Seit kurzem ist die DSGVO alleinig wirksam. Die Anforderungen an den Datenschutz sind gerade fĂŒr dich, als digitaler Unternehmer, eine große Herausforderung. Denn wer digital ist, der verarbeitet zumeist auch personenbezogene Daten. Und diese bedĂŒrfen eines besonderen Schutzes. Welche zentralen Inhalte und VerĂ€nderungen mit der neuen Datenschutzverordnung von dir beachtet werden mĂŒssen, erfĂ€hrst du in diesem Beitrag.

Kurzer Abriss: DSGVO – Wieso, weshalb und warum ĂŒberhaupt?

Die EU-Datenschutz-Grundverordnung ist eine neue gesetzliche Richtlinie, deren Aufgabe es ist, die Datenschutzgesetze in der gesamten EU zu harmonisieren und das Datenschutzniveau ganzheitlich anzupassen. In allen EU-LĂ€ndern werden dank der Verordnung nun personenbezogene Daten gleichermaßen geschĂŒtzt.

Die DSGVO besteht aus 99 Artikeln auf 88 Seiten. Der erste Entwurf der DSGVO wurde bereits 2011 fertiggestellt. Die vollstĂ€ndige Bezeichnung der Verordnung lautet: „Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natĂŒrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“.

Jetzt das Gratis-Ebook "Dein digitales Business" anfordern:
Ich erklÀre mich damit einverstanden, dass meine Daten zu Versandzwecken verarbeitet werden und ich weitere Informationen per e-Mail erhalten werde. Lies dazu hier bitte unsere DatenschutzerklÀrung.
 

Was es fĂŒr dich beim Newsletter zu beachten gilt

Die Datenschutz-Grundverordnung bringt fĂŒr dich vielerlei Neuerungen mit sich. Ein Bereich, in dem eine Datenverarbeitung essentiell ist, ist das E-Mail Marketing. FĂŒr E-Mail Marketer und Newsletter-Versender bedeutet die DSGVO einige neue Herausforderungen. Wir haben mit Sarah Weingarten, Content Marketing Managerin beim Berliner Newsletter-Software-Anbieter Newsletter2Go, darĂŒber gesprochen.

Anmeldeformulare

“Anmeldeformulare sind im E-Mail Marketing ein wichtiger Bestandteil. Mit Ihnen werden Adressen und Newsletter-Abonnenten gesammelt. Im Rahmen der DSGVO dĂŒrfen weiterhin mit Anmeldeformularen Adressen gesammelt werden”, sagt Sarah Weingarten. Jedoch gilt hierbei das Prinzip der Datensparsamkeit. Das bedeutet fĂŒr dich, dass fĂŒr eine Anmeldung zum Newsletter beispielsweise nur die E-Mail-Adresse abgefragt werden darf, da diese fĂŒr den Zweck der Datenverarbeitung notwendig ist. ZusĂ€tzlich musst du im Anmeldeformular klar und deutlich den Zweck fĂŒr die Erhebung der Daten kommunizieren. Ein Hinweis auf die jederzeitige Abbestellmöglichkeit sowie die DatenschutzerklĂ€rung ist ebenso obligatorisch.

Eindeutige Einwilligungen zum Newsletter-Empfang

Ein Newsletter-Versand bedarf immer einer eindeutigen Einwilligung des EmpfĂ€ngers. Eine solche Einwilligung solltest du mit dem Double-Opt-In-Verfahren einholen. Die Anmeldung zum Newsletter erfolgt mit diesem Verfahren nicht nur ĂŒber das Anmeldeformular, sondern ĂŒber eine erneute BestĂ€tigung ĂŒber ein sogenanntes Double-Opt-In-Mailing. Erst wenn der EmpfĂ€nger den Anmeldelink im Mailing bestĂ€tigt, wird er in den Verteiler aufgenommen. Die Protokollierung der Einwilligungen wird durch Newsletter Softwares zumeist automatisch vorgenommen.

Achtung: Erneute Newsletter-Einwilligungen durch das Re-Opt-In-Verfahren

Bereits mit der BDSG mussten Einwilligungen zum Newsletter-Empfang eindeutig stattfinden, also im besten Fall mit dem Double-Opt-In-Verfahren (DOI). Mit der DSGVO ist dieses Verfahren weiterhin das empfohlene. Nun stellt sich mit der DSGVO jedoch die Frage, was mit den bereits vorhandenen Einwilligungen geschieht. Sind diese rechtskrĂ€ftig und kann weiterhin an die EmpfĂ€nger verschickt werden? Zu dieser Thematik gibt es verschiedene Stellungnahmen und Auffassungen. Sind die Newsletter-Anmeldungen der letzten Jahre ĂŒber ein DOI eingeholt und protokolliert worden, so können weiterhin Newsletter an diese EmpfĂ€nger versendet werden.

“Viele Unternehmen zweifeln nun, ob sie wirklich eine Einwilligung ihrer EmpfĂ€nger haben und senden daher so genannte Re-Opt-In-Mailings, um sich die Einwilligung nachtrĂ€glich einzuholen. Den Versand solcher Mailings solltest du allerdings mit Vorsicht genießen und sind fĂŒr dich nicht uneingeschrĂ€nkt empfehlenswert. So ein Mailing kommuniziert meist ziemlich direkt, dass eigentlich davon ausgegangen wird, keine Einwilligung zu haben”, gibt Sarah Weingarten zu bedenken. Strenggenommen ist dieses Mailing also bereits Werbung fĂŒr die es eine Einwilligung brĂ€uchte. Dieses rechtliche Risiko sollte dir vor dem Versand von Re-Opt-In-Kampagnen bewusst sein. Es gibt auch in Bezug auf das Einholen erneuter Einwilligungen Ausnahmen. Diese solltest du aber ganz genau recherchieren und am Besten mit rechtlicher UnterstĂŒtzung abklĂ€ren.

Das Kopplungsverbot

Eine Kopplung ist das Verbinden von beispielsweise “kostenlosen” Gewinnspielen oder Freebies wie Whitepapern mit einer Einwilligung zum Newsletter-Empfang. Eine solche Kopplung dient dem Sammeln von Daten und ist im Rahmen der DSGVO nur noch eingeschrĂ€nkt umsetzbar. Du solltest unbedingt folgende Punkte beachten:

Kommuniziere transparent:

Eine Kopplung ist eine Art TauschgeschĂ€ft. Das solltest du auch unbedingt so kommunizieren. “Es ist wichtig, dass der Nutzer genau weiß, dass er seine Daten fĂŒr beispielsweise ein Whitepaper hergibt. Das könnte dann so formuliert werden: Melden Sie sich zu unserem Newsletter an und erhalten Sie unser Whitepaper zum Download!”, erlĂ€utert Sarah Weingarten.

Vermeide Begriffe wie ‘gratis’ und ‘kostenlos’

“Viele sind der Meinung, dass beispielsweise die Teilnahme an Webinaren eine kostenlose Leistung darstellt, wenn dafĂŒr “nur” Daten der Personen eingefordert werden. Dem ist allerdings nicht so, denn nach Auffassung des Gesetzgebers kostet die Teilnahme am Webinar Daten und ist dementsprechend kostenpflichtig.”, erlĂ€utert Sarah Weingarten. “Der Grund dafĂŒr liegt darin, dass personenbezogene Daten durchaus wirtschaftlich sind.“

Informationspflichten und Auskunftsrechte nach der DSGVO

Laut § 13 DSGVO ist auch kĂŒnftig jeder Webseitenbetreiber, der personenbezogene Daten verarbeitet, dazu verpflichtet, eine DatenschutzerklĂ€rung auf seiner Website zu implementieren. Diese stellt einen Überblick ĂŒber die Erhebung und Verarbeitung von Daten durch das jeweilige Unternehmen dar. Die Informationen mĂŒssen von dir prĂ€zise, verstĂ€ndlich und transparent dargestellt werden und außerdem leicht zugĂ€nglich sein. “Es ist eine große Herausforderungen, diese komplexen Regelungsinhalte zu beachten. Es empfiehlt sich in jedem Fall, eine datenschutzrechtliche Rechtsberatung bei einem Datenschutz-Experten aufzusuchen.”, empfiehlt Sarah Weingarten.

Neben den Informationspflichten, die ein Unternehmen hat, haben betroffene Personen nach Art. 15 DSGVO ein sogenanntes Auskunftsrecht. “Das Auskunftsrecht hat jeder Betroffene, also jeder, dessen personenbezogene Daten verarbeitet werden. Hat sich Herr MĂŒller beispielsweise bei dir fĂŒr den Newsletter angemeldet, hat er das Recht darauf, Auskunft darĂŒber zu erhalten, fĂŒr welchen Zweck seine Daten verarbeitet werden oder auch beispielsweise die geplante Dauer der Verarbeitung seiner personenbezogenen Daten.”

DarĂŒber hinaus hat die betroffene Person auch das Recht auf Berichtigung oder Löschung ihrer personenbezogenen Daten. Auch kann sie eine EinschrĂ€nkung der Verarbeitung erwirken. “Das gesamte Thema der Auskunftsrechte ist extrem komplex. Die Betroffenen haben viele Rechte, Datenverarbeiter viele Pflichten”, erklĂ€rt Sarah Weingarten. “In jedem Fall ist es wichtig, sich ganzheitlich ĂŒber diese Regelungen zu informieren. Im Internet gibt es viele Artikel und Whitepaper zum Thema Datenschutz-Grundverordnung, die schnell fĂŒr einen ersten und guten Überblick sorgen können.”

Die Zusammenarbeit mit Subunternehmen – Vertrag zur Auftragsverarbeitung

Bereits mit dem BDSG bestand eine Pflicht zum Vertrag zur Auftragsdatenverarbeitung (ADV) mit Subunternehmern. Mit der DSGVO wird sich daran kaum etwas Ă€ndern. Der (jetzt genannte) Vertrag zur Auftragsverarbeitung (AV) wird sich kaum von dem des BDSG unterscheiden. Eine wichtige VerĂ€nderung gibt es jedoch: Der Vertrag muss weiterhin schriftlich abgeschlossen werden, aber dies kann jetzt auch in einem elektronischen Format erfolgen. Dadurch werden Prozesse beschleunigt. Der AV hat das Ziel, die Weitergabe von personenbezogenen Daten an Subunternehmen zu regeln, um die PrivatsphĂ€re von Betroffenen und deren Daten zu schĂŒtzen.

Exkurs: Was bedeutet die DSGVO fĂŒr Firmen außerhalb der EuropĂ€ischen Union

Die DSGVO bezieht sich in ihrer Wirkung nicht lediglich auf die EuropĂ€ische Union. LĂ€nder außerhalb der EU sind unter bestimmten UmstĂ€nden auch betroffen. Werden beispielsweise personenbezogene Daten von Betroffenen verarbeitet, die sich innerhalb der EU befinden, so muss auch ein Unternehmen aus einem Nicht-EU-Land (also einem sogenannten Drittland) die GeschĂ€ftsablĂ€ufe den Vorgaben der EU-DSGVO anpassen. Allerdings gilt diese Regelung nur, wenn das Unternehmen den Betroffenen in der EU beispielsweise Waren oder Dienstleistungen anbieten oder Marktforschung durchfĂŒhren möchte.

“FĂŒr manche LĂ€nder liegt ein sogenannter Angemessenheitsbeschluss vor. Dieser Beschluss besagt, dass das entsprechende Drittland ein datenschutzrechtliches Schutzniveau vorweist, das der DSGVO angemessen ist. Die DatenĂŒbermittlung in ein solches Land ist also grundsĂ€tzlich möglich. Ein Beispiel wĂ€re hier die Schweiz. Arbeitet eine deutsche Firma zum Beispiel mit einem schweizer Software-Anbieter zusammen, so ist dies nach Art. 45 DSGVO möglich.”

Nicht nur die Schweiz verfĂŒgt ĂŒber einen solchen Angemessenheitsbeschluss. Auch Argentinien, Andorra, Kanada, Neuseeland, Israel, Uruguay und die Faröer Inseln haben ein angemessenes Datenschutzniveau.

Jetzt das Gratis-Ebook "Dein digitales Business" anfordern:
Ich erklÀre mich damit einverstanden, dass meine Daten zu Versandzwecken verarbeitet werden und ich weitere Informationen per e-Mail erhalten werde. Lies dazu hier bitte unsere DatenschutzerklÀrung.