DSGVO-Sprechstunde
Fragen & Antworten rund um das Thema EU-DSGVO

Überblick der wichtigsten Fragen

- Wie lange werden die Double-Opt-in-Daten gespeichert?
- Wie und wann erhalten die Kunden von CleverReach® die Double-Opt-in-Daten bei einer Anforderung?
- Wie lange werden die Daten der Newsletter-Empfänger gespeichert?
- Wie lange werden die Double-Opt-in-Daten gespeichert?
- Müssen bestehende Zustimmungen von Newsletter-Empfängern neu erhoben werden?
- Können Daten weiterhin analog erhoben werden? Was gibt es dabei an neuen Regularien zu beachten?
- Müssen Newsletter-Empfänger darauf hingewiesen werden, wo ihre Daten gespeichert werden (Ort, Anbieter)?
- Müssen Empfänger auf Tracking-Links und Tracking-Pixel hingewiesen werden?
- Werden die Double-Opt-in-Daten verschlüsselt und wenn ja, wie?
- Müssen Newsletter-Empfänger darauf hingewiesen werden, welche Daten von Ihnen erhoben werden?
- Weitere Informationen rund um das Thema DSGVO
Ihre Frage zur DSGVO ist noch nicht dabei?

Wie lange werden die Double-Opt-in-Daten gespeichert?

Über die Dauer der Datenspeicherung entscheidet nicht CleverReach®, sondern entscheiden Sie als Newsletter-Versender. Eine allgemeingültige, zeitliche Einheit existiert nämlich (noch) nicht. Da Sie die Einwilligung des Newsletter-Empfängers durch ein Double-Opt-in belegen müssen, können die Daten so lange legal gespeichert bleiben,
- wie die Mails aufgrund der Einwilligung versendet werden, und
- auch darüber hinaus so lange, wie Sie damit rechnen müssen, dass ein Nachweis noch gefordert werden kann.
Es gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Die Speicherdauer der Daten ist demnach von Ihnen im Einzelfall angemessen festzulegen.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Hier Frage einreichen
Wie und wann erhalten die Kunden von CleverReach® die Double-Opt-in-Daten bei einer Anforderung?

Wie bisher erhalten Sie die Double-Opt-in-Daten im Falle einer Anforderung von CleverReach® per Mail. Wenn Sie unsere CleverReach Formulare verwenden, können Sie das DOI-Protokoll empfängerbezogen downloaden. Die Download-Möglichkeit finden Sie direkt im Empfängerprofil. Dies ist natürlich besonders im Fall einer Beschwerde von großem Vorteil. Ein Klick und Sie können gemäß DSGVO den entsprechenden Nachweis der Anmeldung einsehen. Schnell, komfortabel und für Ihre Sicherheit
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Wie lange werden die Daten der Newsletter-Empfänger gespeichert?

Die Speicherdauer der Daten bestimmt nicht CleverReach®, sondern legen Sie als Versender des Newsletters fest. Das bedeutet: Sobald Sie die Löschung der Empfängerdaten veranlassen, kommen wir diesem Auftrag nach.
Allerdings ist vor diesem Hintergrund zu berücksichtigen, dass wir als Datenverarbeiter nach der neuen DSGVO zur Datensicherheit verpflichtet sind und zu diesem Zweck regelmäßig Backups vornehmen müssen. Aus diesen Backups, die nur unter bestimmten Bedingungen überhaupt nochmals eingesehen und verwendet werden, können einzelne Datensätze leider nicht gezielt gelöscht werden. Wir bei CleverReach® haben uns daher dazu entschieden, diese Backups generell nach 30 Tagen zu löschen.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Wie lange werden inaktive E-Mail-Adressen, also Daten von Newsletter-Empfängern, nach ihrer Abmeldung überhaupt noch gespeichert?

Dies entscheiden Sie als Verantwortlicher für die Daten nach Ihren eigenen Regularien. Wie schon zum Double-Opt-in-Verfahren ausgeführt, gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Soweit die Daten allein für den Newsletterversand verarbeitet wurden, dürfen die Daten ab einer Abmeldung des Empfängers nicht mehr für einen Newsletterversand an diesen verwendet werden. Der Newsletter-Versender muss aber auch in der Lage sein, die Erfüllung seiner gesetzlichen Pflichten (z.B. nach der DSGVO) nachweisen zu können. Soweit die Daten hierfür erforderlich sind, können sie weiter gespeichert werden. Eine automatische Löschung durch CleverReach ® wird es nicht geben, jedoch werden wir für Sie die Voraussetzungen schaffen, um automatisierte Abläufe zu etablieren.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Müssen bestehende Zustimmungen von Newsletter-Empfängern neu erhoben werden?

Sofern sie bereits eine wirksame Einwilligung gegeben haben: grundsätzlich nein (Erwägungsgrund 171 zur DSGVO). Der europäische Gesetzgeber hat sich nämlich zugunsten der Datenverwender für eine Fortgeltung der bereits eingeholten datenschutzrechtlichen Einwilligungen entschieden. Voraussetzung ist allerdings, dass
- a) die Einwilligungen auf Grundlage des bis 24.05.2018 geltenden BDSG und des TMG wirksam eingeholt wurden
- b) die erteilten Einwilligungen auch den Bedingungen der DSGVO entsprechen.
Großer Wert wird in diesem Zusammenhang auf die Freiwilligkeit gelegt. Diese ist nicht gegeben wenn in der Vergangenheit gegen das sog. Kopplungsverbot verstoßen wurde – also, falls die Erhebung der Daten (E-Mail-Adresse) an Bedingungen geknüpft war, die für die Erfüllung eines Vertrages nicht erforderlich waren. Dass bei den bisherigen Einwilligungen bis zum 24.05.2018 den neuen Informationspflichten (Art. 13 DSGVO) nicht genügt wurde, ist hingegen unschädlich.
Das bedeutet für Sie als Newsletter-Versender: Da sich die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland überwiegend überschneiden, entfällt in der Regel die Notwendigkeit, zum 25. Mai 2018 von jedem Newsletter-Empfänger, dessen Daten bereits mit Einwilligung verarbeitet werden, erneut eine Einwilligung einzuholen.
Neu und für bisherige Einwilligungen zu beachten ist, dass die DSGVO nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Können Daten weiterhin analog erhoben werden? Was gibt es dabei an neuen Regularien zu beachten?

Ja. Wie Daten erhoben werden – digital oder analog – ist grundsätzlich für die rechtliche Würdigung gleich, es gelten dieselben Anforderungen. Das heißt: Es muss auch bei der analogen Datenerhebung, z.B. wenn E-Mail-Adressen offline gesammelt werden, ein Hinweis auf die Datenschutzerklärung gegeben werden.
Dazu hat die Datenschutzkonferenz ausgeführt, dass die diesbzgl. Informationen
- in präziser, transparenter, verständlicher und leicht zugänglicher Form
- sowie in klarer und einfacher Sprache
zu übermitteln sind. Außerdem sind sie
- schriftlich oder
- in anderer Form (ggf. elektronisch)
zur Verfügung zu stellen.
Wird aber auf eine elektronisch verfügbare Information Bezug genommen, dann muss diese auch leicht auffindbar und daher in der konkreten Situation verfügbar sein. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Müssen Newsletter-Empfänger darauf hingewiesen werden, wo ihre Daten gespeichert werden (Ort, Anbieter)?

Ja. Ein Hinweis in den Datenschutzerklärungen was, wo und wie lange gespeichert wird und dass CleverReach® der Auftragsdatenverarbeiter ist, mit dem ein Auftragsverarbeitungsvertrag (AV) zur Absicherung der Daten besteht, sollte in der Regel ausreichend sein.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Müssen Empfänger auf Tracking-Links und Tracking-Pixel hingewiesen werden?

Ja, über entsprechende Hinweise in der Datenschutzerklärung.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Hier Frage einreichen
Werden die Double-Opt-in-Daten verschlüsselt und wenn ja, wie?

Selbstverständlich. Die Double-Opt-in-Daten werden im SSL-Verfahren verschlüsselt.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Müssen Newsletter-Empfänger darauf hingewiesen werden, welche Daten von Ihnen erhoben werden?

Ja. Der Umfang und der Zweck der Datenerhebung ist den Empfängern transparent und in einer einfachen und klaren Art und Weise mitzuteilen. Der wesentliche Inhalt ist an der Stelle, wo die Daten erhoben werden, zu erläutern; im Übrigen kann auf die Datenschutzerklärung verwiesen werden, die idealerweise an der Stelle verlinkt ist.
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?
Weitere Informationen rund um das Thema DSGVO

- Was ändert sich noch bei der Erhebung der Daten? Worauf muss ich achten?
Ausführliche Beschreibungen weiterer Neuerungen im Zuge der DSGVO finden Sie in unserem Supportbereich. - Interview mit unserem Geschäftsführer und Rechtssicherheits-Experten Konrad Frerichs zum Thema DSVGO
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?