Datenschutz: Jetzt ist es passiert
von Alexander Koukal
Mit Mai 2018 gibt es neue Regeln für den Datenschutz. Auch die Buchbranche hat etwas damit zu tun.
Der Countdown läuft schon lange, die Deadline ist bekannt – und dennoch gibt es für viele Unternehmen noch Aufholbedarf. Ab 25. 5. 2018 muss jede Verarbeitung von personenbezogenen Daten den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen. Diese Verordnung ist EU-weit und unmittelbar anwendbar. Die einzelnen Mitgliedstaaten dürfen lediglich ergänzende nationale Datenschutzgesetze erlassen.
Die EU will mit der DSGVO die Rechtslage vereinheitlichen, bei den Pflichten für datenverarbeitende Unternehmen nachjustieren und die Rechtsdurchsetzung erleichtern. Erreicht werden sollen diese Ziele unter anderem durch die Androhung drakonischer Strafen: Strafobergrenzen von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes sollen UnternehmerInnen zur Achtsamkeit mahnen und abschrecken.
Für alle ist jetzt Zeit zu handeln. Denn die DSGVO verschärft nicht nur die derzeit bestehenden Regeln. Sie begründet auch gänzlich neue Pflichten. So muss praktisch jedes Unternehmen seine Datenverarbeitungstätigkeiten selbst in Verzeichnissen erfassen. Die Datenschutzbehörde kann jederzeit prüfen, ob diese Verzeichnisse aktuell und vollständig sind. Die Informationspflichten gegenüber Betroffenen werden umfangreicher, die Wirksamkeit einer Zustimmungserklärung wird strenger beurteilt. Und das ist noch lange nicht alles.
Dass Buchhändler und Verleger bei vielen Gelegenheiten personenbezogene Daten verarbeiten, ist nichts Neues: Etwa bei der Bestellabwicklung, der Lagerverwaltung, im Verkehr mit Lieferanten und Kunden, bei Werbung und Marketing, in der Buchhaltung und auch bei der Personalverwaltung und -verrechnung. Nicht immer dürften die eingespielten Abläufe und bewährten Vertragstexte den ab Mai 2018 geltenden Anforderungen genügen.
Kein Unternehmen sollte den Aufwand für die Prüfung der aktuellen Datenverarbeitung und die nötigen Anpassungen auf die leichte Schulter nehmen. Die Erfüllung der neuen Vorgaben ist jedoch nichts Unmögliches; sie geht sich auch bis Ende Mai aus, wenn man zeitnah damit startet.
Die To-do-Liste ist umfangreich: Unter anderem sollten Unternehmen
– die oben erwähnten Verarbeitungsverzeichnisse erstellen;
– alle verwendeten Vertragsklauseln zum Thema Datennutzung in ihren Verträgen mit Lieferanten, Kunden, Werbeagenturen, etc. auf Änderungsbedarf prüfen;
– Einwilligungserklärungen in die Nutzung von Daten durchsehen und überarbeiten;
– organisatorisch sicherstellen, dass auf Anfragen der Betroffenen (Achtung: kürzere Frist als bisher!) reagiert, eine Datenschutzverletzung (z. B. ein Hackerangriff) gemeldet und allen Dokumentationspflichten nachgekommen werden kann;
– prüfen, ob sie dem Prinzip „privacy by default“ folgen, dass also „Voreinstellungen“ größtmöglichen Datenschutz gewähren;
– erheben, ob sie Daten nur im jeweils notwendigen Ausmaß verarbeiten und darüber hinaus gar nicht erst sammeln; es besteht eine Pflicht zur Datenminimierung.
Vor der Tür steht auch die ePrivacy-Verordnung der EU über Datenschutz bei der elektronischen Kommunikation. Ob sie ebenfalls seit 25. 5. 2018 wirksam sind, steht noch nicht fest. Sie könnte unter anderem die Nutzung von Cookies und Trackingmaßnahmen im Internet generell an eine Zustimmung der Nutzer binden und damit Onlinemarketing, wie wir es kennen, einschränken.
Alexander Koukal ist Rechtsanwalt in Wien. Seine Schwerpunkte umfassen Medien-, Urheber-, IT- und Datenschutzrecht. 2018 wird er die mediakolleg-Seminare „Die neue Datenschutzgrundverordnung für die Buchbranche“, „Verlagsverträge“ und „Medienrecht für NichtjuristInnen“ abhalten.
