Crashkurs: Datenschutz-Grundverordnung Teil 3

Im zweiten Teil der Beitragsreihe wurden Voraussetzungen von Einwilligungen, Datenbestände aus Drittquellen und die Nachweispflicht genauer angeschaut und erläutert.

Hier ist besonders wichtig anzufügen, dass trotz des Wegfallens der schriftlichen Bestätigung, eine Nachweispflicht für Anbieter besteht. Die Datenverarbeiter müssen die Einwilligungen nachweisen, anderenfalls fallen die Zweifel zu ihren Lasten. In diesem letzten Teil der Blogreihe,  werden wichtigsten Änderungen und Auswirkungen auf die Bereiche Lead Management und E-Mail-Datenschutz zusammengefasst. Außerdem wird darauf eingegangen, welche Schritte Sie bereits jetzt umsetzen sollten und können.
Viele der grundsätzlichen Neuerungen der DSGVO wirken sich auf Lead Management und E-Mail-Marketing aus. In diesem Beitrag wird in einer abschliessenden Kontrolliste aufgezeigt, mit welchen Änderungen unsere Kunden und Partner im Zusammenhang mit der Email-Marketing- und Lead-Management-Software rechnen müssen.

Kontrolliste

Einwilligung und Dokumentationspflicht
Im Online-Formular sollte eine eine Einwilligungserklärung mit dem Hinweis auf das Widerrufsrecht formuliert sein und mit einer nicht vorab angeklickten Checkbox verbunden sein, sodass es klar wird, dass die betroffene Person eingewilligt hat, die Daten zur Weiterverarbeitung abzugeben. Es kann sehr viel Zeit in Anspruch nehmen, ein Verfahrensverzeichnis anzufertigen. Hierzu gibt es im Web viele Mustervorlagen und Hinweise. Bei Verletzungen des Datenschutzes ist dies binnen 72 Stunden nach Bekanntwerden bei der zuständigen Behörde zu melden. Legen Sie hierfür bereits jetzt die Zuständigkeiten für Ihr E-Mail-Marketing und Ihr Lead Management fest und beginnen Sie damit, das Verfahrensverzeichnis so früh wie möglich zu erstellen.

Privatsphäre und Löschungen
Es sollte darauf geachtet werden, dass auch beispielsweise bei der Lead-Generierung überprüft wird, ob und welche Daten aus einer Sammlung gelöscht werden können und sollten. Hierbei gelten die Grundsätze der Datensparsamkeit und der Datensicherheit – so sollten bei der Privacy Default die Voreinstellungen so eingestellt werden, dass nur für den Zweck erforderliche, personenbezogene Daten verarbeitet werden müssen. Vom Recht ihre Daten im Internet löschen zu lassen, werden Nutzer künftig Gebrauch machen können. Die Verantwortung liegt beim Unternehmen, dass solch eine Anfrage umgesetzt wird und die Information von einem Löschungsbegehren des Nutzers auch an weitere betroffene Unternehmen weiterzuleiten.

Das Geltungsgebiet und Strafen
Die DSGVO gilt auch für jene Unternehmen, die nicht innerhalb der EU niedergelassen sind – sofern diese Daten von EU-Bürgern verarbeiten.
Auch gilt das Marktortprinzip: Die DSGVO findet auch Anwendung, wenn sich ein Angebot an den nationalen Markt innerhalb der EU richtet.
Bei Verstößen gegen die Datenschutzrichtlinien drohen hohe Geldstrafen sowie Schadensersatzforderungen der betroffenen Nutzer.

Die Auftragsverarbeitung
Anbieter von Cloud-Diensten müssen gewährleisten, dass geeignete technische und organisatorische Maßnahmen vorliegen, um den Anforderungen des Datenschutzes und der Datensicherheit zu entsprechen. Dieser Nachweis kann auch über Zertifikate wie etwa die Norm ISO/IEC 27001 erbracht werden.

Nutzung und Widerrufsrecht
Die DSGVO vereinfacht die Nutzung personenbezogener Daten im Marketingbereich deutlich. Künftig stehen kommerzielle Interessen im Fokus.
Dies bedeutet jedoch immer noch dass man als Unternehmen von den Personen eine ausdrückliche Einwilligung des Betroffenen einholen müssen. Bei der Datenabfrage entlang Ihrer Strecke müssen Sie die Grundsätze der Transparenz, Zweckbindung, Datensparsamkeit und der begrenzten Speicherung beachten. Dies bedeutet im E-Mail-Marketing: Neben dem Hinweis auf das Widerrufsrecht (in der Einwilligungserklärung) muss in jeder einzelnen E-Mail eine Abmeldemöglichkeit integriert sein.

Double-Opt-In-Verfahren
Wichtig ist hierbei, dass die Freiwilligkeit und Nachvollziehbarkeit der Einwilligung vorhanden sein müssen und dass das Unternehmen zum Nachweis verpflichtet ist. Auch im E-Mail-Marketing basiert die Verarbeitung personenbezogener Daten – wie oben erwähnt – zu Werbezwecken weiterhin auf der Einwilligung des Betroffenen.
Bereits jetzt kann man Online-Formulare mit einer dazugehörenden Checkbox mit Einwilligungserklärung ergänzen. . Da die Einwilligung nachweisbar sein muss, protokollieren Sie jeden Schritt des Double-Opt-in-Prozesses.

Datenübertragung
Sie sollten prüfen, ob ihr System den Datenexport per Schnittstelle oder in üblichen Formaten ermöglicht. Dies ist wichtig, weil die DSGVO die Speicherung von Daten in maschinenlesbarer und strukturierter Form – und schützt damit das Recht der Betroffenen.

Fazit

Wenn man nun denkt, dass der Datenschutz im Unternehmen genauso kompliziert geworden ist wie die Abgabe der Steuererklärung, hat man wahrscheinlich Recht.

Das Verzeichnis der Verarbeitungstätigkeiten sollte mindestens einmal im Jahr und bei Änderungen aktualisiert werden. Des weiteren wird es bei Unternehmen mit mehreren Beschäftigten und mehreren Verarbeitungsprozessen häufig wirtschaftlich sinnvoller sein, Fachleute für diese Aufgabe zu beauftragen. Vor allem wenn eigene Datenschutzkapazitäten fehlen, können externe Datenschutzbeauftragte oder spezialisierte Rechtsanwälte bei der Befolgung all der Rechenschaftspflichten Unterstützung leisten. Im Fall der aufwendigen Datenschutz-Folgenabschätzung wird dies sicher notwendig sein.

Ob sich das Datenschutzniveau durch die Formalisierung des Datenschutzes steigert, werden wir mit der Zeit sehen. Angesichts des Aufwandes ist dies zu hoffen.