Was Sie über die DSGVO wissen sollten

Die Datenschutz-Grundverordnung (DSGVO) ist eine neue Verordnung zum Schutz personenbezogener Daten in der EU, die am 25. Mai 2018 in Kraft tritt.

Ihr Erlass dient dem Schutz der EU-Bürger vor Privatsphären- und Datenschutzverletzungen, die mit der zunehmenden Digitalisierung einhergehen.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EC und dient der Verbesserung der bisherigen Richtlinien mit dem Ziel, eine sicherere Umgebung für die Verbraucher und ihre Daten zu schaffen.

Für Unternehmen, insbesondere für Marketer, verändert sich durch die DSGVO nicht nur die Kommunikation mit den Kunden, sondern auch die Art und Weise, wie sie deren Daten erfassen und verarbeiten. Was sich für Ihr Unternehmen in Zukunft durch die DSGVO verändert, erfahren Sie im Folgenden.

Was steckt hinter der DSGVO und warum wurde sie erlassen?

Viele Unternehmen blicken der bevorstehenden Einführung der DSGVO eher beunruhigt entgegen. Dabei gibt es keinen Grund zur Sorge, denn im Wesentlichen bietet die DSGVO Verbrauchern die Möglichkeit, die Verarbeitung ihrer Daten stärker zu regulieren und selbst zu bestimmen.

Und wenn man darüber nachdenkt, ergibt das auch einen Sinn. Denn als Marketer gehören uns die Kundendaten nicht – wir leihen sie uns lediglich aus. Unsere Kunden vertrauen uns ihre Daten an, damit wir für sie individuelle, relevante Erlebnisse für den Kauf bieten können.

Leider missbrauchen viele Unternehmen diese Daten für andere Zwecke, was sich negativ auf das Kundenerlebnis auswirkt. Unternehmen, die E-Mail-Listen weiterverkaufen oder Kunden unaufgeforderte E-Mails zusenden, nachdem diese ein Formular ausgefüllt haben, erzeugen ein unangenehmes Kundenerlebnis und viele Spam-Benachrichtigungen.

Deshalb sollten Marketer ihre Werbematerialien auch nur Kunden übermitteln, die dieser Kommunikation ausdrücklich zugestimmt haben. Schließlich ist beim E-Mail-Marketing nicht die Länge der Kontaktliste entscheidend, sondern vielmehr die Qualität der Interaktion mit den einzelnen Kunden.

Vielleicht hat Massenwerbung früher funktioniert – und vermutlich gab es eine Zeit lang keine bessere Alternative. Doch mittlerweile ist der „Spray-and-Pray“-Ansatz überholt. Wenn ein Nutzer einem Unternehmen seine Daten anvertraut, erwartet er als Gegenleistung ein persönlicheres Kundenerlebnis.

Durch die Massenerfassung von Kundendaten über verschiedene Kanäle hinweg erhöht sich zudem das Risiko, dass diese Informationen in die falschen Hände gelangen. Die DSGVO dient dem Schutz der Verbraucher und ermöglicht ihnen ein Mitspracherecht bei der Verarbeitung ihrer jeweiligen Daten.

Häufig gestellte Fragen zur DSGVO

Ob Sie gerade erst in die Thematik einsteigen oder bereits mit der DSGVO vertraut sind: Im Folgenden finden Sie Antworten zu den am häufigsten gestellten Fragen zur neuen Verordnung.

Was ist die DSGVO?

Die DSGVO ist die neue Datenschutz-Grundverordnung der EU. Sie ersetzt die Datenschutzrichtlinie, die in den letzten 20 Jahren Bestand hatte. Die neue Verordnung dient hauptsächlich dazu, Einzelpersonen mehr Schutz und Rechte einzuräumen und den Missbrauch personenbezogener Daten zu verringern, indem Unternehmen striktere Vorgaben bei der Datenerfassung auferlegt werden (z. B. in Bezug auf die Art der Verarbeitung und die Aufbewahrungsfrist).

Worin unterscheidet sich die Verordnung von den bisherigen Gesetzen?

Zurzeit unterscheiden sich die Datenschutzgesetze in der EU von Land zu Land. Die DSGVO vereinheitlicht Bestimmungen und verändert die Art der Verarbeitung personenbezogener Daten. Als EU-Verordnung tritt die DSGVO ab dem 25. Mai 2018 für alle EU-Länder in Kraft.

Ich befinde mich nicht in der EU. Muss ich mich trotzdem an die DSGVO halten?

Ja. Alle Unternehmen, die Daten von EU-Bürgern erfassen, müssen sich an die neuen Verordnungen halten, andernfalls drohen ihnen Bußgelder. Selbst Unternehmen mit Sitz außerhalb der EU müssen die Vorgaben einhalten, wenn sie Daten von EU-Bürgern exportieren und verarbeiten.

Was versteht man unter personenbezogenen Daten?

Personenbezogene Daten sind all jene Angaben, die direkt oder indirekt einer bestimmten Einzelperson zugeordnet werden können. Dazu gehören beispielsweise Namen, E-Mail-Adressen, Fotos, Bankkontodetails, Kreditkarteninformationen, Veröffentlichungen in sozialen Netzwerken, IP-Adressen usw.

Was passiert bei einem Verstoß gegen die DSGVO?

Denjenigen Unternehmen, die gegen die neue Verordnung verstoßen, drohen Bußgelder. Die Höhe der Bußgelder richtet sich nach der Art und Schwere des Verstoßes und kann sich auf bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes des Unternehmens belaufen.

Was ist bei der Einhaltung der DSGVO zu beachten?

Die neue Verordnung umfasst folgende Änderungen:

• Strengere Anforderungen bei der Einwilligung: Unternehmen müssen Verbrauchern transparent und verständlich darlegen, was genau eine Einwilligung bedeutet bzw. was sie umfasst. Auch der Widerruf der Einwilligung muss so einfach wie das Erteilen derselben sein.
• Meldung von Datenverlusten: Bei einer Datenschutzverletzung müssen Unternehmen ihre Kontakte innerhalb von 72 Stunden darüber in Kenntnis setzen.
• Auskunftsrecht: Verbraucher haben zukünftig Anspruch darauf, zu erfahren, wie, wo und zu welchem Zweck die sie betreffenden personenbezogenen Daten verarbeitet werden. Unternehmen müssen ihnen daraufhin kostenlos eine Kopie der sie betreffenden personenbezogenen Daten in einem elektronischen Format bereitstellen.
• Recht auf Vergessenwerden: Die Verbraucher können verlangen, dass die sie betreffenden personenbezogenen Daten gelöscht und von den Unternehmen nicht mehr verwendet werden.
• Recht auf Datenübertragbarkeit: Die Verbraucher haben das Recht, die sie betreffenden personenbezogenen Daten zu erhalten und diese einem anderen Verantwortlichen zur weiteren Verarbeitung zu übermitteln.
• Datenschutz durch Technikgestaltung: Durch die DSGVO steigt auch die Notwendigkeit, die Systeme zur Datenerfassung von Grund auf an die neuen Anforderungen anzupassen.Vom Einsatz von Add-Ons und nachträglichen Änderungen ist langfristig abzuraten.
• Datenschutzbeauftragte: Gegebenenfalls sind Unternehmen verpflichtet, einen Datenschutzbeauftragten (DSB) zu beschäftigen.

Für welche Unternehmen gilt die Pflicht zur Beschäftigung eines Datenschutzbeauftragten?

Die Beschäftigungspflicht eines Datenschutzbeauftragten gemäß DSGVO besteht für Unternehmen, die als Behörden oder öffentliche Stellen agieren, regelmäßig Personen im umfangreichen Maße überwachen sowie für Organisationen, deren Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien von Daten vorsieht, z.B. in Bezug auf Gesundheitsakten und strafrechtliche Verurteilungen.

Was sich für Marketer durch die DSGVO ändert

Das Inkrafttreten der neuen Verordnung zieht eine Reihe von Änderungen in der Erfassung, Nutzung und Verarbeitung personenbezogener Daten in der EU nach sich. Im Folgenden sind die Änderungen näher erläutert, die Sie als Marketer in Zukunft betreffen.

Datenerfassung

Die erste große Änderung betrifft die Art und Weise, wie personenbezogene Daten vom Nutzer erfasst werden dürfen. Bisher genügte ein standardmäßig angekreuztes Kästchen auf einer Webseite aus, um vom Nutzer die Einwilligung zur Nutzung seiner Daten für Werbezwecke zu erhalten. Doch mit der DSGVO ist diese Art der Datenerfassung nicht mehr zulässig.

Da die Einwilligung gemäß DSGVO „freiwillig, bestimmt, informiert und unmissverständlich“ sein muss, müssen Sie in Zukunft bei der Erfassung von Kundendaten mit mehr Bedacht vorgehen. Wenngleich vorangekreuzte Kästchen nicht mehr beweiskräftig sind, ist es ausreichend und zulässig, dass Nutzer auf einer Webseite selbst ein Kästchen anklicken, ein Formular ausfüllen oder ihre Präferenzen aktualisieren, um ihre Einwilligung zur Erfassung ihrer Daten zu erteilen.

Anforderungen gegenüber der Einwilligung

Die Anforderungen gegenüber der eindeutigen Einwilligung haben sich in der DSGVO deutlich verschärft. Generische Aussagen wie „Wir erfassen Ihre personenbezogenen Daten, um unseren Service für Sie zu optimieren“ reichen nicht mehr aus, um sich die Einwilligung zur Datenerfassung zu sichern. Damit die Einwilligung gemäß der neuen Verordnung als gegeben gilt, müssen Sie Folgendes klar angeben:

• Welche personenbezogenen Daten werden Sie verarbeiten (Namen, Informationen zum Surfverhalten, Adressen…)?
• Wie werden Sie diese Daten verarbeiten?
• Wer wird diese Daten verarbeiten (einschl. Ihnen, Datenverarbeitern, Dritten)?
• Warum erfassen Sie diese Daten (zum Versand von E-Mails, zur Auswertung von Website-Aktivitäten, zur Auslieferung von Facebook-Anzeigen)?
• Wann werden die Daten verarbeitet (einschl. der Angabe der Aufbewahrungsfrist)?

Nachweisbare Einwilligung

Die DSGVO gilt für alle neu sowie bisher erfassten Daten. Auf Anfrage müssen Marketer nachweisen können, dass sie die Einwilligung der Nutzer für die Verwendung der sie betreffenden personenbezogenen Daten eingeholt haben. Für die folgenden Nutzerkategorien sind entsprechende Nachweise vorzulegen:

• Bestandskunden: Die Einwilligung liegt im Rahmen einer „bestehenden Kundenbeziehung“ vor. Achten Sie darauf, dass die Dauer einer solchen Beziehung realistisch ist und dass Sie die Kommunikation Ihrer Inhalte auf bestehende Beziehungen beschränken (z.B. gemäß UWG, § 7 (3)).
• Ehemalige Kunden: Sie dürfen personenbezogene Daten nur erfassen, wenn Ihnen die ausdrückliche Einwilligung der entsprechenden Kunden im Rahmen einer „bestehenden Kundenbeziehung“ (siehe oben) oder einer laufenden E-Mail-Aktivität (z.B. Interaktionen mit dem Empfänger) vorliegt. Der alleinige Versand von E-Mails an den Empfänger reicht als Grund nicht aus.
• Aktive Newsletter-Abonnenten ohne Einwilligungsnachweis: Für eine laufende E-Mail-Aktivität müssen Sie nachweisen können, dass Ihr E-Mail-Programm im Rahmen einer „bestehenden Kundenbeziehung“ relevante Services anbietet.
• Inaktive Newsletter-Abonnenten: Sie dürfen personenbezogenen Daten von Nutzern nur speichern, wenn Ihnen deren aktuelle Einwilligung vorliegt bzw. im Rahmen einer „bestehenden Kundenbeziehung“ oder einer laufenden E-Mail-Aktivität.
• Neue und wieder aktive Kunden/Newsletter-Abonnenten: Sie sollten die Nachweise zur ausdrücklichen Einwilligung speichern (beispielsweise, dass der Nutzer das Kästchen an besagtem Datum/zu dieser Uhrzeit von der IP-Adresse X aus angeklickt hat, um der Verarbeitung seiner Daten zum Zweck Y zuzustimmen).

Nachweisbare Einwilligung

Für den Versand von E-Mails müssen Sie gemäß DSGVO nachweisen können, dass Ihnen die entsprechende Einwilligung des Kunden vorliegt. Bitte beachten Sie, dass diese Einwilligung für alle Zwecke zur Datenerfassung erforderlich ist – auch für die Offline-Kontaktaufnahme per Post oder Telefon.

Für die Einwilligung zur Datenerfassung sind folgende Angaben zu speichern:

• Datum und Uhrzeit der erteilten Einwilligung
• Art der Einwilligung
• Eine Referenzkopie des Anmeldeformulars inkl. des genauen Wortlauts der Einwilligung

Datenschutzerklärung

Wie bereits erwähnt, erfordert die DSGVO deutlich mehr Transparenz bei der Datenerfassung. Sie als Marketer müssen nachweisen können, dass der Nutzer Ihnen seine „informierte Einwilligung“ zur Erfassung seiner Daten erteilt hat und dass er weiß, zu welchem Zweck Sie diese verarbeiten.

Sie sollten Nachweise zu Datenschutzerklärungen, eingeholten Einwilligungen und Aktivitäten zur Datenverarbeitung aufbewahren, um nachweisen zu können, dass Sie mit der ausdrücklichen Erlaubnis des Nutzers agieren.

Beispiel einer gültigen Datenschutzerklärung des britischen Information Commissioner’s Office (ICO). IDiese ist klar und transparent formuliert und leicht zugänglich.

Einsatz von Double-Opt-In-Verfahren

Um nachzuweisen, dass Ihnen die Erlaubnis des Nutzers zur Verarbeitung seiner Daten vorliegt, benötigen Sie eine beweiskräftige Einwilligungserklärung. Dafür eignet sich optimal das Double-Opt-In-Verfahren: Der Nutzer muss dazu seine E-Mail-Adresse bestätigen und wird anschließend darum gebeten, eine weitere Aktion zur Einwilligung vorzunehmen.

Double-Opt-Ins sind gemäß DSGVO nicht zwingend erforderlich. Es genügt, dass Sie dem Nutzer klar und transparent mitteilen, wie Sie mit den ihn betreffenden personenbezogenen Daten verfahren werden und dass der Nutzer seine Einwilligungserklärung durch Anklicken eines Kästchens mit dem Wortlaut „Ja, ich stimme zu“ oder „Ich bin damit einverstanden“ erteilt. Double-Opt-Ins sind lediglich eine effektive Maßnahme, um eine nachweisbare Einwilligungserklärung einzuholen.

Marketingaktivitäten für Ihre bestehende Datenbank

Bevor Sie Marketinginhalte an Kontakte in Ihrer Datenbank versenden, vergewissern Sie sich, dass diese den Vorgaben der DSGVO entspricht. Damit Sie die einzelnen Nutzer zu Werbezwecken kontaktieren dürfen, müssen Ihnen die jeweiligen Einwilligungserklärungen vorliegen. Außerdem benötigen Sie die ausdrückliche Einwilligung des Nutzers für jeden Kanal – nicht nur für den E-Mail-Verkehr.

Die Zeit zum Einholen aller nötigen Einwilligungen Ihrer inaktiver Abonnenten, ist begrenzt. Wir empfehlen Ihnen daher, Ihre Kontakte möglichst schnell und wirkungsvoll mit entsprechenden Maßnahmen anzusprechen (z.B. durch Incentives, Rabattaktionen oder Upgrades ). Wenn Abonnenten davon überzeugt sind, dass sich die Kommunikation mit Ihrem Unternehmen lohnt, werden sie dem Erhalt Ihrer Werbemaßnahmen zustimmen.

Folgen der Nichteinhaltung

Was passiert mit Unternehmen, die ab dem 25. Mai nicht den Anforderungen der DSGVO entsprechen? Diesen Unternehmen drohen Bußgelder von bis zu 20 Millionen Euro bzw. 4% ihres gesamten weltweit erzielten Jahresumsatzes, wenn sie gegen die DSGVO verstoßen. Dabei richtet sich die Höhe der Geldbußen nach der Art und dem Schweregrad des jeweiligen Verstoßes.

Emarsys unterstützt Sie bei der Umstellung

Viele in der EU agierende Marketer und Unternehmen haben sich in den letzten Jahren umfassend mit der Umstellung auf sicherere Datenschutzrichtlinien auseinandergesetzt. So auch Emarsys. Seit 2009 halten wir uns strikt an die vorgegebenen Richtlinien – und empfehlen Ihnen, dasselbe zu tun.

Obwohl das Inkrafttreten der DSGVO für viele zunächst kompliziert und besorgniserregend klingen mag, sind wir davon überzeugt, dass sich das Marketing dadurch positiv verändern wird. Die DSGVO revolutioniert den Datenschutz und gibt Nutzern die Möglichkeit, die Kontrolle über ihre Daten zurückzuerlangen. Übrigens: Wenn Sie sich bereits an die bestehenden Datenschutzgesetze halten, sind Sie auf dem richtigen Weg.

Für unsere Kunden, die Schritt mit den Neuerungen auf dem Markt halten möchten, stellt die DSGVO eine weitere Möglichkeit dar, das Erlebnis für ihre Kunden zu optimieren. Besonders in Ländern mit strikteren Datenschutzgesetzen scheinen unsere Kunden durch die Umstellung oft bessere Ergebnisse mit ihren Marketingaktivitäten zu erzielen. Was ist der Grund dafür? Kunden wurden im Vorfeld genau über die Verarbeitung ihrer Daten informiert und Marketer können dadurch mit optimalen und aussagekräftigen Daten arbeiten.

Wir bei Emarsys bieten unseren Kunden perfekt auf sie zugeschnittene Personalisierungslösungen an. Dabei unterstützen wir Sie auch bei der ordnungsgemäßen Erfassung, Speicherung und Verarbeitung von Daten.

Mit dem richtigen Partner an Ihrer Seite ist die Umstellung auf die DSGVO einfach und unproblematisch.

► Sie möchten sich auf die DSGVO vorbereiten? Dann werfen Sie einen Blick auf unser Webinar: DSGVO: Ruhe bewahren, Maßnahmen ergreifen, Compliance sicherstellen).

HAFTUNGSAUSSCHLUSS: Die Inhalte des Webinars sind ausschließlich für Informationszwecke bestimmt und stellen keine Rechtsberatung dar.