DSGVO: Alles, was Sie wissen müssen

DSGVO: Das Wichtigste auf einem Blick

Alle Antworten auf die grundlegenden Fragen

 

 

Was bleibt und was sich ändert

 

So bereiten Sie sich auf die DSGVO vor

 

DSGVO und Datenanalyse

 

Zusammenarbeit mit Drittanbietern, Nutzung von Tools

 

DSGVO und Marketing

 

Allgemeine Informationen zur DSGVO

Was ist DSGVO?

Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation
(GDPR), ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und die Europäische Kommission beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen. Konkrete Ziele sind:

  1. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Sicherstellung, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.

Dieser Rechtsrahmen ersetzt die derzeitige EU-Datenschutzrichtlinie (95/46/EG) mit zusätzlichen bislang geltenden Anforderungen. Die neue EU-Datenschutzregelung erweitert den Geltungsbereich des EU-Datenschutzrechts auf alle Unternehmen auch außerhalb der EU, sobald diese Daten von EU-Bürgern verarbeiten.

DSGVO auf einem Blick
 

Macht die EU-Datenschutz-Grundverordnung einen Unterschied bei B2B und B2C?

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sondern gilt nach Art. 2 Abs. 1 für beide gleichermaßen. Hintergrund dafür ist, dass die Datenschutz-Grundverordnung dem Schutz natürlicher Personen statt juristischer Personen gilt. Da jedoch die Versendung von Werbemitteln an B2B-Adressen in den meisten Fällen direkt an Funktionsträger der juristischen Personen, sprich personenbezogen erfolgt, finder die neue EU-Datenschutz-Grundverordnung auch hier Anwendung, sofern konkrete Personen wie Mitarbeiter angesprochen werden.

 

Wann tritt die DSGVO in Kraft?

Der Text der DSGVO wurden im Mai 2016 im Amtsblatt der Europäischen Unionveröffentlicht. Die Verordnung tritt am 20.Tag nach ihrer Veröffentlichung in Kraft, gilt jedoch verbindlich und unmittelbar erst ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Einer Verlängerung der Übergangsfrist ist nicht geplant.

 

Für wen gilt die EU-DSGVO?

Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.

 

Wo gilt die Datenschutz-Grundverordnung (DSGVO)?

Der Räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt. Darin heißt es, dass die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedsstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, sofern die Datenverarbeitung EU-Bürgerinnen und Bürger betrifft. Es ist unerheblich, ob die betreffende Person sich kurz- oder längerfristig in der EU aufhält. Die Staatsangehörigkeit oder der Status als Unionsbürger spielt hier keine Rolle. Dieser räumliche Anwendungsbereich ist nachträglich vertraglich nicht änderbar.

Auch ist es unerheblich, welche Art Dienstleistung oder Produkte Unternehmen oder Organisationen anbieten. Entscheidend ist allein, ob hier personenbezogene Daten von EU-Bürgerinnen und Bürgern erhoben und verarbeitet werden.

Anwendung DSGVO
 

Welche Strafen drohen bei Datenschutzverstöße?

Datenschutzverstöße werden ab dem 25. Mai 2018 stärker bestraft. Die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung kann nach Art. 83 (5) DSGVO bis zu 20 Mio. € oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem welcher Wert größer ist.

Es gibt nach Art. 83 (4) DSGVO einen abgestuften Ansatz zu Geldstrafen, z.B. Ein Unternehmen kann mit 2% verurteilt werden, weil er seine Aufzeichnungen nicht in der richtigen Reihenfolge hat (Artikel 28), ohne die Überwachungsbehörde darüber zu benachrichtigen und die Betroffenen über einen Verstoß ausreichend zu informieren oder keine Folgenabschätzung durchzuführen.

 

Gibt es ein Zertifikat, das bescheinigt, dass man DSGVO-konform ist?

Es wird einen Zertifizierungsprozess geben und Unternehmen, die diese Zertifizierung anbieten. Ein solches Zertifikat ist in der neuen Verordnung vorgesehen. Doch zum jetzigen Zeitpunkt warten wir noch auf eine solche spezifische Genehmigung, die die Datenüberwachungsbehörden an Drittfirmen erteilen.

 

Was bleibt und was sich ändert

Was ist geblieben? Welche Regeln gelten unter der Datenschutz-Grundverordnung weiterhin?

Nicht alles wird sich unter der neuen EU-DSGVO ändern. Folgende Bestimmungen gelten auch weiterhin:

  1. Das primäre Ziel, die Grundrechte und Grundfreiheiten von natürlichen Person zu schützen, bleibt bestehen. Insbesondere das Recht auf informationelle Selbstbestimmung bleibt unberührt.
  2. Das zweite Grundsatz, dass keine personenbezogenen Daten erhoben oder verarbeitet werden dürfen, solange eine Rechtsvorschrift etwas Anderes bestimmt, bleibt in Kraft. Ausnahmen werden weiterhin streng reguliert.
  3. Die Verarbeitung von sensiblen personenbezogenen Daten unterliegen weiterhin strengen Voraussetzungen. Eine vorherige Einwilligung des Betroffenen bleibt ebenfalls Pflicht.
  4. Unternehmen, deren Hauptaktivität die Datenerhebung und Datenverarbeitung von natürlichen Personen ist, benötigen einen betrieblichen Datenschutzbeauftragten.
  5. Die jeweilige Zweckbestimmung ist für eine Weiterverarbeitung entscheidend und bedürfen einer entsprechenden Transparenz. Eine Zweckentfremdung von personenbezogene Daten bleibt verboten.

 

Was wird sich mit der neuen DSGVO konkret ändern?

Das sind die 8 Schlüsseländerungen:

  1. Eindeutige Definition von personenbezogenen Daten: Sämtliche Daten, die der Identifizierung einer Person dient
  2. Mehr Rechte für natürliche Personen
    • Ausdrückliche Zustimmung erforderlich
    • Recht auf Vergessen
    • Information, welche Daten wo und seit wann gespeichert werden
  3. Höhere Bußgelder bei Verstößen
  4. Extraterritoriale Anwendung: Es zählt alleinig, wohin die Daten fließen und nicht von wo man operiert.
  5. Risikobasierte Rechenschaftspflicht: Der Verantwortliche hat dafür Sorge zu tragen, dass alle wirksamen Maßnahmen ergriffen werden.
  6. Mitteilungspflicht bei Verletzungen: Bei einer Datenverletzung muss der Verantwortlich innerhalb von 72 Stunden die Betroffenen darüber informieren.
  7. Konkretere Bestimmung wann ein Datenschutzbeauftragter zu ernennen ist.

Datenschutz nach Entwurf.

  • Übermittlung der Daten an betroffene Personen, Kontrolle ihrer Daten
  • Strengere technische und organisatorische Maßnahme

 

Brauche ich einen Datenschutzbeauftragten?

Nach Artikel 37 DSGVO ist ein Datenschutzbeauftragten zu ernennen, sofern
1) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Gerichte ausgenommen),
2) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, bei dem eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich ist oder
3) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Diese Bestimmung einen Datenschutzbeauftragten zu ernennen gilt für Datenverantwortliche als auch für Datenverarbeiter, unabhängig von ihrer Größe. Die Verordnung erfordert die Ernennung eines Datenschutzbeauftragten in drei Einzelfällen (mehr Informationen über Wie bereite ich mich auf GDPR vor?).

Die Nichteinhaltung der DPO-Verpflichtung kann bis zu 2% des weltweiten Umsatzes oder 10 Mio. € / 8 Mio. € erhoben werden, je nachdem, welcher Wert höher ist. Wenn ein Unternehmen beschließt, keinen DPO zu ernennen, müssen die Gründe für diese Entscheidung aufgezeichnet werden, die zeigen, dass alle relevanten Faktoren berücksichtigt wurden.

 

Was ist unter risikobasierte Rechenschaftspflicht zu verstehen?

Die Datenschutz-Grundverordnung stellt Unternehmen vor neue Herausforderungen. Neben Verschärfungen einzelner Vorschriften nimmt die risikobasierte Rechenschaftspflicht („Accountability“) gemäß Art.5 (2) DSGVO von nun an eine wichtige Rolle ein. Hiermit ist gemeint, dass der Verantwortliche dafür Sorge zu tragen hat, dass alle wirksamen Maßnahmen ergriffen werden, inkl. die unter Art. 5 (1) DSGVO definierten Bestimmungen, um die DSGVO Grundsätze und Verpflichtung ordnungsgemäß umzusetzen. All das hat er nachzuweisen („Rechenschaftspflicht“).

Diese Rechenschaftspflicht wirkt sich unter anderem auf Verträge, Datenschutzerklärungen, Risikobewertung und Aufbewahrungsveranstaltungen aus.

 

So bereiten Sie sich auf die DSGVO vor

Welche konkreten Maßnahmen muss ich treffen?

Schritt 1: Alle Mitarbeiter für das Thema DSGVO sensibilisieren

Damit die neue EU Datenschutz-Grundverordnung im Unternehmen problemlos umgesetzt werden kann, müssen alle Parteien ausreichend involviert werden. Stellen Sie sicher, dass das gesamte Team inklusive die Geschäftsführung ausreichend Kenntnis über die DSGVO und dessen Auswirkung auf Ihr Unternehmen erhält.

Die Entscheider benötigen ausreichend Kenntnisse, um eine interne Absegnung zu garantieren. Mitarbeiter, die operative Tätigkeiten ausüben, wie E-Mail Kampagnen erstellen und versenden oder Opt-in Formulare einrichten, müssen über die rechtlichen Gegebenheiten ebenso Bescheid wissen, um ordnungsgemäß zu agieren.

 

Schritt 2: Datenstatus und Dokumentationen hinsichtlich Vereinbarkeit mit DSGVO prüfen

Überprüfen Sie Ihren aktuellen Datenstatus und Ihre Dokumente hinsichtlich folgender Fragestellungen:

1) Welche persönlichen Daten besitzen Sie bereits?
2) Woher haben Sie diese Daten und an wen haben Sie diese weitergegeben?
3) Wo sind Ihre Schwachstellen und wo können Sie haftbar gemacht werden?
4) Wo befinden sich Ihre Daten derzeit? Klassifizieren diese Informationen!
5) Wie lange sind diese Daten in Ihrem Systemen gespeichert und wann werden diese gelöscht?

 

Schritt 3: Eigene Datenschutzerklärung and EU Datenschutz-Grundverordnung anpassen

Überprüfen Sie Ihre derzeitige Datenschutzerklärung:

1) Inwiefern die eigene Datenschutzerklärung mit den DSGVO Regularien übereinstimmen und ob Aktualisierungen vorgenommen werden müssen,

2) Privatsphäre durch Design und Standards in alle Projekte einbetten (Sammeln Sie nicht mehr persönliche Daten als Sie benötigen, verwenden Sie Anonymisierung, Pseudonymisierung und Verschlüsselung).

 

Schritt 4: Rechte der betroffenen Personen

Die Datenschutz-Grundverordnung stärkt die Rechte für EU-Bürger hinsichtlich des Datenschutzes und vereinheitlicht dies in erheblichen Maße.

Überprüfen Sie Ihre aktuellen Verfahren, um sicherzustellen, dass Sie in der Lage sind, alle Rechte der betroffenen Personen gemäß Art. 12-23 DSGVO zu erfüllen. Hierzu gehen das Recht:

1) die betreffende Person über Änderungen hinsichtlich der eigenen personenbezogenen Daten in transparenter, verständlicher, präziser Weise ausreichend in einer klaren und einfachen Sprache zu informieren (Art. 12 DSGVO).

2) die betreffende Person bei der Erhebung von personenbezogene Daten zum Zeitpunkt der Erhebung dieser Daten, u.a folgende Informationen mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters, b) ggf. die Kontaktdaten des Datenschutzbeauftragten, c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie d) die Rechtsgrundlage für die Verarbeitung (Art 13 DSGVO).

3) Recht vergessen zu werden sowie Daten gelöscht zu bekommen sowie bei Bedarf eine Kopie der personenbezogenen Daten zu erhalten (innerhalb eines Monats kostenlos). Damit ist gemeint, dass der Verantwortlichen die personenbezogenen Daten unverzüglich zu löschen hat, sofern u.a. die erhobenen Daten nicht mehr notwendig sind (Art. 17 Abs. 1a DSGVO), die Personen die Einwilligung widerruft (Art. 17. Abs. 1b+c DSGVO), die Daten unrechtmäßig erhoben wurden (Art. 17 Abs. 1d DSGVO). Ausnahmen hiervon regelt Art. 17 Abs. 3 DSGVO.

4) auf Datenportabilität und damit die erhobenen personenbezogenen Daten elektronisch in einem strukturierten, gängigen und maschinenlesbaren Format ohne Behinderung durch den Verantwortlichen zu erhalten (Art. 20 DSGVO).

5) auf automatisierte Entscheidungen und der Verhinderung von Profiling (Art. 22 DSGVO).

 

Schritt 5: Zustimmung der Betroffenen einholen

Werten Sie aus wie, Sie nach Zustimmung suchen, diese erreichen und aufzeichnen:

1) Sind Ihre Aufzeichnungen vollständig, aktuell und sicher?
2) Haben Sie eine eindeutige, ausdrückliche Zustimmung zur Verarbeitung aller personenbezogenen Daten?
3) Brauchen Sie die Zustimmung von einer Person, die elterliche Verantwortung hat? (Kinder können ihre eigene Zustimmung ab 16 Jahren geben, dieses Mindestalter kann in Großbritannien auf 13 Jahre gesenkt werden)

 

Schritt 6: Sicherstellen, dass Datenverletzungen erkannt werden

Stellen Sie sicher, dass Sie über geeignete Verfahren verfügen, um Datenverletzungen zu erkennen, darüber zu berichten und zu untersuchen.

 

Schritt 7: Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen und Datenschutzerklärung

Machen Sie sich mit der Datenschutzerklärung und den datenschutzfreundlichen Voreinstellungen vertraut und erarbeiten Sie, wann und wie Sie diese in Ihrer Organisation implementieren (Hinweis: Freistellungen für kleine Unternehmen und geringe Datennutzung).

1) Bestimmen Sie, ob Sie einen Datenschutzbeauftragten ernennen / vergeben müssen, der für die Einhaltung der Daten verantwortlich ist, unabhängig handelt und der Führungsetage berichtet.

2) Vergewissern Sie sich, dass Ihre Verträge mit Dritten die neuen Bestimmungen enthalten.

 

Schritt 8: Datenschutzbeauftragten festlegen

Der Datenschutzbeauftragte ist eine Person, entweder ein Angestellter oder ein externer Berater – er hat die formale Verantwortung für die Einhaltung der Datenschutzerklärung innerhalb eines Unternehmens. Ein Datenschutzbeauftragter muss gemäß Art. 37 DSGVO benannt werden, wenn eine dieser Bedingungen zutrifft:

1) Die relevanten Datenverarbeitungsaktivitäten werden von einer Behörde oder Stelle durchgeführt (sofern die Definition von „Behörde oder Körperschaft“ von jedem EU-Mitgliedstaat bestimmt wird);

2) Die Kernaktivitäten des jeweiligen Geschäftsbereichs beinhalten eine regelmäßige und systematische Überwachung des Einzelnen, in großem Maßstab; oder

3) Die Kernaktivitäten des jeweiligen Geschäfts sind die Verarbeitung sensibler personenbezogener Daten oder Daten über strafrechtliche Verurteilungen und Straftaten in großem Maßstab.
Sofern der Datenschutzbeauftragte in Ihrem Unternehmen arbeitet, müssen Sie als Arbeitgeber:

1) Bereitstellung von notwendigen Ressourcen, um seine Aufgaben zu erfüllen und sein Fachwissen zu pflegen;
2) Zugang zu persönlichen Daten und Verarbeitungsvorgängen ermöglichen;
3) Dafür sorgen, dass er / sie in allen Fragen des Schutzes personenbezogener Daten involviert ist;
4) Ihre Kontaktdaten der Öffentlichkeit und der Aufsichtsbehörde zur Verfügung stellen.

 

Schritt 9: Services von Drittanbieter überprüfen

 

DSGVO und Datenanalyse

So definiert die DSGVO den Begriff “personenbezogene Daten”

Der Begriff “personenbezogen Daten” ist im Rechtsbereich ein wichtiger Begriff. Dieser rückt mit der neuen Datenschutz-Grundverordnung noch mehr in den Mittelpunkt. Ab 25. Mai 2018, versteht der Gesetzgeber unter dem Begriff “personenbezogene Daten”: Alles, was dazu beiträgt, eine Person eindeutig zu identifizieren, unabhängig davon ob es sich darum um sein privates, berufliches oder öffentliches Leben handelt. Identifizierbare Parameter können alles mögliche sein: Namen, Heimatadresse, Foto, E-Mail Adresse, Bankverbindung, Beiträgen zu Sozialen Netzwerken Webseiten, medizinischen Informationen, einer IP-Adresse eines Computers sowohl biometrische als auch genetische Daten etc.

 

Wie sind bei der DSGVO individuelle Rechte und Bedingungen geregelt?

Mit der neuen Datenschutz-Grundverordnung werden die Rechte der EU-Bürgerinnen und Bürger massiv gestärkt. Dazu gehören beispielsweise die Zugangsrechte, die Vergessenheit und die Datenportabilität. Datenrechner und Datenverarbeiter sind zukünftig verpflichtet, jederzeit ausreichend Informationen über folgende Sachverhalte zu geben:

  • Welche Daten gespeichert werden,
  • Wie lange die betreffenden Daten gespeichert werden,
  • Ob und wann welche Daten in welche Länder übertragen wurden,
  • Ob und wann personenbezogene Daten bei Antrag gelöscht oder an Dritte (neuer Dienstleister etc.) übertragen zu wurden.

Sämtliche Auskünfte an den Anfragenden haben in verständlicher und leicht zugänglicher Form zu erfolgen. Kompliziert verfasste Bedingungen, die mehr verwirren als aufklären sind nicht gestattet. Es muss für den Nutzer ebenfalls einfach sein, die zuvor von Ihnen erteilte Zustimmung zur Ergebung. Speicherung und Verarbeitung von (personenbezogen) Daten nachträglich zurückzuziehen. Weitere Informationen lesen Sie hier.

 

Wie schütze ich meine Kundendaten am besten?

Im Allgemeinen reicht eine starke Firewall nicht aus. Um die Sicherheit aufrechtzuerhalten und eine Verarbeitung zu verhindern, die einen Verstoß gegen die Datenschutz-Grundverordnung darstellt, sollten Sie Maßnahmen zur Minderung dieser Risiken, wie z. B. Verschlüsselung, ergreifen. Diese Maßnahmen sollten ein angemessenes Sicherheitsniveau, einschließlich der Vertraulichkeit, gewährleisten, wobei die Risiken und die Art der zu schützenden personenbezogenen Daten zu berücksichtigen sind.

 

Ist das Profiling unter der DSGVO erlaubt?

Das Profiling beschreibt eine automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen. Beispiele sind: Automatische Ablehnung eines Online-Kreditantrags, Online-Einstellungsverfahren.

Das Profiling wird in Art. 22 DSGVO erfasst:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Art 22 Abs. 1, DSGVO)

DON’T: Profiling bei unter 16-Jährige: Kinder verdienen einen besonderen Schutz in Bezug auf ihre persönlichen Daten (da sie eine verletzlichere Gruppe darstellen).

 

Zusammenarbeit mit Drittanbietern, Nutzung von Tools

Was passiert, wenn ich mit Drittanbietern zusammenarbeite? Kann ich diese weiterhin nutzen?

Die DSGVO gilt nicht nur für Unternehmen, die die Daten speichern sondern auch für diejenigen die diese Daten verarbeiten. Ihr Unternehmen wird laut Datenschutzgrundverordnung als Datenverarbeiter angesehen und trägt somit die gleiche Verantwortung wie ein Lösungsanbieter, der die Daten speichert.

Wichtig: Sofern der von Ihnen genutzte Drittanbieter nicht DSGVO konform ist, so gelten Sie automatisch auch nicht als konform. In diesem Fall drohen Ihnen die gleichen Strafen.

Des Weiteren gilt: Wenn Sie Daten an Dritte weitergeben, müssen die Einwilligung der betroffenen Personen erlangen, die es Ihnen erlaubt, Daten an diese Drittanbieter zu übermitteln. Eine einfache Zustimmung einer Weitergabe der Daten an die “ Kategorie: Dritte” reicht für die neue DSGVO nicht aus.

 

Wie verhält es sich mit US-Unternehmen, die ihre Daten in den USA speichern und unter Privacy Shield operieren Sind diese DSGVO konform?

Wenn Sie mit einem Lösungsanbieter außerhalb Europas arbeiten wird es gemäß der Datenschutz-Grundverordnung zu einer Prüfung der Angemessenheitsanforderungen kommen. Um den Anforderungen gerecht zu werden, müssen sie in ihrer Organisation alle DSGVO Verpflichtungen erfüllen – einschließlich aller technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes. Sie können sich nicht einfach auf ihre bisherige Zertifizierung verlassen, sondern müssen diese Maßnahmen proaktiv umsetzen (und ihre Prozesse weiter aktualisieren).

Eine Übermittlung personenbezogener Daten an ein Drittland wie etwa die USA oder eine internationale Organisation darf vorgenommen werden, wenn die Europäische Kommission der Meinung ist, das Folgendes erfüllt ist:

  • Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten
  • öffentliche und nationale Sicherheit, angewandtes Strafrecht und der Zugang der Behörden zu personenbezogenen Daten
  • Aufsichtsbehörden, die die Einhaltung aller Rechtsvorschriften und Datenschutzrichtlinien überwacht
  • Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften auch hinsichtlich der Übermittlung personenbezogner Daten an Dritte

 

Brauche ich eine Einwilligung der betroffenen Personen, wenn ich mit Drittanbietern arbeite?

Wenn Sie Daten an Dritte weitergeben, müssen die Einwilligung der betroffenen Personen erlangen, die es Ihnen erlaubt, Daten an diese Drittanbieter zu übermitteln. Eine einfache Zustimmung einer Weitergabe der Daten an die “ Kategorie: Dritte” reicht für die neue DSGVO nicht aus.

Unter der EU Datenschutz-Grundverordnung muss eine Auflistung der Namen der beteiligten Drittanbieter erarbeitet und für Einzelpersonen bei der Zustimmung der Datennutzung sichtbar sein.

Sofern Sie Daten von Dritten verwenden, müssen Sie bestätigen und im Streitfall beweisen, dass die Einwilligung der einzelnen Personen ordnungsgemäß erhoben wurde.

 

Was passiert, wenn meine Daten bei Drittanbieter-Cloud-Lösungen gespeichert sind?

Ja, die DSGVO gilt nicht nur für Unternehmen, die die Daten speichern sondern auch für diejenigen die diese Daten verarbeiten. Ihr Unternehmen wird laut Datenschutzgrundverordnung als Datenverarbeiter angesehen und trägt somit die gleiche Verantwortung wie ein Lösungsanbieter, der die Daten speichert.

 

Wie kann ich sichergehen, dass die Drittanbieter, mit denen ich zusammenarbeite DSGVO-konform sind?

Um sicherzustellen, dass Sie unter der DSGVO ordnungsgemäß mit Drittanbietern (CRM, E-Mail Service Provider, Cloudspeicher, Team Messenger etc.) zusammenarbeiten, gehen Sie folgende 8 Schritte:

1. Lieferantenliste erstellen. Um einen Überblick zu erhalten, welche Services Sie bereits nutzen oder zukünftig nutzen möchten.

2. Weg der Daten während des gesamten Kundenlebenszyklus abbilden. Klären Sie, welche Daten wann zu welchem Drittanbieter gehen.

Kundendaten einordnen DSGVO
3. Risikobewertung vornehmen. Wie wichtig ist Dienstleister x? Wie hoch ist die Gefahr, dass es zu einer Datenpanne kommt? Erstellen Sie eine Wichtigkeitsliste (Bsp): 1. CRM, 2. E-Mail Service Provider …. 5. Landing Page Builder etc.

4. Klärung, ob Datenschutzbeauftragter benötigt wird. Um sich weitere Hilfe mit ins Boot zu holen.

Schritt 5: Prüfung aller Verträge und Einführung neuer Klauseln. Verpflichten Sie Drittanbieter Ihnen sämtliche Unteranbieter sowie jegliche Standorte von Datenzentren aufzulisten, wo die Daten gespeichert und verarbeitet werden.

Schritt 6: Prüfung, ob alle Drittanbieter DSGVO konform sind. Prüfung sowohl von EU- als auch von Nicht-EU Lösungsanbietern.

Schritt 7: Ggf. Wechsel zu DSGVO konformen Drittanbietern Bis 25. Mai 2018. Idealerweise bis Anfang Mai 2018, um ausreichend Zeit zu haben für Schritt 8.

Schritt 8: AV-Vertrag (Auftragsverarbeitungs-Vertrag) abschließen. Schließen Sie strenge Vertraulichkeits-, Datenschutz- und Datenresidenzklauseln mit den Drittanbietern ab. Im AV-Vertrag sollten folgende Fragen beantwortet sein:

  1. Wo sind die Daten und Anwendungen gespeichert?
  2. Sind diese Daten jemals aus der EEA gezogen worden?
  3. Werden jemals Daten zwischen Rechenzentren außerhalb der EU übertragen?
  4. Informieren Sie mich immer, wenn meine Daten übertragen werden?
  5. Haben Sie einen Datenschutzbeauftragten?
  6. Welche Datenkontrollen und Risikomanagementprozesse haben Sie?
  7. Wie verwalten Sie den Freigabeprozess auf Ihrer Plattform, um ein angemessenes Datenschutzniveau zu gewährleisten?
  8. Wer kann auf meine Daten zugreifen, unter welchen Umständen und was können sie sehen? Wird dieser Zugriff verfolgt?
  9. Kann ich Ihre Sicherheit und technische Maßnahmen zum Schutz der Daten prüfen?
  10. Verfügen Sie über einen Prozess, der Sie über Sicherheitsverstöße informiert?
  11. Welche Maßnahmen ergreifen Sie, um ab Mai 2018 DSGVO-konform handeln zu können?

 

DSGVO und Marketing

Wie wirkt sich die DSGVO auf normale Kontaktformulare aus?

Das Ausfüllen von Kontaktformularen (Contact us forms) ist ein klassisches Anwendungsfall bei der Sammlung von personenbezogenen Daten. Streng genommen sollte das Formular selbst nur die erforderlichen Informationen anfragen, die für eine ordnungsgemäße Bearbeitung erforderlich sind. Sie sollten klar und transparent formulieren, dass das Formular nur für den Kontakt selbst und nicht für andere Zwecke verwendet wird. Sprich, ein Extrahieren der Daten zu anderen Zwecken, wie etwa Zusenden von Info-Post und Marketing E-Mails ist nicht zulässig.

 

Datenverarbeitung unter DSGVO: Wann unbedenklich
 

Wie genau wirkt sich die DSGVO auf das E-Mail Marketing aus?

Für das E-Mail Marketing greifen DSGVO und zukünftig ePrivacy Richtlinie. Die EU Richtlinie wird dabei in nationales Recht umgesetzt bzw. bestätigt: §7 UGW Unzumutbare Belästigungen:

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.

Es macht datenschutzrechtlich keinen Unterschied, ob Sie E-Mail Kontaktlisten bei einem Drittanbieter speichern oder ob Sie diese auf Ihren eigenen Server speichern, zum Versand aber einen Drittanbeter nutzen.

Folgendes sollten Sie unter DSGVO vermeiden:

  1. DON’T: Keine Versand von systematischen werblichen E-Mails jeglicher Art ohne Einwilligung. Gilt auch bei Kaltakquise.
  2. DON’T: Soft Opt-in: Vorausgefüllte Ankreuzkästchen, bei dem der Nutzer den gesetzten Haken bei Desinteresse entfernen muss.
  3. DON’T: Keine Verwendung von gekauften oder getauschten E-Mail Listen

 

Praktizieren Sie stattdessen Folgendes:

  1. DO: Die Zustimmungserklärung ist prominent und von den Allgemeinen Geschäftsbedingungen getrennt
  2. DO: Aktive Bitte sich in den Newsletter anzumelden
  3. DO: Keine Verwendung von voreingestellten Kästchen oder andere Arten von Einverständniserklärungen
  4. DO: Eindeutige und leicht verständliche Formulierungen 
  5. DO: Angabe über den Grund der Datensammlung sowie dessen geplante Nutzung 
  6. DO: Vorhandensein von granularen Optionen für die Zustimmung zu unabhängigen Verarbeitungsvorgängen
  7. DO: Nennung der Parteien wo die Daten gespeichert werden (eigenes Unternehmen sowie ggf. Drittparteien) 
  8. DO: Kommunikation, dass die Einwilligung jederzeit widerrufen werden kann 
  9. DO: Sicherstellung, dass beim Widerruf der Nutzer keine Nachteile erwartet 
  10. DO: Sicherstellung, dass die Einwilligung keine Voraussetzung für eine Dienstleistung ist
  11. DO: Bei Online-Dienste für Kinder: Maßnahmen zur Altersverifizierung und Zustimmung der Eltern

 

Double Opt in Verfahren DSGVO
 

Der Widerruf der Einwilligung sollte so einfach wie möglich sein:

  • Opt-out zu jedem Zeitpunkt
  • Barrierefreier Ein-Schritt-Prozess max. Zwei-Schritt-Prozess
  • Wenn möglich, gleiche Methode wie bei der Einwilligung

 

Möglichkeiten für das Opt-out sind:

  • Online-Tool
  • Telefonisch über den Kundendienst (Aufzeichnung nach Absprache)
  • Opt-out durch schriftliche Kommunikation
  • Link in der E-Mail

 

Eine genaue Anleitung finden Sie in dem Artikel: Newsletter-Liste DSGVO-konform aufbauen: So geht’s

 

Ist Mailjet DSGVO-konform?

Ja, Mailjet ist seit Dezember 2017 EU DSGVO-konform.

Wir respektieren das Recht auf Information, auf Änderung, auf Datenübertragbarkeit und das Recht, vergessen zu werden und können diese Anfragen schnell bearbeiten.

Unser Kunde oder der Betroffene kann über unsere Webseite ein Support-Ticket eröffnen oder eine E-Mail Anfrage an uns senden: privacy@mailjet.com. Wir antworten direkt auf die Anfrage und informieren unsere Kunden, falls sie betroffen sind.