BDSG-Novelle

Ab September müssen Kundendaten sauber sein

Britta Hinzpeter ist IT-Anwältin und Datenschutzexpertin bei DLA Piper in München
Gespeichert und zu Werbezwecken genutzt werden dürfen die Daten nur noch, wenn eine ausdrückliche Einwilligung des Kunden nachweisbar vorhanden ist. Wer sich noch nicht darauf vorbereitet hat, muss sich sputen.
Foto: Fotolia/designz

Am 31. August endet die Übergangsfrist in Bezug auf die Datenverwendung zu Werbezwecken. Wirksam wird damit die 2009 in Kraft getretene Bundesdatenschutz-Novelle. Bis zu diesem Zeitpunkt müssen also die Kundendatenbanken deutscher Unternehmen nachweislich blitzsauber sein. Das heißt: Die Unternehmen benötigen für jeden Eintrag eine Einwilligung des betreffenden Kunden, dass dieser mit der werblichen Verwendung und Speicherung seiner Daten einverstanden ist. Jeder einzelne Kundendatensatz muss so protokolliert sein, dass die schriftliche Zustimmung des Dateninhabers klar ersichtlich ist.

Der damit verbundene Verwaltungsaufwand ist enorm. Es sei denn, das Unternehmen hätte die Übergangsfrist der letzten drei Jahre bereits genutzt, um die entsprechenden rechtlichen Vorkehrungen zu treffen. Doch in der Praxis sieht es wohl so aus, dass der Ablauf der Frist viele Unternehmen völlig unvorbereitet trifft. Selten gibt es schon ein Bewusstsein für ein derartiges "Großreinemachen".

Welche Einwilligungen sind nötig?

Genau gesagt, müssen die Unternehmen sogar drei Einwilligungen von einem einzigen Empfänger einholen und vorweisen können: eine für die Datenspeicherung, eine für die Nutzung der Daten zu Werbezwecken, sowie eine für die konkrete Ansprache per E-Mail- und Telefonwerbung. Dabei sind hohe Anforderungen zu beachten.

Nach dem Bundesdatenschutzgesetz (BDSG) muss der Kunde sowohl in das Speichern als auch in die Nutzung seiner personenbezogenen Daten konkret und schriftlich einwilligen, falls er die werbliche Verwendung zulassen möchte. Tut er das nicht, hat das Unternehmen ihm den Inhalt der Einwilligung schriftlich zu bestätigen.

Die Erlaubnis kann der Kunde selbstverständlich auch komplett elektronisch erteilen. Das bedeutet für das Werbung treibende Unternehmen allerdings, dass es den Vorgang genau protokollieren muss. Auf der Basis dieses Protokolls sollte der Kunde seine Einwilligung jederzeit abrufen und widerrufen können, so will es das Gesetz. Um die Anforderungen nach dem BDSG zu erfüllen, müssen die Kundendatenbanken jetzt speziell gepflegt und aktualisiert werden. Zudem muss die Datenbank auch abbilden, dass der Kunde grundsätzlich jederzeit seine diversen Opt-ins widerrufen kann.