Step-by-step guide: how to create Records of Processing Activities!

As the enforcement of General Data Protection Regulation (GDPR) approaches, Records of Processing Activities (RPAs) is a term that is being thrown around quite a bit. It is also referred to as Procedure Index, Data Mapping, Data Flows among others. It is what data protection authorities will need evidence for after May 2018. It is a daunting prospect for most companies since only 34% of the companies (vpnMentor, 2018) are on their way to compliance so far. To make it easier on you all, we are going to outline all the steps to keep your RPAs ready for authorities:

Step 1: Collect the names of all the departments in your company

Think of all the functionalities you have in your company. The departments are not always divided clearly especially if you are a start-up: chances are you don’t really have organised departments. So take a moment, and think of all your functionalities and organise them in a detailed manner so that every activity that you do is put in a department.

Step 2: Fill out your basic Company Information

This includes name of your company, the contact details of the person, usually the company’s Managing Director or Chief Executive Officer (CEO).

Step 3: Pick a platform for all GDPR related documents and work

You need to decide how you want to manage all the documents together. Do you want to use Google docs and keep them all in a drive? Or do you want to make folders on your internal company network and use Microsoft Office? Or would you like a Task Management Software for GDPR? It is important that you pick an option and then stick to it since there will be lots of documents that you would need access to. Keep them in one place so finding them is not a hassle.  

Step 4: Now think of all departments that have processes for personal data

Now think of all the departments in your company that utilise data in one way or another. For instance, Sales and Marketing, Product Development and Finance Department. Are these departments using any user data you obtain in any way? Make a list of these departments.

Step 5: Think of the people responsible for these Processes in each department

Think of all the people who mostly manage the data related activities in each department. Make a list of all these people. It is important that the person you pick knows very well what the department does with the data and can answer questions relating to all such department activities. The person you pick does not necessarily need to be the Head of the Department but rather the one who knows the most about activities related to personal data.

Step 6: Now put the information together to create a Department Profile

Now combine the two lists so that you have the Name of the Department and the corresponding contact person of the department.

Step 7: Find an Internal Data Protection Officer

Ideally, you need to appoint one person for your company who will act as the Data Protection Officer. This person can be anyone from your company and would later need some training or would need to read the law or at least have functional understanding of it. Ideally, this could be your Chief Operations Officer or Head of Legal.

Step 8: Sign a document with them to officially appoint them as your DPO

In order to officially appoint the chosen person as your DPO, you need to sign a document with them. Outlining their responsibilities and the purpose of the role in line with the Article 37 of the GDPR. Our tool provides you with the document that you can then download and request signature for.

Step 9: Every department makes a list of all their activities that use data

So ideally, each department should record the activity that uses data in any way. For instance, exchanging business cards would be one activity in the Marketing Department. Personnel Holiday Planning would be another one for the Human Resources (HR) Department.  Step 10: Give details of each of this activity

This is the tedious long-term task that has no short-cuts. You need to go step by step and and define this activity. There are a few important points that you need to write down for each of these activities. Let’s go over these points one by one.


Step 10.1: Description of the Activity

This would include what the activity is and who is the contact person responsible for the activity. For example: IT for Employees and someone in the IT department would be responsible for it.

Step 10.2: Purpose and Legal Basis of the Activity

In line with the GDPR, you have to explicitly mention how this activity is aligned with the overarching purpose or vision of your company. If it uses personal data of people, you need to show the legal justification of how you are obtaining this data from people: is it through consent for instance? Or a processing of a contract?

Step 10.3: Data Collection and Data Processing

In this part, answer the question if you collect Personally Identifiable Information like name, email address, band details etc. If you do from where do you collect it and do you explicitly ask for consent before you get the information? Do you give this data to third parties? If yes, who are they and what do they do?

Step 10.4: Nature of the Data

Whose Data is this? Is it customers, clients, employees or partners? And what is it? Names, email addresses, bank details are some examples.

Step 10.5: Data Storage and Deletion

This is the straightforward part if your processes for this are defined. Unfortunately, most companies do not have processes for this kind of thing. It includes how long you store the data for? What is the exact location of this storage? And when do you delete it?

Step 11: Now combine them all in one Report

The final step is to organise all this information from different departments and people, consolidate it, make sure you are not missing an activity or details of it and put it all together in one place for the authorities. allows you to create one-click reports, provides you with all the templates as well as guidance on what information to put into the different gaps. Our Task Management Tool is based on the legal requirements of the GDPR to ensure that the guidance actually helps you understand what to do.

If you would like to check out our platform, book a free demo now.

10 GDPR questions answered for SaaS Companies

In the last few days, after our product hunt launch, we have received questions from people who are are curious about the process of compliance. How do you start? What are some of the things to keep in mind? Since the GDPR will be be enforced this coming May we see a lot of companies scrambling to comply. We thought that an example from a company that is in the final stages of GDPR compliance would help. So we caught up with to find out what they have done, how they have done it and what they think could have helped them in the process.

1) How did you get started with the GDPR?

We’re based in Poland, so we heard about GDPR pretty soon. We’ve tried to keep abreast with the news since the moment we heard about the changes. So, we can say that we began by keeping an eye out on the discourse around GDPR.

2) What were your first steps? Please feel free to mention your steps

First, we read the whole regulation. In my opinion, there should be one person at every company who has read the regulation from start to finish. It helps a lot. Especially since there’s a lot of panic around GDPR as well as around the implications that may follow from it. Reading the whole thing clears things out for you.

Then, we found a couple of GDPR conferences. One of our colleagues, who we appointed as Data Protection Specialist, took part in those conferences and shared what she learned with the rest of us. She prepared small presentations for every department: Office Management, Sales, Marketing, and told us how GDPR will affect our work. Her input was invaluable.

We updated our Policy and Terms of Service. We reviewed our signup forms for our newsletter, downloadable marketing content and the app itself.

Then, we researched how other companies were preparing for GDPR. We decided to let our customers know what we were doing for GDPR. That’s how we created the page. It’s made to inform our customers and subscribers how we’re handling things.

3) How did you change your email marketing for the GDPR?

The first step we took was to make sure our signup forms were clear to understand, as it is one of the requirements of GDPR. The signup forms should be free of any jargon words or windy sentences. The signees should know what they subscribe to.

The subscribers should feel their personal data is secure when they give it to us, and that they are in full control of it. Of course, they can unsubscribe from our newsletter or update their data at any point. We have made sure it’s easy for them to do that.

GDPR also calls for data limitation, collecting only the kind of personal data that’s essential. It has always been the case when it comes to our marketing communication. We don’t collect more data than necessary to send a newsletter. For instance, we’re not going to call our newsletter subscribers, thus we don’t collect phone numbers.

Next, we took care of the signatures that come at the end of our newsletter emails. We made sure there’s all the information that anyone would need. We’re working on the short notification that would inform the newsletter subscriber that they received the email, because they subscribed to the blog.

4) What are 10 simple changes & advice for a marketer who is reading this blog?

  1. Don’t panic. GDPR wasn’t made to kill all of your marketing activities. It was written to protect the rights of consumers. Not to harass marketers or make their job harder.
  2. Don’t trust everything you’ve read about GDPR. A lot of stuff out there is just somebody’s interpretation of the regulation. Learn to separate the wheat from the chaff.
  3. Appoint one person at your company who’ll review the way personal data is being handled. Are you sure you know what happens with the data? Who has access to it? Is the process secure? If you have no idea, it’s time to come up with a plan to make it as secure as you can.
  4. Review opt-in forms. All opt-in forms should be short and easy to understand. They shouldn’t be written in fine print nor should they be in hard-to-see colors.
  5. Ask for the information you really need. GDPR stresses out that the personal data you collect should be adequate and relevant to the purpose of its processing. So don’t ask for the company address, if you’re not going to mail the company anything.
  6. Keep your database clean. Do the major cleaning of your contact lists from time to time. If you don’t know how the subscriber ended up on your list, it’s better to either delete them or ask them whether they want to opt in for your marketing communication. Similarly, if a person unsubscribes, cross them out.
  7. Be transparent – Tell your subscribers in what ways you’re going to process their personal data. GDPR calls for transparency. The customers and newsletter subscribers should understand in what ways you’re processing their personal data and what kind of data you keep.
  8. Keep your word – if you say you’re processing personal data to send them a weekly newsletter, don’t send email twice a week. If you say you delete them from your list, do that. Now it’s even more important to keep your word.
  9. Learn how GDPR is interpreted in your own country. EU member states differ in their interpretation when it comes to the regulation.
  10. Inform your newsletter subscribers and customers about what you did to be GDPR compliant. We still receive some questions about whether we think App A or B is GDPR compliant. And we can’t say unless this company released a GDPR statement.

5) How long did it take for you guys to be GDPR compliant?

To be honest, we’re at the finishing line. We still need to polish a thing or two. We’re sure to announce it within a week or less. We’ve been working on it for a couple of months, because we process our users’ personal data and our users process personal data of prospects. We need to work our way through GDPR compliance.

6) What piece of advice – would you give to the readers who are starting now?

Don’t try to do everything at once. It might be overwhelming. Especially since there’s a lot of contradictory advice on the Internet. Start with baby steps. That’s how we came with an idea of creating a GDPR checklist available on our blog. If you don’t know what to do, take a lawyer’s advice. But I’m sure you’ll manage to take care of GDPR compliance on your own.

Start with thinking what data you collect and where from. It is not only the pillar of conducting risk assessment. It will also help you realize what kind of data security policy you need.

Change the way you think about GDPR. It isn’t a policy which covers mistakes in the current system but policy which showcases how the system works.

7) Would a step-by-step and simple to use GDPR solution make sense if people are starting now?

That would be even better. I think the compliance took so much of our time because we didn’t have everything in one place. Have we had a solution to keep our work organized, it would have taken far less time to become GDPR compliant.

8) How much did you hate using spreadsheets for the GDPR?

We have the GDPR documents scattered around, because there is a lot of information to keep an eye on, likewise, we have had to review our database and do everything in our power to secure the personal data of our users and newsletter subscribers. It got really hectic. If we had an app or something that would keep everything under one roof and let us collaborate, we’d be thrilled.

9) You mentioned here – “make a list of all the in-app areas that need to be taken care of to comply with the regulation (COMPLETED)” – What were those changes?

As a sales automation tool, Woodpecker is both, data processor and data administrator. We process personal data and allow our users to process personal data of their prospects. That’s why we needed to review how we process personal data and how others can process personal data in the app. We need to be cautious about our users’ data. And we need to make it possible for our users to process the personal data of their prospects in a way that is GDPR compliant.

10) Do you have an example of a cold email you write to your business contacts based on the GDPR who have not opted in?

An email body doesn’t change much from what it was before. There are two things that need our attention when writing a cold email though. The first thing is having a tightly targeted list of prospects. A spray-and-pray approach has never been effective, but now it’s illegal under GDPR. When we decide to send somebody a cold email, we should be able to justify why you chose a specific person to be on our cold emailing list. Our business statute should be tightly connected with theirs.

The other thing is that we should be transparent. We should include information, or at least be prepared to give it when asked to, that we’re processing our prospect’s personal data and that prospects can opt out from receiving further emails from us any time they want. We have an example of that in our article about GDPR.

You can check out right here!

And if you are confused about how to start your compliance process or are drowning in heaps of excel sheets, book a free demo with us!

Why combyne uses

Combyne, the mobile app, solves the age-old dilemma of picking the perfect outfit for different outings and events. Now you can simply create outfits using different clothing items from your favorite brands. You can also take a photo of any of your own clothing items and add them to your outfit.

So basically, you can dress on your phone saving you the hassle of actually trying on each outfit before you decide on the perfect one.

We caught up with Christian Dienst, the Chief Operating Officer at combyne to find out why they chose to trust to manage their GDPR compliance.

What is GDPR according to you?

Christian: I believe it gives businesses and organizations the chance to outline their internal data structures and improve their systems accordingly. In the end, it is an international standard that companies need to adhere to in order to protect their customers and employees’ data and privacy.    

Why did you need to be GDPR compliant?

Christian: From day one of our GDPR journey to compliance, the most important factor for us has been to provide data protection to our users and employees. Even if we are not at all involved in large-scale processing, GDPR has given us the opportunity to organize ourselves and our internal system and also to improve our data management approach. We felt that by establishing a data-conscious environment, our user community and partners can only benefit more from our products.

Why did you choose

Christian: After we came up with a strategy on how to tackle our data processes, we thought that ECOMPLY’s integrated format could benefit us greatly. Given that we are still a small company (according to the GDPR guidelines), we were really happy to have found a simple, accessible platform that would allow every member of our team to understand and add information.

Who works with How does it fit into your own processes?

Christian: During the “mapping” stages, just a small part of the team was involved. We needed to figure out how to approach this and to select the processes that we knew for certain involved collection and use of personal information. Afterwards, we managed to bring in the whole team, and everyone’s input proved to be extremely helpful.

How did add value to your GDPR journey?

Christian: For us, ECOMPLY has been an effective facilitator. By having access to a comprehensive list of processes, requirements, and explanations, we managed to save a lot of time and effort. After selecting the appropriate processes, we were able to add our own, internal activities. This helped us build a comprehensive database of processes, in a single format. Also, the ECOMPLY's team has always been open to answering questions when we couldn’t figure something out.  

What were the alternatives?

Christian: Obviously, the alternatives would have been organizing the departmental information, creating templates and using all sorts of documents. We would have been required to spend a lot of extra time on creating an accessible format and then to add our input. That would have significantly delayed our GDPR compliance journey!

Any final thoughts?

Christian: Ecomply offers a simple, step-by-step approach to comply with the GDPR at an attractive price and with great customer service.

Inspired by combyne’s journey to compliance? Get a free demo now!

Want to Dress on Your Phone? Download combyne

GDPR Compliance Tools: Why

The General Data Protection Regulation (GDPR) is ripe and the market is buzzing with many different compliance tools. Some are super helpful, others are mildly so and some are simply pretending to be helpful to get some benefit out of jumping on the GDPR bandwagon.

We thought we would tell you exactly what it is that we do that helps you with compliance. So here goes!

Do you want to spend 100s of euros on document templates like the ones by Certkit?

Since you must fill out the documents and log in all your activities for all your departments anyway. Just paying money for word/excel/other templates that you will have to fill in yourself without any guidance is definitely not worth the money you will put in. has these templates with all the content as well as guidance on what is relevant for different fields. So, you won’t face any confusion about what you should write in the template.

Do you want to hire an external consultant for all the work?

It is not just the cost of the external consultant but think about all the time your company will spend on finding the right consultant or firm. Giving them a rundown of everything your company does, answering their questions, getting them to sign all the NDAs, setting up accounts for them and all the other organizational tasks that your company would have to do just to start them off.

It would easily be a week of just onboarding them! And what’s more: even the externals suggest to use us! replaces 75% of the work of external consultants. The left over 25% is basically writing new policies in accordance with the GDPR.


Do you want to sit down in countless back to back meetings to fill everything out?

Think of all the meetings you will have to have if you were to fill out everything yourself. First, prepare and organise for a kick-off meeting. This would entail understanding the GDPR with all its intricacies and being able to condense it into a workshop for the rest of the departments and people. After your initial meeting, you would still have to force people to write down or record in one way or another all the ways that they use data in. Then follow-up meetings, ensuring everyone does it on time, clarification meetings and what not. This would be the norm!

With, you can simply add people from different departments to work on their activities and track the overall progress.

Do you want Excel sheets and more Excel sheets and more Excel Sheets?

Don’t forget that this means an unimaginable amount of excel sheets. Imagine every department filling out all their activities, all the details they collect ranging from name of their user or consumer to their login dates and what not. Then you will have to extract the relevant information from all these specific department/functionalities reports and combine them together according to the requirements of the Data Protection Authorities.

With, you can generate this report with one single click.

Here is a table we compiled that can further help you with the comparison:

If you have any questions about the GDPR, book a free demo with us now!

How long does GDPR Implementation take?

56 days left until GDPR enforcement and we hear a lot of companies wondering how long it takes to actually be compliant. This is the omnipresent question that you will find companies, executives and pretty much everyone else asking these days. So we decided to try and answer this question for you. We surveyed about 15 experts to help us answer this question.


The first thing to realize is that compliance is a step by step process and depends on a number of factors like the number of employees and processing activities among others. Here are some basic assumptions that we have made:

1): We are excluding big multinational firms from this survey since they have complex structures and estimating the time for them would require extensive research into these structures.

2): The parameters around the size of the company that we have set for this blog is a small or medium-sized company with 50 to 250 employees in total.

3) We exclude financial, health, recruitment and market research companies since they are more complicated.

However, the experts whom we surveyed were able to tell us from the get-go that the amount of time needed to become GDPR compliant depends on a lot of different factors. Some of these are:

  • Commitment to compliance
  • Number and type of processes
  • Number of vendors
  • Type of data
  • Knowledge
  • Prior Processes
  • Number of employees

Moreover, what everyone needs to understand is that compliance is a step by step process that also requires long-term commitment and integration into the existing structures and processes of the company.

So take a deep breath…

And let’s break down this big term into some basic, simple steps:


Step 1: Pre-Assessment

So before you start going down the compliance path you need to take stock of what your current state of compliance with regards to the General Data Protection Regulation (GDPR) framework actually looks like. The pre-assessment depends heavily on the size of your company and the processes you have. The aim is usually to figure out the resource commitment that your company needs to actually comply.

Through our survey we found out that half of the experts whom we surveyed estimated that for a company between 50 and 250 employees, it would take on average 15 hours to complete a pre-assessment.

The important thing to remember here, is that setting the scope and ensuing commitment to your assessment as well as the extent of prior knowledge you have will play a determining role in how long pre-assessment will take.


Step 2: Creating Records of Processing Activities

Keeping Records of Processing Activities (RPA) is a stipulation of Article 30 of the GDPR explicitly requiring businesses to document their processing activities and recording the processing purposes, data sharing and retention. These records need to be made available upon the Information Commissioner’s Office (ICO). In short, every periodic step that the data is processed through has to be documented for the authorities. If you are confused about the RPA, you can check out this video and get this cleared out.

This is of course, highly dependent on what the company actually does and its pertaining activities. For instance, a headhunter has sensitive data that they have to document. This could include the candidates’ names, current position, company, data of birth and many others. Every step that this data goes through has to be documented so that if the Data Subject inquires about how their data is used, the headhunter is ready to answer that.


Opinions of the experts whom we surveyed were quite dispersed and estimated that it could take on average 40 hours.


Step 3: Evaluate the third parties

This is a critical step in being GDPR compliant and one that needs special attention since outsourcing and having several vendors is such an integral part of most businesses today. Vendor risk management (VRM) from a GDPR perspective is basically to make sure that all the services you use for your business do not violate your data protection regulations and create disruptions for you.

This, according to our experts, could take you on average 30 hours and depends again on the type of work your company does and the number of vendors you have.


Step 4: Data Protection Impact Assessment

Data Protection Impact Assessment refers to estimating the entire risk for the company and it pertaining operations. Essentially, it means that an external person helps the organization to identify, assess and minimize the risk of their processing activities. An overwhelming majority of the experts whom we surveyed were of the opinion that for an external consultant to do that for a client could take from 25 hours on average.


What happens after you become compliant?

If you thought it was a one-time thing, then you were…

Because being compliant is a process which changes as your company grows, evolves and modifies its operations. It’s important to think of it as an ever-present goal for your company.

Our experts estimate the number of hours per year that you would need to keep complying would take on average 75 hours. Moreover, some of them were also of the opinion that the company’s Data Protection Officer (DPO) should actually calculate the hours based on the Data Protection Impact Assessment.

To conduct an annual Data Protection Audit, our experts were once again very divided. The average response came to about 10 days a year.

We think that automating your compliance process will actually save you a lot of hassle and will replace the external consultants that you would otherwise have to hire (the cost of which could be on average about 150 euros per hour, according to our experts). So in short, we suggest to really estimate the time you need in your pre-assessment holistically taking into account all your activities.  

Key takeaways:

1) If someone is cheaper than 100 euros per hour: think if they really want to sell their services or actually want you to be compliant?

2) Automating compliance will definitely make this GDPR compliance 5x faster since it will reduce the need for prior knowledge that you need to collect and assess

3) Having a software will also make compliance easier to manage in the future since you will be able to track your progress and be able to see what still needs to be done

4) Overall the GDPR project takes more than 200 hours if you have done nothing at all

“Execution is key but endangered by overthinking.” (Lisa, Scalable Capital)

Book a Demo with us to learn more about how we can help you comply!

Some of the experts helped us to collect this data and wished to be mentioned here. If you want to connect with the experts, feel free to contact them on LinkedIn:

Christian Schmoll, g3s Rechtsanwälte

Jodi Daniels, Red Clover Advisors

Lisa Gradow, Scalable Capital

Mandy Webster of Data Protection Consulting Limited

How Cambridge Analytica’s Trump campaign fiasco could have been avoided!

Since the news broke of what Cambridge Analytica had done, there has been a media frenzy of different stakeholders reacting, accusations being thrown around and public outrage of what is considered a gross breach of trust of consumers. Suffice it to say, that Facebook has a lot of assurances to hand out to their angry consumers.

With the adoption of the General Data Protection Regulation (GDPR) and its long overdue enforcement, will incidents like this be deterred?

Let’s make some sense out of all the noise surrounding the issue and answer this question.

What in the world has happened?

Cambridge Analytica (if you visit their webpage: as a company claims that they lead data-driven political campaigns which given the political arena today seems like a rather smart thing to do. However, the question arises: How do they get access to this data and how do they collect it?

This is where the problem lies: because in 2014 Cambridge Analytica acquired data from 50 million Facebook users and THEIR FRIENDS without them being made aware of it… build psychological profiles of consumers to effectively target them with content to carry out political campaigns.

The primary issue within data privacy in this case as well as in general has been about getting informed consent. The fact that the people, or Data Subjects as they are referred to by the GDPR terminology, did not know that their data and their friends’ data was used for exactly the purpose it was used for aka: political campaigning is problematic. And this is where the GDPR steps in.

GDPR - the savior?

GDPR makes it incumbent for companies to gain the informed consent of the person whose data is being used in three ways:

  1. It makes it necessary for them to collect only the data that is aligned with the purpose of the company itself along with a legal justification of that purpose
  2. The company also has to make sure that it gains the consent of the person in a clear and concise manner (so goodbye huge-ass, complex, consent-taking essays).
  3. It also gives the person the right to withdraw their consent at any moment so in the case, that the person gets to know that their data is being leveraged to design a political campaign for a candidate they don’t like, they can easily retract their approval.

Another thing that the GDPR does is that it makes it mandatory for companies to list their processes, document their processing activities and make maps to ensure transparency for their consumers as well as the authorities.

Did Facebook have Technical and Organizational Measures in place to deter these kinds of incidents? Who knows? But if they did, clearly they were not effective enough since a third party aka Cambridge Analytica was able to harvest it to their advantage through their application. The enforcement of the GDPR ensures that the path that data and their related processing takes in the corporation is documented so that the Data Subject knows exactly what their information is being used for.

It also puts the pressure on C-level executives to take proper measures to comply since they are held personally liable for breaches. So yes, it is in the personal interests of CEOs to make sure that slips like these do not happen.

In short, after the enforcement of the GDPR incidents like these will be heavily penalized as well as prevented to a degree due to the documentation of processes as well as the imposition of heavy penalties. In a post GDPR world, what Cambridge Analytica did, for all intents and purposes will be illegal. The failure of Facebook’s processes would essentially be severely punished as well.

So yes, we definitely believe that the GDPR will be a hero of sorts and will empower people through greater autonomy over their data.

If you want to know how we can be the Robin to your GDPR, book a demo with us!

Disclaimer: the picture in the featured images has been taken from AIB (

Pimping Up Your Sales in a post GDPR World!

Most people think of the coming enforcement of The General Data Protection Regulation (GDPR) as apocalyptic for sales! While it is true that the GDPR will fundamentally change the way Sales work, contrary to popular belief, all it requires is an understanding of the implications of this law and finding out what’s possible and what’s not. And that’s where this blog comes in…


For me, sales used to be all about the automatic email marketing (Hallelujah automation) and to make my outbound emails perfect, personalized and pretty. The email would have one Call-To-Action (CTA) and move the leads in the funnel to the next steps such as demo, exploratory call or landing them to my specific page (a bit of narcissism never hurt nobody). Moreover, I was also a great cold caller. Like you know someone who could pass the gatekeeper and move to the hierarchy very easily. I used to love it. What else could be a better way of telling a customer that what they really need is my SaaS solution and should stop working manually! However, this is what we can’t do.

Assuming that we all know the basic tenets of GDPR, (in case you don’t, catch up here: I have highlighted all the FAQs here. I’ll move forward to more practical steps. Obviously, DISCLAIMER: these are just my opinions and not legal advice in any manner. So, what is it that you cannot do as a salesman after May 2018?

  1. You cannot send a cold email! Basically, you just cannot send any kind of electronic message (SMS, MMS or email) to the customer who has not given consent to receive your email
  2. You are also prohibited from cold calling customers: even if you found their number on a public website or in their signature, you cannot cold call them! (Exception: Cold calling is not forbidden in the UK yet).
  3. You are also not allowed to put their details in your CRM system without their consent
  4. So, GDPR is all about CONSENT. But what does consent really mean here? (add more here). It means if you want to optimize your sales activities, you need to inform the customers exactly what you are doing and about the tools you will be using
  5. You cannot keep a prospective customer’s details in your CRM for an unlimited period of time so make a habit of periodic deletion:
  6. You cannot put the customer’s details in a sales automation tool and track their open rates, click rates or download rates without their consent
  7. You cannot scrape personal data via Facebook, LinkedIn, Quora, Product Hunt and send them targeted emails based on your scrapping
  8. Forget about buying third party lists…
  9. Or any other cheeky technology to find the email addresses and phone numbers of people
  10. Finally, you also cannot rely on the age-old opt-ins from your database!

This all sounds horrible – Right? As if the GDPR actually moves you away from doing proper business. Well, not exactly!

The GDPR was enforced to give consumers more control over their data and to enable them to exercise ‘privacy as a basic human right’. And this is a groundbreaking first step towards empowering our consumers.

So how should we carry out Sales then, you ask? Well, let me give you some practical advice.

Here are some of the ways I have adopted in sales:

LinkedIn is your friend:

  1. Use it heavily as a social selling tool!
  2. Moving a lead from LinkedIn: Once they accept your request, get their consent, inform them of the duration of retaining their data and what you will be doing with it. Put this in your CRM, and start selling!
  3. Use Inbound methods, let the leads come to you via your Inbound marketing channels such as Case Studies, Ebooks, Guides, blogs etc.
  4. You can still send LinkedIn Inmail via LinkedIn Sales Navigator


  1. Be great at event marketing. Research your prospect and personalize your message to them when you see them in an exhibition
  2. Attend targeted events where your customers are likely to be
  3. Use as a way to engage with the topic you specialize in
  4. Start building genuine relationships and network with people at these events
  5. Go to the events where your customers are exhibiting and try to talk to them. They’re open to listening to you and try to find a middle ground with them (of course, there’s the possibility that you might stumble upon a non-helpful sales person there but be reasonably persistent)

Thought Leadership:

  1. Organize topic related webinars: look out for pet peeves of your customers
  2. Use LinkedIn and Medium for sharing your opinion about their industry via blogging
  3. Use your company’s Inbound Strategies effectively to get a ‘double opt-in’ or a ‘Soft Opt-in’

Growth Hacking and Happy Customers:

  1. Obviously, you cannot reach customers in bulk messages, but you can still use referral tools, influencer marketing and other channels where customers still give you consent
  2. And the traditional word of mouth still works! Ask your happy customers to refer you to your next prospect. Ask your unhappy customers for feedback and forward it to your Dev Team. In fact, make an email for your customers to make them use as little effort as possible to provide you the referral and feedback.


  1. And of course, get ready to send mails via post! (the old school way). Under the GDPR, you can still personally send letters, postcards and mails to your prospective customers. I’d suggest to write it by hand and personalize it as far as possible for your customer. Who doesn’t like a beautifully, handwritten note?! (It is not scalable so refrain from spamming by mail)

Hope this helps you in navigating the post GDPR world of sales! Remember: it is a very solid step towards reducing the exploitation of private data and to genuinely connect with your customers. If you are a small or middle-sized business confused about what GDPR compliance means for you, get in touch with us here: help me

Embrace the change and comply!

5 grundlegende Gebote der DSGVO und was sie für das E-Mail Marketing bedeuten

Die DSGVO ist in aller Munde, denn am 25. Mai dieses Jahres wird Sie alleinig rechtskräftig. In diesem Zusammenhang kommen auf Unternehmen einige Anforderungen in Sachen Datenschutz zu. In diesem Beitrag erklärt Ihnen Sarah Weingarten von Newsletter2Go 5 maßgebliche Gebote, welche im Datenschutz gelten und wie Sie diese bei Ihrem E-Mail Marketing am besten beachten. – Der folgende Beitrag dient nur zu Informationszwecken und ist ausdrücklich nicht als rechtliche Beratung zu verstehen.


Gebot 1: Das Verbot mit Erlaubnisvorbehalt


Das Verbot mit Erlaubnisvorbehalt bezieht sich auf die Einwilligung einer Verarbeitung personenbezogener Daten. Jede Verarbeitung, der nicht von der betroffenen Person zugestimmt wurde, bedarf einer gesetzlichen Erlaubnis. Daten dürfen ohne Erlaubnistatbestand nicht verarbeitet werden. Für den Newsletter-Versand als solchen gibt es keine gesetzliche Regelung. Das bedeutet, dass die Einwilligung von jedem Empfänger gesondert und vor allem vorab eingeholt werden muss.


Gebot 2: Die Datensparsamkeit


Eine Datenverarbeitung muss generell dem Zweck angemessen sein. Das bedeutet, dass sie sachlich relevant sein muss und sich auf das notwendige Maß beschränkt. Ein gutes Beispiel ist hier das Anmeldeformular für einen Newsletter. Es darf nur ein Pflichtfeld enthalten: die E-Mail-Adresse. Sie ist ausreichend, um Newsletter an individuelle Empfänger zu versenden. Zusätzlich können natürlich noch Name und Geburtsdatum abgefragt werden. Diese Informationen dürfen jedoch nicht verpflichtend für den Betroffenen sein, um die Anmeldung zum Newsletter wirksam werden zu lassen.


Gebot 3: Die Zweckbindung


Werden personenbezogene Daten verarbeitet, so darf dies nur zu dem Zweck geschehen, für den sie erhoben wurden. Dies bedeutet, dass bei der Datenerhebung konkret mitgeteilt werden muss, für welchen Zweck die Daten verwendet werden. So bedeutet dies zum Beispiel, dass die erhobene Adresse bei einer Bestellung lediglich zu diesem Zweck verwendet werden darf. Möchten Sie Newsletter an diese Adressen versenden, müssen Sie sich eine Einwilligung einholen.

Für E-Mail Marketing bedeutet dies, dass im Anmeldeformular für den Newsletter konkret angegeben werden muss, für welchen Zweck die Daten verarbeitet werden. Hier kann beispielsweise genannt werden, dass dem Betroffenen Produktempfehlungen, Tipps oder Neuigkeiten zum Unternehmen zugestellt werden.



Gebot 4: Die Datensicherheit


Bei der Datenverarbeitung von personenbezogenen Daten ist es wichtig, entsprechende geeignete technische und organisatorische Maßnahmen zu treffen. So sollen die Daten vor Missbrauch geschützt werden. Solche Maßnahmen bedeuten, dass dafür zu sorgen ist, dass keine unberechtigte Person Zugriff auf die erhobenen Daten hat. Das kann beispielsweise durch Passwörter und Verschlüsselungen gewährleistet werden. Für das Newsletter Marketing bedeutet dies, dass Ihre Daten durch Ihren Software-Anbieter sensibel zu behandeln sind. Das bedeutet, dass sie Serverräume beispielsweise gesichert und die Rechenzentren hinreichend geschützt sind.


Gebot 5: Transparenz


Es ist Transparenz bezüglich der Datenverarbeitung zu gewährleisten. Dies bedeutet, dass Betroffene, also natürliche Personen, deren Daten verarbeitet werden, genau wissen sollen, dass und vor allem welche Daten in Bezug auf ihre Person erhoben wurden. Datenverarbeitende Personen und Unternehmen haben ein Verfahrensverzeichnis zu führen und die entsprechenden Löschfristen zu implementieren. Der Datenverarbeitende ist außerdem verpflichtet, das öffentliche Verfahrensverzeichnis auf Anfrage jederzeit bereitzustellen.



Und noch etwas: In Sachen Datenschutz und Datenerhebung gilt grundsätzlich, dass jedes Unternehmen für die Datenerhebungen vollumfänglich verantwortlich ist. Sollten Subunternehmen herangezogen werden, wie beispielsweise Servicedienstleister oder auch Softwares, mit denen die Daten verarbeitet werden, muss ein sogenannter Vertrag zur Auftragsverarbeitung abgeschlossen werden. Zwischen Newsletter2Go und seinen Kunden sind die Voraussetzungen an eine Auftragsverarbeitung gegeben, sodass stets ein solcher Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.


Mit der DGSVO sollten datenschutzrechtliche Vorgaben künftig gezielter und strenger umgesetzt werden. Das Datenschutzniveau in der EU soll einheitlich werden. Ziel der DSGVO ist es – besonders im Zuge der Digitalisierung der Gesellschaft – dem gläsernen Menschen vorzubeugen und personenbezogene Daten so sicher wie möglich zu behandeln. Wie Sie rechtssicher Newsletter-Abonnenten sammeln und welche Informationspflichten Sie als Unternehmen haben, können Sie in unserem Whitepaper zur DSGVO nachlesen.



Die Datenschutz-Grundverordnung Allgemeine Fragen

Allgemeine Fragen

Was genau ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung des Europäischen Parlaments, des Rats der Europäischen Union und der Europäischen Kommission. Sie soll den Datenschutz für alle Personen in der EU stärken und vereinheitlichen. Ein Thema der Verordnung ist auch der Transfer/Export von personenbezogenen Daten außerhalb der EU.

Wann tritt die DSGVO in Kraft?

Die DSGVO wurde im April 2016 mit einer Übergangsfrist von zwei Jahren genehmigt. Am 25. Mai 2018 tritt die Verordnung letztendlich in Kraft.

Wen soll diese Verordnung schützen?

Diese Regelung gilt für alle betroffenen Personen (innerhalb der EU). Sie konzentriert sich auf den Schutz personenbezogener Daten, sowie auf ein einfacheres regulatorisches Umfeld für Unternehmen. Es soll sichergestellt werden, dass die betroffene Person der rechtmäßige Eigentümer ihrer personenbezogenen Daten ist und die damit verbundenen Rechte jederzeit gewährleistet sind.

 Welche Unternehmen betrifft die Verordnung?

Jedes Unternehmen, das persönliche Daten sammelt, speichert und verarbeitet, sei es von seinen Kunden, Mitarbeitern oder Partnern. Eine einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Wird die DSGVO meine Firma betreffen? Muss ich sie einhalten?

Wenn Sie mindestens eine dieser Fragen mit JA beantworten, sollten Sie die DSGVO einhalten.

Sammelt Ihr Unternehmen Daten von seinen Kunden?

Sammelt Ihr Unternehmen Daten von seinen Mitarbeitern?

Verarbeitet Ihr Unternehmen digitale Zahlungen (Kreditkarten)?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per E-Mail?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per Post?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter telefonisch?

Versendet Ihr Unternehmen Produkte per Post an Kunden, Lieferanten oder Partner?


Wo gilt die DSGVO?

Der räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt. Darin heißt es, dass die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, soweit es die Verarbeitung von Daten von EU-Bürgern betrifft. Dabei spielt es keine Rolle, ob die Person kurz- oder langfristig in der EU ist. Der räumliche Anwendungsbereich kann nachträglich vertraglich nicht geändert werden. Es spielt auch keine Rolle, welche Art von Dienstleistungen oder Produkten Unternehmen oder Organisationen anbieten. Entscheidend ist nur, ob personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden.

Für wen gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt für Personen und Einrichtungen jeder Größe, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, unabhängig davon, wo sich der Auftragsverarbeiter befindet. Diese Regeln gelten auch für Auftragsverarbeiter, einschließlich Dritter wie Cloud-Anbieter. Erneut die einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Macht die DSGVO einen Unterschied zwischen B2B und B2C?

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sie gilt gleichermaßen für beide. Hintergrund ist, dass die Datenschutz-Grundverordnung für den Schutz von Einzelpersonen und nicht von juristischen Personen gilt.

Spezifische Fragen – Behörden

Wie wird die Verordnung durchgesetzt?

Nach dem 25. Mai 2018 können Organisationen, die gegen die DSGVO verstoßen, auditiert werden und Sanktionen erleiden. Audits können nach dem Zufallsprinzip oder aufgrund von Beschwerden erfolgen. Dies kann für verschiedene Länder der Europäischen Union etwas variieren.

Wer ist meine Datenschutzbehörde?

Jede Europäische Union und das EFTA-Mitglied benennt eine nationale Organisation / Kommission / Agentur / Büro / Behörde, die für die Durchsetzung der DSGVO innerhalb der Grenzen jedes Landes zuständig ist. Diese Behörde stellt Informationen und Unterstützung bereit, prüft Unternehmen und verhängt Sanktionen. Hier finden Sie die Liste aller Websites für jede nationale Behörde in der EU:

Tschechisch: Republik
Vereinigtes Königreich:


Bei Verstoß gegen die DSGVO ist die Behörde zuständig, in dem das betroffene Unternehmen physisch oder rechtlich ansässig ist. ACHTUNG: Dies gilt unabhängig davon, wo die Verletzung der Privatsphäre aufgetreten ist.


Spezifische Fragen – Betroffene Person

Welche Rechte gibt die DSGVO EU-Bürgern?

Die mächtigste Möglichkeit für Unternehmen Zugriff und Kontrolle über Daten erlangen können, ist zunächst die Zustimmung des Betroffenen. Der Betroffene dieser Daten hat dann drei Hauptrechte:

Zugangsrecht: Jeder EU-Bürger hat auf Anfrage das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen besitzt und / oder verarbeitet.

Recht auf Löschung: Jeder EU-Bürger hat das Recht, die Löschung aller Daten zu verlangen, die das Unternehmen von einem erhalten und / oder verarbeitet hat.

Recht auf Datenübertragbarkeit: Wenn eine betroffene Person zu einem neuen Dienstleister wechseln möchte, kann sie verlangen, dass alle ihre persönlichen Daten in einem maschinenlesbaren Standardformat an den neuen Dienstleister übertragen werden.

Was ist die Zustimmung zur Datenverarbeitung?

Bei der Datenerhebung muss das Unternehmen den Zweck klarstellen. Alle Aktivitäten, die mit diesen Daten durchgeführt werden, müssen in den Bedingungen der Einwilligung beschrieben werden, die von der betroffenen Person als Rechtsgrundlage für die Verarbeitung akzeptiert werden müssen.

Die Zustimmung muss ausdrücklich für die erhobenen Daten und die Zwecke erfolgen, für die die Daten verwendet werden (Artikel 7; definiert in Artikel 4). Die Zustimmung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt werden und nachweisbar sein.

Muss die Zustimmung nachgewiesen werden?

Die für die Datenverarbeitung Verantwortlichen müssen in der Lage sein, eine Einwilligung (Opt-in) nachweisen zu können. Die Einwilligung kann zurückgezogen werden, wenn die betroffene Person darum bittet.

Brauche ich immer eine Zustimmung?

Kurz gesagt, nein bzw. nicht immer. Die Zustimmung ist eine rechtmäßige Grundlage für die Verarbeitung von Daten. Es gibt darüber hinaus fünf weitere Möglichkeiten, das Recht an der Verarbeitung von Daten zu erlangen. Die Zustimmung wird nicht immer die einfachste oder am besten geeignete sein.

Sie sollten immer die gesetzliche Grundlage wählen, die am besten geeignet ist und welche Sie ohne überproportionalen Aufwand bekommen können. Wenn die Zustimmung schwierig ist, liegt dies oft daran, dass eine andere gesetzliche Grundlage angemessener ist. Daher sollten Sie die Alternativen in Betracht ziehen.

Es liegt in Ihrer Verantwortung, eine rechtmäßige Grundlage für die Verarbeitung im Rahmen der DSGVO zu ermitteln.


Spezifische Fragen – Maßnahmen

Welche schnellen Maßnahmen sollte mein Unternehmen ergreifen?

Suchen Sie zunächst nach professionellen Ratschlägen. Es muss kein Anwalt sein, es gibt viele andere Fachleute, die auf die DSGVO spezialisiert sind, die Ihnen bei der Einhaltung helfen können. Darüber hinaus helfen Ihnen Online-Lösungen für die Einhaltung der DSGVO wie Ecomply bei der Anleitung und können die Arbeit für Sie sehr vereinfachen.

Was sind die Aufzeichnungen der Verarbeitungstätigkeiten?

Für die Einhaltung der DSGVO ist eine der Hauptanforderungen, dass jedes Unternehmen eine detaillierte Beschreibung aller Aktivitäten protokollieren muss, bei denen personenbezogene Daten verarbeitet werden. Diese Beschreibungen werden als “Datensätze” bezeichnet und bieten einen Überblick über alle Datenverarbeitungstätigkeiten in Ihrer Organisation. Es ermöglicht dem Unternehmen zu verstehen, welche Art von Datenkategorien von wem und für welche Zwecke verarbeitet werden.

Was ist ein Datenschutzbeauftragter (DPO)?

Der Datenschutzbeauftragte ist der Verantwortliche für die Datenschutzaktivitäten und -maßnahmen innerhalb des Unternehmens. Er / Sie hat die Rolle des Sicherheitsleiters inne und ist für die Überwachung der Datenschutzstrategie und -umsetzung verantwortlich, um die Einhaltung der DSGVO-Anforderungen sicherzustellen.

Was ist ein virtueller DPO?

Es handelt sich um einen externen Datenschutzbeauftragten, der einem Unternehmen Online-Hilfe bereitstellt. Es kann auch eine Gruppe von Personen mit verschiedenen Spezialitäten als DPO-Einheit dienen. Bei zweitem Ansatz sollte eine bestimmte Person als Leiter der DPO-Funktion benannt werden.

Was ist eine Datenverarbeitungsvereinbarung? Wann ist es nötig?

Wenn die Verarbeitungstätigkeiten ausgelagert werden – was bedeutet, dass sie von einem anderen Unternehmen durchgeführt werden – muss ein Vertrag zwischen den Parteien geschlossen werden. Dieser Vertrag ist der so genannte Auftragsverarbeitungsvertrag. Die Vereinbarung muss den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der zu verarbeitenden personenbezogenen Daten, die Kategorien der betroffenen Personen, sowie die Pflichten und Rechte für die Verantwortlichen der Datenverarbeitung festlegen.

Was bedeutet “Privacy by Design”?

“Secure by Design” bedeutet, dass der Datenschutz während der Entwicklung der Software, des Produkts oder des Prozesses beachtet und integriert wird. Die Verarbeitung der Daten soll verständlich sein und das Produkt, die Software oder der Prozess über Werkzeuge verfügen, die den betroffenen Personen das Recht auf Zugang, Löschung und Übertragbarkeit gewähren.

Wie wird das CCTV-Sicherheitssystem von der DSGVO beeinflusst?

Aufnahmen von Überwachungsvideos unterliegen der DSGVO, da sie zur Nachverfolgung und Identifizierung von Personen verwendet werden können. Es ist wichtig, einen klaren Zweck für diese Angelegenheit vorzulegen, ebenso wie die Zustimmung der Personen, die aufgezeichnet werden.

Wie wird der E-Mail-Posteingang des Mitarbeiters beeinflusst?

Jeder E-Mail-Account eines jeden Mitarbeiters ist privat und enthält personenbezogene Daten. Damit die Firma vorsätzlich darauf zugreifen kann, muss der Mitarbeiter dazu ausdrücklich zustimmen. Wenn ein Mitarbeiter das Unternehmen verlässt, kann das Unternehmen eingehende Nachrichten entweder an eine von diesem Benutzer bestimmte Adresse weiterleiten oder um Erlaubnis (Zustimmung) bitten, auf diese neuen Nachrichten zugreifen zu dürfen.

Spezifische Fragen – Klassifikationen

Was ist der Unterschied zwischen persönlichen und sensiblen Daten?

Personenbezogene Daten werden auf Informationen bezogen, die sich auf die betroffene Person beziehen und die dazu genutzt werden können, ihre Identität direkt oder indirekt zu bestimmen.

Sensible Daten beziehen sich auf die Informationen in Bezug auf die Grundrechte, die Intimität und den freien Willen der betroffenen Person. Beispiele hierfür sind Krankenakten, religiöse Überzeugungen, politische Meinungen, biometrische Daten oder genetische Daten.

Spezifische Fragen – Strafen

Was sind die Strafen?

Gemäß Artikel 83 Absatz 5 DSGVO kann die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung bis zu 20 Mio. EUR oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Nach Art. B. kann ein Unternehmen mit 2% verurteilt werden, wenn es seine Aufzeichnungen nicht in der richtigen Reihenfolge führt (Artikel 28).


Spezifische Frage – Deutschland

Wer ist der “Verantwortliche” und welche Aufgaben hat er / sie?

Ein für die Verarbeitung Verantwortlicher ist eine “natürliche oder juristische Person, Agentur, Institution oder andere Einrichtung”, die personenbezogene Daten für ihre eigenen Zwecke verarbeitet. Er entscheidet “über die Zwecke und Mittel der personenbezogenen Datenverarbeitung” (Artikel 4 (7) DS-BER).
Die Entscheidung über die Zwecke und die Schutzmaßnahmen muss jedoch im Rahmen der Bestimmungen der DSGVO erfolgen. Die Schutzmaßnahmen für die personenbezogenen Daten müssen entsprechend den Schutzbedürfnissen ausgewählt werden. Der Verantwortliche muss die Rechtmäßigkeit und Zweckmäßigkeit der Datenverarbeitung, sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden, sicherstellen. Er muss auch die Einhaltung der DSGVO nachweisen können.

Was bedeutet “Prozessor”?

Ein Prozessor oder auch Verarbeiter ist eine “natürliche oder juristische Person, Behörde, Stelle oder Organisation, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet” (Artikel 4 Absatz 8 DS-GMO). Der Prozessor verarbeitet die personenbezogenen Daten nur im Rahmen von Anweisungen der verantwortlichen Person. Er ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Daten.

Im Vergleich zu den vorherigen Regelungen, was sind die wichtigsten Änderungen?

Der Anwendungsbereich der Verordnung wird auf alle Verarbeitungen ausgeweitet, die sich
an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten.

Es gibt einige neue Begriffsdefinitionen (Artikel 4):
– Umfassender Verarbeitungsbegriff (Art. 4 Nr. 2) – Aufhebung der Dreiteilung
(Erhebung, Verarbeitung, Übermittlung)
– Auftragsverarbeiter (Art. 4 Nr. 8) – keine Beschränkung mehr auf Auftragsverarbeitung im EWR
– Profiling (Art. 4 Nr. 4)
– Einwilligung (Art. 4 Nr. 11)
– Besondere Arten von Daten: So gibt es z. B. unter der DSGVO neue Definitionen für
»biometrische Daten« und »genetische Daten« (Art. 4 Nr. 12, 13). Unternehmen, die z. B.
mit Verfahren wie Gesichtserkennung und Fingerabdruck arbeiten. Sie sollten nicht nur die
neuen Definition, sondern auch die damit verbundenen Vorschriften prüfen.

Die Verarbeitung zu anderen Zwecken als den ursprünglichen Erhebungszwecken ist anders
geregelt als im BDSG – Weiterverarbeitung nur bei kompatiblen Zwecken zulässig (war auch
in der Richtlinie schon so, aber im BDSG anders umgesetzt).

Die Anforderungen an die freiwillige Einwilligung wurden graduell erhöht.

Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt.

Das Kopplungsverbot wurde verschärft.

Die Informations- und Auskunftspflichten wurden um weitere Angaben erweitert.

Es gibt eine neue Portabilitätsverpflichtung für Daten: diese muss in gängigem Format wieder zur Verfügung gestellt werden und ggf. auf Wunsch sogar direkt an Dritte übermittelt werden.

Die Löschpflicht wird erweitert (Hinweispflicht bei Weitergabe von Daten an Dritte).

Das Widerspruchsrecht wird erweitert.

Die »Joint Controllership«, bei der zwei verantwortliche Stellen gemeinsam Daten mit
jeweils vertraglich festgelegten Verantwortlichkeiten verarbeiten, war im BDSG ebenfalls
nicht enthalten (jedoch schon in der EU-Richtlinie enthalten).

Die Pflichten im Auftragsverhältnis haben sich teilweise geändert. Der Auftragsverarbeiter
wird für seinen Verantwortungsbereich stärker in die Pflicht genommen. Er hat eigene Dokumentationspflichten und haftet bei Datenpannen unter Umständen auch direkt gegenüber
den Betroffenen.

Die Verordnung hat in Bezug auf die technisch-organisatorischen Maßnahmen einen stärker
risikobasierten Ansatz, der eine Dokumentation der Risikoeinschätzung nötig macht.

Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-
Folgenabschätzung vorgeschrieben. Dafür entfällt die Pflicht zur Meldung der Verfahren
bei der Aufsichtsbehörde (Vorabkontrolle gem. §4d Abs. 5 BDSG).

Ausweitung der Meldepflicht bei Datenpannen an eine Aufsichtsbehörde auf jeden Vorfall,
der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt. Der Vorfall muss binnen 72 h gemeldet werden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt.

Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem
Hauptsitz bzw. der Niederlassung.

Die möglichen Geldbußen für Verstöße wurden drastisch erhöht – auf bis zu 4% des
weltweiten Umsatzes pro Verstoß.

Was ist zum größten Teil gleich geblieben?

Bereits bestehende Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Transparenz bleiben erhalten. Ab 2018 wird die Datenverarbeitung weiterhin eine Rechtsgrundlage haben, z.B. sind “Vertragserfüllung” oder “Zustimmung der betroffenen Person” erforderlich. Die wesentlichen Rechtsgrundlagen für die Datenverarbeitung bleiben: eine heute zulässige Datenverarbeitung wird ebenfalls ab 2018 erwartet.


Gilt die DSGVO nur für die neu erworbenen Daten und Anwendungen?

Nein, die neue Verordnung betrifft alle bestehenden und neuen Daten. Das bedeutet, dass die DSGVO auch Daten betrifft, die im Voraus gespeichert wurden. Die Einhaltung der Vorschriften muss daher für alle – sowohl alte als auch neue – Verarbeitungen überprüft werden. Die folgenden Probleme sollten zum Beispiel berücksichtigt werden:

– Entspricht die bestehende Dokumentation der Datenverarbeitungsprozesse den neuen Datenschutzanforderungen?

– Werden die erweiterten Informationspflichten innerhalb der bestehenden Datenschutzrichtlinie erfüllt?

– Sind die formellen Voraussetzungen für die Einwilligung erfüllt?

– Berücksichtigt der bestehende Risikomanagementprozess die Anforderungen zur Ermittlung geeigneter technisch-organisatorischer Schutzmaßnahmen?

Brauche ich noch einen Datenschutzbeauftragten?

Nach heutigem Stand wird ein Datenschutzbeauftragter in Deutschland weiterhin benötigt, wenn mindestens zehn Personen im Unternehmen mit der automatisierten Datenverarbeitung beschäftigt sind.

Wer ist für die Einhaltung der DSGVO im Unternehmen verantwortlich?

Auch wenn ein Datenschutzbeauftragter bestellt wird, liegt die Verantwortung für die Einhaltung der DSGVO ausschließlich beim Verantwortlichen / beim Unternehmen. Der Datenschutzbeauftragte (DPO) berät und unterstützt nur bei der Umsetzung.

Wie hält man sich an die Datenschutzgrundverordnung (DSGVO)? Einblicke von Mailjet's Datenschutzbeauftragter Darine Fayed

Mailjet ist eines der wenigen Unternehmen, das nach dem DSGVO-Standard arbeitet und das die damit verbundenen Regulierungen einhält. Letzte Woche habe ich mich mit Darine Fayed, Head of Legal und Data Protection Officer (DPO) von Mailjet, getroffen, um zu verstehen und zu erfahren, wie ihr Weg zur DSGVO-Konformität ausgesehen hat und inwiefern SaaS-Unternehmen mit der DSGVO konform sind. Darine gab uns Einblicke in einige Verfahren von Mailjet, mithilfe derer sie nach dem DSGVO-Standard arbeiten.

In diesem Interview erklärte Darine uns, dass Compliance nicht nur Gesetze und Vorschriften betrifft, sondern auch eine verbesserte Kundenerfahrung schafft. Darine sprach ausführlich über die Aufzeichnung der Verarbeitungstätigkeiten, deren Vorteile für den Rest des Unternehmens und die Ressourcen, die vor dem offiziellen Stichtag eingehalten werden müssen.

Wie haben Sie mit Ihren Aufzeichnungen für ein Verzeichnis von Verarbeitungstätigkeiten (Records of Processing Activities, RPA) begonnen?

Wir haben mit einer Compliance-Roadmap begonnen, in der wir alle Pflichtaufgaben aufzählten, die wir vor unserer Deadline im Dezember 2017 erledigen mussten, um unseren Kunden vor dem offiziellen Stichtag die Einhaltung der DSGVO-Vorschriften anbieten zu können.

Eine der Pflichtaufgaben auf unserer Liste bestand darin, eine Aufzeichnung der Verarbeitungtätigkeiten, siehe Art. 30, zu führen. Dieser Artikel beinhaltet grundsätzlich, dass wir als Organisation den Überblick über alle Daten, die wir sammeln, aufbewahren und verarbeiten haben müssen und dass wir die verantwortliche Partei für diese Daten identifizieren, auch um sicherzustellen, dass die Aufbewahrungsfrist eingehalten wird.

Es war ein Identifikationsprozess für uns – um uns einen globalen Überblick über die von uns gespeicherten Daten zu verschaffen und den Datenfluss richtig zu verwalten. Unser gesamtes Verarbeitungsverzeichnis war einer unserer Roadmap-Schritte zur Einhaltung der Datenschutzrichtlinien.

Einige Unternehmen sind der Meinung, dass sie die RPA (Records of Processing Activities) nicht durchführen müssen. Wie haben Sie das für Mailjet als Verpflichtung identifiziert?

In unserem Fall bedienen wir mehr als 100.000 Kunden in Mailjet und verarbeiten eine große Menge von persönlichen Daten unserer Kunden, die alles enthalten, was sie in unsere Plattform eingeben, wie z.B. die Kontaktliste, die ihre E-Mail-Adresse enthält, sowie andere spezifische Informationen wie das Geschlecht oder eine andere persönliche Kennung dieser bestimmten Person. Daraus haben wir erkannt, dass wir uns in großem Umfang mit dieser Art von Daten beschäftigen.

Und ich weiß, dass es eine Ausnahme im Sinne der Datenschutz-Grundverordnung für kleine und mittlere Unternehmen gibt – dass jedes Unternehmen, das weniger als 250 Beschäftigte hat und einen Umsatz von weniger als einem bestimmten Euro-Betrag hat, von der Steuer befreit sein kann. Aber für uns geht es nicht nur um die Einhaltung der DSGVO, sondern es gibt auch andere Vorteile, die hinter den Aufzeichnungen der Verarbeitungstätigkeiten stehen. Es ist wichtig für die gesamte globale Sicht unseres Unternehmens,  für grundlegende Geschäftsverfahren und eine gute Organisation.

Es ist auch sehr wichtig für Unternehmen ein umfassendes Verständnis dafür zu haben, welche Daten gesammelt werden. Dies  hilft, die anderen Verpflichtungen zu identifizieren und einzuhalten, die Unternehmen im Rahmen der Datenverarbeitungsregeln haben.

(Erfahren Sie mehr über die Ausnahmen für Kleinst- und Kleinunternehmen in diesen Richtlinien.)

Wenn aus Ihrer Sicht eine kleine Firma, sagen wir zehn Mitarbeiter, sehr oft personenbezogene Daten verarbeitet, denken Sie, dass sie der DSGVO entsprechen müssen?

Ja, wenn es in großem Maßstab ist. Die Leitlinien der Arbeitsgruppe haben uns einige Hinweise gegeben, was die Verarbeitung im großen Maßstab bedeutet, und sie ist nicht sehr groß in Bezug auf die Menge, sondern basiert auf Ihrer Aktivität und dem Anteil an der Verarbeitung dieser Daten.

Das Beispiel der Arbeitsgruppe beschreibt diese Situation sehr gut. Betrachten Sie ein Krankenhaus, wo sie Patienten aufnehmen und behandeln. Das hat mit der Datenverarbeitung an sich nichts zu tun, ein Krankenhaus ist kein Technologieunternehmen. In einem Krankenhaus kommen Patienten jeden Tag an, um von Ärzten behandelt zu werden, und wenn sie ankommen, gehen oder während eines anderen Prozesses, zeichnet das Krankenhaus die Informationen des Patienten, wie Name und Gesundheitsinformationen auf. Obwohl das Hauptgeschäft in der Behandlung von Patienten besteht, sammelt und verarbeitet das Krankenhaus s sensible Daten dieser  Patientenit . Da sie jedoch eine große Datenmenge  verarbeiten, müssen sie eine Aufzeichnung der Verarbeitungsaktivität führen.

Es basiert nicht nur auf der Aktivität, sondern auch darauf, ob Sie Ihre Datenverarbeitungstätigkeiten analysieren müssen.

Die Verarbeitung von Daten ist für uns bei Mailjet das Herzstück oder der Kern unserer Aktivitäten. Wir drehen personenbezogene Daten um, wir stellen Statistiken aus. Auf der Basis unserer Software als Servicetechnologie, betrachten wir das als einen großen Aspekt für uns und müssen dies auf einem hohen Sicherheitsniveau für unsere Kunden halten.

Wie viele Verarbeitungstätigkeiten gibt es für Mailjet als Softwareanbieter?

Es gibt keine genaue Zahl, aber wir schätzen, dass es unter hundert Aktivitäten in drei verschiedenen Rollen sind.

Zunächst verarbeiten wir die Daten unserer Kunden. Diese Daten werden uns von unseren Kunden zur Verfügung gestellt, wenn sie Daten über sich selbst, ihre Firma und Kreditkartendaten angeben, um ihre Konten zu bearbeiten. Diese Daten werden basierend auf dem Vertrag zwischen Mailjet und unseren Kunden gesammelt.

Die zweite Rolle ist die Datenverarbeitung von Endempfängern, d. h. die betroffenen Personen. In Mailjet versenden wir im Auftrag unserer Kunden täglich eine große Menge an E-Mails. Diese E-Mails werden von den betroffenen Personen empfangen, da unsere Kunden E-Mail-Adressen eingegeben haben. Es besteht kein Vertrag zwischen uns und dem Endnutzer, sondern wir verarbeiten ihre Daten im Auftrag unserer eigenen Kunden. In diesem Fall müssen wir immer noch die Rechte der betroffenen Personen oder Endbenutzer respektieren.

Und schließlich ist unsere dritte Rolle die Datenverarbeitung für eigene Mitarbeiter und Auftragnehmer. Als Unternehmen behandeln und verarbeiten wir HR-bezogene Daten über unsere internen Prozesse und Mitarbeiter. Dies bezieht sich auf die Gehaltsabrechnungen und andere Aktivitäten in Bezug auf unsere Mitarbeiter.

Wie lange dauerte der gesamte Prozess der RPA?

Für uns war dies ein sehr langer Prozess, der mehrere Monate und viel Mühe in Anspruch nahm. Wir beauftragten einen Manager, der verschiedene Personen in verschiedenen Abteilungen befragte, um die Daten, die wir bei Mailjet sammeln, besser zu verstehen. Im Grunde betrachtete er die Datenbanken, um die verschiedenen Arten der vorhandenen Daten herauszufinden. Er identifizierte die untergliederten Datenbanken und was in jeder von ihnen gespeichert ist, all das kostet Zeit und Mühe.

Hat die RPA Mailjet als Unternehmen irgendwie geholfen? Hinsichtlich der Vorteile haben Sie bereits über gute Geschäftsverfahren gesprochen. Aber hat euch das überhaupt geholfen?

Es hat uns bei unseren anderen Aufgaben geholfen, die Daten, die wir haben, besser zu verstehen. Darüber hinaus hat es uns geholfen, bessere Geschäftsentscheidungen in Bezug auf die Vorratsdatenspeicherung zu treffen und zu entscheiden, welche Daten wirklich notwendig sind, um unseren Service bereitzustellen.

Was ist entscheidend für diesen RPA-Prozess, bevor Sie mit dem gesamten Prozess beginnen?

Die entscheidenden Ressourcen sind Zeit, Personal und Befugnisse für den Zugriff auf die Daten. Unternehmen, die diesen Prozess erst nah am Haupttermin beginnen, haben möglicherweise nicht genug Zeit, um dies zu tun, da dies normalerweise viel Zeit und Ressourcen in Anspruch nimmt.

Für uns bei Mailjet können wir niemanden vom IT-Team fragen. Die brauchen die richtige Person, die Zugriff auf die Datenbanken hat. Es gibt nur bestimmte Personen mit Zugriff auf die Daten in Mailjet.

(So schlägt Ihnen Mailjet vor, sich für den Start bereit zu machen!)

Und wie viele Abteilungen und Personen waren an diesem ganzen Prozess beteiligt?

Die Einhaltung der DSGVO betrifft die gesamte Organisation. Es handelt sich nicht nur um die Rechtsabteilung oder die IT-Abteilung. Es ist ein kollaborativer Prozess, der verschiedene Rollen beinhaltet. Sie brauchen ein oder zwei Leute, die das Projekt anführen. Für uns war das die Rechtsabteilung, die sich um die Organisation der Roadmap und dann um die Datenregistrierung kümmerte und letztendlich identifizierte, welche Informationen enthalten sein mussten.

Stark involviert war auch die IT-Abteilung, die bei Mailjet in ein Entwicklungsteam und ein operatives Team aufgeteilt ist und vom CTO Pierre Puchois geleitet wird. Das operative Team war für die Implementierung und Modifikation verschiedener IT-Prozesse verantwortlich.

Haben Sie die Möglichkeit, mit den Marketing- und Verkaufsabteilungen zu sprechen, da es ja auch Prozesse gibt, die diese Abteilungen betreffen?

Ja! Jeder muss mitmachen, um Mailjet zur Einhaltung der DSGVO zu bringen. Unser Compliance-Manager hat sich mit allen anderen Managern, einschließlich Vertrieb und HR, zusammengesetzt, um alle benötigten Informationen zu erhalten und die Kommunikation und Prozesse intern zu überarbeiten.

In der Regel stellt sich die Frage, ob die Aufzeichnungen der Verarbeitungstätigkeiten regelmäßig aktualisiert werden sollen. Wie oft wird die Mailjet-Registrierungsdatenbank für Verarbeitungstätigkeiten aktualisiert?

​​Anstelle von festen Fristen haben wir Meilensteine, um sie zu aktualisieren. Zu Beginn, als wir die Dokumentation während der Erstellung der Datei starteten, haben wir regelmäßig alle zwei Wochen aktualisiert.

Jetzt, da die Datei vollständig ist, wird sie mindestens alle sechs bis acht Monate aktualisiert. Wennn ein neues Produkt oder eine Funktion mit neuen Spezifikationen entwickelt wurde, wird gegebenfalls auch das RPA aktualisiert, sobald das Team die Genehmigung von der Datenschutzseite erhält.

Haben Sie eine Software zur Verwaltung dieser RPA verwendet?

Nein. Es wurden keine externen Tools verwendet.

Die IT-Abteilung verfügte über eigene IT-Tools, die  intern entwickelt wurden und gewartet werden. Sie führten eine Suche in den Datenbanken durch, um alle Arten von gespeicherten Daten (persönliche und nicht personenbezogene Daten) zu finden.

Wenn Sie die Möglichkeit hätten, dies per Software zu tun, hätten Sie sich dafür entschieden, weil es Ihnen in irgendeiner Weise hätte nützen können?

Ja! Je mehr Ressourcen desto besser, besonders wenn die Zeit begrenzt ist. Und ich denke, wenn wir weniger Zeit bei Mailjet hätten, hätten wir vielleicht eine Software verwenden können.

Wenn Sie eine Software hätten, was wäre die erste Software gewesen, die Sie für die verschiedenen Aspekte in den Aufgaben verwendet hätten? Hätten Sie mit etwas Bestimmten angefangen, wenn es beispielsweise eine Einwilligungssoftware, RPA oder ein Audit-Tool gäbe? Welche Software wäre das und in welcher Richtung der DSGVO?

Ich habe mehrere Konferenzen zu diesem Thema besucht und ich habe verschiedene Softwares gesehen. Für Personen, die ganz am Anfang stehen und nicht wissen wo sie anfangen sollen, könnte eine Management-Software der richtige Weg sein. Auch aus Sicht der Revision könnte es eine interessante Software sein, da manchmal eine externe Person oder Organisation benötigt wird, die analytische Hilfe leistet.

Ein Tipp für Unternehmen, die ihren DSGVO-Prozess jetzt starten?

Ein Tipp wäre, die richtigen Drittanbieter zu wählen. Weil es auch Ihre Verantwortung ist, konforme Drittanbieter zu haben. Sie könnten Probleme haben, wenn Sie die anderen Dienste, die Sie verwenden, nicht überprüfen oder verifizieren. Und Sie haben immer noch die Zeit bis Mai 2018, um auf konforme Anbieter umzusteigen.

(Erfahren Sie mehr darüber, wie Mailjet mit Drittanbietern handelt: hier)

Über Mailjet: Mailjet ist eine All-in-One-Lösung zum Senden, Verfolgen und Liefern von Marketing- und Transaktions-E-Mails. Die Cloud-basierte Infrastruktur ist einzigartig und hochskalierbar mit einer proprietären Technologie, die die Zustellbarkeit von E-Mails optimiert. Mailjet kann entweder über eine einfach zu bedienende Online-Drag-and-Drop-Schnittstelle oder über APIs aufgerufen werden, mit denen Entwickler ihre Funktionen in ihre Online-App oder ihren Online-Service oder ihr ausgeklügeltes SMTP-Relay integrieren können. Mailjet hat weltweit Niederlassungen (einschließlich Paris, London, Berlin, Toronto und New York) sowie 100.000 Kunden und Partnern in 150 Ländern.