Embed Size (px)
Citation preview
Die E-Mail-Marketinglösung für Profis!
www.inxmail.de
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Neue Herausforderungen im Online-Marketing
Referenten
www.inxmail.de
Carola Lay, Inxmail GmbH
Produkt Marketing Manager
Rechstanwalt Frank Stiegler
Stiegler Legal
Inxmail – der E-Mail-Marketingexperte
Dienstleister für E-Mail-Marketingprofis seit mehr als 15 Jahren.
2000+ Kunden weltweit.
International in mehr als 25 Ländern.
130 Mitarbeiter im Stammsitz Deutschland.
Quelle der Wertschöpfung: E-Mail-Marketing.
www.inxmail.de
2.000+ Kunden. 200+ Partner
www.inxmail.de
E-Commerce und Handel
Banken und Versicherungen
Touristik
Weitere ErfolgsbeispieleVerlage
Agenturen
www.stiegler-legal.com 5RA Stiegler, Stiegler Legal
Veränderungen der DSGVO
für Online-Marketer
RA Frank Stiegler / Stiegler Legal für und mit der Inxmail GmbH
Webinar am 4. November 2016
www.stiegler-legal.com 6RA Stiegler, Stiegler Legal
DSGVO: Was bedeutet sie?
DSGVO ist am 25. Mai 2016 in Kraft getreten, wird am 25. Mai 2018 wirksam.
Datenschutzrichtlinie 95/46/EG wird zum Wirksamwerden der DSGVO aufgehoben.
E-Privacy-Richtlinie (2002/58/EG) und Cookie-Richtlinie (2009/136/EG) bleiben in Kraft.
Das BDSG wird entkernt oder angeglichen; bei Kollisionen wird EU-Recht angewendet.
DSGVO lässt an verschiedenen Stellen Raum für nationale Regelungen, z. B. bei der
DSB-Pflicht, bei Strafbarkeiten und beim Arbeitnehmerdatenschutz.
www.stiegler-legal.com 7RA Stiegler, Stiegler Legal
„personenbeziehbar“ „identifizierbar“
„Identifizierbarkeit“ ersetzt die “Personenbeziehbarkeit” (Art. 4 Abs. 1 VO):
„als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung […] zu einer Online-Kennung […] identifiziert werden kann;“
Wie weit das „werden kann“ geht, sagt Erwägungsgrund 24 S. 2:
„Um festzustellen, ob eine […] Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die […] nach
allgemeinem Ermessen wahrscheinlich genutzt werden […]“
Hierdurch entfällt die „Stufe“ der Pseudonymisierung: Bislang wird in vielen Bereichen
(z. B. im Online-Marketing) vieles über Einwilligung des Betroffenen gelöst, was bei
pseudonymen Cookies nicht nötig war. Zukünftig zählen auch pseudonyme Daten als
personenbezogen.
www.stiegler-legal.com 8RA Stiegler, Stiegler Legal
Kern für Einwilligungsfrage: Abwägung
Aktuell: Einwilligung erforderlich, wenn personenbezogener Inhalt. Wenn nicht (pseudonym), Hinweis nach § 15 Abs. 3
TMG ausreichend.
Zukünftig Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO): Maßnahme rechtmäßig, wenn
„a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen
Daten für einen oder mehrere bestimmte Zwecke gegeben; […]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den
Schutz personenbezogener Daten erfordern, überwiegen […].“
Nach Erwägungsgrund 47 Ss. 1, 3, 4 DSGVO sind bei dieser Abwägung die so genannten „vernünftigen Erwartungen“
des Betroffenen einzubeziehen. Praxisbezogen gesagt, heißt das: Je üblicher die anvisierten Datenverarbeitungsschritte
sind, desto eher werden sie auch ohne Einwilligung zulässig sein.
www.stiegler-legal.com 9RA Stiegler, Stiegler Legal
Nötige Datenschutzhinweise (Auszug) Widerrufs-/Widerspruchsrecht (Einwilligung), inkl. dass der Widerruf vergangene Datenerhebungen nicht berührt.
Bei mehreren Einwilligungen jede Einwilligung optisch deutlich vom Rest trennen, und die Einwilligung muss in verständlicher und leicht
zugänglicher Form in klarer und einfacher Sprache formuliert sein (Art. 7 Abs. 2 S. 1 DSGVO).
Zwecke und Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten. Wenn Abwägung nach Art. 6 Abs. 1 lit. f DSGVO,
müssen Sie Ihre berechtigten Interessen (z. B. Direktmarketing) nennen.
Bei Weitergabe an Dritte: Dritte nennen!
Bei Übermittlung in ein Drittland: Hinweis darüber, ob es in diesem Drittland ein EU-entsprechendes Datenschutzniveau oder vergleichbare
Garantien gibt oder nicht (Art. 13 Abs. 1 lit. f DSGVO).
Speicherdauer bzw. deren Kriterien (Art. 13 Abs. 2 lit. a DSGVO)
Betroffenenrechte, z. B. auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung (Art. 13 Abs. 2 lit. b DSGVO),
außerdem Beschwerderecht (Art. 13 Abs. 2 lit. d DGSVO).
Bei Nutzung von pbD zur Erfüllung eines Vertrages: ob (und weshalb) der Betroffene zur Bereitstellung verpflichtet ist und welche Folgen
die Nichtbereitstellung dieser Daten hat (Art. 13 Abs. 2 lit. e DSGVO).
Wenn Sie Scoring/Profiling einsetzen, das automatisiert für den Betroffenen eine „reale“ Konsequenz hat (die also z. B. über personalisiert
angezeigte Online-Werbung hinaus geht), müssen Sie ihn über die involvierte Profiling-Logik und Auswirkungen dieses Prozesses
informieren (Art. 13 Abs. 2 lit. f DSGVO).
www.stiegler-legal.com 10RA Stiegler, Stiegler Legal
Was verändert sich bei ADV?
Nach DSGVO nur noch “Auftragsverarbeitung” (Art. 28 DSGVO)
Unterscheidung zwischen ADV und Funktionsübertragung wird es nicht mehr geben.
Bislang ADV weisungsgebundene “verlängerte Werkbank”, während der Datenempfänger
bei einer Funktionsübertragung selbst entscheiden darf, was er damit macht.
Zukünftig werden Auftragsverarbeiter mehr in die Pflicht genommen. Das ist praxisnäher,
weil Google sich ja auch nicht wirklich, sondern nur auf dem Papier einem Website-
Betreiber weisungsunterworfen hat, wenn er Analytics eingesetzt hat.
www.stiegler-legal.com 11RA Stiegler, Stiegler Legal
Betroffenenrechte: Art. 16 ff DSGVO
Auskunft über die beim Unternehmen gespeicherten Daten;
Berichtigung;
Widerspruch;
Löschung („Recht auf Vergessenwerden“) Unbrauchbarmachen für den Gebrauch
Anders als das BDSG (§ 3 Abs. 4 Nr. 5) hat die DSGVO keine ausdrückliche Definition
mehr. zu verstehen als für-den-gewöhnlichen-Gebrauch-unbenutzbar-Machen;
Beschwerderecht bei Datenschutzaufsichtsbehörde;
Datenübertragbarkeit: in strukturiertem, gängigem und maschinenlesbarem Format.
Portabilität, wohl nicht Interoperabilität gemeint.
www.stiegler-legal.com 12RA Stiegler, Stiegler Legal
Problem: default-Tracking vs. Löschen
Szenario: Website trackt standardmäßig, und ein Besucher fordert die Löschung seiner
Daten und nicht mehr getrackt zu werden.
Problem: Wie geht man dran? Cookie setzen? Das kann er löschen. Sie können ihn aber
nicht wiedererkennen, wenn Sie alle seine Daten löschen.
Darf man überhaupt by default personenbezogen tracken? Grundsatz der
Datensparsamkeit!
Es kann m. E. nicht immer ausgeschlossen sein, da sonst die Interessenabwägung bei
Direktwerbung ins Leere liefe.
Verständlicher Hinweis ist das Beste, das Sie tun können.
www.stiegler-legal.com 13RA Stiegler, Stiegler Legal
Zukünftige DSB-Pflicht
Art. 37 DSGVO sieht keine feste Beschäftigtenzahl vor. Öffnungsklausel in Abs. 4 („falls
dies nach dem Recht der Mitgliedstaaten vorgesehen ist“). Nationale Regelung
(Anpassung des BDSG) durch das „DSAngUP-EU“ möglich.
Voraussichtlich bleibt es bei der aktuellen Pflicht; denn § 14 DSAngUP-EU (Entwurf 1 vom
05.08.2016) sieht Pflicht vor, soweit Unternehmen „in der Regel mindestens zehn
Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen“
(Unternehmen, die pbD geschäftsmäßig zum Zweck der Übermittlung verarbeiten,
unabhängig von der Zahl der Beschäftigten).
Es bleibt abzuwarten, was der deutsche Gesetzgeber tut.
www.stiegler-legal.com 14RA Stiegler, Stiegler Legal
Meldepflicht innerhalb von 72 Stunden
Art. 33 DSGVO normiert eine Meldepflicht ggü der Datenschutzaufsichtsbehörde bei
Datenschutzverstößen innerhalb von 72 Stunden nach Bekanntwerden.
Mindestinformationen der Meldung:
a) Beschreibung der Art der Datenschutzverletzung, nach Möglichkeit inkl. der Datenkategorien und Betroffenen;
b) Kontaktdaten des Datenschutzbeauftragten;
c) Beschreibung der wahrscheinlichen Folgen;
d) Beschreibung der ergriffenen/vorgeschlagenen Maßnahmen zur Behebung bzw. ggf. Abmilderungsmaßnahmen.
www.stiegler-legal.com 15RA Stiegler, Stiegler Legal
Bußgelder steigen immens
Bußgelder bei Datenschutzverstößen werden drastisch erhöht.
Aktuell maximal 50.000 bzw. 300.000 € (§ 43 Abs. 3 BDSG).
Zukünftig bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes oder bzw. 20 Mio. €
oder 4 % des weltweiten Jahresumsatzes, je nach dem, welcher Betrag jeweils höher ist
(Art. 83 Abs. 4, 5 DSGVO).
Auszug aus Kriterienkatalog (Abs. 2) für Bußgeldhöhe:
Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit;
Zahl der von der Verarbeitung betroffenen Personen und Kategorien der betroffenen Daten;
Schadensausmaß und -minderung;
jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar
durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
www.stiegler-legal.com 16RA Stiegler, Stiegler Legal
Aktuelle deutsche Gesetzgebung
Am 5. August 2016 wurde der erste Referentenentwurf des so genannten Datenschutz-
Anpassungs- und -Umsetzungsgesetzes EU) des Bundesministeriums des Inneren von
netzpolitik.org veröffentlicht.
Der Entwurf wurde weitgehend kritisiert, weil er Verbraucher- und Betroffenenrechte
weitgehend umgehe und (O-Ton des früheren BDSB Dr. Peter Schaar) „handwerklich
schlecht gemacht“ und „europarechtswidrig“ sei (Artikel vom 7. Oktober 2016 auf heise).
Bundestagswahlen 2017, vorher Gesetzesverabschiedung unwahrscheinlich, danach
noch etwa acht Monate Zeit.
www.stiegler-legal.com 17RA Stiegler, Stiegler Legal
RA Frank Stiegler
Martin-May-Straße 10
60594 Frankfurt
Fon: +49 69 96866084
E-Mail: [email protected]
Mehr Details in den Legal Bits 7!
Viel Erfolg!
Vielen Dank für Ihre Teilnahme!
Mehr Infos und Termine unter www.inxmail.de/academy
Praxistipps und How-tos: Umfassendes E-Mail-Marketing-Fachwissen und Inxmail Professional Know-how
Webinare: Melden Sie sich zum Inxmail Newsletter an und verpassen Sie keine Webinare www.inxmail.de/newsletter
Inxmail Blog: Aktuelle Themen und Trends aus demE-Mail-Marketing und Tipps für Profis blog.inxmail.de
www.inxmail.de
Inxmail Deutschland
Professionelle Möglichkeiten im E-Mail-Marketing
+49 761 296979-0
www.inxmail.de
www.inxmail.de
