Erhalten Sie einen Überblick über das must-have zur rechtssicheren Datenverarbeitung. Bitte beachten sie, die Rechtslage ändert sich ständig. Bevor sie eigene Adressdaten speichern oder bewerben wollen, empfehlen wir Ihnen jedoch die Rücksprache mit einem Rechtsanwalt.
Die EU-Datenschutz-Grundverordnung ist eine gesetzliche Richtlinie der Europäischen Union. Sie dient dazu die Datenschutzgesetze in den unterschiedlichen EU Mitgliedsstaaten zu harmonisieren. In allen Ländern soll daher ein gleiches Schutzniveau für personenbezogene Daten gelten. Da bisher jeder Mitgliedsstaat seine eigenen Gesetze für den Schutz der Privatsphäre und die Datensicherheit erlassen hast, soll dies mit der Datenschutz Grundverordnung (DSGVO) nun vereinheitlicht werden. Die DSGVO wird dabei insgesamt 99 Artikel lang sein.
Ab wann gilt die DSGVO?
Die Datenschutz-Grundverordnung gilt ab 25. Mai 2018. Bis dahin gilt in Polen das sogenannte Bundesdatenschutzgesetz.
Ziel der EU-DSGVO ist es, das Gesetz innerhalb der Europäischen Union zu harmonisieren und zu vereinfachen. Dies kommt sowohl den Endverbrauchern als auch den Unternehmen zugute. Endverbraucher können sich zukünftig sicher sein, sich in einem gleichen Rechtsraum, wie in Polen, innerhalb der Europäischen Union zu bewegen und werden nicht mehr durch unterschiedliche Rechte in den unterschiedlichen Mitgliedstaaten verwirrt. Unternehmen, die international Handel betreiben, profitieren von den einheitlichen gesetzlichen Anforderungen und können damit Kunden aus den unterschiedlichen Ländern gleichbehandeln. Dies vereinfacht die internen Prozesse und sorgt für mehr Effizienz.
Sind Unternehmen nach Datenschutz Grundverordnung verpflichtet, einen Datenschutzbeauftragten zu benennen?
In der EU-Datenschutz-Grundverordnung wird diese Pflicht vermutlich aufgelockert. Ab Mai 2018 müssen Unternehmen nur noch einen Datenschutzbeauftragten bestellen, wenn das Unternehmen der automatisierten Erhebung und Verarbeitung von Daten als wesentliche Tätigkeit zur Erfüllung des Geschäftszweckes nachgeht. Viele oder sogar fast alle Online-Geschäfte werden davon unmittelbar betroffen sein. Die neuen Regelungen befinden sich dabei in Art. 35ff der EU-DSGVO.
Gibt es in der EU-DSGVO weiterhin die Pflicht einen Vertrag zur Auftragsdatenverarbeitung zu schließen und was ist das Ziel eines Auftragsdatenverarbeitungsvertrags?
Diese Frage ist einfach zu beantworten: Ja, die Pflicht einen Vertrag zur Auftragsdatenverarbeitung, auch Auftragsdatenverarbeitungsvertrag genannt, besteht weiterhin. Zukünftig wird diese durch den Artikel 28 ff der DSGVO geregelt. Nur so kann nachvollzogen werden, an wen, wann und welche Arten von personenbezogenen Daten weitergegeben wurden.
Wird es in der EU- Datenschutz Grundverordnung weiterhin technische und organisatorische Maßnahmen geben?
Die Pflicht technische und organisatorische Maßnahmen zu definieren und zu führen wird auch weiterhin bestehen. Allerdings wird dieser Punkt zukünftig durch den Artikel 32 der DSGVO geregelt.
Die Datenschutz-Grundverordnung gilt für alle Personen und Unternehmen, die, wie der Name schon sagt, personenbezogene Daten verarbeiten. Verarbeitet bedeutet in diesem Sinne das Übermitteln, Speichern oder Bearbeiten von personenbezogenen Daten. Diese Regelung gilt damit für Cloudanbieter, aber auch Nicht-Cloudanbieter, die personenbezogene Daten von EU-Bürgern verarbeiten.
Welche Strafen und Strafhöhen sind bei der Datenschutz-Grundverordnung festgelegt?
Mit der EU-DSGVO gelten zukünftig Strafhöhen, die manches Unternehmen durchaus empfindlich treffen könnten. Ab dem 25. Mai 2018 werden Datenschutzverstöße stärker bestraft. Diese sind in Art. 83 DSGVO geregelt. Bei Nichteinhaltung der Datenschutz-Grundverordnung kann es zukünftig Bußgelder in Höhe von 20 Millionen Euro oder 4% des jährlichen weltweiten Umsatzes geben, je nachdem welcher Wert höher ist. Ein Unternehmen kann bspw. mit 2% des jährlichen weltweiten Umsatzes verurteilt werden, weil es Aufzeichnungen nicht in der korrekten Abfolge dokumentiert hat, Überwachungsbehörden davon nicht benachrichtigt und Betroffene nicht ausreichend informiert wurden oder keine Folgenabschätzung durchgeführt wurde. Mit Folgeabschätzung ist dabei eine Abschätzung gemeint, die verschiedene Szenarien wie zum Beispiel Datenverlust aufstellt und für Unternehmen und Kunden durchspielt.
Personenbezogene Daten sind alle Daten, die eine natürlich Person bestimmen oder bestimmbar machen. Der Name, das Geburtsdatum und die Anschrift sind damit alles personenbezogene Daten, die eine Person und deren Privatsphäre bestimmen. Die IP-Adresse ist, laut Gerichtsurteil, auch ein personenbezogenes Datum. Zwar bestimmt sie nicht unmittelbar eine Person, aber durch einen Abgleich mit den Daten des Internetproviders wird die Person bestimmbar. Die IP-Adresse XYZ ist damit einer bestimmten Person zuordnungsbar. Damit die Privatsphäre nicht eingeschränkt wird, genießen personenbezogene Daten besonderen Schutz. Dieser Schutz der Privatsphäre und der personenbezogenen Daten wird durch die Datenschutz Grundverordnung definiert.
Saftey-Check: E-Mail Marketing nach den Richtlinien der Datenschutz-Grundverordnung (DSGVO)
1.Haben Sie einen Vertrag zur Auftragsdatenverarbeitung mit Ihrem Dienstleister (Hoster, E-Mail Marketing Software, Tracking Software, usw.) geschlossen?
2.Entspricht der Dienstleister den gesetzlichen Anforderungen? Kann er dies durch ein Datenschutz-Testat nachweisen?
3.Können Sie den Nachweis der Einwilligung (E-Mail-Adresse, Datum, Uhrzeit) zum Newsletter von allen Newsletter-Empfängern erbringen?
4.Haben Sie den Newsletter-Empfänger auf die Datenschutzerklärung hingewiesen?
5.Ist Ihre Datenschutzerklärung aktuell?
6.Wird dokumentiert, an welche Subunternehmer Sie personenbezogene Daten weitergeben?
7.Wissen Sie woher Ihre Kontaktdaten kommen?
Rechtssicherer Newsletter-Anmeldeprozess nach EU-DSGVO
Bei der Generierung von neuen Newsletter Empfängern sollte man unter anderem Regeln beachten, um die Newsletter-Anmeldungen entsprechend den Anforderungen der Datenschutz-Grundverordnung sauber abzubilden. Sollte man ein Newsletter-Anmeldeformular auf der Website im Einsatz haben, ist es ratsam unter den Button zur Newsletter-Anmeldung einen kurzen Hinweistext zu schreiben, der den Nutzer darüber aufklärt, was mit den Daten passiert und die Datenschutzerklärung verlinkt. Dieser könnte zum Beispiel so lauten: “Ihre E-Mail Adresse wird an die datenschutz-zertifizierte Newsletter Software XYZ-Versender zum technischen Versand weitergegeben. Weitere Informationen finden Sie in unserer Datenschutzerklärung [Link zur Datenschutzerklärung].”
Bei dem Verkauf einer Ware, sollte die Option “Newsletter abonnieren” nicht im Vorfeld bereits aktiv sein, sondern erst ausdrücklich durch den Nutzer aktiviert werden müssen.
Der Guide für internationales E-Mail-Recht
Weil Spam ein immer schwerwiegenderes Problem wird, haben Regierungen auf der ganzen Welt Vorschriften durchgesetzt, um ihre Bürger vor unerwünschten E-Mails zu schützen. Während E-Mail-Marketer über lokale Gesetze meist gut Bescheid wissen, sieht es bei internationalen Anforderungen oft ganz anders aus – dabei kann die Missachtung internationalen E-Mail-Rechts nicht nur die Versand-Reputation gefährden, sondern auch teuer werden!
Nehmen wir das kanadische Anti-Spam-Gesetz (CASL) als Beispiel: CASL gilt nicht nur für Absender innerhalb Kanadas, sondern für alle Unternehmen, die an kanadische Empfänger versenden. Haben Sie möglicherweise kanadische Abonnenten? In diesem Fall müssen Sie sich an CASL halten – auch wenn Ihr Unternehmen nicht dort sitzt. Andere Länder führen ähnliche Vorschriften.
Dies bedeutet: Wenn Sie E-Mails über Ländergrenzen hinweg senden, müssen Sie sich an internationale Vorschriften halten. Die Vielfalt an Regeln macht die Sache allerdings kompliziert. Methoden, die in einem Land vollkommen rechtmäßig sind, können woanders absolut tabu sein und zu saftigen Strafen führen.
Welche Gesetze gelten?
Der erste Schritt zur Rechtssicherheit im internationalen E-Mail Marketing:
Finden Sie heraus, wo Ihre Empfänger leben und welche Vorschriften in diesen Ländern gelten. Regionale Verbände sind eine großartige Ressource, um mehr über lokale Anforderungen zu lernen.
-Kanada: CASL
-USA: CAN-SPAM Act
-Spanien: Spanisches Gesetz zu Dienstleistungen in den Sparten Informationsgesellschaft und E-Commerce
-Niederlande: Niederländisches Kommunikationsgesetz
-Italien: Italienisches Datenschutzgesetz
-UK: Datenschutzgesetz
-Frankreich: Artikel L. 43-5 Kodex der postalischen und elektronischen Kommunikation
-EU: Direktive über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation*
-Deutschland: BDSG, TMG, UWG
-Australien: Spam-Gesetz von 2003
*Ab Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO), das neue Datenschutzgesetz der Europäischen Union, in Kraft.
Wem darf man E-Mails senden?
Ein entscheidendes Ziel von E-Mail-Gesetzen ist es, Empfänger vor E-Mails zu schützen, die sie nicht erhalten möchten. Um unerwünschte E-Mails zu vermeiden, verlangen viele Gesetze, dass Marketer sich vor der werblichen Kommunikation die Einwilligung des Inhabers der E-Mail-Adresse einholen. Das wird meist über die Einholung eines Opt-In zum Erhalt von Nachrichten umgesetzt. Eine Ausnahme davon stellt das CAN-SPAM-Gesetz in den USA dar. Es besagt, dass man vor dem Versand einer E-Mail keine Einwilligung benötigt, solange man jederzeit eine Abmeldemöglichkeit bereitstellt.
Einwilligung benötigt: Deutschland, UK, Australien, Niederlande, Frankreich, Spanien
Ab Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO), das neue Datenschutzgesetz der Europäischen Union, in Kraft.
Keine Einwilligung benötigt: USA
Sind vorangekreuzte Checkboxen erlaubt?
Während manche Rechtsprechungen vorangekreuzte Checkboxen oder eine andere Form der passiven Einwilligung (z.B. während eines Checkout-Prozesses) akzeptieren, sind andere strenger und fordern eine aktive Einwilligung. Länder, die vorangekreuzte Checkboxen nicht erlauben, sind unter anderem:
-Europäische Union
-Kanada
-Australien
Was, wenn die Empfänger keine E-Mails mehr erhalten möchten?
Bei dieser Frage sind sich die internationalen Gesetze einig: Sie müssen Ihren Empfängern die Möglichkeit geben, sich jederzeit von Ihrem Verteiler abzumelden. Obwohl es verschiedene Abmeldemethoden gibt – zum Beispiel über ein Call-Center oder eine E-Mail-Antwort – ist ein Abmeldelink in jeder E-Mail Pflicht.
Der Abmeldeprozess
Jedes Land hat eigene Richtlinien für den Abmeldeprozess. Diese Tipps sollten Sie aber in jedem Fall im Kopf behalten:
-keine Gebühren erheben
-keine weiteren Informationen neben der E-Mail-Adresse verlangen
-Abonnenten nicht zum Einloggen auffordern
-Abonnenten nicht zum Besuch von mehr als einer Seite zwingen
Eine Abmeldemöglichkeit bereitzustellen, ist überall Pflicht. Der einzige Unterschied liegt darin, wie lange Sie sich für die Umsetzung des Abmeldewunsches Zeit lassen dürfen. Wenn Sie zu lange brauchen oder die Abmeldung gar nicht umsetzen, riskieren Sie eine Strafe. Idealerweise nutzen Sie eine Newsletter Software mit automatischem Abmeldemanagement.
Wie viel Zeit darf der Abmeldeprozess in Anspruch nehmen?
Deutschland, Frankreich, Italien: „Angemessen” (Lokale Gesetze machen keine genaue Aussage darüber, wie lange die Verarbeitung von Abmeldungen höchstens dauern darf. Entscheidungen werden von Fall zu Fall getroffen.)
Australien: 5 Tage
USA, Spanien, Kanada: 10 Tage
UK: 28 Tage
Niederlande: 30 Tage
Gesetzgeber geben Ihnen bis zu 30 Tage zur Verarbeitung einer Abmeldung, Empfänger nicht.
Mit jeder E-Mail, die Sie einem Empfänger schicken, der sich bereits abmelden wollte, steigt das Risiko für Spam-Beschwerden. Die Empfänger wissen, dass Unternehmen Abmeldungen in den meisten Fällen sofort umsetzen können. Landen auch nach Übermittlung des Abmeldewunsches weiter Nachrichten im Postfach, können Empfänger vermuten, dass Ihr Abmeldeprozess kaputt ist – der „Spam melden“-Button wird dann vielleicht als letzter Ausweg gesehen.
Welche Informationen müssen in jeder E-Mail enthalten sein?
Internationales E-Mail-Recht reguliert nicht nur, wem Sie E-Mails senden dürfen und wie sich Empfänger vom Verteiler abmelden können, sondern auch, welche Informationen in jeder werblichen E-Mail enthalten sein müssen.
E-Mails müssen enthalten:
-Abmeldemöglichkeit (USA, Kanada, UK, Australien, Europäische Union)
-Eindeutige Identifikation des Absenders (USA, Kanada, UK, Australien, Europäische Union)
-Postalische Adresse (USA, UK, Europäische Union)
-Informationen über Kontaktmöglichkeiten (Kanada, Australien, Europäische Union)
Was passiert, wenn Sie sich nicht an die Regeln halten?
Internationales E-Mail-Recht zu verletzen, hat seinen Preis.
In jedem Land können Verstöße gegen Anti-Spam-Gesetze zu ernsthaften Strafen führen. Die Bußgelder für die Nicht-Einhaltung der Gesetze können anhand verschiedener Faktoren variieren, darunter die Art des Verstoßes, ob es sich um ein wiederholtes Vergehen handelt und weitere.
-USA – bis zu 16.000 USD pro E-Mail
- Kanada – bis zu 10 Millionen CAD
- Australien – bis zu 1,7 Millionen AUD
- UK – bis zu 500.000 GBP
- Europäische Union bis zu 2% des weltweiten Umsatzes