In diesem Blogpost haben wir bereits einige allgemeine Fragen bezüglich der DSGVO beantwortet:
Im Folgenden haben wir einige zusätzliche Fragen speziell für Nutzer der Emarsys Marketing Plattform zusammengestellt.
Wenn Sie weitere Fragen zum Datenschutz haben, erstellen Sie bitte eine Supportanfrage, damit wir die Fragen in unserer Dokumentation berücksichtigen können.
Emarsys ist keine auf den gesetzlichen Datenschutz spezialisierte Anwaltskanzlei. Wir möchten Ihnen dabei helfen, zu verstehen, welchen Einfluss dieses Gesetz auf Sie als Emarsys-Kunden haben kann. Wir gehen in diesem Artikel davon aus, dass Sie die Emarsys Marketing Plattform ordnungsgemäß, entsprechend unserer Dokumentation, verwenden.
Bitte wenden Sie sich stets an eine qualifizierte Rechtsberatung, um festzustellen, ob Sie in einer bestimmten Situation gesetzeskonform handeln, oder nicht.
Allgemein
- Bietet Emarsys eine Empfehlung oder Vorlage für die Inhalte (Einwilligung, jederzeit kündbar, Nutzung der Daten etc.), die bei einer Newsletter-Anmeldung angezeigt werden sollten?
- Bietet Emarsys eine Vorlage für die Datenverarbeitungsvereinbarung?
- Was ist die Rechtsgrundlage für die Datenverarbeitung beim Newsletter, die ich benennen soll?
- Beeinträchtigt die DSGVO die Möglichkeiten des §7 Abs. 3 (UWG) des Gesetzes gegen unlauteren Wettbewerb (Versand von Werbung an Bestandskunden ohne Einwilligung)?
- Müssen die Datenschutzbestimmungen in alle Sprachen übersetzt werden, die das Zielpublikum verwendet?
Einwilligung
- Müssen alte Einwilligungen erneuert, d.h. noch einmal eingeholt werden?
- Wie protokolliere ich die Umstände der Einwilligung, um jederzeit den Opt-in-Nachweis erbringen zu können?
- Müssen Informationen wie „Datenherkunft“ etc. ebenfalls rückwirkend eingeholt werden?
- Ist es im Rahmen des Double-Opt-in-Verfahrens zulässig, eine Checkmail erneut zu versenden, falls die Bestätigung ausbleibt?
- Ist das Offline-Double-Opt-in zwingend erforderlich? Beispielsweise bei einem Flyer in einem Geschäft - in einer solchen Situation wird die Einwilligung automatisch beim Einreichen der E-Mail-Adresse vorausgesetzt. Muss diesen Kunden eine Bestätigungs-E-Mail gesendet werden?
- Erfordert das Tracking von Klicks und Öffnungen eine separate Einwilligung?
- Wie genau soll die Protokollierung einer Opt-in-Anfrage erfolgen?
- Muss bei Newsletter-Anmeldungen das Geburtsdatum abgefragt werden, damit man sichergehen kann, dass die Abonnenten älter als 16 Jahre sind?
- Muss die Einwilligung bei minderjährigen Bestandsabonnenten nun aktualisiert werden?
- Wenn ich im Rahmen einer Re-Permissioning-Kampagne Einwilligungen einholen will, kann ich dafür kumulierte Anfragen verwenden und so die Einwilligung für z.B. Web Extend, Predict und E-Mail mit nur einem Klick einholen?
Datenschutzstelle und Aufsichtsbehörde
- Wer muss einen Datenschutzbeauftragten haben?
- Was sind die Pflichten eines Datenschutzbeauftragten?
- Welche Aufsichtsbehörde ist zuständig?
- Wie können Aufsichtsbehörden kontaktiert werden?
Geografischer Standort
- Müssen wir als Schweizer Unternehmen die neuen Auflagen erfüllen?
- Gilt die DSGVO in allen EU-Ländern gleich oder gibt es nationale Unterschiede?
- Wo befinden sich die Emarsys Server?
Reaktions- und Verhaltens-Tracking
- Benötigt man eine Einwilligung für das Web Extend Tracking?
- Erfordert das Tracking von Klicks und Öffnungen eine separate Einwilligung?
- Wie lange werden Response-Daten vorgehalten?
- Welche Daten darf man in die Emarsys Marketing Plattform transferieren, und in welcher Form?
Kopplung
- Dürfen Gutscheine in der Checkmail beworben werden (z.B. "Bestätigen Sie jetzt und Sie erhalten einen Gutschein für XYZ")?
- Gilt die 5€-Incentivierung bei der Newsletter-Anmeldung als „Kopplung“?
- Was genau ist durch das Kopplungsverbot künftig ausgeschlossen? Was ist weiterhin erlaubt?
Datenmanagement
- Wenn man keine IP-Adressen speichern darf, wie kann man diese dann zur Dokumentation der Einwilligung speichern?
- Sind nicht zwingend für das E-Mail-Marketing erforderliche Daten, wie z.B. Geschlecht oder Anrede, weiterhin nutzbar?
- Muss dem Kunden tatsächlich die Möglichkeit geboten werden, mit „einem Klick“ alle Daten, die in unterschiedlichen Systemen zu ihm vorgehalten werden, zu löschen?
- Darf ich weiterhin pseudonymisierte Daten erheben (Tracking), um die Nutzung meiner Website nachvollziehen zu können?
- Darf ich die Backend-Daten der Kunden analysieren, um z.B. den Wert eines Kundensegments zu ermitteln, wenn ich in Folge nur jene Kunden anschreibe, die mir das Opt-in zur Personalisierung gegeben haben?
- Ein Kunde möchte Auskunft über seine gespeicherten Daten haben - wie und in welcher Form kann ich dem Kunden diese Daten auf einfache Art und Weise übermitteln?
Bieten Sie eine Vorlage für eine Datenverarbeitungsvereinbarung an?
Nein, aber holen Sie sich gern Inspirationen aus unserem Dokument: Die Emarsys Datenverarbeitungsvereinbarung.
Hat die DSGVO Einfluss auf § 7 Abs. 3 (UWG) des Gesetzes gegen unlauteren Wettbewerb (Versand von Werbung an Bestandskunden ohne Einwilligung)?
§ 7 3 UWG (Gesetz gegen unlauteren Wettbewerb) beruht auf der Datenschutzrichtlinie für elektronische Kommunikation. Folglich bestehen in der EU vergleichbare Regelungen. Er wird also weiterhin anwendbar sein. Es gilt das Prinzip einer einheitlichen Rechtsordnung.
Sind die Voraussetzungen gemäß § 7 Abs. 3 UWG erfüllt, dann ist die damit verbundene Datenverarbeitung auch im Rahmen der DSGVO zulässig. Dies ist eine besondere Regelung entsprechend Art. 95 DSGVO. Mögliche künftige Beeinträchtigungen und daraus resultierende rechtliche Entscheidungen können jedoch nicht ausgeschlossen werden. Es gilt abzuwarten, wohin die Datenschutzrichtlinie für elektronische Kommunikation letztendlich führen wird. Der Entwurf enthält eine für dieses Anliegen relevante Klausel.
Müssen die Datenschutzrichtlinien in die Sprachen der jeweiligen Zielgruppen übersetzt werden?
Wenn die Webseite auf ein bestimmtes Land zugeschnitten ist (z.B. durch Verwendung einer ".de"-Domain), dann ja. Andernfalls ist eine Webseite per Definition weltweit zugänglich und eine Übersetzung in jede Sprache der Welt wäre völlig übertrieben.
Müssen ältere Einwilligungen erneuert werden, d.h. müssen diese erneut eingeholt werden?
Alle Einwilligungen, die bisher rechtmäßig eingeholt wurden, bleiben weiterhin gültig. Oder zumindest die Einwilligungen, die entsprechend deutscher oder österreichischer Gesetze eingeholt wurden, da die Einwilligungsbestimmungen in diesen Ländern bereits DSGVO-konform waren.
Vor allem Minderjährige können diesbezüglich einen Stolperstein darstellen. Zukünftig wird die Einwilligung der Eltern für Kinder unter 16 Jahren erforderlich sein. Dieses Alter kann jedoch von den Mitgliedstaaten verringert werden, wie beispielsweise in Österreich (14 Jahre) und im Vereinigten Königreich (13 Jahre). Dies gilt auch für bestehende Daten.
Darüber hinaus muss das Kopplungsverbot beachtet werden. Während die neuen Vorschriften etwas mehrdeutig sind, werden die Anforderungen strenger werden, als sie in der Vergangenheit waren. Beliebte Textpassagen wie "Schreiben Sie sich ein und Sie werden an diesem Wettbewerb teilnehmen" sollten vielleicht in "all unsere Newsletter-Abonnenten werden automatisch an einem Wettbewerb teilnehmen" umgewandelt werden.
Das Ergebnis wird aus der Sicht des Werbetreibenden ähnlich sein, aber die Formulierung stellt aus rechtlicher Sicht ein geringeres Risiko dar.
Wie dokumentiere ich die Umstände, unter denen eine Einwilligung erteilt wurde, um jederzeit einen Opt-in-Nachweis erbringen zu können?
Aus technischer Sicht können Informationen wie Standort, IP-Adresse und Zeitstempel, die im Rahmen des Einwilligungsnachweises benötigt werden, anhand eines Double-Opt-in Verfahrens leicht dokumentiert werden.
Die Archivierung von Datenschutzrichtlinien und Einwilligungserklärungen sollte jedoch getrennt durchgeführt werden. Wenn Sie beispielsweise Änderungen vornehmen, sollten Sie frühere Versionen relevanter Webseiten aufbewahren (z.B. in Form von Screenshots als PDFs oder Bilder), um Änderungen nachvollziehen zu können.
Darüber hinaus können Sie mit der BCC-Funktion eine Kopie jeder Bestätigungs-E-Mail, die im Zuge eines Double-Opt-in Verfahrens versendet wird, ebenfalls an ein internes E-Mail-Archiv senden.
Müssen Informationen wie die "Datenquelle" usw. auch nachträglich noch eingeholt werden?
Ja. Dem Verantwortlichem obliegt die Erfüllung der Offenlegungspflicht, unabhängig davon, ob die Daten vor oder nach Inkrafttreten der DSGVO eingeholt wurden. Art. 15 (1) (g) DSGVO besagt jedoch, dass Informationen über die Datenquelle nur dann bereitgestellt werden müssen, wenn die personenbezogenen Daten nicht von der betroffenen Person (dem Datensubjekt) selbst eingeholt wurden.
Ist es im Hinblick auf das Double-Opt-in Verfahren zulässig, eine Bestätigungs-E-Mail erneut zu senden, wenn keine Bestätigung erteilt wurde?
Nein. Die DSGVO hat diesbezüglich nichts verändert.
Ist das Double-Opt-in offline zwingend notwendig? Beispielsweise bei einem Flyer in einem Geschäft - in einer solchen Situation wird die Einwilligung automatisch beim Einreichen der E-Mail-Adresse vorausgesetzt. Muss diesen Kunden eine Bestätigungs-E-Mail gesendet werden?
Die DSGVO fordert nicht ausdrücklich ein Double-Opt-in Verfahren. Es muss jedoch bewiesen werden, dass die E-Mail-Adresse tatsächlich dieser Person gehört, also, dass die Person, die sich registriert hat, auch wirklich die Befugnis hat, diese E-Mail-Adresse zu verwenden.
Das Double-Opt-in stellt das einzige durchführbare und "wasserdichte" Verfahren dar, um einen solchen Beweis einzuholen.
Offline ist in diesem Fall nicht anders als online. Die Alternative wäre, jeden Flyer oder jede Unterschrift zu archivieren. Bei der Digitalisierung handschriftlicher E-Mail-Adressen schleichen sich zudem häufig Fehler ein. Ohne eine doppelte Einwilligung ist Spam daher unvermeidlich. Wir empfehlen daher dringend, dass Sie E-Mail-Adressen, die offline empfangen wurden, umgehend eine Bestätigungs-E-Mail senden.
Muss für das Online-Verhaltens-Tracking eine separate Einwilligung eingeholt werden?
Nein, beachten Sie die vorherige Antwort. In den Datenschutzrichtlinien sollte angegeben werden, dass Sie protokollieren, ob eine E-Mail geöffnet wurde, auf welche Links geklickt wurde und wie Sie dies verfolgen. Die Daten werden zu Analysezwecken gesammelt und auch, um E-Mail-Inhalte an individuelle Leserpräferenzen anzupassen.
Wie genau sollte das Opt-in Verfahren zur Sicherstellung der Einwilligung dokumentiert werden?
Die zu speichernden Registrierungsdaten umfassen die IP-Adresse, den Zeitstempel, eine URL / einen Screenshot des Anmeldeformulars und im Falle eines Double-Opt-in die genaue Bestätigungs-E-Mail. Wie diese Daten aufbewahrt werden, kann individuell entschieden werden. Im Falle einer Beschwerde müssen die vollständigen Daten allerdings schnell verfügbar sein, damit sie zeitnah vorgelegt werden können.
Muss die Einwilligung bestehender Abonnenten, die jünger als 16 Jahre sind, aktualisiert werden?
Ja. Seit dem 25. Mai 2018 müssen die Grundvoraussetzungen der DSGVO erfüllt werden. Hat ein Minderjähriger seine Einwilligung ohne die eines Erziehungsberechtigten erteilt, so werden die Bedingungen der DSGVO nicht erfüllt. Anders ausgedrückt bedeutet dies, dass die Einwilligung ab Datum des Inkrafttretens (25. Mai) nicht mehr gültig ist und infolgedessen aktualisiert werden muss.
Darf ich beim Durchführen einer Re-Permissioning-Kampagne eine kollektive Einwilligungsanfrage mit nur einem Klick versenden, z. B. für Web Extend, Predict und E-Mail?
Für Web Extend und Predict sind keine gesonderten, ausdrücklichen Einwilligungen erforderlich. Für Ihre Re-Permissioning-Kampagne können Sie einen Link verwenden, der zu einem Formular führt, in dem die Einwilligung zum Newsletter und die zum Datenschutz separat angefordert werden, z. B. durch zwei separate Häkchen.
Wer ist dazu verpflichtet, einen Datenschutzbeauftragten zu haben?
Siehe Art. 37 (1) DSGVO: "Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln;
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen; oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."
Die Absätze 2 und 3 sind mit hoher Wahrscheinlichkeit zutreffend. Sollte ein Zweifel bestehen, muss ein Datenschutzbeauftragter ernannt werden.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Siehe Art. 39 (1) DSGVO: "Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen."
Müssen wir als Schweizer Unternehmen die neuen Anforderungen erfüllen?
Ja, da die Datenverarbeitung von Emarsys in der EU stattfindet und somit der DSGVO unterliegt. Zudem kommt es wohl äußerst selten vor, dass ein Schweizer Webseitenbetreiber seine Dienstleistungen ausschließlich für Kunden in der Schweiz anbietet, nicht aber für Kunden in den umliegenden Ländern, was gemäß Art. 3 (2) (a) DSGVO bedeutet, dass die Datenschutz-Grundverordnung ohnehin gilt.
Wird die DSGVO in allen EU-Staaten gleichermaßen angewandt oder bestehen nationale Unterschiede?
Im Wesentlichen gilt ein einheitliches Regelwerk für alle EU-Mitgliedstaaten. Einige Mitgliedstaaten werden jedoch zusätzliche nationale Rechtsvorschriften anwenden. Auch in Deutschland gibt es ein neues Bundesdatenschutzgesetz, das die Regeln teilweise erweitert. Hierbei geht es weniger um Marketing und mehr um Videoüberwachung, Scoring und Bonitätsauskünfte oder die Verarbeitung personenbezogener Daten.
Im Großen und Ganzen gibt es in der DSGVO viele sogenannte Flexibilitätsklauseln, die dem nationalen Gesetzgeber einen gewissen Spielraum verleihen.
Wo befinden sich die Emarsys-Server?
Alle Emarsys-Server, die Kundendaten verarbeiten, befinden sich in der EU. Weitere Informationen zur Datenverarbeitung von Emarsys finden Sie hier: Datensicherheit bei Emarsys.
Muss für das Web Extend Tracking eine Einwilligung eingeholt werden?
Während die DSGVO selbst dies nicht verlangt, muss es in den Datenschutzrichtlinien dennoch erwähnt werden und der Kunde muss den dort aufgeführten Bedingungen zugestimmt haben (z.B. bei der Registrierung für den Newsletter oder beim erstmaligen Besuch der Webseite im Cookie-Pop-Up-Fenster). Dies könnte sich jedoch mit der künftigen EU-Datenschutzrichtlinie für elektronische Kommunikation ändern. Ob, wann und in welcher Form diese Richtlinie in Kraft treten wird, ist noch unklar.
Wie lange werden Reaktionsdaten aufbewahrt?
Hierzu besteht keine festgelegte Frist. Sie sind allerdings dazu verpflichtet, Auskunft darüber zu geben, wie lange die Daten aufbewahrt werden. In der Regel wird diese Information in den Datenschutzrichtlinien angegeben.
Außerdem müssen Sie ein System einrichten, um sicherzustellen, dass Daten, die nicht mehr benötigt werden oder für die keine rechtmäßige Verwendung mehr besteht, ordnungsgemäß und zeitnah entfernt werden.
Welche Daten dürfen in welcher Form auf die Emarsys Marketing Plattform übertragen werden?
Die Datenübertragung ermöglicht es, die Plattform mit all ihren Facetten zu nutzen. Aber lassen Sie uns diese Frage aus einem anderen Blickwinkel beantworten: Welche Einschränkungen gibt es beim Datentransfer?
Spezielle Kategorien personenbezogener Daten erfordern gemäß Art. 9 DSGVO außerordentliche Maßnahmen. Zu diesen speziellen Kategorien gehören beispielsweise Daten zu politischen oder religiösen Ansichten oder zu Gesundheit, sexuellen Präferenzen oder ethnischer Zugehörigkeit. Alle anderen Daten können problemlos verarbeitet werden, sofern die allgemeinen Bedingungen, wie die Einwilligung der betroffenen Person (Datensubjekt), erfüllt werden.
Die Form der Übermittlung ist vom rechtlichen Standpunkt aus nicht relevant, erfolgt aber in der Regel elektronisch.
Darf in Bestätigungs-E-Mails mit Gutscheinen geworben werden (z. B. "Bestätigen Sie jetzt und Sie erhalten einen Gutschein für XYZ")?
Nein, denn das würde bedeuten, dass die Bestätigungs-E-Mail selbst zu einer Werbeanzeige wird und diese dürfen erst nach der Anmeldebestätigung versendet werden.
Was genau untersagt das Kopplungsverbot? Was ist weiterhin erlaubt?
Diese Frage kann nicht allgemein beantwortet werden. Es kommt immer auf die jeweiligen Umstände jedes einzelnen Falles an.
Das Koppeln der Opt-in mit der Teilnahme an einem Wettbewerb kann erlaubt sein, wenn es alternative Möglichkeiten zur Teilnahme gibt, also dann, wenn der Teilnehmer die Möglichkeit hat, an dem Wettbewerb auf einem anderen Weg als per E-Mail, beispielsweise per Post, teilzunehmen. Wenn diese Möglichkeit nicht besteht, ist das Koppeln nicht gestattet.
Die Alternative muss auf dem Formular außerdem deutlich angegeben sein. Wenn es keine Alternative gibt, können diese Dinge nicht gekoppelt werden und für das Newsletter-Abonnement muss ein separates Auswahlfeld hinzugefügt werden.
Ganz generell gilt: Je mehr "im Gegenzug" zur Registrierung angeboten wird, desto wahrscheinlicher ist es, dass es nicht zulässig ist.
Wenn das Aufbewahren von IP-Adressen nicht gestattet ist, wie können diese dann zu Nachweiszwecken der Einwilligung dokumentiert werden?
Es stimmt nicht grundsätzlich, das IP-Adressen nicht gespeichert werden dürfen. Obwohl dies im Sinne der DSGVO tatsächlich als personenbezogene Information betrachtet wird, überwiegt hier das Interesse des Verantwortlichen an der Verarbeitung der IP-Adresse (z.B. für den Einwilligungsnachweis) gemäß Art. 6 (1) (f) DSGVO.
Können Informationen, die für das E-Mail-Marketing nicht unbedingt benötigt werden, wie Geschlecht oder Titel, weiterhin verwendet werden?
Auch dies ist ein komplexes Thema. Hat der Verantwortliche ein rechtmäßiges Interesse (für den Marketer beispielsweise eine Verbesserung des Abgleichs der Kundeninteressen) und überwiegen die Interessen des Datensubjektes (des Kunden) nicht, so kann dies gemäß Artikel 6 (1) (f) DSGVO nach wie vor zulässig sein.
Muss dem Kunden tatsächlich angeboten werden, alle auf verschiedenen Systemen gespeicherten, personenbezogenen Daten mit nur einem Klick löschen zu können?
Nein. Nach Erhalt einer Anfrage muss der Verantwortliche die Daten innerhalb von 30 Tagen löschen und eine entsprechende Bestätigung an die betroffene Person (Datensubjekt) senden.
Darf ich weiterhin pseudonymisierte Daten sammeln (Tracking), um auch weiterhin einen Einblick zu haben, wie meine Webseite genutzt wird?
Ja, siehe oben.
Kann ich vorliegende Kundendaten für Auswertungen verwenden, z.B. um die Qualität einer Kundengruppe zu ermitteln, wenn ich dann nur die Kunden kontaktiere, die einer Personalisierung zugestimmt haben?
Ja. Wenn der Kunde hierüber ausreichend informiert wurde (z.B. in den Datenschutzrichtlinien) und dem zugestimmt hat, ist dies zulässig.
Ein Kunde fordert Informationen über seine gespeicherten Daten an, wie kann ich dem Kunden diese Informationen am einfachsten übermitteln und welches Format sollten diese haben?
Das Format ist gesetzlich nicht vorgeschrieben. Art. 15 Abs. 3 Satz 3 DSGVO schreibt nur Folgendes vor:
"Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern die Person nichts anderes angibt."
Am einfachsten ist es, eine E-Mail, vielleicht mit beigefügter Excel-Tabelle, zu versenden.