Kostenlos testen Login
Home » Blog » DSGVO 2018: Diese Änderungen müssen Sie wissen

DSGVO 2018: Diese Änderungen müssen Sie wissen

6. November 2017

DSGVO - E-Mail Marketing

Was ist die EU-DSGVO?

Die EU-Datenschutz-Grundverordnung ist eine gesetzliche Richtlinie der Europäischen Union. Sie dient dazu die Datenschutzgesetze in den unterschiedlichen EU Mitgliedsstaaten zu harmonisieren. In allen Ländern soll daher ein gleiches Schutzniveau für personenbezogene Daten gelten. Da bisher jeder Mitgliedsstaat seine eigenen Gesetze für den Schutz der Privatsphäre und die Datensicherheit erlassen hast, soll dies mit der Datenschutz Grundverordnung (DSGVO) nun vereinheitlicht werden. Die DSGVO wird dabei insgesamt 99 Artikel lang sein.

Ab wann gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt ab 25. Mai 2018. Bis dahin gilt in Deutschland das sogenannte Bundesdatenschutzgesetz, kurz BDSG.

Was geschieht mit dem Bundesdatenschutzgesetz und was ist das “BDSG neu”?

Ab dem 25. Mai 2018 wird das Bundesdatenschutzgesetz (BDSG) nicht mehr gelten, zumindest nicht in der Form wie wir es heute kennen. Das BDSG wird dabei nicht vollständig von der Datenschutz-Grundverordnung abgelöst, auch wenn das die vorherrschende Meinung ist. Zukünftig wird es neben der EU-DSGVO auch das “BDSG neu” geben. Das BDSG so wie wir es jetzt kennen wird als neu verfasst und in weiten Teilen umgeschrieben. Es wird zukünftig 84 Paragraphen enthalten. Mit der neuen Gesetzgebung ab 25. Mai 2018 wird man also zwei Gesetze beachten müssen: Die Datenschutz-Grundverordnung (EU-DSGVO) und das Bundesdatenschutzgesetz neu (BDSG neu). Insgesamt kommt man damit auf 183 Artikel. Zum Vergleich: Aktuell besitzt das Bundesdatenschutzgesetz lediglich 48 Paragraphen. Man kann sich also darauf einstellen, dass es etwas komplizierter wird.

Wieso gibt es die DSGVO?

Ziel der EU-DSGVO ist es, das Gesetz innerhalb der Europäischen Union zu harmonisieren und zu vereinfachen. Dies kommt sowohl den Endverbrauchern als auch den Unternehmen zugute. Endverbraucher können sich zukünftig sicher sein, sich in einem gleichen Rechtsraum, wie in Deutschland, innerhalb der Europäischen Union zu bewegen und werden nicht mehr durch unterschiedliche Rechte in den unterschiedlichen Mitgliedstaaten verwirrt. Unternehmen, die international Handel betreiben, profitieren von den einheitlichen gesetzlichen Anforderungen und können damit Kunden aus den unterschiedlichen Ländern gleich behandeln. Dies vereinfacht die internen Prozesse und sorgt für mehr Effizienz.

Sind Unternehmen nach Datenschutz Grundverordnung verpflichtet, einen Datenschutzbeauftragten zu benennen?

Im Bundesdatenschutzgesetz (BDSG) ist in §4f geregelt, wann ein Unternehmen einen Datenschutzbeauftragten bestellen muss. In der EU-Datenschutz-Grundverordnung wird diese Pflicht vermutlich aufgelockert. Ab Mai 2018 müssen Unternehmen nur noch einen Datenschutzbeauftragten bestellen, wenn das Unternehmen der automatisierten Erhebung und Verarbeitung von Daten als wesentliche Tätigkeit zur Erfüllung des Geschäftszweckes nachgeht. Viele oder sogar fast alle Online-Geschäfte werden davon unmittelbar betroffen sein. Die neuen Regelungen befinden sich dabei in Art. 35ff der EU-DSGVO.

Gibt es in der EU-DSGVO weiterhin die Pflicht einen Vertrag zur Auftragsdatenverarbeitung zu schließen und was ist das Ziel eines Auftragsdatenverarbeitungsvertrags?

Diese Frage ist einfach zu beantworten: Ja, die Pflicht einen Vertrag zur Auftragsdatenverarbeitung, auch Auftragsdatenverarbeitungsvertrag (ADV) genannt, besteht weiterhin. Dies war im Bundesdatenschutzgesetz bisher in §11 BDSG regelt. Hier wurde darüber hinaus beschrieben, was in dem Vertrag zur Auftragsdatenverarbeitung enthalten sein muss. Zukünftig wird dieser Paragraph durch den Artikel 28 ff der DSGVO ersetzt. Der Inhalt der ADVs wird dabei in vielen Teilen ähnlich sein. Eine wichtige Erneuerung ist jedoch, dass die Abfassung des Vertrags zwar schriftlich erfolgen muss, dies aber auch in einem elektronischen Format erfolgen kann. Das sollte manche Prozesse beschleunigen. Ziel des Vertrags zur Auftragsdatenverarbeitung ist es, die Weitergabe von personenbezogenen Daten zu regeln. Dies ist zum Schutz der Privatsphäre von Betroffenen und zum allgemeinen Schutz der personenbezogenen Daten essentiell. Nur so kann nachvollzogen werden, an wen, wann und welche Arten von personenbezogenen Daten weitergegeben wurden.

Wird es in der EU- Datenschutz Grundverordnung weiterhin technische und organisatorische Maßnahmen geben?

Die Pflicht technische und organisatorische Maßnahmen zu definieren und zu führen bestand bisher in §9 des Bundesdatenschutzgesetzes (BDSG). Dies wird auch weiterhin bestehen. Allerdings wird dieser Punkt zukünftig durch den Artikel 32 der DSGVO geregelt.

Für wen gilt die EU-DSGVO?

Die Datenschutz-Grundverordnung gilt für alle Personen und Unternehmen, die, wie der Name schon sagt, personenbezogene Daten verarbeiten. Verarbeitet bedeutet in diesem Sinne das Übermitteln, Speichern oder Bearbeiten von personenbezogenen Daten. Diese Regelung gilt damit für Cloudanbieter, aber auch Nicht-Cloudanbieter, die personenbezogene Daten von EU-Bürgern verarbeiten.

Welche Strafen und Strafhöhen sind bei der Datenschutz-Grundverordnung festgelegt?

Mit der EU-DSGVO gelten zukünftig Strafhöhen, die manches Unternehmen durchaus empfindlich treffen könnten. Ab dem 25. Mai 2018 werden Datenschutzverstöße stärker bestraft. Diese sind in Art. 83 DSGVO geregelt. Bei Nichteinhaltung der Datenschutz-Grundverordnung kann es zukünftig Bußgelder in Höhe von 20 Millionen Euro oder 4% des jährlichen weltweiten Umsatzes geben, je nachdem welcher Wert höher ist. Ein Unternehmen kann bspw. mit 2% des jährlichen weltweiten Umsatzes verurteilt werden, weil es Aufzeichnungen nicht in der korrekten Abfolge dokumentiert hat, Überwachungsbehörden davon nicht benachrichtigt und Betroffene nicht ausreichend informiert wurden oder keine Folgenabschätzung durchgeführt wurde. Mit Folgeabschätzung ist dabei eine Abschätzung gemeint, die verschiedene Szenarien wie zum Beispiel Datenverlust aufstellt und für Unternehmen und Kunden durchspielt.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, die eine natürlich Person bestimmen oder bestimmbar machen. Der Name, das Geburtsdatum und die Anschrift sind damit alles personenbezogene Daten, die eine Person und deren Privatsphäre bestimmen. Die IP-Adresse ist, laut Gerichtsurteil, auch ein personenbezogenes Datum. Zwar bestimmt sie nicht unmittelbar eine Person, aber durch einen Abgleich mit den Daten des Internetproviders wird die Person bestimmbar. Die IP-Adresse XYZ ist damit einer bestimmten Person zuordnungsbar. Damit die Privatsphäre nicht eingeschränkt wird, genießen personenbezogene Daten besonderen Schutz. Dieser Schutz der Privatsphäre und der personenbezogenen Daten wird durch die Datenschutz Grundverordnung definiert.

Was bedeutet die EU-Datenschutz-Grundverordnung für E-Mail Marketing?

Die gute Nachricht vorab: Es wird keine fundamentalen Änderungen für deutsche Unternehmen geben. Das Datenschutz-Niveau ist und war in Deutschland bereits auf einem vergleichsweise hohem Niveau. Daher ergeben sich im Bereich E-Mail Marketing mit der DSGVO zwar kleine Anpassungen, aber keine grundlegenden Änderungen.

Anstatt des Bundesdatenschutzgesetzes (BDSG) wird zukünftig die EU-Datenschutz-Grundverordnung (EU-DSGVO) gelten. Wichtig dabei ist jedoch zu beachten, dass die EU-DSGVO noch Spielraum für eine nationale Interpretation liefert und genau das hat der deutsche Gesetzgeber mit einer Neuauflage des Bundesdatenschutzgesetzes, BDSG neu, auch getan. Das UWG (Gesetz gegen den unlauteren Wettbewerb) wird auch in Zukunft noch gelten. Dies ist wichtig, da hier hauptsächlich geregelt wird, was man an Kriterien erfüllen muss, um personenbezogene Daten rechtskonform zu erheben und später auch wirtschaftlich zu verwerten. Das UWG ändert sich mit der DSGVO nicht.

Saftey-Check: E-Mail Marketing nach den Richtlinien der Datenschutz-Grundverordnung (DSGVO)

  1. Haben Sie einen Vertrag zur Auftragsdatenverarbeitung mit Ihrem Dienstleister (Hoster, E-Mail Marketing Software, Tracking Software, usw.) geschlossen?
  2. Entspricht der Dienstleister den gesetzlichen Anforderungen? Kann er dies durch ein Datenschutz-Testat nachweisen?
  3. Können Sie den Nachweis der Einwilligung (E-Mail-Adresse, Datum, Uhrzeit) zum Newsletter von allen Newsletter-Empfängern erbringen?
  4. Haben Sie den Newsletter-Empfänger auf die Datenschutzerklärung hingewiesen?
  5. Ist Ihre Datenschutzerklärung aktuell?
  6. Wird dokumentiert, an welche Subunternehmer Sie personenbezogene Daten weitergeben?
  7. Wissen Sie woher Ihre Kontaktdaten kommen?

Rechtssicherer Newsletter-Anmeldeprozess nach EU-DSGVO

Bei der Generierung von neuen Newsletter Empfängern sollte man unter anderem Regeln beachten, um die Newsletter-Anmeldungen entsprechend den Anforderungen der Datenschutz-Grundverordnung sauber abzubilden. Sollte man ein Newsletter-Anmeldeformular auf der Website im Einsatz haben, ist es ratsam unter den Button zur Newsletter-Anmeldung einen kurzen Hinweistext zu schreiben, der den Nutzer darüber aufklärt, was mit den Daten passiert und die Datenschutzerklärung verlinkt. Dieser könnte zum Beispiel so lauten: “Ihre E-Mail Adresse wird an die datenschutz-zertifizierte Newsletter Software Newsletter2Go zum technischen Versand weitergegeben. Weitere Informationen finden Sie in unserer Datenschutzerklärung [Link zur Datenschutzerklärung].”

Bei dem Verkauf einer Ware, sollte die Option “Newsletter abonnieren” nicht im Vorfeld bereits aktiv sein, sondern erst ausdrücklich durch den Nutzer aktiviert werden müssen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>