Lassen Sie sich nicht von diesen 6 DSGVO-Mythen stolpern

Wir sind ein paar erschreckende Monate vom Tag der Umsetzung der DSGVO entfernt und das Internet ist voll von schlechten Ratschlägen.

Die Menge an Blogposts und Quora-Antworten, die ich gesehen habe, waren übersät mit grünen Lichtern, die ROT sein sollten – ist erstaunlich.

Und je mehr wir bei Convert mehr und mehr Zeit damit verbracht haben, zu lernen, zu lesen und uns über dieses neue, große, wichtige Gesetz die Haare zu raufen, desto mehr begannen in meinem Gehirn die Alarmglocken zu läuten.

„Dieses branchenübliche Verhalten ist jetzt schlecht “, heißt es dort. „Du musst sie warnen.“

Also hier.

Dies sind die 6 großen Lügen, die die Leute über die DSGVO glauben, die die Leute falsch machen und die wir alle bis zum 25. Mai richtig machen müssen .

Mythos Nr. 1: Dies betrifft nur die EU.

Wenn nur.

Eines der ehrgeizigsten Dinge an der DSGVO ist, wie sie den gesetzlichen Geltungsbereich von Datenschutzrichtlinien erweitert. Jetzt gibt es eine übergreifende Rechtsvorschrift, die die Regeln in der gesamten EU festlegt.

Aber darüber hinaus ist die DSGVO für jeden von Bedeutung, der mit den Daten von EU-Bürgern zu tun hat.

Selbst wenn Ihr Unternehmen an einem anderen Ort ansässig ist – wenn Sie Webbesucher haben, die EU-Bürger sind, und Sie diese mit Cookies verfolgen – wird von Ihnen erwartet, dass Sie sich mit der DSGVO bewerben. Wenn Sie die E-Mails europäischer betroffener Personen sammeln, wenn Sie ihre IP-Adresse speichern, wenn Sie überhaupt mit ihren Daten interagieren, sind Sie an die gleichen neuen Regeln gebunden wie jeder mit einem in der EU ansässigen Server.

Und ehrlich gesagt, auch wenn Sie sich zu 100 % sicher sind, dass Sie nicht mit EU-Daten zu tun haben – die Einhaltung der DSGVO ist ein guter Schritt in die richtige Richtung. Datenschutzgesetze ändern sich überall. Kanada arbeitet mit dem Privacy Act an einer neuen Gesetzgebung.

Daten werden immer mehr zu einer wertvollen Währung. Das macht die Datengesetzgebung wichtiger denn je.

Mythos Nr. 2: Ich kann meine Cookies/kalten E-Mails/etc. rechtfertigen. wegen „berechtigtem Interesse“.

Die Bedingung des berechtigten Interesses ist … kompliziert.

Während es Ihnen (vorübergehend) ein wenig Luft zum Atmen für einige Arten von kalten E-Mails lässt, ist es nicht so nützlich, wie Marketingfachleute hoffen.

Um ein wenig zu untermauern – die DSGVO beschreibt 6 verschiedene rechtliche Bedingungen für die Datenverarbeitung. Die zwei relevanten für Vermarkter scheinen zu sein: Einwilligung der betroffenen Person und „berechtigte Interessen“.

Um eine Einwilligung einzuholen, müssen Sie alle möglichen Bedingungen erfüllen – sie muss aktiv, eindeutig, positiv usw. sein.

Im Vergleich dazu erscheinen „legitime Interessen“ wie ein Spaziergang im Park. Aber die Absicht dieser Klausel war nicht "Ich dachte zu Recht, dass sie interessiert sind ... also kann ich ihnen schicken, was ich will, richtig?"

Hier ist, was die ICO (britische Datenregulierungsbehörde) Ihnen empfiehlt, zu bestätigen, bevor Sie sich entscheiden, Daten zu verarbeiten….

• Wir haben geprüft, dass berechtigte Interessen die geeignetste Grundlage sind.
• Wir sind uns unserer Verantwortung bewusst, die Interessen des Einzelnen zu schützen.
• Wir haben eine Bewertung der berechtigten Interessen (LIA) durchgeführt und Aufzeichnungen darüber geführt, um sicherzustellen, dass wir unsere Entscheidung begründen können.
• Wir haben die relevanten berechtigten Interessen identifiziert.
• Wir haben überprüft, ob die Verarbeitung notwendig ist und es keinen weniger aufdringlichen Weg gibt, dasselbe Ergebnis zu erzielen.
• Wir haben einen Abwägungstest durchgeführt und sind zuversichtlich, dass die Interessen des Einzelnen diese legitimen Interessen nicht außer Kraft setzen.
• Wir verwenden die Daten von Einzelpersonen nur so, wie sie es vernünftigerweise erwarten würden, es sei denn, wir haben einen sehr guten Grund.
• Wir verwenden die Daten von Personen nicht auf eine Weise, die sie als aufdringlich empfinden oder ihnen Schaden zufügen könnten, es sei denn, wir haben einen sehr guten Grund.
• Wenn wir Daten von Kindern verarbeiten, achten wir besonders darauf, dass wir ihre Interessen schützen.
• Wir haben Sicherheitsvorkehrungen getroffen, um die Auswirkungen nach Möglichkeit zu reduzieren.
• Wir haben überlegt, ob wir ein Opt-Out anbieten können.
• Wenn unsere LIA eine erhebliche Auswirkung auf den Datenschutz feststellt, haben wir überlegt, ob wir auch eine DSFA durchführen müssen.
• Wir behalten unsere LIA im Auge und wiederholen sie, wenn sich die Umstände ändern.
• Wir nehmen Informationen über unsere berechtigten Interessen in unsere Datenschutzerklärung auf.

Wenn Sie sich also auf berechtigte Interessen berufen wollen, müssen Sie diese Dinge bestätigen. Und Sie müssen Ihren Prozess dokumentieren. Und Sie müssen sich im Voraus entscheiden, ob Sie die Verarbeitung mit der Bedingung des berechtigten Interesses durchführen . Es kann nicht nur Ihr Fallback sein, weil Sie fälschlicherweise um Zustimmung gebeten haben.

Mythos Nr. 3: Ich muss einen Datenschutzbeauftragten ernennen.

Die DSGVO rät einigen Unternehmen, einen Datenschutzbeauftragten zu ernennen, um den Übergang zu überwachen und ihre Datensicherheit voranzutreiben.

Und die Machthaber haben ziemlich klar, dass öffentliche Behörden einen ernennen sollten. Und Unternehmen, deren primäre Funktion darin besteht, Daten zu verarbeiten oder systematisch zu überwachen. Und wenn Sie regelmäßig besondere Datenkategorien verarbeiten – wie Gesundheitsdaten oder religiöse und politische Zugehörigkeiten – sollten Sie wahrscheinlich einen Datenschutzbeauftragten in Ihrem Team haben.

Aber abgesehen von diesen Bedingungen gibt es ehrlich gesagt keine strenge Regel, wann Ihr Unternehmen groß genug ist, um die Einstellung eines Datenschutzbeauftragten vorzuschreiben. Oder wenn die von Ihnen verwalteten Daten so komplex sind, dass Sie eine benötigen. 250 Mitarbeiter ist eine oft umhergeworfene Faustregel.

Im Allgemeinen scheint es, dass KMU, die Ihre Standardtypen und -mengen an Daten für Marketingzwecke verarbeiten, mit einer soliden Rechtsberatung und einem gründlichen Engagement für Datentransparenz auskommen können.

Mythos Nr. 4: Dies ist eine gute Möglichkeit, um Zustimmung zu bitten.

Dieses Wesen…

Nein! Die Zustimmung muss aktiv sein. Sie können Ihre Kästchen nicht vorangekreuzt lassen.

Nein! Das ist Bündeln. Für gesonderte Vorgänge müssen Sie die Einwilligung gesondert einholen. Sie können nicht einfach „monatliche Newsletter“-Abonnements mit Event-Anmeldungen einwerfen.

Nein! Nennen Sie Ihre Drittparteien oder es zählt nicht!

Nein – persistente Cookies benötigen jetzt eine explizite, aktive Zustimmung. Wie in muss jemand auf etwas klicken oder ein Kästchen mit der Aufschrift „Ich stimme zu“ ankreuzen. Sie geben es nicht, indem sie einfach weiter surfen.

Und die Nuancen gehen weiter.

Das Wichtigste ist: Einwilligungsregeln sind nicht mehr das, was sie einmal waren.

Um mehr darüber zu erfahren, was sie jetzt sind, haben wir hier eine substanziellere Aufschlüsselung.

Mythos Nr. 5: Das sind keine personenbezogenen Daten.

Die DSGVO hat den Umfang personenbezogener Daten gegenüber dem erweitert, was zuvor als „personenbezogene Daten“ anerkannt wurde.

Wir präsentieren bescheiden diese hilfreiche Tabelle:

Die wichtigsten hier sind Kekse – die ein wenig kompliziert sind. Welche Arten von Cookies genau als personenbezogene Daten gelten, wird mit den neuen ePrivacy-Verordnungen festgelegt.

Derzeit gibt es einige Ausnahmen für Cookies im „Performance-Bereich“. Dies sind die Arten, die nur Informationen über die Website-Nutzung zum Nutzen des Website-Betreibers sammeln. Sie identifizieren keine Besucher, sondern verlassen sich auf aggregierte Daten.

Hier finden Sie einen ausführlichen Überblick darüber, wie die DSGVO Cookies regulieren wird.

Mythos Nr. 6: Solange ich meine Prozesse bis zum 25. Mai aktualisiere, bin ich im Klaren.

Als Vermarkter ist dies die DSGVO-Bedingung, die mich dazu bringt, mir die Haare zu raufen.

Sie gilt rückwirkend.

Es gilt für alle Ihre vorhandenen Daten.

Das heißt, wenn Sie E-Mails gesammelt oder Cookies ausgeführt oder mit persönlichen Daten auf eine Weise herumgespielt haben, die nicht DSGVO-konform ist, werden all diese gespeicherten Daten ab dem 25. Mai zu einem Problem.

Wir empfehlen:

1. Unabhängig davon, ob die Cookies Ihrer Website eine Lebensdauer von 3, 6 oder 12 Monaten haben – es ist eine gute Idee, diese von vorne zu beginnen und alle von ihnen gespeicherten persönlichen Daten zu löschen.
2. Führen Sie eine Kampagne zur erneuten Genehmigung durch, um zu versuchen, Ihre bestehende E-Mail-Liste zu retten.

Es sind Kopfschmerzen. Und es ist schade, einige dieser Kontakte zu verlieren, für die Sie hart gekämpft haben.

Aber wie sie sagen…

Manchmal fallen Dinge auseinander, damit sich bessere Dinge zusammenfügen können, und auch der Datenschutz ist wichtig, also sollten wir uns alle an die Gesetze halten.