DSGVO-Sprechstunde

Fragen & Antworten rund um das Thema EU-DSGVO

DSGVO Landingpage Headerbild

Ihre Frage zur DSGVO ist noch nicht dabei?

Landingpage DSGVO Illustration Software

 

Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?

 

Hier Frage einreichen

Wie lange werden die Double-Opt-in-Daten gespeichert?

Landingpage DSGVO Illustration Software

Über die Dauer der Datenspeicherung entscheidet nicht CleverReach®, sondern entscheiden Sie als Newsletter-Versender. Eine allgemeingültige, zeitliche Einheit existiert nämlich (noch) nicht. Da Sie die Einwilligung des Newsletter-Empfängers durch ein Double-Opt-in belegen müssen, können die Daten so lange legal gespeichert bleiben,

  • wie die Mails aufgrund der Einwilligung versendet werden, und
  • auch darüber hinaus so lange, wie Sie damit rechnen müssen, dass ein Nachweis noch gefordert werden kann.

Es gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Die Speicherdauer der Daten ist demnach von Ihnen im Einzelfall angemessen festzulegen.

Wie und wann erhalten die Kunden von CleverReach® die Double-Opt-in-Daten bei einer Anforderung?

Landingpage DSGVO Illustration Software

Wie bisher erhalten Sie die Double-Opt-in-Daten im Falle einer Anforderung von CleverReach® per Mail. Bald sollte Ihnen dies jedoch noch bequemer möglich sein, denn wir sind gerade dabei, ein Tool zu entwickeln, welches Ihnen ermöglicht, diese Daten ganz einfach selber herunterzuladen.

Wie lange werden die Daten der Newsletter-Empfänger gespeichert?

Landingpage DSGVO Illustration Software

Die Speicherdauer der Daten bestimmt nicht CleverReach®, sondern legen Sie als Versender des Newsletters fest. Das bedeutet: Sobald Sie die Löschung der Empfängerdaten veranlassen, kommen wir diesem Auftrag nach.

Allerdings ist vor diesem Hintergrund zu berücksichtigen, dass wir als Datenverarbeiter nach der neuen DSGVO zur Datensicherheit verpflichtet sind und zu diesem Zweck regelmäßig Backups vornehmen müssen. Aus diesen Backups, die nur unter bestimmten Bedingungen überhaupt nochmals eingesehen und verwendet werden, können einzelne Datensätze leider nicht gezielt gelöscht werden. Wir bei CleverReach® haben uns daher dazu entschieden, diese Backups generell nach 30 Tagen zu löschen.

Wie lange werden inaktive E-Mail-Adressen, also Daten von Newsletter-Empfängern, nach ihrer Abmeldung überhaupt noch gespeichert?

Landingpage DSGVO Illustration Software

Dies entscheiden Sie als Verantwortlicher für die Daten nach Ihren eigenen Regularien. Wie schon zum Double-Opt-in-Verfahren ausgeführt, gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Soweit die Daten allein für den Newsletterversand verarbeitet wurden, dürfen die Daten ab einer Abmeldung des Empfängers nicht mehr für einen Newsletterversand an diesen verwendet werden. Der Newsletter-Versender muss aber auch in der Lage sein, die Erfüllung seiner gesetzlichen Pflichten (z.B. nach der DSGVO) nachweisen zu können. Soweit die Daten hierfür erforderlich sind, können sie weiter gespeichert werden. Eine automatische Löschung durch CleverReach ® wird es nicht geben, jedoch werden wir für Sie die Voraussetzungen schaffen, um automatisierte Abläufe zu etablieren.

Müssen bestehende Zustimmungen von Newsletter-Empfängern neu erhoben werden?

Landingpage DSGVO Illustration Software

Sofern sie bereits eine wirksame Einwilligung gegeben haben: grundsätzlich nein (Erwägungsgrund 171 zur DSGVO). Der europäische Gesetzgeber hat sich nämlich zugunsten der Datenverwender für eine Fortgeltung der bereits eingeholten datenschutzrechtlichen Einwilligungen entschieden. Voraussetzung ist allerdings, dass

  • a) die Einwilligungen auf Grundlage des bis 24.05.2018 geltenden BDSG und des TMG wirksam eingeholt wurden
  • b) die erteilten Einwilligungen auch den Bedingungen der DSGVO entsprechen.

Großer Wert wird in diesem Zusammenhang auf die Freiwilligkeit gelegt. Diese ist nicht gegeben wenn in der Vergangenheit gegen das sog. Kopplungsverbot verstoßen wurde – also, falls die Erhebung der Daten (E-Mail-Adresse) an Bedingungen geknüpft war, die für die Erfüllung eines Vertrages nicht erforderlich waren. Dass bei den bisherigen Einwilligungen bis zum 24.05.2018 den neuen Informationspflichten (Art. 13 DSGVO) nicht genügt wurde, ist hingegen unschädlich.

Das bedeutet für Sie als Newsletter-Versender: Da sich die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland überwiegend überschneiden, entfällt in der Regel die Notwendigkeit, zum 25. Mai 2018 von jedem Newsletter-Empfänger, dessen Daten bereits mit Einwilligung verarbeitet werden, erneut eine Einwilligung einzuholen.

Neu und für bisherige Einwilligungen zu beachten ist, dass die DSGVO nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

Können Daten weiterhin analog erhoben werden? Was gibt es dabei an neuen Regularien zu beachten?

Landingpage DSGVO Illustration Software

Ja. Wie Daten erhoben werden – digital oder analog – ist grundsätzlich für die rechtliche Würdigung gleich, es gelten dieselben Anforderungen. Das heißt: Es muss auch bei der analogen Datenerhebung, z.B. wenn E-Mail-Adressen offline gesammelt werden, ein Hinweis auf die Datenschutzerklärung gegeben werden.

Dazu hat die Datenschutzkonferenz ausgeführt, dass die diesbzgl. Informationen

  • in präziser, transparenter, verständlicher und leicht zugänglicher Form
  • sowie in klarer und einfacher Sprache

zu übermitteln sind. Außerdem sind sie

  • schriftlich oder
  • in anderer Form (ggf. elektronisch)

zur Verfügung zu stellen.

Wird aber auf eine elektronisch verfügbare Information Bezug genommen, dann muss diese auch leicht auffindbar und daher in der konkreten Situation verfügbar sein. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.

Müssen Newsletter-Empfänger darauf hingewiesen werden, wo ihre Daten gespeichert werden (Ort, Anbieter)?

Landingpage DSGVO Illustrationen Wie

Ja. Ein Hinweis in den Datenschutzerklärungen was, wo und wie lange gespeichert wird und dass CleverReach® der Auftragsdatenverarbeiter ist, mit dem ein Auftragsverarbeitungsvertrag (AV) zur Absicherung der Daten besteht, sollte in der Regel ausreichend sein.

Müssen Empfänger auf Tracking-Links und Tracking-Pixel hingewiesen werden?

Landingpage DSGVO Illustrationen Was

Ja, über entsprechende Hinweise in der Datenschutzerklärung.

Werden die Double-Opt-in-Daten verschlüsselt und wenn ja, wie?

Landingpage DSGVO Illustrationen Wie

Selbstverständlich. Die Double-Opt-in-Daten werden im SSL-Verfahren verschlüsselt.

Müssen Newsletter-Empfänger darauf hingewiesen werden, welche Daten von Ihnen erhoben werden?

Landingpage DSGVO Illustration Software

Ja. Der Umfang und der Zweck der Datenerhebung ist den Empfängern transparent und in einer einfachen und klaren Art und Weise mitzuteilen. Der wesentliche Inhalt ist an der Stelle, wo die Daten erhoben werden, zu erläutern; im Übrigen kann auf die Datenschutzerklärung verwiesen werden, die idealerweise an der Stelle verlinkt ist.

Weitere Informationen rund um das Thema DSGVO:

Landingpage DSGVO Illustration Software