Dieser Artikel bietet einen Überblick über Brevos erste Initiative sowie über laufende Initiativen zur Sicherstellung unserer eigenen DSGVO-Compliance als Ihr Datenverarbeiter sowie über unsere Bemühungen, die Compliance unserer Benutzer als Datenverantwortliche zu unterstützen.
Weitere Informationen dazu, was die DSGVO ist und warum sie für Sie wichtig sein kann, finden Sie auf der extra dafür vorgesehenen Seite Einhaltung der DSGVO-Compliance mit Brevo.
Der Schwerpunkt dieser Initiativen liegt auf fünf Schlüsselbereichen, die im Folgenden detailliert beschrieben werden:
- Wichtige Funktionen
- Sicherheit
- Verwaltung von Partnern und Auftragsverarbeitern
- Rechtsdokumentation
- Organisation
Anpassung wichtiger Funktionen
Brevo hat in Zusammenarbeit mit einer Auswahl unserer Benutzer:innen, mit unseren Kundenbetreuer:innen, sowie mit dem die dem Produktteam, dem technischen Team und unserem Rechtsberater die wichtigsten DSGVO-Meilensteine identifiziert, die es zu erreichen gilt.
Informationspflicht im Rahmen der Rechenschaftspflicht
Auf unserer Website und in unserem Blog finden Sie verschiedene Informationsquellen zu den Rechten von E-Mail-Vermarktern gemäß der DSGVO und zu Best Practices, die zur Einhaltung des Gesetzes implementiert werden können.
Diese Ressourcen sind auf der Plattform verfügbar, um Benutzer:innen bei der Compliance hinsichtlich der wichtigsten Nutzungsschritte unserer Plattform zu helfen:
- Importieren von Kontakten
- Erstellen von E-Mail-Abonnementformularen zum Einholen der Zustimmung von Kontakten
- Erstellen von E-Mail-Kampagnen zum Versenden an Abonnenten
Dem Hilfecenter wurde ein DSGVO-spezifischer Abschnitt hinzugefügt. Zudem organisieren wir weiterhin regelmäßig Informationswebinare zu diesem Thema.
Recht auf Berichtigung, Übertragbarkeit und Vergessenwerden
Die Rechte auf Berichtigung, Übertragbarkeit und Vergessenwerden sind seit mehreren Jahren fest verankert. Daher haben nehmen wir keine operativen Änderungen im Zusammenhang mit diesen Rechten vor. Wie zuvor erwähnt, haben wir jedoch weitere Einzelheiten zu den Modalitäten der Ausübung dieser Rechte bereitgestellt.
E-Mail-Abonnementformulare
Besonderes Augenmerk wurde im Compliance-Prozess auf E-Mail-Abonnementformulare gelegt, da diese ein wesentlicher Compliance-Bestandteil für unsere Benutzer sind.
Sie können nun die Präferenzen von E-Mail-Abonnenten verwalten , indem sie entsprechend ihrer Auswahl zum Zeitpunkt der Anmeldung bestimmten Listen hinzugefügt werden. Wir ermöglichen Benutzer:innen außerdem das Hinzufügen eines standardisierten Hinweises am Ende der Abonnementformulare, der Abonnenten Zugriff auf die Datenschutzrichtlinie der Marke bietet.
Einwilligungsnachweis
Sobald die Kontaktinformationen erfasst sind, ist im Kontaktprofil ein Einwilligungsnachweis verfügbar.
Jedes Kontaktprofil enthält den genauen Zeitpunkt der Abonnementanmeldung und die ID des für das Abonnement verwendeten Formulars. Diese Informationen können exportiert werden, damit Brevo-Benutzer:innen bei Bedarf einen einfachen Einwilligungsnachweis erbringen können.
Benachrichtigung über Verstöße hinsichtlich personenbezogener Daten
Im Falle eines versehentlichen oder rechtswidrigen Sicherheitsverstoßes der zur Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die von Brevo verarbeiteten personenbezogenen Daten führt, verpflichtet sich Brevo, die Benutzerin. bzw. den Benutzer unverzüglich innerhalb von 72 Stunden nach Entdeckung des Vorfalls zu benachrichtigen.
Unter derartigen Umständen verpflichtet sich Brevo, in Absprache mit den Benutzer:innen die erforderlichen Datenschutzmaßnahmen zu ergreifen und etwaige negative Auswirkungen auf die betroffenen Personen einzugrenzen.
Brevo verpflichtet sich, der Benutzerin bzw. dem Benutzer alle angemessenen Informationen und Unterstützung zukommen zu lassen, damit die betroffene Person ihren Pflichten zur Benachrichtigung der Datenschutzbehörden und gegebenenfalls der betroffenen Personen nachkommen kann.
Erweiterte Sicherheitsüberprüfung
Uns ist bewusst, dass die Datensicherheit für viele ein sensibles Thema ist. Deshalb zählt sie seit jeher zu unseren obersten Prioritäten. Die DSGVO hat uns in die Lage versetzt, diese Priorität weiter zu intensivieren: in Form der Gewährleistung einer lückenlosen Datenübertragung und Datenspeicherung sowie die Verbesserung der Datenüberwachung und -kontrolle für einen einfacheren und sichereren Zugriff für unsere Benutzer:innen.
Um Datenschutzverletzungen vorzubeugen, ist eine strenge Kontrolle über die Datenverarbeitung auf unserer Plattform erforderlich.
Mithilfe von Datenverfolgung und Protokollidentifizierung haben wir auf unserer Plattform ein System zur Rückverfolgbarkeit von Daten für alle Datenverarbeitungsvorgänge eingeführt.
Darüber hinaus haben wir versucht, die Sicherheit der archivierten Daten unserer Benutzer zu maximieren. Diese Daten werden nun in separaten Datenbanken gespeichert und personenbezogene Daten werden verschlüsselt.
Diese Archive werden ausschließlich für rechtliche Zwecke gespeichert. Nach Ablauf des Aufbewahrungszeitraums werden die Daten aus der Datenbank gelöscht.
Verwaltung unserer Partner und Auftragsverarbeiter
Einer der Hauptgrundsätze im Rahmen der DSGVO ist die geteilte Verantwortung. Dies bedeutet im Wesentlichen, dass alle Beteiligten, sei es der Verantwortliche (die Partei, die die Zwecke und Mittel der Datenverarbeitung festlegt) oder einer der weiter unten in der Kette stehenden Auftragsverarbeiter, einen Teil der rechtlichen Verantwortung tragen, da die Verarbeitung für persönliche Daten erfolgt.
Da Brevo die Doppelrolle als Verantwortlicher und Auftragsverarbeiter einnimmt, müssen wir dem Grundsatz der Verantwortlichkeit beider Seiten folgen.
Als Auftragsverarbeiter haben wir Methoden geschaffen, um die DSGVO-Compliance in unserer gesamten Datenverarbeitungskette mit allen unseren Partnersoftwareanbietern zu gewährleisten.
Als Verantwortlicher müssen wir auch die Compliance mit neuen Vorschriften durch unsere eigenen Auftragsverarbeiter gewährleisten. Demzufolge haben wir Auftragsverarbeiter mit konkreten Fragen zu deren Datenverarbeitungsmethoden kontaktiert. Dadurch konnten wir sicherstellen, dass ihre Verfahren rund um die Verarbeitung unserer Daten im Einklang mit der DSGVO und unseren Verpflichtungen gegenüber unseren Kund:innen stehen.
Wir haben die Zusammenarbeit mit Auftragsverarbeitern eingestellt, die unsere Fragen nicht zufriedenstellend beantworten konnten.
Nachdem wir zufriedenstellende Antworten von unseren anderen Auftragsverarbeitern erhalten konnten, haben wir unsere Anforderungen mit DPAs (Datenverarbeitungsvereinbarungen) vertraglich vereinbart.
Bei der DPA handelt es sich um ein Dokument, das die Art und Methoden der Datenverarbeitung durch den Auftragsverarbeiter im Auftrag von Brevo festlegt und so einen rechtlichen Rahmen und die Rückverfolgbarkeit der Daten gewährleistet.
Für unsere in den USA ansässigen Auftragsverarbeiter haben wir außerdem deren Privacy Shield-Zertifizierung überprüft. Dies ist eine notwendige Voraussetzung für die Verarbeitung der Daten europäischer Bürger.
Rechtsdokumentation
Angesichts der neuen Anforderungen durch die DSGVO haben wir selbstverständlich unsere Rechtsdokumentation aktualisiert. Insbesondere haben wir Änderungen an unseren Allgemeinen Geschäftsbedingungen und unserer Datenschutzrichtlinie vorgenommen. Beide Dokumente sind auf unserer Website verfügbar.
Es wurde eine Verarbeitungsklausel erstellt und unseren Allgemeinen Geschäftsbedingungen beigefügt, um die Rolle und Verantwortlichkeiten von Brevo gegenüber unseren Benutzer:innen als Drittdienstleister zu präzisieren.
Interne Auswirkungen der DSGVO auf die Brevo-Organisation
Die DSGVO hat uns auch dazu gezwungen, unsere interne Organisation zu optimieren und Best Practices und Verfahren zu entwickeln, die die wichtigsten Grundsätze der Verordnung unterstützen.
Mitarbeitersensibilisierung
Bestimmte Personen bei Brevo haben Rollen, die einen privilegierten Zugriff auf personenbezogene Daten erfordern.
Beispielsweise müssen Kundenbetreuer:innen möglicherweise auf bestimmte Elemente eines Benutzerkontos zugreifen, um eine Supportfrage beantworten zu können.
Wir haben damit begonnen, die Vertraulichkeitsklausel in den Verträgen der Angestellten zu erweitern und Schulungen zu ermöglichen.
Die Schulung umfasst einen Kurs zum allgemeinen Überblick über die DSGVO-Anforderungen sowie spezielle Schulungskurse, die auf der Erstschulung aufbauen und sich an bestimmte Teams richten, die regelmäßig mit sensiblen Daten arbeiten.
Dadurch erhalten alle Mitarbeiter:innen ein klares Verständnis ihrer Pflichten im Hinblick auf die neue Verordnung.
Interne Verfahren und Kontrollen
Um eine reibungslose Anwendung unserer Compliance-Maßnahmen zu gewährleisten, haben wir alle unsere internen Verfahren rund um die Verwaltung des Mitarbeiterzugriffs auf personenbezogene Daten, die Bearbeitung von Anfragen von Personen, die ihre Rechte in Bezug auf ihre personenbezogenen Daten ausüben möchten, und die Prozesse überprüft, die die Aufbewahrung und Löschung von Daten beinhalten.
Es wurde ein Kontrollplan erstellt, um die ordnungsgemäße Anwendung dieser Verfahren und die Aktualisierung der entsprechenden Dokumentation regelmäßig zu überprüfen.
Ernennung der für die ordnungsgemäße Compliance mit Vorschriften verantwortlichen Personen
Die Umsetzung unserer Compliance-Maßnahmen wurde von unserem Chief Operating Officer geleitet. Parallel dazu ist unser DPO (Datenschutzbeauftragter) für die Sicherstellung verantwortlich, dass Brevo die DSGVO im Laufe der Zeit weiterhin einhält.
Ferner liegt es in der Verantwortung des Datenschutzbeauftragten, die Anwendung der verschiedenen Aspekte der Verordnung zu überwachen und sicherzustellen, dass wir die wichtigsten Grundsätze der DSGVO respektieren. Dies gilt insbesondere für den Grundsatz „Privacy by Design“, der sich auf die Compliance mit einem Datenverarbeitungsverfahren bezieht, noch bevor es tatsächlich umgesetzt wird.
Unser Datenschutzbeauftragter erhält bei Aspekten, die speziell die Datensicherheit und Rückverfolgbarkeit betreffen, SecOps-Unterstützung. Wenn Sie unseren Datenschutzbeauftragten kontaktieren möchten, können Sie ihn direkt per E-Mail unter dpo@brevo.com erreichen.
Aktueller Status und nächste Schritte
Die DSGVO-Compliance an sich ist nie wirklich abgeschlossen. Es handelt sich um einen fortlaufenden Prozess, der eine regelmäßige Überwachung und Bestätigung erfordert, dass die Rechtsgrundsätze intern bei unserer aktuellen Datenverarbeitung eingehalten werden. Zudem muss das Kriterium „Privacy by Design“ für jeden neuen Vorgang, der die Verarbeitung personenbezogener Daten einschließt, fortlaufend evaluiert werden.
Brevo ist stolz, den ersten Teil der Herausforderung gemeistert zu haben. Wir werden unser Compliance-Engagement aufrecht erhalten, um für unsere Benutzer ein vertrauenswürdiger Drittanbieter von Software zu bleiben.
Brevo konnte aus dieser umfangreichen Compliance-Maßnahme mehrere Vorteile ziehen, einschließlich der folgenden:
- Wir vereinen unsere gesamte Organisation um ein gemeinsames Ziel und arbeiten teamübergreifend zusammen, um dieses Ziel zu erreichen
- Wir implementieren noch strengere Verfahren rund um unsere Datenverwaltung und -verarbeitung, um unsere Sicherheit weiter zu verbessern
- Schnelle Compliance-Realisierung mithilfe externer Partner
- Durchführung einer innovativen Bewertung unserer Netzwerksicherheit und Umsetzung der erforderlichen Korrekturmaßnahmen
- Stärkung der Verbindung zwischen Brevo und unseren Benutzer:innen durch Bereitstellung der für die DSGVO-Compliance erforderlichen Tools auf unserer Plattform
Brevo ist eine Organisation mit mehr als 400 Mitarbeiter:innen. Wir alle setzen uns dafür ein, die Sicherheit und Vertraulichkeit der uns anvertrauten personenbezogenen Daten zu gewährleisten. Im Rahmen unserer Kernaufgabe, kleinen und mittleren Unternehmen eine umfassende digitale Marketingplattform für Wachstum und Erfolg bereitzustellen, nehmen wir diese Verantwortung sehr ernst.
🤔 Sie haben eine Frage?
Wenden Sie sich bei Fragen an unser Support-Team: Erstellen Sie einfach ein Ticket über Ihr Konto. Wenn Sie noch kein Konto haben, können Sie uns hier kontaktieren.
Wenn Sie Unterstützung bei einem Projekt mit Brevo suchen, können wir Sie mit dem richtigen zertifizierten Brevo-Expertenpartner zusammenbringen.