Einige allgemeine Fragen zur DSGVO haben wir bereits in diesem Blogpost beantwortet:
Nachstehend behandeln wir einige weitere Fragen, die für die Nutzer der Emarsys Plattform von besonderem Interesse sind.
Wenn Sie weitere Fragen zum Datenschutz haben, stellen Sie bitte eine Supportanfrage, damit wir diese in unsere Dokumentation aufnehmen können.
Emarsys ist keine auf Datenschutzrecht spezialisierte Anwaltskanzlei und bietet keine Rechtsberatung. Wir möchten Ihnen helfen, zu verstehen, welche Auswirkungen die rechtlichen Rahmenbedingungen auf Sie als Emarsys Kunde haben; dieser Artikel geht davon aus, dass Sie die Emarsys Marketing Plattform ordnungsgemäß und entsprechend unserer Dokumentation verwenden.
Um herauszufinden, ob Sie sich in einer bestimmten Situation rechtskonform verhalten, sollten Sie stets qualifizierten juristischen Rat einholen.
Allgemeine Fragen
- Bieten Sie eine Empfehlung oder eine Vorlage für die notwendigen Inhalte (Einwilligung, jederzeitige Abbestellbarkeit, Datennutzung etc.) für Newsletter-Abonnements?
- Bietet Emarsys eine Vorlage für eine Datenverarbeitungsvereinbarung an?
- Auf welche Rechtsgrundlage muss ich mich bei der Verarbeitung personenbezogener Daten für den Newsletter berufen?
- Hat die DSGVO Auswirkungen auf den Anwendungsbereich von Paragraf 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) (Werbung gegenüber Bestandskunden ohne Einwilligung)?
- Müssen die Datenschutzbestimmungen in alle Sprachen der Zielgruppen übersetzt werden?
Einwilligung
- Müssen bestehende Einwilligungen erneuert werden, d.h. müssen sie erneut eingeholt werden?
- Wie dokumentiere ich die Umstände, unter denen die Einwilligung erteilt wurde, um jederzeit einen Opt-in-Nachweis erbringen zu können?
- Müssen Informationen wie "Datenquelle" etc. auch rückwirkend erhoben werden?
- Ist es im Rahmen des Double-Opt-In-Verfahrens zulässig, eine Bestätigungs-E-Mail erneut zu senden, wenn keine Bestätigung erfolgt ist?
- Ist das Offline Double Opt-In obligatorisch? Zum Beispiel bei einem Flyer im Geschäft - in dieser Art von Situation wird die Einwilligung automatisch mit der Übermittlung der E-Mail-Adresse impliziert. Müssen diese Kunden eine Bestätigungs-E-Mail erhalten?
- Sind für das Tracking von Öffnungen und das Tracking von Klicks jeweils eigene Einwilligungen erforderlich?
- Wie genau sollte der Opt-in-Vorgang zur Einholung der Einwilligung dokumentiert werden?
- Muss bei der Anmeldung zu einem Newsletter nach dem Geburtsdatum der Abonnenten gefragt werden, um sicherzustellen, dass diese über 16 Jahre alt sind?
- Muss die Einwilligung bestehender Abonnenten, die unter 16 Jahre alt sind, aktualisiert werden?
- Kann ich eine Re-Permissioning-Kampagne mithilfe einer kollektiven Einwilligungsanfrage vornehmen, also etwa die Genehmigung für Web Extend, Predict und E-Mail mit nur einem Klick einholen?
Datenschutzbeauftragter und zuständige Behörde
- Wer ist verpflichtet, einen Datenschutzbeauftragten zu benennen?
- Was sind die Aufgaben eines Datenschutzbeauftragten?
- Wer ist die federführende Aufsichtsbehörde?
- Wie kann eine Aufsichtsbehörde kontaktiert werden?
Geografischer Standort
- Müssen wir als Schweizer Unternehmen die neuen Anforderungen erfüllen?
- Wird die DSGVO in allen EU-Ländern einheitlich angewendet oder gibt es nationale Unterschiede?
- Wo befinden sich die Emarsys Server?
Response- und Verhaltens-Tracking
- Wird für das Web Extend Tracking eine Einwilligung erforderlich sein?
- Sind für das Tracking von Öffnungen und das Tracking von Klicks jeweils eigene Einwilligungen erforderlich?
- Wie lange werden Response-Daten gespeichert?
- Welche Daten dürfen an die Emarsys Plattform übermittelt werden - und in welcher Form?
Koppelung
- Können Gutscheine in der Bestätigungs-E-Mail beworben werden (z.B. "Bestätigen Sie jetzt und erhalten Sie einen Gutschein für XYZ")?
- Stellen die 5 Incentives, die für die Anmeldung zu einem Newsletter angeboten werden, eine "Koppelung" dar?
- Was genau verbietet das Koppelungsverbot? Was wird weiterhin erlaubt sein?
Datenmanagement
- Wenn das Speichern von IP-Adressen nicht erlaubt ist, wie können sie dann für den Nachweis der Einwilligung dokumentiert werden?
- Können Informationen, die für das E-Mail-Marketing nicht unbedingt erforderlich sind, wie z. B. Geschlecht oder Titel, trotzdem verwendet werden?
- Muss dem Kunden tatsächlich die Möglichkeit geboten werden, alle in verschiedenen Systemen gespeicherten personenbezogenen Daten mit nur einem "Klick"zu löschen?
- Darf ich weiterhin pseudonymisierte Daten sammeln (Tracking), um zu verstehen, wie meine Website genutzt wird?
- Kann ich die Backend-Daten der Kunden für Analysen nutzen, z.B. um die Qualität eines Kundensegments zu bestimmen, wenn ich dann nur jene Kunden kontaktiere, die ihre Einwilligung zur Personalisierung gegeben haben?
- Ein Kunde bittet um Auskunft über seine gespeicherten Daten. Wie lässt sich diese Auskunft am einfachsten an den Kunden übermitteln und in welcher Form sollte die Auskunft erfolgen?
Bieten Sie eine Empfehlung oder eine Vorlage für die notwendigen Inhalte (Einwilligung, jederzeitige Abbestellbarkeit, Datennutzung etc.) für Newsletter-Abonnements?
Die Einwilligung sollte immer für einen spezifischen Anwendungsfall, in Kenntnis der Sachlage und unmissverständlich gegeben werden. Der Opt-in-Text muss sich daher auf die Zusendung von Werbung beschränken und darf keine anderen Informationen oder Anweisungen enthalten. Etwas in der Art von "E-Mail-Adresse für Newsletter und Preisbenachrichtigungen" ist nicht ausreichend.
Ebenso sollte die betroffene Person (Nutzer) in der Lage sein, den Umfang der Einwilligung klar zu verstehen, d h. welches Unternehmen für welche Produkte oder Dienstleistungen wirbt.
Schließlich ist die betroffene Person vor Abgabe der Einwilligung auf ihr Recht hinzuweisen, die Einwilligung jederzeit zu widerrufen. Ein Hinweis darauf, dass der Nutzer sich jederzeit abmelden kann und welche Methoden dafür zur Verfügung stehen, kann entweder direkt erwähnt oder in den Datenschutzbestimmungen erläutert werden, wobei zumindest der Abmeldelink und die E-Mail-Adresse angegeben werden sollten.
Die Datenschutzbestimmungen sollten u.a. Folgendes enthalten: die Rechtsgrundlagen, einen Verweis auf den Newsletter (Absender, Art der E-Mails, Recht auf jederzeitige Abmeldung, Abmeldemethoden und im Falle des Opt-out für Werbung an Bestandskunden - in Deutschland gemäß Paragraf 7 Abs. 3 UWG/Gesetz gegen den unlauteren Wettbewerb - einen Passus, dass für die Abmeldung keine anderen Kosten als die Übermittlungskosten nach dem Basistarif anfallen, sowie Informationen zur Datenverarbeitung (welche Daten werden erhoben, wie werden die Daten verarbeitet, wie werden sie genutzt und wie lange werden sie gespeichert; eventuelle Dritte müssen konkret benannt werden).
Hier haben wir einige Beispieltexte für Sie zusammengestellt: Best Practices für das Opt-in.
Bietet Emarsys eine Vorlage für eine Datenverarbeitungsvereinbarung an?
Nein; wenn Sie einen Blick auf unsere Datenverarbeitungsvereinbarung werfen möchten, wenden Sie sich bitte an Ihren Client Success Manager.
Auf welche Rechtsgrundlage muss ich mich bei der Verarbeitung personenbezogener Daten für den Newsletter berufen?
Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach der Newsletter-Anmeldung ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, bzw. im Fall einer im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhaltenen E-Mail-Adresse (in Deutschland), Paragraf 7 Abs. 3 UWG (Gesetz gegen den unlauteren Wettbewerb).
Die Rechtsgrundlage für die Protokollierung des Nutzerverhaltens und des Registrierungsprozesses könnte ein berechtigtes Interesse gemäß Art. 6 (1) (f) DSGVO sein. Das berechtigte Interesse ist in diesem Fall ein qualitativ hochwertiges und technisch sicheres Newsletter-Angebot.
Hat die DSGVO Auswirkungen auf den Anwendungsbereich von Paragraf 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) (Werbung gegenüber Bestandskunden ohne Einwilligung)?
Paragraf 7 Abs. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) basiert auf der e-Privacy-Richtlinie. Folglich gibt es innerhalb der EU vergleichbare Regelungen. Paragraf 7 Absatz 3 UWG findet weiterhin Anwendung, da der Grundsatz der einheitlichen Rechtsordnung gilt.
Wenn die Voraussetzungen nach Paragraf 7 Abs. 3 UWG erfüllt sind, ist die damit verbundene Datenverarbeitung auch nach der DSGVO zulässig. Hierbei handelt es sich um eine Sonderregelung nach Art. 95 DSGVO. Ein zukünftiger Eingriff und eine daraus resultierende gerichtliche Entscheidung können jedoch nicht ausgeschlossen werden. Lassen Sie uns abwarten, wohin die e-Privacy-Verordnung letztendlich führen wird. Der Entwurf enthält eine entsprechende Klausel.
Müssen die Datenschutzbestimmungen in alle Sprachen der Zielgruppen übersetzt werden?
Wenn die Website speziell auf ein Land oder eine Region zugeschnitten ist (z. B. durch Verwendung der ".de"-Domäne), dann ja. Im Übrigen gilt jedoch: Eine Webseite ist per Definition weltweit abrufbar und eine Übersetzung in jede Sprache der Welt kann keinesfalls vorausgesetzt werden.
Müssen bestehende Einwilligungen erneuert werden, d.h. müssen sie erneut eingeholt werden?
Jede bis zu diesem Zeitpunkt rechtmäßig erteilte Einwilligung bleibt weiterhin gültig. Das gilt zumindest für Einwilligungen, die nach deutschem und österreichischem Recht eingeholt wurden, da die Regelungen zur Einwilligung in diesen Ländern bereits praktisch mit der DSGVO übereingestimmt haben.
Vor allem Minderjährige können in dieser Hinsicht ein Problem darstellen; in Zukunft wird für Kinder unter 16 Jahren die Einwilligung der Eltern erforderlich sein. Dieses Alter kann jedoch auch von einzelnen Staaten herabgesetzt werden, wie in Österreich (14 Jahre) und in Großbritannien (13 Jahre). Dies gilt auch für bestehende Daten.
Darüber hinaus ist das Koppelungsverbot zu berücksichtigen. Die neuen Regelungen sind zwar noch etwas unklar, die Anforderungen werden aber jedenfalls strenger sein als in der Vergangenheit. Beliebte Formulierungen wie "Willigen Sie ein und nehmen Sie an diesem Gewinnspiel teil" sollten vielleicht in "Alle Abonnenten unseres Newsletters nehmen automatisch an einem Gewinnspiel teil" umgewandelt werden.
Das Ergebnis ist aus Sicht des Werbetreibenden ähnlich, die Formulierung birgt jedoch weniger Risiken aus rechtlicher Sicht.
Wie dokumentiere ich die Umstände, unter denen die Einwilligung erteilt wurde, um jederzeit einen Opt-in-Nachweis erbringen zu können?
Aus technischer Sicht können Informationen wie Standort, IP-Adresse und Zeitstempel, die als Teil des Einwilligungsnachweises erforderlich sind, leicht durch ein Double-Opt-In dokumentiert werden.
Die Archivierung von Datenschutzbestimmungen und Einwilligungserklärungen sollte jedoch getrennt erfolgen. Wenn Sie beispielsweise Änderungen vornehmen, sollten Sie frühere Versionen der relevanten Webseiten aufbewahren (z. B. als Screenshots, gespeichert als PDFs oder Bilder), um die Änderungen verfolgen zu können.
Zusätzlich könnten Sie eine Kopie jeder Bestätigungsmail, die im Rahmen des Double-Opt-In verschickt wird, über die BCC-Funktion an ein internes E-Mail-Archiv senden.
Müssen Informationen wie "Datenquelle" etc. auch rückwirkend erhoben werden?
Ja. Es obliegt dem für die Verarbeitung Verantwortlichen, der Offenlegungspflicht nachzukommen, unabhängig davon, ob die Daten vor oder nach Inkrafttreten der DSGVO erhoben wurden. Allerdings ist gemäß Art. 15 (1) (g) DSGVO die Information über die Herkunft der Daten nur dann erforderlich, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.
Ist es im Rahmen des Double-Opt-In-Verfahrens zulässig, eine Bestätigungs-E-Mail erneut zu senden, wenn keine Bestätigung erfolgt ist?
Nein. Durch die DSGVO hat sich in dieser Hinsicht nichts geändert.
Ist das Offline Double Opt-In obligatorisch? Zum Beispiel bei einem Flyer im Geschäft - in dieser Art von Situation wird die Einwilligung automatisch mit der Übermittlung der E-Mail-Adresse impliziert. Müssen diese Kunden eine Bestätigungs-E-Mail erhalten?
Ein Double Opt-In ist in der DSGVO nicht ausdrücklich vorgeschrieben. Es muss jedoch nachgewiesen werden können, dass die Person, zu der die E-Mail-Adresse gehört, d.h. die Person, die befugt ist, die E-Mail-Adresse zu verwenden, die Person ist, die sich tatsächlich registriert hat, und nicht jemand anderes.
Das Double Opt-In ist die einzige praktikable und "wasserdichte" Methode, um diesen Nachweis zu erbringen.
In dieser Hinsicht unterscheidet sich Offline nicht von Online. Die Alternative wäre, jeden Flyer oder jede Unterschrift zu archivieren. Zudem schleichen sich bei der Digitalisierung handgeschriebener E-Mail-Adressen ohne doppelte Bestätigung der Einwilligung häufig Fehler ein; dadurch wird Spam nahezu unvermeidlich. Wir empfehlen daher dringend, in Fällen, in denen E-Mail-Adressen über eine Offline-Quelle übergeben wurden, diese umgehend mit einer Bestätigungs-E-Mail nachzuverfolgen.
Sind für das Tracking von Öffnungen und das Tracking von Klicks jeweils eigene Einwilligungen erforderlich?
Nein, siehe Antwort oben. In den Datenschutzbestimmungen sollte der Hinweis enthalten sein, dass Sie protokollieren, ob eine E-Mail geöffnet wurde und welche Links geklickt wurden. Die Daten werden zu Analysezwecken und zur Anpassung der E-Mail-Inhalte an die individuellen Präferenzen der Leser erhoben.
Wie genau sollte der Opt-in-Vorgang zur Einholung der Einwilligung dokumentiert werden?
Bei den zu speichernden Registrierungsdaten handelt es sich um die IP-Adresse, den Zeitstempel, eine URL/einen Screenshot des Registrierungsformulars und im Falle eines Double-Opt-In die Bestätigungs-E-Mail. Wie Sie die Aufzeichnungen aufbewahren, ist Ihre Entscheidung; im Fall einer Beschwerde müssen jedoch die Aufzeichnungen vollständig und leicht zugänglich sein, um innerhalb kurzer Zeit vorgelegt werden zu können.
Muss bei der Anmeldung zu einem Newsletter nach dem Geburtsdatum der Abonnenten gefragt werden, um sicherzustellen, dass diese über 16 Jahre alt sind?
Es sollte genügen, bei der Registrierung darauf hinzuweisen, dass die Abonnenten über 16 Jahre alt sein müssen. Mit der Registrierung bestätigen die Abonnenten sodann, dass sie zumindest 16 Jahre alt sind.
Dies ist jedoch nicht unbedingt der Fall, wenn sich ein Angebot an Kinder richtet. In diesem Fall kann es erforderlich sein, eine Verifizierung sowie die Einwilligung eines Erziehungsberechtigten einzuholen. Wie genau das erreicht werden soll, ohne über das Ziel hinauszuschießen, wird man sehen müssen (etwa durch Anforderung einer Ausweiskopie per E-Mail?).
Muss die Einwilligung bestehender Abonnenten, die unter 16 Jahre alt sind, aktualisiert werden?
Ja. Ab dem 25. Mai 2018 müssen die Grundvoraussetzungen der DSGVO erfüllt werden. Wenn die Einwilligung von Minderjährigen ohne die Einwilligung ihrer gesetzlichen Vertretung erteilt wurde, sind die Bedingungen der DSGVO nicht erfüllt. Mit anderen Worten: In diesem Fall ist die Einwilligung ab dem Datum des Inkrafttretens (25. Mai) nicht mehr gültig und muss korrigiert werden.
Kann ich eine Re-Permissioning-Kampagne mithilfe einer kollektiven Einwilligungsanfrage vornehmen, also etwa die Genehmigung für Web Extend, Predict und E-Mail mit nur einem Klick einholen?
Für Web Extend und Predict ist keine gesonderte ausdrückliche Einwilligung erforderlich. Für Ihre Re-Permissioning-Kampagne können Sie auf ein Formular verlinken, in dem das Newsletter-Opt-in und die datenschutzrechtliche Einwilligung separat, d.h. durch zwei getrennte Häkchen, abgefragt werden.
Wer ist verpflichtet, einen Datenschutzbeauftragten zu benennen?
Siehe Art. 37 (1) DSGVO: "Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."
Die Absätze 2 und 3 sind am ehesten anwendbar. Im Zweifelsfall muss jedenfalls ein Datenschutzbeauftragter bestellt werden.
Was sind die Aufgaben eines Datenschutzbeauftragten?
Siehe Art. 39 (1) DSGVO: "Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen."
Wer ist die federführende Aufsichtsbehörde?
In Übereinstimmung mit Art. 56 (1) DSGVO ist die Aufsichtsbehörde der Hauptniederlassung oder der einzelnen Niederlassungen des Verantwortlichen oder des Auftragsverarbeiters die zuständige Behörde.
Allerdings können gemäß Art. 56 (2) DSGVO auch Behörden anderer EU-Mitgliedstaaten tätig werden, wenn sie eine Beschwerde erhalten oder von einem Verstoß Kenntnis erlangen und sich der Gegenstand nur auf eine Niederlassung in ihrem Mitgliedstaat bezieht oder nur betroffene Personen in ihrem Mitgliedstaat erheblich beeinträchtigt.
Wie kann eine Aufsichtsbehörde kontaktiert werden?
Für die Kontaktaufnahme mit einer Aufsichtsbehörde gibt es kein förmliches Verfahren; sie kann über die von der Aufsichtsbehörde angegebenen Kontaktmöglichkeiten erfolgen (siehe z.B. deren Websites).
Müssen wir als Schweizer Unternehmen die neuen Anforderungen erfüllen?
Ja, denn die Datenverarbeitung durch Emarsys findet in der EU statt, und damit ist die DSGVO anzuwenden. Zudem bietet kaum ein Schweizer Websitebetreiber seine Dienste ausschließlich Kunden mit Sitz in der Schweiz und nicht Kunden mit Sitz in den umliegenden Ländern an, was gemäss Art. 3 (2) (a) DSGVO bedeutet, dass die Allgemeine Datenschutzverordnung ohnehin gilt.
Wird die DSGVO in allen EU-Ländern einheitlich angewendet oder gibt es nationale Unterschiede?
Im Wesentlichen wird ein einziges Regelwerk für alle EU-Mitgliedstaaten gelten. Einige Mitgliedstaaten werden jedoch ergänzende nationale Gesetze auflegen. Selbst in Deutschland gibt es ein neues Bundesdatenschutzgesetz, das die DSGVO in gewissem Umfang erweitert. Dabei geht es weniger um Marketing und mehr um Videoüberwachung, Scoring und Bonitätsprüfung oder die Verarbeitung personenbezogener Daten.
Zusammenfassend lässt sich sagen, dass es in der DSGVO viele sogenannte Flexibilitätsklauseln gibt, die dem nationalen Gesetzgeber einen gewissen Handlungsspielraum lassen.
Wo befinden sich die Emarsys Server?
Alle Emarsys Server, die mit der Verarbeitung von Kundendaten befasst sind, befinden sich in der EU. Weitere Informationen darüber, wie Emarsys Daten verarbeitet, finden Sie unter: Datensicherheit in Emarsys
Wird für das Web Extend Tracking eine Einwilligung erforderlich sein?
Auch wenn die DSGVO selbst dies nicht vorschreibt, muss es dennoch in den Datenschutzbestimmungen erwähnt werden und der Kunde muss den in den Datenschutzbestimmungen genannten Bedingungen zugestimmt haben (z.B. bei der Anmeldung zum Newsletter oder beim ersten Besuch der Website im Cookie-Pop-up-Fenster). Dies könnte sich jedoch mit der künftigen EU-Verordnung zum Schutz der Privatsphäre in der elektronischen Kommunikation (e-Privacy-Verordnung) ändern. Ob, wann und in welcher Form diese Richtlinie umgesetzt wird, ist derzeit noch unbekannt.
Wie lange werden Response-Daten gespeichert?
Es gibt keine fixen Vorgaben für die Dauer der Speicherung; Sie sind jedoch verpflichtet, darüber zu informieren, wie lange Sie die Daten speichern werden. In der Regel wird dieser Hinweis in die Datenschutzbestimmungen aufgenommen.
Gleichzeitig müssen Sie Verfahren einrichten, die sicherstellen, dass Daten, die nicht mehr benötigt werden oder für die es keine rechtmäßige Verwendung mehr gibt, ordnungsgemäß und rechtzeitig gelöscht werden.
Welche Daten dürfen an die Emarsys Plattform übermittelt werden - und in welcher Form?
Das Daten-Onboarding ermöglicht die Nutzung der Plattform in all ihren Facetten. Lassen Sie uns diese Frage aus einem anderen Blickwinkel erörtern: Welche Einschränkungen gibt es bei der Datenübermittlung?
Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO erfordern besondere Maßnahmen. Die Form der Übermittlung ist rechtlich unerheblich, erfolgt aber in der Regel auf elektronischem Wege.
In der Emarsys Plattform unterstützt Emarsys die Verwendung sensibler personenbezogener Daten nicht und bietet auch keine technischen Voraussetzungen, welche die Verarbeitung besonderer Kategorien personenbezogener Daten unterstützen. Sensible personenbezogene Daten sind Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, strafrechtliche Verurteilungen oder Straftaten, Bankkonto- und Kreditkartendaten, genetische Daten und biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person.
Können Gutscheine in der Bestätigungs-E-Mail beworben werden (z.B. "Bestätigen Sie jetzt und erhalten Sie einen Gutschein für XYZ")?
Nein, denn das würde bedeuten, dass die Bestätigungs-E-Mail selbst zu einer Werbung wird, und Werbung darf erst nach der Bestätigung der Anmeldung gesendet werden.
Stellen die 5 Incentives, die für die Anmeldung zu einem Newsletter angeboten werden, eine "Koppelung" dar?
Streng genommen, ja. Schließlich soll der Nutzer dazu verleitet werden, der Werbung zuzustimmen.
In der Praxis machen das jedoch alle und die Regel sollte wahrscheinlich nicht unrealistisch streng ausgelegt werden.
Der Umstand, dass diejenigen, die das Opt-in verweigern, nicht von dem Angrbot profitieren können, stellt keinen so erheblichen Nachteil dar, dass es die Freiwilligkeit der Einwilligung beeinträchtigen würde. Wichtig ist, hier nicht über das Ziel hinauszuschießen. Die Newsletter-Anmeldung muss ganz klar im Vordergrund stehen.
Was genau verbietet das Koppelungsverbot? Was wird weiterhin erlaubt sein?
Auf diese Frage gibt es keine allgemeingültige Antwort. Es kommt immer auf die individuellen Umstände des jeweiligen Falls an.
Die Koppelung des Opt-ins mit der Teilnahme an einem Gewinnspiel kann zulässig sein, wenn es alternative Teilnahmemöglichkeiten gibt, d.h. wenn der Teilnehmer die Möglichkeit hat, beispielsweise per Post oder auf andere Weise als per E-Mail am Gewinnspiel teilzunehmen. Ist diese Option nicht verfügbar, ist eine Kopplung nicht zulässig.
Zudem muss die Alternative auf dem Formular klar sichtbar angeführt werden. Wird keine Alternative angegeben, kann nicht gekoppelt werden und es muss eine eigene Checkbox für das Newsletter-Abonnement vorgesehen sein.
Generell gilt: Je mehr "Gegenleistung" für die Registrierung angeboten wird, desto wahrscheinlicher ist es, dass es nicht zulässig ist.
Wenn das Speichern von IP-Adressen nicht erlaubt ist, wie können sie dann für den Nachweis der Einwilligung dokumentiert werden?
Tatsächlich besteht kein kategorisches Verbot für das Speichern von E-Mail-Adressen. Obwohl es sich hierbei tatsächlich um personenbezogene Daten im Sinne der DSGVO handelt, überwiegt das Interesse des für die Verarbeitung Verantwortlichen an der Verarbeitung der IP-Adresse (z. B. zum Nachweis der Einwilligung) gemäß Art. 6 (1) (f) DSGVO.
Können Informationen, die für das E-Mail-Marketing nicht unbedingt erforderlich sind, wie z. B. Geschlecht oder Titel, trotzdem verwendet werden?
Auch hierbei handelt es sich um ein komplexes Thema. Wenn der für die Verarbeitung Verantwortliche ein berechtigtes Interesse hat (für den Marketer z.B. eine bessere Übereinstimmung mit den Interessen des Kunden) und die Interessen der betroffenen Person (des Kunden) nicht überwiegen, kann dies nach Art. 6 (1) (f) DSGVO weiterhin zulässig sein.
Muss dem Kunden tatsächlich die Möglichkeit geboten werden, alle in verschiedenen Systemen gespeicherten personenbezogenen Daten mit nur einem "Klick"zu löschen?
Nein. Nach Erhalt eines Antrags muss der Verantwortliche (Controller) die Daten innerhalb von 30 Tagen löschen und der betroffenen Person eine entsprechende Bestätigung zukommen lassen.
Darf ich weiterhin pseudonymisierte Daten sammeln (Tracking), um zu verstehen, wie meine Website genutzt wird?
Ja, siehe oben.
Kann ich die Backend-Daten der Kunden für Analysen nutzen, z.B. um die Qualität eines Kundensegments zu bestimmen, wenn ich dann nur jene Kunden kontaktiere, die ihre Einwilligung zur Personalisierung gegeben haben?
Ja. Wenn der Kunde ausreichend darüber informiert wurde (z.B. in den Datenschutzbestimmungen) und zugestimmt hat, ist dies zulässig.
Ein Kunde bittet um Auskunft über seine gespeicherten Daten. Wie lässt sich diese Auskunft am einfachsten an den Kunden übermitteln und in welcher Form sollte die Auskunft erfolgen?
Es gibt keine gesetzlich vorgeschriebene Form. Art. 15 (3) Satz 3 der DSGVO verlangt nur Folgendes:
"Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt."
Am einfachsten geht das per E-Mail, vielleicht mit einem angehängten Excel-Tabellenblatt.