(GDPR) - Do You Really Need That Explicit Consent?

(GDPR) - Do You Really Need That Explicit Consent?

Are you worried when you see the word ‘GDPR’?

It’s infuriating, isn’t it?

It’s been 5 months since GDPR.

Wait! If you are new to this whole thing — read our GDPR guidebook for starters.

What has changed? Oh yeah, now we get to experience those beautifully designed cookie banners on almost all the websites under the sun!

Does that mean they are compliant? Hell, no! that’s not the only thing you need to do. However, if you still haven’t got your cookie banner up and running –— try this Wordpress plugin

So, quick question:

Are you GDPR compliant?

I know what you are thinking!

Don’t worry, you’re not alone. . .

According to the research by Datanami, the 14 largest companies in the world are not compliant—including Facebook.

Feeling better?

In any case, you need to be compliant irrespective of who else is compliant.

You can get more practical advice here — how to be GDPR compliant

But regarding this article let’s stick to the one topic that has been making all the headlines — ‘Consent, I mean Explicit Consent’.

So, what is ‘Explicit Consent’, in terms of GDPR?

Consent simply means that you need to have the data subject’s permission in order to process their data, and it is one of the methods you can follow to become GDPR compliant!

The concept of ‘Explicit Consent’ is one of the most impactful consequences of the GDPR. And the main reason is that GDPR requires you to obtain ‘a clear affirmative action or a statement’ in an explicit manner from the data subjects.

A data subject is any individual whose personal data is processed by a controller or a processor.

If you are getting overwhelmed by these legal words — read this to get a basic understanding of GDPR terminology.

Becoming GDPR compliant means you need to prove a lawful basis on how you’re dealing with data processing in your organisation.

Explicit Consent has been topping the news all the time and many organisations were/are worried about whether they need to get fresh consent from their prospects and clients.

There’s been a lot of misconceptions about explicit consent and whether it is the only lawful basis and so on. . .

Let’s be honest. GDPR still has a lot of grey areas.

Let’s discuss explicit consent, and what’s the fuss about it:

Do you really need that explicit consent?

No! here’s the thing — consent is just one of the 6 lawful bases to comply with.

According to Art. 6 GDPR, the lawfulness of data processing includes:

  1. Consent
  2. Contract
  3. Legal Obligation
  4. Vital Interests
  5. Public Task
  6. Legitimate Interests

So, explicit consent is not the only method by which you can get your GDPR compliance badge.

Okay, so what’s the best lawful basis?

No single basis is ’better’ or more important than the others – meaning, you can follow any of them depending on your purpose and relationship with the data subject.

Does it also mean you can follow more than one lawful basis?

Yes, you can — because it’s not like one lawful basis per one organisation.

You don’t have to pick one for your organisation and stick with it. Simply speaking, you shouldn’t go for a one-size-fits-all solution in case of a lawful basis for processing.

Ideally, you should start by identifying each and every data pool that you hold and process — such as existing customers’ data, prospective customers’ data, suppliers’ data, employees’ data, website visitors’ data, and so on so forth. . .

And then you need to carefully decide and apply an appropriate lawful basis for each of those data pools you hold and process.

Whatever lawful basis you follow, you need to clearly state the same in your privacy policy in an easily understandable language.

But the sad thing is — even the biggest companies that we know are not up to the mark with GDPR. Their privacy policies are vague and not transparent enough. We’ll get to some specific examples in a while.

Anyways, back to explicit consent! It’s hard to get explicit consent and maintain it and more importantly prove (make it auditable) it when necessary.

This is where it gets tricky – The Recital 171 of the GDPR goes like this:

“Where processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation, so as to allow the controller to continue such processing after the date of application of this Regulation”.

Put as simply as possible, it means that you can continue to use the consent you have already obtained pre-GDPR if that consent is in line with GDPR standards i.e. unambiguous, demonstrable, and explicit consent. That’s the issue. Most businesses haven’t obtained consents in-line with GDPR before GDPR, simply because they weren’t aware of GDPR.

For example, if your signup form has a pre-ticked box combining consent with a terms & conditions statement, then clearly your consent for this data pool is not in-line with GDPR standards and you can not use it from now on.

So, if that is the case with you, then they are invalid, and you can’t rely on them.

Even if you have carefully unbundled the consent from terms and conditions and have been getting the consent up to GDPR standards, you’ll still need to be able to demonstrate that consent. But pre-GDPR we hadn’t known about the demonstrating factor and did not have a mechanism in place to maintain and demonstrate consent. So, explicit consent is not the appropriate legal basis upon which to process the data under GDPR.

Sounds very complex right? This is why explicit consent is the most discussed topic.

So, what can you do now? What’s the alternative?

Legitimate interests!

Is Legitimate Interests a GDPR gift?

Legitimate interests are simply the benefits you may gain by processing the data; you need to keep in mind that those benefits shouldn’t override the basic rights of the data subject.

Also, if you’ve decided to use legitimate interests as your lawful basis of processing, you need to keep in mind another important aspect in this concept which is laid out in Recital 47. . .

Legitimate interest is the most flexible lawful basis for processing. However, it is necessary to use people’s data only “in the ways that they would reasonably expect you to use [it], and which have a minimal privacy impact, or where there is a compelling justification for processing.”(ICO)

That means you can only use legitimate interests if the data subject can reasonably know what you are going to do with it at the time of providing the data itself.

Let’s take an example to make our lives easier. . .

When you browse Pizza Hut’s website and order something, you obviously leave your personal details. Now, it is perfectly understandable, even a normal UK Citizen, that Pizza Hut is going to use his details to contact him. That’s in the legitimate interest of Pizza Hut, which is not overridden by basic rights. However, Pizza Hut should not use the same details to send you an SMS every week! Why? Because when you gave your contact details you did not reasonably expect them to send you weekly SMS coupons.

So, if you want to use legitimate interests in any of your data processing activities, you need to do so ideally through a process in which you can assess the situation:

  • You need to identify a legitimate interest
  • Deduce that processing is necessary to achieve your interests
  • Balance it against a data subject’s interests, rights and freedom

That being said, legitimate interests should, in no way, be used as a band-aid to explicit consent.

It is very important to go through the above-mentioned steps and carefully state it in a document called Legitimate Interests Assessment (LIA).

The Data Protection Network has published a detailed explanation of legitimate interests and has provided a template for assessing legitimate interests.

So, what next?

Start by looking at all different kinds of data you collect. Yes, I know it’s a difficult process, but it is inevitable.

You already understand that data plays a huge role in improving your services, marketing and all the other operations. So, if you are significantly dependent on data to make informed decisions, then you should at least start by mapping what kind of data you collect and how you process it.

As soon as you have done the data mapping step, you need to look at every single process to evaluate which data processes fall under legitimate interests, and which processes fall under contractual basis and the others. You need to basically segregate the data pools and decide your legal basis for the processing of each pool.

And that’s not it! You need to be transparent about this whole process, and clearly mention which legal basis you follow for each particular data pool and why.

As we’ve discussed earlier, even the biggest corporations on the planet are not doing it right. Their policies are significantly vague, and they don’t even mention this table of their lawful basis of processing data. How sad!

Some examples of how not to do it and how to do it the right way!

Example #1 - Facebook:

Facebook has already been in the news for breaching and compromising data on several occasions and still their privacy policy is something you should strictly keep in mind to not get into trouble:

So, let’s take a look at Facebook’s legal basis for processing data:

Don’t laugh!

Yes, that’s it—that’s all they say.

They merely describe the definitions of different lawful bases (as if we don’t know), and they don’t say which of their data processing activities follow which kind of legal basis.

Fine, okay — there seems to be a ‘learn more’ option. Let’s see what it contains:

My goodness, what is that?

Firstly, this information is hidden in some inner pages. And secondly, it’s written in a very sophisticated legal jargon tone, and not in a clear and easily understandable language.

In addition, they have ensured that it is very vague with a considerably disturbing user experience design!

Takeaway: Don’t be a Facebook, when it comes to your GDPR compliance! They can afford to pay fines, but can you?

Example #2 - Google:

Okay what about the godfather, how are they being transparent about ‘their’ way of handling and processing data, let’s check it out:

Type caption (optional)

Well, Google didn’t get it quite right. They tried to do their best but still did not include all of their data processing activities.

Yes, they did not hide it somewhere else and they made it available in an easily understandable language, but they are very vague and did not describe everything that needs to be included.

So, you might be thinking . . . can you give me an example of how to do it considerably well:

Yes, I have another example for you, which I think did really well as far as describing how they handle data processing, and on which basis.

Example #3 – Twitter:

Twitter does an impressive job on this aspect, to be honest, they show a table that contains a lot of the general purposes for which they process personal data from the EU and the primary legal basis they follow.

How cool? The table also contains detailed information on different data processing activities with specific links for additional information.

And if you see they have identified which data processing activity falls under which legal basis. Bravo!

So, have a serious look at this page to get a nice overview of how Twitter’s legal basis for data processing rules.

Example #4 - Amnesty International UK

Amnesty International UK takes a very different and good approach in giving examples of the different legal bases they follow:

How nice is that?

Type caption (optional)

They explain each and every lawful basis with nice practical examples. Visit their privacy policy to grab some insights.

So, let’s wrap up!

On a final note:

Let’s face it.

GDPR is tough to implement but it’s a good business practice with primary emphasis on transparency and accountability principles.

GDPR compliance is not something you can get done with and forget about, but it’s an ongoing process.

That is why you should consider using an all-in-one solution GDPR solution like Ecomply, and make your GDPR compliance journey as smooth as possible.

Going back to the topic—if you were previously in the opinion that explicit consent was the only road that could help you with GDPR compliance, then I’m sure this article has helped you in realising the fact that there are other roads that can help you in this journey.

Legitimate interests are the most flexible lawful basis to process data under GDPR. But it is necessary to carefully document it within your Legitimate Interests Assessment.

Do You Really Need That Explicit Consent?

Not really!

Let’s break it down into two points as described in SMSwarriors’ GDPR article about ‘Marketing under GDPR and ePrivacy Regulation’:

  • If your marketing plan doesn’t use additional data analytics to do profiling, then you can get away with legitimate interests as your lawful basis for processing data under GDPR and a no consent approach or soft opt-in or opt-out procedure as your lawful basis for performing marketing under PECR/e-Privacy Regulation, provided you always give them an option to unsubscribe. Here you must make sure to send only generalised marketing campaigns.
  • If your marketing plan uses profiling, segmentation and dynamic content for re-marketing purposes, then you can still get away with legitimate interests as your lawful basis for processing data under GDPR, provided you have clearly set the expectation during the sign-up process and provide a link to a multi-layered privacy notice.
    Additionally, you will need consent to serve these cookie and ad analytical tools to be compliant under PECR/ e-Privacy Regulation.

You can start by going through the data mapping process, identifying different data processing activities and deciding on the lawful basis that best fits your organisation.

Also, keep in mind to write your privacy policy as clear and transparently as possible — look at the examples above and you will realise which is the best way to present your privacy policy.

So, if you’re still looking for a tool to organise your GDPR workflow try our solution.

Disclaimer: While we have checked our sources, it is important for you to seek legal advice related to GDPR compliance. This article does not constitute legal advice. The examples mentioned in this article are just a perspective, and are not meant to defame any esteemed organisations.

Author's Bio:


Surya Maneesh is the Brand Strategist at SMSwarriors, a smart SMS marketing software that allows marketers and businesses to communicate faster and promote themselves better through SMS. Connect with him on LinkedIn 


Eine Anleitung für die Datenschutz-Folgenabschätzung

Eine Anleitung für die Datenschutz-Folgenabschätzung

Unternehmen können aufgrund der rasanten technologischen Entwicklung neue und innovative Geschäftsmodelle entwickeln.

Allerdings ändern Unternehmen ihre Arbeitsweise oft in einer Art und Weise, welche eine Verarbeitung großer Datenmengen erfordert. In diesem Fall müssen diese dann eine Datenschutz-Folgenabschätzung durchführen. Diese hilft Ihnen dabei, die Vorschriften besser zu verstehen und umzusetzen, was wiederum hilft, DSGVO Bußgelder zu vermeiden.

Jedes Mal, wenn Sie etwas ändern, müssen Sie gemäß der Datenschutz Grundverordnung (DSGVO) eine Folgenabschätzung durchführen. Die von Ihnen eingeleitete Änderung kann sowohl technologisch als auch strukturell sein. Unabhängig von der Art der Änderung müssen Sie eine Folgenabschätzung durchführen.

Wenn Sie keine Datenschutz-Folgenabschätzung durchführen, kann dies zu Geldbußen über 20 Millionen Euro oder 4% Ihres Jahresumsatzes führen, je nachdem welcher Betrag höher ist.

In diesem Artikel möchten wir Unternehmen ein grundlegendes Verständnis zum Thema Datenschutz-Folgenabschätzung vermitteln. Wir geben Ihnen auch Tipps, wie Sie eine solche durchführen können um DSGVO Bußgelder zu vermeiden.

Wer muss eine Datenschutz-Folgenabschätzung durchführen?

In unseren Recherchen das Thema betreffend haben wir noch keine endgültige Antwort auf diese Frage gefunden.

DSGVO Experten können sich nicht ausreichend dazu äußern.

Durch unsere Arbeit mit dem Thema konnten wir aber einige Anhaltspunkte finden, die zu verstehen helfen, ob eine Datenschutz-Folgenabschätzung notwendig ist oder nicht. Nachfolgend finden Sie die wichtigsten Punkte. Wenn einer oder mehrere dieser auf sie zutrifft, ist eine Datenschutz-Folgenabschätzung empfehlenswert, um DSGVO-Geldbußen zu vermeiden:


  • Wenn Ihr Unternehmen Daten zu speziellen Kategorien verarbeitet (siehe Definition von Datenkategorien, die in der DSGVO erwähnt sind, um mehr zu erfahren).
  • Unternehmen/Organisationen, die Daten in großem Umfang verarbeiten (siehe Abschnitt Definition von großen Datenmengen).
  • Wenn Ihre Organisation/Firma von Individuen Profile erstellt.
  • Wenn Ihr Unternehmen/Organisation seine Dienstleistungen/Produkte direkt an Kinder richtet.


Artikel 35 DSGVO erlaubt es den Datenschutzbehörden auch, schwarze Listen der Verarbeitungs-Tätigkeiten zu erstellen. Diese Listen enthalten alle Aktivitäten, für die Sie eine Datenschutz-Folgenabschätzung durchführen müssen, um DSGVO-Bußen zu vermeiden.

Sie können diese auch Ihrer Datenschutz-Folgenabschätzung-Vorlage hinzufügen, um später darauf zurückzukommen. Hier ist eine Liste, die sich die deutschen Behörden ausgedacht haben.


Im Folgenden finden Sie die Antwort von Daniela Duda (einer renommierten Spezialistin in Deutschland) auf diese Frage.

Was ist eine Datenschutz-Folgenabschätzung?

Die Europäische Union (EU) hat die Datenschutz-Folgenabschätzung als Instrument im Rahmen der Datenschutz Grundverordnung (DSGVO) eingeführt. Die DSGVO empfiehlt sie, um die Risiken, die Verarbeitungstätigkeiten in einem Unternehmen mit sich bringen, besser einschätzen zu können.

Wenn Sie eine neue Technologie in Ihrem Unternehmen einführen, die Verarbeitungstätigkeiten automatisiert, müssen Sie eine Bewertung durchführen. Sie hilft, die Risiken der Verarbeitung zu bewerten und letztendlich zu reduzieren. Wenn Sie zu dem Schluss kommen, dass eine Verarbeitungstätigkeit zu einem erheblichen Schaden für die betroffenen Personen führen kann, konsultieren Sie bitte auch Ihre Datenverarbeitungsvereinbarung.

Die Datenschutz-Folgenabschätzung hilft Ihnen bei der Organisation Ihrer Projekte und gleichzeitig, die Geldbußen der DSGVO zu umgehen.

Was sagt die DSGVO über die Datenschutz-Folgenabschätzung?

Gemäß Artikel 35 sind Sie als Controller für die Durchführung einer Abschätzung verantwortlich:

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) ….

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Artikel 35 Absatz 3 DSGVO (siehe oben) legt die Regeln fest, wann genau eine Bewertung durchgeführt werden muss. Kurz gesagt, es heißt, dass Sie für jede Art von Verarbeitung eine Folgenabschätzung durchführen müssen.

Besonders wichtig wird es, wenn Sie neue Technologien einführen und analysieren, wie Daten mit diesen Technologien verarbeitet werden.

Darüber hinaus müssen Sie Art, Umfang, Kontext und Zweck der Verarbeitung selbst berücksichtigen. Wenn Sie ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen erkennen, dann müssen sie das Projekt neu planen, um diese Risiken zu minimieren. Sie müssen vor Projektbeginn eine Datenschutz-Folgenabschätzung integrieren. Als Verantwortlicher müssen Sie sich zudem bei hohen Risiken mit der zuständigen Datenschutzbehörde abstimmen.

Wenn Sie die Datenschutz-Folgenabschätzung erstellen oder für die Verwendung durch Ihr Unternehmen anpassen, fügen Sie den Artikel der DSGVO hinzu. Diese kann dann als Orientierungsgrundlage herangezogen werden und man kann sich jederzeit darauf berufen.

Definition von Art, Umfang und Kontext

Damit das leichter zu verstehen ist, hier ein Beispiel:

Ein Krankenhaus erfasst und verarbeitet die Gesundheitsdaten seiner Patienten.

Die Art der Daten ist dabei der Datentypen der verarbeitet wird.

Zum Beispiel, ein Arzt nimmt eine Blutprobe und auf der Basis dieser Blutprobe verschreibt er eine Behandlung oder ein Medikament, damit sich die Person erholen kann.


Diese Daten werden nach der DSGVO als PII kategorisiert. Der Umfang der Verarbeitung ist durch die Reichweite der Verarbeitungstätigkeit definiert - im Wesentlichen also wer Zugriff auf die Daten hat und wie viele Daten verarbeitet werden.

In unserem Beispiel untersucht ein Arzt 30 Patienten und erfasst ihre Informationen. Diese Daten können dann von 15 Ärzten, die Zugriff auf sie haben, verarbeitet werden, aber nicht von z.B. Pflegekräfte ohne diese Zugangsberechtigung.

Auch die Verarbeitung ist nicht automatisiert. Ein Arzt kann sich die gespeicherten Daten ansehen, aber es gibt keinen Algorithmus, der sie analysiert und eine Diagnose vorschlägt. In Zukunft können diese 15 Ärzte diese Daten auch zur Diagnose der Patienten nutzen, wie lang in die Zukunft muss jedoch auch in den Aufzeichnungen der Datenverarbeitungsvorgänge festgelegt sein, z.B. 5 Jahre. In diesem Beispiel wäre daher der Umfang der Verarbeitungstätigkeiten 30 Untersuchungsunterlagen, die von 15 Zugriffsberechtigten für 5 Jahre, nicht automatisiert verarbeitet werden können.

Der Kontext ist definiert als die Situation, in der die Daten erfasst und verarbeitet werden.

In diesem Fall ist es das Krankenhaus und die Rechtsgrundlage ist die Zustimmung. Wenn also ein Patient im Krankenhaus aufgenommen wird, muss dieser ausdrücklich seine Zustimmung zur Datenverarbeitung erteilen. Wenn dieser Patient, zu einem späteren Zeitpunkt wieder im Krankenhaus ist und die gleiche Art der Daten auf die gleiche Art verarbeitet werden, ist keine erneute Zustimmung notwendig. Wenn sich der Verarbeitungsprozess jedoch ändert ist in jedem Fall eine Zustimmung notwendig.

All diese Dinge, Art, Umfang und Dauer der Verarbeitungstätigkeit, müssen in der Datenschutz-Folgenabschätzung erwähnt und beschrieben werden.

Definition von Datenkategorien im Rahmen der DSGVO

Wenn Sie diese Kategorien verstehen, können Sie oder ihre Projektleiter problemlos Datenkategorien unterscheiden und eine Datenschutz-Folgenabschätzung durchführen.


Die Allgemeine Datenschutzverordnung definiert personenbezogene Daten als alle Informationen aufgrund derer eine natürliche Person identifiziert werden kann.

Diese Daten können berufliche Daten oder privater Natur sein. Dazu gehören auch Daten, durch die eine indirekte Identifikation mit Hilfe von Querverweisen möglich ist.

Ein Beispiel ist eine Matrikelnummer, die Ihnen an der Universität zugewiesen wurde, oder Ihre IP-Adresse.

Art 9 DSGVO legt fest in welcher Art und Weise besonders sensible Daten verarbeitet werden können. Dabei ist zu beachten, dass die DSGVO sensible Daten als solche Informationen definiert, welche Hinweise auf die rassische und ethnische Herkunft oder politische bzw. religiöse Ansichten einer Person geben könnten. Darunter fallen auch alle Daten, die die Gewerkschaftszugehörigkeit, Gesundheitsdaten oder andere biometrische Daten offenlegen.

Wenn Sie sensible oder personenbezogene Daten verarbeiten, müssen Sie dies, gem. DSGVO, in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Diese Protokollführung ist für die gesamte Datenverarbeitung erforderlich.


Weitere Datenkategorien


Hier sind einige weitere Definitionen, gem. Pegasystems, die Sie vielleicht nützlich finden könnten:

Daten über Gesundheit werden der DSGVO als personenbezogene Daten definiert, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Dazu gehört auch die Bereitstellung von Gesundheitsdiensten, die Informationen über den Gesundheitszustand eines Patienten preisgeben können.


Genetische Daten werden laut DSGVO als personenbezogene Daten definiert, die sich auf vererbte oder erworbene genetische Merkmale einer Person beziehen. So auch Daten, die einzigartige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern. Es sind alle Daten, die Sie aus einer Analyse einer biologischen Probe von der betreffenden natürlichen Person erhalten.


Biometrische Daten sind personenbezogene Daten aus spezifischen technischen Verarbeitungsprozessen, die sich auf die physikalischen, physiologischen oder verhaltensmäßigen Eigenschaften einer Person beziehen. Es sind alle Daten, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen. Beispiele sind Gesichtsbilder oder daktyloskopische Daten.

(Pegasystems, 2018)


Definition von Datenverarbeitung im Großen Umfang


Die Verarbeitung von Daten im "großen Stil" ist schwer zu definieren, und es wird viel über die genaue juristische Bedeutung des Begriffes diskutiert.

Wenn Sie nun jedoch Daten in großem Umfang verarbeiten, müssen Sie eine Datenschutz-Folgenabschätzung durchführen, um keine DSGVO-Bußen zu erhalten. Also wann genau ist das notwendig?

Nach EC Europa:

"Die DSGVO definiert nicht, was ein Großprojekt ist.

Die WP29 empfiehlt, bei der Entscheidung, ob eine Verarbeitung in großem Umfang erfolgt, insbesondere die folgenden Faktoren zu berücksichtigen:


  • Die Anzahl der betroffenen Personen - entweder als eine bestimmte Anzahl oder als Anteil an der relevanten Bevölkerung.


  • Datenvolumen und/oder die Bandbreite der verschiedenen zu verarbeitenden Datenelemente
  • geplanten Verlauf und die bisheriger Dauer der Datenverarbeitungstätigkeit
  • Geografischer Umfang der Verarbeitungstätigkeit”




Was wir sicher wissen:

  • Wenn Sie Daten der Sonderkategorie verarbeiten, müssen sie, selbst wenn sie nur einen Datensatz haben, eine Datenschutz-Folgenabschätzung durchführen.
  • Als Freiberufler benötigen Sie bei einer überdurchschnittlich großen Anzahl von Datensätzen, eine Folgenabschätzung. Beispiele für Freelancer sind Ärzte, Anwälte oder andere Berufe, die mit Kunden zu tun haben. Eine beliebige Anzahl von Personen, die in Ihrem Fachgebiet über dem Durchschnitt liegt, gilt als großer Umfang.
  • Ebenso benötigen Sie als Unternehmen, in dem die Datenverarbeitung ein integraler Bestandteil Ihres Unternehmens ist, eine Datenschutz-Folgenabschätzung. Wenn es sich um eine regelmäßige Tätigkeit handelt, können Sie anhand der folgenden Faktoren begründen, warum Sie oder warum Sie keine Daten in großem Umfang verarbeiten: Anzahl der betroffenen Personen, Umfang der personenbezogenen Daten und geografische Standorte.

Hier sind einige Beispiele, die Sie in Ihre Datenschutz-Folgenabschätzung Vorlage integrieren können:

"...Verarbeitung von Patientendaten im regulären Geschäftsbetrieb durch ein Krankenhaus, Verarbeitung von Reisedaten von Einzelpersonen mit Hilfe des öffentlichen Personennahverkehrs einer Stadt (z.B. Tracking über Fahrkarten), Verarbeitung von Echtzeit-Geo-Standortdaten von Kunden einer internationalen Fast-Food-Kette zu statistischen Zwecken durch einen auf diese Tätigkeiten spezialisierten Prozessor, Verarbeitung von Kundendaten im regulären Geschäftsbetrieb durch eine Versicherungsgesellschaft oder eine Bank Verarbeitung von personenbezogenen Daten für verhaltensorientierte Werbung durch eine Suchmaschine, Verarbeitung von Daten (Inhalt, Verkehr, Standort) durch Telefon- oder Internetanbieter. [All diese stellen groß angelegte Verarbeitung dar]


Beispiele, die keine groß angelegte Verarbeitung darstellen, sind:

die Verarbeitung von Patientendaten durch einen einzelnen Arzt Bzw. Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt"

(EC Europa, 2018)

Als Leitfaden für Ihre Datenschutz-Folgenabschätzung, der Ihnen effektiv hilft, Bußgelder zu vermeiden, können Sie diese Beispiele in Ihre Datenschutz-Folgenabschätzungs-Vorlage aufnehmen, um diese als Werkzeug zum Verständnis des Prozesses zu nutzen. Verschiedene Projektmanager können sich dann auf das gleiche Dokument beziehen.

Wann ist es notwendig, eine Datenschutz-Folgenabschätzung durchzuführen?


Sie müssen eine Datenschutz-Folgenabschätzung, wenn Sie systematisch und umfassend Daten erfassen. Sie müssen sie auch durchführen, wenn Sie wichtige Entscheidungen über Menschen treffen. Vor allem, wenn dies durch automatisierte Prozesse oder Algorithmen geschieht. Wenn Sie neue Technologien zur groß angelegten Datenverarbeitung einsetzen, müssen Sie eine Folgenabschätzung durchführen.


Wenn Sie eine Technologie verwenden, die Daten einer besonderen Kategorie oder Daten zu Straftaten verarbeitet, muss eine Bewertung durchgeführt werden. Jede Technologie, mit der Sie personenbezogene Daten und Daten zu Straftaten verarbeiten, benötigt eine entsprechende Datenschutz-Folgenabschätzung.


Wenn Sie Profiling verwenden, führen automatisierte Entscheidungsfindung und Verarbeitung von Daten spezieller Kategorien dazu, dass eine Folgenabschätzung notwendig wird. Besonders wenn Sie diese Prozesse nutzen, um Entscheidungen über Opportunities zu treffen und den Zugang zu diesen Opportunities, Dienstleistungen oder Unterstützungsleistungen zu erhalten. Zum Beispiel, um einen Telefon- oder Netzvertrag von einem Träger oder ein Darlehen von einer Bank zu erhalten.


Regelmäßige und systematische Verarbeitung

Wenn Ihre Organisation eine regelmäßige und systematische Überwachung durchführt, ist eine Datenschutz-Folgenabschätzung erforderlich.

EC Europa fasst den Begriff der systematischen Überwachung zusammen:

"Der Begriff der regelmäßigen und systematischen Überwachung von betroffenen Personen ist in der DSGVO nicht definiert. Aber sie umfasst eindeutig alle Formen der Ortung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung. Der Begriff der Überwachung ist jedoch nicht auf die Online-Umgebung beschränkt."

Wenn Sie Daten aus mehreren Quellen kombinieren und darauf zugreifen, um sie zu vergleichen oder abzugleichen, wird auch die Erstellung einer Datenschutz-Folgenabschätzung empfohlen. Zum Beispiel die Erstellung von Käufer-Profilen aus Daten, die Sie aus öffentlichen Profilen in den sozialen Medien oder dem Online-Shopping-Verhalten erhalten. Wenn Sie den Online- oder Offline-Standort verfolgen und Daten durch ihn generieren, ist eine Datenschutz-Folgenabschätzung auch unerlässlich.

Wenn Ihr Unternehmen personenbezogene Daten von Kindern verarbeitet, müssen Sie eine Bewertung durchführen. Selbst wenn Sie dies durch automatisierte Entscheidungsfindung oder für das Marketing tun, erfordert dies eine Folgenabschätzung. Die werden sich auch von der zuständigen Datenschutzbehörde beraten lassen müssen, wenn die Dienstleistung oder das Produkt direkt an Minderjährige vermarktet wird.

Wenn Sie feststellen, dass die Verarbeitung personenbezogener Daten zu einem Risiko von Körperverletzungen führen kann, ist eine Bewertung erforderlich. Körperliche Schäden im Rahmen der DSGVO gelten als sehr schwerwiegend.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

Unternehmen müssen vor Projektbeginn, insbesondere jedoch vor Beginn der Datenverarbeitung, eine Datenschutz-Folgenabschätzung durchführen.

Schritt 1: Beschreibung der Verarbeitung

Sie müssen Art, Umfang, Kontext und Zweck der Verarbeitung detailliert beschreiben. Stellen Sie sicher, dass Sie Ihre Datenverarbeiter bitten, mit Ihnen zu kooperieren, um die von Ihnen durchgeführten Verarbeitungstätigkeiten vollständig zu verstehen, zu dokumentieren und alle damit verbundenen Risiken zu identifizieren.

Wenn Sie beispielsweise das Einkaufsverhalten verfolgen, würden Sie den Umfang des Trackings definieren. Was genau verfolgen Sie? Verfolgen Sie, was die Verbraucher kaufen, welche Produkte sie betrachten, wie lange sie sich ein Produkt ansehen? Das muss klar und deutlich zum Ausdruck gebracht werden.

Sie müssen auch angeben, warum genau Sie das Tracking durchführen: um nützliche, personalisierte Empfehlungen abzugeben. Beantworten Sie die Frage, wie Sie die Daten schützen, wo sich die Server befinden, was ist die Notwendigkeit der Verarbeitungstätigkeit und grundsätzlich alle Fragen, die Sie sich stellen würden, wenn Sie Ihre Aufzeichnungen der Verarbeitungstätigkeit erstellen. All diese Informationen müssen für jede Verarbeitungstätigkeitt dokumentiert werden.

Schritt 2: Identifizieren Sie die Risiken der Verarbeitungstätigkeit

Arbeiten Sie mit Ihrem Team zusammen, um alle Risiken zu identifizieren, die diese Aktivität für die Rechte und Freiheiten der Personen, von denen Sie die Daten erfassen, mit sich bringen könnte. Prüfen Sie, ob die Verarbeitung für Ihre Zwecke notwendig und verhältnismäßig ist und beschreiben Sie, wie Sie die Einhaltung der Datenschutzvorschriften sicherstellen. Die Bewertung der Schwere der Risiken für die Rechte und Interessen eines Individuums muss so objektiv wie möglich erfolgen.

Schritt 3: Dokumentieren Sie alles!

All dies müssen Sie für Ihre Datenschutz-Folgenabschätzung dokumentieren, einschließlich aller Unstimmigkeiten, die Sie mit Ihrem Datenschutzbeauftragten (DSB) haben. Nach der Dokumentation können Sie die Maßnahmen, in Sie in Ihre Projektplanung integriert haben, umsetzen.

Hauke Holtkamp rät Unternehmen, "...Statistiken zu verfolgen, anstatt Profile zu erstellen." Er arbeitet am Beispiel von ECOMPLY.io:

"Wir wollen verstehen, wie unsere Nutzer jeden Schritt durchlaufen, um die Anforderungen der DSGVO zu erfüllen und um zu sehen, wie viel Zeit unsere Nutzer für jeden Schritt aufwenden, damit wir die App besser machen können, indem wir die Schritte weiter analysieren, bei denen die meisten User Probleme haben. Das kann leicht anonym nachvollzogen werden, indem wir keine Profile unserer Benutzer erstellen. Wir sehen uns  einfach nur Statistiken über jeden Schritt an. Auf diese Weise integrieren wir die Prinzipien des Datenschutzes in unsere App."

Indem man diesem Ratschlag folgt, kann man verhindern, dass eine Datenschutz-Folgenabschätzung überhaupt notwendig wird.

Herausforderungen bei der Durchführung  der Datenschutz-Folgenabschätzung

Wenn Unternehmen externe Parteien mit der Durchführung einer Datenschutz-Folgenabschätzung beauftragen, besteht die Herausforderung darin, dass Kunden die Folgenabschätzung nicht durchführen wollen, da sie sich nicht bewusst sind, was sie darstellt und welche Folgen sie haben könnte. Daher besteht in der Regel die Befürchtung, dass die Durchführung einer solchen Maßnahme zu eingeschränkten Geschäftspraktiken und -optionen führen könnte.

Ein weiteres Problem ist der Mangel an Informationen, die notwendig sind, eine Folgenabschätzung vollständig durchzuführen. Dies hat zwei Gründe: Zum einen ist die DSGVO relativ neu und es bestehen viele Unklarheiten und zum Anderen ist nur ein kleiner Prozentsatz aller Unternehmen mit der Verordnung konform. Das bedeutet, dass sie sich ihrer Datenpfade und -verläufe nicht vollständig bewusst sind, was die Dokumentation im DPIA etwas schwierig macht.

Die Datenschutz-Folgenabschätzung hat auch die negative Konnotation, dass sie äußerst mühsam und zeitaufwändig ist. Dies entmutigt die Unternehmen, eine Einschätzung vorzunehmen oder Zeit und finanzielle Mittel in sie zu investieren, selbst wenn sie mit hohen Geldbußen rechnen müssen.

Hauke Holtkamp, Mitbegründer von ECOMPLY.io, sagt nach einem Kundengespräch:

"Die größte Herausforderung für unsere Kunden ist es, herauszufinden, wo sie anfangen sollen, da es im Moment nicht viel Referenzmaterial gibt. Außerdem hängen viele Geschäftsmodelle von einigen nicht konformen Prozessen ab. Eine Folgenabschätzung ist jedoch ein nützliches Instrument, um zu erkennen, wo in Ihrem Unternehmen regelwidrige Prozesse stattfinden."

Vorteile einer Datenschutz-Folgenabschätzung

Die Durchführung einer Datenschutz-Folgenabschätzung vor Projektbeginn ermöglicht es Ihnen, den Informationsfluss innerhalb des Projekts von Anfang an zu verfolgen.

  • Es wird Ihre Kommunikation zum Thema Datenschutz mit verschiedenen Interessengruppen verbessern.
  • Sie können bei Ihren Benutzern und Kunden das Vertrauen gewinnen, dass Sie ihre Daten verantwortungsbewusst verarbeiten.
  • Ihr Unternehmen kann sicherstellen, dass Ihre Nutzer nicht gefährdet sind, und die Kosten, für den Fall, dass ein Sicherheitsverstoß auftritt, reduzieren.
  • Es hilft Ihnen auch, die Betriebskosten zu senken, indem es den Informationsfluss optimiert.
  • Sie vermeiden DSGVO-Geldbußen, indem Sie die Einhaltung der Vorschriften sicherstellen.


Die DSGVO ist noch eine relativ neue Gesetzgebung und Datenschutz-Folgenabschätzungen wurde zu diesem Zeitpunkt noch nicht von vielen Unternehmen durchgeführt. Es ist zunächst äußerst wichtig, den gesamten Datenfluss Ihres Unternehmens abzubilden, um zu verstehen, wie Daten durch Ihr Unternehmen fließen und verarbeitet werden.

Ihr Unternehmen sollte auch Mitarbeiter schulen, um festzustellen, wann Datenschutz-Folgenabschätzungen benötigt werden. Sie sollten dies als integralen Bestandteil der Compliance betrachten. Im Allgemeinen sollten Sie eine Datenschutz-Folgenabschätzunge für alle neuen Prozesse oder Organisationsmaßnahmen durchführen, die Sie ändern.

Laut Hauke Holtkamp:

“Eine Datenschutz-Folgenabschätzung zur Vermeidung von DSGVO-Strafzahlungen ist als Unternehmen unglaublich schwer durchführbar. Das erste, was Sie tun sollten, ist die Struktur Ihrer Prozesse zu strukturieren. Erstellen sie eine geordnete Liste der Prozesse und gehen Sie diese wie eine Checkliste, die angibt, welches Verfahren "schädlich" und welches "harmlos" ist, durch. Dies erleichtert die Strukturierung der Folgenabschätzung.

Stellen Sie am Ende hohe Risiken für bestimmte Prozesse fest, stellen Sie sicher, dass Sie Maßnahmen ergreifen, um diese Risiken zu reduzieren.”

GDPR Readiness Survey for Software and SMEs

A comprehensive GDPR Readiness Survey Report on how software companies and SMEs prepared and currently operate under the GDPR.

GDPR, you’ve heard of it, probably feared it, but you cannot ignore it. If you are like us, you wanted to get everything ready for the May implementation or, in contrast, you might have thought ‘I doubt any other startup/SME will become compliant, I won’t bother yet’. Well, we wanted to put both sides of the argument to the test and so carried out extensive research on just how GDPR ready Software Industry and SMEs are, what their problems were and how they view their activities in line with GDPR.

Why did we bother?

As a GDPR Compliance Software company, we wanted to find out the state of the market and whether our solutions is useful, as well as how we can improve to offer more value.

Although we are GDPR ready ourselves, we needed to understand some of the barriers companies are facing in becoming fully compliant, where they are in the process internally and what they think of GDPR, so we set out to investigate using a number of questions to get the most out of our respondents.

Data we collected

In this GDPR Readiness Survey, we investigated 100 different software companies and startups of varying sizes, ranging from 1-250 employees in order to get varied data from all companies across the spectrum . We collected the survey in a GDPR compliant way. Here is a breakdown of some of the demographic data we employed:

  • 1-250 employee companies.
  • Worldwide locations, but operate in the EU or store EU citizens' data.
  • We opted for quantitative & qualitative data.
  • We combined open ended questions with multiple answer questions.
  • We investigated the biggest challenges SME and software companies faced in being GDPR compliant.
  • We offered different aspects of GDPR requirements and requested respondents mark with which they comply with and leave blank those that they do not comply with.
  • The respondent’s annual budget for compliance efforts.

What did we find?

Our results from GDPR Readiness Survey were quite surprising, and illustrated a fairly accurate environment surrounding GDPR in the real world.

Although GDPR can bring about heavy fines, we are yet to see any real world examples of these fines in full swing, and with 50% of our respondents indicating they managed GDPR compliance internally without the consultation of an external body or an external lawyer, we may see that change in the near future as those companies that misinterpreted the regulations come to light. Companies became compliant to serve their customers better, as indicated by Marcin from Survicate.

We do our best to implement services that fulfill our customers’ needs. One of the most important customers’ requirement is the security of their data. That is why for us it is paramount. Survicate understands how the fulfillment of GDPR obligations improves protection of our customers’ data.

In contrast 42% of respondents contacted a lawyer to advise on GDPR compliance, but it’s a likely trait of larger businesses to put more resources into legal help compared to the 50% who didn’t, who are smaller and so less likely to bring in external aid.

Since lawyers are important for GDPR compliance, Peter Sterkenburg from Leadfeeder wants a more robust way to prove GDPR compliance by external lawyers and third parties.

A healthy angle to responsibly consider using personal data. I really do miss proper certification mechanisms though. Still very little movement on that. I am also looking forward to the PECR and what that brings.

So how many companies were GDPR compliant?

What we found interesting though, was that 52% of survey respondents believed that they are fully GDPR compliant - an indicator that there is a lot of groundwork to cover up in small businesses and software companies industry wide. The reasons for this low number of that metric were also surprising, and that smaller businesses are less inclined to comply compared to the larger companies with more resources.

However, Joi, believed differently, CEO of Crankwheel. He said:

We took a mostly manual route with e.g. implementation of data subject rights and how we implement DPAs (it's a manual customer support procedure that we've trained our support folks in). If we see significantly more requests regarding data subject rights, or significantly more customers, we are likely to invest in tools to help with these, either built in-house or sourced externally. Same goes for our employee training etc., we are very small for now but when we grow we would be somewhat likely to invest in a tool that would help with training and compliance certification (even if not formal certification). We have a quarterly process in place to update procedures, training materials, perform new risk analysis etc. and for this, so far, Google Calendar + Google Drive (docs and spreadsheets) have proven to be enough.

Jim from Dynamic Signal spoke in the similar fashion.

Our GDPR efforts were comprehensive and we invested many cross functional resources as well as bringing in external consultants and legal support to ensure we were following all of the guidelines for GDPR and fully protecting our investors, employees, end users, and most of all our customers.

Of those that were compliant, the two main reasons for investing in GDPR compliance were in fact meeting the newly increased customer expectations and in order to circumvent the likelihood of lawsuits for non-compliance, especially given the nature of software companies and the amount of cyber threats they are up against daily.

What were our respondents reasons for lack of GDPR compliance?

Further to this, our GDPR Readiness Survey found 38% of companies believed the new regulations were too complicated, and rightly so. The idea of GDPR was to remove any kind of uncertainty or loophole opportunities from previous legislation, as well as unify the European stance on data handling and processing.

Olga, the Marketing Manager at Chanty, was also confused with the new regulation and she said:

GDPR is the 88-page monster that has struck fear into the hearts of companies slowing down growth and blocking effective marketing efforts. As a result, inboxes were swamped with GDPR consent emails that were deleted in bulk without even opening, not even speaking of giving consent. Companies had to delete entire blasts of emails from the databases that took years to build. As internet user, I don't feel the difference after May 25th. As a marketer, I feel GDPR definitely doesn't contribute to development and innovation in European business sector.

In our opinion the GDPR leaves too many grey areas in certain business environments where what should have been black and white rules are now open to interpretation. This is compounded the fact that most companies didn’t have a dedicated GDPR consultant or compliance team, with only 22% reporting compliance was managed by IT and legal.

Of those that were compliant, what steps had they taken?

Despite a clear lack of monetary investment in GDPR compliance, it was great to see that most companies, regardless of size, took steps and measures to comply with GDPR, with all software companies and SMEs we surveyed reporting that they updated their Privacy Policies to acknowledge GDPR and explain how they were taking steps to be compliant.

Adam from Better Proposal says about the GDPR:

GDPR is a step in the right direction. It's been a long time coming and it's good for businesses and consumers to have a standard in place. It's important to us to make sure people feel safe using our software and GDPR is a good "badge" to have to show you at least take it that seriously.

Software was the name of the game

The startup mentality was in fact in full swing here, as many respondents admitted to using a third party compliance software tool, instead of lawyers support, to quickly handle generating a new Privacy Policy and Cookie Consent document, although how accurate those policies are in line with GDPR and the businesses using the software is unknown.

Of all steps necessary for GDPR compliance, we found (without surprise) that vendor compliance was in fact the area with least focus from our respondents. We believe this to be not from a lack of effort, but from a lesser understanding of how to obtain the necessary documentation and agreements from third party services and data processors they were using in the course of providing their software or products. This is an area we would like to see improved by the GDPR committee, as obtaining the correct information from business critical third party processors (like analytics software, data enrichment services etc) is somewhat of a grey area, especially for smaller companies who cannot dedicate the time and resources to seek that information out from its partners.

Talking about the transparency & data processors with the third parties, Sander from Unless said:

Oddly enough, new privacy laws like GDPR have actually made it easier to do it right, by highlighting the need for transparency and compelling business owners to understand what kinds of data they collect and how they use it.

Additionally, in our GDPR Readiness Survey, 50% of software companies and SMEs we surveyed indicated that they had conducted Data Protection Impact Assessment and Data Mapping, which is a good foundation for compliancy but there is clearly room for improvement. As expected, due to the small size of most of our respondents, the budget to invest in GDPR compliancy was only €5000 annually, so it would be unfair to expect full compliancy soon after the regulations’ effective date.

GDPR Readiness Key Statistics

Overall, GDPR readiness in software companies and SMEs is an ever changing, dynamic landscape of variable compliance levels depending on budget, size of company and departmental dedication.

With regards to GDPR compliance in software companies and SMEs, what we gathered overall illustrated the following:

  • More than 52% of the companies surveyed think they are GDPR complaint (according to our GDPR Readiness Survey).
  • The two biggest reasons for investing in compliancy was the fear of lawsuits and meeting customer expectations.
  • 38% of companies think that the law is too complicated.
  • All customers have updated their privacy policy documentation in line with GDPR.
  • Privacy Policy and Cookie Consent documents are compiled using third party software tools instead of internally for the majority of respondents.

48% of surveyed companies think that GDPR has neither a positive nor negative impact on their business operations.

If you're still trying to learn more about the GDPR and want to become compliant. Get this free GDPR Guidebook.


Below are the questions and survey results from our GDPR Readiness Survey for your own interpretation

What is the employee count of your company?
Employee Size (GDPR Readiness Survey Question 1)
Where is your headquarter based?
Geographic Presence (GDPR Readiness Survey Question 2)
Do you get external help for the GDPR?
External vs Internal Help (GDPR Readiness Survey Question 3)
Which department is leading/responsible for your GDPR efforts?
Department Role in the GDPR (GDPR Readiness Survey Question 4)
Which of the following best describes your state of GDPR compliance?
Current State of GDPR Compliance (GDPR Readiness Survey Question 5)
What were your reasons for investing in GDPR compliance?
Reasons to invest in the GDPR (GDPR Readiness Survey Question 6)
What is the biggest challenge about the GDPR?
Biggest Challenge in the GDPR (GDPR Readiness Survey Question 7)
Please choose the key requirements you have already executed:
GDPR Requirements Executed (GDPR Readiness Survey Question 8)
Please choose the key requirements you have already executed with a software service:
GDPR Execution with a Software (GDPR Readiness Survey Question 9)
GDPR Budget Distribution
Annual Budget for the GDPR in SMEs (GDPR Readiness Survey Question 10)
What was the impact of GDPR Compliance?
Impact of the GDPR (GDPR Readiness Survey Question 11)
Now that the 25th May GDPR deadline has passed, how will the data privacy management change at your company?GDPR Readiness Survey Question
GDPR Importance after 25th May (GDPR Readiness Survey Question 12)
Do you plan to increase investment in technology and tools to support your ongoing GDPR compliance efforts? GDPR Readiness Survey Question
Investment in technology for the GDPR compliance efforts (GDPR Readiness Survey Question 13)

Below is a list of those companies which supported this survey and agreed to the publication of their names.

Userpilot - User Onboarding & Product Adoption Software

https://salesflare.com - An Intelligent Sales CRM for teams who thrive on technology

https://www.poptin.com - A Lead Conversion Platform

https://lemlist.com - A Conversational Email Outreach Platform

https://www.visitor-analytics.io/ - The friendliest way to view your website statistics

https://www.proposify.com/ - Get the business proposal software that streamlines the creation of quotes, contracts, and other sales documents

dynamicsignal.com - The Employee Communication and Engagement Platform

https://crankwheel.com/ - CrankWheel enables you to add a visual presentation to your phone call in 10 seconds flat. Any browser, any device, works every time.

https://contentstudio.io - The only platform you will ever need for your content marketing and Social media management.

https://www.growthdynasty.com - A Tech Marketing Agency

Publbox.com - Now You Can Create, Organize and Automate All Your Social Media - From One Place

AcademyOcean.com - Use Academies to get new leads and to turn them into loyal customers

www.albacross.com - Albacross tells you exactly who’s visiting your website and how to reach them..

www.sendpilot.co - You won't need a social media team if you use SendPilot

www.meetnlearn.com - Marketplace for online & offline tutoring

www.wunderx.com - Enabling Equipment Data Mining: Edge is coming.

starhunter.com - All-in-One Solution for Recruitment Agencies

https://www.heysuccess.com/ - a default platfrom for international student mobility and recruitment.

https://kyvio.com - We Help Trainers and Coaches Sell More, Sell Faster

https://www.receptive.io - Leading B2B SaaS companies use Receptive to build winning products

https://www.sendinblue.com/ - SendinBlue empowers businesses to build and grow relationships through marketing campaigns, transactional messaging and marketing automation.

ryd.one - Your Car Assistant

https://www.chanty.com - Join Chanty – simple AI-powered team chat. Get unlimited message history free forever.

https://betterproposals.io - Online Proposal Software

https://demio.com - A Webinar Platform Built for Marketing

https://www.flipsnack.com - Digital flipbook maker for stunning magazines

https://survicate.com - Survicate is the fastest way to collect feedback from customers.

Easyecom.io - Best inventory management software, a key to rule in eCommerce industry

https://competitors.app - Track Competitors Software Tool

https://rocketlink.io - Track and retarget any link you share

http://www.subbly.co/ - A subscription ecommerce platform for entrepreneurs & marketers

www.munevo.com - Munevo wants to support people with disabilities to live independently by using smart technology

https://unless.com/ - Personalize your website to give your visitors the unique experience they deserve.

www.climedo.de - The intelligent research database with integrated electronic research management

We Converted 50% More Leads with Cold Calling After GDPR [Case Study]


Nightmare, you’re thinking, right? You wouldn’t be alone in this assumption – we’re getting more and more people ask us for help, and we’ve seen hundreds of thousands scour the web for GDPR related information like how to stay compliant, establishing a GDPR legitimate interest and how the legislation affects cold calling.

Still thinking nightmare? You probably are, and that’s fair enough.

But, we are here to help – we’ve compiled some of our thoughts, advice and how to’s on establishing a GDPR legitimate interest, cold calling while staying legal and background info on the new regulations.

Let’s jump right in!

So, as I’m sure you know, GDPR has been on the tip of the tongue for all businesses regardless of size in the past year, with hundreds of GDPR consultants, advisors, software solutions and GDPR auditors starting up all around Europe. All of which aim to provide a solution to achieve GDPR compliance with the regulations implemented on the 25th May 2018. Let’s take a look at what GDPR actually is, the associated fines for non compliance and how it is impacting the worldwide business environment, including GDPR’s influence on cold calls and establishing a GDPR legitimate interest for outbound marketing and sales.

So What is GDPR?

The General Data Protection Regulation 2016/679, commonly abbreviated as GDPR, is a set of rules and regulations that stipulate the collecting, handling and processing of personally identifiable information (PII) such as names and addresses, IP addresses, banking information and any other data type that can be used to identify a living individual. Not only this, it provides EU residents more control over the data companies store on them, offering more power to view and request the removal of that data should they decide they want to be forgotten.

The GDPR is designed to replace the antiquated Data Protection Act and other European country equivalents, GDPR acts as a blanket regulatory system governing businesses located inside the European Union, but also requires compliance by companies situated outside of Europe that collect and process the PII of citizens in Europe. Safe to say, it’s not something that can be easily avoided.

The regulation set had been in the design process for a long time, with the aim of encompassing all potential scenarios that businesses might face in order to avoid ambiguity or grey area exploitation (although, many argue the GDPR’s regulations are widely open to interpretation).

Additionally, the purpose of the new GDPR implementation is to take a much tougher stance on how companies and businesses handle the PII of individuals, with the intent to place restrictions and minimise mass marketing, automated cold calling and spam to individuals and businesses unless there is a GDPR legitimate interest for these efforts.

Additionally, data protection legislation throughout Europe had been previously broad and differing from member state to member state, resulting in a confusing process for compliance auditing internally and by external compliance processors. GDPR is designed to harmonise data protection legislation across all EU countries, resulting theoretically in a much more sustainable and straight forward road to compliance and protection of EU citizens’ data.

Meanwhile, the potential fines for non-compliance, which were previously viewed as a speeding ticket for major corporations such as Facebook, Google or other large entities, have now been greatly increased in order to displace incentives for these large corporates to abuse the rules, with the potential to take into account the company’s revenue to ensure the fine is proportional to the their wealth.

How big are the fines?

The newly enforced levels of fines has garnered a lot of media attention and will likely worry the big Fortune 500 companies – no longer can they get away with gross data protection breaches with a cheap get-out-of-jail-free card. With a maximum GDPR fine for non-compliance running at potentially 20 million Euros, or 4% of the company’s annual turnover (whichever is greater), it will be a significant loss for falling foul of the GDPR requirements.

These are of course proportional to the level of non-compliance and the GDPR governing body allows supervisory committees in EU member states to make a judgement call and enforce less severe actions such as reprimands, warnings, or smaller fines. Still, most companies should and are endeavouring to ensure compliance. On the smaller scale, fines can be 10m Euros, or 2% of a company’s annual turnover, for less critical or large scale breaches, but which still should have been prevented.

How is it affecting the world of business and cold calling?

There has been much controversy and questions about how the GDPR will affect traditional sales and marketing efforts, such as cold calling. Now, if you found this article to discover how it will affect you, please be reassured – cold calling is not dead and the GDPR will not affect B2B efforts in the extreme case you are imagining. There are however, some suggested methods of GDPR cold calling you may not have previously employed which will only help you stay on the right side of the law, and we’ll investigate those below. Just a heads up – we are a GDPR documentation, auditing and service provider and selling to privacy professionals is no mean feat, so if we can’t stay compliant then how will anyone?

When cold calling with the intention to stay GDPR compliant, there are a few things to note. You need to have established that the business you are reaching out to has a legitimate interest in the business services you are offering. A legitimate business interest will allow for full compliance and will not be considered a spam or unsolicited marketing effort under GDPR, but you must really consider whether it is legitimately of value to your prospect (i.e. you can’t just say it is when you and everyone else knows it’s irrelevant, which is bad sales technique anyway). With B2C scenarios, we suggest to avoid cold calling altogether as usually these fall foul of GDPR cold calling regulations.

GDPR Cold Calling

How We Cold Call, Establish a Legitimate Business Interest and Stay GDPR Compliant

Any kind of outbound sales efforts come with their own set of challenges when it comes to GDPR and data protection legislation, whether that is for companies governed by GDPR or other regulations like those found in the USA such as SPAM. As a company that specialises in GDPR compliance, we must always comply, usually more so than most other regular businesses, but we need to also prospect and push our sales efforts in order to survive. So, let’s take a look at some of the main pointers in how we carry out sales efforts, establish a legitimate business interest and stay GDPR compliant. Daniela Duda, one of our experts, explains legitimate interest.

What is legitimate interest?

This is how we prospected and conducted cold calls, while also staying compliant with GDPR:

  1. First, we prospected using LinkedIn and Xing in order to make use of the mass of highly targetable data they offer. We set our sights on Data Protection Agencies, who usually only have around 1-10 employees so reaching a decision making unit was likely.
  2. We did not store any personal information on our prospects. Company name and business telephone number was sufficient for us to carry out our GDPR cold calling activities.
  3. This one is interesting. Instead of directly calling an individual at the business, we called the generic line and asked the operator/switchboard to connect us with the relevant person who makes strategic decisions regarding partnerships. Although this is an extra step, it just strengthened our ability to stay compliant.
  4. Although our sole intention was to increase sales (as with any sales call), the way we pitched and structured the call was focused on establishing a mutually beneficial partnership between ECOMPLY.io and their agency.
  5. Again, as they are an agency focused on data protection compliance, and ECOMPLY.io provides GDPR Compliance Software Solution, there was a clear and indisputable legitimate business interest for them to receive our sales call and for us to reach out to them, thus preventing any GDPR related issues. We also used them as an indirect channel partner, where they could potentially promote the product to their clients or partners, meanwhile selling a license to them as well, so it was a win-win for us.
  6. We also understood their problems very well and crafted a sales pitch that they wanted to hear by addressing their problems directly. Data Protection Officers (DPOs) in Germany have many clients because the law says any company that has more than 10 employees need to have a DPO. Therefore, this role is mostly outsourced. Hence, the pitch to the problem was very targeted. External DPOs want to save time, manage multiple clients and look professional. That’s what we pitched them.
  7. Finally, and this is very important, we respected their right to refuse the call. If they were not interested, we did not follow up or continually call them to convince them, we just moved on.

What Was Our Success Rate?

Good question. We, luckily for you, gathered our metrics for our GDPR cold calling campaign here at ECOMPLY.io, and have some interesting results for you, have a peak below:


  • We successfully reached 29% of prospects we reached out to. This was pretty good taking into account how people usually ignore sales calls. Generally, if you’re reach rate (directly reaching the prospect you need) is below 15%, we suggest you change your approach to cold calling so as not to waste time.
  • Of those that we reached, we were able to qualify 69% of them, meaning they were a good fit for our product and we knew we solved their problem. Similarly, if your qualification rate is below 30%, you need a new list of more relevant leads (don’t go buying generic leads, please!)
  • We were then able to convert 51.7% of those that were qualified, which we were pretty happy with. Again, if your conversion rate is below 50%, you need to work on your pitch. Conversion means either demo or sign up by the prospect.

These metrics were taken from Steli Efti’s Close.io Blog.

Overall, we were pretty happy with these results. We have a little improvement on our pitching side to get that conversion rate up a little, bit so far it was a successful campaign and we’ll continue to invest time into GDPR cold calls – and you should too!

And finally, we’ve mentioned it a lot. What is a legitimate business interest, and how do I establish one in B2B sales?

Establishing a legitimate business interest is crucial for B2B sales and marketing efforts when you do not have prior opt-in consent. Although somewhat of a grey area, a legitimate business interest can be thought of similar to how a B2C organisation might think when marketing to a customer who has already purchased from them. For example, the business prospect should operate in the same niche or market as you, and you can therefore have good reason to believe that the party is interested in your services, thus giving you some ground to cold call.

Additionally, companies often list contact information for certain personnel publicly on their website in order to receive valuable business propositions (it’s hard to operate a business in complete isolation). This gives you a fairly strong indication that it’s okay to call the relevant company to discuss a legitimately business proposal without fear of repercussions. However, before doing any cold call, we do suggest doing your legitimate interest assessment. Here’s the resource for the legitimate interest assessment.


As you can see, it’s not as scary as you first thought right? You don’t have to close down shop or look elsewhere for work – you can still carry out your sales processes and cold calling as long as you have that all important GDPR legitimate interest. Really, all it boils down to is respecting other’s privacy, not being irresponsible when it comes to personal data and making efforts to stay compliant. That way, you’ll avoid those fines!

Want to hear more from us? Give us your details, we will only use your email address to send the data protection and privacy news, updates and content. By giving your details, you are agreeing to our privacy policy.



Disclaimer: This article is not legal advice so please seek professional legal advice to discuss your specific circumstances.

GDPR Tools & Solutions

Top 10 Free GDPR Tools and Solutions You Didn’t Know Before

Top 10 Free GDPR Tools and Solutions You Didn’t Know Before

The internet has become one of the most important technological innovations in the history of humankind as it ushered in the coming of the Information Age. It introduced the world to an even greater sense of interconnectivity and its impact can be felt in all facets of human society. Perhaps its greatest impact can be felt in economics and marketing as it paved the way for companies to reach an even broader audience and introduce innovations that allowed them to specifically target audiences with personalized forms of advertising.

Personalized advertising has quickly become the norm for digital marketing. It, however, gave rise to questionable information-gathering tactics and has raised issues regarding consumer rights to privacy. The clamor for consumer data protection grew even greater, which led the European Union (EU) to impose legislation that would govern how consumer data is collected. This new law replaces the outdated Data Protection Directive 95/46/EC and came to be known as the General Data Protection Regulation (GDPR).

The new legislation highlighted the greater need for protection in consumer data and placed more responsibility at the hands of big businesses. In the advent of the GDPR, consumers now have greater control over their personal information. Businesses now need to perform GDPR assessment over their data-gathering policies to make sure they do not face stiff penalties.

There is now a greater need for compliance. The need to comply necessitates the use of GDPR tools and solutions to ensure that consumer data is protected. That is why we’ve come up with a list of GDPR tools and solutions to help your business adhere to the policies set by the EU. These free tools and solutions providers perform automate the process of auditing and assessment of your sites to maintain GDPR compliance.

What does GDPR mean?

The General Data Protection Regulation, or GDPR, aims to assert the rights of EU citizens on their privacy and personal data and highlights the responsibility of businesses doing business in and with the EU in handling the personal data of their citizens.

Under the GDPR, individuals have certain rights to their personal information. These are:

  • The right to access
  • The right to be forgotten
  • The right to data portability
  • The right to be informed
  • The right to have information corrected
  • The right to restrict processing
  • The right to object
  • The right to be notified      

The new regulation gives individuals, prospects, customers, contractors, and employees more power over their data and takes away power from organizations that collect data for monetary gain. Non-compliance will leave businesses facing hefty fines, which can amount to 4% of their annual global revenue, or 20 million Euros, whichever is greater.


Why is GDPR necessary?


The existence of the GDPR is the European Union’s response to public concerns over data privacy. Even before the internet became the business powerhouse it is today, the EU’s Data Protection Directive, released in 1995, was placed to protect any individual’s data with regard to their processing and free movement.

With increasing accounts of high-profile data breaches, public concern over privacy continues to escalate. In fact, an RSA Data Privacy & Security Report indicated that around 80% of consumers in Germany, France, the UK, Italy, and the U.S. have lost pertinent financial and banking data. Lost security and identity information were among those that were highlighted as areas of high concern.


The establishment of the GDPR aims to ease public concerns over the storage, sharing, and security over private information. Not only that, companies are held more accountable in handling these pieces of information. This highlights the need for GDPR solutions through GDPR assessment to


What Types of Data does the GDPR Protect?


The requirements set by the GDPR have significantly altered the way companies can gather information and make use of these pieces of information. These guidelines protect:


  • Web data such as IP addresses, locations, cookies, and RFID tags
  • Information related to a person’s identity such as the names, ID numbers, and addresses
  • Ethnic or racial information
  • Genetics and health-related information
  • Biometric information
  • Sexual orientation
  • Opinions on politics


The GDPR imposes strict penalties for those that breach the GDPR – penalties that we’ve covered above. This is why compliance with the GDPR rules and guidelines is extremely necessary.


In order to speed up the process of compliance, we’ve come up with a list of free GDPR tools to help with your company’s GDPR assessment strategies. Keep in mind that GDPR solutions like these are extremely valuable in today’s internet landscape so make sure to check them out.


Top Ten Free GDPR Solutions and Tools:

  1.      Ghostery

Ghostery is a user-friendly browser extension that allows users to browse faster and smarter by controlling ads and the way they track your data. They make use of state-of-the-art tracking technology to make sure your information is safe and secure.

        Key Features:

  • Blocks third-party data-tracking technologies
  • Removes advertisements to eliminate clutter
  • Page optimization to make pages load faster by automatically blocking and unblocking trackers to meet page quality criteria
  • Customize the information users can see to display only relevant information
  • Enhanced anti-tracking and ad-blocking technologies to create safer browsing environments
GDPR Tools and Solutions
Ghostery Product Screen Shot
  1.      Cookie Script

Cookie Script is a GDPR tool that helps websites comply with European Cookie Law and the GDPR. It incorporates various functionalities that users care for and have requested, such as an all-in-one suite to control various websites from a single account, ability to delete cookies before user opt-in, consent withdrawal, platform versatility, and a self-hosted solution to make sure sites are GDPR compliant.

        Key Features:

  • GDPR tools to help comply with the EU e-Privacy directive and the GDPR
  • Offers various design options
  • Ability to control first-party and third-party cookies
  • Data consent tracking
  • Geotargeting that shows privacy policy pop-up for users from EU countries
GDPR tools and solutions
Cooke Script Details
  1.      Let’s Encrypt

Let’s Encrypt is a global Certificate Authority (CA) that allows people and organizations around the world to obtain, renew, and manage SSL/TLS certificates. It is an automated GDPR assessment tool that makes it possible to set up an HTTPS server and have it automatically obtain a browser-trusted certificate without human intervention, allowing sites to provide more security over user information while using sites.

        Key Features:

  • Can generate ECDSA root and intermediates that can be used to sign end-entity certificates.
  • Employs TLS ALPN Challenge support for users who only want to use port 443 for validation.
  • Makes use of and installs a plethora of security certificates to enforce data security and privacy.
GDPR Tools & Solutions
Let’s Encrypt Website


  1.      Activemind Privacy Policy Generator

Activemind is a consultancy agency that assists in GDPR assessment strategies to improve data protection and management and ensure that sites are compliant with the GDPR. They employ a wide variety of GDPR tools & solutions to help companies and organizations fulfill legislative requirements set by the GDPR.


  1.      CNIL

 Commission Nationale de l’Informatique et des Libertes, or CNIL, is a French data protection authority that aims to protect data and preserve individual liberties while also ensuring that innovations are supported. CNIL publishes a free Privacy Impact Assessment tool to ensure the lawfulness of processing data to enforce user rights over data. The tool is designed to build site compliance with the GDPR.

  1.      Trew Knowledge

WordPress makes available a variety of GDPR tools aimed at ensuring site compliance with the GDPR, the highest-rated of which is GDPR by Trew Knowledge. The plugin is meant to assist a Controller, Data Processor, and Data Protection Officer (DPO) with efforts to meet the obligations and rights enacted under the GDPR.

Key Features:

  • Consent management
  • Privacy Preference management for Cookies, with front-end preference UI & banner notifications
  • Rights to erasure & deletion of website data with a double opt-in confirmation email
  • Re-assignment of user data on erasure requests & pseudonymization of user Data Processor settings and publishing of contact information
  • Right to access data by admin dashboard with email lookup and export
  • Right to access data by Data Subject with front-end requests button & double opt-in confirmation email
  • Various other features that ensure GDPR compliance



  1.      AvePoint Privacy Impact Assessment (APIA) System

The Avepoint Privacy Impact Assessment (APIA) System automates the process of GDPR assessment and evaluation and keeps you updated on the process, ensuring that compliance-related efforts are going on the right direction. It helps monitor activity and progress throughout the process. It also supplies categorized suggestions to help close existing gaps with regards to people, technologies, or processes.

Key Features:

  • End-user reporting on access to site traffic, search usage, active users, checked-out documents, and top documents
  • Compliance and governance reporting to security and compliance officers for easy identification of suspicious activity
  • Office 365 support for records management to improve automated conflict resolution
  • Content archiving approval to empower end-users to review content prior to archiving
  • Virtual machine backups for improved protection on virtual elements
  1.      BayLDA

The Data Protection Authority of Bavaria for the Private Sector (BayLDA) is another data protection authority that is mandated to enforce data protection measures under the GDPR and ensure that data protection laws are followed by data controllers. They provide GDPR assessment services and inspections on existing organization policies to make sure the laws are being followed and take action when breaches are committed such as crucial data processing and sharing.

GDPR Tools and Solutions

  1.      Webskoll

Webskoll is a cookies analyzer and helps you understand how privacy friendly your website is.  Web Privacy Check monitors privacy enhancing features on websites and helps you find out who is letting you exercise control over your privacy. We check to what extent a website monitors your behavior and how much they gossip about the monitoring to third parties. We’ve also compiled a set of recommendations for web designers and managers on how to not track or gossip in digital environments. We also suggest questions and feature requests from users of websites who want to alert webmasters to the opportunity for improvement.

Key Features:

  • Sharing cookies that the your have on your website
  • Sharing the indexes
  • If you have a secure connection

  1.    ECOMPLY.io

ECOMPLY.io provides GDPR assessment that come with an easy-to-understand, clearly-stated step-by-step plan towards creating policies that ensure compliance. Their GDPR solutions allow easy application on any platform, which incorporates features that save 70% GDPR preparation and documentation time by giving the right answers to the right questions, even without legal assistance from any lawyer.

Project management & workflow strategies employed by ECOMPLY.io provides any organization and business with a clear report of any requirements currently needed to ensure compliance. We offer a free 14-day trial that can surely bring your organization multiple steps closer to compliance. Plus, we give a FREE GDPR Gap Assessment to help identify key issues and help you come up with an action plan.

Key Features:

  • Clear instructions towards GDPR compliance
  • Saves you time on familiarization because their GDPR tools are easy to use
  • Compliance progress tracking
  • Multi-user management for every team
  • Reports are easily exportable as beautiful PDFs
  • 1-click assignment of data flows
  • Provides automatic reminders of progress
  • All data protection efforts come in an all-in-one platform
  • Automatic vendor management
  • Attachment of compliance badge as a demonstration of compliance after successful strategy adoption
  • Multitudes of templates are available to suit your needs
  • Compliance for both controllers and processors

Offer: If you make less than €1000 as a business. ECOMPLY.io is going to offer the solution for FREE.



The General Data Protection Regulation, or GDPR, has indeed changed the way data can be collected and certainly brought with it still penalties for non-compliance. Choosing not to do business with the EU in lieu of compliance is also not an option. These essential GDPR tools and service providers can surely be of immense help to businesses and organizations as they employ strategies and policies that will help them comply with the new regulation. Remember that these GDPR tools & solutions have several benefits that can make the process of compliance much easier and more efficient.

So, which free tool was your favorite? Which one are you going to use?

10 der größten DSGVO-Mythen entlarven

10 der größten DSGVO-Mythen entlarven

10 der größten DSGVO-Mythen entlarven

Lassen Sie uns 10 der größten DSGVO-Mythen entlarven, die heute weit verbreitet sind!

Nur noch 2 Wochen bis zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und die Panik schlägt um! Und davon angetrieben herrscht Paranoia um das, was getan werden muss. Gerüchte. Behauptungen. Und verrückte Ideen. In diesem Blog werden wir alle lächerlichen DSGVO-Mythen entlarven, die wir bisher gehört haben.

Mythos 1: Die DSGVO ist ein Gesetz der Europäischen Union (EU) und gilt nur für europäische Unternehmen.

Dieser spezifische Mythos stellt die Rahmenbedingungen für die Anwendung der DSGVO in Frage. Sie gilt mit Sicherheit nicht nur für europäische Unternehmen. Sie gilt für ALLE Unternehmen, die in irgendeiner Weise Daten von Personen mit Wohnsitz in der EU erheben, empfangen und verarbeiten. Darüber hinaus muss jedes Unternehmen, das betroffenen Personen innerhalb der EU Waren oder Dienstleistungen anbietet oder deren Verhalten in irgendeiner Weise überwacht, die Vorschriften einhalten, unabhängig vom Standort des Unternehmens. Tatsächlich ist es möglich, dass ein europäisches Unternehmen nur Daten von in Amerika ansässigen Personen verarbeitet. In diesem Fall gilt die DSGVO nicht für das Unternehmen. Grundsätzlich spielt es keine Rolle, wo das Unternehmen seinen Sitz oder seine Wurzeln hat, die Frage, nach der beurteilt werden sollte, ob die DSGVO gilt oder nicht, ist: "Wessen Daten werden angefasst?"

Mythos 2: Die DSGVO wurde geschaffen, um Unternehmen mit Geldbußen zu bestrafen.

Die Grundsätze, auf denen die DSGVO beruht, sind nicht die Bestrafung von Unternehmen, sondern vielmehr die Ermächtigung der Menschen zu mehr Kontrolle über ihre Daten und die Gewährleistung einer verantwortungsvollen Datenerhebung und -verarbeitung. Die möglichen Bußgelder, die verhängt werden könnten, wurden lediglich immer wieder genannt, um die Bedeutung der Compliance für Unternehmen zu untermauern. Zum jetzigen Zeitpunkt kann jedoch niemand vorhersagen, wie streng die Behörden diese Geldbußen verhängen werden, wenn überhaupt. Höchstwahrscheinlich werden sie den Unternehmen Aufschub gewähren und reichlich Spielraum lassen, wenn sie sehen, dass Anstrengungen unternommen werden, um die Anforderungen zu erfüllen. Nicht für jeden kleinen Verstoß werden Geldbußen verhängt. Das liegt daran, dass das Wesen der DSGVO im Kern eher ermächtigend als strafend ist.

Mythos 3: Die DSGVO ist nur für IT-Abteilungen und das obere Management bestimmt.

Die meisten Menschen, die an Datenschutz denken, kommen sofort zu dem Schluss, dass das etwas für die IT-Abteilung ist. Im Falle der DSGVO ist dies jedoch überhaupt nicht der Fall. Die DSGVO soll den Umgang mit Daten in Unternehmen reformieren, weshalb sie für jede Abteilung und jede Person innerhalb eines Unternehmens gilt und Verantwortlichkeiten für alle mit sich bringt. Prozesse müssen geschaffen werden, aber auch die Mitarbeiter müssen über die DSGVO aufgeklärt werden. So werden beispielsweise bei der Erfassung aller Verarbeitungstätigkeiten Vertreter aller Abteilungen eines Unternehmens einbezogen.

Mythos 4: Alle Verstöße, egal wie geringfügig, müssen den Datenschutzbehörden gemeldet werden.

Verstöße müssen den zuständigen Behörden gemeldet werden, dies gilt jedoch nur für solche Verstöße, bei denen eine Gefahr für die Rechte und Freiheiten der Menschen besteht. Es muss also nicht jeder Verstoß gemeldet werden.

Mythos 5: Alle Angaben müssen in dem Moment gemacht werden, in dem ein Verstoß innerhalb eines Unternehmens auftritt.

Wenn es einen Verstoß innerhalb eines Unternehmens gibt, sind Details dazu manchmal nicht sofort verfügbar. Unternehmen müssen selbst nachforschen, bevor sie alle notwendigen Informationen sammeln können. Die DSGVO berücksichtigt dies und räumt einen Zeitraum von 72 Stunden ein, um solche Fälle zu melden, sofern möglich. Einmal gemeldete Daten können bei Bedarf auch nach den vorgesehenen 72 Stunden zur Verfügung gestellt werden.

Mythos 6: Für jede Aktivität muss eine Einwilligung eingeholt werden.

Die allgemeine Auffassung von Unternehmen ist, dass die Einwilligung von Usern im Mittelpunkt der DSGVO steht. Ohne Zustimmung kann keine Datenverarbeitung durchgeführt werden. Diese Auffassung ist äußerst irreführend. Die DSGVO lässt verschiedene Möglichkeiten zu, eine Verarbeitungstätigkeit zu rechtfertigen, von denen die Einwilligung der betroffenen Person nur eine ist. Einige andere sind unten in der ECOMPLY-Anwendung zu sehen, in der Sie einfach eine Möglichkeit auswählen können, um die rechtliche Grundlage für eine Aktivität zu ermitteln.

Mythos 7: Im Rahmen der DSGVO müssen Sie erneut die Zustimmung aller Betroffenen einholen!

Nachdem wir also den ersten der DSGVO-Mythen über die Einwilligung im Rahmen der DSGVO zunichte gemacht haben, geht es im zweiten Fall speziell um die Aufforderung zur Einwilligung im Rahmen der DSGVO. Die meisten Unternehmen sind der Meinung, dass dies von Grund aufgetan werden muss, um DSGVO-konform zu sein. Einwilligungen, die nach der Datenschutzrichtlinie eingeholt wurden, genügen den DSGVO-Standards jedoch. Überprüfen Sie lediglich die Einwilligungen und den Standard, den die DSGVO dafür setzt.

Mythos 8: Die neuen Regeln zur Datenübertragbarkeit gelten für alle Unternehmen.

Datenübertragbarkeitsanforderungen sind nur dann gegeben, wenn die Rechtsgrundlage einer Verarbeitungstätigkeit auf Einwilligung oder vertraglicher Notwendigkeit beruht.  Wenn die Rechtsgrundlage ein berechtigtes Interesse, ein öffentliches Interesse oder eine andere laut DSGVO zulässige Bestimmung ist, gelten die Anforderungen nicht.

Mythos 9: Das Rechenzentrum muss in der EU sein!

Dies ist eine weitere häufige Fehlannahme. Das Rechenzentrum eines Unternehmens muss nicht in der EU liegen. Es kann sich auch in einem der Drittländer befinden, die die DSGVO zulässt. Grundsätzlich darf es nicht in einem Land liegen, in dem es keine Datenschutzbestimmungen gibt. Hier sehen Sie, was wir zu diesem Thema hilfreich fanden.

Mythos 10: Biometrische Daten sind sensible Daten.

Dies ist der verständlichste Irrtum, der sich bezüglich der DSGVO entwickelt hat. Biometrische Daten, die ein Unternehmen sammelt, sind wie alle anderen Daten nur dann sensibel, wenn sie aktiv zu Identifikationszwecken verwendet werden. Sie werden tatsächlich überwiegend zu Identifikationszwecken erhoben, aber wenn das nicht der Fall ist, müssen biometrische Daten nicht als sensible Daten behandelt werden.

DSGVO-Checkliste Für Anfänger

DSGVO-Checkliste Für Anfänger

DSGVO-Checkliste Für Anfänger

Diese DSGVO-Checkliste wurde entsprechend der DSGVO-Konformität erstellt. Außerdem ist sie die einzige DSGVO-Checkliste, die Sie je benötigen werden.

Bevor Sie die DSGVO-Checkliste durchgehen, ist es wichtig, einige grundlegende Schritte zu wiederholen. Erster Ausgangspunkt ist die Kenntnis über die allgemeinen Rechte, die Ihre Kunden/Nutzer haben:

Betroffenenrecht: Dies sind die Rechte Ihrer Kunden und Nutzer gemäß der Allgemeinen Datenschutzverordnung (DSGVO).

Datenübertragbarkeit: Dies ist das Recht einer Person nach der DSGVO, ihre Daten an andere Datenverantwortliche weiterzugeben. Im Wesentlichen bedeutet es, dass Verbraucher durch schnellen und effizienten Datentransfer von einem Unternehmen zum anderen wechseln können.

Das Recht, vergessen zu werden: Kunden/Benutzer können Sie auffordern, alle ihre Daten zu löschen.

Das Recht, Profiling zu verhindern: Dies kann durch automatisierte Entscheidungsfindung oder durch andere Formen der Entscheidungsfindung geschehen, die personenbezogene Daten einer Person verarbeiten und Rückschlüsse auf diese Personen ziehen.

Das Recht, der Verarbeitung zu widersprechen: Ihre Kunden können Sie von der Verarbeitung jeder Kategorie ihrer Daten, die Sie haben, ausschließen.

Das Recht auf Berichtigung und Löschung: Dies bezieht sich auf die Bearbeitung von Daten und die Beschränkung des Zugriffs auf bestimmte Arten von Daten.

Subject Access Requests ("SARs"): Dies sind Anfragen, die Ihr Kunde/Nutzer zu einem beliebigen Zeitpunkt stellen kann, um Sie nach Daten zu fragen, die Sie über ihn haben und wie diese verwendet werden.

Wiederholung der grundlegenden DSGVO Schritte

Machen Sie zunächst eine Bestandsaufnahme aller Daten, die Sie sammeln und verarbeiten. Wenn Sie ein Controller sind, fragen Sie sich als Leitsatz, warum Sie diese Daten sammeln. Wenn Sie ein Verarbeiter sind, fragen Sie sich: In wessen Namen sammeln Sie diese Daten? Das ist der wichtigste Teil unserer DSGVO Checkliste.

Benennen Sie einen DSB:

Ein Datenschutzbeauftragter kann intern oder extern für Ihr Unternehmen tätig sein. Wenn Sie jemanden intern ernennen, stellen Sie sicher, dass er sowohl Autonomie als auch Zugang zu den Geschäftsführern und dem oberen Management hat. Das ist vor allem notwendig, damit sie ihre datenschutzrechtlichen Pflichten und Verantwortlichkeiten ohne übermäßigen Stress und Blockaden selbstständig wahrnehmen können. Sobald dies geschehen ist, unterzeichnen Sie einen Vertrag mit der entsprechenden Person. Eine Voraussetzung für die Entsendung eines Datenschutzbeauftragten ist laut Gesetz, dass er über angemessene Fähigkeiten verfügt. Das bedeutet, dass Ihr DSB ein umfassendes Verständnis der Allgemeinen Datenschutzverordnung (DSGVO) haben sollte.

Es ist notwendig, dass Sie einen Datenschutzbeauftragten (DSB) ernennen:

1.1. Wenn das Kerngeschäft Ihres Unternehmens die Verarbeitung großer Mengen an persönlichen Daten sowie die Überwachung Ihrer Nutzer oder im DSGVO-Jargon „Datensubjekte“ ist: Personenbezogene Daten sind folgende Arten von Daten:

Daten, die eine direkte Identifizierung von Informationen wie Vorname, Nachname, Telefonnummer u.a. ermöglichen.

Pseudonyme Daten oder Daten, die die Informationen eines Betroffenen nicht direkt identifizieren, sprich die keine direkte Identifizierung von Nutzern erlauben, sondern das Herausfiltern individueller Verhaltensweisen z. B. durch gezielte Werbung (die richtige Anzeige zum richtigen Zeitpunkt dem richtigen Nutzer zu zeigen).

1.2. Wenn Ihr Unternehmen mit einer großen Menge an sensiblen Daten zu tun hat, handelt es sich um eine der folgenden Daten:

Ethnische Herkunft

Politische Meinungen

Religiöse oder philosophische Überzeugungen


Genetische Daten

Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person

Daten über die Gesundheit oder das Sexualleben und/oder die sexuelle Orientierung einer natürlichen Person

  1. Daten-Mapping:

Der zweitwichtigste Teil der DSGVO Checkliste ist die Erstellung einer Übersicht aller Daten und die Angabe aller Abteilungen, die die Daten bei der Erfassung und Verarbeitung berühren. Die verwendeten Daten müssen kategorisiert werden, damit ihre Rechtsgrundlage klar wird. Rechtsgrundlage könnten unter anderem Einwilligung, berechtigtes Interesse und vertragliche Notwendigkeit sein.

Um zu beurteilen, wohin die Daten fließen, müssen Sie eine Mind-Map erstellen, die Ihnen hilft, Ihre Compliance-Prozesse zu steuern.

  1. Sie sollten alle Aspekte der Unternehmensinteraktion mit Daten dokumentieren. Hier sind die Fragen, die Sie beantworten können sollten:

Warum wurden die Daten überhaupt gesammelt? Zu welchem Zweck?

Auf welcher Rechtsgrundlage rechtfertigen Sie die Speicherung dieser Daten? Einwilligung oder gesetzliche Bestimmungen?

3.1. Die Aufzeichnung der Verarbeitungstätigkeiten erfolgt unter diesem Schritt.

Beachten Sie hierbei alle Schritte in Ihrem Mind-Mapping-Prozess. Wer hat im jeweiligen Schritt Zugriff auf die Daten? Durch die Dokumentation Ihrer Prozesse erhalten Sie ein viel klareres und besseres Verständnis für die Datenerhebungs- und Managementstrategien Ihres Unternehmens sowie für den Compliance-Prozess. Eine konkrete Dokumentation, die definitiv durchzuführen ist, ist eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA).

3.2. Lieferantenmanagement

Wie schützen Sie diese Daten vor Verstößen? Wofür werden diese Daten noch verwendet? Stellen Sie sicher, dass Sie alle Ihre Lieferanten aufgelistet haben und Ihre Kunden/Nutzer wissen, dass Sie ihre Daten mit anderen Parteien teilen.

  1. Datenschutzverletzungen

Seien Sie ehrlich und transparent in Bezug auf alle Daten, die Sie sammeln. Im Falle eines Verstoßes werden die Personen alle Daten offenlegen, die sie bekommen haben. Ihre Kunden müssen wissen, welche Daten Sie speichern. Hier erfahren Sie mehr darüber, wie moderne Unternehmen über Daten denken sollten: https://hbr.org/2015/05/customer-data-designing-for-transparency-and-trust.

Verletzungen der Datensicherheit in Bezug auf die Daten, die Ihr Unternehmen sammelt und verarbeitet, können auftreten und müssen nach den Richtlinien des DSGVO behandelt werden. Der entscheidende Punkt hierbei ist Ihre Kunden/Nutzer über den Verstoß zu informieren. Angesichts der Bedeutung, die die EU den personenbezogenen Daten beigemessen hat, ist es nicht verwunderlich, dass die Betroffenen darauf aufmerksam werden, wenn ihre Daten von anderen Parteien, die nicht über eine Einwilligung verfügen, berührt werden. In einem solchen Fall muss die zuständige Datenschutzbehörde spätestens innerhalb von 72 Stunden nach Kenntnisnahme informiert werden.

Die gleiche Frist gilt für die betroffenen Personen, deren Daten Sie erfassen und verwenden. Das Unternehmen muss alle Personen kontaktieren und sie darauf hinweisen, dass eine Datenschutzverletzung vorliegt. Unternehmen brauchen diese Maßnahme in der Praxis jedoch nicht, wenn die Daten soweit verschlüsselt sind, dass sie nicht nachvollziehbar sind, oder wenn der Verantwortliche für die Datenverarbeitung alle notwendigen Schritte unternommen hat sicherzustellen, dass die Verletzung keine Rechte oder Freiheiten gefährdet. Wenn es einen beispiellosen Aufwand erfordern würde, jeden Betroffenen einzeln zu kontaktieren, dann würde auch eine öffentliche Bekanntmachung diese Anforderung erfüllen.

  1. Antrag auf die Erteilung einer Auskunft über personenbezogene Daten

Dies ist der entscheidende Teil der DSGVO Checkliste, da sie in früheren Datenschutzgesetzen nicht verfügbar war. Es ist eines der Grundrechte, die die DSGVO für die Verbraucher vorsieht. Das bedeutet im Wesentlichen, dass die betroffenen Personen jederzeit nachfragen können, welche Daten von ihrer Organisation erfasst wurden. Diese Zugriffsanfragen können nicht berechnet werden, auch wenn die Bearbeitung viel Zeit in Anspruch nimmt. Außerdem müssen sie innerhalb eines Monats vom Inhaber der Datenverarbeitung beantwortet werden. Das Gesetz legt zudem den allgemeinen Grundsatz fest, wann ein für die Verarbeitung Verantwortlicher dem Betroffenen die entsprechenden Verwaltungskosten in Rechnung stellen kann, wenn nachgewiesen werden kann, dass der Antrag "offensichtlich unbegründet oder übertrieben" ist. Auf diese Weise wird das Gleichgewicht der individuellen Rechte und die Rechte des Unternehmens gehalten, um einen gewissen Schutz vor Missbrauch dieser Bestimmung zu erhalten. Hier ist eine grundlegende Zusammenfassung dieses Artikels, wie in der DSGVO skizziert:

"Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  1. a) die Verarbeitungszwecke;
  2. b) die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen


  1. d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  3. f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  4. g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  5. h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person".
  6. Technische Checkliste

Als Teil der DSGVO Checkliste führt Sie diese Checkliste durch die technischen Schritte, die Ihr Unternehmen durchführen muss.

6.1. Stellen Sie sicher, dass Ihre Domainnamen geschützt sind. Sie können das tun, indem Sie diese entweder regelmäßig erneuern oder wenn Sie sie von einer dritten Partei kaufen, sicherstellen, dass der konfigurierte Nameserver, der maßgebend ist, und, dass Ihre kritischen Dienste gesichert sind.

6.2. Viele Unternehmen haben Google Apps, Slack, Wordpress, die sie in ihrem täglichen Geschäftsleben verwenden. Diese Dienste haben alle Standardeinstellungen, die verbessert werden sollten, um das Sicherheitsniveau Ihrer Organisation zu erhöhen. Außerdem müssen Sie sicherstellen, dass alle Ihre Dienste und Anwendungen aktualisiert werden, damit neue Sicherheitseinstellungen sowie DSGVO-konforme Einstellungen implementiert werden. Hier finden Sie eine Quelle, die zeigt, wie Sie Ihre Google-Anwendungen sicherer machen können: https://blog.trailofbits.com/2015/07/07/how-to-harden-your-google-apps/.

6.3. So bequem und verlockend es auch sein mag: Teilen Sie Ihr WIFI nicht

Shared Workplaces sind heutzutage weit verbreitet, was bedeutet, dass die gemeinsame Nutzung von WIFI-Netzwerken durch Unternehmen, Gäste, Studenten oder Nachbarn das Risiko von Sicherheitsverletzungen birgt, z. B. könnten Personen Informationen über Ihr Netzwerk sammeln und sogar den Zugriff auf Ressourcen ermöglichen, die durch Quell-IP geschützt sind. Machen Sie es sich zur Gewohnheit, Ihr Passwort regelmäßig zu ändern.

6.4. Entwicklung und Kommunikation eines Reaktionsplans bei Sicherheitsverletzungen

Dieser ermöglicht es dem Verantwortlichen zum Zeitpunkt eines Verstoßes, entsprechend über einen Vorfall zu kommunizieren und ermöglicht die schnellste Reaktion in technischer/ kommunikativer Hinsicht.


6.5. Anreize zur Fehlerfindung schaffen

Sie könnten ein externes oder internes Bug-Bounty-Programm haben, das sowohl externe Hacker als auch interne Mitarbeiter dazu anregt, Schwachstellen zu melden. Sobald diese Schwachstellen gemeldet wurden, müssen sie von Entwicklern oder anderen Personen innerhalb Ihres Entwicklungsteams überprüft werden, die über das nötige Know-how verfügen, um die erhaltenen Berichte auszuwerten.

6.6. Schulung technischer und nicht-technischer Mitarbeiter

Nicht selten sind Ihre Mitarbeiter und Ihr Humankapital diejenigen, die Sie angreifbar machen könnten, weshalb es wichtig ist zu wissen, wie Hacker oder andere Parteien Ihr Unternehmen infiltrieren können. Indem Sie ihren Bekanntheitsgrad erhöhen, verringern Sie das Risiko in eine Falle zu tappen. Normalerweise vergessen Unternehmen, ihre nicht-technischen Mitarbeiter zu schulen. Hier könnte jedoch umso mehr Trainingsbedarf bestehen, da Fachwissen fehlt, um solche Cyber-Angriffe und Schwachstellen zu erkennen und zu bewältigen.

6.7. 2-Faktor-Authentifizierung als obligatorische Regel im Mitarbeiterhandbuch

Diese stellt sicher, dass alle Konten Ihrer Mitarbeiter sicher sind. Und falls ein Passwort gestohlen wird, hat der Angreifer immer noch keinen Zugriff auf die Konten und die Informationen Ihres Unternehmens darin. Als CEO/CTO/CSO ist es Ihre Aufgabe, dafür zu sorgen, dass diese Regel von allen eingehalten wird. Die Verwendung eines komplexen und einzigartigen Passworts für jede Website ist ein guter Ratschlag, jedoch kann es so sehr schwierig sein, Passwörter abzurufen.

Passwort-Manager sind eine gute Möglichkeit, da diese sich alles mit einem Master-Passwort merken können.

6.8. Geräte verschlüsseln

Durch die Verschlüsselung von Firmen-Laptops und -Telefonen schützen Sie Ihr Unternehmensvermögen. Bevor Sie das tun, sollten Sie vielleicht eine Bestandsaufnahme Ihres gesamten Unternehmensvermögens vornehmen und die Mitarbeiter je nach Tätigkeit in Kategorien von Sicherheitsstufen einteilen. Hier finden Sie einige Quellen zum Verschlüsselungsverfahren: https://support.apple.com/en-us/HT204837


6.9. Förderung von Best Practices wie das „Sperren“ von Geräten und die Stärkung von Passwörtern

Ob Mitarbeiter den Schreibtisch für eine Minute oder eine Stunde verlassen - ermutigen Sie sie, ihre Geräte abzuschließen und es sich zur Gewohnheit zu machen. Dadurch ist Ihr Unternehmensvermögen sowohl vor Angriffen als auch vor zufälligen Unfällen geschützt. Denken Sie daran, dass Ihre Arbeitsumgebung vielleicht sicher ist, wenn Sie aber irgendwann z.B. externe Gäste oder Kandidaten für Interviews zu Besuch haben, diese manchmal schon durch einen schnellen Blick auf einen Bildschirm Zugriff auf Ihre Daten erlangen könnten. Außerdem würde diese Gewohnheit Ihren Mitarbeitern helfen Unternehmensinformationen sicher zu halten, wenn sie zum Beispiel auf Reisen sind oder zu Meetups gehen. Recherchieren Sie einfach Passwortmanager, wählen Sie einen guten aus und schlagen Sie diesen Ihren Mitarbeitern vor.


Diese HR-Checkliste ist größtenteils eine organisatorische und technische Maßnahme im Rahmen unserer DSGVO Checkliste.

  1.     Erstellen Sie ein Datenprotokoll: Überlegen Sie, welche Daten Ihrer Mitarbeiter Sie bearbeiten, und erstellen Sie ein Protokoll ihrer Verarbeitungstätigkeiten (Record of Processing Activities RPA). Wie bereits erwähnt, müssen Sie Folgendes angeben, um die Daten zu dokumentieren:

-       die Art der Daten (z. B. persönliche oder spezielle Personen (die früher als sensibel bezeichnet wurden))

-       die Datenkategorien (z. B. Rekrutierungsinformationen, Bankverbindung, Leistungsinformationen, Abwesenheitsdaten)

-       wen die Daten betreffen (z. B. Angestellte, Angehörige, Bewerber etc.)

-       wer Ihnen die Daten zur Verfügung gestellt hat (z. B. der Bewerber/Mitarbeiter selbst, Kreditreferenzagenturen, Personalvermittler oder andere Mitarbeiter)

-       Geben Sie Ihre Rechtsgrundlage für die Bearbeitung an (z. B. zur Erfüllung des Arbeitsvertrags, zur Erfüllung einer gesetzlichen Anforderung, legitimer oder sonstiger Interessen). Die Einwilligung als Rechtsgrundlage für personalbezogene Aufgaben wird nur selten Anwendung finden. Beachten Sie die gesetzlichen Anforderungen, die Sie erfüllen müssen, um die Erhebung und Verarbeitung zu rechtfertigen (z. B. zur Einhaltung des Arbeitsrechts oder zur Beurteilung der Arbeitsfähigkeit eines Mitarbeiters).

-       Der Zweck der Verarbeitung (z. B. um den Mitarbeiter zu bezahlen, für die Steuerberichterstattung oder um die Leistung zu managen)

-       Wo und wie die Daten gespeichert werden und wer Zugriff darauf hat, z. B. HR-Software, Steuerberater, gedruckte Lohnzetteldateien.

  1.     Datenübernahmen: Aktualisieren Sie Ihre Lieferantenliste und protokollieren Sie sie separat. Außerdem sollten Sie alle Daten, die übertragen werden, einschließen (wie z. B. wer die Daten übertragen hat, wann sie übertragen wurden, wo sie gespeichert werden und wie Sie die Daten übertragen haben). Wenn Sie personenbezogene Daten außerhalb der Europäischen Union (EU) übermitteln, müssen Sie angeben, welche Schutzvorkehrungen getroffen wurden und die entsprechende Datenschutzerklärung mit Ihren Partnern unterzeichnen.
  2.     Geben Sie an, wann genau die Daten gelöscht werden sollen: Hier können Sie Ihre Datensubjekte in Mitarbeiter, Bewerber oder andere Kategorien einteilen, die für Ihren Fall sinnvoll sind. Beispielsweise können Sie es bei Bewerbern zum Leitsatz machen, die Daten von abgelehnten Mitarbeitern monatlich/vierteljährlich zu löschen. Sie müssen jedoch in der Lage sein, diesen Zeitraum zu rechtfertigen.
  3.     Führen Sie eine automatische Entscheidungsfindung oder Profilerstellung durch, z. B. für die elektronische Personalsuche auf der Grundlage von Studienleistungen, psychometrischen Tests oder anderen Metriken? Fügen Sie diese zu Ihrem RPA hinzu.
  4.     Müssen Sie eine Datenschutz-Folgenabschätzung durchführen bzw. wann müssen Sie dies voraussichtlich in Zukunft tun (z. B. weil Sie eine risikoreiche Verarbeitung durchführen oder durchführen werden oder neue HR-Technologie einführen werden)?
  5.     Überprüfen Sie, ob Ihre IT-Infrastruktur DSGVO konform ist. Ihre IT-Infrastruktur wird für zwei Hauptthemen bzgl. DSGVO Konformität relevant sein - Sicherheit und Arbeitnehmerrechte. Sicherheitsprobleme:
  6.     Berücksichtigung von Arbeitnehmerrechten: Erlauben Ihnen Ihre automatisierten Entscheidungsprozesse, Einwände zu verarbeiten und auf Wunsch einen menschlichen Entscheidungsträger einzubeziehen?
  7.     Wie werden Sie auf Zugriffsanfragen von Betroffenen reagieren? Können Sie einfach nach allen Daten zu einer bestimmten Person suchen? Dadurch wird die Beantwortung von Zugriffsanfragen Ihrer Mitarbeiter oder potenziellen Mitarbeiter wesentlich leichter. Können Ihre Mitarbeiter die Verarbeitung ihrer Daten einschränken? Oder Fehler korrigieren?
  8.     Welches Verfahren stellen Sie einem Mitarbeiter zur Verfügung, um von seinem Widerspruchsrecht Gebrauch zu machen? Haben Sie die Verantwortung einer bestimmten Person zugewiesen?
  9.  Wie erreichen Sie die unternehmensweite Löschung von personenbezogenen Daten auf Wunsch eines Mitarbeiters in relevanten Situationen?
  10.  Ist der Export von Daten aus Ihrem System möglich? .csv-,.pdf- oder .txt-Dateien sind gängige Formate. Dies ermöglicht Ihnen, die Portabilität zu verwalten oder die Daten auf Wunsch des Arbeitnehmers oder eines zukünftigen/ehemaligen Arbeitgebers zu übertragen.
  11.  Aktualisieren Sie Ihre Datenschutzrichtlinien und Arbeitsverträge: Nachdem Sie alle notwendigen Änderungen vorgenommen haben, ist es unerlässlich, dass Sie auch alle Ihre Mitarbeiter und andere Stakeholder informieren.

-       Datenschutzhinweis für Mitarbeiter

-       Datenschutzerklärung

-       Richtlinie für die Meldung von Datenschutzverletzungen

-       Subjekt-Zugangsregelung

-       Vorratsdatenspeicherung

  1.  Stellen Sie sicher, dass alle Ihre Mitarbeiter ein angemessenes Maß an Schulung für den Umgang mit personenbezogenen Daten erhalten, das auf ihre Aufgaben zugeschnitten ist. Sie müssen über die richtigen Richtlinien und Verfahren informiert werden. Das Training muss regelmäßig aktualisiert werden und aufgezeichnet werden.
  2.  Bewerten und ergreifen Sie die notwendigen Maßnahmen mit allen Ihren Partnern, die in irgendeiner Weise Ihre Daten berühren.

Sales & Marketing Aktivitäten im Zusammenhang mit der DSGVO Checkliste

Das ist wahrscheinlich neu für Sie und der schwierigste Teil der DSGVO Checkliste, denn es braucht Zeit.

  1. Prüfen und kontrollieren Sie Ihre Mailinglisten. Grundsätzlich müssen alle Personen entfernt werden, von denen Sie kein Opt-in haben und die dieses Opt-in nicht registriert haben. Für neue Abonnenten stellen Sie sicher, dass der potenzielle Abonnent bestätigt, dass er sich in Ihre Mailingliste eintragen möchte, indem er eine automatische E-Mail sendet, um das Abonnement zu bestätigen.
  2. Überprüfen Sie die Art und Weise, wie Sie persönliche Daten sammeln. Kaufen Sie immer noch Mailinglisten? Dann ist es jetzt vielleicht an der Zeit, mit einer neuen Mailingliste zu beginnen, die Sie von informierten Kunden erhalten haben und die eine rechtliche Grundlage für das Sammeln derer E-Mail-Adressen bietet. Löschen Sie alle E-Mails mit fehlender Einwilligung oder Rechtsgrundlage. Eine Möglichkeit, wie Sie trotzdem einfach Nutzer gewinnen oder Website-Besucher konvertieren können, ist es, den Besuchern Ihrer Website die Möglichkeit zu bieten, sich selbst über ein Pop-up in Ihre Mailing-Liste einzutragen.
  3. Wenn Sie Ihre Einwilligung einholen, ist sicherzustellen, dass ein Link zu Ihrer Datenschutzrichtlinie besteht, sodass Ihre Daten genauso behandelt werden, wie Sie es wünschen.
  4. Informieren Sie Ihre Vertriebs- und Marketingteams darüber, was rechtlich möglich ist und welche Praktiken aufzugeben sind, z. B.: Cold Mailing/Cold Calling (wenn die E-Mail-Adresse und/oder Telefonnummer nicht durch eine ordnungsgemäße Einwilligung übernommen wurde).
  5. Stellen Sie sicher, dass Ihre Kundendaten Teil Ihres Customer Relationship Management (CRM)-Systems sind. Dieses unterstützt das Bearbeiten und Überprüfen der Daten, sowie den Zugriff in einem maschinenlesbaren Format.
  6. Sammeln Sie Daten, die für Ihren Vertrieb oder Ihr Marketing notwendig sind. Fragen Sie sich, welche Datenkategorien Sie tatsächlich benötigen und welche Sie einfach löschen können. Wenn es um die Anmeldung von Formularen geht, fragen Sie nur nach den Elementen, die Sie benötigen und verwenden werden.
  7. Wenn Sie es noch nicht haben, probieren Sie Push-Benachrichtigungen aus. Werbetreibende können mit Hilfe von Push-Benachrichtigungen jederzeit eine Nachricht an die Abonnenten senden. Sie sind in der Post-DSGVO-Welt besonders hilfreich, da sie keine personenbezogenen Daten verarbeiten (IP-Adressen sind anonymisiert) und um die ausdrückliche Zustimmung zum Opt-in und zum Erhalt von Benachrichtigungen bitten.
  8. Stellen Sie sicher, dass die Datenschutzerklärung aktualisiert und leicht zu lesen ist (keine 1000 Seiten lang und ohne jeglichen Fachjargon).

DSGVO Checkliste für die Datenschutz-Folgenabschätzung bei Projekten

Laut DSGVO ist diese notwendig, wenn eine Organisation ein neues Projekt durchführt, das erhebliche Risiken in Bezug auf die Freiheiten und Rechte des Einzelnen, insbesondere in Bezug auf den Datenschutz, birgt. Wenn Organisationen ein solches Risiko in Bezug auf eine neue oder bestehende Operation identifiziert, sind dies die folgenden Schritte:

  1. Finden Sie heraus, ob eine Notwendigkeit für die DPIA besteht - führen Sie eine Bewertung durch und ermitteln Sie, ob die mit der Verarbeitung verbundenen Risiken eine DPIA erforderlich machen. Im Allgemeinen sind dies einige risikoreiche Aktivitäten, für die Sie wahrscheinlich eine DPIA durchführen müssten:

-       Großflächige Verarbeitung personenbezogener Standortdaten

-       Allgemeine große Datenanalyse

-       Großflächige Verarbeitung von Personaldaten mit Potenzial für signifikante Auswirkungen auf die Mitarbeiter

-       Video-/Audio-Analyse-Tools

-       Erstellung großflächiger individueller Profile

-       Analytik mit signifikanter Wirkung für den Einzelnen

-       Belohnungssysteme, die Profile generieren

-       Fitness-Wearables und Apps

  1. Verstehen und beschreiben Sie den Informationsfluss - Erstellen Sie eine Karte, wie die Informationen innerhalb des jeweiligen Verarbeitungsvorgangs gesammelt, gespeichert, verwendet und gelöscht werden.
  2. Identifizieren Sie alle Risiken - dokumentieren Sie die Bedrohungen, deren Umfang, Schwachstellen und die möglichen Gefahren für die Rechte und Freiheiten von Personen, deren Daten Sie sammeln und/oder verarbeiten.
  3. Bewerten Sie Ihre Datenschutzlösungen – Führen Sie für jedes Risiko, das Sie für die persönlichen Daten identifiziert haben, eine Kosten-Nutzen-Analyse durch und entscheiden Sie, ob Sie das Risiko akzeptieren, das Risiko ablehnen oder das Risiko akzeptieren möchten, aber mit Maßnahmen zur Verringerung der Auswirkungen der Bedrohung.
  4. Dokumentation der DPIA-Ergebnisse - Erstellen Sie einen Bericht, der vom Entscheidungsträger unterzeichnet wird. Wenn jedoch ein hohes Risiko besteht, muss der DPIA-Bericht der Datenschutzbehörde zur Konsultation vorgelegt werden.
  5. Integrieren Sie die Ergebnisse in Ihren Projektplan - stellen Sie bei jedem wichtigen Projekt-Meilenstein sicher, dass Sie auf Ihre DPIA zurückgreifen, um sicherzustellen, dass die erforderlichen Maßnahmen zur Risikobewältigung ergriffen werden.

Ich hoffe, Sie fanden diese umfassende DSGVO Checkliste nützlich. Grundsätzlich sollten Sie daran denken, dass jede undurchsichtige Erhebung und Verarbeitung von Daten hinterfragt werden sollte. Die Ausbildung Ihrer Mitarbeiter wird in jedem Falle hilfreich sein, um die Einhaltung der DSGVO zu gewährleisten. Fehlt Ihnen etwas in dieser DSGVO Checkliste? Arbeiten Sie mit uns an der Checkliste!

Do I need a Data Protection Impact Assessment to avoid GDPR fines?

Do I need a Data Protection Impact Assessment to avoid GDPR fines?

Companies due to rapid technological development can conceptualize and develop new and innovative business models. However, a lot of times companies introduce changes within their workings that requires them to process huge amounts of data. In this case, they have to do a Data Protection Impact Assessment (DPIA). If you conduct a DPIA, it will help you understand and execute compliance to avoid GDPR fines.

Everytime, you make a change, according to the General Data Protection Regulation (GDPR), you need to do an impact assessment. The change you introduce can be a technological one or a structural one. Regardless of the type of change, you need to do an impact assessment. If you fail to carry out this assessment, it can lead to GDPR fines of 20 million or 4% of revenue, whichever is higher.

In this article, we aim to provide businesses with a basic understanding of a Data Protection Impact Assessment (DPIA). We also give you the pointers you need to conduct one to avoid gdpr fines.

Who needs to do a Data Protection Impact Assessment?

We have so far in our research and experience not found an answer that experts would agree upon. GDPR enthusiasts have not been able to answer it sufficiently. We came up with some pointers to make it easy for you to understand. Here are the essentials you need to consider in order to avoid the gdpr fines:

  • If your organization processes Special Categories Data (refer to the Defining Data Categories under the GDPR to know more)
  • Companies/organizations that process data on a large scale (refer to the Defining Large Scale section to know more)
  • If your organization/company does profiling of individuals
  • Companies/organizations that directly target their service/product towards children


Article 35 of the GDPR also allows Data Protection Authorities (DPAs) to issue blacklists of Processing Activities. These lists contain all activities for which you are required to conduct a DPIA to avoid gdpr fines. You can add these in your DPIA template as well to refer to later. Here’s a list that the German Authorities have come up with.

Below is Daniela Duda’s (a renowned specialist in Germany) answer to this question.

Privacy Impact assessment

What is a Data Protection Impact Assessment?


The European Union (EU) introduced the Data Protection Impact Assessment as a tool under the General Data Protection Regulation (GDPR). The GDPR recommends it for doing a risk analysis of the threats that a processing activity in a business entails.


If you introduce a new technology in your organization which automates processing activities you need to do an assessment. You need to leverage it to assess and ultimately reduce the risks of the processing. If you reach the conclusion that it results in considerable harm for the individuals involved, consult the DPA as well.


The Data Protection Impact Assessment will help you organise your projects as well as simultaneously help you dodge gdpr fines.


What does the General Data Protection Regulation (GDPR) say about DPIA?


According to Article 35, you as a controller are responsible for carrying out an assessment:


“Where a type of processing, in particular, using new technologies, and taking into account the nature, scope, context, and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.”


Article 35(3) stated above lays out the rules for when exactly an assessment needs to be carried out. In short, it states that you have to carry out a data protection impact assessment for any type of processing. It becomes especially important when you introduce new technologies, and analyse how data will be processed using these technologies.


Moreover, you need to take into account the nature, scope, context, and purposes of the processing itself. If you recognize a high risk to the rights and freedoms of natural persons then go back to project planning. You must integrate a data protection impact assessment before you start the project. You, as the controller, also have to consult with the relevant Data Protection Authority (DPA) if there are high risks.


If you use the DPIA template or customize it for use by your company, add the article of the GDPR. This will serve as a guiding legal basis and can be referred to at any time.


Defining Nature, Scope, and Context


To make it simpler for you to understand, let’s take an example:


A hospital records and processes the health data of its patients. The nature of the processing is defined as the type of data that you are processing. For example, as a doctor you collect blood samples and the history of illnesses. You use this data to prescribe a treatment or medicine so the person can recover.


All this data, under the GDPR, is categorized as PII. The scope of the processing is defined as the scale of your processing activity. Basically, it asks who has access to data and how much data are you processing. So, in our example a doctor examines 30 patients after listening to their complaints and records their information. This data can be processed by 15 doctors who have access to the data. So nurses for instance, cannot access the data. Processing is also not automated. A doctor can look at the stored data but there is no algorithm that analyses it and suggests a diagnosis. In the future, those 15 doctors can use this data to diagnose the patients as well. You need to define how long you keep this data as well in Records of Processing Activities document. This would be the scope in our example.


The context is defined as the situation in which the data is recorded and processed. In this case, it is the hospital and the legal basis is consent. So when a patient comes in, you need to explicitly ask them for consent for their data. If it is a regular patient, you won’t need to do this every time they come in. However, if you change something in the processing then you need to inform them again.


These pointers need to be clearly mentioned and sketched out in your DPIA template.


Defining Data Categories under the GDPR

If you understand these categories, you can conduct a Data Protection Impact Assessment easily. You can also train your project managers to be able to distinguish between data categories. The General Data Protection Regulation defines personal data as any information of an individual which can help you identify them.

This data could be any professional data or any other private data that a person can have. It also includes data that is indirectly identifiable through cross referencing. An example is a matriculation number assigned to you at university or your IP address.

Special Category of data is another typology of data under the GDPR as set out by Article 9. It lays out the framework for processing of sensitive data. Sensitive data is defined as any data that could reveal the racial and ethnic origins or political or religious views. It also includes any data that reveals trade union membership, health data or other biometric data.

If you process sensitive or personal data you needs to record it under the GDPR as Records of Processing Activities documentation. You need to do this record keeping for all processing of data.

Further Data Categories

Here are some further definitions, according to Pegasystems, that you might find useful:


Data concerning health is defined by the GDPR as personal data related to physical or mental health of an individual. It includes the provision of health care services, which reveal information about his or her health status.

Genetic data is defined by the GDPR as personal data relating to inherited or acquired genetic characteristics of an individual. It includes data that gives unique information about the physiology or the health of that natural person. It’s any data that you get from an analysis of a biological sample from the natural person in question.”

Biometric data is personal data from specific technical processing relating to the physical, physiological or behavioural characteristics of an individual. It’s any data which allows or confirms the unique identification of that natural person. Examples are facial images or dactyloscopic data. (Pegasystems, 2018)

Defining Large Scale


Processing data on a “large scale” is difficult to define and there is much ongoing debate about the legal terminology. If you process data on a large scale, you have to conduct a DPIA to not get gdpr fines. So what exactly is large scale? According to EC Europa:


“The GDPR does not define what constitutes large-scale. WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:
– The number of data subjects concerned – either as a specific number or as a proportion of the relevant population
– Volume of data and/or the range of different data items being processed
– The duration, or permanence, of the data processing activity
– Geographical extent of the processing activity.”


This is also what we know for sure:


  • If you’re processing Special Category data, then even with one data subject because you have to conduct a DPIA. Add this as a footnote in your DPIA template.
  • As a freelance practitioner, any number of data subjects more than average require a Data Protection Impact Assessment. Examples of freelancers are doctors, lawyers, or other professions dealing with clients. Any number of data subjects more than average in your particular field is considered large scale.
  • Similarly, as an organisation where data processing is an integral part of your business you need a DPIA. If it is a regular activity then based on the following factors, you can justify why or why not you are processing on a large scale: number of data subjects, the volume of personal data and geographical locations.

Here are some examples you can add in your Data Protection Impact Assessment:

“…processing of patient data in the regular course of business by a hospital, processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards), another one is processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialized in these activities, processing of customer data in the regular course of business by an insurance company or a bank  processing of personal data for behavioural advertising by a search engine processing of data (content, traffic, location) by telephone or internet service providers.

Examples that do not constitute large-scale processing include:
the processing of patient data by an individual physician
processing of personal data relating to criminal convictions and offences by an individual lawyer” (EC Europa, 2018)


As a form of guide and for your Data Protection Impact Assessment to effectively help you avoid fines, you can add these examples to your DPIA template to serve as a tool for understanding the process.  Different Project Managers then can refer to the same document.

When is it necessary to conduct one?

You need to carry out a Data Protection Impact Assessment (DPIA) when you do systematic and extensive profiling. You also need to carry it out when you do significant decision-making about people. Especially, when it is done through automated processes or algorithms. When you use new technologies to process data on a large scale you need to do a Data Protection Impact Assessment.

Moreover, if you use technology that processes special category data or criminal offence data an assessment needs to be carried out.  Any technology with which you process personal data and criminal offence data, you need to have a pertaining DPIA for it.

When you use profiling, automated decision making and processing of special category data do a DPIA. Especially when you use these processes to make decisions on opportunities and access to these opportunities, services or benefits. For example, getting a phone or network contract from a carrier or getting a loan.

Regular and Systematic Processing

When your organisation indulges in regular and systematic monitoring, a Data Protection Impact Assessment becomes necessary. EC Europa sums up the notion of systematic monitoring:


“The notion of regular and systematic monitoring of data subjects is not defined in the GDPR. But clearly includes all forms of tracking and profiling on the internet, including for the purposes of behavioural advertising. However, the notion of monitoring is not restricted to the online environment.”


If you are combining and accessing data from multiple sources to compare or match, a DPIA is also recommended. For instance, making shopper’s profiles from data you get from their social media public profiles or online shopping behaviour. If you are tracking the online or offline location and generate data through it, then a DPIA is also essential.


In case your company is processing children’s personal data you need to do an assessment. Even if you do this through automated decision-making or for marketing it requires a Data Protection Impact Assessment. You will also need a consultation with the DPA if the service or product is being marketed directly to them.


If you identify that processing of personal data could result in a risk of physical harm an assessment is required. Physical harm under the GDPR is considered very serious in nature.


How to conduct a Data Protection Impact Assessment?


Companies need to conduct a Data Protection Impact Assessment before the start of the project especially before the start of processing.


Step 1: Describe the Processing

You need to describe in detail the nature, scope, context and purposes of the processing. Make sure that you ask your data processors to collaborate with you in order to fully understand and document their processing activities and identify any associated risks.


For instance, if you are tracking shopping behaviour, you would define the scope of the tracking. What exactly do you track? Do you track what consumers buy, the products they look at, how long they look at a product? This needs to be stated clearly.


You also need to state why exactly you are doing the tracking: to make useful, personalised, recommendations. Answer the question of how you protect the data. Where the servers are located, what’s the necessity of the processing activity and basically answer all the questions that you would look at when you do your standard records of processing activity. You need to document all of this for your processing activity.


Step 2: Identify the risks of the processing activity

Work together with your team to identify all the risks that this activity might have for the rights and freedoms of the individuals from whom you are collecting the data. We check that the processing is necessary for and proportionate to our purposes, and describe how we will ensure data protection compliance. The assessment of severity of risks to individuals rights and interests needs to be done as objectively as possible.


Step 3: Document everything!

You need to document all of this for your DPIA including any disagreements you have with your Data Protection Officer (DPO). After documentation, you can move forward to implementing the measures you have integrated into your project planning.


Hauke Holtkamp advices companies to “…track statistics as opposed to making profiles.” He elaborates by giving the example of ECOMPLY.io:


“We want to understand how our users go through each step to comply with the GDPR. To see how much time our users spend on each step so we can make the app better by analysing further the steps where more users get stuck. It can easily be done anonymously by not making profiles of our users but just by looking at statistics of each step. This way we incorporating the principles of privacy within our app.”


Data Protection Impact Assessment

Challenges of conducting a DPIA


When companies use external parties to conduct a Data Protection Impact Assessment, the challenges they face are that the clients do not want to carry out the Data Protection Impact Assessment due to lack of awareness of what it constitutes and what its consequences might be. Therefore, usually there’s a fear that somehow carrying out one would result in restricted business practices and options.


Another issue is the lack of information to enable a Data Protection Impact Assessment to be carried out fully. This is due to two reasons, first because the GDPR is relatively new and only a small percentage of the companies are somewhat compliant. This means that they are not fully aware of their data pathways and trajectories making the documentation in the DPIA a bit difficult to complete.


There’s also a negative connotation attached to the Data Protection Impact Assessment that it is extremely arduous and time-consuming. This puts off companies from embarking on any such assessment or investing time or financial resources into it even if it means huge gdpr fines.


Hauke Holtkamp, Cofounder of ECOMPLY.io, having talked to their customers says that the:


“The biggest challenge for our customers is to figure out where to start since right now there’s not much reference material. Also, a lot of business model depends on some non-compliant processes. However, a DPIA is a good instrument for realizing where in your business you have non-compliant processes.”


Benefits of a Data Protection Impact Assessment


Conducting a Data Protection Impact Assessment before the start of a project will allow you to be aware of the information flow within the project from the very beginning.


  • It will improve your communication regarding data privacy to different stakeholders
  • You can garner confidence among your user-base and customers that you process their data responsibly
  • Your organization can ensure that your users are not at risk and reduce the costs for when a security breach does take place
  • It will also help you reduce operational costs by optimising the flow of information
  • You will avoid gdpr fines by maintaining compliance




The GDPR is still a relatively new legislation and the DPIA has not been conducted by businesses at this point. It is firstly, extremely important to map all your business data flow and train your staff to understand how data flows through your business and is processed.


Your organization should also train staff to assess when a DPIA is needed and how to conduct it. You should see this as an integral part of compliance. In general,you should conduct a DPIA for any new process, employee or organization measure that you change.


According to Hauke Holtkamp:  


A Data Protection Impact Assessment to avoid GDPR fines is incredibly hard to do as a business. First thing you should do is get structure of your processes. If you can formulate an ordered list of processes and go through it like a checklist stating which one is “harmful” and which is “harmless”. This will make it easy to structure the carrying out of the assessment if you have a good understanding of your processes. In the end, if you identify high risks for certain processes, make sure you implement measures to reduce those risks.”

PH Launch

How Startups Can Have a Successful Product Hunt Launch

How Startups Can Have a Successful Product Hunt Launch

As a start-up, it can be hard to launch when you are still trying to create a space for yourself in the market. On top of that, as a new start-up, you are probably low on employee days and might even be lacking some skills. If you do not have a skilled marketer or content creator, then you need to either spend the time to acquire these skills or use finances to hire a freelancer or a skilled employee. All in all, if you plan it correctly and involve your whole team in it, you can pull it off without any big hitches. We were a group of 5 people and we made it to the top ten products of the day on Product Hunt! Here’s what we learned out of the experience:

  1. Getting a popular hunter can help

We decided to go without a popular hunter which meant that we had to spend considerable effort on marketing material and activities. If you have a popular hunter launch your product, it
gets traction more easily. Since the hunters usually have a huge following, every time they launch a product their followers get a notification.

  1. Engage with communities

Two weeks before the launch, you should look for all the groups on social media channels like Facebook, LinkedIn and even Slack Open channels. Join the channels and start engaging with the members there. You can either do this by posting relevant questions or content
in the group. Be genuinely interested in that groups‘ owner, their purpose, their interests and their members. As a start-up, it’s also good to attend some meetups and engage with people. Divide the work according to fields and functionalities of your team members. For instance, our developers engaged with all the development groups while our sales team members talked to other
sales reps.

  1. Tease before Product Hunt

Make sure you build up a pre-launch hype! As a start-up, your product, of course, is not as well-known as those of established companies. Use this launch to create awareness around your product/service.

Product Hunt

  1. Algorithms of Product Hunt –  This is what we know with some certainty about the PH Algorithm:

Contributors and Makers upvote count more
Recommendations and comments count more
Only upvotes don’t count as much especially coming from new members

So, make sure you target your pre-launch hype and marketing efforts at existing Product Hunt contributors. Becoming a contributor also takes a while so if you are getting your friends, family, colleagues or acquaintances to upvote, make sure you start telling them a week
or two before launch so that they can at least become contributors. Have a plan to get at least 100 genuine upvotes from the contributors. Not someone who just signed up. This goal will help you guide your launch.

  1. Find a way to reward your customers and educate them about Product Hunt

    Early adopter FOMO (fear of missing out) is a thing and you need to use it! Get all the techies excited about it especially your customers. No matter how many customers you have, make sure you inform them of your reward scheme if they support you in your launch. Make a good
    offer: discount or a good deal should always do the trick. Also, something like an ‘early bird’ discount or early access works.

  2. Get customer testimonial videos to post on maker story

If you already have some customers who are happy with your product, find a way to market their testimonials via a photo, video or some other way. You can either add this to your Maker Story or use it as part of your pre-launch marketing.

  1. Involve the whole team and GET YOUR MARKETING READY!

Your whole team should be aware of the launch! Make sure you have your whole company on board. As a start-up, you will need all hands on deck!

Product Hunt

You need GIFS, thumbnails, a well-written maker story, Facebook cover photo and profile photos as well as Twitter and LinkedIn banner. The most important thing is that you have tested different channels beforehand and know which ones work for your target audience. Whether it’s social media or Google advertisement, you need to figure this out for your marketing efforts to be impactful. Give yourself 4-5 weeks to prepare in advance for the launch and keep all your messages simple and to the point. If you have a big customer, you should get them on board to support you. Ask them to launch your product on their website and to their users/customers as well.

  1. Don’t ask people to upvote

This cannot be reiterated enough! You have probably already come across this piece of advice through several different channels and that’s essential because it is extremely important that you only ask for feedback and assessments. Asking for upvotes will impact your ranking negatively. Don’t be sad if you don’t become Product Hunt’s product of the day. Sometimes one of the big companies launches a product on the same day catching you unaware.

  1. Product Hunt is not a one-time thing!

You can keep launching free or smaller products depending on what you are doing. New updates and features are always something that you can create a launch around. Make sure your Product Development and Sales teams are aligned on the launches. What you are launching and when! Your whole company should be a part of the launch’s preparation and execution. You can even schedule several launches with your product team.

  1. Set smart goals and measure them

Product Hunt is not just about launching a new product, it can have several goals. You can get feedback on your prototype through a launch, make your product better or simply gain customers, gain more traction for your website or simply get the word out there about your product. Set the goal before you start with your marketing and planning. Come up with relevant metrics in line with the goal so you can concretely measure your performance and what you can do better in the next launch.

Here you can check out our first launch on Product Hunt and we have another smaller one too!

Take half a minute to sign up with us and make your business GDPR compliant to avoid all those big fines!

GDPR Compliance

25 GDPR Compliant Software Companies - The Trustworthy Vendors

25 GDPR Compliant Software Companies – The Trustworthy Vendors

Many software companies claim to be the GDPR Compliant Software. But it takes a lot for companies embedded in our current structures to fundamentally change their business practices and processes to comply with a change in legislation. When the General Data Protection Regulation (GDPR) was introduced, it required exactly this kind of strenuous effort and commitment from companies in order to be compliant. The process of GDPR compliance is, of course, a long-term and continuous process.


Companies do not only have to internally modify the way they work but also have to pay attention to the vendors they pick and work with. The vendors basically include all the softwares that you will use whether it for sending marketing emails or a Customer Relationship Management (CRM) System. To make your life easier and also to celebrate the hard work of companies who have successfully embarked on the GDPR compliance process, we decided to compile a list of vendors who are GDPR compliant. So here it goes in no particular order:

GDPR Compliance Software



Basically, a Marketing software that allows you to analyse, optimise and personalise your website with different tools all in one place.

They have clearly thought out their GDPR compliance process since they have all the essentials of a responsible data processor. To offer GDPR compliant services for A/B Testing and heatmaps is not an easy feat but they have proven that it is in fact achievable! They have an opt-out button that you can use and their privacy policy from their parent company: Freshwords is quite comprehensive. This GDPR compliant software has the most detailed information about their practices.

For more information, check out: Freshmarketer


This software allows you to make surveys with a high completion rate due to the conversational nature of their surveys. Our favourite part is their empowering approach to the GDPR where they state:

“We are the facilitators who make data processing and management simple for you. You control and own your data!”

They also transparently give you a short checklist of everything they have done to comply with the GDPR.

For more information, check out: Survey Sparrow


Another automated sales email outreach software for your business that allows for integration with your Google account, Exchange account and Office 365 account among many others.

We love that they already had an effective GDPR program starting 01.01.2018 where they provided the status of their different GDPR related activities. Not only that, their GDPR compliance page follows a simple question-answer format to make it simpler for anyone to read as well as answer any questions people might have. They also have a GDPR e-book that they have created from their own experience!

For more information, check out: Woodpecker


If you have a huge number of subscribers whom you want to reach out to then this is the GDPR compliant software that you should get. It offers integrations, automation through time-based onboarding and drip sequences among other features.

They have added Full GDPR compliance in their Added Features List. All their servers are based in the European Union (EU) and they also have a checklist of what they have done and one for you to know how they keep you compliant as a Vendor.

For more information, check out: EmailOctopus


This service allows you to make your own creative pop-ups that can effectively pop-up at intervals that would increase conversion for you.

They have followed ECOMPLY.io’s steps and are endorsed by us in their GDPR compliance efforts. They have comprehensively done all their Records of Processing Activities as well as have an updated privacy policy and Data Protection Agreements with vendors. And they did such a great job of completing all the steps in our app that they earned a Badge! Well done, Poptin!

For more information, check out: Poptin


This Conversion software allows you to personalise your content by segmenting your website visitors and providing them the relevant content accordingly. And of course, they do this in a GDPR compliant way.

According to the GDPR, they are a processor and their “Data Processing” description on their dedicated GDPR page shows that they really have thought through their compliance. Their customer can understand how they are keeping their data secure as well as who is their sub-processor. Their page and privacy policy is comprehensive making them another transparent and compliant vendor.

For more information, check out: Unless


Another Marketing vendor that has clearly made considerable efforts to become GDPR compliant. These are the features they provide: Powerful Retargeting, Custom Domains, Branding, Smooth Link Shortening and even QR codes for your marketing efforts.

Their GDPR compliance seems very consumer oriented and empowering. This can be seen in their headline for the contact form that goes straight to their Data Protection Officer. It reads:

“Exercise your rights under GDPR”

You can submit your request by choosing it from the drop-down box and then submitting it. Very interactive compliance!

For more information, check out: RocketLink


This one is all about driving up your conversion through effective link shortening and sharing for various advertisement activities. It even allows you to personalise your 404 error when one of your links doesn’t work.

They help their European Customers gain consent for their advertising activities very simply! Here’s how they do it:

“Display a customized CTA only to your European visitors and automatically fire the pixel based on your visitor’s choice.”

Their updated privacy policy informs their customers of their rights under the GDPR!

For more information, check out: PixelMe


Are you a tweeting marketer looking for followers? Then this is the tool for you. It finds you followers from your target market.

It’s privacy policy and GDPR compliance is so well-structured that if you are looking for a specific piece of information or have a particular question, you can simply click on the relevant question headline and it takes you to that part.

For more information, check out: Jooicer


This one is for marketing agencies and managers who collaborate with teams and clients regularly. You can create, share, get feedback and get approved the content that you create for your company or other companies easily.

It is a US based company but they have an updated privacy policy that reflects their GDPR efforts. Their privacy policy tells you exactly the type of data they collect through their service but also through cookies and other tracking technologies. They also have a dedicated email address where you can submit your Data Subject Access Requests and they promise to acknowledge and process them in 30 days.

For more information, check out: Gain


Another US based company for Retail Marketing Automation via Facebook Messenger. Basically, it helps with closing sales and building valuable long term relationships.

Their Privacy Policy is pretty straightforward and because they work with Facebook as their main partner (which we can imagine isn’t easy given the loss of trust they recently faced from consumers), they do a pretty good job of effectively providing links to privacy initiatives from their partners. They provided their customers with the GDPR compliant policies of all their big partners like Amazon and Shopify!

For more information, check out: Shopmessage


For content marketing, optimization and social media marketing: Elokenz offers a range of these services to bloggers and content marketers.

We have to say that its Privacy Policy in line with the GDPR is absolutely on point! They provide you with a policy summary that is easy to go through and then just below it you can delve into details if you need to. Not only that we love that they have little icons in the summary. Talk about marketing the privacy policy!

For more information, check out: Elokenz


GDPR Compliant Software


If your business is based on a huge volume of calls, this is your software to optimise the distribution and attendance rates of your calls. You can use the data from marketing initiatives check which campaign made your phone ring or how your call agents are doing.

Since they will clearly be dealing with a lot of data, we were very curious to find out what efforts they had made to be GDPR compliant. Their privacy policy is updated in line with the GDPR and they also guide the reader to the relevant part:

“If you are a visitor of a site which is running services provided by Ringostat (“Ringostat Enabled Site”), the ‘End Users’ section of this Privacy Policy applies to you.”

For more information, check out: Ringostat


Designed for Small and Medium Businesses, Reply is a comprehensive Sales Platform that helps you take your sales to the next level. The platform also automates outreach to potential employees and bloggers as well as influencers for PR purposes.

We find their little GDPR Ready icon at the top of their page absolutely brilliant! Once you click on this icon, they give you a detailed overview of their responsibilities and the contact people in case of any issues. They serve as an example of how GDPR actually increases trust among your customers if your business remains transparent about their data collection activities.

For more information, check out: Reply.io


Taskdrive allows you to outsource your lead research so you can focus on other tasks. The service is pretty straightforward and so is their GDPR compliance. They have the consent checkbox for their forms that prospective customers provide their data through. They also clearly state that “consent is voluntary”. Their privacy policy is updated and they also provide the link to their data retention policy.

For more information, check out: Taskdrive


Here’s a tool that combines different tools all in one. It offers CRM, HRM, invoices, reports, contacts and projects all in one platform. It makes collaboration easy and makes managing projects very convenient too.

Their GDPR efforts are clear through their updated privacy policy and their dedicated GDPR page. They clearly have incorporated the principles of the GDPR in their business and this is our favourite part:

Revisiting GDPR compliance regularly.

As part of our commitment to remaining GDPR compliant and respecting the privacy of our users, we will revisit this document at least once per year to ensure that all of the information is accurate and up-to-date.”

For more information, check out: Teamwave


This tool helps you create and automate your sales funnel. It allows for a range of different integrations with mailboxes and also helps your Sales team collaborate.

Their GDPR compliance can be seen in their Privacy Policy which has detailed content on all their GDPR related efforts. Not only that their CEO personally was involved in all their compliance activities. The have divided their privacy policy by content and function so it is easy for their business customers to see. They also link the privacy policies of all their vendors so their customers can trust their services. 

We are also using Salesflare because their focus on GDPR compliance is a priority. We also believe that they are the GDPR Compliant Software company because we regularly see their documentation.

For more information, check out: Salesflare


This International Google mail oriented Customer Relation Management (CRM) System allows for carrying out sales, support and hiring activities all from your inbox.

Their commitment to data protection is evident in the fact that they comply with both the California Online Privacy Protection Act and the GDPR. Not only that their dramatic Privacy Policy sub-heading gives us goosebumps:

“We never share potentially dangerous information. We stand by our no-spam policy.”

For more information, check out: Streak


If you are looking for a Customer Relationship Management tool that is built on the basic principles of GDPR and allows you to take consent before recording any information through webforms and opt-in check boxes, but also it allows you to deal with all the Data Subject Requests that you might get.

“Freshsales makes it easy to view, export, and delete records in a single click!”

This is in line with the rights that the GDPR empowers users with to ask for their data at any point.

For more information, check out: Freshsales


This Belgium based Sales automation platform has warmed our Data-Protection-crazed hearts. Not only do they have an updated Security Policy, they also have a Privacy Policy with all the vendors as well as the right information to make their users aware of their rights. And they don’t stop there! They even help their customers understand the GDPR with the frequently asked questions on a dedicated GDPR Page. They even clarify the role of cold e-mailing under the GDPR, which has been on the minds of a lot of businesses:

“The GDPR does not outlaw the use of cold emailing, as long as the emails you are sending are directed to people who will find their content useful. Certain requirements also need to be fulfilled nonetheless:

  • The topic of the email must be clearly identified.
  • There must be a clear way to opt out from future emails.
  • A genuine physical address must be included in the email.
  • The sender must be clearly identified.”

For more information, check out: Prospect.io

GDPR Compliant Software


Another subsidiary of Freshworks: it provides its customers with an automated IT help desk which combines IT Project and IT Asset Management. Freshservice shows its commitment to the principles of the GDPR through a dedicated page that informs its users of the steps Freshservice has taken to be compliant as well as the specific features they provide to make their help desk and consequently your business (if you use them) GDPR compliant. Not only that, Freshservice seems to have mastered Privacy by Design as they themselves claim:

“Programs, projects, and processes at Freshservice are aligned to Privacy Principles right from the inception of an idea or project…”

For more information, check out: Fresh Service


Crankwheel is a screen sharing tool that works on any device and apparently also with a bad network connection.

Within their privacy policy, they have divided their sub-processors into function based categories and they link their respective privacy policies. Their headings are concise and add value to the content of the privacy policy. They even give advice on how their customers can comply in their privacy policy:

“How Data Controllers Using CrankWheel as a Data Processor (Sub-Processor) Should Prepare”

For more information, check out: Crankwheel


This workflow management tool simplifies your daily work tasks by helping you create a process list and a checklist to see what has been done and what still needs to be done for certain repetitive tasks at work. It basically simplifies your work by allowing for integrations as well as reusing checklists and procedure documents.

It comes as no surprise then that their GDPR compliance is succinctly explained in an article: GDPR Statement. Simple and easy just like the gist of their service.

For more information, check out: Process.st


An ecommerce platform that enables entrepreneurs and marketers to focus on growing their business. It allows you to use drag and drop to build your website, build your payment system and also collect data in a GDPR compliant manner. They have a dedicated page with a checklist for their GDPR efforts as well. Our favourite part about their checklist is the transparency that they show. Take a look at this pointer:

“Thoroughly test all of the changes to verify & validate compliance with GDPR – IN PROGRESS – ETA 8th June 2018”

Not only are they making efforts to be compliant, they even have a goal set for the time that they want to reach it in. #lifegoals

For more information, check out: Subbly


This Bulgarian company provides a Google Mail tool for task management making project management tools necessary for your business. You can do it all from your Google mailbox.

Their GDPR compliant Privacy Policy is structured by their apps and services. They have divided it into what each of their different applications collect and do with the data. For instance, their Android mobile app, their extension, their default settings. They concisely mention all the relevant and important information.

For more information, check out: Yanado

In this article, we have on our own picked 25 different tools that have taken measures to be GDPR compliant software. We have not reached out to these companies because we wanted to be unbiased in our evaluation of their GDPR efforts. Of course, there is no guarantee what they actually do in practice but if their privacy policies and information about the GDPR to its users is any indication, our guess is that they really do care about their customers data. So if you are looking for Sales and Marketing or Productivity related tools, just click on the link in the article and buy them! We recommend using one of these tools instead of one that might or might not be GDPR compliant.

Disclaimer: We do not claim that these are a 100% GDPR compliant software. We have not done an internal audit. We researched 100 SaaS Startups. The information on their website is the only information we used to assess their GDPR compliance.

And if you need to do any GDPR related documentation for your company, sign up now! It takes less than a minute.