DSGVO: Die 5 häufigsten Praxis-Fehler

Mehr als ein Jahr nach Inkrafttreten der DSGVO sind - gerade bei KMUs - noch immer einige Fragen offen, gibt es Missverständnisse oder das Thema wird nicht (mehr) ernst genommen. dialog-Mail, Hersteller der gleichnamigen E-Mail-Marketing-Software, nennt die häufigsten Irrtümer im Bereich E-Mail-Marketing. [...]

Noch immer werden bei E-Mail-Marketing viele Fehler bezüglich der DSGVO-Bestimmungen gemacht.
Noch immer werden bei E-Mail-Marketing viele Fehler bezüglich der DSGVO-Bestimmungen gemacht. (c) dialog-Mail

„In der Praxis begegnen uns immer wieder die gleichen Fehler rund um die Themen Datenschutz und E-MailMarketing, die Unternehmen machen. Deshalb haben wir dazu eine Hitliste der wichtigsten Fehler erstellt“, erklärt Michael Kornfeld, Geschäftsführer von dialog-Mail eMarketing Systems.

Die häufigsten Fehler aus Sicht des Datenschutzexperten sind:
1: Fehlende Dienstleister-Vereinbarung
2: Zustimmung ist gleich Zustimmung
3: Fehlerhafte Datenschutz-Bestimmungen (Website)
4: Fe
hler bei der Beantwortung von Auskunftsbegehren
5: Konsequenz bei Wegfall der Einwilligung

Nr. 1: Fehlende Dienstleister-Vereinbarung

Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet (zum Beispiel ein E-Mail Marketing-Tool für den Versand Ihrer E-Mailings), dann benötigen Sie eine Dienstleister-Vereinbarung (Auftragsdaten-Vereinbarung).

Denn in der DSGVO ist klar geregelt, dass der Verantwortliche auch für die Auswahl seiner Dienstleister und deren datenschutzrechtliches Verhalten verantwortlich ist (das sog. „Auswahlverschulden“).

Das bedeutet: Wenn ein Dienstleister personenbezogene (!) Daten von Ihnen verarbeitet, sorgen Sie dafür, dass Sie eine entsprechende Dienstleister-Vereinbarung mit ihm abschließen. Die meisten professionellen Dienstleister werden Ihnen eine solche Vereinbarung ohnehin automatisch zur Verfügung stellen.

Nr. 2: Zustimmung ist gleich Zustimmung

Es gibt rund um die Zustimmung (im Zuge einer Newsletter-Anmeldung) immer wieder ein großes Missverständnis: Es gibt nämlich zwei (voneinander getrennte!) Zustimmungen – und beide (!) benötigt man in den meisten Fällen, um rechtskonform E-Mailings verschicken zu können.

Einerseits benötigt man eine Zustimmung nach dem TKG (was den Erhalt des Newsletters betrifft), andererseits zusätzlich noch eine Einwilligung nach der DSGVO (für die Analyse von personenbezogenen Verhaltensdaten).

Nr. 3: Fehlerhafte Datenschutzbestimmungen (Website)

Wenn Sie ein Kontaktformular auf Ihrer Website einsetzen, in dem auf eine Seite mit den Datenschutzbestimmungen verwiesen wird, dann ist das grundsätzlich sehr gut. Doch leider werden bei den Datenschutzbestimmungen immer wieder formale oder inhaltliche Fehler gemacht und zum Beispiel wichtige Informationen nicht angegeben (so muss z.B. die Dauer der Speicherung angeführt werden).

Das Problem: Wenn die Datenschutzbestimmungen fehlen oder fehlerhaft sind, dann ist die Zustimmung ungültig; wenn aber die Zustimmung ungültig ist, entfällt die Rechtsgrundlage für die Datenverarbeitung. Anders formuliert: Die Zustimmung ist dann wertlos und die Daten müssen in weiterer Konsequenz gelöscht werden.

Nr. 4: Fehler bei der Beantwortung von Auskunftsbegehren

Wenn ein Betroffener Auskunft über die Daten verlangt, die Sie über ihn verarbeiten, dann müssen Sie diesem Begehren nachkommen.

Hier ist aber eines wichtig: Sie müssen verpflichtend sicherstellen, dass die Datenauskunft auch an den richtigen (und berechtigten) Empfänger geschickt wird! Sie sollten also eine entsprechende Identifikation (z.B. Kopie eines Reisepasses) verlangen oder die Antwort als RSb-Brief verschicken – insbesondere wenn Sie das Auskunftsbegehren per E-Mail erhalten haben.

Außerdem muss die Beantwortung umfassend sein, sie muss also sämtliche Daten enthalten, die Sie über den Empfänger gespeichert haben (hier gibt es nur wenige Ausnahmen, z.B. wenn Betriebsgeheimnisse betroffen wären).

Achten Sie dabei auch an die Fristen: Auskunftsbegehren müssen innerhalb von vier Wochen beantwortet werden (in begründeten Fällen kann diese Frist auf maximal drei Monate verlängert werden).

Nr. 5: Konsequenz bei Wegfall der Einwilligung

Es gibt ein grundlegendes Problem mit den (datenschutzrechtlichen) Einwilligungen: Sie können durch den Betroffenen jederzeit widerrufen werden. Doch wenn diese Einwilligung widerrufen wird, dann fällt in vielen Fällen die Grundlage für die Datenverarbeitung weg!

Anders formuliert: Die Daten dürfen dann nicht weiter verwendet, sondern müssen anonymisiert oder gelöscht werden.

Bezogen auf E-MailMarketing ist der häufigste Fall eine Abmeldung: Wenn sich ein Empfänger abmeldet, fällt auch die Grundlage für die Datenspeicherung weg (sofern nicht andere Gründe geltend gemacht werden können, zum Beispiel vertragliche Verpflichtungen aus einer Kundenbeziehung).

Diese und weitere Tipps indem sich in dem Blog von dialog-Mail e-Mail Marketing Systems GmbH, der unter www.dialog-mail.com/p/Mg90q abgerufen werden kann.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*