Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) zielt darauf ab, die Behandlung personenbezogener Daten europäischer Bürger zu stärken und zu vereinheitlichen, indem die staatlichen Vorschriften harmonisiert und an ein zunehmend internationales Umfeld angepasst werden.

Gegenwärtig verfügen die 28 Länder der Europäischen Union über eigene Gesetze und wenden diese  in ihren internationalen Geschäftsbeziehungen an, was es schwierig macht, das Recht auf Schutz personenbezogener Daten wahrzunehmen.

Die neue Datenschutz-Grundverordnung enthält eine Vielzahl von Anforderungen, die sich auf alle Unternehmen unabhängig von Branche und Größe auswirken und auf die verschiedenen Bereiche eines Unternehmens vorbereitet werden müssen.

Am 25. Mai 2018, wenn bereits zwei Jahre verstrichen sind, nachdem am 27. April 2016 die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Behandlung personenbezogener Daten in Kraft trat, wird die DSGVO nun komplett rechtskräftig. In diesem Artikel wollen wir Ihnen helfen zu verstehen, wie Sie die neuen Regeln anwenden müssen, und wie Benchmark sich an die Verordnung angepasst hat , um Ihnen weiterhin rechtssicheres E-Mail-Marketing anzubieten..

Die neue DSGVO (oder GDPR mit der englischen Abkürzung) hebt nationale Rechtsvorschriften nicht auf, sondern bringt diese in vielerlei Hinsicht in Einklang und überträgt den Mitgliedstaaten Entscheidungsfreiheit in einigen Fragen. Dennoch ist es wahr, dass die Verantwortlichen zunächst einmal davon ausgehen müssen, dass die EU-DSGVO als übergeordnete Norm Vorrang vor landesweiten Regelungen hat.

Wenn Sie derzeit bereits das Bundesdatenschutzgesetz (BDSG) einhalten, haben Sie einen guten Ausgangspunkt, aber ohne Zweifel müssen Sie Änderungen vornehmen, um eine korrekte Anwendung dieser neuen Verordnung zu gewährleisten.

Es gibt drei grundlegende Aspekte, die Sie bei Ihrer E-Mail-Marketingstrategie berücksichtigen müssen: Einwilligung, Zugriff und Datenerhebung.

EINWILLIGUNG

Artikel 4 (11) definiert die „Einwilligung“ der betroffenen Person als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Wie die Definition erwähnt, muss die Zustimmung des Nutzers unmissverständlich und auch eindeutig sein. Mit diesen beiden Begriffen wird jede mögliche Mehrdeutigkeit ausgeschlossen.

(32) Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.

Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.

Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen.

Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.

Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.

Wir geben Ihnen ein Beispiel:

Sie haben gerade an einer Messe teilgenommen und den ganzen Tag Visitenkarten gesammelt, mit denen Sie in Ihrem Konto auf Benchmark Email eine Datenbank erstellen werden, um an diese Newsletter zu senden.

Ist dies nach der neue DSGVO legal?

Nein. Die Tatsache, dass Sie geschäftliche Beziehungen mit verschiedenen Personen unterhalten haben, gibt Ihnen nicht das Recht, deren persönlichen Daten zu behandeln, selbst wenn Sie eine mündlich Zustimmung des Betroffenen erhalten haben.

Die DSGVO legt fest, dass diese Einwilligung eindeutig und unmissverständlich sein muss und daher bei einer eventuellen Prüfung nachweisbar sein muss. Es muss also ein Dokument oder nachweisbare Mittel geben, durch die der Endnutzer dem Verantwortlichen für die Datenverarbeitung und den Zweck zustimmt, zu dem die Daten verwendet werden.

EMPFEHLUNG:

  • Überprüfen Sie die Methoden zum Abrufen von Daten und beseitigen Sie Mehrdeutigkeiten.
  • Analysieren Sie Ihre Datenbanken und bewahren Sie die Daten auf, damit Sie die Zustimmung belegen können.

ZUGRIFF

Die für die Verarbeitung der Daten Verantwortlichen müssen den Nutzern einen einfachen und sichtbaren Zugang bieten. Die verantwortliche Person muss Verfahren formulieren, die es den Interessierten leicht machen zu beweisen, dass sie ihre Rechte auf elektronischem Wege ausgeübt haben.

Die verantwortliche Person hat einen Monat Zeit, um die Anfrage des Benutzers zu beantworten. Bei komplexen Anfragen kann der Zeitraum auf zwei Monate verlängert werden.

Im Fall unseres E-Mail-Marketing-Tools ermöglichen die Kontoeinstellungen etc. dem Benutzer den Zugriff auf seine Daten, deren Berichtigung oder die direkte Abmeldung.

In diesem Punkt gibt es eine Neuigkeit: das RECHT AUF VERGESSENWERDEN (Artikel 17). Damit hat der Benutzer ein Anrecht darauf, dass seine Daten für immer gelöscht werden. Wir haben hier zwei von den sechs Gründen ausgewählt, die im Unterpunkt 1 angeführt werden und dem Benutzer das Recht auf vollständige Löschung seiner Daten garantieren.

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

ERHEBUNG

Die DSGVO plädiert für eine Vereinfachung der Datenerhebung. Die Marketingleute verlangen normalerweise mehr Informationen als nötig, um einen Newsletter pro Woche zu versenden. In dieser neuen Verordnung wird daher empfohlen, die für unsere aktuelle Strategie notwendigen Mindestdaten zu sammeln und kein unnötige Daten zu erheben, nur weil wir denken, diese vielleicht in Zukunft zu benötigen.

Wenn wir vorhaben, unsere Datenbank über unsere Sonderangebote zu informieren, reicht es aus, nach dem Namen und der E-Mail-Adresse zu fragen.

BREXIT

Im Jahr 2019 wird das Vereinigte Königreich nicht länger Teil der EU sein wird, und diese Verordnung wird daher dort nicht mehr gelten. Es ist noch nicht bekannt, wie das Vereinigte Königreich die Anpassung seiner Unternehmen an die Verarbeitung personenbezogener Daten angehen wird, aber es wird erwartet, dass es eine ähnliche Regelung ausarbeiten wird, die beide Regionen gleichstellt.

Was passiert, wenn ich die DGSVO nicht befolge?

Die Datenschutz-Grundverordnung enthält eine Reihe von Instrumenten zur Durchsetzung der neuen Vorschriften, und sieht Strafen und Geldbußen vor. Wenn eine Geldbuße auferlegt wird, wird sie auf einer sorgfältigen Bewertung beruhen und eine Reihe von Faktoren berücksichtigten:

  • die Schwere und Dauer der Verletzung;
  • die Anzahl der betroffenen Personen und das Ausmaß des erlittenen Schadens;
  • die Absichtlichkeit der Übertretung;
  • schadensmindernde Maßnahmen;
  • der Grad der Zusammenarbeit mit der Aufsichtsbehörde.

Die Verordnung sieht zwei Geldbußengrenzen vor, wenn die Regeln nicht eingehalten werden. Die erste Grenze sieht Bußgelder von bis zu 10 Millionen Euro oder im Fall von Unternehmen bis zu 2% des weltweiten Jahresumsatzes vor. Diese erste Geldbuße würde zum Beispiel gelten, wenn ein für die Verarbeitung Verantwortlicher keine Folgenabschätzungen des Risikos möglicher Datenschutzverletzungen vornimmt, wie dies in der Verordnung vorgeschrieben ist. Die Höchstgrenze für Geldstrafen beträgt 20 Millionen Euro oder 4% des globalen Jahresumsatzes. Ein Beispiel hierfür wäre eine Verletzung der Rechte der interessierten Parteien im Rahmen der Verordnung. Die Geldbußen werden gemäß den Umständen jedes Einzelfalls angepasst.

Diese drei Aspekte, die in diesem Artikel diskutiert werden, sind die wichtigsten, die Sie bei der Entwicklung Ihrer E-Mail-Marketingstrategie berücksichtigen müssen.

BENCHMARK

Wie immer passt Benchmark seine Arbeitsprozesse an und erfüllt alle rechtlichen Anforderungen, so auch die dieser Verordnung,  und legt darüber in der Datenschutzklausel Rechenschaft ab. Im Gegensatz zum Privacy Shield Abkommen, für dessen Einhaltung wir ein Zertifikat erhielten, gibt es bei der DGSVO keine Bestätigung der korrekten Erfüllung.

Bei Benchmark stellen wir sicher, dass Ihre Daten nach den Vorschriften der DSGVO behandelt werden und es auch weiterhin 100% sicher ist, unseren Dienst für E-Mail-Marketing einzusetzen.

Zum ersten Mal zeigt die EU eine einheitliche Lösung darüber, wie personenbezogene Daten behandelt werden sollten, und verpflichtet all übrigen Länder ausnahmslos dieser Verordnung zu folgen, wenn sie mit Daten der europäischen Bürger arbeiten wollen.

Vergessen Sie nicht, diesen Artikel mit Ihren Kollegen und Anhängerns zu teilen und hinterlassen Sie uns Ihre Kommentare dazu. Danke fürs Lesen!

Sehen Sie sich unser Webinar an:

Author Bio:

by Frieder M. Egermann

Frieder Egermann begann seine berufliche Karriere 1997 bei Yahoo! und war seither bei ausgewählten, internationalen Internetfirmen und -projekten in den USA, Großbritannien, Spanien und Deutschland tätig, bevor er dem Team von Benchmark Email beitrat.