Der 25. Mai 2018 rückt näher – ab dann gilt EU-weit die Verordnung 2016/679 („Datenschutz-Grundverordnung“, oder kurz: DSGVO). Unternehmen auf der ganzen Welt passen derzeit ihre Maßnahmen zur Erhebung und Verarbeitung personenbezogener Daten an. Die DSGVO fordert umfassendere Informationspflichten sowie einiges mehr. Und wer nicht rechtzeitig compliant ist, riskiert deftige Bußgelder. Dies und mehr erläuterte der Beitrag „FAQ: Antworten auf häufig gestellte Fragen zur Europäischen Datenschutzverordnung (DSGVO)„.

Nun wirkt das neue Regelwerk in Teilen immer noch nebulös: 5€-Gutschein gegen Opt-in, Opt-out bei Bestandskundenwerbung, Verhaltensdaten wie Klicks und Öffnungen erfassen, Einwilligung bei Minderjährigen… ist all dies ab Ende Mai datenschutzrechtlich erlaubt?

Das große Informationsbedürfnis spiegelte sich auch im DSGVO-Webinar „Ruhe bewahren, Maßnahmen ergreifen und Compliance sicherstellen“ wieder. Die Referenten Dr. Thomas Schafft und mein Kollege Lucas Bergström brachten Licht ins Dunkle. Ferner hatte ich Gelegenheit, unseren Datenschutzbeauftragten Szabolcs Steiner sowie Deliverability Consultant Kornelia Dorsch zu besonders häufigen Fragen zu interviewen.

Herausgekommen ist eine FAQ-Liste mit vielen praktischen Hinweisen, die Ihnen helfen werden, Ihr DSGVO-Verständnis zu schärfen und die neuen Vorschriften noch rechtzeitig umzusetzen.

Inhaltsverzeichnis:

  • Wie sollte ich die Umstände der Einwilligung protokollieren, um jederzeit den Opt-in-Nachweis erbringen zu können?
  • Wie lange werden Response-Daten vorgehalten?
  • Bieten Sie eine Empfehlung oder Vorlage für den notwendigen Text (Einwilligung, jederzeit kündbar, Nutzung der Daten etc.) für die Anmeldung zum Newsletter?
  • Was ist die Rechtsgrundlage für die Datenverarbeitung beim Newsletter, die ich benennen soll?
  • Müssen wir als Schweizer Unternehmen die neuen Auflagen erfüllen?
  • Benötigt man eine Einwilligung für das Web-Extend-Tracking?
  • Erfordert das Klick- und Öffnungs-Tracking eine separate Einwilligung?
  • Bieten Sie eine Vorlage für die Auftragsdatenverarbeitung?
  • Welche Daten darf man in die Emarsys Marketing Plattform transferieren, und in welcher Form?
  • Ist es zulässig, eine Checkmail im Rahmen des Double-Opt-in-Verfahrens erneut zu versenden, falls die Bestätigung ausbleibt?
  • Dürfen Gutscheine in der Bestätigungsmail beworben werden (z.B. „Bestätigen sie jetzt und erhalten sie XY-Gutschein“)?
  • Ist das Double-Opt-in offline zwingend notwendig? Man denke an einen Flyer im Geschäft. Dort wird automatisch die Einwilligung bei Abgabe der E-Mail-Adresse gesetzt. Müssen diese Kunden eine Checkmail erhalten?
  • Gilt die 5€ Incentivierung bei der Newsletter-Anmeldung als „Kopplung“?
  • Was genau ist durch das Kopplungsverbot zukünftig ausgeschlossen? Was ist weiterhin erlaubt?
  • Wenn man keine IP Adressen speichern darf, wie kann man diese dann für die Einwilligung speichern?
  • Wie genau soll man protokollieren, wie ein Opt-In eingeholt wurde?
  • Sind nicht zwingend fürs E-Mail-Marketing benötigten Daten wie z.B. Geschlecht oder Anrede weiterhin nutzbar?
  • Muss bei Newsletter-Anmeldungen das Geburtsdatum abgefragt werden, damit man sichergehen kann, dass es keine Unter-16-Jährigen Personen sind?
  • Muss die Einwilligung bei minderjährigen Bestandsabonnenten nun aktualisiert werden?
  • Muss dem Kunden tatsächlich die Möglichkeit geboten werden, mit „einem Klick“ alle Daten, die in unterschiedlichen Systemen zu ihm vorgehalten werden, löschen zu können?
  • Wenn ich jetzt bei meiner Re-Permissioning-Kampagne Opt-Ins einholen will, kann ich eine kumulierte Permission einholen für z.B. WebExtend, Predict und E-Mail mit einem Klick?
  • Darf ich denn weiterhin pseudonymisierte Daten erheben (Tracking), um die Nutzung meiner Website weiterhin nachvollziehen zu können?
  • Darf ich Kunden im Backend analysieren, um z.B. die Qualität einer Kundengruppe zu ermitteln, wenn ich daraufhin nur die Kunden anschreibe, die mir das Opt-in zur Personalisierung gegeben haben?  
  • Beeinträchtigt die DSGVO die Möglichkeiten des §7 Abs.3 UWG (Bestandskundenwerbung ohne Einwilligung)?
  • Müssen alte Einwilligungen erneut eingeholt werden?
  • Müssen die Angaben wie „Datenherkunft“ etc. auch rückwirkend eingeholt werden?
  • Müssen die Datenschutzbestimmungen in alle Sprachen übersetzt werden, die vom Zielpublikum verwendet werden?
  • Ein Kunde möchte Auskunft über seine gespeicherten Daten haben – wie und in welcher Form kann ich diese Daten auf einfache Art und Weise dem Kunden übermitteln?
  • Gilt die DSGVO in allen EU Ländern gleich, oder gibt es nationale Änderungen?
  • Wer muss einen Datenschutzbeauftragten haben?
  • Was sind die Pflichten eines Datenschutzbeauftragten?
  • Welche Aufsichtsbehörde ist zuständig?
  • Wie können Aufsichtsbehörden kontaktiert werden?
  • An welchen Standorten befinden sich die Emarsys-Server?

Frage: Wie sollte ich die Umstände der Einwilligung protokollieren, um jederzeit den Opt-in-Nachweis erbringen zu können?

Informationen wie Ort, IP-Adresse und Zeitstempel, die für den Beleg der Einwilligung erforderlich sind, lassen sich inklusive Double-Opt-in technisch problemlos protokollieren. Hingegen sollte die Archivierung von Datenschutzerklärungen oder Einwilligungstexten anderweitig erfolgen. Fertigen Sie etwa bei Änderungen Snapshots Ihrer Webseite z.B. als Grafik oder PDF an, um eine Versionierung durchzuführen und so Änderungen zu archivieren. Und senden Sie z.B. eine Kopie jeder Checkmail im Rahmen des Double-Opt-in per BCC (Blind Carbon Copy) an ein internes E-Mail-Archiv.

Frage: Wie lange werden Response-Daten vorgehalten?

Künftig herrscht eine Informationspflicht darüber, wie lange Daten aufbewahrt werden. Typischerweise erfolgt die Unterrichtung in der Datenschutzerklärung. Zugleich ist organisatorisch sicherzustellen, dass die Daten ordnungsgemäß und fristgerecht gelöscht werden. Vielen Unternehmen ist dieser Gedanke fremd, da Speicherplatz heutzutage nahezu unbegrenzt ist; hier muss also nachgebessert werden. Denn Daten, die nicht mehr benötigt werden bzw. für die keine rechtmäßige Verwendungsmöglichkeit mehr besteht, sind zu löschen.

Frage: Bieten Sie eine Empfehlung oder Vorlage für den notwendigen Text (Einwilligung, jederzeit kündbar, Nutzung der Daten etc.) für die Anmeldung zum Newsletter?

Die Einwilligung sollte unter anderem für den konkreten Fall, in informierter Weise und unmissverständlich erfolgen. Der Opt-in-Text muss sich somit allein auf die Zusendung von Werbung beziehen und darf keine anderen Erklärungen oder Hinweise enthalten: „E-Mail-Adresse für den Newsletter und Gewinn-Benachrichtigung“ genügt dem gerade nicht. Ebenso muss sich daraus für den Betroffenen die Reichweite seiner Einwilligung ergeben, also etwa welche Produkte oder Dienstleistungen welcher Unternehmen beworben werden. Schließlich ist vor Abgabe der Einwilligung auf das jederzeitige Widerrufsrecht hinzuweisen. Die Erklärung, dass man sich jederzeit abmelden kann und welcher Methoden hierzu zur Verfügung stehen, kann entweder direkt genannt oder in den Datenschutzbestimmungen ausgeführt werden – mindestens sollten Abmeldelink und E-Mail-Adresse vorhanden sein. In die Datenschutzbestimmungen gehören unter anderem rechtliche Grundlagen, ein Vermerk zum Newsletter (Versender, Art der E-Mails, jederzeitige Abmeldemöglichkeit, Abmeldemethoden sowie im Falle von Bestandskunden-Werbung per Opt-out – in Deutschland gemäß § 7 Abs. 3 UWG – der Passus, dass für die Abmeldung keine anderen Kosten als die Übermittlungskosten nach den Basistarifen anfallen) sowie Hinweise zur Datenverarbeitung (welche Daten werden gesammelt, wie werden sie verarbeitet, wie genutzt, wie lange gespeichert, etwaige Dritte müssen konkret genannt werden).

Ein Formulierungsvorschlag für das einfache Newsletter-Opt-in könnte lauten: „
[ ] Ich möchte den regelmäßigen [Firma] Newsletter erhalten. Die Abmeldung ist jederzeit möglich. Weitere Informationen dazu finde ich in der Datenschutzerklärung.“

Ein Formulierungsvorschlag für die Zustimmung zum Newsletter-Empfang und zur Datenverarbeitung könnte hingegen lauten:
[ ] Ich möchte den regelmäßigen [Firma] Newsletter erhalten. Die Abmeldung ist jederzeit möglich. Weitere Informationen dazu finde ich in der Datenschutzerklärung.
[ ] Ich stimme der Verarbeitung meiner persönlichen Daten wie in der Datenschutzerklärung beschrieben zu.“

Bitte beachten: Die Formulierungsvorschläge beziehen sich auf eine ausdrückliche Einwilligung. Im Falle von Bestandskunden-Werbung per Opt-out wären weitere Dinge zu beachten. So müsste unter anderem die Art der E-Mails (ähnliche Produkte/Dienste) ersichtlich sein und klar und deutlich darauf hingewiesen werden, dass für die Abmeldung keine anderen Kosten als die Übermittlungskosten nach Basistarifen anfallen.

Weitere Informationen und Vorschläge erhalten Sie im Help-Portal unter „Richtlinien für Opt-in-Texte“.

Frage: Was ist die Rechtsgrundlage für die Datenverarbeitung beim Newsletter, die ich benennen soll?

Rechtsgrundlage für die Datenverarbeitung nach der Newsletters-Registrierung ist die Einwilligung gemäß Art. 6 (1) (a) DSGVO, bzw. im Falle des Versands infolge des Kaufs von Waren oder Dienstleistungen [in Deutschland] § 7 Abs. 3 UWG. Rechtsgrundlage für die Protokollierung des Nutzerverhaltens und des Anmeldevorgangs könnten berechtigte Interessen nach Art. 6 (1) (f) DSGVO sein. Das Interesse richtet sich hierbei auf ein qualitativ hochwertiges und technisch sicheres Newsletter-Angebot.

Frage: Müssen wir als Schweizer Unternehmen die neuen Auflagen erfüllen?

Ja, denn die Verarbeitung durch Emarsys erfolgt in der EU, und damit ist die DSGVO anwendbar. Außerdem wird kaum ein Schweizer Webseitenbetreiber Dienstleistungen ausschließlich Kunden aus der Schweiz und nicht etwa den umliegenden Ländern anbieten, womit die DSGVO gemäß Art. 3 (2) (a) DSGVO wieder anwendbar wäre.

 

Frage: Benötigt man eine Einwilligung für das Web-Extend-Tracking?

Die DSGVO selbst verlangt dies so zwar nicht, es muss aber in der Datenschutzerklärung ausgewiesen werden und der Kunde muss der Datenschutzerklärung zugestimmt haben (z.B. bei der Anmeldung zum Newsletter oder beim ersten Besuch der Webseite im Cookie Popup-Fenster). Dies könnte sich aber mit der zukünftigen ePrivacy Verordnung der EU ändern. Ob, wann und mit welchem Inhalt diese kommt, ist derzeit ungewiss.

Frage: Erfordert das Klick- und Öffnungs-Tracking eine separate Einwilligung?

Nein, siehe vorige Antwort. Weisen Sie in der Datenschutzerklärung also darauf hin, dass Sie protokollieren, ob eine E-Mail geöffnet und welche Links geklickt wurden. Die Erhebung erfolgt zu Analysezwecken, und um E-Mail-Inhalte an individuelle Leser-Präferenzen anzupassen. Eine Öffnung wird erfasst, indem der Newsletter eine speziell präparierte Grafikdatei vom Server abruft.

Frage: Bieten Sie eine Vorlage für die Auftragsdatenverarbeitung?

Ja. Kontaktieren Sie hierzu bitte Ihren persönlichen Ansprechpartner bei Emarsys.

Frage: Welche Daten darf man in die Emarsys Marketing Plattform transferieren, und in welcher Form?

Das Data Onboarding ermöglicht es, die Plattform in allen Facetten auszureizen. Doch lassen Sie mich die Frage von der anderen Seite beleuchten: Wo bestehen Einschränkungen in puncto Datentransfer? Besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO erfordern außerordentliche Maßnahmen. Zu besonderen Kategorien zählen z.B. Daten über politische oder religiöse Ansichten, Gesundheitsdaten, Daten über Sexualleben oder Ethnie. Alle anderen Daten können problemlos verarbeitet werden, sofern die allgemeinen Voraussetzungen, also etwa die Einwilligung des Betroffenen, vorliegen. Die Form der Übermittlung ist rechtlich gesehen irrelevant, erfolgt aber grundsätzlich elektronisch.

Frage: Ist es zulässig, eine Checkmail im Rahmen des Double-Opt-in-Verfahrens erneut zu versenden, falls die Bestätigung ausbleibt?

Nein. In diesem Punkt ändern sich nichts durch die DSGVO.

Frage: Dürfen Gutscheine in der Bestätigungsmail beworben werden (z.B. „Bestätigen sie jetzt und erhalten sie XY-Gutschein“)?

Nein, da damit die Checkmail selbst zur Werbung wird, und Werbung sich erst nach Bestätigung der Anmeldung versenden lässt.

Frage: Ist das Double-Opt-in offline zwingend notwendig? Man denke an einen Flyer im Geschäft. Dort wird automatisch die Einwilligung bei Abgabe der E-Mail-Adresse gesetzt. Müssen diese Kunden eine Checkmail erhalten?

Double-Opt-in ist gesetzlich nicht absolut zwingend vorgeschrieben. Es muss sich aber nachweisen lassen, dass der Verfügungsberechtigte der angegebenen E-Mail-Adresse sich angemeldet hat, und kein anderer. Der Nachweis kann nur durch das Double-Opt-in praktikabel und „wasserdicht“ erfolgen. Hierbei unterscheidet sich Offline nicht von Online. Die Alternative bestünde darin, alle Flyer bzw. die Unterschriften darauf zu archivieren. Hinzu kommt, dass sich bei der Digitalisierung handschriftlich übermittelter E-Mail-Adressen oftmals Fehler einschleichen – ohne doppelte Einwilligung wäre somit Spam vorprogrammiert. Daher empfehlen wir auch für die Offline-Adressgewinnung den zeitnahen Versand von Bestätigungsmails.

Frage: Gilt die 5€ Incentivierung bei der Newsletter-Anmeldung als „Kopplung“?

Streng genommen ja. Es besteht dadurch ja ein gewisser Anreiz, die Werbeeinwilligung zu erteilen. Aber jeder macht es, und vermutlich sollte man den Maßstab hier nicht realitätsfremd streng anlegen. Dass der Vorteil für die „Opt-in-Verweigerer“ nicht verfügbar ist, stellt wohl keinen derart nennenswerten Nachteil dar, der die Freiwilligkeit der Einwilligung beeinträchtigt. Allerdings sollte man den Bogen nicht überspannen. Die Newsletter-Anmeldung muss ganz klar im Vordergrund stehen.

Frage: Was genau ist durch das Kopplungsverbot zukünftig ausgeschlossen? Was ist weiterhin erlaubt?

Das lässt sich nicht allgemein beantworten, es kommt immer auf die Umstände des Einzelfalls an. Kopplung zwischen Opt-in und Gewinnspielteilnahme kann bei alternativen Teilnahmewegen erlaubt sein, wenn der Teilnehmer also die Möglichkeit hat, bei einem Gewinnspiel z.B. auch per Post oder auf eine andere Art und Weise als nur per E-Mail teilzunehmen. Besteht diese Möglichkeit nicht, ist eine Kopplung nicht erlaubt. Die Alternative muss auch klar im Formular genannt werden. Gibt es keine Alternative, so darf nicht gekoppelt werden und es muss eine separate Checkbox für die Anmeldung zum Newsletter vorliegen. Ferner gilt natürlich auch: Je mehr man „im Gegenzug“ für die Anmeldung anbietet, desto eher wird es unzulässig sein.

Frage: Wenn man keine IP Adressen speichern darf, wie kann man diese dann für die Einwilligung speichern?

So grundsätzlich stimmt das nicht, dass man keine IP Adressen speichern darf. Im Lichte der DSGVO handelt es sich zwar um ein personenbezogenes Datum. Allerdings kann auch das Interesse des Verantwortlichen an der Verarbeitung der IP-Adresse (z.B. zur Nachweisbarkeit der Einwilligung) gemäß Art. 6(1)(f) DSGVO überwiegen.

Frage: Wie genau soll man protokollieren, wie ein Opt-In eingeholt wurde?

Die zu speichernden Registrierungsdaten sind IP-Adresse, Timestamp, URL/Screenshot des Registrierungsformulars sowie – im Falle von Double-Opt-in – die exakt erhaltene Checkmail. In welcher Form das Protokoll erfolgt, das ist jedem selbst überlassen, jedoch müssen die Angaben im Beschwerdefall zeitnah und lückenlos zur Verfügung stehen.

Frage: Sind nicht zwingend fürs E-Mail-Marketing benötigten Daten wie z.B. Geschlecht oder Anrede weiterhin nutzbar?

Auch das ist eine Abwägungsfrage. Sofern ein berechtigtes Interesse des Verantwortlichen (des Marketers, z.B. bessere Abstimmung auf die Interessen des Kunden) vorliegt und die Interessen des Betroffenen (des Kunden) nicht überwiegen, kann dies auch weiterhin gemäß Art. 6(1)(f) DSGVO zulässig sein.

Frage: Muss bei Newsletter-Anmeldungen das Geburtsdatum abgefragt werden, damit man sichergehen kann, dass es keine Unter-16-Jährigen Personen sind?

Es dürfte ausreichend sein, wenn bei der Anmeldung darauf hingewiesen wird, dass die Anmeldung erst ab 16 erlaubt ist und der Anmelder mit seiner Anmeldung bestätigt, dass er zumindest 16 ist. Anders kann es aber sein, wenn sich ein Angebot in besonderem Maße an Kinder richtet. In diesem Fall wären eine weitere Überprüfung und gegebenenfalls die Einholung der Einwilligung eines Erziehungsberechtigten notwendig. Wie dies genau aussehen soll, um den Bogen nicht zu überspannen, aber auch den angestrebten Zweck zu erfüllen, steht in den Sternen (z.B. Anforderung einer Ausweiskopie per E-Mail?).

Frage: Muss die Einwilligung bei minderjährigen Bestandsabonnenten nun aktualisiert werden?

Es müssen die materiellen Voraussetzungen der DSGVO ab dem 25. Mai erfüllt werden. Liegt die Einwilligung eines Unter-16-Jährigen ohne ergänzende Zustimmung des Erziehungsberechtigten vor, dann sind die Voraussetzungen nicht erfüllt. Das heißt die Einwilligung lässt sich so ab dem Stichtag des Inkrafttretens so nicht mehr nutzen. Es muss nachgebessert werden.

Frage: Muss dem Kunden tatsächlich die Möglichkeit geboten werden, mit „einem Klick“ alle Daten, die in unterschiedlichen Systemen zu ihm vorgehalten werden, löschen zu können?

Nein. Der Verantwortliche muss die Daten nach einer entsprechenden Aufforderung des Betroffenen in der Regel binnen 30 Tagen löschen und dies dem Betroffenen bestätigen.

Frage: Wenn ich jetzt bei meiner Re-Permissioning-Kampagne Opt-Ins einholen will, kann ich eine kumulierte Permission einholen für z.B. WebExtend, Predict und E-Mail mit einem Klick?

Für die Produkte Web Extend und Predict dürfte keine ausdrückliche, gesonderte Einwilligung notwendig sein. Verlinken Sie im Rahmen Ihrer Re-Permissioning-Kampagne auf ein Formular, in dem das Newsletter-Opt-in und die datenschutzrechtliche Einwilligung separat, also über zwei Häkchen, abgefragt werden (siehe Formulierungsvorschlag oben).

Frage: Darf ich denn weiterhin pseudonymisierte Daten erheben (Tracking), um die Nutzung meiner Website weiterhin nachvollziehen zu können?

Ja, siehe oben.

Frage: Darf ich Kunden im Backend analysieren, um z.B. die Qualität einer Kundengruppe zu ermitteln, wenn ich daraufhin nur die Kunden anschreibe, die mir das Opt-in zur Personalisierung gegeben haben?

Sofern der Kunde ausreichend informiert ist (z.B. durch die Datenschutzerklärung) und eingewilligt hat (Opt-in), ist das zulässig.

Frage: Beeinträchtigt die DSGVO die Möglichkeiten des §7 Abs.3 UWG (Bestandskundenwerbung ohne Einwilligung)?

§ 7 Abs. 3 UWG in Deutschland basiert auf der ePrivacy-Richtlinie. Es gibt somit vergleichbare Regelungen innerhalb der EU. Das wird weiterhin bestehen bleiben. Es gilt das Prinzip der Einheit der Rechtsordnung. Wenn die Anforderungen von §7 Abs. 3 UWG erfüllt werden, dann ist die damit verbundene Datenverarbeitung auch nach der DSGVO weiterhin zulässig. Es handelt sich um eine besondere Regelung im Sinne von Art. 95 DSGVO. Eine Beeinträchtigung und entsprechende Entscheidungen sind in der Zukunft aber nicht auszuschließen. Warten wir ab, was die ePrivacy-Verordnung später einmal bringen wird. Der Entwurf enthält einen entsprechenden Passus…

Frage: Müssen alte Einwilligungen erneut eingeholt werden?

Die bislang rechtmäßig eingeholte Einwilligung dürfte regelmäßig auch weiterhin wirksam bleiben. Zumindest was nach bisherigem deutschen oder österreichischem Recht rechtsgültig eingeholte Einwilligungen betrifft, da die Regeln hierzu in diesen Ländern auch bisher schon praktisch der DSGVO entsprachen. Fallstricke lauern insbesondere bei Minderjährigen; künftig ist bei Kindern im Alter von bis zu 16 Jahren die Zustimmung der Eltern erforderlich. Das Alter kann aber durch die Mitgliedstaaten auch gesenkt werden, so etwa in Österreich (14 Jahre) oder im Vereinigten Königreich (13 Jahre). Dies betrifft auch Bestandsdaten. Ferner muss das Kopplungsverbot berücksichtigt werden. Die neuen Regelungen sind nicht eindeutig, allerdings werden Anforderungen strenger als sie bislang waren. Gängige Modelle wie „geben Sie mir Ihre Permission, damit Sie am Gewinnspiel teilnehmen können“ sollten vielleicht in „unter allen Abonnenten unseres Newsletters veranstalten wir ein Gewinnspiel“ umgewandelt werden. Das Resultat ist aus Sicht des Werbers ähnlich, jedoch ist die Konstellation rechtlich weniger gefährlich.

Frage: Müssen die Angaben wie „Datenherkunft“ etc. auch rückwirkend eingeholt werden?

Ja, denn diese Auskunftspflicht obliegt dem Verantwortlichen unabhängig davon, ob er einen Datensatz vor oder nach der Anwendbarkeit der DSGVO gesammelt hat. Allerdings sind Angaben über die Datenherkunft gemäß Art. 15 (1) (g) DSGVO nur dann zu machen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.

Frage: Müssen die Datenschutzbestimmungen in alle Sprachen übersetzt werden, die vom Zielpublikum verwendet werden?

Wenn die Webseite spezifisch auf ein Land zugeschnitten ist (z.B. durch die Domain „.de“), dann ja. Sonst ist eine Webseite definitionsgemäß weltweit erreichbar, und eine Übersetzung in alle Sprachen der Welt wäre völlig überschießend.

Frage: Ein Kunde möchte Auskunft über seine gespeicherten Daten haben – wie und in welcher Form kann ich diese Daten auf einfache Art und Weise dem Kunden übermitteln?

Die Form ist gesetzlich freistellt. Art. 15 (3) Satz 3 verlangt lediglich folgendes: „Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.“ Am einfachsten wird dies über E-Mail, eventuell mit angeschlossener Excel Tabelle gehen.

Frage: Gilt die DSGVO in allen EU Ländern gleich, oder gibt es nationale Änderungen?

Die DSGVO gilt grundsätzlich in allen Ländern gleich. Allerdings gibt es nationale Ergänzungsgesetze. Auch in Deutschland gibt es ein neues Bundesdatenschutzgesetz, das das Regelwerk zum Teil erweitert. Dies betrifft weniger den Marketing-Bereich, sondern eher die Themen Videoüberwachung, Scoring, Bonitätsabfragen oder auch Personaldatenverarbeitung. Insgesamt sehen viele Öffnungsklauseln in der DSGVO noch Spielräume für den nationalen Gesetzgeber vor.

Frage: Wer muss einen Datenschutzbeauftragten haben?

Vergleichen Sie hierzu Art. 37 (1) DSGVO: „Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Hiervon werden am ehesten Ziffern 2 oder 3 zutreffen. Im Zweifel wird ein Datenschutzbeauftragter zu bestellen sein.

Frage: Was sind die Pflichten eines Datenschutzbeauftragten?

Vergleichen Sie hierzu Art. 39 (1) DSGVO: „Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  4. Zusammenarbeit mit der Aufsichtsbehörde;
  5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.“

 

Frage: Welche Aufsichtsbehörde ist zuständig?

Gemäß Art. 56 (1) DSGVO ist grundsätzlich die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters zuständig. Allerdings können gemäß Art. 56 (2) DSGVO auch Behörden anderer EU-Mitgliedstaaten tätig werden, wenn bei ihnen Beschwerden einlangen oder ihnen Verstöße bekannt werden und der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.

Frage: Wie können Aufsichtsbehörden kontaktiert werden?

Der Kontakt kann formlos erfolgen, etwa über die von ihnen angegeben Kontaktmöglichkeiten (siehe etwa ihre Webseiten).

Frage: An welchen Standorten befinden sich die Emarsys-Server?

Alle Kundendaten verarbeitenden Server von Emarsys befinden sich in der EU. Weitere Informationen zum Umgang mit Daten erhalten Sie im Help-Portal unter „Datensicherheit in der Emarsys Applikation“.

HAFTUNGSAUSSCHLUSS: Die Materialien auf dieser Webseite stellen keine Rechtsberatung dar und werden nur zu allgemeinen Informationszwecken zur Verfügung gestellt. Jegliche Haftung wird, soweit gesetzlich zulässig, ausgeschlossen.

New call-to-action