Inxmail Blog

20 Jahre Inxmail

DSGVO-Glossar: Diese Begriffe sollten Sie kennen (Serie Teil 1)

  • 19.02.2018 von Lorina Kraus
  • Rubrik: Fachwissen

Es sind noch circa drei Monate, bis die neue EU-Datenschutz-Grundverordnung (DSGVO) zum Stichtag 25. Mai 2018 verbindlich Anwendung findet. Und kaum ein Thema ist gerade branchenübergreifend in den Medien und im Web so stark diskutiert. Kein Wunder, denn die DSGVO legt fest, wie Unternehmen künftig mit personenbezogenen Daten umzugehen haben – und gewissermaßen verarbeitet jede Firma personenbezogene Daten, nicht zuletzt die der eigenen Mitarbeiterinnen und Mitarbeiter. Zudem ergeben sich durch die neue Richtlinie für das Online Marketing im Allgemeinen und das E-Mail-Marketing im Speziellen einige Veränderungen.

Was bedeutet eigentlich…?

Personenbezogene Daten

Was sind eigentlich personenbezogene Daten? Laut der EU sind diese definiert als „[…] Informationen, die sich auf eine […] Person beziehen, […] die mittels Zuordnung zu einer Kennung wie einem Namen […] identifiziert werden kann“.

Beispiele für personenbezogene Daten sind Name, Adresse, Erreichbarkeitsdaten wie Telefon und E-Mail-Adresse, aber auch Personalausweisnummer, ein Foto, Geschlecht, Größe oder Haarfarbe. Darüber hinaus gibt es besonders sensible personenbezogeneDaten wie Herkunft, politische Meinung, sexuelle Orientierung oder religiöse Überzeugungen sowie Gesundheitszustand.

Die DSGVO sieht vor, dass personenbezogene Daten nur noch verarbeitet werden dürfen, wenn es für eine Vertragserfüllung zwingend notwendig ist. Sprich: Wird online eine Bestellung getätigt, ist es für die Vertragserfüllung notwendig, dass die Adresse des Paketempfängers verarbeitet wird, damit die Sendung zugestellt werden kann. Die Vorrausetzungen sind aber nur erfüllt, wenn es sich um die Abwicklung eines Vertrags handelt. Wenn die Kontaktdaten zusätzlich für werbliche Zwecke verarbeitet werden sollen, ist dafür eine gesonderte Einwilligung notwendig.

Datenschutzbeauftragter

Zu den Aufgaben des Datenschutzbeauftragten gehört die Beratung von Unternehmen in allen Fragen rund um den Datenschutz. Gleichzeitig ist er dafür zuständig, zu überwachen, ob Datenschutzrichtlinien im Unternehmen eingehalten werden. Deshalb ist er als erste Anlaufstelle für die Aufsichtsbehörde definiert.

In vielen deutschen Unternehmen gibt es bereits einen Datenschutzbeauftragten. Mit der Anwendung der DSGVO gibt es dann auch keinen Weg mehr Drumherum: Erstmals ist die Bestellung eines Datenschutzbeauftragten dann europaweit verbindlich und verpflichtend. Da dies bisher ähnlich im Bundesdatenschutzgesetz geregelt war, haben Unternehmen mit Sitz in Deutschland jedoch keine großen Änderungen zu befürchten. Wenn im Unternehmen noch keiner bestellt ist, ist es angesichts der neuen Richtlinie ratsam, sich über die Notwendigkeit eines Datenschutzbeauftragten zu informieren.

Auftragsdatenverarbeitung (ADV)

Unternehmen sollten eine Auftragsdatenverarbeitung (ADV) mit Dienstleistern abschließen, wenn diese in ihrem Auftrag personenbezogene Daten verarbeiten. Die ADV soll nach den Vorgaben des Datenschutzes gewährleisten, dass der Dienstleister die anvertrauten Daten nur zu dem Zweck verarbeiten, für die der Auftraggeber die Daten erhoben hat. Ein Beispiel sind Gehaltsabrechnungsbüros, die Namen, Gehälter, Kontaktdaten oder personenbezogene Dokumente erhalten, um Gehaltsabrechnungen zu erstellen.

DSGVO-Einwilligung (Double-Opt-in)

Weil E-Mails mit werblichem Inhalt nicht zwingend für eine Vertragserfüllung notwendig sind, wird die DSGVO insbesondere Einfluss auf das E-Mail-Marketing nehmen. Die Richtlinie sieht vor, dass Verbrauchern nur dann Werbung gesendet werden darf, wenn sie dafür eine explizite Einwilligung gegeben haben. Dafür ist das Double-Opt-in-Verfahren (DOI) empfehlenswert, weil der Empfänger den Erhalt von E-Mails aktiv bestätigt und damit seine Zustimmung gibt.

Um rechtlich auf der sicheren Seite zu sein, muss zukünftig neben dem DOI für jede einzelne Nutzung der personenbezogenen Daten gesondert eine Einwilligungserklärung eingeholt werden. Wenn personenenbezogene Daten also für andere werbliche Zwecke verarbeitet werden, für die bisher keine Einwilligung vorliegt, empfiehlt es sich für jeden einzelnen Zweck eine Zustimmung des Empfängers einzuholen.

Wir erklären worauf beim Double-Opt-in-Verfahren zu achten ist.

Pseudonymisierung

Der Datenschutz erlaubt nach der DSGVO nur dann Rückschlüsse auf das Öffnungs- und Klickverhalten von Newsletter-Empfängern (also den Personen), wenn sie dem personenbezogenen Tracking und der Verarbeitung ihrer Daten aktiv zugestimmt haben. Gibt eine Person also keine Einwilligung, darf aus dem Reporting nicht hervorgehen, dass diese Person auf einen bestimmten Link im Mailing geklickt hat. Die Pseudonymisierung von Daten kann deshalb ein guter Mittelweg sein, um weiterhin Rückschlüsse zu ziehen und Kennzahlen auszuwerten.

Pseudonymisierung funktioniert, indem jedem Empfänger eine ID (Pseudonym) zugeordnet wird, das getrennt von den personenbezogenen Daten, wie zum Beispiel Name und E-Mail-Adresse, gespeichert wird. Das Ergebnis: Im Reporting ist trotzdem abzulesen, wie viele Personen auf einen bestimmten Link geklickt haben, es ist jedoch nicht mehr nachvollziehbar, um welche Einzelperson es sich handelt. Gleichzeitig können keine Rückschlüsse mehr auf das Nutzungsverhalten der einzelnen Person gezogen werden.

Aber was sind überhaupt personenbezogene Daten? Und was müssen Unternehmen gemäß der DSGVO mit ihnen tun? Im Web finden sich dazu viele juristische Beiträge und Gesetztestexte. Diese erschweren es aber eher, sich ein Bild über die aktuelle Lage zu verschaffen und Handlungsempfehlungen abzuleiten. Deshalb nehmen wir in einer Blog-Serie nun regelmäßig ein Thema rund um die DSGVO unter die Lupe und erklären leicht verständlich, wie rechtskonformes E-Mail-Marketing in Zukunft aussehen sollte.

Teil 1 unserer Serie bildet die Grundlage für die kommenden Beiträge und behandelt die wichtigsten Begriffe in Zusammenhang mit der DSGVO.

Recht auf Vergessenwerden

Hinter dem Recht auf Vergessenwerden verbirgt sich die Löschpflicht, die der europäische Datenschutz nach der DSGVO für Unternehmen vorsieht. Diese beschreibt, dass personenbezogene Daten unverzüglich zu löschen sind, wenn die betroffene Person dies fordert. Damit Unternehmen schnell auf eine Löschanfrage reagieren können, ist es ratsam zu dokumentieren, welche personenbezogene Daten gespeichert und verarbeitet werden, woher diese stammen und an wen die Daten weitergegeben wurden.

Rechtssicheres E-Mail-Marketing mit Inxmail

Mit Inxmail haben Sie einen zuverlässigen Partner, der Ihnen die Weichen für DSGVO-konformes E-Mail-Marketing stellt. Wir stehen Ihnen zur Seite, unterstützen und beraten Sie gerne persönlich und unverbindlich rund um die Anforderungen der DSGVO. Machen Sie sich jetzt schlau.

Erfahren Sie mehr über DSGVO-konformes E-Mail-Marketing mit Inxmail.

Rechtlicher Hinweis

Die Inxmail GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der in dieser Unterlage bereitgestellten Informationen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen und Fragen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

Weitere Beiträge der Serie

Über den Autor

Lorina Kraus

Lorina Kraus ist Content Redakteurin im Inxmail Marketing-Team. Zu ihren Aufgaben gehören das Erstellen und Lektorat von Texten sowie die Themenplanung für die Kommunikationskanäle von Inxmail. Egal ob Fachartikel, Whitepaper oder Blogbeitrag – ihre Leidenschaft für gute Texte begleitet sie dabei täglich.

Zur Übersicht

Wissen

Ob Studien, Whitepaper, Webinare oder Case Studies – hier haben wir noch mehr E-Mail-Marketing-Wissen für Sie zusammengestellt:

Produkte & Services

Sie interessieren sich für unsere leistungsstarken Produkte oder unsere Services? Hier erfahren Sie mehr:

Inxmail Newsletter

Bleiben Sie mit unserem Newsletter auf dem Laufenden: Melden Sie sich gleich an und bekommen Sie Neuigkeiten rund ums E-Mail-Marketing direkt in Ihr Postfach.

Jetzt anmelden