DSGVO und Partner

Welche datenschutzrechtlichen Pflichten ergeben sich aus meiner Teilnahme am OneAffiniti-Programm?

Für Partner, die Dienstleistungen von OneAffiniti nutzen, bestehen vier wesentliche Pflichten, um Marketingmaterialien an ihre Abonnenten zu senden:

  1. Sie müssen die Rechtsgrundlage zur Verarbeitung von personenbezogenen Daten aus Abonnentenlisten schaffen.
    Das bedeutet, dass Sie:

    • die ausdrückliche Zustimmung des jeweiligen Empfängers aus Ihrer Abonnentenliste bezüglich des Erhalts von Marketingmaterialien von Ihnen mittels einer deutlichen, frei übermittelten, vollständig informierten, eindeutigen Handlung erhalten haben
    • sich auf berechtigte Interessen als rechtmäßige Grundlage für die Verwendung der E-Mail-Adresse aus Ihrer Abonnentenliste zum Versand von Marketingmaterialien verlassen, nachdem Sie eine dokumentierte Bewertung der berechtigten Interessen durchgeführt haben (d. h. es besteht eine berechtigte Erwartung des Empfängers, dass er aufgrund einer bestehenden Geschäftsbeziehung Marketingmaterialien erhält, und die Auswirkungen auf die Privatsphäre wurden als gering eingeschätzt).

    Weitere Informationen finden Sie unter Wie stelle ich sicher, dass meine Abonnentenliste DSGVO-konform ist?

  2. Datenschutzhinweise müssen vollständige Informationen über die Verarbeitung von personenbezogenen Daten enthalten.
    Da Sie im Zusammenhang mit Ihrer Abonnentenliste als Datenverantwortlicher auftreten, sollten Sie sicherstellen, dass Ihr Datenschutzhinweis die von der DSGVO vorgegebenen Bestimmungen zu Fairness und Transparenz erfüllt, und Folgendes offenlegen:

    • Die Rechtsgrundlage, auf die sich die Erhebung und Verarbeitung personenbezogener Daten stützt, einschließlich der Verarbeitung von E-Mail-Adressen für Direktmarketingzwecke. In den meisten Fällen wird die rechtmäßige Grundlage, die herangezogen wird, entweder die Zustimmung oder die berechtigten Interessen sein. Sie können sich auch auf andere Gründe wie Vertragserfüllung oder gesetzliche Verpflichtungen berufen, wenn Sie personenbezogene Daten im Rahmen Ihrer Geschäftstätigkeit verarbeiten (z. B. Kontaktdaten, um einem bestimmten Kunden Produkte oder Dienstleistungen anzubieten).
    • Welche personenbezogenen Daten Sie an OneAffiniti weitergeben (dies sollte den Hinweis enthalten, dass E-Mail-Adressen von Kunden und Kopien von Rechnungen/Belege weitergegeben werden, um Kampagnen zu verwalten und zu validieren).
    • An wen Sie personenbezogene Daten weitergeben und eine Liste von Drittverarbeitern, die OneAffiniti miteinschließt.
  3. Angemessene technische und organisatorische Maßnahmen sollten vorhanden sein Ihre Systeme sollten sicher sein – Dazu gehören ein angemessener IT- und Cybersicherheitsschutz sowie gute interne Kontrollen, Richtlinien und Vorgaben in Bezug auf die Erfassung, Nutzung, Weitergabe und den Umgang mit personenbezogenen Daten.
  4. Arbeiten Sie in Sachen Datenschutz mit OneAffiniti zusammen. Wir müssen zusammenarbeiten, um sicherzustellen, dass wir angemessene Datenschutzstandards einhalten und unser Bestes tun, um die personenbezogenen Daten zu schützen, die wir im Rahmen des Versands von Marketingmaterialien erheben und verarbeiten. Wir müssen uns bei Fragen, Beschwerden oder Anträgen zum Datenschutz gegenseitig unterstützen, auf eine mögliche Datenschutzverletzung reagieren und Untersuchungen und Bewertungen in puncto Datenschutz durchführen. Wir sind hier, um Sie zu unterstützen, und Sie sollten uns in den folgenden Fällen sofort benachrichtigen:
    • Im Falle einer möglichen oder tatsächlichen Datenschutzverletzung
    • Wenn Sie einen Antrag auf Datenzugriff erhalten
    • Wenn Sie Beschwerden oder Ansprüche von einem Teilnehmer oder einer Aufsichtsbehörde in Bezug auf Datenschutz oder personenbezogene Daten erhalten
    • Wenn Sie Fragen oder Bedenken zum Datenschutz im Allgemeinen haben.

Wie stelle ich sicher, dass meine Abonnentenliste DSGVO-konform ist?

Partner sollten ihre Abonnentenliste prüfen und auf DSGVO-Konformität testen, wenn sie dem Programm zum ersten Mal beitreten und anschließend regelmäßig. Auch wenn Sie nicht der DSGVO unterliegen, verlangen die Geschäftsbedingungen von OneAffiniti, dass Sie eine rechtmäßige Grundlage für die Verarbeitung der Abonnentenlisten haben und dass OneAffiniti die Marketingdienstleistungen erbringt.

Die Prüfung Ihrer Kundenliste bedeutet, dass Sie die von Ihnen erhobenen E-Mail-Adressen und sonstigen Informationen bewerten und prüfen, ob Sie eine rechtmäßige Grundlage für diese Verarbeitung haben. Wenn Sie keine rechtmäßige Grundlage für die Erfassung haben, sollte die E-Mail-Adresse nicht in Ihre Abonnentenliste aufgenommen werden.

Obwohl es sechs rechtmäßige Gründe für die Verarbeitung unter der DSGVO gibt, sind die Grundlagen, die am wahrscheinlichsten für die Erhebung und Verwendung einer E-Mail-Adresse für Direktmarketingzwecke gelten, folgende:

  • Zustimmung; oder
  • berechtigte Interessen.

Es liegt in Ihrer Verantwortung, Ihre Aktivitäten zur Datenverarbeitung zu analysieren und die richtige Grundlage zu wählen. Wenn Sie sich nicht sicher sind, welche der in der DSGVO aufgeführten rechtmäßigen Gründe auf Sie zutreffen, wenden Sie sich bitte an Ihre Rechtsberater, um sicherzustellen, dass die Tätigkeiten im Zusammenhang mit der Datenverarbeitung ausreichend begründet sind. Es ist wichtig, sich daran zu erinnern, dass in der DSGVO das Prinzip der „Verantwortung“ verankert ist. Das bedeutet, Sie müssen in der Lage sein, die Einhaltung der Vorschriften nachzuweisen, weshalb eine sorgfältige Aufbewahrung von Aufzeichnungen entscheidend ist, um diese Rechtfertigungen zu stützen.

Das Information Commissioner’s Office bietet auch weitere Informationen zur Rechtsgrundlage sowie ein interaktives Tool zur Bestimmung der jeweiligen Rechtsgrundlage.

Zustimmung

Zustimmung bedeutet, dass die betroffene Person aus freien Stücken ihre klare, ausdrückliche Zustimmung zur Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck erteilt hat.

Wenn Sie Ihre Abonnentenliste überprüfen, sollten Sie überlegen, ob eine ausdrückliche Zustimmung erteilt wurde und ob diese noch gültig ist. Eine Zustimmung ist nach der DSGVO gültig, wenn:

  • sie aus freien Stücken erteilt wurde; Das bedeutet, dass Sie den Menschen eine echte Wahlmöglichkeit und Kontrolle darüber geben, wie Sie ihre Daten verwenden
  • sie offensichtlich ist und eine positive Handlung zur Anmeldung erfordert. Einverständniserklärungen müssen deutlich sichtbar sein, von anderen Geschäftsbedingungen entkoppelt, prägnant und leicht verständlich, benutzerfreundlich und auf einer positiven „Anmelden“-Basis im Gegensatz zu einem vorher angekreuzten Kästchen oder „Abmelden“.
  • sie den Namen des für die Verarbeitung Verantwortlichen, die Zwecke der Verarbeitung und die Arten der Tätigkeit zur Datenverarbeitung genau angeben.

Stellen Sie sicher, dass Sie Aufzeichnungen führen, um die Zustimmung zu belegen – wer zugestimmt hat, wann, wie und was ihnen gesagt wurde.

Beispiele für eine ausdrückliche Zustimmung sind:

  • Anmeldung über ein Web- oder Online-Formular, sofern das Feld für die Anmeldung nicht standardmäßig vorausgewählt ist
  • Ein Offline-Formular wird ausgefüllt, aus dem klar hervorgeht, dass die Person in Ihre E-Mail-Marketing-Abonnentenliste aufgenommen werden kann und sie ausdrücklich ihre Bereitschaft zum Erhalt solcher E-Mails erklärt hat
  • Die jeweilige Person gibt Ihnen ihre Visitenkarte; vorausgesetzt, dass 1) Sie ausdrücklich darauf hingewiesen haben, dass sie durch die Übergabe ihrer Visitenkarte zustimmt, in Ihre E-Mail-Marketing-Abonnentenliste aufgenommen zu werden; oder 2) sie ihre Visitenkarte in einen Behälter oder auf einen Stapel gelegt hat, der deutlich darauf hinweist, dass sie durch das Hinzufügen dieser Visitenkarte zustimmt, in Ihre E-Mail-Marketing-Abonnentenliste aufgenommen zu werden. In jedem Fall müssen Sie die Grundlage Ihrer Verarbeitung durch Übermittlung Ihres Datenschutzhinweises auf transparente Weise kommunizieren.
  • Die ausdrückliche schriftliche Erlaubnis anderer, in Ihre E-Mail-Marketing-Abonnentenliste aufgenommen zu werden, bevor Sie sie per E-Mail kontaktieren.

Weitere Informationen zur Einwilligung finden Sie auf der Website des Information Commissioner Office: ICO: Zustimmung und Leitfaden zur Zustimmung

Berechtigtes Interesse

Es kann Fälle geben, in denen Sie sich auf Ihre berechtigten Interessen bei Abonnenten berufen können und eine sogenannte „Soft-Opt-in-Option“ etabliert werden kann.

Auf ein berechtigtes Interesse kann man sich berufen, wenn das durchzuführende Marketing im berechtigten Interesse Ihres eigenen Unternehmens oder eines Dritten liegt, wozu auch Software-Anbieter gehören können, sofern berechtigte Gründe dafür vorliegen, dass die Person die Verarbeitung erwarten würde und die Auswirkungen auf die Privatsphäre wahrscheinlich minimal sind. Die EU-Kommission hat bestätigt, dass die Verarbeitung personenbezogener Daten zu Zwecken des Direktmarketings als im berechtigten Interesse liegend angesehen werden kann, sofern alle erforderlichen Kriterien erfüllt sind.

Um sich auf das berechtigte Interesse als Grund für eine rechtmäßige Verarbeitung zu berufen, müssen Sie eine Bewertung des berechtigten Interesses durchführen und aufbewahren. Auf der Website des Information Commissioner’s Office finden Sie eine Mustervorlage zur Bewertung des berechtigten Interesses, die Sie als Leitfaden verwenden können.

Sobald Sie Ihre Rechtfertigung für das berechtigte Interesse als Grund für die rechtmäßige Verarbeitung festgelegt und aufgezeichnet haben, können Sie Ihre Abonnentenliste überprüfen, um festzustellen, ob einige der E-Mail-Adressen die Kriterien für die Soft-Opt-in-Option erfüllen.

Die Soft-Opt-in-Option gilt nur für bestehende Kunden (nicht für potenzielle Kunden). Um für die Aufnahme unter der Soft-Opt-in-Option in Frage zu kommen, muss die E-Mail-Adresse im Zuge des Verkaufs eines Produkts oder einer Dienstleistung an diese Person erhalten worden sein.

Es gibt keine gesetzlichen Fristen für die Soft-Opt-in-Option, als Richtwert können jedoch Käufe, die innerhalb von sechs bis 24 Monaten nach dem Datum der Überprüfung getätigt werden, als angemessener Zeitrahmen angesehen werden. Denken Sie daran, dass eine begründete Erwartung bestehen muss, dass der Abonnent dem Erhalt der Marketing-E-Mails zustimmt.

Weitere Informationen zum berechtigten Interesse finden Sie auf der Website des Information Commissioner Office: ICO: Berechtigte Interessen undLeitfaden zu berechtigten Interessen.

Schnelle FAQs

Mein Unternehmen ist nicht in der EU ansässig. Unterliege ich dennoch der DSGVO?

Möglicherweise. Die DSGVO gilt in dem Maße, wie Sie:

  • ein Unternehmen mit Geschäftssitz in der EU sind
  • Waren oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten von Personen in der EU überwachen
  • personenbezogene Daten von Personen in der EU verarbeiten.

Auch wenn die DSGVO nicht für Ihr Unternehmen gilt, sind Sie dennoch verpflichtet, die Datenschutzgesetze des jeweiligen Landes einzuhalten und sicherzustellen, dass Sie die erforderliche Zustimmung Ihrer Abonnenten in Bezug auf die von Ihnen erfassten personenbezogenen Daten einholen.

Darüber hinaus sind Sie gemäß den Allgemeinen Geschäftsbedingungen von OneAffiniti verpflichtet, bestimmte Datenschutzbestimmungen einzuhalten (siehe Welche datenschutzrechtlichen Pflichten ergeben sich aus meiner Teilnahme am OneAffiniti-Programm?)

Zusätzliche Informationen oder Ressourcen zu Ihren lokalen Datenschutzverpflichtungen:

Kann ich Listen von Dritten oder gekaufte Listen verwenden?

Solange Sie nicht zu 100 % versichern können, dass eine von Ihnen gekaufte Liste ausschließlich Personen aufweist, die gemäß DSGVO zugestimmt haben, unterstützen wir keine Partner, die eine gekaufte Liste verwenden. Partner sollten niemals E-Mail-Adressen verwenden, die aus dem Internet oder aus Nachrichtengruppen kopiert oder ausgelesen wurden; aus gekauften, geliehenen oder gemieteten Listen; oder andere E-Mail-Adressen, die ohne entweder (a) ausdrückliche Anmeldung und Zustimmung des E-Mail-Empfängers oder (b) eine andere rechtmäßige Grundlage für die Erhebung, wie z. B. ein berechtigtes Interesse, erhalten wurden.

Es gilt als Verstoß gegen die AGB von OneAffiniti, Listen von Drittanbietern zu verwenden, die die Anforderungen der DSGVO an eine rechtmäßige Grundlage für die Erfassung oder die Zustimmungsanforderungen der jeweiligen Datenschutzgesetze nicht erfüllen.

Ich möchte dem Programm beitreten, mache mir jedoch Sorgen wegen der DSGVO.

Die DSGVO ist ein positiver Schritt für den Datenschutz. Es geht nicht darum, Unternehmen an der Verfolgung ihrer kommerziellen Interessen zu hindern. OneAffiniti hat erhebliche Anstrengungen unternommen, um sicherzustellen, dass wir unsere Partner bei der Einhaltung der DSGVO unterstützen (siehe DSGVO und OneAffiniti) und als Datenverantwortlicher und Auftragsverarbeiter Ihrer Daten und der Daten Ihrer Abonnenten sind wir hier, um zu helfen. Während wir unser Bestes tun, um sicherzustellen, dass unsere Dienstleistung in Übereinstimmung mit der DSGVO bereitgestellt wird, besitzen und kontrollieren Sie Ihre Abonnentenliste. Das bedeutet, Sie als Datenverantwortlicher müssen sicherstellen, dass:

  • Ihre Abonnentenlisten Personen umfasst, für die bezüglich der Erfassung eine rechtmäßige Grundlage vorliegt
  • Sie in Ihrem Datenschutzhinweis ausreichend auf die Offenlegung hinweisen
  • Sie wissen, was zu tun ist, wenn Sie eine Anfrage oder Beschwerde zum Datenschutz erhalten
  • Sie geeignete technische und organisatorische Maßnahmen getroffen haben.

Weitere Informationen finden Sie unter Pflichten von Partnern.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Auftragsverarbeiter und welcher trifft auf mich zu?

Ein Datenverantwortlicher ist derjenige, der die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten bestimmt, während der Auftragsverarbeiter derjenige ist, der personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet. Partner sind Verantwortliche bezüglich der personenbezogenen Daten ihrer Kunden (einschließlich Ihrer Abonnentenliste). In Anbetracht der Art der von OneAffiniti direkt erbrachten herstellerübergreifenden digitalen Marketingdienstleistungen gelten wir auch im Sinne der DSGVO als Datenverantwortlicher.

Was tue ich, wenn ich eine Beschwerde oder Anfrage zum Datenschutz erhalte?

Wenn sich die Beschwerde oder Anfrage auf personenbezogene Daten bezieht, für die OneAffiniti verantwortlich ist, sollten Sie OneAffiniti unverzüglich benachrichtigen, indem Sie eine E-Mail an unseren Datenschutzbeauftragten unter privacy@oneaffiniti.com senden. Sie müssen gesondert Ihre anderen Verpflichtungen in Bezug auf eine solche Beschwerde oder Anfrage prüfen und erwägen, rechtlichen Rat dahingehend einzuholen, welche Schritte unternommen werden sollten.

Geben Sie meine Abonnentenliste an Sponsoren weiter?

Nein. Ihre Liste gehört Ihnen und wir werden sie nicht ohne Ihre ausdrückliche Zustimmung an Sponsoren weitergeben. Damit wir unsere Dienstleistungen an Ihre Abonnenten liefern können, erhalten wir eine Lizenz für den Zugriff und die Nutzung Ihrer Liste.

Welche Informationen geben Sie an Sponsoren weiter?

Statistische, verhaltens- und leistungsbezogene Daten in aggregierter und de-identifizierter Form.  Wir können auch Details zu Verkäufen und Transaktionen weitergeben, die Sie uns über Belege/Rechnungen übermitteln, um die Wirksamkeit der Marketingkampagnen zu überprüfen. Wir werden Ihre Zustimmung einholen, bevor wir Lead-Daten an Sponsoren weitergeben. Weitere Informationen finden Sie in unseren Nutzungsbedingungen und unserem Datenschutzhinweis .

Welche Informationen geben Sie an Dritte weiter?

Wir können personenbezogene Daten (einschließlich Ihrer Abonnentenliste) an Dritte weitergeben, jedoch nur zum Zweck der Bereitstellung oder Optimierung der Dienstleistungen, wie in unserem Datenschutzhinweis auf der Website näher erläutert.  Eine vollständige Liste der Drittanbieter bzw. Auftragsverarbeiter von OneAffiniti finden Sie hier.

Haftungsausschluss: Dies ist ein allgemeiner Leitfaden zu einigen Anforderungen der DSGVO. Dieser Leitfaden stellt weder eine Rechtsberatung noch eine Aussage über die Schritte dar, die Sie ergreifen sollten, um die Einhaltung der Vorschriften Ihrerseits zu gewährleisten. Und Sie erklären sich damit einverstanden, sich für die Einhaltung Ihrerseits nicht auf die hierin enthaltenen Informationen zu verlassen. Umfassende beratende Informationen finden Sie auf der Website des UK Information Commissioner Office – Leitfaden zur DSGVO. Wenn Sie weitere Fragen haben, empfehlen wir Ihnen, den Rat eines Juristen oder Datenschutzbeauftragten einzuholen.

Bitte beachten Sie, dass Sie im Rahmen Ihres Dienstleistungsvertrags mit OneAffiniti die volle Verantwortung für die Bereitstellung und die Bestätigung der Rechtmäßigkeit der E-Mail-Adressen Ihrer Kunden tragen.