bento icon close

Alles, was Sie wissen müssen und was Sarbacane tut, um Ihnen zu helfen

Persönliche Daten sind keine Daten wie alle anderen, ihr Schutz ist eine Notwendigkeit und jetzt eine Verpflichtung. Das Themenspektrum, das der DSB abdeckt, ist äußerst vielfältig. Es ist ein spannender Job!"

Antoine DELECOURT

Datenschutzbeauftragter Sarbacane Software

Zertifiziert als Datenschutzbeauftragter durch das Professional Evaluation and Certification Board*

*Zertifikatsnummer: DPCDPO1052813-2022-11

Wie Sarbacane Ihnen hilft, die DSGVO zu erfüllen

Eine DSGVO-konforme Anwendung

Die Anwendung Sarbacane stellt ihren Benutzern Werkzeuge zur Verfügung, die es ihnen ermöglichen, unter Einhaltung der Regeln der DSGVO zu kommunizieren, nämlich :

  • Automatische Verwaltung von Abonnementabmeldungen
  • Die Erstellung und Verwaltung der Blacklists
  • Aufzeichnung von Daten im Zusammenhang mit der An- und Abmeldung von Kontakten
  • Obligatorische rechtliche Informationen, die bei der Erstellung von Kontaktformularen angezeigt werden
  • Validierung der Registrierung durch Double-Opt-In auf Kontaktformularen

Systematische Moderation von Sendungen

Jede mit Sarbacane verschickte Kommunikationskampagne wird analysiert und moderiert, bevor sie endgültig verschickt wird.

Diese Überprüfung ermöglicht es Sarbacane, die Einhaltung der europäischen Verordnung durch seine Benutzer zu gewährleisten. Wenn dies nicht der Fall ist, erlaubt sich Sarbacane, bestimmte Sendungen abzulehnen. Die Gründe dafür können unterschiedlich sein: ohne Zustimmung erhaltener Empfängerstamm, nicht vorhandener Abmeldelink usw.

DSGVO: Definition, Kontext und Anwendungen

Was ist die DSGVO ?

Die DSGVO ist die Datenschutz-Grundverordnung. Es handelt sich um eine Verordnung, die am 14. April 2016 vom Europäischen Parlament verabschiedet wurde und am 24. Mai 2018 in der Europäischen Union in Kraft trat. Es zielt darauf ab, den Schutz der Personen und ihrer Grundrechte zu stärken, indem es einen rechtlichen Rahmen für die Verarbeitung ihrer persönlichen Daten schafft.

Welche Beteiligten werden gemäß der europäischen Verordnung in die Verantwortung genommen?

Durch die Europäische Datenschutz-Grundverordnung werden zwei Arten von Beteiligten in die Verantwortung genommen: der Datenverantwortliche und der Auftragsverarbeiter.

Sind Sie einer dieser beiden Akteure?

Zur Erinnerung: Der Datenverantwortliche bestimmt den Zweck und die Art der Verarbeitung personenbezogener Daten.

In der Folge kann er einen oder mehrere Auftragsverarbeiter einsetzen, die in bestimmten Phasen der Datenverarbeitung gemäß den gewünschten Zielen, in seinem Namen und nach seinen Anweisungen tätig werden. Mit der DSGVO können Auftragsverarbeiter ebenfalls haftbar gemacht werden.

Beispiel

Sind Sie Verantwortlicher für Marketing, Kommunikation, Vertrieb, Operatives Geschäft, IT-Administrator, Rechtsbeistand, E-Commerce-Spezialist - Webentwicklung, Personalleiter?

Sie sind mit Sicherheit maßgeblich an der Zweckbestimmung und den Verarbeitungsmethoden für personenbezogene Daten in Ihrem Unternehmen beteiligt. Es ist jedoch Ihr Unternehmen, als juristische Person, und nicht Sie, als natürliche Person, der Verantwortliche für die Verarbeitung. Es sei denn, es wird nachgewiesen, dass Sie als Experte dieses Unternehmens, bei der Festlegung der auf die diese personenbeogenen Daten angewandten Zwecke und Verarbeitungsmethoden allein gehandelt haben.

Wie werden Datenverantwortliche und Auftragsverarbeiter konkret in die Verantwortung genommen?

Meldepflichten

Seit dem 25. Mai 2018 werden zwar die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten (§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) bzw. jeweiliges Landesdatenschutzgesetz) hinfällig und durch ein lokales Verzeichnis von Verarbeitungstätigkeiten ersetzt, jedoch müssen nun zwei wichtige Grundsätze berücksichtigt werden: „Privacy by design“ und „Privacy by default“.

Privacy by design und by default

„Privacy by design“ und „Privacy by default“ ist die Notwendigkeit, systematisch die notwendigen Maßnahmen zum Schutz personenbezogener Daten bei der Erstellung eines Produkts oder einer Dienstleistung zu integrieren. Als Beteiligter an der Entwicklung eines Produkts oder einer Dienstleistung, unabhängig von der Phase, sind Sie daher von diesem Grundsatz betroffen.

Grundsatz der Rechenschaftspflicht

Darüber hinaus gibt es den Grundsatz der Rechenschaftspflicht. Datenverantwortliche und Auftragsverarbeiter müssen sowohl Prozesse zum Schutz personenbezogener Daten umsetzen als auch gleichzeitig den Nachweis erbringen können, dass sie die Regelungen der DSGVO auf Dauer einhalten (d.h. die Wirksamkeit dieser Prozesse durch Dokumentation und interne Maßnahmen kontinuierlich verfolgen können).

Was ist der Geltungsbereich der DSGVO?

Der Geltungsbereich wird wie folgt festgelegt: Gilt für Datenverantwortliche und Datenverarbeiter mit Sitz in der Europäischen Union (EU) und solche mit Sitz außerhalb der EU, die Verarbeitungen durchführen, die dazu bestimmt sind, Waren und Dienstleistungen an Personen innerhalb der Europäischen Union zu liefern oder ihr Verhalten innerhalb der EU zu überwachen.

Worauf sollten Sie sich im Zuge dieser Verordnung vorbereiten?

Die in der Europäischen Verordnung vorgesehenen Rechte und Pflichten betreffen insbesondere:

Datenübertragbarkeit

Ihr Kunde kann von Ihnen verlangen, dass Sie alle Daten auf einem lesbaren Datenträger an Ihren Wettbewerber senden, wenn dieser den Lieferanten wechselt.

Benachrichtigung bei Datenschutzverletzung

Im Falle einer Datenschutzverletzung (unberechtigter Zugriff etc.) ist der für die Verarbeitung Verantwortliche verpflichtet, die Datenschutzbehörde innerhalb von 72 Stunden zu informieren, oder sogar die Personen, deren Daten verletzt wurden, wenn ein hohes Risiko besteht, die Rechte und Freiheiten dieser Personen zu verletzen.

Die Führung eines Registers der Datenverarbeitungsvorgänge

Unter bestimmten Bedingungen sehr empfehlenswert.

Die Ernennung eines Datenschutzbeauftragten (DSB)

(unter bestimmten Bedingungen), um den Schutz personenbezogener Daten zu gewährleisten.

Folgeneinschätzung

Vor der Weiterverarbeitung werden die möglichen Folgen eingeschätzt, wenn ein hohes Risiko einer Verletzung des Schutzes personenbezogener Daten besteht. Es wird besonders für eine bestehende Verarbeitung empfohlen, die ein hohes Risiko darstellt.

Was sind die Sanktionen?

Für den Fall der Nichteinhaltung der Europäischen Datenschutzgrundverordnung können Geldbußen von 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem welcher der Beträge höher ausfällt.

Welche personenbezogenen Daten werden von Ihnen als Vermarkter und/oder Akteur der digitalen Kommunikation möglicherweise verarbeitet?

Als Kommunikator müssen Sie nicht nur die von Ihnen übermittelten Nachrichten (Ursprung, Bedeutung) mit der Anwendung der DSGVO ändern, sondern verstärkt Ihre Art der Verarbeitung der personenbezogenen Daten Ihrer Kontakte: Unterrichten Sie sie vor der Verarbeitung mit mehr Transparenz; für den Fall, dass die rechtliche Berechtigung für die Verarbeitung auf einer Einwilligung beruht, müssen Sie ihre gültige Einwilligung jederzeit nachweisen können.

Was sind personenbezogene Daten und was ist die Hauptanwendung im E-Mail-Marketing?

Personenbezogene Daten sind Informationen, die dazu verwendet werden können, eine natürliche Person direkt oder indirekt zu identifizieren. Eine E-Mail-Adresse vorname.nachname@namederdomain.de ermöglicht die eindeutige Identifizierung einer natürlichen Person, während eine Kundennummer ein Mittel zur indirekten Identifizierung einer natürlichen Person sein kann.

Andererseits ermöglicht eine generische Adresse allein nicht von vornherein die Identifizierung einer natürlichen Person (es sei denn, Sie haben Angaben, die es Ihnen ermöglichen, jemanden durch Querverweise zu identifizieren). E-Mail Adressen vom Typ kontakt@namederfirma.de stellen Kontaktdaten von juristischen Personen dar. Da diese Art von Daten nicht als personenbezogene Daten gelten, fallen sie nicht in den Anwendungsbereich der DSGVO.

Wie sieht es durch die Einführung der DSGVO mit der Einwilligung aus?

Die Regeln für die elektronische Kommunikation werden von der DSGVO nicht in Frage gestellt.

Beachten Sie jedoch, dass der Entwurf der europäischen ePrivacy-Verordnung, über welchen derzeit im EU-Parlament und EU-Rat diskutiert wird, die Debatte über Themen in Gang setzt, die die digitale Kommunikation und die Einwilligung der Nutzer kombinieren. Dieses Themengebiet muss daher in den kommenden Monaten weiterverfolgt werden.

Wenn wir über personenbezogene Daten sprechen, denken wir zwangsläufig irgendwann über die Einwilligung der Personen nach, deren Daten wir verarbeiten. Im Internet herrscht jedoch große Verwirrung über den Begriff der Einwilligung im Rahmen der DSGVO...

Der europäische Rechtstext weist darauf hin, dass die Einwilligung eine der Rechtsgrundlagen ist, auf die sich die Datenverarbeitung stützen kann. Aber es ist nicht die einzig mögliche Rechtfertigung für die Datenverarbeitung (z.B. Vertragserfüllung), und in diesem Sinne ist es falsch zu behaupten, dass die Einwilligung nach der DSGVO systematisch verbindlich vorgeschrieben wird und zur Regel wird.

Andererseits verschärft die DSGVO die Bedingungen, die gelten, wenn eine Datenverarbeitung auf der Grundlage der Einwilligung erfolgt. In der Praxis, wenn eine Einwilligung erforderlich ist (z.B. im Falle von kommerzieller Prospektion im BtoC Bereich) oder wenn Sie selbst die Verarbeitung der Daten durch eine Einwilligung begründen, müssen Sie eine gültige Einwilligung einholen:

Klare und unmissverständliche positive Aussage oder Handlung der Person

Vorausgefüllte Kästchen, passive oder implizierte Zustimmungen sind nicht erlaubt!

Die Einwilligung muss leicht zugänglich sein

Die Zustimmung muss erklärt werden: Informieren Sie den Betroffenen mit einfachen Worten über die beabsichtigte Verwendung seiner Daten, die Person muss über die erteilte Einwilligung und deren Umfang informiert sein. Verwenden Sie keine Verneinung.

Die Einwilligung muss frei und spezifisch sein

Die Einwilligung muss frei und spezifisch sein: Sie muss einen bestimmten Zweck haben (z.B. um ein kommerzielles Angebot zu senden). Die Zustimmung darf nicht erzwungen werden (d.h. sie darf nicht mit Rabatten, Geschenken oder Dienstleistungen in Verbindung gebracht werden). Weiterhin ist zwischen der Zustimmung zur Datenverarbeitung und der Einwilligung der DSGVO zu unterscheiden.

Das Recht auf jederzeitigen Widerruf der Einwilligung

Sie müssen die Person darüber informieren, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen, wobei Sie angeben müssen, dass es ebenso einfach ist, die Einwilligung zu widerrufen wie sie zu erteilen.

Bewahren Sie den Nachweis der erhaltenen Einwilligung auf

Behalten Sie den Nachweis der Zustimmung (Sie müssen diese beweisen können!): Wozu die Person zugestimmt hat, wann sie zugestimmt hat und wer zugestimmt hat. Die Nachweisbarkeit von Aktionen im Zusammenhang mit der Einwilligung muss gewährleistet sein: Über die Zustimmung, die Verwendung und die widerrufenen Einwilligungen.

Widerruf der Einwilligung vereinfachen

Die Zustimmung zu widerrufen, sollte für den Einzelnen einfach sein. (Einstellungen, die z.B. in Ihrem Kundenkonto geändert werden können)

Darüber hinaus wird das Recht auf Information zur Datenverarbeitung durch die europäische Verordnung gestärkt. Insbesondere müssen die Nutzer klar über die Verwendung ihrer Daten, die Empfänger, die Dauer der Speicherung, die Möglichkeit der Korrektur, Löschung oder Einschränkung ihrer Daten oder die Möglichkeit, der Verarbeitung zu widersprechen, informiert werden.

Was ist die Hauptverpflichtung des Datenverantwortlichen gegenüber seinen Auftragsverarbeitern?

Zu beachten: Der für die Verarbeitung Verantwortliche sollte nur Datenverarbeiter einsetzen, die ausreichende Garantien bei der Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Datenschutz bieten, damit die Verarbeitung den Anforderungen der DSGVO entspricht.

Als Kunde einer E-Mail-Marketing-Lösung zum Beispiel sind Sie in der Position des Verantwortlichen, der diesen Subunternehmer für die Verarbeitung Ihrer in Ihrem Namen, für Ihr Konto und unter Ihren Anweisungen versandten Newsletter oder E-Mail-Kampagnen beauftragt. Es liegt daher in Ihrer Verantwortung, dafür zu sorgen, dass diese E-Mail-Marketing-Lösung die erforderlichen Mittel einsetzt und an den Schutz personenbezogener Daten angepasst ist.

Wie Sarbacane die Einhaltung der DSGVO gewährleistet

Sarbacane ist auf allen Ebenen seiner digitalen Umwelt eingebunden

Vor einigen Monaten wurde ein spezielles DSGVO-Compliance-Team ernannt. Dies setzt sich aus Fachleuten mit technischem und juristischem Profil zusammen, die den konkreten und wöchentlichen Fortschritt zu diesem Thema vorantreiben.

Konkrete Lösungen sind bereits vorhanden

Die Ernennung und Erklärung an die zuständige Verwaltung eines Datenschutzbeauftragten (DSB).

Einrichtung eines Verarbeitungsregisters, das eine ständige und aktuelle Einsicht in die Verarbeitung personenbezogener Daten ermöglicht.

Sarbacane bietet seinen Nutzern und Kunden eine Charta zum Schutz personenbezogener Daten für eine immer transparentere Kommunikation.

Darüber hinaus sind und werden die Teams von Sarbacane bzgl. der neuen Entwicklungen der DSGVO informiert und geschult.

Sarbacane hat auch einen Auftragsverarbeitungs-Vertrag zur personenbezogenen Daten ausgearbeitet.

Sarbacane ist festes Mitglied der AFCDP (Französische Vereinigung der Korrespondenten für den Schutz personenbezogener Daten) und nimmt daher an Arbeitsgruppen teil, um sich mit anderen Fachleuten über den Schutz personenbezogener Daten auszutauschen.

Hinweis zum Hosting von Daten

Hinweis zum Hosting von Daten von Sarbacane, die nicht durch die DSGVO behandelt werden: Ihre Daten von E-Mail- und SMS-Kampagnen werden in Frankreich gehostet. Im Rahmen des Versands von SMS-Nachrichten werden Ihre Daten auch innerhalb der Europäischen Union gehostet. Im Rahmen unserer Kundenbeziehung werden beim Austausch mit dem Support Ihre E-Mail-Adresse und der Inhalt Ihres Austausches in den Vereinigten Staaten unter dem Schutz den Standardklauseln der Europäischen Kommission übermittelt und gehostet.