•  

    Stärker in Marketing & Vertrieb

    Wertvolle Impulse für das vertriebsorientierte Onlinemarketing

Ihre Fragen zur neuen EU-Datenschutz-Grundverordnung (DSGVO)

Ab Mai 2018 gelten deutlich strengere Auflagen für das Verarbeiten personenbezogener Daten von EU-Bürgern. Bei Verstößen drohen empfindliche Bußgelder. Das können 10 bis 20 Millionen Euro bzw. 2 bis 4 Prozent des gesamten, weltweit erzielten Jahresumsatzes sein.

Wie unser Webinar „Fit für die DSGVO“ gezeigt hat, wirft dieses sensible und dringliche Thema viele Fragen auf. Wir haben Ihre Fragen gesammelt, die Sie während des Webinars gestellt haben. Und unsere Gastreferentin Frau Heukrodt-Bauer hat geantwortet. Nachfolgend finden Sie ihre Rückmeldung:

"Meine Kunden haben mir für Eventeinladungen ihre Kundenadressen gegeben. Muss ich diese neu einholen und müssen meine Kunden versichern, dass ihre Adressen nach den neuen Richtlinien eingeholt wurden? Oder muss ich jeden Adressaten meiner Kunden direkt um Einwilligung bitten?"

Jeder einzelne Adressat von Mailings muss vorher seine ausdrückliche Einwilligung dafür erteilt haben. Sie ist zweckgebunden. Wenn Sie Einwilligungen zu Eventeinladungen erhalten haben, dürfen Sie auch nur Eventeinladungen versenden.

Wenn jeder einzelne Adressdatensatz eine Einwilligung für die Weitergabe seiner E-Mailadresse an Sie erteilt hatte, durften Ihre Kunden die Adressen an Sie weitergeben und Sie dürfen sie nutzen. Sonst nicht. Dann müssen Sie die Einwilligungen erst einholen, denn Sie haben dann bislang gar keine.

"Gilt die „gelegentliche Verarbeitung“ als Ausnahme für die umfangreiche Verfahrensdokumentation überhaupt im praktischen Fall? Denn wenn ich es richtig verstanden habe, kommt in Zukunft selbst jemand, der ein kleines Gewerbe angemeldet hat, weil er nebenbei über ein paar Affiliate-Links auf seinen Websites ein paar Euro verdient, nicht mehr ohne umfangreiche Rechtsberatung und ein Verfahrensverzeichnis aus, sobald er Google Analytics einsetzt, einen E-Mail-Newsletter anbietet oder ein Marketing-Automation-System nutzt."

Ja genau, aus meiner Sicht erfüllen auch kleine Unternehmen nicht die Vorrausetzungen für die Ausnahme und müssen daher ein Verfahrensverzeichnis führen. Ein kleiner Onlineshop verarbeitet zum Beispiel jeden Tag eine Vielzahl an Bestellungen und personenbezogene Daten, so dass er eben nicht nur gelegentlich verarbeitet.

Sie finden hier ein Muster für das Verfahrensverzeichnis.

"Muss man bei der Beratungseinwilligung alle Kanäle aufführen oder reicht nur E-Mail?"

Ich bin mir nicht sicher, ob ich die Frage korrekt verstehe. Was ist eine „Beratungseinwilligung“? Falls damit ein Beratungsauftrag gemeint, der ggf. über E-Mail oder auch Telefon erfüllt werden soll, ist es so: Kommt eine Anfrage per E-Mail rein, kann sie auch per E-Mail beantwortet werden. Man kann aber auch vertraglich vereinbaren, dass die Beratung per Mail, Telefon … stattfindet.

Soll darüber hinaus Werbung an den Kunden per Mail versendet werden, ist dafür eine gesonderte Werbe-Einwilligung erforderlich.

"Woraus ergibt sich die Haftung des (internen) betrieblichen Datenschutzbeauftragten? Besteht hierfür eine Anspruchsgrundlage in der DSGVO?"

Vgl. Art. 84 Abs. 1 DSGVO: Hier ist eine Öffnungsklausel, von der Deutschland über das DSAnpUG Gebrauch hat und über §§ 41 ff. BSDG neu auch Sanktionen gegen natürliche Personen wie den Datenschutzbeauftragten ermöglicht. Bei einem persönlichen Verschulden drohen dann auch Schadensersatzansprüche nach § 823 BGB.

"Muss man nach dem 25.05.18 nachweisen können, woher die Kontakte kommen, die man davor schon hatte?"

Ja, es ist zu erwarten, dass die Aufsichtsbehörde zum Beispiel im Rahmen eines Audits den Nachweis der Einwilligung zu diesen Kontakten sehen möchte. Siehe dazu „Alteinwilligungen“ unter Tipp 6 des Webinars.

"Wenn  ich zwei Unternehmen habe, kann ich die Kundendaten meines ersten Unternehmens auf mein zweites Unternehmen übertragen oder benötige ich einzeln die Einwilligung des Kunden?"

Wenn ein Unternehmen komplett verkauft, aber unter dem Namen weitergeführt wird, gelten die Einwilligungen weiter bzw. laufen unter einem „berechtigten Interesse“ an der Fortführung des Unternehmens. Werden die Daten aber auf ein neues, anderes Unternehmen übertragen, wäre das nicht zulässig in Bezug auf Werbe-Einwilligungen. Dem neuen Unternehmen wurde niemals eine Einwilligung für die Versendung von Werbung erteilt.

"Gelten diese Bußgelder auch für Aktivitäten aus Asien nach Europa?"

Ja, grundsätzlich schon. Voraussetzung ist lediglich bei Unternehmen mit Sitz außerhalb der EU, dass sie EU-Bürgern Waren oder Dienstleistungen anbieten.  Die Frage ist allerdings, wie ein Bußgeldbescheid z. B. in China zugestellt und vollstreckt werden soll…

"Wie realisieren Google und Co. das Recht auf Vergessen?"

Das kann ich Ihnen nicht sagen, allerdings wird sich auch ein Unternehmen wie Google rein technisch auf entsprechende Anfragen einstellen müssen.

"Wie wird die ADV im Raum UK behandelt / Bestandteil des EWR bis?"

Falls Sie sich schon auf den Brexit einstellen möchten, könnten Sie ADV-Verträge mit UK bereits mit den EU-Standardvertragsklauseln oder den Binding Corporate Rules abschließen (vgl. Folie 13). UK wären nach dem Brexit wahrscheinlich genauso wie die USA zu behandeln, aber man weiß es ja noch nicht, wie die Verhandlungen ausgehen und ob und was datenschutzrechtlich ausgehandelt wird für die Zeit nach dem Austritt.

"Muss auch ein Auftragsverarbeitungsvertag mit Google geschlossen werden, wenn die personenbezogenen Daten anonymisiert werden?"

Ja, auch wenn Sie z. B. anonymize_IP bei Google Analytics einsetzen, ist der ADV erforderlich.

Weitere Informationen

"Was darf ich analytisch mit anonymisierten Daten tun? Alles? Welche Einschränkungen gelten bei einer Pseudonymisierung und ggf. einer Re-Pseudonymisierung?"

Anonymisierte Daten, die technisch nicht auf die Personen zurückgeführt werden können, unterfallen nicht der Datenschutzgrundverordnung. Pseudonomisierte Daten gehören zu den personenbezogenen Daten, weil man sie immer über eine Kennung wieder auf eine Person zurückführen kann. Hier greift die DSGVO voll.

Das ist nach dem jetzigen BDSG noch anders, da konnten beispielsweise pseudonomisierte Profile angelegt werden mit Opt-Out. Das ist weggefallen.

"Müssen wir auf Anfrage Auskunft erteilen, welche Daten zu einem Nutzer vorliegen? Wenn ja, wie stellen wir sicher, dass die Anfrage wirklich vom entsprechenden Nutzer stammt? Müssen wir auf Verlangen Daten löschen und dies auch nachweisen?"

Alle Fragen können mit „ja“ beantwortet werden. Sie könnten bei telefonischen Anfragen zum Beispiel Sicherheitsanfragen einbauen. Bei E-Mail-Anfragen, die unter einer anderen Adresse, wie die bei Ihnen gespeicherte, eingehen, könnten Sie ebenfalls Rückfragen stellen.

"Wird das berechtigte Interesse gemäß des DSGVO (z.B. Marketingaktionen) von deutschem DSG weiter eingegrenzt - gelten dann gleiche Voraussetzungen im EU-Raum überhaupt noch?"

Nein, die Regelung in der DSGVO gilt EU-weit und wurde nicht weiter durch das neue BDSG beschränkt. Die Frage ist nur immer, was der einzelne Richter in Deutschland am Ende einer solchen Interessenabwägung im Einzelfall anerkennt und was nicht.

"Gilt das Double Opt-in-Verfahren auch für Anfragen über das Kontaktformular?"

Nein. Für die Beantwortung einer Anfrage, die über das Kontaktformular reinkommt, ist keine Einwilligung nach Art. 6 Abs. 1 a DSGVO erforderlich. Die Beantwortung erfolgt dann vielmehr zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage einer Person erfolgen (Art. 6 Abs. 1 b DSGVO.

"Wie verhält sich das Gesetz in Bezug auf Social Media (Beispiel LinkedIn). Darf ich meinen Followern aktiv Nachrichten zu Kampagnen etc. schicken?"

Die Rechtslage wird sich durch die DSGVO nicht ändern. XING und LinkedIn sind Netzwerke, bei denen die Mitglieder über die Nutzungsbedingungen Kontaktaufnahmen akzeptiert haben. Die Grenze zu Spam und Werbung ist allerdings fließend, wenn Sie es „übertreiben“. Sie dürfen niemandem über Mail oder Direct Messages Werbung zusenden, wenn dieser dazu zuvor nicht eingewilligt hat.

"Können weiterhin Listendaten (Unternehmensdaten) gekauft werden und die Unternehmen telefonisch kontaktiert werden?"

Das Listenprivileg ist weggefallen. Allerdings könnte die Speicherung von solchen Listendaten über das berechtigte Interesse möglich sein. Das ist aber noch unklar. Und im B2B-Bereich darf man ja nach § 7 Abs. 2 Nr. 2 UWG anrufen, wenn man von der zumindest mutmaßlichen Einwilligung des Angerufenen ausgehen darf. Die Vorschrift könnte aber über die geplante E-Privacy-VO geändert werden, vgl. Art. 16 Abs. 3 und 4 E-Privacy-Vo-Entwurf.

"Mitarbeiter wechseln manchmal die Firma. Wie erhalte ich die Zeugenpflicht beim Austausch von Visitenkarten?"

Zunächst einmal könnte der Gesprächsvermerk mit der Visitenkarte in einem Prozess vorgelegt werden. Wenn die Gegenseite dann die Echtheit bestreitet, sind Mitarbeiter – auch wenn sie das Unternehmen verlassen haben – verpflichtet, auf die Ladung eines Gerichts zu erscheinen. Sie müssen dann wahrheitsgemäß aussagen.

Ihr Ansprechpartner

Daniel Hertneck
Geschäftsführer

Telefon: 07159-80472-0
E-Mail: dhertneck(at)siteboosters.de

DSGVO

Präsentation zum Webinar

Möchten Sie die Inhalte des Webinars vertiefen? Dann fordern Sie die Präsentation zum Webinar an.

Zur Webinar-Präsentation

DSGVO

Aufzeichnung des Webinars

Haben Sie das Webinar zur DSGVO verpasst? Dann schauen Sie sich jetzt die Aufzeichnung an.

Zur Webinar-Aufzeichnung

Rufen Sie uns an

fon: +49 (0) 7159 804 72-0.
Oder lassen Sie sich doch einfach von uns zurückrufen.

Zum Rückrufwunsch

Schreiben Sie uns

Wie dürfen wir Ihnen helfen? Schnelle Antwort garantiert!

Zum Kontaktformular

Bleiben Sie informiert

Der SiteBoosters Newsletter hält Sie immer up-to-date zu unserem Webinar-Angebot und brandaktuellen Marketing-Themen. Am besten gleich anmelden!

Newsletter abonnieren