Der DSGVO Countdown läuft - viele Mode-Unternehmen sind noch nicht bereit

Am 25. Mai löst die neue EU-DSGVO das bisherige Bundesdatenschutzgesetz ab und ändert die Spielregeln für den Umgang mit Personendaten. Noch lange nicht alle Unternehmen sind darauf vorbereitet.

Die EU-Datenschutz-Grundverordnung (DSGVO) ist kein Gesetz, sie ist eine Verordnung. Deshalb muss sie auch nicht in nationale Gesetze gegossen werden, sie tritt einfach in Kraft, und zwar europaweit. Sie gilt immer dann, wenn personenbezogene Daten von EU-Bürgern verarbeitet werden, was Firmen innerhalb der EU ebenso betrifft wie Unternehmen außerhalb der EU, die hier Dienstleistungen und Waren anbieten.

Mode ist vergleichsweise aktiv in der Umsetzung

Doch jedes fünfte Mode-Unternehmen hat noch gar nicht mit den Anpassungen seiner Prozesse entsprechend der DSGVO angefangen, ergibt eine aktuelle DSGVO-Studie vom Consulting-Unternehmen Absolit in Zusammenarbeit mit dem Verband der deutschen Internetwirtschaft. 54 Prozent sind demzufolge mitten in der Anpassung, erst 19 Prozent haben diese bereits abgeschlossen. Der Modehandel ist dabei keine Ausnahme. „Die Modebranche ist vergleichsweise sogar sehr aktiv, wenn es um die Umsetzung der neuen DSGVO-Richtlinien geht“, so der Autor der Studie, Dr. Torsten Schwarz. Gemessen an allen 606 mittleren und großen deutschen Unternehmen aus zwölf verschiedenen Branchen, die zum aktuellen Stand ihrer DSGVO-Konformität in der Studie befragt wurden, steht die Mode also noch gut da. Ihr zufolge hat erst jedes zehnte Unternehmen die erforderlichen Änderungen umgesetzt.

Der DSGVO Countdown läuft - viele Mode-Unternehmen sind noch nicht bereit

Es drohen hohe Bußgelder

Nichtstun kann allerdings teuer werden: Bei mittelschweren Verstößen drohen Bußgelder von bis zu zwei Prozent des jährlichen Konzernumsatzes oder bis zu zehn Millionen Euro. Bei schweren Verstößen können diese verdoppelt werden.

Dass die Bußgelder auch zur Anwendung kommen, davon sind Insider überzeugt. Nicht nur Behörden werden das europäische Recht umsetzen, auch von Konkurrenten und Privatleuten ist mit Klagen zu rechnen, wenn ein Rechtsverstoß erkennbar wird. Relevant ist das neue Gesetz u.a. für Webportale, Online Shops und stationäre Händler, die z.B. mit Loyalty-Programmen Kundendaten sammeln: Sie alle verarbeiten personenbezogene Daten von Nutzern.

Die wichtigsten Änderungen

Um personenbezogene Daten speichern und ver­arbeiten zu dürfen, müssen künftig bestimmte Voraussetzungen vorliegen. Zu überprüfen ist z.B. der Newsletter-Verteiler. So muss der Betroffene künftig nachweislich seine Einwilligung erteilen, wenn das Unternehmen ihn weiterhin per Newsletter benachrichtigen will. Diese Einwilligung muss im sogenannten Double-Opt-in Verfahren bestätigt werden. Das heißt, der Betroffene muss bei Einwilligung (im Online-Formular) informiert werden, dass er ein Widerrufsrecht hat, zu welchem Zweck die Datenverarbeitung erfolgt und wer der Verantwortliche ist. Der Betroffene muss aktiv zustimmen, eine vorab angeklickte Checkbox reicht nicht aus. Es müssen auch Prozesse definiert werden, was mit den Adressen geschieht, für die diese Einwilligung noch nicht vorliegt. „Im Schnitt haben Modeunternehmen von 60 Prozent ihrer E-Mail-Adressen eine nachweisbare Einwilligung zum Empfang von Werbeinhalten“, so Schwarz weiter.

Auch Dienstleister wie IT-Agenturen sind künftig in die Haftung eingeschlossen. Das heißt, auch mit diesen müssen Regelungen über die Verarbeitung der Daten geschlossen werden. Es wird künftig auch ein Recht auf Vergessenwerden geben, auf Löschung und Berichtigung von Daten. Auch die Auskunftserteilung über Daten ist geregelt. Unternehmen müssen den Kunden darüber aufklären, welche personenbezogenen Daten für welche Zwecke gesammelt werden. Und zu guter Letzt muss in vielen Unternehmen ein Datenschutzbeauftragter benannt und implementiert werden.

Herausforderung: Profiling

Die wohl größte Herausforderung bleibt das DSGVO-konforme Profiling. 62 Prozent der Mode-Unternehmen haben ihr Profiling anhand der neuen DSGVO-Richtlinien angepasst. Immerhin wesentlich mehr als die Auswertung aller befragten Unternehmen ergeben hat, die nur auf 42 Prozent kommt. Selbst im Handel, wo das Erstellen von Nutzerprofilen oder Buyer-Personas gang und gäbe ist, erfüllen nur 55 Prozent die Anforderungen der DSGVO.

So darf ein vorhandenes Kundenprofil ohne Benachrichtigung des Betroffenen nur dann angereichert werden, wenn die Anreicherung statistische Zwecke verfolgt und die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde. Ausnahme: das Interesse des Betroffenen an der Benachrichtigung überwiegt die Gefährdung. Grundsätzlich werden die Regeln für die Anreicherung von Kundenprofilen ohne Benachrichtigung der Betroffenen verschärft. Im Zweifel sollten deshalb die Kunden darüber informiert werden. Auch über Verstoße. Wird ein Verstoß aufgedeckt, müssen die betroffenen Personen darüber benachrichtigt werden.

Foto: FashionUnited.com; Grafik: Absolit Consulting

 

Themenverwandte Nachrichten

WEITERE NACHRICHTEN

 

AKTUELLSTE STELLENANGEBOTE

 

MEISTGELESEN