DSGVO Newsletter: So machst du dein E-Mail Marketing rechtssicher

Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und die Europäische Kommission beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen. Konkrete Ziele sind:

1. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

2. Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

3. Sicherstellung, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.

Dieser Rechtsrahmen ersetzt die derzeitige EU-Datenschutzrichtlinie (95/46/EG) mit zusätzlichen bislang geltenden Anforderungen. Die neue EU-Datenschutzregelung erweitert den Geltungsbereich des EU-Datenschutzrechts auf alle Unternehmen auch außerhalb der EU, sobald diese Daten von EU-Bürgern verarbeiten.

Damit dein Newsletter den Anforderungen der DSGVO entspricht, brauchst du in erster Linie eine klare Einwilligung der Empfänger. Diese muss freiwillig, informiert und nachweisbar erfolgen. In der Praxis bedeutet das: Double Opt-in ist Pflicht. Nutzer melden sich mit ihrer E-Mail-Adresse an und bestätigen diese über einen Link in einer Bestätigungs-Mail.

Außerdem gilt der Grundsatz der Datensparsamkeit: Sammle nur die Informationen, die du wirklich brauchst – in den meisten Fällen reicht die E-Mail-Adresse völlig aus. Wichtig ist auch, dass sich Empfänger jederzeit unkompliziert abmelden können.

Ein rechtssicherer Newsletter ist mehr als nur Double Opt-in. Unternehmen müssen auch dokumentieren, wann und wie die Einwilligung erfolgte. Jede Anmeldung sollte also mit Datum, Uhrzeit und IP-Adresse gespeichert werden. Außerdem gehört in jeden Newsletter ein klar erkennbarer Abmeldelink sowie der Hinweis auf dein Impressum und deine Datenschutzerklärung.

Wenn du externe Dienstleister nutzt, ist ein Auftragsverarbeitungsvertrag (AVV) notwendig. Und: Achte unbedingt darauf, dass deine Daten auf Servern in der EU oder in Ländern mit gleichwertigem Schutzniveau gespeichert werden. Bei Mailjet hast du den Vorteil, dass alle Daten ausschließlich in Europa gehostet werden – ein echter Pluspunkt für die DSGVO-Konformität.

Opt-in Formular mit klarer Einwilligungserklärung

Double Opt-in Prozess aktivieren

Datenschutzerklärung verlinken

Keine unnötigen Daten abfragen

Jeder Newsletter mit Abmeldelink

Dokumentation & Nachweis sichern

Diese Schritte wirken auf den ersten Blick nach viel Aufwand – in der Praxis sind sie aber schnell umgesetzt und machen dein E-Mail-Marketing langfristig sicher.Opt-in Formular mit klarer Einwilligungserklärung

Viele Unternehmen stolpern über die gleichen Fehler: Sie verzichten auf Double Opt-in, sammeln unnötig viele Daten oder verstecken die Abmeldemöglichkeit. Solche Praktiken sind nicht nur riskant, sondern schaden auch der Kundenbeziehung. Wer offen und transparent kommuniziert, schafft Vertrauen und steigert die Chance, dass Empfänger den Newsletter gerne lesen.

Nicht zuletzt hängt die Einhaltung der DSGVO stark von der eingesetzten Software ab. Achte bei der Auswahl deines Tools darauf, dass es Serverstandorte in der EU bietet, AV-Verträge abschließen kann und Funktionen wie Double Opt-in integriert sind.
Mailjet erfüllt all diese Anforderungen und bietet zusätzlich intuitive Formulare, mit denen du rechtssichere Anmeldeprozesse gestalten kannst.

Ja – Mailjet ist zu 100 % DSGVO-konform und erfüllt alle Anforderungen der europäischen Datenschutz-Grundverordnung.
Für Unternehmen in Deutschland und Europa ist das besonders wichtig, denn nur so lassen sich Newsletter und E-Mail-Kampagnen rechtssicher gestalten.

Als erstes Unternehmen weltweit, das die AFAQ-Zertifizierung von AFNOR erhalten hat, können Sie sicher sein, dass Mailjet die wichtigsten Grundsätze der DSGVO einhält.

Serverstandort Europa

Alle Daten werden bei Mailjet ausschließlich auf Servern innerhalb der Europäischen Union gespeichert. Das bedeutet: keine Datenübertragung in die USA oder Drittstaaten ohne angemessenes Datenschutzniveau. Unternehmen können sich also sicher sein, dass ihre Kundendaten nach den strengen EU-Richtlinien verarbeitet werden.

ISO-Zertifizierungen und höchste Sicherheitsstandards

Neben der DSGVO-Konformität setzt Mailjet auf international anerkannte Zertifizierungen und Sicherheitsstandards, darunter:

– ISO 27001: Informationssicherheits-Management

– ISO 27701: Datenschutz-Management-System

– SOC 2: Nachweis über Sicherheit, Verfügbarkeit und Vertraulichkeit

– PCI DSS: Sicherheitsstandard für Zahlungsinformationen

– CSA STAR Level 1: Cloud Security Best Practices

Diese Standards belegen, dass Mailjet nicht nur die DSGVO erfüllt, sondern auch nach globalen Benchmarks für Datenschutz und Informationssicherheit arbeitet.

Eingebaute Datenschutz-Features

– Double Opt-in für rechtssichere Newsletter-Anmeldungen

– Auftragsverarbeitungsvertrag (AVV) sofort verfügbar

– Transparente Datenschutzprozesse in allen Features

– Einfache Datenverwaltung & Löschung für Betroffenenrechte

Stolzer Teilnehmer der Certified Senders Alliance (CSA)
Seit 2014 ist Mailjet ein CSA-zertifizierter Versender. Wir befolgen strenge Standards, um eine zuverlässige E-Mail-Zustellung und die Einhaltung internationaler Vorschriften zu gewährleisten, damit Ihre Nachrichten sicher und verantwortungsbewusst in den Posteingängen ankommen.

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sondern gilt nach Art. 2 Abs. 1 für beide gleichermaßen. Hintergrund dafür ist, dass die Datenschutz-Grundverordnung dem Schutz natürlicher Personen statt juristischer Personen gilt. Da jedoch die Versendung von Werbemitteln an B2B-Adressen in den meisten Fällen direkt an Funktionsträger der juristischen Personen, sprich personenbezogen erfolgt, finder die neue EU-Datenschutz-Grundverordnung auch hier Anwendung, sofern konkrete Personen wie Mitarbeiter angesprochen werden.

Der Text der DSGVO wurden im Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am 20.Tag nach ihrer Veröffentlichung in Kraft, gilt jedoch verbindlich und unmittelbar erst ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Einer Verlängerung der Übergangsfrist ist nicht geplant.

Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet. Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.

Der Räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt. Darin heißt es, dass die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedsstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, sofern die Datenverarbeitung EU-Bürgerinnen und Bürger betrifft. Es ist unerheblich, ob die betreffende Person sich kurz- oder längerfristig in der EU aufhält. Die Staatsangehörigkeit oder der Status als Unionsbürger spielt hier keine Rolle. Dieser räumliche Anwendungsbereich ist nachträglich vertraglich nicht änderbar.

Auch ist es unerheblich, welche Art Dienstleistung oder Produkte Unternehmen oder Organisationen anbieten. Entscheidend ist allein, ob hier personenbezogene Daten von EU-Bürgerinnen und Bürgern erhoben und verarbeitet werden.

Datenschutzverstöße werden ab dem 25. Mai 2018 stärker bestraft. Die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung kann nach Art. 83 (5) DSGVO bis zu 20 Mio. € oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem welcher Wert größer ist.

Es gibt nach Art. 83 (4) DSGVO einen abgestuften Ansatz zu Geldstrafen, z.B. Ein Unternehmen kann mit 2% verurteilt werden, weil er seine Aufzeichnungen nicht in der richtigen Reihenfolge hat (Artikel 28), ohne die Überwachungsbehörde darüber zu benachrichtigen und die Betroffenen über einen Verstoß ausreichend zu informieren oder keine Folgenabschätzung durchzuführen.

Es wird einen Zertifizierungsprozess geben und Unternehmen, die diese Zertifizierung anbieten. Ein solches Zertifikat ist in der neuen Verordnung vorgesehen. Doch zum jetzigen Zeitpunkt warten wir noch auf eine solche spezifische Genehmigung, die die Datenüberwachungsbehörden an Drittfirmen erteilen.

Nicht alles wird sich unter der neuen EU-DSGVO ändern. Folgende Bestimmungen gelten auch weiterhin:
1. Das primäre Ziel, die Grundrechte und Grundfreiheiten von natürlichen Person zu schützen, bleibt bestehen. Insbesondere das Recht auf informationelle Selbstbestimmung bleibt unberührt.

2. Das zweite Grundsatz, dass keine personenbezogenen Daten erhoben oder verarbeitet werden dürfen, solange eine Rechtsvorschrift etwas Anderes bestimmt, bleibt in Kraft. Ausnahmen werden weiterhin streng reguliert.

3. Die Verarbeitung von sensiblen personenbezogenen Daten unterliegen weiterhin strengen Voraussetzungen. Eine vorherige Einwilligung des Betroffenen bleibt ebenfalls Pflicht.

4. Unternehmen, deren Hauptaktivität die Datenerhebung und Datenverarbeitung von natürlichen Personen ist, benötigen einen betrieblichen Datenschutzbeauftragten.

5. Die jeweilige Zweckbestimmung ist für eine Weiterverarbeitung entscheidend und bedürfen einer entsprechenden Transparenz. Eine Zweckentfremdung von personenbezogene Daten bleibt verboten.

Das sind die 8 Schlüsseländerungen:

1. Eindeutige Definition von personenbezogenen Daten: Sämtliche Daten, die der Identifizierung einer Person dient

2. Mehr Rechte für natürliche Personen
Ausdrückliche Zustimmung erforderlich
Recht auf Vergessen
Information, welche Daten wo und seit wann gespeichert werden

3. Höhere Bußgelder bei Verstößen

4. Extraterritoriale Anwendung: Es zählt alleinig, wohin die Daten fließen und nicht von wo man operiert.

5. Risikobasierte Rechenschaftspflicht: Der Verantwortliche hat dafür Sorge zu tragen, dass alle wirksamen Maßnahmen ergriffen werden.

6. Mitteilungspflicht bei Verletzungen: Bei einer Datenverletzung muss der Verantwortlich innerhalb von 72 Stunden die Betroffenen darüber informieren.

7. Konkretere Bestimmung wann ein Datenschutzbeauftragter zu ernennen ist.

Datenschutz nach Entwurf.

* Übermittlung der Daten an betroffene Personen, Kontrolle ihrer Daten

* Strengere technische und organisatorische Maßnahme

Nach Artikel 37 DSGVO ist ein Datenschutzbeauftragten zu ernennen, sofern

1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Gerichte ausgenommen),

2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, bei dem eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich ist oder

3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Diese Bestimmung einen Datenschutzbeauftragten zu ernennen gilt für Datenverantwortliche als auch für Datenverarbeiter, unabhängig von ihrer Größe. Die Verordnung erfordert die Ernennung eines Datenschutzbeauftragten in drei Einzelfällen (mehr Informationen über Wie bereite ich mich auf GDPR vor?).

Die Nichteinhaltung der DPO-Verpflichtung kann bis zu 2% des weltweiten Umsatzes oder 10 Mio. € / 8 Mio. € erhoben werden, je nachdem, welcher Wert höher ist. Wenn ein Unternehmen beschließt, keinen DPO zu ernennen, müssen die Gründe für diese Entscheidung aufgezeichnet werden, die zeigen, dass alle relevanten Faktoren berücksichtigt wurden.

Die Datenschutz-Grundverordnung stellt Unternehmen vor neue Herausforderungen. Neben Verschärfungen einzelner Vorschriften nimmt die risikobasierte Rechenschaftspflicht („Accountability“) gemäß Art.5 (2) DSGVO von nun an eine wichtige Rolle ein. Hiermit ist gemeint, dass der Verantwortliche dafür Sorge zu tragen hat, dass alle wirksamen Maßnahmen ergriffen werden, inkl. die unter Art. 5 (1) DSGVO definierten Bestimmungen, um die DSGVO Grundsätze und Verpflichtung ordnungsgemäß umzusetzen. All das hat er nachzuweisen („Rechenschaftspflicht“).

Diese Rechenschaftspflicht wirkt sich unter anderem auf Verträge, Datenschutzerklärungen, Risikobewertung und Aufbewahrungsveranstaltungen aus.

Schritt 1: Alle Mitarbeiter für das Thema DSGVO sensibilisieren

Damit die neue EU Datenschutz-Grundverordnung im Unternehmen problemlos umgesetzt werden kann, müssen alle Parteien ausreichend involviert werden. Stellen Sie sicher, dass das gesamte Team inklusive die Geschäftsführung ausreichend Kenntnis über die DSGVO und dessen Auswirkung auf Ihr Unternehmen erhält.Die Entscheider benötigen ausreichend Kenntnisse, um eine interne Absegnung zu garantieren. Mitarbeiter, die operative Tätigkeiten ausüben, wie E-Mail Kampagnen erstellen und versenden oder Opt-in Formulare einrichten, müssen über die rechtlichen Gegebenheiten ebenso Bescheid wissen, um ordnungsgemäß zu agieren.

Schritt 2: Datenstatus und Dokumentationen hinsichtlich Vereinbarkeit mit DSGVO prüfen

Überprüfen Sie Ihren aktuellen Datenstatus und Ihre Dokumente hinsichtlich folgender Fragestellungen:

1. Welche persönlichen Daten besitzen Sie bereits?

2. Woher haben Sie diese Daten und an wen haben Sie diese weitergegeben?

3. Wo sind Ihre Schwachstellen und wo können Sie haftbar gemacht werden?

4. Wo befinden sich Ihre Daten derzeit? Klassifizieren diese Informationen!

5. Wie lange sind diese Daten in Ihrem Systemen gespeichert und wann werden diese gelöscht?

Schritt 3: Eigene Datenschutzerklärung and EU Datenschutz-Grundverordnung anpassen

Überprüfen Sie Ihre derzeitige Datenschutzerklärung:

1. Inwiefern die eigene Datenschutzerklärung mit den DSGVO Regularien übereinstimmen und ob Aktualisierungen vorgenommen werden müssen,

2. Privatsphäre durch Design und Standards in alle Projekte einbetten (Sammeln Sie nicht mehr persönliche Daten als Sie benötigen, verwenden Sie Anonymisierung, Pseudonymisierung und Verschlüsselung).

Schritt 4: Rechte der betroffenen Personen

Die Datenschutz-Grundverordnung stärkt die Rechte für EU-Bürger hinsichtlich des Datenschutzes und vereinheitlicht dies in erheblichen Maße.

Überprüfen Sie Ihre aktuellen Verfahren, um sicherzustellen, dass Sie in der Lage sind, alle Rechte der betroffenen Personen gemäß Art. 12-23 DSGVO zu erfüllen. Hierzu gehen das Recht:

Der Begriff “personenbezogen Daten” ist im Rechtsbereich ein wichtiger Begriff. Dieser rückt mit der neuen Datenschutz-Grundverordnung noch mehr in den Mittelpunkt. Ab 25. Mai 2018, versteht der Gesetzgeber unter dem Begriff “personenbezogene Daten”: Alles, was dazu beiträgt, eine Person eindeutig zu identifizieren, unabhängig davon ob es sich darum um sein privates, berufliches oder öffentliches Leben handelt. Identifizierbare Parameter können alles mögliche sein: Namen, Heimatadresse, Foto, E-Mail Adresse, Bankverbindung, Beiträgen zu Sozialen Netzwerken Webseiten, medizinischen Informationen, einer IP-Adresse eines Computers sowohl biometrische als auch genetische Daten etc.

Mit der neuen Datenschutz-Grundverordnung werden die Rechte der EU-Bürgerinnen und Bürger massiv gestärkt. Dazu gehören beispielsweise die Zugangsrechte, die Vergessenheit und die Datenportabilität. Datenrechner und Datenverarbeiter sind zukünftig verpflichtet, jederzeit ausreichend Informationen über folgende Sachverhalte zu geben:

* Welche Daten gespeichert werden.
* Wie lange die betreffenden Daten gespeichert werden,
* Ob und wann welche Daten in welche Länder übertragen wurden,
* Ob und wann personenbezogene Daten bei Antrag gelöscht oder an Dritte (neuer Dienstleister etc.) übertragen zu wurden.

Sämtliche Auskünfte an den Anfragenden haben in verständlicher und leicht zugänglicher Form zu erfolgen. Kompliziert verfasste Bedingungen, die mehr verwirren als aufklären sind nicht gestattet. Es muss für den Nutzer ebenfalls einfach sein, die zuvor von Ihnen erteilte Zustimmung zur Ergebung. Speicherung und Verarbeitung von (personenbezogen) Daten nachträglich zurückzuziehen. Weitere Informationen lesen Sie hier.

Im Allgemeinen reicht eine starke Firewall nicht aus. Um die Sicherheit aufrechtzuerhalten und eine Verarbeitung zu verhindern, die einen Verstoß gegen die Datenschutz-Grundverordnung darstellt, sollten Sie Maßnahmen zur Minderung dieser Risiken, wie z. B. Verschlüsselung, ergreifen. Diese Maßnahmen sollten ein angemessenes Sicherheitsniveau, einschließlich der Vertraulichkeit, gewährleisten, wobei die Risiken und die Art der zu schützenden personenbezogenen Daten zu berücksichtigen sind.

Das Profiling beschreibt eine automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen. Beispiele sind: Automatische Ablehnung eines Online-Kreditantrags, Online-Einstellungsverfahren.

Das Profiling wird in Art. 22 DSGVO erfasst:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Art 22 Abs. 1, DSGVO)

DON’T: Profiling bei unter 16-Jährige: Kinder verdienen einen besonderen Schutz in Bezug auf ihre persönlichen Daten (da sie eine verletzlichere Gruppe darstellen).

Die DSGVO gilt nicht nur für Unternehmen, die die Daten speichern sondern auch für diejenigen die diese Daten verarbeiten. Ihr Unternehmen wird laut Datenschutzgrundverordnung als Datenverarbeiter angesehen und trägt somit die gleiche Verantwortung wie ein Lösungsanbieter, der die Daten speichert.

Wichtig: Sofern der von Ihnen genutzte Drittanbieter nicht DSGVO konform ist, so gelten Sie automatisch auch nicht als konform. In diesem Fall drohen Ihnen die gleichen Strafen.

Des Weiteren gilt: Wenn Sie Daten an Dritte weitergeben, müssen die Einwilligung der betroffenen Personen erlangen, die es Ihnen erlaubt, Daten an diese Drittanbieter zu übermitteln. Eine einfache Zustimmung einer Weitergabe der Daten an die “ Kategorie: Dritte” reicht für die neue DSGVO nicht aus.

Wenn Sie mit einem Lösungsanbieter außerhalb Europas arbeiten wird es gemäß der Datenschutz-Grundverordnung zu einer Prüfung der Angemessenheitsanforderungen kommen. Um den Anforderungen gerecht zu werden, müssen sie in ihrer Organisation alle DSGVO Verpflichtungen erfüllen – einschließlich aller technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes. Sie können sich nicht einfach auf ihre bisherige Zertifizierung verlassen, sondern müssen diese Maßnahmen proaktiv umsetzen (und ihre Prozesse weiter aktualisieren).

Eine Übermittlung personenbezogener Daten an ein Drittland wie etwa die USA oder eine internationale Organisation darf vorgenommen werden, wenn die Europäische Kommission der Meinung ist, das Folgendes erfüllt ist:

* Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten
* öffentliche und nationale Sicherheit, angewandtes Strafrecht und der Zugang der Behörden zu personenbezogenen Daten
* Aufsichtsbehörden, die die Einhaltung aller Rechtsvorschriften und Datenschutzrichtlinien überwacht
* Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften auch hinsichtlich der Übermittlung personenbezogner Daten an Dritte

Wenn Sie Daten an Dritte weitergeben, müssen die Einwilligung der betroffenen Personen erlangen, die es Ihnen erlaubt, Daten an diese Drittanbieter zu übermitteln. Eine einfache Zustimmung einer Weitergabe der Daten an die “ Kategorie: Dritte” reicht für die neue DSGVO nicht aus.

Unter der EU Datenschutz-Grundverordnung muss eine Auflistung der Namen der beteiligten Drittanbieter erarbeitet und für Einzelpersonen bei der Zustimmung der Datennutzung sichtbar sein.

Sofern Sie Daten von Dritten verwenden, müssen Sie bestätigen und im Streitfall beweisen, dass die Einwilligung der einzelnen Personen ordnungsgemäß erhoben wurde.

Ja, die DSGVO gilt nicht nur für Unternehmen, die die Daten speichern sondern auch für diejenigen die diese Daten verarbeiten. Ihr Unternehmen wird laut Datenschutzgrundverordnung als Datenverarbeiter angesehen und trägt somit die gleiche Verantwortung wie ein Lösungsanbieter, der die Daten speichert.

Um sicherzustellen, dass Sie unter der DSGVO ordnungsgemäß mit Drittanbietern (CRM, E-Mail Service Provider, Cloudspeicher, Team Messenger etc.) zusammenarbeiten, gehen Sie folgende 8 Schritte:

1. Lieferantenliste erstellen. Um einen Überblick zu erhalten, welche Services Sie bereits nutzen oder zukünftig nutzen möchten.

2. Weg der Daten während des gesamten Kundenlebenszyklus abbilden. Klären Sie, welche Daten wann zu welchem Drittanbieter gehen.

3. Risikobewertung vornehmen. Wie wichtig ist Dienstleister x? Wie hoch ist die Gefahr, dass es zu einer Datenpanne kommt? Erstellen Sie eine Wichtigkeitsliste (Bsp): 1. CRM, 2. E-Mail Service Provider …. 5. Landing Page Builder etc.

4. Klärung, ob Datenschutzbeauftragter benötigt wird. Um sich weitere Hilfe mit ins Boot zu holen.

Schritt 5: Prüfung aller Verträge und Einführung neuer Klauseln. Verpflichten Sie Drittanbieter Ihnen sämtliche Unteranbieter sowie jegliche Standorte von Datenzentren aufzulisten, wo die Daten gespeichert und verarbeitet werden.

Schritt 6: Prüfung, ob alle Drittanbieter DSGVO konform sind. Prüfung sowohl von EU- als auch von Nicht-EU Lösungsanbietern.

Schritt 7: Ggf. Wechsel zu DSGVO konformen Drittanbietern Bis 25. Mai 2018. Idealerweise bis Anfang Mai 2018, um ausreichend Zeit zu haben für Schritt 8.

Schritt 8: AV-Vertrag (Auftragsverarbeitungs-Vertrag) abschließen. Schließen Sie strenge Vertraulichkeits-, Datenschutz- und Datenresidenzklauseln mit den Drittanbietern ab. Im AV-Vertrag sollten folgende Fragen beantwortet sein:

1. Wo sind die Daten und Anwendungen gespeichert?
2. Sind diese Daten jemals aus der EEA gezogen worden.
3. Werden jemals Daten zwischen Rechenzentren außerhalb der EU übertragen?
4. Informieren Sie mich immer, wenn meine Daten übertragen werden?
5. Haben Sie einen Datenschutzbeauftragten?
6. Welche Datenkontrollen und Risikomanagementprozesse haben Sie?
7. Wie verwalten Sie den Freigabeprozess auf Ihrer Plattform, um ein angemessenes Datenschutzniveau zu gewährleisten?
8. Wer kann auf meine Daten zugreifen, unter welchen Umständen und was können sie sehen? Wird dieser Zugriff verfolgt?
9. Kann ich Ihre Sicherheit und technische Maßnahmen zum Schutz der Daten prüfen?
10. Verfügen Sie über einen Prozess, der Sie über Sicherheitsverstöße informiert?
11. Welche Maßnahmen ergreifen Sie, um ab Mai 2018 DSGVO-konform handeln zu können?

Das Ausfüllen von Kontaktformularen (Contact us forms) ist ein klassisches Anwendungsfall bei der Sammlung von personenbezogenen Daten. Streng genommen sollte das Formular selbst nur die erforderlichen Informationen anfragen, die für eine ordnungsgemäße Bearbeitung erforderlich sind. Sie sollten klar und transparent formulieren, dass das Formular nur für den Kontakt selbst und nicht für andere Zwecke verwendet wird. Sprich, ein Extrahieren der Daten zu anderen Zwecken, wie etwa Zusenden von Info-Post und Marketing E-Mails ist nicht zulässig.

Für das E-Mail Marketing greifen DSGVO und zukünftig ePrivacy Richtlinie. Die EU Richtlinie wird dabei in nationales Recht umgesetzt bzw. bestätigt: §7 UGW Unzumutbare Belästigungen:

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.

Es macht datenschutzrechtlich keinen Unterschied, ob Sie E-Mail Kontaktlisten bei einem Drittanbieter speichern oder ob Sie diese auf Ihren eigenen Server speichern, zum Versand aber einen Drittanbeter nutzen.


Folgendes sollten Sie unter DSGVO vermeiden:
1. DON’T: Keine Versand von systematischen werblichen E-Mails jeglicher Art ohne Einwilligung. Gilt auch bei Kaltakquise.

2. DON’T: Soft Opt-in: Vorausgefüllte Ankreuzkästchen, bei dem der Nutzer den gesetzten Haken bei Desinteresse entfernen muss.
3. DON’T: Keine Verwendung von gekauften oder getauschten E-Mail Listen

Praktizieren Sie stattdessen Folgendes:
1. DO: Die Zustimmungserklärung ist prominent und von den Allgemeinen Geschäftsbedingungen getrennt

2. DO: Aktive Bitte sich in den Newsletter anzumelden
3. DO: Keine Verwendung von voreingestellten Kästchen oder andere Arten von Einverständniserklärungen
4. DO: Eindeutige und leicht verständliche Formulierungen
5. DO: Angabe über den Grund der Datensammlung sowie dessen geplante Nutzung
6. DO: Vorhandensein von granularen Optionen für die Zustimmung zu unabhängigen Verarbeitungsvorgängen
7. DO: Nennung der Parteien wo die Daten gespeichert werden (eigenes Unternehmen sowie ggf. Drittparteien)
8. DO: Kommunikation, dass die Einwilligung jederzeit widerrufen werden kann
9. DO: Sicherstellung, dass beim Widerruf der Nutzer keine Nachteile erwartet
10. DO: Sicherstellung, dass die Einwilligung keine Voraussetzung für eine Dienstleistung ist
11. DO: Bei Online-Dienste für Kinder: Maßnahmen zur Altersverifizierung und Zustimmung der Eltern


Der Widerruf der Einwilligung sollte so einfach wie möglich sein:
* Opt-out zu jedem Zeitpunkt

* Barrierefreier Ein-Schritt-Prozess max. Zwei-Schritt-Prozess
* Wenn möglich, gleiche Methode wie bei der Einwilligung

Ja – Mailjet ist zu 100 % DSGVO-konform und erfüllt alle Anforderungen der europäischen Datenschutz-Grundverordnung.

Für Unternehmen in Deutschland und Europa ist das besonders wichtig, denn nur so lassen sich Newsletter und E-Mail-Kampagnen rechtssicher gestalten.

Als erstes Unternehmen weltweit, das die AFAQ-Zertifizierung von AFNOR erhalten hat, können Sie sicher sein, dass Mailjet die wichtigsten Grundsätze der DSGVO einhält.

Serverstandort Europa

Alle Daten werden bei Mailjet ausschließlich auf Servern innerhalb der Europäischen Union gespeichert. Das bedeutet: keine Datenübertragung in die USA oder Drittstaaten ohne angemessenes Datenschutzniveau. Unternehmen können sich also sicher sein, dass ihre Kundendaten nach den strengen EU-Richtlinien verarbeitet werden.

ISO-Zertifizierungen und höchste Sicherheitsstandards

Neben der DSGVO-Konformität setzt Mailjet auf international anerkannte Zertifizierungen und Sicherheitsstandards, darunter:

– ISO 27001: Informationssicherheits-Management

– ISO 27701: Datenschutz-Management-System

– SOC 2: Nachweis über Sicherheit, Verfügbarkeit und Vertraulichkeit

– PCI DSS: Sicherheitsstandard für Zahlungsinformationen

– CSA STAR Level 1: Cloud Security Best Practices

Diese Standards belegen, dass Mailjet nicht nur die DSGVO erfüllt, sondern auch nach globalen Benchmarks für Datenschutz und Informationssicherheit arbeitet.

Eingebaute Datenschutz-Features

– Double Opt-in für rechtssichere Newsletter-Anmeldungen

– Auftragsverarbeitungsvertrag (AVV) sofort verfügbar

– Transparente Datenschutzprozesse in allen Features

– Einfache Datenverwaltung & Löschung für Betroffenenrechte

Stolzer Teilnehmer der Certified Senders Alliance (CSA)

Seit 2014 ist Mailjet ein CSA-zertifizierter Versender. Wir befolgen strenge Standards, um eine zuverlässige E-Mail-Zustellung und die Einhaltung internationaler Vorschriften zu gewährleisten, damit Ihre Nachrichten sicher und verantwortungsbewusst in den Posteingängen ankommen.