraucher können die Zustimmung jederzeit widerrufen.
Die neue Richtlinie gilt auch für Unternehmen, die ihren Sitz außerhalb der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Dokumentationspflicht. Zu mehr bürokratischem Aufwand dürfte für Touristiker die Neuregelung der Nachweis- und Rechenschaftspflichten führen. So müssen Unternehmen ab 2018 schriftlich dokumentieren, dass sie alle geeigneten Maßnahmen ergreifen, um personenbezogene Daten rechtskonform zu bearbeiten. Das Unternehmen muss also beweisen, dass es alles richtig gemacht hat – und nicht mehr wie bisher der Bürger, dass etwas schief ging. Außerdem besteht die Pflicht, Datenpannen in Zukunft innerhalb von 72 Stunden zu melden. In der Vergangenheit erfolgte dies, wenn es nicht zufällig aufflog, oft erst nach Monaten oder gar Jahren.
Vorbereitungstipps. Der DRV-Datenausschuss hat das Thema auf seiner Agenda. Allerdings sind seine Erkenntnisse ausschließlich Verbandsmitgliedern zugänglich. Generell sollten sich Unternehmen gut auf den Einführungstermin der Datenschutzverordnung vorbereiten, denn bei Verstößen drohen ihnen drakonische Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Zu den wichtigsten Maßnahmen im Vorfeld zählt die Erstellung eines Verzeichnisses, in dem festgehalten wird, welche Daten das Unternehmen eigentlich verarbeitet und in welchen Bereichen dies erfolgt. Wichtig ist zudem, dass sämtliche Einwilligungen zur Datennutzung und -weitergabe vom Stichtag an dem neuen Recht entsprechen. Auch auf Datenpannen sollten Firmen besser vorbereitet sein als bisher. Die schnelle Meldepflicht bedeutet, dass im Schadensfall sofort klar sein muss, wer welche Aufgaben erledigt. Dabei sei es auch für kleinere Unternehmen ratsam, einen Datenschutzbeauftragten zu installieren, der die datenbezogenen Aktivitäten koordiniert, raten Rechtsexperten.
Christian Schmicke
Zur Originalversion der neuen Datenschutz-Grundverordnung gelangen Sie hier.