21.08.2019 Übersicht

DSGVO: Die 5 häufigsten Fehler in der Praxis

Mehr als ein Jahr nach Inkrafttreten der DSGVO sind – gerade bei KMUs – noch immer einige Fragen offen, gibt es Missverständnisse oder das Thema wird nicht (mehr) ernst genommen.

DSGVO: Die häufigsten Fehler in der Praxis

In der Praxis begegnen uns immer wieder die gleichen Fehler rund um die Themen Datenschutz und E-Mail-Marketing, die Unternehmen machen. Deshalb haben wir dazu eine "Hitliste" der wichtigsten Fehler erstellt:

#1: Fehlende Dienstleister-Vereinbarung

Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet (zum Beispiel ein E-Mail-Marketing Tool für den Versand Ihrer E-Mailings), dann benötigen Sie eine Dienstleister-Vereinbarung (Auftragsdaten-Vereinbarung).

Denn in der DSGVO ist klar geregelt, dass der Verantwortliche auch für die Auswahl seiner Dienstleister und deren datenschutz-rechtliches Verhalten verantwortlich ist (das sog. "Auswahlverschulden").

Das bedeutet: Wenn ein Dienstleister personenbezogene (!) Daten von Ihnen verarbeitet, sorgen Sie dafür, dass Sie eine entsprechende Dienstleister-Vereinbarung mit ihm abschließen. Die meisten professionellen Dienstleister werden Ihnen eine solche Vereinbarung ohnehin automatisch zur Verfügung stellen.

Hinweis für Dialog-Mail Kunden: Unsere Dienstleister-Vereinbarung finden Sie im Bereich Datenschutz»Einstellungen.

 

#2: Zustimmung ist gleich Zustimmung

Es gibt rund um die Zustimmung (im Zuge einer Newsletter-Anmeldung) immer wieder ein großes Missverständnis: Es gibt nämlich zwei (voneinander getrennte!) Zustimmungen - und beide (!) benötigt man in den meisten Fällen, um rechtskonform E-Mailings verschicken zu können.

Einerseits benötigt man eine Zustimmung nach dem TKG (was den Erhalt des Newsletters betrifft), andererseits zusätzlich noch eine Einwilligung nach der DSGVO (für die Analyse von personenbezogenen Verhaltensdaten).

Eine detaillierte Analyse samt Empfehlungen können Sie in unserem Artikel nachlesen: "Zustimmung ist Zustimmung, oder?"

 

#3: Fehlerhafte Datenschutz-Erklärungen (Website)

Wenn Sie ein Kontaktformular auf Ihrer Website einsetzen, in dem auf eine Seite mit den Datenschutz-Erklärungen verwiesen wird, dann ist das grundsätzlich sehr gut!

Doch leider werden bei den Datenschutz-Erklärungen immer wieder formale oder inhaltliche Fehler gemacht und zum Beispiel wichtige Informationen nicht angegeben (so muss z.B. die Dauer der Speicherung angeführt werden).

Das Problem: Wenn die Datenschutz-Erklärungen fehlen oder fehlerhaft sind, dann ist die Einwilligung ungültig; wenn aber die Einwilligung ungültig ist, entfällt die Rechtsgrundlage für die Datenverarbeitung. Anders formuliert: Die Einwilligung ist dann wertlos und die Daten müssen in weiterer Konsequenz gelöscht werden.

Praxis-Tipp: Überprüfen Sie Ihre Datenschutz-Erklärungen (z.B. auf der Website) regelmäßig! Denn wenn es eine größere technische oder organisatorische Änderung gab, müssen die Datenschutz-Erklärungen natürlich angepasst werden.

 

#4: Fehler bei der Beantwortung von Auskunftsbegehren

Wenn ein Betroffener Auskunft über die Daten verlangt, die Sie über ihn verarbeiten, dann müssen Sie diesem Begehren nachkommen.

Hier ist aber eines wichtig: Sie müssen verpflichtend sicherstellen, dass die Datenauskunft auch an den richtigen (und berechtigten) Empfänger geschickt wird! Sie sollten also eine entsprechende Identifikation (z.B. Kopie eines Reisepasses) verlangen oder die Antwort als RSb-Brief verschicken – insbesondere wenn Sie das Auskunftsbegehren per E-Mail erhalten haben.

Außerdem muss die Beantwortung umfassend sein, sie muss also sämtliche Daten enthalten, die Sie über den Empfänger gespeichert haben (hier gibt es nur wenige Ausnahmen, z.B. wenn Betriebsgeheimnisse betroffen wären).

Achten Sie dabei auch an die Fristen: Auskunftsbegehren müssen innerhalb von 4 Wochen beantwortet werden (in begründeten Fällen kann diese Frist auf maximal 3 Monate verlängert werden).

Hinweis für Dialog-Mail Kunden: Sie können alle in Dialog-Mail über einen Betroffenen gespeicherten Daten mit nur einem Mausklick exportieren und so ganz einfach beauskunften. Klicken Sie dazu bei dem Empfänger auf das Icon "Empfänger-Aktivitäten" und dort in der Liste auf den Button "Beauskunftung".

 

#5: Konsequenz bei Wegfall der Einwilligung

Es gibt ein grundlegendes Problem mit den (datenschutz-rechtlichen) Einwilligungen: Sie können durch den Betroffenen jederzeit widerrufen werden. Doch wenn diese Einwilligung widerrufen wird, dann fällt in vielen Fällen die Grundlage für die Datenverarbeitung weg!

Anders formuliert: Die Daten dürfen dann nicht weiter verwendet, sondern müssen anonymisiert oder gelöscht werden.

Bezogen auf E-Mail-Marketing ist der häufigste Fall eine Abmeldung: Wenn sich ein Empfänger abmeldet, fällt auch die Grundlage für die Datenspeicherung weg (sofern nicht andere Gründe geltend gemacht werden können, zum Beispiel vertragliche Verpflichtungen aus einer Kundenbeziehung).

Hinweis für Dialog-Mail Kunden: Sie können in den Datenschutz»Einstellungen festlegen, wie bei einer Abmeldung verfahren werden soll. Solche Empfänger können automatisch anonymisiert oder auch gelöscht werden (auch über Segmente, damit zum Beispiel bei bestehenden Kunden keine Löschung erfolgt).

Tipp 1: Alle rechtlichen Rahmenbedingungen für E-Mail-Marketing finden Sie in unserem kostenlosen Leitfaden (geschrieben für Nicht-Juristen), den wir gerade erst aktualisiert und stark erweitert haben. Der Leitfaden ist sowohl als (kostenloses) PDF-Dokument als auch in einer Version für den Kindle auf Amazon erhältlich.

Tipp 2: Wenn Sie mehr über die vielen Funktionen von Dialog-Mail rund um den Datenschutz erfahren wollen, schauen Sie sich unsere Datenschutz-Tour an!

Möchten Sie mehr?

In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.

Newsletter-Kuvert