DSGVO 2018: Diese Änderungen müssen Sie wissen

In diesem Beitrag haben wir die wichtigsten Änderungen der Datenschutz-Grundverordnung (DSGVO) für Sie zusammengefasst. Wir wollen aufklären, was sich unter anderem im Umgang mit personenbezogenen Daten und den Anforderungen an E-Mail Marketing ändern wird.

Was ist die EU-DSGVO?

Die EU-Datenschutz-Grundverordnung ist eine gesetzliche Richtlinie der Europäischen Union. Sie dient dazu die Datenschutzgesetze in den unterschiedlichen EU Mitgliedsstaaten zu harmonisieren. In allen Ländern soll daher ein gleiches Schutzniveau für personenbezogene Daten gelten. Da bisher jeder Mitgliedsstaat seine eigenen Gesetze für den Schutz der Privatsphäre und die Datensicherheit erlassen hast, soll dies mit der Datenschutz Grundverordnung (DSGVO) nun vereinheitlicht werden. Die DSGVO wird dabei insgesamt 99 Artikel lang sein.

Ab wann gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt ab 25. Mai 2018. Bis dahin gilt in Deutschland das sogenannte Bundesdatenschutzgesetz, kurz BDSG.

Was geschieht mit dem Bundesdatenschutzgesetz und was ist das “BDSG neu”?

Ab dem 25. Mai 2018 wird das Bundesdatenschutzgesetz (BDSG) nicht mehr gelten, zumindest nicht in der Form wie wir es heute kennen. Das BDSG wird dabei nicht vollständig von der Datenschutz-Grundverordnung abgelöst, auch wenn das die vorherrschende Meinung ist. Zukünftig wird es neben der EU-DSGVO auch das “BDSG neu” geben. Das BDSG so wie wir es jetzt kennen wird als neu verfasst und in weiten Teilen umgeschrieben. Es wird zukünftig 84 Paragraphen enthalten. Mit der neuen Gesetzgebung ab 25. Mai 2018 wird man also zwei Gesetze beachten müssen: Die Datenschutz-Grundverordnung (EU-DSGVO) und das Bundesdatenschutzgesetz neu (BDSG neu). Insgesamt kommt man damit auf 183 Artikel. Zum Vergleich: Aktuell besitzt das Bundesdatenschutzgesetz lediglich 48 Paragraphen. Man kann sich also darauf einstellen, dass es etwas komplizierter wird.

Wieso gibt es die DSGVO?

Ziel der EU-DSGVO ist es, das Gesetz innerhalb der Europäischen Union zu harmonisieren und zu vereinfachen. Dies kommt sowohl den Endverbrauchern als auch den Unternehmen zugute. Endverbraucher können sich zukünftig sicher sein, sich in einem gleichen Rechtsraum, wie in Deutschland, innerhalb der Europäischen Union zu bewegen und werden nicht mehr durch unterschiedliche Rechte in den unterschiedlichen Mitgliedstaaten verwirrt. Unternehmen, die international Handel betreiben, profitieren von den einheitlichen gesetzlichen Anforderungen und können damit Kunden aus den unterschiedlichen Ländern gleich behandeln. Dies vereinfacht die internen Prozesse und sorgt für mehr Effizienz. Außerdem werden die einschlägigen Grundrechte und Grundfreiheiten von natürlichen Personen geschützt. Für Sie als Unternehmen bedeutet DSGVO-konform zu sein, dass Sie ein höheres Vertrauen der Kunden genießen werden und somit einen Wettbewerbsvorteil gegenüber DSGVO-unkonformen Unternehmen haben.

Welche Änderungen treten mit der DSGVO in Kraft – eine Übersicht

Was bleibt?

• Personenbezogene Daten natürlicher Personen werden durch das Datenschutzrecht geschützt.
• Unternehmen sind weiterhin zur Datensparsamkeit und Zweckbestimmung der Daten angehalten.
• Die Einwilligung der Verarbeitung von personenbezogenen Daten muss gegeben sein.Das UWG bleibt weiterhin bestehen.
• Die Pflicht zum Vertrag zur Auftragsdatenverarbeitung besteht weiterhin.

Was ändert sich?

• Ein Datenschutzbeauftragter muss nur noch bestellt werden, wenn das Unternehmen hauptsächlich automatisiert Daten von natürlichen Personen erhebt oder verarbeitet.
• Das Datenschutzrecht wird europaweit harmonisiert und gilt für alle Mitgliedsstaaten der EU.
• Das alte Bundesdatenschutzgesetz wird durch das “BDSG neu” ersetzt.
• Die Bußgelder bei Verstößen sind enorm gestiegen.Natürliche Personen haben mehr Rechte und können besser über Ihre Daten bestimmen.

Sind Unternehmen nach Datenschutz Grundverordnung verpflichtet, einen Datenschutzbeauftragten zu benennen?

Im Bundesdatenschutzgesetz (BDSG) ist in §4f geregelt, wann ein Unternehmen einen Datenschutzbeauftragten bestellen muss. In der EU-Datenschutz-Grundverordnung wird diese Pflicht vermutlich aufgelockert. Ab Mai 2018 müssen Unternehmen nur noch einen Datenschutzbeauftragten bestellen, wenn das Unternehmen der automatisierten Erhebung und Verarbeitung von Daten als wesentliche Tätigkeit zur Erfüllung des Geschäftszweckes nachgeht. Viele oder sogar fast alle Online-Geschäfte werden davon unmittelbar betroffen sein. Die neuen Regelungen befinden sich dabei in Art. 35ff der EU-DSGVO.Hier gibt es mehr Infos zur DSGVO!

Gibt es in der EU-DSGVO weiterhin die Pflicht einen Vertrag zur Auftragsdatenverarbeitung zu schließen und was ist das Ziel eines Auftragsdatenverarbeitungsvertrags?

Diese Frage ist einfach zu beantworten: Ja, die Pflicht einen Vertrag zur Auftragsdatenverarbeitung, auch Auftragsdatenverarbeitungsvertrag (ADV) genannt, besteht weiterhin. Dies war im Bundesdatenschutzgesetz bisher in §11 BDSG regelt. Hier wurde darüber hinaus beschrieben, was in dem Vertrag zur Auftragsdatenverarbeitung enthalten sein muss. Zukünftig wird dieser Paragraph durch den Artikel 28 ff der DSGVO ersetzt. Der Inhalt der ADVs wird dabei in vielen Teilen ähnlich sein. Eine wichtige Erneuerung ist jedoch, dass die Abfassung des Vertrags zwar schriftlich erfolgen muss, dies aber auch in einem elektronischen Format erfolgen kann. Das sollte manche Prozesse beschleunigen. Ziel des Vertrags zur Auftragsdatenverarbeitung ist es, die Weitergabe von personenbezogenen Daten zu regeln. Dies ist zum Schutz der Privatsphäre von Betroffenen und zum allgemeinen Schutz der personenbezogenen Daten essentiell. Nur so kann nachvollzogen werden, an wen, wann und welche Arten von personenbezogenen Daten weitergegeben wurden.

Safety-Check der Auftragsverarbeitung:

1. Sind die Daten meiner Kunden bei dem Drittanbieter innerhalb der EU gespeichert? Wo genau sind Sie gespeichert?
2. Überträgt der Drittanbieter die Daten außerhalb der EU?
3. Hat der Drittanbieter alle notwendigen technischen und organisatorischen Maßnahmen umgesetzt?
4. Wer hat Zugang zu den Daten und was können diese Personen mit diesen machen?
5. Gibt es einen Datenschutzbeauftragten in dem Unternehmen?
6. Werde ich über eine Datenübertragung informiert?
7. Welche Sicherheitsmaßnahmen unternimmt der Drittanbieter zum Schutz der Daten?
8. Ist das Unternehmen DSGVO-konform?

Wird es in der EU-Datenschutz Grundverordnung weiterhin technische und organisatorische Maßnahmen geben?

Die Pflicht technische und organisatorische Maßnahmen zu definieren und zu führen bestand bisher in §9 des Bundesdatenschutzgesetzes (BDSG). Dies wird auch weiterhin bestehen. Allerdings wird dieser Punkt zukünftig durch den Artikel 32 der DSGVO geregelt.

Für wen gilt die EU-DSGVO?

Die Datenschutz-Grundverordnung gilt für alle Personen und Unternehmen, die, wie der Name schon sagt, personenbezogene Daten verarbeiten. Verarbeitet bedeutet in diesem Sinne das Übermitteln, Speichern oder Bearbeiten von personenbezogenen Daten. Diese Regelung gilt damit für Cloudanbieter, aber auch Nicht-Cloudanbieter, die personenbezogene Daten von EU-Bürgern verarbeiten.

Wie verhält es sich mit der DSGVO außerhalb der EU?

Die Vorgaben des Art. 45 DSGVO beinhalten den sogenannten Angemessenheitsbeschluss. In den Ländern die darin inbegriffen sind, ist eine Übermittlung personenbezogener Daten möglich. Dies gilt beispielsweise für die Schweiz, Kanada, Neuseeland etc. Andersherum bedeutet das auch, dass die Unternehmen, die Ihren Sitz nicht innerhalb der EU haben, aber Geschäftsabläufe innerhalb der EU haben, diese den Anforderungen der DSGVO anpassen müssen.

Welche Strafen und Strafhöhen sind bei der Datenschutz-Grundverordnung festgelegt?

Mit der EU-DSGVO gelten zukünftig Strafhöhen, die manches Unternehmen durchaus empfindlich treffen könnten. Ab dem 25. Mai 2018 werden Datenschutzverstöße stärker bestraft. Diese sind in Art. 83 DSGVO geregelt. Bei Nichteinhaltung der Datenschutz-Grundverordnung kann es zukünftig Bußgelder in Höhe von 20 Millionen Euro oder 4% des jährlichen weltweiten Umsatzes geben, je nachdem welcher Wert höher ist. Ein Unternehmen kann bspw. mit 2% des jährlichen weltweiten Umsatzes verurteilt werden, weil es Aufzeichnungen nicht in der korrekten Abfolge dokumentiert hat, Überwachungsbehörden davon nicht benachrichtigt und Betroffene nicht ausreichend informiert wurden oder keine Folgenabschätzung durchgeführt wurde. Mit Folgeabschätzung ist dabei eine Abschätzung gemeint, die verschiedene Szenarien wie zum Beispiel Datenverlust aufstellt und für Unternehmen und Kunden durchspielt.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, die eine natürlich Person bestimmen oder bestimmbar machen. Der Name, das Geburtsdatum und die Anschrift sind damit alles personenbezogene Daten, die eine Person und deren Privatsphäre bestimmen. Die IP-Adresse ist, laut Gerichtsurteil, auch ein personenbezogenes Datum. Zwar bestimmt sie nicht unmittelbar eine Person, aber durch einen Abgleich mit den Daten des Internetproviders wird die Person bestimmbar. Die IP-Adresse XYZ ist damit einer bestimmten Person zuordnungsbar. Damit die Privatsphäre nicht eingeschränkt wird, genießen personenbezogene Daten besonderen Schutz. Dieser Schutz der Privatsphäre und der personenbezogenen Daten wird durch die Datenschutz Grundverordnung definiert.

Kann sich ein Unternehmen offiziell als DSGVO-konform zertifizieren lassen?

Im Moment gibt es noch kein Zertifikat, dass die DSGVO-Konformität bestätigt. Allerdings ist ein solcher Prozess vorgesehen und kann dann von Drittunternehmen vorgenommen werden.

Was bedeutet die EU-Datenschutz-Grundverordnung für E-Mail Marketing?

Die gute Nachricht vorab: Es wird keine fundamentalen Änderungen für deutsche Unternehmen geben. Das Datenschutz-Niveau ist und war in Deutschland bereits auf einem vergleichsweise hohem Niveau. Daher ergeben sich im Bereich E-Mail Marketing mit der DSGVO zwar kleine Anpassungen, aber keine grundlegenden Änderungen.

Anstatt des Bundesdatenschutzgesetzes (BDSG) wird zukünftig die EU-Datenschutz-Grundverordnung (EU-DSGVO) gelten. Wichtig dabei ist jedoch zu beachten, dass die EU-DSGVO noch Spielraum für eine nationale Interpretation liefert und genau das hat der deutsche Gesetzgeber mit einer Neuauflage des Bundesdatenschutzgesetzes, BDSG neu, auch getan. Das UWG (Gesetz gegen den unlauteren Wettbewerb) wird auch in Zukunft noch gelten. Dies ist wichtig, da hier hauptsächlich geregelt wird, was man an Kriterien erfüllen muss, um personenbezogene Daten rechtskonform zu erheben und später auch wirtschaftlich zu verwerten. Das UWG ändert sich mit der DSGVO nicht.

Saftey-Check: E-Mail Marketing nach den Richtlinien der Datenschutz-Grundverordnung (DSGVO)

1. Haben Sie einen Vertrag zur Auftragsdatenverarbeitung mit Ihrem Dienstleister (Hoster, E-Mail Marketing Software, Tracking Software, usw.) geschlossen?
2. Entspricht der Dienstleister den gesetzlichen Anforderungen? Kann er dies durch ein Datenschutz-Testat nachweisen?
3. Können Sie den Nachweis der Einwilligung (E-Mail-Adresse, Datum, Uhrzeit) zum Newsletter von allen Newsletter-Empfängern erbringen?
4. Haben Sie den Newsletter-Empfänger auf die Datenschutzerklärung hingewiesen?
5. Ist Ihre Datenschutzerklärung aktuell?
6. Wird dokumentiert, an welche Subunternehmer Sie personenbezogene Daten weitergeben?
7. Wissen Sie woher Ihre Kontaktdaten kommen?

Was müssen Sie im Rahmen der DSGVO unbedingt beachten und was sollten Sie auf keinen Fall machen? In der folgenden Übersicht haben wir Ihnen einmal die jeweils vier wichtigsten Punkte aufgezählt:

unbedingt	auf keinen Fall
1. Zweckgebundene Datenerhebung – nur die Abfrage der E-Mail-Adresse darf ein Pflichtfeld enthalten.	1. Kein Newsletter-Versand ohne explizite Einwilligung des Empfängers.
2. Zeigen Sie auf wofür Sie die personengebundenen Daten benötigen.	2. Verwenden Sie keine bereits gesetzten Kreuze im Anmeldeformular.
3. Einbindung der Datenschutzerklärung.	3. Bezahlen Sie nicht für E-Mail-Adressen.
4. Klare Kommunikation, dass eine Abmeldung vom Newsletter jederzeit möglich ist.	4. Deklarieren Sie eine Kopplung von Freebies und der Anmeldung zum Newsletter niemals als kostenlos.

Rechtssicherer Newsletter-Anmeldeprozess nach EU-DSGVO

Bei der Generierung von neuen Newsletter Empfängern sollte man unter anderem Regeln beachten, um die Newsletter-Anmeldungen entsprechend den Anforderungen der Datenschutz-Grundverordnung sauber abzubilden. Sollte man ein Newsletter-Anmeldeformular auf der Website im Einsatz haben, ist es ratsam unter den Button zur Newsletter-Anmeldung einen kurzen Hinweistext zu schreiben, der den Nutzer darüber aufklärt, was mit den Daten passiert und die Datenschutzerklärung verlinkt. Dieser könnte zum Beispiel so lauten: “Ihre E-Mail Adresse wird an die datenschutz-zertifizierte Newsletter Software Brevo zum technischen Versand weitergegeben. Weitere Informationen finden Sie in unserer Datenschutzerklärung [Link zur Datenschutzerklärung].”

Bei dem Verkauf einer Ware, sollte die Option “Newsletter abonnieren” nicht im Vorfeld bereits aktiv sein, sondern erst ausdrücklich durch den Nutzer aktiviert werden müssen.

Eignet sich Brevo für DSGVO-konformes E-Mail Marketing?

Mit uns sind Sie auf der sicheren Seite. Unsere Versand-Server befinden sich in Deutschland und auch verfügen wir über einen internen Datenschutzbeauftragten. Wir schließen mit unseren Kunden und Drittanbieter Verträge zur Auftragsverarbeitung ab. Unseren Kunden stehen diese in der Software zum direkten Abschließen zur Verfügung. Unser Unternehmen ist TÜV Rheinland geprüft und unser Rechenzentrum Iso 27001 zertifiziert.