Recht auf Vergessenwerden wird zur Realität

Besonders gravierend fallen die Änderungen bei der Erfassung von personenbezogenen Daten aus. Die Grundverordnung enthält eine Reihe von Paragrafen, die das Sammeln von Daten nur auf Fälle beschränken sollen, die klar nachvollziehbar und sachgemäß sind. Die Grundsatzliste im Verordnungstext enthält Begriffe wie "Treu und Glauben" und "Rechtmäßigkeit". Geht es nach dem Willen der EU-Kommission, dann sind die Zeiten des ­Datensammelns "bis der Arzt kommt" bald Geschichte. 

Zudem erhalten Nutzer umfangreiche Informationsrechte. Sie haben ein Recht zu erfahren, welche Daten über sie gespeichert wurden und warum dies geschah. ­Außerdem können sie eine ­Löschung ihrer Daten verlangen. Das viel diskutierte "Recht auf Vergessenwerden" wurde im der DSGVO ausdrücklich implementiert.

Für Unternehmen bedeutet dies erst in zweiter Linie einen Verlust an unternehmerischen Freiheiten. Viel gravierender ist die unmittelbare Notwendigkeit, für das Sammeln von personenbezogenen Daten Dokumentationsprozesse zu etablieren, um im Zweifel den Nachweis führen zu können, dass ein Datensatz im Einklang mit den einschlägigen Gesetzen erhoben wurde. Ebenso müssen Kommunikationsroutinen im Unternehmen aufgebaut werden, um Anfragen über gespeicherte Daten abarbeiten zu können, ohne dass es die Organisation sprengt.

Auf der Kippe stehen zudem Datenbestände, die in der Vergangenheit erhoben wurden und zu denen keine saubere Dokumentation vorliegt. Vor allem kleinere Unternehmen könnten mit der Lösung dieser Aufgaben an ihre Grenzen stoßen. Die einfachste und sicherste Lösung wäre gleichzeitig auch die verheerendste: einfach alle Kundendaten löschen, zu denen man keine rechtlich einwandfreie Dokumentation vorliegen hat. Und was, wenn es sich dabei um drei Viertel der Kundendateien handelt? 

Ein Ausweg könnte sein, seine Kunden um eine erneute Zustimmung zum Kontakt zu bitten - natürlich per Double-Opt-in - und diese dann sauber zu protokollieren.

Eine besondere Fußangel hält die DSGVO im Artikel 7 Absatz 4 bereit, das sogenannte Koppelungsverbot. Demnach darf ein Website-Betreiber die Erfüllung eines Auftrags nicht davon abhängig machen, dass ihm der Kunde Daten überlässt, die zur Abwicklung des Vertrags nicht wirklich notwendig sind. Mögliches Beispiel: Ein Nutzer bestellt einen E-Mail-Newsletter und muss dabei im Anmeldeformular seine Postadresse angeben. In den Augen des Gesetzgebers dürfte künftig fraglich sein, ob diese Daten wirklich freiwillig übermittelt wurden - schließlich benötigt der Anbieter keine Postanschrift, um eine E-Mail zu verschicken. 

Die technische Lösung ist im Grunde einfach: personenbezogene Daten, die der Nutzer freiwillig geben kann, einfach mit einem entsprechenden Hinweis versehen. Doch was macht man mit Hunderttausenden mühsam angereicherten Kundenprofilen, bei denen nicht nachvollziehbar ist, wie die Daten erhoben wurden?