DSGVO und Partner

Wichtige Informationen für Partner zur Einhaltung der DSGVO in unserer Channel-Marketing-Lösung.

Welche Datenschutzpflichten habe ich bei der Teilnahme am Extu-Programm?

Bei der Nutzung der Extu-Dienste zur Versendung von Marketingmaterialien an Ihre Abonnenten gibt es vier zentrale Verpflichtungen, die Partner beachten müssen:

  1. Die rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten auf der Abonnentenliste festlegen.
    Dies bedeutet, dass Sie:
    • die ausdrückliche Zustimmung des einzelnen Empfängers auf Ihrer Abonnentenliste eingeholt haben, um Marketingmaterialien zu versenden. Diese Zustimmung muss klar, freiwillig, vollständig informiert und durch eine bestätigende Handlung erteilt worden sein
    • sich auf berechtigte Interessen als rechtmäßige Grundlage stützen, um die E-Mail-Adresse auf Ihrer Abonnentenliste für den Versand von Marketingmaterialien zu verwenden, nachdem eine dokumentierte Abwägung der berechtigten Interessen durchgeführt wurde (d. h. es besteht eine vernünftige Erwartung des Empfängers, Marketingmaterialien aufgrund einer bestehenden Geschäftsbeziehung zu erhalten, und die Auswirkungen auf den Datenschutz wurden als gering eingestuft).
      Weitere Informationen finden Sie unter Wie stelle ich sicher, dass meine Abonnentenliste DSGVO-konform ist?
  2. Datenschutzhinweise müssen vollständige Informationen zur Verarbeitung personenbezogener Daten enthalten. Als Verantwortlicher für Ihre Abonnentenliste sollte Ihr Datenschutzhinweis den Anforderungen der DSGVO in Bezug auf Fairness und Transparenz entsprechen und Folgendes offenlegen:
    • Die rechtmäßige Grundlage, auf die sich die Erfassung und Verarbeitung personenbezogener Daten stützt, einschließlich der Verarbeitung von E-Mail-Adressen für Direktmarketingzwecke. In den meisten Fällen wird die rechtmäßige Grundlage entweder die Einwilligung oder berechtigte Interessen sein. Sie können sich auch auf andere Gründe wie die Erfüllung eines Vertrags oder gesetzliche Verpflichtungen stützen, wenn Sie personenbezogene Daten im Rahmen Ihrer Geschäftstätigkeit verarbeiten (z. B. Kontaktdaten zur Bereitstellung von Produkten oder Dienstleistungen für einen bestimmten Kunden).
    • Welche personenbezogenen Daten Sie mit Extu teilen (dies sollte beinhalten, dass die E-Mail-Adressen der Kunden und Kopien von Rechnungen/Quittungen geteilt werden, um Kampagnen zu verwalten und zu validieren).
    • Mit wem Sie personenbezogene Daten teilen und eine Liste der Drittanbieter, zu denen auch Extu gehört.
  3. Geeignete technische und organisatorische Maßnahmen müssen vorhanden sein. Ihre Systeme sollten sicher sein – dies umfasst angemessene IT- und Cybersicherheitsvorkehrungen sowie effektive interne Kontrollen, Richtlinien und Verfahren zur Erfassung, Nutzung, Weitergabe und Handhabung personenbezogener Daten.
  4. Be Extu’s partner in privacy. We need to work together to ensure we adhere to appropriate privacy standards and do our best to protect the personal information we collect and process in the course of sending marketing materials. We need to help each other address any privacy questions, complaints or requests, respond to a potential data breach and conduct privacy investigations or assessments. We are here to support you and you must immediately notify us:
    • im Falle eines potenziellen oder tatsächlichen Datenschutzverstoßes,
    • wenn Sie eine Anfrage zur Datenverarbeitung von einer betroffenen Person erhalten,
    • wenn Sie Beschwerden oder Ansprüche von einem Abonnenten oder einer Aufsichtsbehörde bezüglich Datenschutz oder personenbezogener Daten erhalten,
    • oder wenn Sie allgemeine Fragen oder Bedenken zum Datenschutz haben.

Wie stelle ich sicher, dass meine Abonnentenliste DSGVO-konform ist?

Abonnentenliste DSGVO-konform ist?
Partner sollten ihre Abonnentenliste bei Eintritt in das Programm sowie regelmäßig danach auf DSGVO-Konformität überprüfen. Auch wenn Sie nicht direkt der DSGVO unterliegen, verlangen die Allgemeinen Geschäftsbedingungen von Extu, dass Sie eine rechtmäßige Grundlage für die Verarbeitung der Abonnentenlisten haben, damit Extu die Marketingdienstleistungen erbringen kann.

Die Überprüfung Ihrer Kundenliste umfasst die Bewertung der E-Mail-Adressen und anderer gesammelter Informationen sowie die Prüfung, ob eine rechtmäßige Grundlage für deren Verarbeitung vorliegt. Fehlt diese rechtmäßige Grundlage, sollte die E-Mail-Adresse nicht in Ihrer Abonnentenliste enthalten sein.

Obwohl es sechs rechtmäßige Grundlagen für die Verarbeitung gemäß der DSGVO gibt, sind die wahrscheinlich am häufigsten anzuwendenden Grundlagen für die Erfassung und Nutzung von E-Mail-Adressen für Direktmarketingzwecke:

  • Einwilligung oder
  • berechtigtes Interesse.

Es liegt in Ihrer Verantwortung, Ihre Datenverarbeitungsaktivitäten zu analysieren und die richtige Grundlage auszuwählen. Wenn Sie unsicher sind, welche der in der DSGVO aufgeführten rechtmäßigen Grundlagen auf Sie zutrifft, wenden Sie sich bitte an Ihre Rechtsberater, um sicherzustellen, dass Ihre Verarbeitungsaktivitäten ordnungsgemäß gerechtfertigt sind. Es ist wichtig zu beachten, dass die DSGVO das Prinzip der „Rechenschaftspflicht“ verankert, was bedeutet, dass Sie die Einhaltung nachweisen müssen. Daher ist eine sorgfältige Dokumentation entscheidend, um diese Rechtfertigungen zu unterstützen.

Das Information Commissioner’s Office (ICO) bietet auch weitere Informationen zu den Rechtsgrundlagen sowie ein interaktives Leitfaden-Hilfsmittel zu Rechtsgrundlagen, das Ihnen hilft, die passende Grundlage zu bestimmen.

Einwilligung

Einwilligung bedeutet, dass die betreffende Person ihre klare, ausdrückliche Zustimmung zur Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck freiwillig erteilt hat.

ei der Überprüfung Ihrer Abonnentenliste sollten Sie prüfen, ob eine ausdrückliche Einwilligung vorliegt und ob diese noch gültig ist. Eine gültige Einwilligung nach der DSGVO:

  • Muss freiwillig erteilt werden: Das bedeutet, den Menschen eine echte, fortlaufende Wahl und Kontrolle darüber zu geben, wie ihre Daten verwendet werden
  • Einwilligungsanfragen müssen deutlich erkennbar, getrennt von anderen Geschäftsbedingungen, prägnant und leicht verständlich sein. Sie müssen benutzerfreundlich und auf einer positiven „Opt-in“-Basis beruhen, im Gegensatz zu vorab angekreuzten Kästchen oder „Opt-out“-Optionen.
  • Muss die Details zum Verantwortlichen, die Zwecke der Verarbeitung und die Arten der Verarbeitungsaktivitäten ausdrücklich angeben.

Stellen Sie sicher, dass Sie Aufzeichnungen führen, um die Einwilligung nachweisen zu können – wer zugestimmt hat, wann, wie und was der betroffenen Person mitgeteilt wurde.

Beispiele für ausdrückliche Einwilligung umfassen:

  • Opt-in über ein Web- oder Online-Formular, bei dem das Opt-in-Feld nicht standardmäßig vorausgewählt ist.
  • Ein ausgefülltes Offline-Formular, das eindeutig angibt, dass die Person in Ihre E-Mail-Marketing-Abonnentenliste aufgenommen werden kann und sie ausdrücklich ihr Einverständnis erklärt hat, solche E-Mails zu erhalten.
  • Überreichung einer Visitenkarte, vorausgesetzt: 1) Sie haben ausdrücklich darauf hingewiesen, dass die Übergabe der Visitenkarte als Zustimmung gilt, in Ihre E-Mail-Marketing-Abonnentenliste aufgenommen zu werden; oder 2) die Visitenkarte wurde in einen Behälter oder Stapel gelegt, der klar gekennzeichnet ist, dass durch das Hinzufügen der Visitenkarte die Zustimmung zur Aufnahme in Ihre E-Mail-Marketing-Abonnentenliste erteilt wird. In beiden Fällen müssen Sie die Grundlage Ihrer Verarbeitung durch Kommunikation Ihres Datenschutzhinweises transparent vermitteln.
  • Erhalt einer sonstigen ausdrücklichen schriftlichen Zustimmung, bevor Sie die Person per E-Mail kontaktieren und in Ihre E-Mail-Marketing-Abonnentenliste aufnehmen.

Weitere Informationen zur Einwilligung finden Sie auf der Website des Information Commissioner’s Office: ICO: Einwilligung und Leitfaden zur Einwilligung.

Berechtigtes Interesse

Es kann Fälle geben, in denen Sie sich auf Ihr berechtigtes Interesse an den Abonnenten stützen können und ein „Soft Opt-in“ etabliert werden kann.

Das berechtigtes Interesse kann herangezogen werden, wenn das durchzuführende Marketing im berechtigten Interesse Ihres eigenen Unternehmens oder eines Dritten, wie z. B. eines Softwareanbieters, liegt, sofern berechtigte Gründe vorliegen, dass die betroffene Person die Verarbeitung erwarten würde und die Auswirkungen auf den Datenschutz voraussichtlich minimal sind. Die EU-Kommission hat bestätigt, dass die Verarbeitung personenbezogener Daten zu Direktmarketingzwecken als im berechtigten Interesse durchgeführt gelten kann, sofern alle erforderlichen Kriterien erfüllt sind.

Um sich auf das berechtigte Interesse als Grundlage für die rechtmäßige Verarbeitung zu stützen, müssen Sie eine Abwägung der berechtigten Interessen durchführen und dokumentieren. Auf der Website des Information Commissioner’s Office gibt es ein Muster für eine Abwägung der berechtigten Interessen, das Sie als Leitfaden verwenden können.

Sobald Sie Ihre Begründung für das berechtigte Interesse als Grundlage für die rechtmäßige Verarbeitung festgelegt und dokumentiert haben, können Sie Ihre Abonnentenliste überprüfen, um festzustellen, ob einige der E-Mail-Adressen die Kriterien für das Soft Opt-in erfüllen.

Das Soft Opt-in gilt nur für bestehende Kunden (nicht für potenzielle Kunden). Um unter das Soft Opt-in zu fallen, muss die E-Mail-Adresse im Rahmen eines Verkaufs eines Produkts oder einer Dienstleistung an diese Person erfasst worden sein.

Es gibt keine gesetzlich festgelegten Zeitlimits für das Soft Opt-in, aber als Richtlinie könnten Käufe, die innerhalb von sechs bis 24 Monaten vor dem Überprüfungsdatum getätigt wurden, als angemessener Zeitraum gelten. Denken Sie daran, dass eine berechtigte Erwartung bestehen muss, dass der Abonnent zustimmen würde, Marketing-E-Mails zu erhalten.

Weitere Informationen zum berechtigten Interesse finden Sie auf der Website des Information Commissioner’s Office: ICO: Berechtigtes Interesse und Leitfaden zum berechtigten Interesse.

Kurz-FAQs

Möglicherweise. Die DSGVO gilt in dem Umfang, in dem Sie:

  • ein Unternehmen mit Sitz in der EU sind,
  • Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten von Personen in der EU überwachen,
  • personenbezogene Daten von Personen in der EU verarbeiten.

Auch wenn die DSGVO nicht auf Ihr Unternehmen zutrifft, sind Sie dennoch verpflichtet, lokale Datenschutzgesetze einzuhalten und sicherzustellen, dass Sie die erforderlichen Einwilligungen von Ihren Abonnenten in Bezug auf die erhobenen personenbezogenen Daten einholen.

Darüber hinaus sind Sie gemäß den Allgemeinen Geschäftsbedingungen von Extu verpflichtet, bestimmte Datenschutzanforderungen zu erfüllen (siehe Welche Datenschutzpflichten habe ich bei der Teilnahme am Extu-Programm?)

Zusätzliche Informationen oder Ressourcen zu Ihren lokalen Datenschutzverpflichtungen:

Es sei denn, Sie können zu 100 % sicherstellen, dass eine von Ihnen gekaufte Liste ausschließlich aus Personen besteht, die gemäß der DSGVO eingewilligt haben, unterstützen wir die Nutzung gekaufter Listen durch Partner nicht. Partner sollten niemals E-Mail-Adressen verwenden, die aus dem Internet oder aus Newsgroups kopiert oder extrahiert wurden; aus gekauften, geliehenen oder gemieteten Listen stammen; oder auf andere Weise ohne (a) ausdrückliches Opt-in und Einwilligung des E-Mail-Empfängers oder (b) eine andere rechtmäßige Grundlage für die Erfassung, wie z. B. berechtigtes Interesse, erhalten wurden.

Es verstößt gegen die Geschäftsbedingungen von Extu, Drittanbieterlisten zu verwenden, die nicht den DSGVO-Anforderungen an die rechtmäßige Erhebung oder den Einwilligungsanforderungen der lokalen Datenschutzgesetze entsprechen.

Die DSGVO ist ein positiver Schritt in Richtung Datenschutz. Es geht nicht darum, Unternehmen daran zu hindern, ihre geschäftlichen Interessen zu verfolgen. Extu hat hart daran gearbeitet, unsere Partner bei der DSGVO-Compliance zu unterstützen (siehe GDRP und Extu), und als Verantwortlicher und Auftragsverarbeiter Ihrer Daten sowie der Daten Ihrer Abonnenten sind wir hier, um zu helfen. Während wir unser Bestes tun, um sicherzustellen, dass unser Service in Übereinstimmung mit der DSGVO erbracht wird, sind Sie der Eigentümer und Verwalter Ihrer Abonnentenliste. Das bedeutet, dass Sie als Datenverantwortlicher sicherstellen müssen, dass:

  • Ihre Abonnentenliste nur Personen umfasst, für die eine rechtmäßige Grundlage für die Erfassung besteht,
  • Sie in Ihrem Datenschutzhinweis die notwendigen Offenlegungen vorgenommen haben,

  • Sie wissen, was zu tun ist, wenn Sie eine Datenschutzanfrage oder -beschwerde erhalten,
  • Sie geeignete technische und organisatorische Maßnahmen umgesetzt haben.

Weitere Informationen finden Sie unter Partnerpflichten.

Ein Verantwortlicher ist die Partei, die die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten bestimmt, während der Auftragsverarbeiter die Partei ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Partner sind Verantwortliche für die personenbezogenen Informationen ihrer Kunden (einschließlich Ihrer Abonnentenliste). Aufgrund der Art der von Extu direkt bereitgestellten Multi-Vendor-Digital-Marketing-Dienste wird Extu im Rahmen der DSGVO ebenfalls als Verantwortlicher angesehen.

Wenn die Beschwerde oder Anfrage personenbezogene Daten betrifft, für die Extu als Verantwortlicher gilt, sollten Sie Extu umgehend per E-Mail an unseren Datenschutzbeauftragten unter privacy@extu.com benachrichtigen. Sie müssen separat prüfen, welche anderen Verpflichtungen Sie im Zusammenhang mit einer solchen Beschwerde oder Anfrage haben, und in Erwägung ziehen, rechtlichen Rat einzuholen, um die erforderlichen Schritte zu ermitteln.

Nein. Sie besitzen Ihre Liste, und wir werden diese ohne Ihre ausdrückliche Erlaubnis nicht mit Auftraggebern teilen. Um unseren Service an Ihre Abonnenten zu erbringen, wird uns eine Lizenz gewährt, auf Ihre Liste zuzugreifen und diese zu nutzen.

Statistische, verhaltensbezogene und leistungsbasierte Daten in aggregierter und anonymisierter Form. Außerdem teilen wir Details zu Verkäufen und Transaktionen, die Sie uns über Quittungen/Rechnungen übermitteln, um die Wirksamkeit der Marketingkampagnen zu validieren. Wir holen Ihre Zustimmung ein, bevor wir Lead-Daten mit Auftraggebern teilen. Weitere Informationen finden Sie in unseren Geschäftsbedingungen und in unserem Datenschutzhinweis.

Wir können personenbezogene Daten (einschließlich Ihrer Abonnentenliste) mit Dritten teilen, jedoch nur zum Zwecke der Bereitstellung oder Optimierung unserer Dienstleistungen, wie in unserem Datenschutzhinweis auf der Website näher beschrieben. Eine vollständige Liste der Drittanbieter oder Auftragsverarbeiter von Extu finden Sie hier.

Haftungsausschluss: Dies ist ein allgemeiner Leitfaden zu einigen der Anforderungen der DSGVO. Dieser Leitfaden stellt keine Rechtsberatung dar und gibt nicht die Schritte vor, die Sie unternehmen sollten, um Ihre eigene Compliance sicherzustellen. Sie erklären sich damit einverstanden, sich nicht auf die hierin bereitgestellten Informationen für Ihre eigenen Compliance zu verlassen. Für vollständige Beratungsinformationen lesen Sie bitte die Website des UK Information Commissioner’s Office – Leitfaden zur DSGVO. Wenn Sie weitere Fragen haben, empfehlen wir Ihnen, den Rat eines Rechts- oder Datenschutzexperten einzuholen.

Bitte beachten Sie, dass Sie gemäß Ihrer Servicevereinbarung mit Extu die volle Verantwortung für die Bereitstellung und die Bestätigung der Rechtmäßigkeit der E-Mail-Adressen Ihrer Kunden tragen.

Partnering With Us = Higher Returns for You