Why combyne uses ECOMPLY.io?

Combyne, the mobile app, solves the age-old dilemma of picking the perfect outfit for different outings and events. Now you can simply create outfits using different clothing items from your favorite brands. You can also take a photo of any of your own clothing items and add them to your outfit.

So basically, you can dress on your phone saving you the hassle of actually trying on each outfit before you decide on the perfect one.

We caught up with Christian Dienst, the Chief Operating Officer at combyne to find out why they chose to trust ECOMPLY.io to manage their GDPR compliance.

What is GDPR according to you?

Christian: I believe it gives businesses and organizations the chance to outline their internal data structures and improve their systems accordingly. In the end, it is an international standard that companies need to adhere to in order to protect their customers and employees’ data and privacy.    

Why did you need to be GDPR compliant?

Christian: From day one of our GDPR journey to compliance, the most important factor for us has been to provide data protection to our users and employees. Even if we are not at all involved in large-scale processing, GDPR has given us the opportunity to organize ourselves and our internal system and also to improve our data management approach. We felt that by establishing a data-conscious environment, our user community and partners can only benefit more from our products.

Why did you choose ECOMPLY.io?

Christian: After we came up with a strategy on how to tackle our data processes, we thought that ECOMPLY’s integrated format could benefit us greatly. Given that we are still a small company (according to the GDPR guidelines), we were really happy to have found a simple, accessible platform that would allow every member of our team to understand and add information.

Who works with ECOMPLY.io? How does it fit into your own processes?

Christian: During the “mapping” stages, just a small part of the team was involved. We needed to figure out how to approach this and to select the processes that we knew for certain involved collection and use of personal information. Afterwards, we managed to bring in the whole team, and everyone’s input proved to be extremely helpful.

How did ECOMPLY.io add value to your GDPR journey?

Christian: For us, ECOMPLY has been an effective facilitator. By having access to a comprehensive list of processes, requirements, and explanations, we managed to save a lot of time and effort. After selecting the appropriate processes, we were able to add our own, internal activities. This helped us build a comprehensive database of processes, in a single format. Also, the ECOMPLY's team has always been open to answering questions when we couldn’t figure something out.  

What were the alternatives?

Christian: Obviously, the alternatives would have been organizing the departmental information, creating templates and using all sorts of documents. We would have been required to spend a lot of extra time on creating an accessible format and then to add our input. That would have significantly delayed our GDPR compliance journey!

Any final thoughts?

Christian: Ecomply offers a simple, step-by-step approach to comply with the GDPR at an attractive price and with great customer service.

Inspired by combyne’s journey to compliance? Get a free demo now!

Want to Dress on Your Phone? Download combyne

How long does GDPR Implementation take?

56 days left until GDPR enforcement and we hear a lot of companies wondering how long it takes to actually be compliant. This is the omnipresent question that you will find companies, executives and pretty much everyone else asking these days. So we decided to try and answer this question for you. We surveyed about 15 experts to help us answer this question.


The first thing to realize is that compliance is a step by step process and depends on a number of factors like the number of employees and processing activities among others. Here are some basic assumptions that we have made:

1): We are excluding big multinational firms from this survey since they have complex structures and estimating the time for them would require extensive research into these structures.

2): The parameters around the size of the company that we have set for this blog is a small or medium-sized company with 50 to 250 employees in total.

3) We exclude financial, health, recruitment and market research companies since they are more complicated.

However, the experts whom we surveyed were able to tell us from the get-go that the amount of time needed to become GDPR compliant depends on a lot of different factors. Some of these are:

  • Commitment to compliance
  • Number and type of processes
  • Number of vendors
  • Type of data
  • Knowledge
  • Prior Processes
  • Number of employees

Moreover, what everyone needs to understand is that compliance is a step by step process that also requires long-term commitment and integration into the existing structures and processes of the company.

So take a deep breath…

And let’s break down this big term into some basic, simple steps:


Step 1: Pre-Assessment

So before you start going down the compliance path you need to take stock of what your current state of compliance with regards to the General Data Protection Regulation (GDPR) framework actually looks like. The pre-assessment depends heavily on the size of your company and the processes you have. The aim is usually to figure out the resource commitment that your company needs to actually comply.

Through our survey we found out that half of the experts whom we surveyed estimated that for a company between 50 and 250 employees, it would take on average 15 hours to complete a pre-assessment.

The important thing to remember here, is that setting the scope and ensuing commitment to your assessment as well as the extent of prior knowledge you have will play a determining role in how long pre-assessment will take.


Step 2: Creating Records of Processing Activities

Keeping Records of Processing Activities (RPA) is a stipulation of Article 30 of the GDPR explicitly requiring businesses to document their processing activities and recording the processing purposes, data sharing and retention. These records need to be made available upon the Information Commissioner’s Office (ICO). In short, every periodic step that the data is processed through has to be documented for the authorities. If you are confused about the RPA, you can check out this video and get this cleared out.

This is of course, highly dependent on what the company actually does and its pertaining activities. For instance, a headhunter has sensitive data that they have to document. This could include the candidates’ names, current position, company, data of birth and many others. Every step that this data goes through has to be documented so that if the Data Subject inquires about how their data is used, the headhunter is ready to answer that.


Opinions of the experts whom we surveyed were quite dispersed and estimated that it could take on average 40 hours.


Step 3: Evaluate the third parties

This is a critical step in being GDPR compliant and one that needs special attention since outsourcing and having several vendors is such an integral part of most businesses today. Vendor risk management (VRM) from a GDPR perspective is basically to make sure that all the services you use for your business do not violate your data protection regulations and create disruptions for you.

This, according to our experts, could take you on average 30 hours and depends again on the type of work your company does and the number of vendors you have.


Step 4: Data Protection Impact Assessment

Data Protection Impact Assessment refers to estimating the entire risk for the company and it pertaining operations. Essentially, it means that an external person helps the organization to identify, assess and minimize the risk of their processing activities. An overwhelming majority of the experts whom we surveyed were of the opinion that for an external consultant to do that for a client could take from 25 hours on average.


What happens after you become compliant?

If you thought it was a one-time thing, then you were…

Because being compliant is a process which changes as your company grows, evolves and modifies its operations. It’s important to think of it as an ever-present goal for your company.

Our experts estimate the number of hours per year that you would need to keep complying would take on average 75 hours. Moreover, some of them were also of the opinion that the company’s Data Protection Officer (DPO) should actually calculate the hours based on the Data Protection Impact Assessment.

To conduct an annual Data Protection Audit, our experts were once again very divided. The average response came to about 10 days a year.

We think that automating your compliance process will actually save you a lot of hassle and will replace the external consultants that you would otherwise have to hire (the cost of which could be on average about 150 euros per hour, according to our experts). So in short, we suggest to really estimate the time you need in your pre-assessment holistically taking into account all your activities.  

Key takeaways:

1) If someone is cheaper than 100 euros per hour: think if they really want to sell their services or actually want you to be compliant?

2) Automating compliance will definitely make this GDPR compliance 5x faster since it will reduce the need for prior knowledge that you need to collect and assess

3) Having a software will also make compliance easier to manage in the future since you will be able to track your progress and be able to see what still needs to be done

4) Overall the GDPR project takes more than 200 hours if you have done nothing at all

“Execution is key but endangered by overthinking.” (Lisa, Scalable Capital)

Book a Demo with us to learn more about how we can help you comply!

Some of the experts helped us to collect this data and wished to be mentioned here. If you want to connect with the experts, feel free to contact them on LinkedIn:

Christian Schmoll, g3s Rechtsanwälte

Jodi Daniels, Red Clover Advisors

Lisa Gradow, Scalable Capital

Mandy Webster of Data Protection Consulting Limited

Pimping Up Your Sales in a post GDPR World!

Most people think of the coming enforcement of The General Data Protection Regulation (GDPR) as apocalyptic for sales! While it is true that the GDPR will fundamentally change the way Sales work, contrary to popular belief, all it requires is an understanding of the implications of this law and finding out what’s possible and what’s not. And that’s where this blog comes in…


For me, sales used to be all about the automatic email marketing (Hallelujah automation) and to make my outbound emails perfect, personalized and pretty. The email would have one Call-To-Action (CTA) and move the leads in the funnel to the next steps such as demo, exploratory call or landing them to my specific page (a bit of narcissism never hurt nobody). Moreover, I was also a great cold caller. Like you know someone who could pass the gatekeeper and move to the hierarchy very easily. I used to love it. What else could be a better way of telling a customer that what they really need is my SaaS solution and should stop working manually! However, this is what we can’t do.

Assuming that we all know the basic tenets of GDPR, (in case you don’t, catch up here: https://www.eugdpr.org/) I have highlighted all the FAQs here. I’ll move forward to more practical steps. Obviously, DISCLAIMER: these are just my opinions and not legal advice in any manner. So, what is it that you cannot do as a salesman after May 2018?

  1. You cannot send a cold email! Basically, you just cannot send any kind of electronic message (SMS, MMS or email) to the customer who has not given consent to receive your email
  2. You are also prohibited from cold calling customers: even if you found their number on a public website or in their signature, you cannot cold call them! (Exception: Cold calling is not forbidden in the UK yet).
  3. You are also not allowed to put their details in your CRM system without their consent
  4. So, GDPR is all about CONSENT. But what does consent really mean here? (add more here). It means if you want to optimize your sales activities, you need to inform the customers exactly what you are doing and about the tools you will be using
  5. You cannot keep a prospective customer’s details in your CRM for an unlimited period of time so make a habit of periodic deletion:
  6. You cannot put the customer’s details in a sales automation tool and track their open rates, click rates or download rates without their consent
  7. You cannot scrape personal data via Facebook, LinkedIn, Quora, Product Hunt and send them targeted emails based on your scrapping
  8. Forget about buying third party lists…
  9. Or any other cheeky technology to find the email addresses and phone numbers of people
  10. Finally, you also cannot rely on the age-old opt-ins from your database!

This all sounds horrible – Right? As if the GDPR actually moves you away from doing proper business. Well, not exactly!

The GDPR was enforced to give consumers more control over their data and to enable them to exercise ‘privacy as a basic human right’. And this is a groundbreaking first step towards empowering our consumers.

So how should we carry out Sales then, you ask? Well, let me give you some practical advice.

Here are some of the ways I have adopted in sales:

LinkedIn is your friend:

  1. Use it heavily as a social selling tool!
  2. Moving a lead from LinkedIn: Once they accept your request, get their consent, inform them of the duration of retaining their data and what you will be doing with it. Put this in your CRM, and start selling!
  3. Use Inbound methods, let the leads come to you via your Inbound marketing channels such as Case Studies, Ebooks, Guides, blogs etc.
  4. You can still send LinkedIn Inmail via LinkedIn Sales Navigator


  1. Be great at event marketing. Research your prospect and personalize your message to them when you see them in an exhibition
  2. Attend targeted events where your customers are likely to be
  3. Use Meetup.com as a way to engage with the topic you specialize in
  4. Start building genuine relationships and network with people at these events
  5. Go to the events where your customers are exhibiting and try to talk to them. They’re open to listening to you and try to find a middle ground with them (of course, there’s the possibility that you might stumble upon a non-helpful sales person there but be reasonably persistent)

Thought Leadership:

  1. Organize topic related webinars: look out for pet peeves of your customers
  2. Use LinkedIn and Medium for sharing your opinion about their industry via blogging
  3. Use your company’s Inbound Strategies effectively to get a ‘double opt-in’ or a ‘Soft Opt-in’

Growth Hacking and Happy Customers:

  1. Obviously, you cannot reach customers in bulk messages, but you can still use referral tools, influencer marketing and other channels where customers still give you consent
  2. And the traditional word of mouth still works! Ask your happy customers to refer you to your next prospect. Ask your unhappy customers for feedback and forward it to your Dev Team. In fact, make an email for your customers to make them use as little effort as possible to provide you the referral and feedback.


  1. And of course, get ready to send mails via post! (the old school way). Under the GDPR, you can still personally send letters, postcards and mails to your prospective customers. I’d suggest to write it by hand and personalize it as far as possible for your customer. Who doesn’t like a beautifully, handwritten note?! (It is not scalable so refrain from spamming by mail)

Hope this helps you in navigating the post GDPR world of sales! Remember: it is a very solid step towards reducing the exploitation of private data and to genuinely connect with your customers. If you are a small or middle-sized business confused about what GDPR compliance means for you, get in touch with us here: help me

Embrace the change and comply!

5 grundlegende Gebote der DSGVO und was sie für das E-Mail Marketing bedeuten

Die DSGVO ist in aller Munde, denn am 25. Mai dieses Jahres wird Sie alleinig rechtskräftig. In diesem Zusammenhang kommen auf Unternehmen einige Anforderungen in Sachen Datenschutz zu. In diesem Beitrag erklärt Ihnen Sarah Weingarten von Newsletter2Go 5 maßgebliche Gebote, welche im Datenschutz gelten und wie Sie diese bei Ihrem E-Mail Marketing am besten beachten. – Der folgende Beitrag dient nur zu Informationszwecken und ist ausdrücklich nicht als rechtliche Beratung zu verstehen.


Gebot 1: Das Verbot mit Erlaubnisvorbehalt


Das Verbot mit Erlaubnisvorbehalt bezieht sich auf die Einwilligung einer Verarbeitung personenbezogener Daten. Jede Verarbeitung, der nicht von der betroffenen Person zugestimmt wurde, bedarf einer gesetzlichen Erlaubnis. Daten dürfen ohne Erlaubnistatbestand nicht verarbeitet werden. Für den Newsletter-Versand als solchen gibt es keine gesetzliche Regelung. Das bedeutet, dass die Einwilligung von jedem Empfänger gesondert und vor allem vorab eingeholt werden muss.


Gebot 2: Die Datensparsamkeit


Eine Datenverarbeitung muss generell dem Zweck angemessen sein. Das bedeutet, dass sie sachlich relevant sein muss und sich auf das notwendige Maß beschränkt. Ein gutes Beispiel ist hier das Anmeldeformular für einen Newsletter. Es darf nur ein Pflichtfeld enthalten: die E-Mail-Adresse. Sie ist ausreichend, um Newsletter an individuelle Empfänger zu versenden. Zusätzlich können natürlich noch Name und Geburtsdatum abgefragt werden. Diese Informationen dürfen jedoch nicht verpflichtend für den Betroffenen sein, um die Anmeldung zum Newsletter wirksam werden zu lassen.


Gebot 3: Die Zweckbindung


Werden personenbezogene Daten verarbeitet, so darf dies nur zu dem Zweck geschehen, für den sie erhoben wurden. Dies bedeutet, dass bei der Datenerhebung konkret mitgeteilt werden muss, für welchen Zweck die Daten verwendet werden. So bedeutet dies zum Beispiel, dass die erhobene Adresse bei einer Bestellung lediglich zu diesem Zweck verwendet werden darf. Möchten Sie Newsletter an diese Adressen versenden, müssen Sie sich eine Einwilligung einholen.

Für E-Mail Marketing bedeutet dies, dass im Anmeldeformular für den Newsletter konkret angegeben werden muss, für welchen Zweck die Daten verarbeitet werden. Hier kann beispielsweise genannt werden, dass dem Betroffenen Produktempfehlungen, Tipps oder Neuigkeiten zum Unternehmen zugestellt werden.



Gebot 4: Die Datensicherheit


Bei der Datenverarbeitung von personenbezogenen Daten ist es wichtig, entsprechende geeignete technische und organisatorische Maßnahmen zu treffen. So sollen die Daten vor Missbrauch geschützt werden. Solche Maßnahmen bedeuten, dass dafür zu sorgen ist, dass keine unberechtigte Person Zugriff auf die erhobenen Daten hat. Das kann beispielsweise durch Passwörter und Verschlüsselungen gewährleistet werden. Für das Newsletter Marketing bedeutet dies, dass Ihre Daten durch Ihren Software-Anbieter sensibel zu behandeln sind. Das bedeutet, dass sie Serverräume beispielsweise gesichert und die Rechenzentren hinreichend geschützt sind.


Gebot 5: Transparenz


Es ist Transparenz bezüglich der Datenverarbeitung zu gewährleisten. Dies bedeutet, dass Betroffene, also natürliche Personen, deren Daten verarbeitet werden, genau wissen sollen, dass und vor allem welche Daten in Bezug auf ihre Person erhoben wurden. Datenverarbeitende Personen und Unternehmen haben ein Verfahrensverzeichnis zu führen und die entsprechenden Löschfristen zu implementieren. Der Datenverarbeitende ist außerdem verpflichtet, das öffentliche Verfahrensverzeichnis auf Anfrage jederzeit bereitzustellen.



Und noch etwas: In Sachen Datenschutz und Datenerhebung gilt grundsätzlich, dass jedes Unternehmen für die Datenerhebungen vollumfänglich verantwortlich ist. Sollten Subunternehmen herangezogen werden, wie beispielsweise Servicedienstleister oder auch Softwares, mit denen die Daten verarbeitet werden, muss ein sogenannter Vertrag zur Auftragsverarbeitung abgeschlossen werden. Zwischen Newsletter2Go und seinen Kunden sind die Voraussetzungen an eine Auftragsverarbeitung gegeben, sodass stets ein solcher Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.


Mit der DGSVO sollten datenschutzrechtliche Vorgaben künftig gezielter und strenger umgesetzt werden. Das Datenschutzniveau in der EU soll einheitlich werden. Ziel der DSGVO ist es – besonders im Zuge der Digitalisierung der Gesellschaft – dem gläsernen Menschen vorzubeugen und personenbezogene Daten so sicher wie möglich zu behandeln. Wie Sie rechtssicher Newsletter-Abonnenten sammeln und welche Informationspflichten Sie als Unternehmen haben, können Sie in unserem Whitepaper zur DSGVO nachlesen.



Die Datenschutz-Grundverordnung Allgemeine Fragen

Allgemeine Fragen

Was genau ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung des Europäischen Parlaments, des Rats der Europäischen Union und der Europäischen Kommission. Sie soll den Datenschutz für alle Personen in der EU stärken und vereinheitlichen. Ein Thema der Verordnung ist auch der Transfer/Export von personenbezogenen Daten außerhalb der EU.

Wann tritt die DSGVO in Kraft?

Die DSGVO wurde im April 2016 mit einer Übergangsfrist von zwei Jahren genehmigt. Am 25. Mai 2018 tritt die Verordnung letztendlich in Kraft.

Wen soll diese Verordnung schützen?

Diese Regelung gilt für alle betroffenen Personen (innerhalb der EU). Sie konzentriert sich auf den Schutz personenbezogener Daten, sowie auf ein einfacheres regulatorisches Umfeld für Unternehmen. Es soll sichergestellt werden, dass die betroffene Person der rechtmäßige Eigentümer ihrer personenbezogenen Daten ist und die damit verbundenen Rechte jederzeit gewährleistet sind.

 Welche Unternehmen betrifft die Verordnung?

Jedes Unternehmen, das persönliche Daten sammelt, speichert und verarbeitet, sei es von seinen Kunden, Mitarbeitern oder Partnern. Eine einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Wird die DSGVO meine Firma betreffen? Muss ich sie einhalten?

Wenn Sie mindestens eine dieser Fragen mit JA beantworten, sollten Sie die DSGVO einhalten.

Sammelt Ihr Unternehmen Daten von seinen Kunden?

Sammelt Ihr Unternehmen Daten von seinen Mitarbeitern?

Verarbeitet Ihr Unternehmen digitale Zahlungen (Kreditkarten)?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per E-Mail?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per Post?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter telefonisch?

Versendet Ihr Unternehmen Produkte per Post an Kunden, Lieferanten oder Partner?


Wo gilt die DSGVO?

Der räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt. Darin heißt es, dass die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, soweit es die Verarbeitung von Daten von EU-Bürgern betrifft. Dabei spielt es keine Rolle, ob die Person kurz- oder langfristig in der EU ist. Der räumliche Anwendungsbereich kann nachträglich vertraglich nicht geändert werden. Es spielt auch keine Rolle, welche Art von Dienstleistungen oder Produkten Unternehmen oder Organisationen anbieten. Entscheidend ist nur, ob personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden.

Für wen gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt für Personen und Einrichtungen jeder Größe, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, unabhängig davon, wo sich der Auftragsverarbeiter befindet. Diese Regeln gelten auch für Auftragsverarbeiter, einschließlich Dritter wie Cloud-Anbieter. Erneut die einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Macht die DSGVO einen Unterschied zwischen B2B und B2C?

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sie gilt gleichermaßen für beide. Hintergrund ist, dass die Datenschutz-Grundverordnung für den Schutz von Einzelpersonen und nicht von juristischen Personen gilt.

Spezifische Fragen – Behörden

Wie wird die Verordnung durchgesetzt?

Nach dem 25. Mai 2018 können Organisationen, die gegen die DSGVO verstoßen, auditiert werden und Sanktionen erleiden. Audits können nach dem Zufallsprinzip oder aufgrund von Beschwerden erfolgen. Dies kann für verschiedene Länder der Europäischen Union etwas variieren.

Wer ist meine Datenschutzbehörde?

Jede Europäische Union und das EFTA-Mitglied benennt eine nationale Organisation / Kommission / Agentur / Büro / Behörde, die für die Durchsetzung der DSGVO innerhalb der Grenzen jedes Landes zuständig ist. Diese Behörde stellt Informationen und Unterstützung bereit, prüft Unternehmen und verhängt Sanktionen. Hier finden Sie die Liste aller Websites für jede nationale Behörde in der EU:

Andorra: https://www.apda.ad/
Österreich: https://www.dsb.gv.at/
Belgien: http://www.privacycommission.be/
Bulgarien: https://www.cpdp.bg/
Kroatien: http://azop.hr/
Zypern: http://www.dataprotection.gov.cy/
Tschechisch: Republik https://www.uoou.cz/
Dänemark: https://www.datatilsynet.dk/
Estland: http://www.aki.ee/en
Finnland: http://www.tietosuoja.fi/en/
Frankreich: https://www.cnil.fr/en/home
Deutschland: https://www.bfdi.bund.de/
Griechenland: http://www.dpa.gr/
Ungarn: https://naih.hu/
Island: https://www.personuvernd.is/
Irland: https://www.dataprotection.ie/
Italien: http://www.gpdp.it/
Lettland: http://www.dvi.gov.lv/en/
Liechtenstein: http://www.dss.llv.li/
Litauen: http://www.dvi.gov.lv/en/
Luxemburg: https://cnpd.public.lu/
Mazedonien: https://www.dzlp.mk/
Malta: https://idpc.org.mt/
Monaco: https://www.ccin.mc/
Niederlande: https://autoriteitpersoonsgegevens.nl/
Norwegen: https://www.datatilsynet.no/
Polen: http://www.giodo.gov.pl/
Portugal: https://www.cnpd.pt/
Rumänien: http://www.dataprotection.ro/
Russland: http://eng.rkn.gov.ru/
Serbien: https://www.poverenik.rs/sr/
Slowakei: https://dataprotection.gov.sk/
Slowenien: https://www.ip-rs.si/
Spanien: https://www.agpd.es/
Schweden: https://www.datainspektionen.se/
Schweiz: https://www.edoeb.admin.ch/
Vereinigtes Königreich: https://ico.org.uk/


Bei Verstoß gegen die DSGVO ist die Behörde zuständig, in dem das betroffene Unternehmen physisch oder rechtlich ansässig ist. ACHTUNG: Dies gilt unabhängig davon, wo die Verletzung der Privatsphäre aufgetreten ist.


Spezifische Fragen – Betroffene Person

Welche Rechte gibt die DSGVO EU-Bürgern?

Die mächtigste Möglichkeit für Unternehmen Zugriff und Kontrolle über Daten erlangen können, ist zunächst die Zustimmung des Betroffenen. Der Betroffene dieser Daten hat dann drei Hauptrechte:

Zugangsrecht: Jeder EU-Bürger hat auf Anfrage das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen besitzt und / oder verarbeitet.

Recht auf Löschung: Jeder EU-Bürger hat das Recht, die Löschung aller Daten zu verlangen, die das Unternehmen von einem erhalten und / oder verarbeitet hat.

Recht auf Datenübertragbarkeit: Wenn eine betroffene Person zu einem neuen Dienstleister wechseln möchte, kann sie verlangen, dass alle ihre persönlichen Daten in einem maschinenlesbaren Standardformat an den neuen Dienstleister übertragen werden.

Was ist die Zustimmung zur Datenverarbeitung?

Bei der Datenerhebung muss das Unternehmen den Zweck klarstellen. Alle Aktivitäten, die mit diesen Daten durchgeführt werden, müssen in den Bedingungen der Einwilligung beschrieben werden, die von der betroffenen Person als Rechtsgrundlage für die Verarbeitung akzeptiert werden müssen.

Die Zustimmung muss ausdrücklich für die erhobenen Daten und die Zwecke erfolgen, für die die Daten verwendet werden (Artikel 7; definiert in Artikel 4). Die Zustimmung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt werden und nachweisbar sein.

Muss die Zustimmung nachgewiesen werden?

Die für die Datenverarbeitung Verantwortlichen müssen in der Lage sein, eine Einwilligung (Opt-in) nachweisen zu können. Die Einwilligung kann zurückgezogen werden, wenn die betroffene Person darum bittet.

Brauche ich immer eine Zustimmung?

Kurz gesagt, nein bzw. nicht immer. Die Zustimmung ist eine rechtmäßige Grundlage für die Verarbeitung von Daten. Es gibt darüber hinaus fünf weitere Möglichkeiten, das Recht an der Verarbeitung von Daten zu erlangen. Die Zustimmung wird nicht immer die einfachste oder am besten geeignete sein.

Sie sollten immer die gesetzliche Grundlage wählen, die am besten geeignet ist und welche Sie ohne überproportionalen Aufwand bekommen können. Wenn die Zustimmung schwierig ist, liegt dies oft daran, dass eine andere gesetzliche Grundlage angemessener ist. Daher sollten Sie die Alternativen in Betracht ziehen.

Es liegt in Ihrer Verantwortung, eine rechtmäßige Grundlage für die Verarbeitung im Rahmen der DSGVO zu ermitteln.


Spezifische Fragen – Maßnahmen

Welche schnellen Maßnahmen sollte mein Unternehmen ergreifen?

Suchen Sie zunächst nach professionellen Ratschlägen. Es muss kein Anwalt sein, es gibt viele andere Fachleute, die auf die DSGVO spezialisiert sind, die Ihnen bei der Einhaltung helfen können. Darüber hinaus helfen Ihnen Online-Lösungen für die Einhaltung der DSGVO wie Ecomply bei der Anleitung und können die Arbeit für Sie sehr vereinfachen.

Was sind die Aufzeichnungen der Verarbeitungstätigkeiten?

Für die Einhaltung der DSGVO ist eine der Hauptanforderungen, dass jedes Unternehmen eine detaillierte Beschreibung aller Aktivitäten protokollieren muss, bei denen personenbezogene Daten verarbeitet werden. Diese Beschreibungen werden als “Datensätze” bezeichnet und bieten einen Überblick über alle Datenverarbeitungstätigkeiten in Ihrer Organisation. Es ermöglicht dem Unternehmen zu verstehen, welche Art von Datenkategorien von wem und für welche Zwecke verarbeitet werden.

Was ist ein Datenschutzbeauftragter (DPO)?

Der Datenschutzbeauftragte ist der Verantwortliche für die Datenschutzaktivitäten und -maßnahmen innerhalb des Unternehmens. Er / Sie hat die Rolle des Sicherheitsleiters inne und ist für die Überwachung der Datenschutzstrategie und -umsetzung verantwortlich, um die Einhaltung der DSGVO-Anforderungen sicherzustellen.

Was ist ein virtueller DPO?

Es handelt sich um einen externen Datenschutzbeauftragten, der einem Unternehmen Online-Hilfe bereitstellt. Es kann auch eine Gruppe von Personen mit verschiedenen Spezialitäten als DPO-Einheit dienen. Bei zweitem Ansatz sollte eine bestimmte Person als Leiter der DPO-Funktion benannt werden.

Was ist eine Datenverarbeitungsvereinbarung? Wann ist es nötig?

Wenn die Verarbeitungstätigkeiten ausgelagert werden – was bedeutet, dass sie von einem anderen Unternehmen durchgeführt werden – muss ein Vertrag zwischen den Parteien geschlossen werden. Dieser Vertrag ist der so genannte Auftragsverarbeitungsvertrag. Die Vereinbarung muss den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der zu verarbeitenden personenbezogenen Daten, die Kategorien der betroffenen Personen, sowie die Pflichten und Rechte für die Verantwortlichen der Datenverarbeitung festlegen.

Was bedeutet “Privacy by Design”?

“Secure by Design” bedeutet, dass der Datenschutz während der Entwicklung der Software, des Produkts oder des Prozesses beachtet und integriert wird. Die Verarbeitung der Daten soll verständlich sein und das Produkt, die Software oder der Prozess über Werkzeuge verfügen, die den betroffenen Personen das Recht auf Zugang, Löschung und Übertragbarkeit gewähren.

Wie wird das CCTV-Sicherheitssystem von der DSGVO beeinflusst?

Aufnahmen von Überwachungsvideos unterliegen der DSGVO, da sie zur Nachverfolgung und Identifizierung von Personen verwendet werden können. Es ist wichtig, einen klaren Zweck für diese Angelegenheit vorzulegen, ebenso wie die Zustimmung der Personen, die aufgezeichnet werden.

Wie wird der E-Mail-Posteingang des Mitarbeiters beeinflusst?

Jeder E-Mail-Account eines jeden Mitarbeiters ist privat und enthält personenbezogene Daten. Damit die Firma vorsätzlich darauf zugreifen kann, muss der Mitarbeiter dazu ausdrücklich zustimmen. Wenn ein Mitarbeiter das Unternehmen verlässt, kann das Unternehmen eingehende Nachrichten entweder an eine von diesem Benutzer bestimmte Adresse weiterleiten oder um Erlaubnis (Zustimmung) bitten, auf diese neuen Nachrichten zugreifen zu dürfen.

Spezifische Fragen – Klassifikationen

Was ist der Unterschied zwischen persönlichen und sensiblen Daten?

Personenbezogene Daten werden auf Informationen bezogen, die sich auf die betroffene Person beziehen und die dazu genutzt werden können, ihre Identität direkt oder indirekt zu bestimmen.

Sensible Daten beziehen sich auf die Informationen in Bezug auf die Grundrechte, die Intimität und den freien Willen der betroffenen Person. Beispiele hierfür sind Krankenakten, religiöse Überzeugungen, politische Meinungen, biometrische Daten oder genetische Daten.

Spezifische Fragen – Strafen

Was sind die Strafen?

Gemäß Artikel 83 Absatz 5 DSGVO kann die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung bis zu 20 Mio. EUR oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Nach Art. B. kann ein Unternehmen mit 2% verurteilt werden, wenn es seine Aufzeichnungen nicht in der richtigen Reihenfolge führt (Artikel 28).


Spezifische Frage – Deutschland

Wer ist der “Verantwortliche” und welche Aufgaben hat er / sie?

Ein für die Verarbeitung Verantwortlicher ist eine “natürliche oder juristische Person, Agentur, Institution oder andere Einrichtung”, die personenbezogene Daten für ihre eigenen Zwecke verarbeitet. Er entscheidet “über die Zwecke und Mittel der personenbezogenen Datenverarbeitung” (Artikel 4 (7) DS-BER).
Die Entscheidung über die Zwecke und die Schutzmaßnahmen muss jedoch im Rahmen der Bestimmungen der DSGVO erfolgen. Die Schutzmaßnahmen für die personenbezogenen Daten müssen entsprechend den Schutzbedürfnissen ausgewählt werden. Der Verantwortliche muss die Rechtmäßigkeit und Zweckmäßigkeit der Datenverarbeitung, sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden, sicherstellen. Er muss auch die Einhaltung der DSGVO nachweisen können.

Was bedeutet “Prozessor”?

Ein Prozessor oder auch Verarbeiter ist eine “natürliche oder juristische Person, Behörde, Stelle oder Organisation, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet” (Artikel 4 Absatz 8 DS-GMO). Der Prozessor verarbeitet die personenbezogenen Daten nur im Rahmen von Anweisungen der verantwortlichen Person. Er ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Daten.

Im Vergleich zu den vorherigen Regelungen, was sind die wichtigsten Änderungen?

Der Anwendungsbereich der Verordnung wird auf alle Verarbeitungen ausgeweitet, die sich
an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten.

Es gibt einige neue Begriffsdefinitionen (Artikel 4):
– Umfassender Verarbeitungsbegriff (Art. 4 Nr. 2) – Aufhebung der Dreiteilung
(Erhebung, Verarbeitung, Übermittlung)
– Auftragsverarbeiter (Art. 4 Nr. 8) – keine Beschränkung mehr auf Auftragsverarbeitung im EWR
– Profiling (Art. 4 Nr. 4)
– Einwilligung (Art. 4 Nr. 11)
– Besondere Arten von Daten: So gibt es z. B. unter der DSGVO neue Definitionen für
»biometrische Daten« und »genetische Daten« (Art. 4 Nr. 12, 13). Unternehmen, die z. B.
mit Verfahren wie Gesichtserkennung und Fingerabdruck arbeiten. Sie sollten nicht nur die
neuen Definition, sondern auch die damit verbundenen Vorschriften prüfen.

Die Verarbeitung zu anderen Zwecken als den ursprünglichen Erhebungszwecken ist anders
geregelt als im BDSG – Weiterverarbeitung nur bei kompatiblen Zwecken zulässig (war auch
in der Richtlinie schon so, aber im BDSG anders umgesetzt).

Die Anforderungen an die freiwillige Einwilligung wurden graduell erhöht.

Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt.

Das Kopplungsverbot wurde verschärft.

Die Informations- und Auskunftspflichten wurden um weitere Angaben erweitert.

Es gibt eine neue Portabilitätsverpflichtung für Daten: diese muss in gängigem Format wieder zur Verfügung gestellt werden und ggf. auf Wunsch sogar direkt an Dritte übermittelt werden.

Die Löschpflicht wird erweitert (Hinweispflicht bei Weitergabe von Daten an Dritte).

Das Widerspruchsrecht wird erweitert.

Die »Joint Controllership«, bei der zwei verantwortliche Stellen gemeinsam Daten mit
jeweils vertraglich festgelegten Verantwortlichkeiten verarbeiten, war im BDSG ebenfalls
nicht enthalten (jedoch schon in der EU-Richtlinie enthalten).

Die Pflichten im Auftragsverhältnis haben sich teilweise geändert. Der Auftragsverarbeiter
wird für seinen Verantwortungsbereich stärker in die Pflicht genommen. Er hat eigene Dokumentationspflichten und haftet bei Datenpannen unter Umständen auch direkt gegenüber
den Betroffenen.

Die Verordnung hat in Bezug auf die technisch-organisatorischen Maßnahmen einen stärker
risikobasierten Ansatz, der eine Dokumentation der Risikoeinschätzung nötig macht.

Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-
Folgenabschätzung vorgeschrieben. Dafür entfällt die Pflicht zur Meldung der Verfahren
bei der Aufsichtsbehörde (Vorabkontrolle gem. §4d Abs. 5 BDSG).

Ausweitung der Meldepflicht bei Datenpannen an eine Aufsichtsbehörde auf jeden Vorfall,
der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt. Der Vorfall muss binnen 72 h gemeldet werden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt.

Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem
Hauptsitz bzw. der Niederlassung.

Die möglichen Geldbußen für Verstöße wurden drastisch erhöht – auf bis zu 4% des
weltweiten Umsatzes pro Verstoß.

Was ist zum größten Teil gleich geblieben?

Bereits bestehende Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Transparenz bleiben erhalten. Ab 2018 wird die Datenverarbeitung weiterhin eine Rechtsgrundlage haben, z.B. sind “Vertragserfüllung” oder “Zustimmung der betroffenen Person” erforderlich. Die wesentlichen Rechtsgrundlagen für die Datenverarbeitung bleiben: eine heute zulässige Datenverarbeitung wird ebenfalls ab 2018 erwartet.


Gilt die DSGVO nur für die neu erworbenen Daten und Anwendungen?

Nein, die neue Verordnung betrifft alle bestehenden und neuen Daten. Das bedeutet, dass die DSGVO auch Daten betrifft, die im Voraus gespeichert wurden. Die Einhaltung der Vorschriften muss daher für alle – sowohl alte als auch neue – Verarbeitungen überprüft werden. Die folgenden Probleme sollten zum Beispiel berücksichtigt werden:

– Entspricht die bestehende Dokumentation der Datenverarbeitungsprozesse den neuen Datenschutzanforderungen?

– Werden die erweiterten Informationspflichten innerhalb der bestehenden Datenschutzrichtlinie erfüllt?

– Sind die formellen Voraussetzungen für die Einwilligung erfüllt?

– Berücksichtigt der bestehende Risikomanagementprozess die Anforderungen zur Ermittlung geeigneter technisch-organisatorischer Schutzmaßnahmen?

Brauche ich noch einen Datenschutzbeauftragten?

Nach heutigem Stand wird ein Datenschutzbeauftragter in Deutschland weiterhin benötigt, wenn mindestens zehn Personen im Unternehmen mit der automatisierten Datenverarbeitung beschäftigt sind.

Wer ist für die Einhaltung der DSGVO im Unternehmen verantwortlich?

Auch wenn ein Datenschutzbeauftragter bestellt wird, liegt die Verantwortung für die Einhaltung der DSGVO ausschließlich beim Verantwortlichen / beim Unternehmen. Der Datenschutzbeauftragte (DPO) berät und unterstützt nur bei der Umsetzung.

Wie hält man sich an die Datenschutzgrundverordnung (DSGVO)? Einblicke von Mailjet's Datenschutzbeauftragter Darine Fayed

Mailjet ist eines der wenigen Unternehmen, das nach dem DSGVO-Standard arbeitet und das die damit verbundenen Regulierungen einhält. Letzte Woche habe ich mich mit Darine Fayed, Head of Legal und Data Protection Officer (DPO) von Mailjet, getroffen, um zu verstehen und zu erfahren, wie ihr Weg zur DSGVO-Konformität ausgesehen hat und inwiefern SaaS-Unternehmen mit der DSGVO konform sind. Darine gab uns Einblicke in einige Verfahren von Mailjet, mithilfe derer sie nach dem DSGVO-Standard arbeiten.

In diesem Interview erklärte Darine uns, dass Compliance nicht nur Gesetze und Vorschriften betrifft, sondern auch eine verbesserte Kundenerfahrung schafft. Darine sprach ausführlich über die Aufzeichnung der Verarbeitungstätigkeiten, deren Vorteile für den Rest des Unternehmens und die Ressourcen, die vor dem offiziellen Stichtag eingehalten werden müssen.

Wie haben Sie mit Ihren Aufzeichnungen für ein Verzeichnis von Verarbeitungstätigkeiten (Records of Processing Activities, RPA) begonnen?

Wir haben mit einer Compliance-Roadmap begonnen, in der wir alle Pflichtaufgaben aufzählten, die wir vor unserer Deadline im Dezember 2017 erledigen mussten, um unseren Kunden vor dem offiziellen Stichtag die Einhaltung der DSGVO-Vorschriften anbieten zu können.

Eine der Pflichtaufgaben auf unserer Liste bestand darin, eine Aufzeichnung der Verarbeitungtätigkeiten, siehe Art. 30, zu führen. Dieser Artikel beinhaltet grundsätzlich, dass wir als Organisation den Überblick über alle Daten, die wir sammeln, aufbewahren und verarbeiten haben müssen und dass wir die verantwortliche Partei für diese Daten identifizieren, auch um sicherzustellen, dass die Aufbewahrungsfrist eingehalten wird.

Es war ein Identifikationsprozess für uns – um uns einen globalen Überblick über die von uns gespeicherten Daten zu verschaffen und den Datenfluss richtig zu verwalten. Unser gesamtes Verarbeitungsverzeichnis war einer unserer Roadmap-Schritte zur Einhaltung der Datenschutzrichtlinien.

Einige Unternehmen sind der Meinung, dass sie die RPA (Records of Processing Activities) nicht durchführen müssen. Wie haben Sie das für Mailjet als Verpflichtung identifiziert?

In unserem Fall bedienen wir mehr als 100.000 Kunden in Mailjet und verarbeiten eine große Menge von persönlichen Daten unserer Kunden, die alles enthalten, was sie in unsere Plattform eingeben, wie z.B. die Kontaktliste, die ihre E-Mail-Adresse enthält, sowie andere spezifische Informationen wie das Geschlecht oder eine andere persönliche Kennung dieser bestimmten Person. Daraus haben wir erkannt, dass wir uns in großem Umfang mit dieser Art von Daten beschäftigen.

Und ich weiß, dass es eine Ausnahme im Sinne der Datenschutz-Grundverordnung für kleine und mittlere Unternehmen gibt – dass jedes Unternehmen, das weniger als 250 Beschäftigte hat und einen Umsatz von weniger als einem bestimmten Euro-Betrag hat, von der Steuer befreit sein kann. Aber für uns geht es nicht nur um die Einhaltung der DSGVO, sondern es gibt auch andere Vorteile, die hinter den Aufzeichnungen der Verarbeitungstätigkeiten stehen. Es ist wichtig für die gesamte globale Sicht unseres Unternehmens,  für grundlegende Geschäftsverfahren und eine gute Organisation.

Es ist auch sehr wichtig für Unternehmen ein umfassendes Verständnis dafür zu haben, welche Daten gesammelt werden. Dies  hilft, die anderen Verpflichtungen zu identifizieren und einzuhalten, die Unternehmen im Rahmen der Datenverarbeitungsregeln haben.

(Erfahren Sie mehr über die Ausnahmen für Kleinst- und Kleinunternehmen in diesen Richtlinien.)

Wenn aus Ihrer Sicht eine kleine Firma, sagen wir zehn Mitarbeiter, sehr oft personenbezogene Daten verarbeitet, denken Sie, dass sie der DSGVO entsprechen müssen?

Ja, wenn es in großem Maßstab ist. Die Leitlinien der Arbeitsgruppe haben uns einige Hinweise gegeben, was die Verarbeitung im großen Maßstab bedeutet, und sie ist nicht sehr groß in Bezug auf die Menge, sondern basiert auf Ihrer Aktivität und dem Anteil an der Verarbeitung dieser Daten.

Das Beispiel der Arbeitsgruppe beschreibt diese Situation sehr gut. Betrachten Sie ein Krankenhaus, wo sie Patienten aufnehmen und behandeln. Das hat mit der Datenverarbeitung an sich nichts zu tun, ein Krankenhaus ist kein Technologieunternehmen. In einem Krankenhaus kommen Patienten jeden Tag an, um von Ärzten behandelt zu werden, und wenn sie ankommen, gehen oder während eines anderen Prozesses, zeichnet das Krankenhaus die Informationen des Patienten, wie Name und Gesundheitsinformationen auf. Obwohl das Hauptgeschäft in der Behandlung von Patienten besteht, sammelt und verarbeitet das Krankenhaus s sensible Daten dieser  Patientenit . Da sie jedoch eine große Datenmenge  verarbeiten, müssen sie eine Aufzeichnung der Verarbeitungsaktivität führen.

Es basiert nicht nur auf der Aktivität, sondern auch darauf, ob Sie Ihre Datenverarbeitungstätigkeiten analysieren müssen.

Die Verarbeitung von Daten ist für uns bei Mailjet das Herzstück oder der Kern unserer Aktivitäten. Wir drehen personenbezogene Daten um, wir stellen Statistiken aus. Auf der Basis unserer Software als Servicetechnologie, betrachten wir das als einen großen Aspekt für uns und müssen dies auf einem hohen Sicherheitsniveau für unsere Kunden halten.

Wie viele Verarbeitungstätigkeiten gibt es für Mailjet als Softwareanbieter?

Es gibt keine genaue Zahl, aber wir schätzen, dass es unter hundert Aktivitäten in drei verschiedenen Rollen sind.

Zunächst verarbeiten wir die Daten unserer Kunden. Diese Daten werden uns von unseren Kunden zur Verfügung gestellt, wenn sie Daten über sich selbst, ihre Firma und Kreditkartendaten angeben, um ihre Konten zu bearbeiten. Diese Daten werden basierend auf dem Vertrag zwischen Mailjet und unseren Kunden gesammelt.

Die zweite Rolle ist die Datenverarbeitung von Endempfängern, d. h. die betroffenen Personen. In Mailjet versenden wir im Auftrag unserer Kunden täglich eine große Menge an E-Mails. Diese E-Mails werden von den betroffenen Personen empfangen, da unsere Kunden E-Mail-Adressen eingegeben haben. Es besteht kein Vertrag zwischen uns und dem Endnutzer, sondern wir verarbeiten ihre Daten im Auftrag unserer eigenen Kunden. In diesem Fall müssen wir immer noch die Rechte der betroffenen Personen oder Endbenutzer respektieren.

Und schließlich ist unsere dritte Rolle die Datenverarbeitung für eigene Mitarbeiter und Auftragnehmer. Als Unternehmen behandeln und verarbeiten wir HR-bezogene Daten über unsere internen Prozesse und Mitarbeiter. Dies bezieht sich auf die Gehaltsabrechnungen und andere Aktivitäten in Bezug auf unsere Mitarbeiter.

Wie lange dauerte der gesamte Prozess der RPA?

Für uns war dies ein sehr langer Prozess, der mehrere Monate und viel Mühe in Anspruch nahm. Wir beauftragten einen Manager, der verschiedene Personen in verschiedenen Abteilungen befragte, um die Daten, die wir bei Mailjet sammeln, besser zu verstehen. Im Grunde betrachtete er die Datenbanken, um die verschiedenen Arten der vorhandenen Daten herauszufinden. Er identifizierte die untergliederten Datenbanken und was in jeder von ihnen gespeichert ist, all das kostet Zeit und Mühe.

Hat die RPA Mailjet als Unternehmen irgendwie geholfen? Hinsichtlich der Vorteile haben Sie bereits über gute Geschäftsverfahren gesprochen. Aber hat euch das überhaupt geholfen?

Es hat uns bei unseren anderen Aufgaben geholfen, die Daten, die wir haben, besser zu verstehen. Darüber hinaus hat es uns geholfen, bessere Geschäftsentscheidungen in Bezug auf die Vorratsdatenspeicherung zu treffen und zu entscheiden, welche Daten wirklich notwendig sind, um unseren Service bereitzustellen.

Was ist entscheidend für diesen RPA-Prozess, bevor Sie mit dem gesamten Prozess beginnen?

Die entscheidenden Ressourcen sind Zeit, Personal und Befugnisse für den Zugriff auf die Daten. Unternehmen, die diesen Prozess erst nah am Haupttermin beginnen, haben möglicherweise nicht genug Zeit, um dies zu tun, da dies normalerweise viel Zeit und Ressourcen in Anspruch nimmt.

Für uns bei Mailjet können wir niemanden vom IT-Team fragen. Die brauchen die richtige Person, die Zugriff auf die Datenbanken hat. Es gibt nur bestimmte Personen mit Zugriff auf die Daten in Mailjet.

(So schlägt Ihnen Mailjet vor, sich für den Start bereit zu machen!)

Und wie viele Abteilungen und Personen waren an diesem ganzen Prozess beteiligt?

Die Einhaltung der DSGVO betrifft die gesamte Organisation. Es handelt sich nicht nur um die Rechtsabteilung oder die IT-Abteilung. Es ist ein kollaborativer Prozess, der verschiedene Rollen beinhaltet. Sie brauchen ein oder zwei Leute, die das Projekt anführen. Für uns war das die Rechtsabteilung, die sich um die Organisation der Roadmap und dann um die Datenregistrierung kümmerte und letztendlich identifizierte, welche Informationen enthalten sein mussten.

Stark involviert war auch die IT-Abteilung, die bei Mailjet in ein Entwicklungsteam und ein operatives Team aufgeteilt ist und vom CTO Pierre Puchois geleitet wird. Das operative Team war für die Implementierung und Modifikation verschiedener IT-Prozesse verantwortlich.

Haben Sie die Möglichkeit, mit den Marketing- und Verkaufsabteilungen zu sprechen, da es ja auch Prozesse gibt, die diese Abteilungen betreffen?

Ja! Jeder muss mitmachen, um Mailjet zur Einhaltung der DSGVO zu bringen. Unser Compliance-Manager hat sich mit allen anderen Managern, einschließlich Vertrieb und HR, zusammengesetzt, um alle benötigten Informationen zu erhalten und die Kommunikation und Prozesse intern zu überarbeiten.

In der Regel stellt sich die Frage, ob die Aufzeichnungen der Verarbeitungstätigkeiten regelmäßig aktualisiert werden sollen. Wie oft wird die Mailjet-Registrierungsdatenbank für Verarbeitungstätigkeiten aktualisiert?

​​Anstelle von festen Fristen haben wir Meilensteine, um sie zu aktualisieren. Zu Beginn, als wir die Dokumentation während der Erstellung der Datei starteten, haben wir regelmäßig alle zwei Wochen aktualisiert.

Jetzt, da die Datei vollständig ist, wird sie mindestens alle sechs bis acht Monate aktualisiert. Wennn ein neues Produkt oder eine Funktion mit neuen Spezifikationen entwickelt wurde, wird gegebenfalls auch das RPA aktualisiert, sobald das Team die Genehmigung von der Datenschutzseite erhält.

Haben Sie eine Software zur Verwaltung dieser RPA verwendet?

Nein. Es wurden keine externen Tools verwendet.

Die IT-Abteilung verfügte über eigene IT-Tools, die  intern entwickelt wurden und gewartet werden. Sie führten eine Suche in den Datenbanken durch, um alle Arten von gespeicherten Daten (persönliche und nicht personenbezogene Daten) zu finden.

Wenn Sie die Möglichkeit hätten, dies per Software zu tun, hätten Sie sich dafür entschieden, weil es Ihnen in irgendeiner Weise hätte nützen können?

Ja! Je mehr Ressourcen desto besser, besonders wenn die Zeit begrenzt ist. Und ich denke, wenn wir weniger Zeit bei Mailjet hätten, hätten wir vielleicht eine Software verwenden können.

Wenn Sie eine Software hätten, was wäre die erste Software gewesen, die Sie für die verschiedenen Aspekte in den Aufgaben verwendet hätten? Hätten Sie mit etwas Bestimmten angefangen, wenn es beispielsweise eine Einwilligungssoftware, RPA oder ein Audit-Tool gäbe? Welche Software wäre das und in welcher Richtung der DSGVO?

Ich habe mehrere Konferenzen zu diesem Thema besucht und ich habe verschiedene Softwares gesehen. Für Personen, die ganz am Anfang stehen und nicht wissen wo sie anfangen sollen, könnte eine Management-Software der richtige Weg sein. Auch aus Sicht der Revision könnte es eine interessante Software sein, da manchmal eine externe Person oder Organisation benötigt wird, die analytische Hilfe leistet.

Ein Tipp für Unternehmen, die ihren DSGVO-Prozess jetzt starten?

Ein Tipp wäre, die richtigen Drittanbieter zu wählen. Weil es auch Ihre Verantwortung ist, konforme Drittanbieter zu haben. Sie könnten Probleme haben, wenn Sie die anderen Dienste, die Sie verwenden, nicht überprüfen oder verifizieren. Und Sie haben immer noch die Zeit bis Mai 2018, um auf konforme Anbieter umzusteigen.

(Erfahren Sie mehr darüber, wie Mailjet mit Drittanbietern handelt: hier)

Über Mailjet: Mailjet ist eine All-in-One-Lösung zum Senden, Verfolgen und Liefern von Marketing- und Transaktions-E-Mails. Die Cloud-basierte Infrastruktur ist einzigartig und hochskalierbar mit einer proprietären Technologie, die die Zustellbarkeit von E-Mails optimiert. Mailjet kann entweder über eine einfach zu bedienende Online-Drag-and-Drop-Schnittstelle oder über APIs aufgerufen werden, mit denen Entwickler ihre Funktionen in ihre Online-App oder ihren Online-Service oder ihr ausgeklügeltes SMTP-Relay integrieren können. Mailjet hat weltweit Niederlassungen (einschließlich Paris, London, Berlin, Toronto und New York) sowie 100.000 Kunden und Partnern in 150 Ländern.

Why should Recruitment Managers care about the GDPR?

Description: How the recruitment process of companies in search for talent is impacted by the GDPR, and what HR teams should be aware of regarding the regulation that aims to protect personal data from individuals in the EU.

With the proximity of the enforcement of the General Data Protection Regulation (GDPR) in May, there is a rising awareness that many companies will be impacted in different ways and for many reasons, and the recruitment process in each company is one of them. If you are a recruiter or an HR manager, there are some aspects that you should be aware of. Consider focusing on talent acquisition procedures before costly fines and sanctions reach your business.

Until now, the exploration of personal and sensitive data of potential candidates during talent acquisition is expected and generally accepted, both online in social networks and through other channels such as headhunters and partners’ networks. Everybody shares their photos, experiences, family moments, job/academic history and even opinions online, which means their performance and behavior in past jobs are often shared among companies, without the subject’s knowledge is how potential employers pre-analyze applicants for a job offer.

What does the regulation say?

The GDPR is a broad regulation, but it is very specific regarding the exploration of personal data, despite being publicly available on social networks – without explicit consent and purpose, it might be dangerous.

The arbitrary collection and processing of personal data for companies’ commercial or recruitment purposes should not be assumed by recruiters only because it is publicly available. There must be a legal basis for that collection, analyzing whether it is exposed in a business related platform, if the interest and the purpose for the collection is legitimate and if that data is relevant to the classification and performance of the function related to the job application.

From the company’s side of the recruitment process, it is important to get consent from the candidate, subject of that data, with a clear explanation of the purpose of the collection and processing activities to be performed with it. Also, it is important when taking consent to make it clear for how long that data will be held (ideally until the end of the recruitment process). It should be properly erased as soon as the agreed purpose and time is finalized. Friend requests and acceptance on social networks are not a form of expressing consent.

To make it more clear, there are a number of practices that should be taken into account if you want to make sure your recruitment process is compliant with GDPR:

1 – When reaching out or collecting information from a candidate, ask for consent and record it;

2 – Keep the candidate’s data confidential and secure in your system;

3 – Take good care of who has access to printed CVs. For example, leaving CVs lying on a desk in a shared office is often considered a breach of data protection.

4 – Ask for Data Processing Agreements (DPA) with your hiring, recruiting, training and headhunting companies;

5 – Find out how long can you keep the data (depends on the type of data, purpose and which country you are) for;

6 – Maintain a Records of Processing Activities (RPA) – find out more here.

7 – In the employment contract, ask for consent to use photos and details with fellow company colleagues, and the potential to share outside as well;

8 – When screening a candidate for a background check, make sure you do not violate any personal rights of the candidate;

9 – Use HR software & application tracking systems that are GDPR compliant;

10 – Implement an easy unsubscribe button (opt-out) if you send marketing or job option emails.

11 – After hiring, ask for the written consent from the newly hired to share his or her PII (Personally Identifiable Information) with the company colleagues and if you need to use it anywhere else.

These practices will ensure that your process is compliant with the regulation, but there are other important aspects to be taken care of, such as the appointment of a Data Protection Officer (DPO). We suggest you stay tuned to our posts and look for professional guidance!

Extra: As a social network user, stay aware!

Whether an HR professional or not, today virtually everybody uses social networks. It is important to understand that the GDPR aims to protect the rights of data subjects and diminish the extent of commercial exploration of that data. Religious beliefs, ethnic aspects, political views and health data are sensitive, and the harm caused by the exposure of them can go beyond commercial profiteering.

How to become GDPR Compliant? Insights from Mailjet’s DPO Darine Fayed

Mailjet is one of the few GDPR compliant companies which has cracked the complex regulation very well. Last week, I sat down with Mailjet’s Head of Legal and Data Protection Officer (DPO), Darine Fayed to understand their GDPR journey and how SaaS companies are GDPR compliant. Darine shared some of Mailjet’s best practices to be GDPR compliant.

In this interview, Darine explained to us how being compliant is not just about laws and regulations but also creating an improved customer experience. Darine talks in depth about the Record of Processing Activities, its benefits to the rest of the organization and the resources needed to be compliant before the official deadline.

How did you start doing your Records of Process Activities?

We started with a compliance roadmap where we listed every obligation we needed to take care of before the deadline, which in our case was December 2017 because we want to offer GDPR compliance to our customers before the official deadline.

One of the obligations in our list, from Art. 30., is to maintain a Records of Processing Activities aka Data Registry. This article basically entails that we, as an organization, must keep track of all the data that we collect, hold, process and that we identify the responsible party for that data, also to make sure to note the data retention period.

It was an identification process for us – to give us a global view of the data we store and to properly manage the flow. The whole data registry for us was one of our GDPR compliance roadmap steps.

Some companies think they don’t have to do the Record of Processing Activities (RPA). How did you identify that as an obligation?

In our case, we serve more than 100.000 customers in Mailjet, and we process a large volume of personal data from our customers, containing  anything that they enter into our platform, such as the contact list which includes their email address and also other specific information like gender or any other personal identifier of that specific person. From this, we realized we are dealing on a large scale basis with this kind of data.

And I know there is an exception under the GDPR for micro and middle size companies – that any company that has under 250 employees and a turnover of less than a certain amount of Euros can be exempt. But for us, it is not just about being GDPR compliant but there are also other benefits behind having the Records of Processing Activities [done]. It’s for the entire global view of our company and for just basic good business practices and organization.

It’s also really important for companies to have a complete understanding of what data they collect because it also helps identify and comply to the other obligations you have under the data processing rules.

Find out more about the exemptions for micro and small size companies in these guidelines.

From your perspective, if a small size company, let’s say ten employees, is processing personal data very often, do you think they have to comply with the GDPR?

Yes, if it’s on a large scale basis. The working party guidelines have given us some guidance on what large scale processing means, and it’s not really large in terms of quantity but it’s based on your activity and the proportion on processing that data.

The example given by the working party describes this situation very well. Consider a hospital, where they take in patients and treat them. This, has nothing to do with data processing per se, a hospital is not a technology company. In a hospital, everyday patients arrive to be treated by doctors and when they arrive, leave or during any other process, the hospital records the patient’s information such as name and health information. The hospital collects data from the patients, sensitive data, and they hold and process this data. Their main business activity is treating patients, but because they process a large scale of data (sensitive data), they must keep a record of processing activity.

It’s not just based on the activity but it’s whether you have to analyse your data processing activities.  

For us at Mailjet, processing data is the heart or the core of our activities. We turn around personal data, we turn out statistics. Based on our software as a service technology,  we consider that a big aspect for us and we must maintain this at a high level of security for our customers.

How many processing activities are there roughly for Mailjet as a software provider?

There is not an exact number, but we estimate it’s under one hundred activities around three different roles.

First, we process the data of our customers. This data is given to us by our customers when they type in about themselves, their company and credit card details to process their accounts. This data is collected based  on the contract between Mailjet and our customers.

The second role is data processing of end recipients, i.e. the data subjects. In Mailjet, we send a large volume of emails on a daily basis on behalf of our customers. Those emails will be received by the data subjects because our customers have plugged in email addresses. There isn’t a contract between us and the end user, but we process their data on behalf of our own customers. In this case, we still have to respect the rights of the data subjects or end users.

And lastly, our third role is data processing for own employees and contractors. As a company, we treat and process HR related data about our internal processes and employees. This refers to the payrolls and other activities regarding our staff, and to do so our HR team processes personal data in that regard.  

How long did the whole process of Record of Processing Activities take?

For us, this was a very long process, taking several months and a lot of effort to complete it. We assigned a manager, who interviewed various people in different departments to have a better understanding of the data that we collect at Mailjet. Basically, he looked at the databases to find out the different sorts of data present. He identified the sub-segregated databases and what is stocked in each  of them, all of this taking time and effort to complete.

Did the RPA actually help you somehow? In terms of benefits, you already spoke about good business practices. But in general, did it actually help you in some way?

It helped us with our other obligations, to have a better understanding of the data that we hold. Furthermore, it also helped us identify and come up with better business decisions in terms of data retention and deciding which data is really necessary for providing our service.

What is critical to have this RPA process, before starting out this whole process?

The critical resources are time, human resources and authority to access to the data. Companies starting this process closer to the main deadline may not have enough time to do that because it usually takes plenty of resources and time.

For us at Mailjet, we can’t just ask anyone on the IT team. You need the right person, the one who has access and authority to see what is in the database. There are only specific people with access to the data in Mailjet.

Here is how Mailjet suggests you to get ready to start!

And how many departments and people were involved in this whole process?

GDPR compliance involves the entire organisation.It is not just a question of the legal department or the IT department. It is a collaborative process that involves various roles. You do need one or two people to spearhead the project. For us that was myself in the legal department, who took care of the organisation of the roadmap, then the data registry and to identify what information needed to be included.

Also very involved was the IT department, which in Mailjet, is divided into a development team and an operational team and headed by the CTO, Pierre Puchois. The operational team was in charge of implementation and modification of various IT processes.

Did you have the chance to talk to the marketing and sales departments because there are practices which involve them.

Yes, everyone has to be involved in taking Mailjet to GDPR compliance. Our compliance manager sat down with all the other managers, including sales and HR, and to get all the information you need them involved too and to rework the communication and processes internally.

People usually question whether or not to regularly update the Records of Processing Activities. How often is Mailjet’s Record of Processing Activities registry updated?

We have milestones rather than fixed dates to modify it. At the beginning, when we started the document, we updated periodically every two weeks, during the creation of the file.

Now, that the file is complete, we update at least every six to eight months, and before that if there’s a new product or feature designed with new specs, once the team gets the approval by the data protection side, an update to the RPA might be needed too.

Did you use any software to manage this RPA?

Zero. No external tools were used.

The IT department had their own kind of IT tools – internally developed and maintained. They ran a search of the databases to discover all types of data stored (personal or non-personal data).

If you had the chance to do this via software, you would have chosen because it could have benefitted you in some way?

Yes, ideally, the more resources the better, especially when time is limited. And I think if we had less time at Mailjet, maybe we could have used a software.

If you had a software, what would have been the first software that you would have used for different aspects in the obligations? Did you have any specific thing if there was a let’s say, a consent software, RPA, audit tool that would have got you started. Which software would that been in which direction  of the GDPR?

I’ve attended several conferences on the subject and I’ve seen different software out there. I think for some people who don’t know where to start, a management software could be the way to go. Also from the auditing aspect, it could be an interesting software because sometimes you need an external person or entity to provide analytical help as well.

One advice for companies that are starting their GDPR process now?

One advice will be to choose the right third-party providers. Because it’s also your responsibility to have compliant third party providers. You could be in trouble if you don’t check or verify the other services you’re using. And you still have the time before May to make the switch to compliant providers.

Learn more on how Mailjet deals with third-party providers: here

About Mailjet: Mailjet is an all-in-one solution to send, track and deliver both marketing and transactional emails. Its cloud-based infrastructure is unique and highly scalable with a proprietary technology that optimizes email deliverability. Mailjet can be accessed either via an easy-to-use online drag-and-drop interface or via APIs that allow developers to integrate its features within their online app or service, or its sophisticated SMTP relay. Mailjet has offices worldwide (including Paris, London, Berlin, Toronto and New York) and 100k clients and partners across 150 countries.

If you have more questions about the RPA, book a demo with us.

The GDPR Frequently Asked Questions

General Questions

What exactly is the GDPR?

The General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) is a regulation by which the European Parliament, the Council of the European Union and the European Commission intend to strengthen and unify data protection for all individuals within the European Union (EU). It also addresses the export of personal data outside the EU.


When does the GDPR comes into effect?

The GDPR was approved on April 2016 with a transition period of two years. On May 25th of 2018, this regulation comes into effect.


Who this regulation aims to protect?

This regulation is for the individuals, the data subjects. It focuses on protecting people’s personal data and on a simpler regulatory environment for businesses. The purpose is to ensure that the data subject is the rightful owner of their personal data and its rights are ensured, whenever it is.


What companies will this regulation affect?

Every company that collects, holds and processes personal data by any means and for any purposes, either it is from its customers, employees or partners. Virtually every company, since even the most simple business, makes use of digital payments and uses data for HR purposes.


Will GDPR affect my company? Do I have to comply?

If you answer YES to at least one of these questions, then you should comply with GDPR.

Do your company collect data from its customers?

Do your company collect data from its employees?

Do your company processes digital payments? (Credit cards)

Do your company reach out to customers, partners or employees by email?

Do your company reach out to customers, partners or employees by mail?

Do your company reach out to customers, partners or employees by telephone?

Do your company send products to customers, vendors or partners by post mail?


Where does the GDPR apply?

The Spatial Scope is regulated in Art. 3 GDPR. It states that the General Data Protection Regulation applies to all 28 EU Member States and to companies and organizations outside the EU, as far as the processing of data concerns EU citizens. It does not matter if the person is in the EU in the short or long term. Citizenship or status as a Union citizen does not matter here. This spatial scope of application can’t be subsequently changed by contract. Also, it does not matter what kind of service or products companies or organizations offer. The only decisive factor is whether personal data is collected and processed by EU citizens.


For whom does the GDPR apply?

The General Data Protection Regulation applies to individuals and entities of all sizes who process personal data of EU residents, regardless of where the processor is located. These rules also apply to data processors and data processors, including third parties such as cloud providers.


Does the GDPR make any difference betwen B2B and B2C?

The GDPR does not differentiate between B2B and B2C, it applies equally to both. The background to this is that the General Data Protection Regulation applies to the protection of individuals rather than legal persons.



Specific Questions – Authorities

How will the regulation be enforced?

After May 25th, 2018, organizations that fail to comply with GDPR can be audited and suffer sanctions due to claims from data subjects that feel their personal data rights were or are being violated – or used for different purposes than the ones consented – by that organization. Moreover, those audits can happen randomly or by complaints, depending on the approach taken by each European Union member, which is responsible for the businesses established on its country and is under the European Commission supervision.


Who is my data protection authority?

Every European Union and the EFTA member assigns a national organization/commission/agency/bureau/authority that is in responsible for GDPR enforcement inside each country’s border by providing information and support, but also auditing and issuing sanctions and fines. Their status was formalized by the Data Protection Directive. Here you find the list of all the websites for each and every National Authority in EU:

Andorra:  https://www.apda.ad/
Austria:  https://www.dsb.gv.at/
Belgium:  http://www.privacycommission.be/
Bulgaria:  https://www.cpdp.bg/
Croatia:  http://azop.hr/
Cyprus:  http://www.dataprotection.gov.cy/
Czech: Republic https://www.uoou.cz/
Denmark:  https://www.datatilsynet.dk/
Estonia:  http://www.aki.ee/en
Finland:  http://www.tietosuoja.fi/en/
France:  https://www.cnil.fr/en/home
Germany:  https://www.bfdi.bund.de/
Greece:  http://www.dpa.gr/
Hungary:  https://naih.hu/
Iceland:  https://www.personuvernd.is/
Ireland:  https://www.dataprotection.ie/
Italy: http://www.gpdp.it/
Latvia:  http://www.dvi.gov.lv/en/
Liechtenstein:  http://www.dss.llv.li/
Lithuania:  http://www.dvi.gov.lv/en/
Luxembourg:  https://cnpd.public.lu/
Macedonia:  https://www.dzlp.mk/
Malta:  https://idpc.org.mt/
Monaco:  https://www.ccin.mc/
The Netherlands:  https://autoriteitpersoonsgegevens.nl/
Norway:  https://www.datatilsynet.no/
Poland:  http://www.giodo.gov.pl/
Portugal:  https://www.cnpd.pt/
Romania:  http://www.dataprotection.ro/
Russia:  http://eng.rkn.gov.ru/
Serbia:  https://www.poverenik.rs/sr/
Slovakia:  https://dataprotection.gov.sk/
Slovenia:  https://www.ip-rs.si/
Spain:  https://www.agpd.es/
Sweden:  https://www.datainspektionen.se/
Switzerland:  https://www.edoeb.admin.ch/
United Kingdom: https://ico.org.uk/

Whatever violation happens, the authority from the country where the company involved is established physically or legally is responsible. For example, anyone who sells internationally as an online retailer may already have heard something about the new one-stop shop. This allows EU citizens to always turn to their own data protection authority for complaints – the data protection authority in their country. ATTENTION: This applies regardless of where the privacy violation happened.


Specific Questions – Data subject

What are the rights does the GDPR grant for the EU Residents?

Initially, the only way companies can have access and control over any data is by consent. Then, the subject of that data have three main rights granted:

Right to access: Every EU resident has the right to know what personal data any company is holding and/or processing, by request.

Right to erasure: Every EU resident has the right to require the deletion of all the data – which it has granted access – held or processed by any company.

Right to data portability: If a data subject wants to change to a new service provider, it can ask for the former to send all its personal data its data to the new one in a standard, machine-readable format.


What is consent for data processing?

While collecting data, the company has to make it clear the purpose it is doing so. Any activities performed with that data has to be described on the terms of the consent, which has to be accepted by the data subject will be the legal basis for any processing.

The consent must be explicit for data collected and the purposes data is used for (Article 7; defined in Article 4). Consent for children must be given by the child’s parent or custodian, and verifiable.


What is the extent of consent?

Data controllers must be able to prove “consent” (opt-in), and consent may be withdrawn whenever the data subject asks for.


Do I always need consent?

In short, no. Consent is one lawful basis for processing, but there are five others. Consent won’t always be the easiest or most appropriate.

You should always choose the lawful basis that most closely reflects the true nature of your relationship with the individual and the purpose of the processing. If consent is difficult, this is often because another lawful basis is more appropriate, so you should consider the alternatives.

It’s your responsibility to identify a lawful basis for processing under the GDPR


Specific Questions – Measures

What quick measures should my company take?

Initially, look for professional advice. It does not need to be a lawyer, there are plenty of other professionals specialized in the GDPR that can help you comply. Moreover, online solutions for GDPR compliance like Ecomply’s will help you with guidance and can simplify the work very easily.


What is the Records of Processing Activities?

For GDPR compliance, one of the main requirements is that every company shall maintain a detailed description of every activity that somehow processes personal data. These descriptions are called “records” and will provide an overview of all data processing activities within your organization. It enables the company to understand what kind of data categories are being processed, by whom and for which purposes.


What is a Data Protection Officer(DPO)?

Data Protection Officer is the professional responsible for the data protection activities and measures inside the company. He/she holds the security leadership role in charge of overseeing data protection strategy and implementation to ensure compliance with GDPR requirements.


What is a virtual DPO?

It is an external Data Protection Officer that provide online assistance to a company. It can be one or a group of people with different specialties offering the service as a unit. In this approach, a specific person should be nominated as the lead of the DPO function


What is a Data Processing Agreement? When is it needed?

When the processing activities are outsourced, which means it is performed by other than the controller’s company -, there must be set a contract between the parties called the Data Processing Agreement. The agreement must set out the subject matter and duration of the processing, the nature, and purpose of the processing, the type of personal data to be processed, the categories of data subjects and the obligations and rights of the controller.


What does it mean by ”Secure by Design”?

A process inside the company or a software developed or purchased by the company will be “secure by design” when, in the process of its development, data protection was taken as a key aspect and requisite, and all the data that goes through it can be tracked, the processing is understandable and under control and has tools that grant the rights of access, deletion and portability for data subjects.


How are CCTV Security System affected by the GDPR?

Recordings of videos are under GDPR regulations because it can be used to track and identify persons. It is important to have a clear purpose for that matter, as well as consent from the persons being recorded.


How will Employee E-MAIL Inbox be affected?

Each email account of each employee is private and contains personal data. For the company to have deliberate access to it, the employee must give explicit consent. When an employee leaves the company, the company can either forward incoming messages to a particular address appointed by that user or ask for permission (consent) to access that those new messages.


Specific Questions – Classifications

What is the difference between Personal and Sensitive Data?

Personal data is referred to any information related to the data subject, that can be used to directly or indirectly reveal his/her identity.

Sensitive data is referred to the information related to the data subject’s fundamental rights, intimacy, and free will. Examples of these are health records, religious beliefs, political opinion, biometric data or genetic data.  


Specific Questions – Penalties

What are the Penlaties?

Under Article 83 (5) GDPR, the maximum penalty for companies and organizations for failure to comply with the General Data Protection Regulation can amount to up to € 20 million or 4% of the annual worldwide turnover, whichever is greater. According to Art. 83 (4) GDPR, there is a graduated approach to fines, for example, a company can be convicted with 2% because it does not keep its records in the correct order (Article 28).


Specific Question – Germany

Who is the “Responsible Person” and which duties does he/she have?

A controller is a “natural or legal person, agency, institution or another body” that processes personally identifiable information for its own purposes. It decides “on the purposes and means of personal processing data” (Article 4 (7) DS-BER).
However, the decision on the purposes and the protective measures must be within the framework of the provisions of the DS-BER. In general, the data processing purposes are based on the business case, e.g. For example, in the context of accounts payable and accounts receivable.
The protective measures for the personal data must be selected according to the respective protection needs. The controller must ensure the lawfulness and purposefulness of the data processing as well as the rights of data subjects whose data is processed. He must also demonstrate compliance with the DS-GVO.


What does it mean by “Processor”?

A processor is a ‘natural or legal person, public authority, body or organization other body processing personal data on behalf of the controller “(Article 4 (8) DS-GMO). The processor processes the personal data only in the context of instructions of the person responsible. He takes appropriate technical and organizational measures to protect the data.


Comparing to the previous regulations, What are the key changes for those responsible?

A processor is a ‘natural or legal person, public authority, body or organization other body processing personal data on behalf of the controller “(Article 4 (8) DS-GMO). The processor processes the personal data only in the context of Instructions of the person responsible. He takes appropriate technical and organizational Measures to protect the data.


What has remained the same for the most part?

Already existing data protection principles such as earmarking, data minimization and Transparency is preserved. From 2018 on, data processing will continue to have a legal basis, eg. “Contract fulfillment” or “consent of the person concerned” necessary.  The essential legal bases for data processing remain: One today permissible data processing is also expected from 2018.


Does the provisions of the GDPR only apply to the new acquired data and applications?

No, the new regulation includes all existing and new data and applications. That means the DS-GVO also uses data stored in advance. Compliance with the regulations must, therefore, be checked for all – old as well as new – processing. The following issues should be considered, for example:

– Does the existing documentation of the data processing processes correspond to the new data protection requirements?

– Will the extended information requirements be provided within the existing privacy policy fulfilled?

– Are the formal requirements for informed consent complied with?

– Does the existing risk management process take into account the demands to determine suitable technical-organizational protective measures?


Do I still need a Data Protection Officer?

According to the current status, a data protection officer will continue to be needed in Germany if at least ten people in the company are engaged in automated data processing.


Who is responsible for the GDPR Compliance in the company?

Even if a data protection officer is appointed, the responsibility for compliance lies with the DSGVO exclusively. The data protection officer (DPO) advises and supports only in the implementation.

10 Critical Steps to General Data Protection Regulation (GDPR) for SMEs

Scared about a €20 Million fine for your company? There is a solution for this.

This year GDPR is coming that is binding to all companies and organizations handling data of all individuals within the EU. From now on, your company can be held liable for the data it collects and uses. Fines up to €20 Million or 4% of annual turnover can be imposed. This company was fined $250 Million, even before the GDPR was in place. But this can be totally avoided!

Are you ready for GDPR ? If yes, read more to see if you have everything in place.

Not ready yet? Follow the steps below to be GDPR ready!


Step 1: Be aware of what GDPR is and what it means for your company

GDPR is a regulation of the Parliament and of the Council which comes into force on May 25th. As a regulation it affects companies and their customers as much as a national law. Decision makers and key people in the organization must now identify what processes of the company are not GDPR compliant and should analyze the kind of resources that will be required to tackle this in time for the GDPR implementation. UK’s ICO provides in-depth information of what the GDPR is and all that you must know regarding it.

Our GDPR-glossary would help you to understand the various terminologies that is relevant. You must also know where your company stands in relation to the GDPR compliance. You can take this gap assessment to find out!


Step 2: Document all personal data your company holds

GDPR requires you to maintain records of processing activities.

Your organization must document all the data that it holds, where it came from and how it uses that data if it somehow refers to an identifiable person. Furthermore, your organization must be able to submit up-to-date reports, so called records of processing activities (RPA), to the competent data protection authority at all times.

The development of the records of processing activities is also a key step because it enables the company to evaluate the whole process and  understand where corrective measures have to be taken. Without such a record, no compliance to any further requirement of GDPR can ever be achieved!

Need help with organizing your data for GDPR compliance?) Get professional guidance now.

If you need help figuring out how you can record processing activities, this tool will help you organize your data.

Step 3: Inform everyone concerned through a privacy notice

The individuals whose data your company uses must be informed through a privacy notice detailing in simple terms what kind of data you obtain, in what ways you obtain it, for which purposes you need it and, in case, if you are transferring the data to countries outside the EEG.

Do you need a privacy notice? With this tool you can create a first draft that meets the legal requirements.

Step 4: Checking if your data processing adheres to the individual rights

Now that you have sorted your data, you have to legally review all procedures concerning personal data. Are they compliant to GDPR or not? The answer is complex and usually work of a lawyer. Generally, you must keep in mind that processing activities concerning personal related data might affect the rights of the individuals. Those processing activities therefore always have to be justified.

Step 5: Consent

The normal way to justify proceedings is also the most important pillar of data protection: consent! Your company should review how you seek, record, and manage consent.It is important that the consents meet the new GDPR standard, so your company must perhaps review and refresh all consents.

For example, it is necessary to keep the grammar and content of the consent easy and in an understandable format which can be understood by anyone. UK’s ICO provides a consent guidance guide that is a useful tool in defining consents as per the GDPR.

Step 6: Requests for subject access

Your company should update the procedures and must plan how you will handle subject access requests to take account of the new rules. In most cases, you will not be able to charge for complying with a request.

You will have a month to comply, rather than the current 40 days.

You can refuse or charge for requests that are excessive, but you will need to provide the requests with a machine-readable format of their data. If you refuse a request, you must tell the individual why and that they have the right to complain to the supervisory authority and to a judicial remedy. You must do this without undue delay and at the latest, within one month.

Step 7: Outsourcing of data processing

When your company works with a data processor, it should review the outsourcing contracts of data processing to comply with the GDPR. First, make sure you own those contracts, which is not always the case with free cloud services. At the latest on request of the competent data protection authority, you must be able to present the contracts. After all, these contracts must also be compliant with the GDPR and there is a high probability that they have to be adjusted.

Step 8: Data Protection Officer (DPO)

Probably your company has to appoint a DPO to take responsibility for the regulatory compliance.

This DPO will report to the highest position in the firm and has to make sure the company will take the needed measures to have its processes and information flow according to the GDPR. Some special aspects regard to the mandatory need of a DPO apply, however, it is a good idea to have a specialized role within the organization.

Another option is a virtual DPO, that can help your company be GDPR compliant. The best part is that it costs much lesser and reduces company man-hours involved by 75%!

Get your Virtual DPO now.

Step 9: Data Protection Impact Assessment and Protection by Default and Design

Your company has to evaluate deeply the type of processing activities it will require for each data it collects to analyze the risks it may cause to the data subject. Every software used, activity performed and measure taken must have protection by design. It ensures that there will be no breaches and no vulnerability regarding the security of this data and no harm to the rights of the data subject.

If the processing activities or the data is susceptible to high risks, an impact assessment must be performed to evaluate the right measures to be taken to minimize this risks. Important aspects to grant this security are pseudonymization, minimization of the data, ensuring the erasure of data according to the consent deadlines, and granting access to the data subject.

Step 10: Data breaches and notifications

Your company must adopt internal procedures and require the same to third-party partners, in order to deal with data breaches.

Those procedures should include identification of the actual data breach, investigation of the circumstances of the breach, and assessment of the implications it may cause both to the company and to the data subject regarding his privacy.

One thing to remember is that the information should be notified to the Supervisory Authority in no more than 72 hours when the data subjects are exposed to some kind of risk, and in those cases, the data subject also have to be notified.

Links and Further Information

Data Protection Authorities in EU countries

This list provides the websites of the Data Protection Authorities in your country. You can find more specific content for your region from the corresponding website.

Get help preparing for the GDPR

If you want to find out more about preparing for the GDPR, you should take a look at our GDPR webinar series. Each presentation covers a different aspect of the Regulation, such as data flow mapping, risk assessments, and data protection by design.


We are running our first steps to GDPR compliance webinar a number of times over the next few months. The presentation explains the basics of the Regulation and what you need to do before the compliance deadline.

Find out more about out GDPR webinar series here.