Die wichtigsten Fragen und Antworten zur Europäischen Datenschutzverordnung (DSGVO) für Beauty Profis

Die Datenschutzverordnung (DSGVO) tritt am 25. Mai 2018 in der Europäischen Union in Kraft. Das Regelwerk wurde im April 2016 vom EU-Parlament verabschiedet und ersetzt bestehende Datenschutzrichtlinien. Der Stichtag rückt immer näher und als Beauty Profi bist Du nicht allein, wenn Du die immer noch unsicher bist, was die neuen Vorschriften konkret für Dich bedeuten und wie Du dich optimal darauf vorbereiten solltest…

WICHTIG: Dieser Artikel stellt keine Rechtsberatung dar und es wird nur zu allgemeinen Informationszwecken zur Verfügung gestellt.

 

Häufig gestellte Fragen zur DSGVO
Aus diesem Grund haben wir eine Übersicht wichtiger Themen und häufig gestellter Fragen zur DSGVO für Dich zusammengestellt und im Detail beantwortet.

Was ist die DSGVO?
Die DSGVO wird die Datenschutzrichtlinie 95/46/EG von 1995 ersetzen und den Schutz und die Rechte des Einzelnen verbessern. Die Verordnung schafft ein sichereres Umfeld für die Verbraucher und ihre Daten, indem sie die Menge der Daten, die gesammelt werden dürfen, sowie die Art und Weise, wie sie verwendet werden und wie lange sie gespeichert werden können, begrenzt.

Inwiefern unterscheidet sich die DSGVO von bestehenden Gesetzen?
Die DSGVO vereinheitlicht rechtliche Rahmenbedingungen und verpflichtet alle Länder zur Einhaltung der gleichen Regeln, wenn es um die Verwendung personenbezogener Daten geht. Trotzdem setzt jedes Land die Datenschutzrichtlinie in Teilen unterschiedlich um, so dass die rechtlichen Bestimmungen innerhalb der EU unterschiedlich ausfallen und somit schwerer zu verstehen und umzusetzen sind.

Muss ich mich mit der DSGVO beschäftigen, wenn ich meinen Sitz nicht in der Europäischen Union habe?
Kurz gesagt, ja. Zumindest dann, wenn Dein Unternehmen mit Verbrauchern in der EU kommuniziert, oder wenn Du personenbezogene Daten von EU-Bürgern verarbeitest oder speicherst. In diesem Fall wird die DSGVO Dich betreffen.

Was sind „personenbezogene Daten“?
Als personenbezogene Daten gelten alle Informationen, die sich auf eine direkt oder indirekt identifizierbare Person beziehen. Dabei kann es sich um einen Vornamen, eine E-Mail-Adresse, ein Foto, eine Bankverbindung, Kreditkarteninformationen, Beiträge aus Social Media, die Krankengeschichte, eine IP-Adresse und vieles mehr handeln.

Mit welchen Konsequenzen müssen Unternehmen rechnen, die nicht DSGVO-konform handeln?
Unternehmen, die sich nicht an die neuen Vorschriften halten, drohen saftige Geldstrafen. Die Bußgelder werden in Abhängigkeit vom Ausmaß der Zuwiderhandlung verhängt. Die maximale Geldbuße, die einer Firma auferlegt werden kann, beträgt 4% des globalen Jahresumsatzes, oder 20 Millionen Euro.

Wie wird die Höhe der Geldbuße ermittelt?
Gemäß der DSGVO sollen Geldbußen wirksam, verhältnismäßig und abschreckend sein. Sie sollen aber gleichzeitig die Maßnahmen berücksichtigen, die das Unternehmen tatsächlich zur Einhaltung der DSGVO-Vorgaben unternommen hat. Mit anderen Worten: Wenn sich Ihr Unternehmen nicht auf die DSGVO vorbereitet und dann einen umfassenden Datenverlust erleidet, werden Sie mit hohen Geldstrafen rechnen müssen. Wenn Sie sich aber so auf DSGVO vorbereiten, dass Sie nahezu gesetzeskonform agieren, wird die Geldbuße in einem angemessenen Verhältnis dazu stehen. Die Entscheidung über etwaige Geldbußen treffen die örtlichen Aufsichtsbehörden.

Was sind die Voraussetzungen, um sich DSGVO-konform zu verhalten?
Um den neuen Bestimmungen zu entsprechen, solltest Du folgende Punkte sicherstellen:

• Verbesse die Rahmenbedingungen zum Erteilen einer Einwilligung.
• Benachrichtige Deine Kontakte innerhalb von 24 Stunden über ein etwaiges Datenleck.
• Stelle Nutzern auf Anfrage eine Kopie Deiner persönlichen Daten in elektronischer Form zur Verfügung.
• Lösche Nutzerdaten, wenn Du sie nicht länger benötigst, oder wenn der Nutzer dies wünscht.
• Ermögliche  es Nutzern, deine Daten von Deinem Unternehmen an ein anderes zu übertragen.
• Baue Daten fest in die Systeme ein, anstatt sie als Add-On oder nachträglich zu integrieren.
• Beauftrage einen Datenschutzbeauftragten, wenn Dein Unternehmen bestimmte Kriterien erfüllt.

Muss ich einen Datenschutzbeauftragten (DSB) beschäftigen?
Handelt es sich bei einer Organisation um eine Behörde, die regelmäßig Personen in großem Stil überwacht, oder um eine Organisation, die spezielle Datenkategorien wie medizinische Daten oder Informationen über strafrechtliche Verurteilungen verarbeitet, dann verlangen die neuen Vorschriften, dass ein DSB beauftragt wird.

Was ist eine gültige Einwilligung?
Die DSGVO verlangt eine gültige Einwilligung (auf die Erhebung von Daten) von allen neuen und bestehenden Kontakten. Auf Verlangen müssen Sie nachweisen, dass Ihnen eine Zustimmung zur Verwendung personenbezogener Daten vorliegt. Betrachten Sie folgenden Szenarien:

Bestandskunden (Käufer): Die Einwilligung wird im Rahmen „bestehender Kundenbeziehungen“ als gegeben vorausgesetzt. Beachten Sie jedoch, wie lange die Beziehungen zukünftig als „gültig“ angesehen werden können und ob der Kommunikationsinhalt auf die bestehenden Beziehungen beschränkt werden sollte (z.B. nach § 7 Abs. 3 UWG).
Ehemalige Kunden: Ein Unternehmen ist ab sofort nicht mehr dazu berechtigt, personenbezogene Daten ohne Einwilligung, aktive Kundenbeziehung oder laufenden E-Mail-Verkehr aufzubewahren.
Aktive E-Mail-Abonnenten ohne nachweisbare Einwilligung: Um weiterhin Werbung versenden zu können, müssen Sie darlegen, dass Ihr Marketing-Programm einen Mehrwert für die Empfänger bietet und diese Personen als „bestehende Kundenbeziehungen“ einstuft.
Inaktive E-Mail-Abonnenten: Sie sollten Kontaktdaten nicht ohne aktuelle Einwilligung, Kundenbeziehung oder laufende E-Mail-Aktivitäten speichern.
Neukunden / E-Mail-Abonnenten: Sie sollten den Wortlaut der Einwilligungserklärung sowie das Erteilen der entsprechenden Einwilligung für jeden Kunden speichern (z.B.: Diese Person hat dieses Kästchen am Tag X um XX:XX Uhr von der IP-Adresse Y angekreuzt und somit der Datenverarbeitung in der Z-Erklärung zugestimmt).
Was sind die sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten?
Gemäß der neuen DSGVO dürfen Organisationen personenbezogene Daten nur dann verarbeiten, wenn eine der folgenden Rechtsgrundlagen erfüllt ist:

Einwilligung: Nutzer müssen eine gültige Einwilligung in klarer und eindeutiger Sprache erteilen, bevor Unternehmen ihre Daten verarbeiten dürfen.
Vertrag: Der Nutzer ist Unterzeichner (oder Betroffener) eines Vertrages, für dessen Erfüllung das Unternehmen bestimmte Daten verarbeiten muss.
Erfüllung einer gesetzlichen Verpflichtung: Das Unternehmen ist aufgrund einer rechtlichen Auflage dazu verpflichtet, bestimmte Daten zu verarbeiten.
Lebenswichtige Interessen: Die Verarbeitung von Daten ist zum Schutz lebenswichtiger Interessen des Einzelnen oder einer anderen natürlichen Person zwingend erforderlich.
Öffentliches Interesse: Daten, die im Rahmen einer im öffentlichen Interesse ausgeführten Aufgabe verarbeitet werden.
Berechtigtes Interesse: Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen / aus Sicherheitsgründen.
Was bedeutet „berechtigtes Interesse“?
Das berechtigte Interesse ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO. Die DSGVO erklärt hierzu, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung […] als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann].“ Einige Marketer interpretieren diese Regelung dahingehend, dass das Versenden von Werbematerialien an Kontakte auch ohne signifikante Anpassungen bzw. Änderungen nach wie vor rechtmäßig sei.

Du solltest sorgfältig abwägen, ob das „berechtigte Interesse“ die beste Grundlage für Deine Marketingkommunikation ist. Sobald Du dies getan haben, solltest Du folgendes sicherstellen:

Erkläre, wie oder warum Du die persönlichen Daten einer Person benötigst, wenn Du  diese sammelst.
Verwende einen mehrschichtigen Datenschutzhinweis.
Informiere Einzelpersonen darüber, was nach der Datenerfassung mit ihren Daten geschieht.
Biete Nutzern die Möglichkeit, dem Erhalt von Werbung zu widersprechen.
Sammle nur benötigte Daten und löschen Sie diese, sobald der Nutzer dies einfordert.
Du sollest nachweisen können, dass die oben genannten Bedingungen für alle Daten (bestehende + neue), die Du unter Berufung auf das „berechtigte Interesse“ verwenden, eingehalten werden.

Ein allgemeines Interesse am Erhalt von Werbematerialien ist keine ideale Grundlage, um sich auf das „berechtigte Interesse“ zu berufen. Verwende  stattdessen, wo immer möglich, die Einwilligung als Grundlage.

Wie kann ich die Einwilligung nachweisen?
Die DSGVO gibt sechs Rechtsgrundlagen für die rechtmäßige Verarbeitung von Daten an (siehe oben). Wenn Ihre Verarbeitung in eine der genannten Rubriken fällt, musst Du an Deinen Prozessen & Vorgehensweisen nichts verändern.

Double Opt-in ist eine der möglichen Grundlagen, um eine Einwilligung rechtskräftig nachweisen zu können. Obwohl die DSGVO dies nicht verlangt, ist das DOI ein relativ einfacher Weg, um zu beweisen, dass eine Person sich für einen Service registriert hat.

So lässt sich Double Opt-in implementieren: Nachdem ein Nutzer das Anmeldeformular ausgefüllt hat, versenden Sie eine E-Mail mit der Aufforderung, das Opt-in über einen Bestätigungslink zu aktivieren. Erst wenn der Klick auf den Link erfolgt, wird das Abonnement wirksam. Gleichzeitig untermauert dieses Verfahren Ihre Einhaltung der Bestimmungen der DSGVO.

Stelle sicher, dass folgende Angaben gespeichert werden:

Datum/Zeit der Einwilligung
Art der Einwilligung
Eine Kopie des Anmeldeformulars, einschließlich des entsprechenden Wortlauts.
Bitte beachten Sie, dass die Einwilligung für alle Arten der Datenerfassung gilt, einschließlich Offline-Methoden, E-Mail und Telefon. Sie sollten sich daher überlegen, wie Sie analoge Einwilligungen erfassen und speichern.

Muss ich meine Datenschutzerklärung anpassen?
Das kommt darauf an. Wie bereits erwähnt, verlangt die DSGVO von Unternehmen mehr Transparenz in Bezug auf die Einwilligung. Es ist sicherzustellen, dass die zustimmende Person eine „informierte Einwilligung“ erteilt und dass der Nutzer versteht, wer seine Daten verwendet und warum.

Plant ein Unternehmen, seine erfassten Daten für mehr als einen Zweck zu verwenden, muss das Unternehmen dies kenntlich machen und für jeden Zweck eine Einwilligung einholen. Die Verarbeitung darf nur für die Zwecke erfolgen, für die eine Zustimmung erteilt wurde.

Ihre Datenschutzbestimmungen müssen klar und verständlich sein und sollten darlegen, wer die Daten sammelt und welche Kontrolle der Verbraucher über seine Daten hat. Sie müssen zudem kenntlich machen, wie lange die Daten aufbewahrt werden.

Sie sollten sämtliche Datenschutzrichtlinien, Einwilligungsinformationen und Protokolle Ihrer Datenverarbeitung(en) archivieren, um nachzuweisen, dass Sie sich an die von dem jeweiligen Verbraucher erteilte Erlaubnis halten.

Kann ich nach wie vor Werbekampagnen an meine bestehende Empfängerliste senden?
Nach dem 25. Mai 2018 müssen alle Daten, die Sie für Werbekampagnen speichern und verarbeiten, den Voraussetzungen der DSGVO genügen. Sie sollten also überprüfen, ob die Einwilligungen aller relevanter Kontakte für zukünftige Datenverwendungen ausreichend sind. Du solltest außerdem nachweisen können, dass Du die eindeutige Einwilligung zum Versand von Mitteilungen an diese Kontakte besitzt. Fehlt es an der eindeutigen Einwilligung, musst Du diese nachträglich einholen.

Sollte ich Double Opt-In nutzen?
Double Opt-in wird durch die DSGVO zwar zu keiner Grundvoraussetzung, aber es ist eine unkomplizierte Möglichkeit, einen Einwilligungsnachweis der Nutzer einzuholen. Marketer können schnell & einfach überprüfen, ob sie über die korrekten Daten verfügen (in diesem Fall eine E-Mail-Adresse), und zusätzlich bietet die Methode eine weitere Bestätigung der Einwilligung (durch einen Klick auf den Bestätigungslink).

Beachte, dass allgemeine Einwilligungserklärungen oder vorangekreuzte Kästchen für eine Zustimmung nicht ausreichen. Du musst  eine klare und transparente Sprache verwenden, in der Du explizit benennst, welche Daten verarbeitet werden, bzw. warum und wie lange sie verwendet werden.

Doppelt erteilte Einwilligungen in Form von „Double Opt-Ins“, liefern Dir einen unmissverständlichen Nachweis der Zustimmung Deiner Kontakte. Dies ist eine gute Möglichkeit, sich langfristig DSGVO-konform zu verhalten.

Wie kann ich meine inaktiven Abonnenten ansprechen und zurückgewinnen?
Die Zeit zum Einholen aller nötigen Einwilligungen von inaktiven Abonnenten ist begrenzt. Wir empfehlen Dir daher, Deine Kontakte möglichst schnell und wirkungsvoll mit entsprechenden Maßnahmen anzusprechen (z.B. durch Incentives, Rabattaktionen oder Upgrades). Wenn inaktive Abonnenten davon überzeugt sind, dass sich die Kommunikation mit Ihrem Unternehmen lohnt, werden sie dem Erhalt Ihrer Werbemaßnahmen zustimmen.

Wie kann ich überprüfen, ob ich die Vorschriften einhalte?
Prüfe anhand dieser kurzen Checkliste, ob Du bereit für die DSGVO bist:

• Überprüfe Deine Daten (welche Daten besitzen Du, wo werden Daten gespeichert, etc.).
• Führe eine Datenschutz-Folgenabschätzung durch (falls erforderlich)
• Lege für jeden Datensatz die rechtmäßige Verarbeitungsgrundlage fest.
• Entscheide, ob und wie Du eine Einwilligung aktualisieren kannst, um den zukünftigen Anforderungen zu entsprechen.
  –
• Prüfe alle Online-/Offline-Datenquellen auf DSGVO-Konformität.
  Aktualisiere Deine Datenschutzrichtlinien.

HAFTUNGSAUSSCHLUSS – Die Materialien in diesem Artikel stellen keine Rechtsberatung dar und werden nur zu allgemeinen Informationszwecken zur Verfügung gestellt.

Quelle: 5.4.2018 emarsys.com