Wie hält SendinBlue die DSGVO ein?

Dieser Artikel liefert eine Übersicht über die ersten und fortlaufenden Maßnahmen von SendinBlue, um als Ihr Datenverarbeiter sicherzustellen, dass wir die DSGVO einhalten, und um als Datenverantwortlicher unsere Nutzer bei der Einhaltung der neuen Vorschriften zu unterstützen.

Diese Maßnahmen konzentrieren sich auf die fünf nachstehend erläuterten Hauptbereiche:

  1. Wichtige Funktionen
  2. Sicherheit
  3. Management von Partnern und Datenverarbeitern
  4. Rechtliche Dokumentation
  5. Unternehmensorganisation

1 – Die Anpassung wichtiger Funktionen

In Zusammenarbeit mit einer Auswahl unserer Nutzer, unseren Account-Managern, dem Produktteam, dem technischen Team und unserer Rechtsberatung hat SendinBlue die zentralen, zu erreichenden Meilensteine in Bezug auf die DSGVO identifiziert.

Die Anforderung, im Kontext der Rechenschaftspflicht Informationen bereitzustellen

Auf unserer Website und auf unserem Blog stehen mehrere Informationsressourcen zu den Rechten von E-Mail-Vermarktern unter der DSGVO sowie zu bewährten Verfahrensweisen zur Verfügung, mit denen die gesetzlichen Vorschriften eingehalten werden können.

Diese Ressourcen werden bereitgestellt, um den Nutzern zu helfen, die Vorschriften bei den wichtigsten Anwendungsschritten auf der Plattform einzuhalten:

  • Importieren von Kontakten
  • Erstellen von Abonnementformularen für E-Mails, um das Einverständnis der Kontakte einzuholen
  • Erstellen von E-Mail-Kampagnen für den Versand an die Abonnenten

Das Help Center wurde um einen DSGVO-spezifischen Bereich erweitert und wir organisieren auch weiterhin regelmäßig Info-Webinare zum Thema.

Das Recht auf Berichtigung, Übertragbarkeit und Vergessenwerden

Die Rechte auf Berichtigung, Übertragbarkeit und Vergessenwerden sind seit mehreren Jahren gut etabliert, daher gibt es diesbezüglich keine betrieblichen Änderungen. Wie oben erwähnt, haben wir jedoch mehr Details zu den Modalitäten für die Ausübung dieser Rechte bereitgestellt.

Transaktionslogs

Bislang wurden alle Transaktions-E-Mail-Logs standardmäßig für unbestimmte Zeit aufbewahrt.

Ab Ende Mai 2018 können die Nutzer bestimmen, wie lange die Logs ihrer Transaktions-E-Mails aufbewahrt werden sollen, und eine Vorschau des Inhalt jeder dieser Nachrichten einsehen. Diese Funktion ist auf Anfrage an unseren Kundenservice schon jetzt verfügbar.

E-Mail-Anmeldeformulare

Im Rahmen des Compliance-Prozesses wurde den E-Mail-Anmeldeformularen besondere Aufmerksamkeit gewidmet, da sie ein wesentlicher Bestandteil der Compliance für unsere Nutzer sind.

Es ist ab sofort möglich, die Präferenzen von E-Mail-Abonnenten zu verwalten und sie zu den spezifischen, bei der Registrierung gewählten Listen hinzuzufügen. Zudem können die Nutzer am Ende von Anmeldeformularen einen standardisierten Hinweis hinzufügen, über den die Abonnenten auf ihre Datenschutzrichtlinie zugreifen können.

Nachweis der Zustimmung

Nachdem die Kontaktinformationen gesammelt wurden, ist im Kontaktprofil ein Nachweis der Zustimmung verfügbar.

Jedes Kontaktprofil enthält den genauen Anmeldezeitpunkt, die ID des zur Anmeldung verwendeten Formulars und die IP-Adresse. Diese Informationen können exportiert werden, damit SendinBlue den Nutzern bei Bedarf ganz einfach einen Nachweis über die Zustimmung liefern kann.

2 – Erweiterte Sicherheitsüberprüfung

Wir wissen, dass  die Datensicherheit für viele ein heikles Thema ist. Aus diesem Grund ist sie für uns schon immer eine Priorität gewesen. Die DSGVO hat es uns ermöglicht, bei dieser Priorität noch einen Schritt weiter zu gehen, um undurchlässige Datenübertragungen und Datenspeicherungen sicherzustellen, die Datenüberwachung und -kontrolle zu verbessern und den Zugriff für unsere Nutzer noch sicherer zu machen.

Einrichtung von Datenarchivierungs- und Rückverfolgungssystemen

Um Verletzungen der Datensicherheit zu verhindern, ist eine enge Kontrolle der Datenverarbeitung auf unserer Plattform erforderlich.

Mit dem Datentracking und der Log-Identifizierung haben wir ein System für die Rückverfolgbarkeit der Daten aller Datenverarbeitungsverfahren auf unserer Plattform eingeführt.

Darüber hinaus haben wir die Sicherheit der archivierten Daten unserer Benutzer maximiert. Diese Daten werden nun in separaten Datenbanken gespeichert und personenbezogene Daten wurden verschlüsselt.

Die Archive werden lediglich für rechtliche Zwecke aufbewahrt. Nach Ablauf des Aufbewahrungszeitraums werden die Daten aus der Datenbank gelöscht.

Netzwerk-Penetrationstests

Wir haben begonnen, mit einem auf Cybersicherheit spezialisierten Beratungsunternehmen zusammenzuarbeiten, dessen Feedback nach den durchgeführten Penetrationstests sehr positiv war.

Da wir jedoch wissen, dass man immer mehr tun kann, um die Datensicherheit zu gewährleisten, haben wir uns an Bounty Factory gewendet. Die britische Plattform ermöglicht es uns, per Crowdsourcing weitere Untersuchungen unserer Netzwerk- und Datensicherheit durch eine große Community von White-Hat- oder "ethischen" Hackern und Sicherheitsforschern durchführen zu lassen.

Das sogenannte Bug-Bounty-Programm ruft dazu auf, die Schwächen unseres Systems aufzudecken. Dabei gibt es für jede gefundene Schwachstelle (d. h. jeden Bug bzw. Fehler) eine finanzielle Belohnung.

Das Vergütungssystem setzt starke Anreize für Sicherheitsforscher, eventuell vorhandene Schwachstellen im SendinBlue-System ausfindig zu machen und unser Risiko für böswillige Angriffe zu minimieren.

3 – Management unserer Partner und Datenverarbeiter

Einer der wichtigsten Grundsätze, die von der DSGVO eingeführt werden, ist die geteilte Verantwortung. Im Wesentlichen bedeutet dies, dass alle Beteiligten, egal ob Datenverantwortlicher (die Partei, die die Zwecke und Mittel der Datenverarbeitung festlegt) oder einer der Datenverarbeiter weiter unten in der Kette, einen Teil der rechtlichen Verantwortung tragen, wenn personenbezogene Daten verarbeitet werden.

In seiner doppelten Funktion als Datenverantwortlicher und Datenverarbeiter muss SendinBlue den Grundsatz der Verantwortung von beiden Seiten einhalten.

Als Datenverarbeiter haben wir Maßnahmen ergriffen, um die Einhaltung der DSGVO in der gesamten Datenverarbeitungskette mit allen Partner-Softwareanbietern sicherzustellen.

Als Datenverantwortlicher müssen wir zudem gewährleisten, dass unsere eigenen Datenverarbeiter die neuen Bestimmungen einhalten. Folglich haben wir uns mit spezifischen Fragen zu ihren Datenverarbeitungsmethoden an die Datenverarbeiter gewandt. So konnte sichergestellt werden, dass ihre Verfahren für die Verarbeitung unserer Daten mit der DSGVO und unserer Verpflichtung gegenüber unseren Kunden konform sind.

Die Zusammenarbeit mit Datenverarbeitern, die unsere Fragen nicht zufriedenstellend beantworten konnten, wurde beendet.

Mit den Datenverarbeitern, deren Antworten zufriedenstellend waren, wurden unsere Anforderungen in Vereinbarungen über die Datenverarbeitung (Data Processing Agreements, DPA) festgehalten.

Die DPA legt die Art und die Methoden der Datenverarbeitung fest, die vom Datenverarbeiter im Namen von SendinBlue durchgeführt wird. So können ein rechtlicher Rahmen und die Rückverfolgbarkeit der Daten gewährleistet werden.

Zudem haben wir die Privacy-Shield-Zertifizierung unserer Datenverarbeiter in den Vereinigten Staaten überprüft, die eine notwendige Voraussetzung für die Verarbeitung der Daten europäischer Bürger darstellt.

4 – Rechtliche Dokumentation

Angesichts der neuen Anforderungen, die die DSGVO mit sich bringt, haben wir unsere rechtliche Dokumentation angepasst. Insbesondere wurden Änderungen an unseren Allgemeinen Geschäftsbedingungen und an unserer Datenschutzrichtlinie vorgenommen, die auf unserer Website zur Verfügung stehen.

Eine Datenverarbeiterklausel wurde aufgesetzt und zu unseren Allgemeinen Geschäftsbedingungen hinzugefügt, um die Rolle und die Verantwortung von SendinBlue als Drittanbieter gegenüber unseren Nutzern im Detail zu beschreiben.

5 – Die internen Auswirkungen der DSGVO auf die Organisation von SendinBlue

Die DSGVO hat uns gezwungen, unsere interne Organisation zu optimieren sowie Best Practices und Verfahren zu erstellen, die die wichtigsten Grundsätze der Verordnung unterstützen.

Mitarbeiterbewusstsein

Im Rahmen ihrer Funktionen benötigen gewisse Personen bei SendinBlue Zugriff auf personenbezogene Daten.

Account-Manager müssen beispielsweise bei Bedarf auf bestimmte Elemente eines Benutzerkontos zugreifen können, um eine Support-Frage zu beantworten.

Wir haben begonnen, die Vertraulichkeitsklausel in den Verträgen fester Mitarbeiter zu erweitern und Schulungen zu fördern.

Die Schulungen umfassen einen Grundkurs, der einen Überblick über die Anforderungen der DSGVO bietet, sowie auf dem Grundkurs aufbauende spezielle Lehrgänge für Teams, die regelmäßig mit sensiblen Daten arbeiten.

So erhalten alle Mitarbeiter ein klares Verständnis ihrer Verpflichtungen in Verbindung mit der neuen Verordnung.

Interne Verfahren und Kontrollen

Um die reibungslose Anwendung unserer Compliance-Maßnahmen sicherzustellen, wurden sämtliche internen Verfahren im Zusammenhang mit der Verwaltung des Zugangs unserer Mitarbeiter zu personenbezogenen Daten, der Handhabung von Anfragen von Einzelpersonen, die ihre Rechte in Bezug auf ihre personenbezogenen Daten ausüben möchten, und den Prozessen für die Aufbewahrung und die Löschung von Daten überprüft.

Anhand eines Kontrollplans werden die ordnungsgemäße Anwendung dieser Verfahren und die Aktualisierung der entsprechenden Dokumentation regelmäßig kontrolliert.

Ernennung von für die Aufrechterhaltung der Compliance zuständigen Personen

Die Implementierung unserer Compliance-Maßnahmen wurde von unserem Chief Operating Officer geleitet. Parallel dazu wurde Jule Jeanroy zum DPO (Data Protection Officer) ernannt. Seine Aufgabe ist es, sicherzustellen, dass SendinBlue die DSGVO im Laufe der Zeit fortwährend einhält.

Der DPO ist außerdem dafür verantwortlich, die Anwendung der verschiedenen Aspekte der Verordnung zu überwachen und zu gewährleisten, dass die wichtigsten Grundsätze der DSGVO respektiert werden, vor allem der Grundsatz des "eingebauten Datenschutzes" (Privacy by Design), der sich auf die Compliance eines Datenverarbeitungsverfahrens vor seiner tatsächlichen Implementierung bezieht.

Unser DPO wird bei spezifischen Fragen in Bezug auf Datensicherheit und Rückverfolgbarkeit von einem SecOps unterstützt. Schreiben Sie eine E-Mail an folgende Adresse, wenn Sie sich mit unserem DOP in Verbindung setzen möchten: dpo@sendinblue.com.

Aktueller Stand und nächste Schritte

Die DSGVO-Compliance ist niemals wirklich abgeschlossen. Es handelt sich um einen fortlaufenden Prozess, der eine regelmäßige Überwachung und Bestätigung der Einhaltung der Rechtsgrundsätze bei unserer internen Datenverarbeitung erfordert. Zudem ist für jedes neue Verfahren, das die Verarbeitung personenbezogener Daten beinhaltet, eine fortlaufende Beurteilung anhand des Kriteriums des "eingebauten Datenschutzes" notwendig.

SendinBlue ist stolz darauf, den ersten Teil der Herausforderung gemeistert zu haben. Wir werden uns auch weiterhin für die Einhaltung der Vorschriften einsetzen, um auch in Zukunft ein vertrauenswürdiger Software-Anbieter für unsere Nutzer zu bleiben.

Dieses große Compliance-Projekt hat SendinBlue zahlreiche Vorteile verschafft, darunter:

  • die Mobilisierung unseres gesamten Unternehmens für ein gemeinsames Ziel und eine teamübergreifende Zusammenarbeit für dessen Erreichung
  • die Implementierung von noch strengeren Verfahren für unser Datenmanagement und unsere Datenverarbeitung, um unsere Sicherheit noch weiter zu verbessern
  • die schnelle Erreichung der Compliance-Ziele mit der Hilfe externer Partner
  • die Durchführung einer innovativen Beurteilung unserer Netzwerksicherheit und die Implementierung der erforderlichen Korrekturmaßnahmen
  • die Stärkung der Beziehung zwischen SendinBlue und unseren Nutzern durch die Bereitstellung der für die DSGVO-Compliance erforderlichen Tools auf unserer Plattform

Das Unternehmen SendinBlue besteht aus fast 150 Mitarbeitern, die sich für die Sicherheit und die Vertraulichkeit der ihnen anvertrauten personenbezogenen Daten einsetzen. Wir nehmen diese Verantwortung sehr ernst. Sie ist Teil unseres Auftrags, kleinen und mittleren Unternehmen eine All-in-One-Plattform für digitales Marketing bereitzustellen, damit sie wachsen und erfolgreich sein können.

Fragen oder Bedenken?

Gerne beantworten wir Ihre Fragen oder besprechen eventuelle Bedenken, die Sie in Bezug auf SendinBlue und die DSGVO haben. Senden Sie einfach eine E-Mail an gdpr@sendinblue.com.