Startseite » Unkategorisiert

FAQ: Antworten auf häufig gestellte Fragen zur Europäischen Datenschutzverordnung (DSGVO)

Lindsay Tjepkema
Lindsay Tjepkema , Marketing Director, Americas , Emarsys

Die Datenschutzverordnung (DSGVO) tritt am 25. Mai 2018 in der Europäischen Union in Kraft. Das Regelwerk wurde im April 2016 vom EU-Parlament verabschiedet und ersetzt bestehende Datenschutzrichtlinien. Der Stichtag rückt immer näher und Sie sind nicht allein, wenn Sie sich immer noch unsicher sind, was die neuen Vorschriften konkret für Sie bedeuten und wie Sie sich optimal darauf vorbereiten sollten…

Häufig gestellte Fragen zur DSGVO

Aus diesem Grund haben wir eine Übersicht wichtiger Themen und häufig gestellter Fragen zur DSGVO für Sie zusammengestellt und im Detail beantwortet.

Was ist die DSGVO?

Die DSGVO wird die Datenschutzrichtlinie 95/46/EG von 1995 ersetzen und den Schutz und die Rechte des Einzelnen verbessern. Die Verordnung schafft ein sichereres Umfeld für die Verbraucher und ihre Daten, indem sie die Menge der Daten, die gesammelt werden dürfen, sowie die Art und Weise, wie sie verwendet werden und wie lange sie gespeichert werden können, begrenzt.

Inwiefern unterscheidet sich die DSGVO von bestehenden Gesetzen?

Die DSGVO vereinheitlicht rechtliche Rahmenbedingungen und verpflichtet alle Länder zur Einhaltung der gleichen Regeln, wenn es um die Verwendung personenbezogener Daten geht. Trotzdem setzt jedes Land die Datenschutzrichtlinie in Teilen unterschiedlich um, so dass die rechtlichen Bestimmungen innerhalb der EU unterschiedlich ausfallen und somit schwerer zu verstehen und umzusetzen sind.

Muss ich mich mit der DSGVO beschäftigen, wenn ich meinen Sitz nicht in der Europäischen Union habe?

Kurz gesagt, ja. Zumindest dann, wenn Ihr Unternehmen mit Verbrauchern in der EU kommuniziert, oder wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten oder speichern. In diesem Fall wird die DSGVO Sie betreffen.

Was sind „personenbezogene Daten“?

Als personenbezogene Daten gelten alle Informationen, die sich auf eine direkt oder indirekt identifizierbare Person beziehen. Dabei kann es sich um einen Vornamen, eine E-Mail-Adresse, ein Foto, eine Bankverbindung, Kreditkarteninformationen, Beiträge aus Social Media, die Krankengeschichte, eine IP-Adresse und vieles mehr handeln.

Mit welchen Konsequenzen müssen Unternehmen rechnen, die nicht DSGVO-konform handeln?

Unternehmen, die sich nicht an die neuen Vorschriften halten, drohen saftige Geldstrafen. Die Bußgelder werden in Abhängigkeit vom Ausmaß der Zuwiderhandlung verhängt. Die maximale Geldbuße, die einer Firma auferlegt werden kann, beträgt 4% des globalen Jahresumsatzes, oder 20 Millionen Euro.

Wie wird die Höhe der Geldbuße ermittelt?

Gemäß der DSGVO sollen Geldbußen wirksam, verhältnismäßig und abschreckend sein. Sie sollen aber gleichzeitig die Maßnahmen berücksichtigen, die das Unternehmen tatsächlich zur Einhaltung der DSGVO-Vorgaben unternommen hat. Mit anderen Worten: Wenn sich Ihr Unternehmen nicht auf die DSGVO vorbereitet und dann einen umfassenden Datenverlust erleidet, werden Sie mit hohen Geldstrafen rechnen müssen. Wenn Sie sich aber so auf DSGVO vorbereiten, dass Sie nahezu gesetzeskonform agieren, wird die Geldbuße in einem angemessenen Verhältnis dazu stehen. Die Entscheidung über etwaige Geldbußen treffen die örtlichen Aufsichtsbehörden.

Was sind die Voraussetzungen, um sich DSGVO-konform zu verhalten?

Um den neuen Bestimmungen zu entsprechen, sollten Sie folgende Punkte sicherstellen:

  • Verbessern Sie die Rahmenbedingungen zum Erteilen einer Einwilligung.
  • Benachrichtigen Sie Ihre Kontakte innerhalb von 24 Stunden über ein etwaiges Datenleck.
  • Stellen Sie Nutzern auf Anfrage eine Kopie ihrer persönlichen Daten in elektronischer Form zur Verfügung.
  • Löschen Sie Nutzerdaten, wenn Sie sie nicht länger benötigen, oder wenn der Nutzer dies wünscht.
  • Ermöglichen Sie es Nutzern, ihre Daten von Ihrem Unternehmen an ein anderes zu übertragen.
  • Bauen Sie Daten fest in die Systeme ein, anstatt sie als Add-On oder nachträglich zu integrieren.
  • Beauftragen Sie einen Datenschutzbeauftragten, wenn Ihr Unternehmen bestimmte Kriterien erfüllt.

Muss ich einen Datenschutzbeauftragten (DSB) beschäftigen?

Handelt es sich bei einer Organisation um eine Behörde, die regelmäßig Personen in großem Stil überwacht, oder um eine Organisation, die spezielle Datenkategorien wie medizinische Daten oder Informationen über strafrechtliche Verurteilungen verarbeitet, dann verlangen die neuen Vorschriften, dass ein DSB beauftragt wird.

Was ist eine gültige Einwilligung?

Die DSGVO verlangt eine gültige Einwilligung (auf die Erhebung von Daten) von allen neuen und bestehenden Kontakten. Auf Verlangen müssen Sie nachweisen, dass Ihnen eine Zustimmung zur Verwendung personenbezogener Daten vorliegt. Betrachten Sie folgenden Szenarien:

  • Bestandskunden (Käufer): Die Einwilligung wird im Rahmen „bestehender Kundenbeziehungen“ als gegeben vorausgesetzt. Beachten Sie jedoch, wie lange die Beziehungen zukünftig als „gültig“ angesehen werden können und ob der Kommunikationsinhalt auf die bestehenden Beziehungen beschränkt werden sollte (z.B. nach § 7 Abs. 3 UWG).
  • Ehemalige Kunden: Ein Unternehmen ist ab sofort nicht mehr dazu berechtigt, personenbezogene Daten ohne Einwilligung, aktive Kundenbeziehung oder laufenden E-Mail-Verkehr aufzubewahren.
  • Aktive E-Mail-Abonnenten ohne nachweisbare Einwilligung: Um weiterhin Werbung versenden zu können, müssen Sie darlegen, dass Ihr Marketing-Programm einen Mehrwert für die Empfänger bietet und diese Personen als „bestehende Kundenbeziehungen“ einstuft.
  • Inaktive E-Mail-Abonnenten: Sie sollten Kontaktdaten nicht ohne aktuelle Einwilligung, Kundenbeziehung oder laufende E-Mail-Aktivitäten speichern.
  • Neukunden / E-Mail-Abonnenten: Sie sollten den Wortlaut der Einwilligungserklärung sowie das Erteilen der entsprechenden Einwilligung für jeden Kunden speichern (z.B.: Diese Person hat dieses Kästchen am Tag X um XX:XX Uhr von der IP-Adresse Y angekreuzt und somit der Datenverarbeitung in der Z-Erklärung zugestimmt).

Was sind die sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten?

Gemäß der neuen DSGVO dürfen Organisationen personenbezogene Daten nur dann verarbeiten, wenn eine der folgenden Rechtsgrundlagen erfüllt ist:

  • Einwilligung: Nutzer müssen eine gültige Einwilligung in klarer und eindeutiger Sprache erteilen, bevor Unternehmen ihre Daten verarbeiten dürfen.
  • Vertrag: Der Nutzer ist Unterzeichner (oder Betroffener) eines Vertrages, für dessen Erfüllung das Unternehmen bestimmte Daten verarbeiten muss.
  • Erfüllung einer gesetzlichen Verpflichtung: Das Unternehmen ist aufgrund einer rechtlichen Auflage dazu verpflichtet, bestimmte Daten zu verarbeiten.
  • Lebenswichtige Interessen: Die Verarbeitung von Daten ist zum Schutz lebenswichtiger Interessen des Einzelnen oder einer anderen natürlichen Person zwingend erforderlich.
  • Öffentliches Interesse: Daten, die im Rahmen einer im öffentlichen Interesse ausgeführten Aufgabe verarbeitet werden.
  • Berechtigtes Interesse: Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen / aus Sicherheitsgründen.

Was bedeutet „berechtigtes Interesse“?

Das berechtigte Interesse ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO. Die DSGVO erklärt hierzu, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung […] als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann].“ Einige Marketer interpretieren diese Regelung dahingehend, dass das Versenden von Werbematerialien an Kontakte auch ohne signifikante Anpassungen bzw. Änderungen nach wie vor rechtmäßig sei.

Sie sollten sorgfältig abwägen, ob das „berechtigte Interesse“ die beste Grundlage für Ihre Marketingkommunikation ist. Sobald Sie dies getan haben, müssen Sie folgendes sicherstellen:

  • Erklären Sie, wie oder warum Sie die persönlichen Daten einer Person benötigen, wenn Sie diese sammeln.
  • Verwenden Sie einen mehrschichtigen Datenschutzhinweis.
  • Informieren Sie Einzelpersonen darüber, was nach der Datenerfassung mit ihren Daten geschieht.
  • Bieten Sie Nutzern die Möglichkeit, dem Erhalt von Werbung zu widersprechen.
  • Sammeln Sie nur benötigte Daten und löschen Sie diese, sobald der Nutzer dies einfordert.

Sie müssen nachweisen können, dass die oben genannten Bedingungen für alle Daten (bestehende + neue), die Sie unter Berufung auf das „berechtigte Interesse“ verwenden, eingehalten werden.

Ein allgemeines Interesse am Erhalt von Werbematerialien ist keine ideale Grundlage, um sich auf das „berechtigte Interesse“ zu berufen. Verwenden Sie stattdessen, wo immer möglich, die Einwilligung als Grundlage.

Wie kann ich die Einwilligung nachweisen?

Die DSGVO gibt sechs Rechtsgrundlagen für die rechtmäßige Verarbeitung von Daten an (siehe oben). Wenn Ihre Verarbeitung in eine der genannten Rubriken fällt, müssen Sie an Ihren Prozessen & Vorgehensweisen nichts verändern.

Double Opt-in ist eine der möglichen Grundlagen, um eine Einwilligung rechtskräftig nachweisen zu können. Obwohl die DSGVO dies nicht verlangt, ist das DOI ein relativ einfacher Weg, um zu beweisen, dass eine Person sich für einen Service registriert hat.

So lässt sich Double Opt-in implementieren: Nachdem ein Nutzer das Anmeldeformular ausgefüllt hat, versenden Sie eine E-Mail mit der Aufforderung, das Opt-in über einen Bestätigungslink zu aktivieren. Erst wenn der Klick auf den Link erfolgt, wird das Abonnement wirksam. Gleichzeitig untermauert dieses Verfahren Ihre Einhaltung der Bestimmungen der DSGVO.

Stellen Sie sicher, dass folgende Angaben gespeichert werden:

  • Datum/Zeit der Einwilligung
  • Art der Einwilligung
  • Eine Kopie des Anmeldeformulars, einschließlich des entsprechenden Wortlauts.

Bitte beachten Sie, dass die Einwilligung für alle Arten der Datenerfassung gilt, einschließlich Offline-Methoden, E-Mail und Telefon. Sie sollten sich daher überlegen, wie Sie analoge Einwilligungen erfassen und speichern.

Muss ich meine Datenschutzerklärung anpassen?

Das kommt darauf an. Wie bereits erwähnt, verlangt die DSGVO von Unternehmen mehr Transparenz in Bezug auf die Einwilligung. Es ist sicherzustellen, dass die zustimmende Person eine „informierte Einwilligung“ erteilt und dass der Nutzer versteht, wer seine Daten verwendet und warum.

Plant ein Unternehmen, seine erfassten Daten für mehr als einen Zweck zu verwenden, muss das Unternehmen dies kenntlich machen und für jeden Zweck eine Einwilligung einholen. Die Verarbeitung darf nur für die Zwecke erfolgen, für die eine Zustimmung erteilt wurde.

Ihre Datenschutzbestimmungen müssen klar und verständlich sein und sollten darlegen, wer die Daten sammelt und welche Kontrolle der Verbraucher über seine Daten hat. Sie müssen zudem kenntlich machen, wie lange die Daten aufbewahrt werden.

Sie sollten sämtliche Datenschutzrichtlinien, Einwilligungsinformationen und Protokolle Ihrer Datenverarbeitung(en) archivieren, um nachzuweisen, dass Sie sich an die von dem jeweiligen Verbraucher erteilte Erlaubnis halten.

Kann ich nach wie vor Werbekampagnen an meine bestehende Empfängerliste senden?

Nach dem 25. Mai 2018 müssen alle Daten, die Sie für Werbekampagnen speichern und verarbeiten, den Voraussetzungen der DSGVO genügen. Sie sollten also überprüfen, ob die Einwilligungen aller relevanter Kontakte für zukünftige Datenverwendungen ausreichend sind. Sie müssen außerdem nachweisen können, dass Sie die eindeutige Einwilligung zum Versand von Mitteilungen an diese Kontakte besitzen. Fehlt es an der eindeutigen Einwilligung, müssen Sie diese nachträglich einholen.

Sollte ich Double Opt-In nutzen?

Double Opt-in wird durch die DSGVO zwar zu keiner Grundvoraussetzung, aber es ist eine unkomplizierte Möglichkeit, einen Einwilligungsnachweis der Nutzer einzuholen. Marketer können schnell & einfach überprüfen, ob sie über die korrekten Daten verfügen (in diesem Fall eine E-Mail-Adresse), und zusätzlich bietet die Methode eine weitere Bestätigung der Einwilligung (durch einen Klick auf den Bestätigungslink).

Beachten Sie, dass allgemeine Einwilligungserklärungen oder vorangekreuzte Kästchen für eine Zustimmung nicht ausreichen. Sie müssen eine klare und transparente Sprache verwenden, in der Sie explizit benennen, welche Daten verarbeitet werden, bzw. warum und wie lange sie verwendet werden.

Doppelt erteilte Einwilligungen in Form von „Double Opt-Ins“, liefern Ihnen einen unmissverständlichen Nachweis der Zustimmung Ihrer Kontakte. Dies ist eine gute Möglichkeit, sich langfristig DSGVO-konform zu verhalten.

Wie kann ich meine inaktiven Abonnenten ansprechen und zurückgewinnen?

Die Zeit zum Einholen aller nötigen Einwilligungen von inaktiven Abonnenten ist begrenzt. Wir empfehlen Ihnen daher, Ihre Kontakte möglichst schnell und wirkungsvoll mit entsprechenden Maßnahmen anzusprechen (z.B. durch Incentives, Rabattaktionen oder Upgrades). Wenn inaktive Abonnenten davon überzeugt sind, dass sich die Kommunikation mit Ihrem Unternehmen lohnt, werden sie dem Erhalt Ihrer Werbemaßnahmen zustimmen.

Wie kann ich überprüfen, ob ich die Vorschriften einhalte?

Prüfen Sie anhand dieser kurzen Checkliste, ob Sie bereit für die DSGVO sind:

  • Überprüfen Sie Ihre Daten (welche Daten besitzen Sie, wo werden Daten gespeichert, etc.).
  • Führen Sie eine Datenschutz-Folgenabschätzung durch (falls erforderlich)
  • Legen Sie für jeden Datensatz die rechtmäßige Verarbeitungsgrundlage fest.
  • Entscheiden Sie, ob und wie Sie eine Einwilligung aktualisieren, um den zukünftigen Anforderungen zu entsprechen.
  • Prüfen Sie alle Online-/Offline-Datenquellen auf DSGVO-Konformität.
  • Aktualisieren Sie Ihre Datenschutzrichtlinien.

► Erfahren Sie mehr darüber, wie sie sich optimal auf die DSGVO vorbereiten können. Sehen Sie sich jetzt die Aufzeichnung unseres Webinars „DSGVO: Ruhe bewahren, Maßnahmen ergreifen, Compliance sicherstellen“ an.

HAFTUNGSAUSSCHLUSS – Die Materialien in diesem Artikel stellen keine Rechtsberatung dar und werden nur zu allgemeinen Informationszwecken zur Verfügung gestellt.