Datenschutz-Grundverordnung (DSGVO): Alles, was Sie wissen müssen
Veröffentlicht: 2018-04-02Das Hauptziel der neuen Datenschutz-Grundverordnung (DSGVO) ist es, den Umgang mit personenbezogenen Daten aus verschiedenen Mitgliedsländern zu stärken, zu bündeln und unter eine Verordnung der Europäischen Union (EU) anzupassen.
Derzeit haben die 28 Mitgliedsländer der EU jeweils ihre eigenen Datenschutzbestimmungen und wenden diese Gesetze auf ihren internationalen Handel an, was die Ausübung der Rechte auf den Schutz personenbezogener Daten erschwert.
Die neue DSGVO enthält eine Vielzahl von Vorschriften, die sich auf alle Unternehmen unabhängig von Größe oder Branche auswirken und häufig darauf vorbereitet sein müssen, sich auf verschiedene Bereiche ihres Geschäfts zu konzentrieren.
Die neue Verordnung zum Schutz natürlicher Personen bei der Verarbeitung und dem freien Verkehr personenbezogener Daten tritt am 25. Mai 2018 in Kraft, zwei Jahre nach der Verabschiedung der Verordnung 2016/679 durch das Europäische Parlament und den Rat. In diesem Artikel möchten wir Ihnen helfen zu verstehen, was Sie tun können und was nicht, um die Anforderungen dieser neuen Verordnung zu erfüllen, und Ihnen versichern, dass Benchmark, Ihr E-Mail-Marketing-Tool, auch die Anforderungen dieser neuen Verordnung erfüllt.
Die neue DSGVO beseitigt nicht die derzeit geltenden Datenschutzgesetze der einzelnen Mitgliedsländer. Stattdessen hilft es, alle Mitgliedsländer der EU zu synchronisieren. Einige der Entscheidungen werden noch auf nationaler Ebene für jedes der Mitgliedsländer getroffen, aber bedenken Sie, dass die Verantwortlichen nun die DSGVO als Norm und nicht die Datenschutzbestimmungen des eigenen Landes referenzieren müssen .
Wenn Sie derzeit die Anforderungen an den Datenschutz für Ihr Land erfüllen, dann haben Sie bereits eine gute Grundlage. Einige Aspekte müssen Sie jedoch noch überarbeiten und ändern, um den neuen Vorschriften zu entsprechen.
Es gibt drei Hauptpunkte, die Sie bei Ihrer E-Mail-Marketingstrategie beachten müssen: Einwilligung, Zugriff und Datenerfassung.
Zustimmung
Gemäß Artikel 4 Absatz 11 bedeutet „Einwilligung“ der betroffenen Wie in der Definition angegeben, muss die Zustimmung des Benutzers eindeutig und auch ausdrücklich sein. Diese beiden Wörter beseitigen jeden Zweifel oder jede Mehrdeutigkeit.
(32) Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, in der ein freiwilliger, konkreter, informierter und eindeutiger Hinweis auf die Zustimmung der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen Daten enthalten ist, beispielsweise durch eine schriftliche Erklärung, auch auf elektronischem Weg Mittel oder eine mündliche Erklärung. Dies kann beispielsweise das Ankreuzen eines Kästchens beim Besuch einer Internetseite, die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder eine andere Erklärung oder Verhaltensweisen sein, die in diesem Zusammenhang eindeutig darauf hindeuten, dass die betroffene Person mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Schweigen, vorab angekreuzte Kästchen oder Inaktivität sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle Verarbeitungstätigkeiten erstrecken, die zu demselben Zweck oder zu denselben Zwecken durchgeführt werden. Wenn die Verarbeitung mehreren Zwecken dient, sollte die Zustimmung für alle gegeben werden. Soll die Einwilligung der betroffenen Person im Anschluss an eine elektronische Anfrage erfolgen, muss die Anfrage klar und prägnant sein und darf die Nutzung des Dienstes, für den sie bereitgestellt wird, nicht unnötig stören.
Beispiel:
Ich habe vor kurzem an einer Messe teilgenommen und im Laufe des Tages einige Visitenkarten gesammelt, die ich verwenden werde, um eine Datenbank zu erstellen, die ich dann auf mein Benchmark-Konto hochladen werde, um Newsletter zu versenden.
Ist das mit den neuen Verordnungen legal?
Nein. Die zwischen Ihnen und den Personen auf der Messe erzielte Vernetzung gibt Ihnen auch bei mündlicher Bestätigung durch die Person kein Recht zur Verwendung ihrer personenbezogenen Daten. Die DSGVO verlangt nun, dass ein Nachweis dieser Vereinbarung zwischen beiden Parteien vorliegt.
Die DSGVO besagt, dass im Falle einer Prüfung eine eindeutige und ausdrückliche Einwilligung der Person vorliegen muss, die durch Nachweise belegt werden kann. Es muss nachgewiesen werden, dass die Person der Verwendung ihrer personenbezogenen Daten zugestimmt hat.
EMPFEHLUNG:
- Überprüfen Sie Ihre Methoden zur Datenerfassung und beseitigen Sie eventuell vorhandene Mehrdeutigkeiten.
- Analysieren Sie Ihre Datenbank und nur die Daten, für die Sie nachweisen können, dass Ihnen die Person eine Einwilligung erteilt hat.
Betreten
Der Verantwortliche für den Umgang mit personenbezogenen Daten muss jedem Benutzer einen einfachen und unkomplizierten Zugang zur Änderung seiner persönlichen Daten gewähren. Der Verantwortliche muss auch eine Möglichkeit zur Verfügung stellen, in der die Person ihre Einwilligung auf elektronischem Weg bestätigen kann, sei es über ihre eigene Website, Anmeldeformulare oder E-Mail-Bestätigung.
Der Verantwortliche hat einen Monat Zeit, um dem Kunden eine Antwort zu geben, mit der Möglichkeit, sie auf zwei Monate zu verlängern, falls es sich um eine komplexe Anfrage handelt, in der die erforderlichen Schritte unternommen werden, um die Anfrage des Einzelnen zu erfüllen.
Im Fall unseres E-Mail-Marketing-Tools ermöglicht die Option Abonnements verwalten der Person, auf ihre persönlichen Daten zuzugreifen und die Daten bei Bedarf zu ändern oder das Abonnement vollständig zu kündigen.
Innerhalb dieses Punktes gibt es ein neues Recht, das RECHT AUF LÖSUNG (Artikel 17), der Benutzer kann sein „Recht auf Vergessen“ ausüben und seine personenbezogenen Daten dauerhaft aus der Datenbank entfernen lassen. Wir haben zwei der sechs in Unterpunkt 1 aufgeführten Gründe ausgewählt, die dem Einzelnen die Möglichkeit geben, sein Recht auszuüben:
a) die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
d) die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
Zusammenstellung:
Die DSGVO plädiert für eine Einfachheit bei der Erhebung personenbezogener Daten. Als Marketingspezialisten fragen wir nach mehr Details als nötig, wenn wir nur einen wöchentlichen Newsletter versenden. Aus diesem Grund fördern diese neuen Vorschriften, dass für unsere aktuelle Strategie nur ein Minimum an personenbezogenen Daten erhoben und zusammengestellt wird und nicht die Erhebung zusätzlicher Daten, die Ihrer Meinung nach in Zukunft nützlich sein könnten.
Wenn Ihr Ziel darin besteht, Ihre Datenbank über bevorstehende Werbeaktionen zu informieren, ist die Zusammenstellung des Namens und der E-Mail-Adresse einer Person mehr als ausreichend, um Ihr Ziel zu erreichen.
Brexit
Großbritannien wird offiziell austreten und 2019 nicht mehr Mitglied der EU sein. Mit diesem Austritt gelten die Regelungen für sie nicht mehr. Wir wissen derzeit nicht, wie Großbritannien oder Unternehmen innerhalb Großbritanniens mit dem Datenschutz umgehen werden, aber wir glauben, dass sie ähnliche Vorschriften erlassen werden, die mit der EU vergleichbar sein werden.
Was passiert, wenn ich die neuen DSGVO-Anforderungen nicht erfülle?
Die Datenschutz-Grundverordnung legt eine Reihe von Instrumenten fest, um die neue Verordnung einzuhalten, einschließlich Sanktionen und Geldbußen. Bei der Verhängung einer Geldbuße wegen Nichteinhaltung der neuen DSGVO werden eine Reihe von Faktoren berücksichtigt und sorgfältig geprüft, wie zum Beispiel:
- die Schwere/Dauer des Verstoßes;
- die Anzahl der betroffenen Personen und die Höhe des von ihnen erlittenen Schadens;
- der vorsätzliche Charakter der Zuwiderhandlung;
- alle Maßnahmen zur Schadensminderung;
- den Grad der Zusammenarbeit mit der Aufsichtsbehörde.
Die Verordnung sieht zwei Höchstgrenzen für Geldbußen vor, wenn die Regeln nicht eingehalten werden. Die erste Obergrenze setzt Geldbußen bis zu einem Höchstbetrag von 10 Mio. € oder im Falle eines Unternehmens bis zu 2 % des weltweiten Jahresumsatzes fest. Diese erste Kategorie von Geldbußen würde beispielsweise verhängt, wenn ein für die Verarbeitung Verantwortlicher keine Folgenabschätzungen gemäß der Verordnung durchführt. Die höhere Bußgeldobergrenze beträgt maximal 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Ein Beispiel wäre eine Verletzung der Rechte der betroffenen Personen gemäß der Verordnung. Die Geldbußen werden den Umständen des Einzelfalls angepasst.
Sie müssen die oben genannten Hauptpunkte (Zustimmung, Zugriff und Zusammenstellung) berücksichtigen, wenn Sie Ihre E-Mail-Marketingstrategie planen.
Benchmark
Bei Benchmark arbeiten wir hart daran, unsere Datenschutzrichtlinie zu aktualisieren, um die Anforderungen der Vorschriften zu erfüllen. Im Falle der DSGVO liegt uns keine Zertifizierung vor, die besagt, dass wir die neuen Regelungen wie beim Privacy Shield Framework einhalten.
Wir bei Benchmark möchten Ihnen versichern, dass Ihre personenbezogenen Daten in Übereinstimmung mit der neuen DSGVO behandelt werden.
Zum allerersten Mal zeigt die EU Führungsstärke und Geschlossenheit beim Umgang mit personenbezogenen Daten und zwingt den Rest der Welt ausnahmslos dazu, diese Vorschriften zu befolgen, wenn sie mit europäischen personenbezogenen Daten umgehen wollen.
Vergessen Sie nicht, diesen Artikel mit Ihrem Publikum zu teilen und Ihre Kommentare zu hinterlassen. Danke fürs Lesen!