Die Einwilligung sollte immer für einen spezifischen Anwendungsfall, in Kenntnis der Sachlage und unmissverständlich gegeben werden. Der Opt-in-Text muss sich daher auf die Zusendung von Werbung beschränken und darf keine anderen Informationen oder Anweisungen enthalten. Etwas in der Art von "E-Mail-Adresse für Newsletter und Preisbenachrichtigungen" ist nicht ausreichend.

Ebenso sollte die betroffene Person (Nutzer) in der Lage sein, den Umfang der Einwilligung klar zu verstehen, d h. welches Unternehmen für welche Produkte oder Dienstleistungen wirbt.

Schließlich ist die betroffene Person vor Abgabe der Einwilligung auf ihr Recht hinzuweisen, die Einwilligung jederzeit zu widerrufen. Ein Hinweis darauf, dass der Nutzer sich jederzeit abmelden kann und welche Methoden dafür zur Verfügung stehen, kann entweder direkt erwähnt oder in den Datenschutzbestimmungen erläutert werden, wobei zumindest der Abmeldelink und die E-Mail-Adresse angegeben werden sollten.

Die Datenschutzbestimmungen sollten u.a. Folgendes enthalten: die Rechtsgrundlagen, einen Verweis auf den Newsletter (Absender, Art der E-Mails, Recht auf jederzeitige Abmeldung, Abmeldemethoden und im Falle des Opt-out für Werbung an Bestandskunden - in Deutschland gemäß Paragraf 7 Abs. 3 UWG/Gesetz gegen den unlauteren Wettbewerb - einen Passus, dass für die Abmeldung keine anderen Kosten als die Übermittlungskosten nach dem Basistarif anfallen, sowie Informationen zur Datenverarbeitung (welche Daten werden erhoben, wie werden die Daten verarbeitet, wie werden sie genutzt und wie lange werden sie gespeichert; eventuelle Dritte müssen konkret benannt werden).

Hier haben wir einige Beispieltexte für Sie zusammengestellt: Best Practices für das Opt-in.

Nein; wenn Sie einen Blick auf unsere Datenverarbeitungsvereinbarung werfen möchten, wenden Sie sich bitte an Ihren Client Success Manager.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach der Newsletter-Anmeldung ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, bzw. im Fall einer im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhaltenen E-Mail-Adresse (in Deutschland), Paragraf 7 Abs. 3 UWG (Gesetz gegen den unlauteren Wettbewerb).

Die Rechtsgrundlage für die Protokollierung des Nutzerverhaltens und des Registrierungsprozesses könnte ein berechtigtes Interesse gemäß Art. 6 (1) (f) DSGVO sein. Das berechtigte Interesse ist in diesem Fall ein qualitativ hochwertiges und technisch sicheres Newsletter-Angebot.

Paragraf 7 Abs. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) basiert auf der e-Privacy-Richtlinie. Folglich gibt es innerhalb der EU vergleichbare Regelungen. Paragraf 7 Absatz 3 UWG findet weiterhin Anwendung, da der Grundsatz der einheitlichen Rechtsordnung gilt.

Wenn die Voraussetzungen nach Paragraf 7 Abs. 3 UWG erfüllt sind, ist die damit verbundene Datenverarbeitung auch nach der DSGVO zulässig. Hierbei handelt es sich um eine Sonderregelung nach Art. 95 DSGVO. Ein zukünftiger Eingriff und eine daraus resultierende gerichtliche Entscheidung können jedoch nicht ausgeschlossen werden. Lassen Sie uns abwarten, wohin die e-Privacy-Verordnung letztendlich führen wird. Der Entwurf enthält eine entsprechende Klausel.

Wenn die Website speziell auf ein Land oder eine Region zugeschnitten ist (z. B. durch Verwendung der ".de"-Domäne), dann ja. Im Übrigen gilt jedoch: Eine Webseite ist per Definition weltweit abrufbar und eine Übersetzung in jede Sprache der Welt kann keinesfalls vorausgesetzt werden.

Jede bis zu diesem Zeitpunkt rechtmäßig erteilte Einwilligung bleibt weiterhin gültig. Das gilt zumindest für Einwilligungen, die nach deutschem und österreichischem Recht eingeholt wurden, da die Regelungen zur Einwilligung in diesen Ländern bereits praktisch mit der DSGVO übereingestimmt haben.

Vor allem Minderjährige können in dieser Hinsicht ein Problem darstellen; in Zukunft wird für Kinder unter 16 Jahren die Einwilligung der Eltern erforderlich sein. Dieses Alter kann jedoch auch von einzelnen Staaten herabgesetzt werden, wie in Österreich (14 Jahre) und in Großbritannien (13 Jahre). Dies gilt auch für bestehende Daten.

Darüber hinaus ist das Koppelungsverbot zu berücksichtigen. Die neuen Regelungen sind zwar noch etwas unklar, die Anforderungen werden aber jedenfalls strenger sein als in der Vergangenheit. Beliebte Formulierungen wie "Willigen Sie ein und nehmen Sie an diesem Gewinnspiel teil" sollten vielleicht in "Alle Abonnenten unseres Newsletters nehmen automatisch an einem Gewinnspiel teil" umgewandelt werden.

Das Ergebnis ist aus Sicht des Werbetreibenden ähnlich, die Formulierung birgt jedoch weniger Risiken aus rechtlicher Sicht.

Aus technischer Sicht können Informationen wie Standort, IP-Adresse und Zeitstempel, die als Teil des Einwilligungsnachweises erforderlich sind, leicht durch ein Double-Opt-In dokumentiert werden.

Die Archivierung von Datenschutzbestimmungen und Einwilligungserklärungen sollte jedoch getrennt erfolgen. Wenn Sie beispielsweise Änderungen vornehmen, sollten Sie frühere Versionen der relevanten Webseiten aufbewahren (z. B. als Screenshots, gespeichert als PDFs oder Bilder), um die Änderungen verfolgen zu können.

Zusätzlich könnten Sie eine Kopie jeder Bestätigungsmail, die im Rahmen des Double-Opt-In verschickt wird, über die BCC-Funktion an ein internes E-Mail-Archiv senden.

Ja. Es obliegt dem für die Verarbeitung Verantwortlichen, der Offenlegungspflicht nachzukommen, unabhängig davon, ob die Daten vor oder nach Inkrafttreten der DSGVO erhoben wurden. Allerdings ist gemäß Art. 15 (1) (g) DSGVO die Information über die Herkunft der Daten nur dann erforderlich, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.

Nein. Durch die DSGVO hat sich in dieser Hinsicht nichts geändert.

Ein Double Opt-In ist in der DSGVO nicht ausdrücklich vorgeschrieben. Es muss jedoch nachgewiesen werden können, dass die Person, zu der die E-Mail-Adresse gehört, d.h. die Person, die befugt ist, die E-Mail-Adresse zu verwenden, die Person ist, die sich tatsächlich registriert hat, und nicht jemand anderes.

Das Double Opt-In ist die einzige praktikable und "wasserdichte" Methode, um diesen Nachweis zu erbringen.

In dieser Hinsicht unterscheidet sich Offline nicht von Online. Die Alternative wäre, jeden Flyer oder jede Unterschrift zu archivieren. Zudem schleichen sich bei der Digitalisierung handgeschriebener E-Mail-Adressen ohne doppelte Bestätigung der Einwilligung häufig Fehler ein; dadurch wird Spam nahezu unvermeidlich. Wir empfehlen daher dringend, in Fällen, in denen E-Mail-Adressen über eine Offline-Quelle übergeben wurden, diese umgehend mit einer Bestätigungs-E-Mail nachzuverfolgen.

Nein, siehe Antwort oben. In den Datenschutzbestimmungen sollte der Hinweis enthalten sein, dass Sie protokollieren, ob eine E-Mail geöffnet wurde und welche Links geklickt wurden. Die Daten werden zu Analysezwecken und zur Anpassung der E-Mail-Inhalte an die individuellen Präferenzen der Leser erhoben.

Bei den zu speichernden Registrierungsdaten handelt es sich um die IP-Adresse, den Zeitstempel, eine URL/einen Screenshot des Registrierungsformulars und im Falle eines Double-Opt-In die Bestätigungs-E-Mail. Wie Sie die Aufzeichnungen aufbewahren, ist Ihre Entscheidung; im Fall einer Beschwerde müssen jedoch die Aufzeichnungen vollständig und leicht zugänglich sein, um innerhalb kurzer Zeit vorgelegt werden zu können.

Es sollte genügen, bei der Registrierung darauf hinzuweisen, dass die Abonnenten über 16 Jahre alt sein müssen. Mit der Registrierung bestätigen die Abonnenten sodann, dass sie zumindest 16 Jahre alt sind.

Dies ist jedoch nicht unbedingt der Fall, wenn sich ein Angebot an Kinder richtet. In diesem Fall kann es erforderlich sein, eine Verifizierung sowie die Einwilligung eines Erziehungsberechtigten einzuholen. Wie genau das erreicht werden soll, ohne über das Ziel hinauszuschießen, wird man sehen müssen (etwa durch Anforderung einer Ausweiskopie per E-Mail?).

Ja. Ab dem 25. Mai 2018 müssen die Grundvoraussetzungen der DSGVO erfüllt werden. Wenn die Einwilligung von Minderjährigen ohne die Einwilligung ihrer gesetzlichen Vertretung erteilt wurde, sind die Bedingungen der DSGVO nicht erfüllt. Mit anderen Worten: In diesem Fall ist die Einwilligung ab dem Datum des Inkrafttretens (25. Mai) nicht mehr gültig und muss korrigiert werden.

Für Web Extend und Predict ist keine gesonderte ausdrückliche Einwilligung erforderlich. Für Ihre Re-Permissioning-Kampagne können Sie auf ein Formular verlinken, in dem das Newsletter-Opt-in und die datenschutzrechtliche Einwilligung separat, d.h. durch zwei getrennte Häkchen, abgefragt werden.

Siehe Art. 37 (1) DSGVO: "Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."

Die Absätze 2 und 3 sind am ehesten anwendbar. Im Zweifelsfall muss jedenfalls ein Datenschutzbeauftragter bestellt werden.

Siehe Art. 39 (1) DSGVO: "Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
3. Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen."

In Übereinstimmung mit Art. 56 (1) DSGVO ist die Aufsichtsbehörde der Hauptniederlassung oder der einzelnen Niederlassungen des Verantwortlichen oder des Auftragsverarbeiters die zuständige Behörde.

Allerdings können gemäß Art. 56 (2) DSGVO auch Behörden anderer EU-Mitgliedstaaten tätig werden, wenn sie eine Beschwerde erhalten oder von einem Verstoß Kenntnis erlangen und sich der Gegenstand nur auf eine Niederlassung in ihrem Mitgliedstaat bezieht oder nur betroffene Personen in ihrem Mitgliedstaat erheblich beeinträchtigt.

Für die Kontaktaufnahme mit einer Aufsichtsbehörde gibt es kein förmliches Verfahren; sie kann über die von der Aufsichtsbehörde angegebenen Kontaktmöglichkeiten erfolgen (siehe z.B. deren Websites).

Ja, denn die Datenverarbeitung durch Emarsys findet in der EU statt, und damit ist die DSGVO anzuwenden. Zudem bietet kaum ein Schweizer Websitebetreiber seine Dienste ausschließlich Kunden mit Sitz in der Schweiz und nicht Kunden mit Sitz in den umliegenden Ländern an, was gemäss Art. 3 (2) (a) DSGVO bedeutet, dass die Allgemeine Datenschutzverordnung ohnehin gilt.

Im Wesentlichen wird ein einziges Regelwerk für alle EU-Mitgliedstaaten gelten. Einige Mitgliedstaaten werden jedoch ergänzende nationale Gesetze auflegen. Selbst in Deutschland gibt es ein neues Bundesdatenschutzgesetz, das die DSGVO in gewissem Umfang erweitert. Dabei geht es weniger um Marketing und mehr um Videoüberwachung, Scoring und Bonitätsprüfung oder die Verarbeitung personenbezogener Daten.

Zusammenfassend lässt sich sagen, dass es in der DSGVO viele sogenannte Flexibilitätsklauseln gibt, die dem nationalen Gesetzgeber einen gewissen Handlungsspielraum lassen.

Alle Emarsys Server, die mit der Verarbeitung von Kundendaten befasst sind, befinden sich in der EU. Weitere Informationen darüber, wie Emarsys Daten verarbeitet, finden Sie unter: Datensicherheit in Emarsys

Auch wenn die DSGVO selbst dies nicht vorschreibt, muss es dennoch in den Datenschutzbestimmungen erwähnt werden und der Kunde muss den in den Datenschutzbestimmungen genannten Bedingungen zugestimmt haben (z.B. bei der Anmeldung zum Newsletter oder beim ersten Besuch der Website im Cookie-Pop-up-Fenster). Dies könnte sich jedoch mit der künftigen EU-Verordnung zum Schutz der Privatsphäre in der elektronischen Kommunikation (e-Privacy-Verordnung) ändern. Ob, wann und in welcher Form diese Richtlinie umgesetzt wird, ist derzeit noch unbekannt.

Es gibt keine fixen Vorgaben für die Dauer der Speicherung; Sie sind jedoch verpflichtet, darüber zu informieren, wie lange Sie die Daten speichern werden. In der Regel wird dieser Hinweis in die Datenschutzbestimmungen aufgenommen.

Gleichzeitig müssen Sie Verfahren einrichten, die sicherstellen, dass Daten, die nicht mehr benötigt werden oder für die es keine rechtmäßige Verwendung mehr gibt, ordnungsgemäß und rechtzeitig gelöscht werden.

Das Daten-Onboarding ermöglicht die Nutzung der Plattform in all ihren Facetten. Lassen Sie uns diese Frage aus einem anderen Blickwinkel erörtern: Welche Einschränkungen gibt es bei der Datenübermittlung?

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO erfordern besondere Maßnahmen. Die Form der Übermittlung ist rechtlich unerheblich, erfolgt aber in der Regel auf elektronischem Wege.

In der Emarsys Plattform unterstützt Emarsys die Verwendung sensibler personenbezogener Daten nicht und bietet auch keine technischen Voraussetzungen, welche die Verarbeitung besonderer Kategorien personenbezogener Daten unterstützen. Sensible personenbezogene Daten sind Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, strafrechtliche Verurteilungen oder Straftaten, Bankkonto- und Kreditkartendaten, genetische Daten und biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person.

Nein, denn das würde bedeuten, dass die Bestätigungs-E-Mail selbst zu einer Werbung wird, und Werbung darf erst nach der Bestätigung der Anmeldung gesendet werden.

Streng genommen, ja. Schließlich soll der Nutzer dazu verleitet werden, der Werbung zuzustimmen.

In der Praxis machen das jedoch alle und die Regel sollte wahrscheinlich nicht unrealistisch streng ausgelegt werden.

Der Umstand, dass diejenigen, die das Opt-in verweigern, nicht von dem Angrbot profitieren können, stellt keinen so erheblichen Nachteil dar, dass es die Freiwilligkeit der Einwilligung beeinträchtigen würde. Wichtig ist, hier nicht über das Ziel hinauszuschießen. Die Newsletter-Anmeldung muss ganz klar im Vordergrund stehen.

Auf diese Frage gibt es keine allgemeingültige Antwort. Es kommt immer auf die individuellen Umstände des jeweiligen Falls an.

Die Koppelung des Opt-ins mit der Teilnahme an einem Gewinnspiel kann zulässig sein, wenn es alternative Teilnahmemöglichkeiten gibt, d.h. wenn der Teilnehmer die Möglichkeit hat, beispielsweise per Post oder auf andere Weise als per E-Mail am Gewinnspiel teilzunehmen. Ist diese Option nicht verfügbar, ist eine Kopplung nicht zulässig.

Zudem muss die Alternative auf dem Formular klar sichtbar angeführt werden. Wird keine Alternative angegeben, kann nicht gekoppelt werden und es muss eine eigene Checkbox für das Newsletter-Abonnement vorgesehen sein.

Generell gilt: Je mehr "Gegenleistung" für die Registrierung angeboten wird, desto wahrscheinlicher ist es, dass es nicht zulässig ist.

Tatsächlich besteht kein kategorisches Verbot für das Speichern von E-Mail-Adressen. Obwohl es sich hierbei tatsächlich um personenbezogene Daten im Sinne der DSGVO handelt, überwiegt das Interesse des für die Verarbeitung Verantwortlichen an der Verarbeitung der IP-Adresse (z. B. zum Nachweis der Einwilligung) gemäß Art. 6 (1) (f) DSGVO.

Auch hierbei handelt es sich um ein komplexes Thema. Wenn der für die Verarbeitung Verantwortliche ein berechtigtes Interesse hat (für den Marketer z.B. eine bessere Übereinstimmung mit den Interessen des Kunden) und die Interessen der betroffenen Person (des Kunden) nicht überwiegen, kann dies nach Art. 6 (1) (f) DSGVO weiterhin zulässig sein.

Nein. Nach Erhalt eines Antrags muss der Verantwortliche (Controller) die Daten innerhalb von 30 Tagen löschen und der betroffenen Person eine entsprechende Bestätigung zukommen lassen.

Ja, siehe oben.

Ja. Wenn der Kunde ausreichend darüber informiert wurde (z.B. in den Datenschutzbestimmungen) und zugestimmt hat, ist dies zulässig.

Es gibt keine gesetzlich vorgeschriebene Form. Art. 15 (3) Satz 3 der DSGVO verlangt nur Folgendes:

"Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt."

Am einfachsten geht das per E-Mail, vielleicht mit einem angehängten Excel-Tabellenblatt.