Frage:
Warum muss ich mich bei einigen GDPR-E-Mails abmelden und bei einigen abmelden?
Pureferret
2018-05-23 14:32:58 UTC
view on stackexchange narkive permalink

Ich habe einen Trend bei E-Mails festgestellt, die ich aufgrund der DSGVO erhalten habe. Einige davon sind eine Art "Opt-out" (oder Pseudo-Opt-out, bei dem Sie nur die Nutzung ihres Dienstes einstellen müssen) wie Also:

Unsere aktualisierte Datenschutzrichtlinie erläutert Ihre Rechte gemäß diesem neuen Gesetz und tritt am 25. Mai 2018 in Kraft. Wenn Sie unsere Website oder App nach diesem Datum weiterhin nutzen, stimmen Sie diesen zu aktualisierte Bedingungen.

Oder Sie müssen sich anmelden:

Hallo, dies ist eine weitere dieser Allgemeinen Datenschutzbestimmungen ("DSGVO"). E-Mails, in denen wir um Erlaubnis bitten, Ihnen eine E-Mail zu senden, auch wenn Sie sich außerhalb der EU befinden.

Wir hoffen, dass Sie sich dafür entscheiden, ab und zu weiterhin eine E-Mail über unsere neuesten Updates zu erhalten.

Was unterscheidet die beiden Anforderungen? Speichern sie unterschiedliche Daten über mich oder hat das mehr mit ihrem Service zu tun? Ich habe einige Unternehmen gesehen, die mir nur E-Mails über Werbeaktionen usw. senden (ähnlich wie im zweiten Zitat oben), und sie haben die Pseudo-Opt-Out-Nachricht, daher glaube ich nicht, dass es sich um einen Service handelt.

Im ersten Beispiel erhalten sie keine Berechtigung zum Weiterleiten von E-Mails, es sei denn, sie haben zuvor eine echte Anmeldemethode verwendet, sondern Benutzer über aktualisierte Begriffe informiert.Nicht alle davon stehen in direktem Zusammenhang mit der DSGVO - einige Unternehmen verwenden sie als Ausrede, um die Bedingungen zu ändern.Beachten Sie, dass in der obersten GDPR nicht ausdrücklich erwähnt wird
Es könnte sehr gut so sein, wie der rechtliche Unsinn geschrieben wurde.Obwohl ich kein Anwalt bin, nimm mein Wort nicht dafür.
Interessante Frage, abgestimmt und eine Antwort gepostet, aber kann ich fragen, warum diese Frage hier zum Thema betrachtet wird?Ich habe kürzlich eine Frage zu GDPR aus Sicht von INFOSEC gestellt, die jedoch auf law.SE verschoben wurde.Ich versuche nur zu verstehen
@reed Persönlich stimme ich zu, ich halte dies eher für eine rechtliche als für eine InfoSec-Frage.Nur weil Technologie verwandt ist, heißt das nicht, dass sie sozusagen hierher gehört.
Dies scheint eine Frage des Gesetzes zu sein, nicht der IT-Sicherheit.Dies macht es hier nicht zum Thema.Angesichts der guten Antworten möchte ich jedoch vorschlagen, es auf Law Stack Exchange zu migrieren.
Bei @Philipp GDPR dreht sich jedoch alles um Informationssicherheit, wie der Name der Site lautet.Ich verstehe also, warum es hier sowieso gepostet wurde.
Einige kümmern sich tatsächlich um (die Absicht) des Gesetzes, andere versuchen, ein "Cookie-Banner 2.0" zu verwenden.Bald werden wir sehen, wer Recht hat und wer verklagt wird.Darüber hinaus möchten einige möglicherweise, dass Sie sich für mehr Datenerfassung anmelden, als Sie akzeptieren müssen, und sie versuchen lediglich, Ihnen einen Anmeldelink zu senden, während andere Ihre Daten schützen, aber dennoch eine Deaktivierung (und Löschung) zulassen müssen.Möglichkeit.
Ich sehe nicht, dass es bei dieser Frage überhaupt um GDPR geht.Wie gefragt, wäre es nicht zum Thema Law.SE.Zu fragen, "was mehr im Einklang mit der DSGVO steht", wäre eine rechtliche Frage.Ich halte dies einfach für eine Frage der Datenschutzrichtlinie mit einem GDPR-Blickwinkel.
Sieben antworten:
#1
+110
N.I.
2018-05-23 20:57:19 UTC
view on stackexchange narkive permalink

Es ist nicht klar, dass die erste Art von E-Mail legal ist. Ein französischer Verband, la Quadrature du Net , plant, am 28. Mai eine Sammelklage gegen fünf große Technologieunternehmen (das berühmte "GAFAM") gegen genau diese Praxis einzuleiten. Hier ist eine Zusammenfassung ihrer Argumente:

  • Artikel 6 § 1 der DSGVO listet sechs Fälle für die rechtmäßige Verarbeitung personenbezogener Daten auf, einer davon ist die Zustimmung des Benutzers;
  • Artikel 4 § 11 besagt, dass die Zustimmung auf eine Weise eingeholt werden muss, die zeigt, dass es der Wille des Benutzers ist, auf klare, spezifische, informierte und eindeutige Weise;
  • In der Präambel der DSGVO wird erklärt, dass die Zustimmung a sein muss positive Maßnahmen, und es kann keine Einwilligung im Falle von Schweigen, vorab angekreuzten Kästchen oder Untätigkeit geben;
  • Artikel 7 §4 besagt, dass bei der Einholung der Einwilligung zu prüfen ist, ob die Verarbeitung personenbezogener Daten absolut ist notwendig für die Erbringung einer Dienstleistung.

Infolgedessen bestätigte die "G29", die Gruppe der nationalen Datenschutzbehörden in der EU, dass, wenn ein Benutzer keine hat echte Wahl, fühlt sich eingeschränkt oder wird negative Konsequenzen für die Verweigerung der Zustimmung haben, dann ist die erteilte Zustimmung nicht gültig. Die G29 bestätigte daher, dass die DSGVO garantiert, dass die Einwilligung zur Verarbeitung personenbezogener Daten nicht das Gegenstück zur Erbringung von Dienstleistungen sein kann.

Wenn ein Unternehmen die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten anfordert, ist dies verboten Verwenden der anderen Rechtsgrundlagen von Artikel 6 zur Rechtfertigung ihrer Verarbeitung.

(Die Argumentation wird ausführlicher, wenn Sie Französisch lesen können. Was ich oben geschrieben habe, ist nur eine Zusammenfassung.)

Die erste E-Mail bringt Sie also dazu, etwas Illegales zu akzeptieren. Wenn die oben genannten Sammelklagen erfolgreich sind, können Sie davon ausgehen, dass kleinere Unternehmen diesem Beispiel folgen und keine E-Mails der ersten Art mehr senden (oder schwerwiegende rechtliche Konsequenzen haben).

Auf der Oracle-Website wurde mir ein Cookie-Dialog angezeigt.Keine Details und eine große Schaltfläche "Alle akzeptieren".Dann musste ich mehrere Seiten einrichten, um deren sh * t zu deaktivieren.Schließlich wurde an HTTP verwiesen, um den gleichen Prozess erneut zu durchlaufen.Dies sollte nicht legal sein.
"Die Zustimmung zur Verarbeitung personenbezogener Daten kann nicht das Gegenstück zur Erbringung von Dienstleistungen sein".Bedeutet dies, dass Google, Facebook usw. den Nutzern die Möglichkeit geben sollten, zwischen kostenlosen Tarifen (mit dem üblichen Tracking, Anzeigen usw. wie derzeit) und kostenpflichtigen Tarifen (ohne Verarbeitung personenbezogener Daten, ohne Zustimmung für) zu wählenirgendetwas) für all ihre Dienste?Es würde Sinn machen und es wäre cool.
@reed Nein. In Ihrem Beispiel ist die Verarbeitung personenbezogener Daten immer noch ein Gegenstück zur Bereitstellung von Diensten.
Die Verarbeitung personenbezogener Daten ist jedoch das Hauptgeschäftsmodell dieser Unternehmen.Wollen Sie damit sagen, dass die DSGVO den Tod eines solchen Geschäftsmodells bedeutet?Keine kostenlosen Dienste mehr, alles bezahlt?Beim zweiten Gedanken könnten einige Teile der DSGVO dies vorschlagen, aber ich vermute, dass dies in der Praxis nicht so streng interpretiert wird.
@reed Die Unternehmen müssen ein neues Geschäftsmodell finden, wenn sie weiterhin in der EU tätig sein wollen, ja.Oder zumindest einen Weg finden, ihr Modell legal zu machen.Ich bin mir nicht sicher, warum Sie denken würden, dass Gerichte das Gesetz nicht streng auslegen werden.
@NajibIdrissi: Ohne zu viel vom Thema abzukommen, gibt es ein Konzept wie "gesetzgeberische Absicht".Gerichte können Unklarheiten im Gesetz lösen, indem sie die Ergebnisse der widersprüchlichen Auslegungen betrachten und diese mit den angegebenen Absichten dieses Gesetzes vergleichen.Wenn also eine DSGVO-Auslegung ein bestimmtes Geschäftsmodell zulässt und eine andere nicht, kann die gewählte Auslegung sehr wohl davon abhängen, ob die Gesetzgebung dieses Geschäftsmodell zulassen soll.
@MSalters 1. Sind Sie sicher, dass Sie amerikanische Konzepte nicht auf europäisches Recht anwenden?2. Haben Sie die Präambel des GDPR, die Diskussionen des Europäischen Parlaments, die auf der Webseite des QDN zitiert werden, oder die Zitate der G29 gelesen, die ich erwähnt habe?Weil es ziemlich offensichtlich ist, was die Absicht des Gesetzes ist.
@NajibIdrissi: Diese Präambeln wären nicht da, wenn sie nicht die gesetzgeberische Absicht formalisieren würden.Also ja, ich bin sicher, dass es kein rein amerikanisches Konzept ist.Beachten Sie auch, dass ich Ihrer Beobachtung größtenteils zustimme, dass die Zustimmung nicht frei gegeben wird, wenn es obligatorisch ist, (logisch nicht verwandte) Dienste zu erhalten.Sehen Sie sich einfach meine jüngsten Antworten der DSGVO auf Law.SE an.
@MSalters Ich würde mich freuen, Sie beim Wort zu nehmen, aber können Sie eine Quelle für gesetzgeberische Absichten als Konzept außerhalb der USA vorlegen?Zum zweiten Teil Ihres Kommentars: Sie haben also gerade die Gelegenheit genutzt, Ihr Wissen zur Schau zu stellen, und keinen konkreten Punkt gemacht?
@NajibIdrissi Es ist sicherlich ein Konzept im * britischen * Recht, zumindest - Google für "parlamentarische Absicht" oder "parlamentarische Absicht", und Sie werden viele Ergebnisse finden.http://www.statutelawsociety.co.uk/wp-content/uploads/2017/11/The-Myth-of-Parliamentary-Intent-text.pdf (ein Artikel, der den Begriff als inkohärent angreift) beginnt mit der Feststellung, dass * "Zeit ohne Anzahl Richter haben auf die Absicht des Parlaments hingewiesen Die Absicht des Parlaments wird als Schlüssel zur Auslegung der Statuten angesehen. In der Tat wird angenommen, dass die Auslegung von Statuten in der Feststellung der Absicht des Parlaments. "*
@NajibIdrissi: Indien hat definitiv den Begriff der gesetzgeberischen Absicht, wie es anscheinend mehr Commonwealth-Staaten tun.Das ist angesichts ihres Erbes keine Überraschung.Kontinentaleuropa erhielt es über Friedrich Carl von Savignys „teleologische Interpretation“ (interpretieren die Bedeutung seines Gesetzes aus τ Sieλος, Zweck oder Absicht)
Ich bin mir nicht sicher, ob ich Ihrer Meinung zu Aussage 1 voll und ganz zustimme. Wenn Sie weiterhin einen Dienst nutzen, gibt es eine klare rechtliche, vertragliche Grundlage für die Verarbeitung Ihrer Daten. Wenn Sie keine Ihrer Daten möchtenDaten verarbeitet, dann müssen Sie die Nutzung der Dienste einstellen (dies kann so einfach sein, wie Ihre E-Mail-Adresse Ihr Benutzername ist) - es ist nicht stark, Sie in irgendetwas zu bewaffnen, sondern nur die Bedingungen zu aktualisieren, um die fraglichen Dienste weiterhin zu nutzen.
@reed Es wird nur so streng auf Nicht-EU-Unternehmen angewendet.
Eine Aktivistengruppe reicht bereits Beschwerden auf der Grundlage dieser http://www.bbc.co.uk/news/technology-44252327 ein
@MarkAmery: Das ist nicht besonders interessant, da sowohl die USA als auch Großbritannien das Common Law anwenden.Unter [Zivilrecht] (https://en.wikipedia.org/wiki/Civil_law_ (legal_system)) sind die Grundregeln für die Arbeitsweise eines Gerichts sehr unterschiedlich.Dies ist das in den meisten Teilen Europas verwendete System und weitaus relevanter als das, was sie in Großbritannien tun.
@RemarkLima Der wichtige Unterschied ist ** "Müssen sie Ihre Daten verarbeiten, um den Dienst bereitzustellen?" ** Wenn sie Ihre Daten benötigen, müssen sie in den meisten Fällen nicht einmal um Zustimmung bitten.Wenn sie jedoch vorhaben, Dinge mit Ihren Daten zu tun, die in keinerlei Zusammenhang mit dem bereitgestellten Dienst stehen (abgesehen von der Finanzierung), benötigen sie Ihre kostenlose und willkürliche Zustimmung!
@Falco Ich stimme vollkommen zu, das habe ich gemeint!
(-1) Diese Antwort verwechselt zwei völlig getrennte Fragen.Die erste E-Mail informiert Sie im Wesentlichen über eine Änderung der Servicebedingungen. Das übliche Kennzeichen für die fortgesetzte Nutzung bedeutet, dass Sie die Änderung akzeptieren.Die Änderung scheint erforderlich zu sein, um die GDPR-Anforderungen in Bezug auf Informationen zu erfüllen, aber das Senden von E-Mails wäre ohnehin illegal, wenn der Absender zuvor keine Einwilligung eingeholt hätte, sodass Sie nicht dazu gezwungen werden, etwas zuzustimmen, dem Sie zuvor nicht zugestimmt haben.
In der Sammelklage, auf die Sie sich beziehen, werden E-Mails überhaupt nicht erwähnt. Sie basiert auf der Art der Vereinbarung selbst (Bündelung der Zustimmung für verschiedene Arten der Datenverarbeitung, die für die Erbringung des Dienstes nicht erforderlich sind), was ebenso problematisch wäre *wenn der Benutzer als Antwort auf die zweite E-Mail zustimmt oder ohne jemals eine E-Mail zu erhalten. *
@reed Die Zustimmung zur Verarbeitung, die zur Erbringung des Dienstes erforderlich ist, ist nicht erforderlich.Wenn Sie beispielsweise im Online-Shop bestellen, benötigen Sie nicht Ihre Zustimmung, um Ihre Adresse ** zum Zwecke des Versands des Pakets ** zu verarbeiten.Der Shop kann eine zusätzliche Zustimmung zur ** zusätzlichen ** Verarbeitung verlangen, wie z. B. später Spam.Facebook benötigt also nicht Ihre Zustimmung, um Ihr Profil zu verarbeiten und zu hosten, da dies der bereitgestellte Dienst ist.Bei Anzeigen führt die Verarbeitung Ihrer Daten zu besseren Anzeigen: besser bezahlt, relevanter für Sie.Ohne Ihre Zustimmung zu personalisierten Anzeigen werden nur mehr zufällige Anzeigen geschaltet, um dies auszugleichen.
@akostadinov Wenn dies für sehr viele Menschen tatsächlich wichtig wäre (oder wichtiger als kostenloser Service und genauere Ergebnisse), dann würden Unternehmen, die diese Dinge nicht mit Daten tun, bereits existieren und profitabel sein.Was nicht legal sein sollte, sind Statisten, die versuchen zu entscheiden, welche Werte jeder hat.
#2
+19
reed
2018-05-23 18:09:30 UTC
view on stackexchange narkive permalink

Einige Zitate aus dem DSGVO-Gesetz:

[...] Die Zustimmung sollte durch einen klaren positiven Akt erteilt werden, der einen frei gegebenen, spezifischen, informierten und eindeutigen Hinweis auf die Zustimmung der betroffenen Person enthält zur Verarbeitung personenbezogener Daten, die ihn betreffen, beispielsweise durch eine schriftliche Erklärung, auch auf elektronischem Wege, oder durch eine mündliche Erklärung. Dies kann das Ankreuzen eines Kästchens beim Besuch einer Internet-Website, die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder eine andere Erklärung oder ein anderes Verhalten umfassen, aus dem in diesem Zusammenhang eindeutig hervorgeht, dass die betroffene Person die vorgeschlagene Verarbeitung ihrer personenbezogenen Daten akzeptiert. Schweigen, vorab angekreuzte Kästchen oder Inaktivität sollten daher keine Zustimmung darstellen. Die Zustimmung sollte alle Verarbeitungstätigkeiten abdecken, die für denselben Zweck oder dieselben Zwecke ausgeführt werden. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle eine Zustimmung erteilt werden. Wenn die Zustimmung der betroffenen Person auf Anfrage auf elektronischem Wege erteilt werden soll, muss die Anfrage klar, präzise und nicht unnötig störend für die Nutzung des Dienstes sein, für den sie bereitgestellt wird. [...]

[...] Wenn die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46 / EG beruht, ist es nicht erforderlich, dass die betroffene Person ihre Einwilligung erneut erteilt, wenn dies der Fall ist Wenn die Einwilligung erteilt wurde, entspricht dies den Bedingungen dieser Verordnung. [...]

[...] "Einwilligung" der betroffenen Person bedeutet jede frei gegebene, spezifische, informierte und eindeutige Einwilligung Angabe der Wünsche der betroffenen Person, durch die sie durch eine Erklärung oder eine eindeutige positive Handlung die Zustimmung zur Verarbeitung personenbezogener Daten, die sie betreffen, bedeutet; [...]

[...] Bei der Beurteilung, ob die Einwilligung frei erteilt wird, ist äußerst zu berücksichtigen, ob unter anderem die Vertragserfüllung einschließlich der Erbringung einer Dienstleistung erfolgt Voraussetzung ist die Zustimmung zur Verarbeitung personenbezogener Daten, die für die Vertragserfüllung nicht erforderlich sind. [...]

DSGVO bedarf der ausdrücklichen Zustimmung. Wenn ein Dienst personenbezogene Daten erfasst hat und Sie dieser nicht ausdrücklich zugestimmt haben, muss er Sie erneut ausdrücklich um Ihre Zustimmung bitten. Ich glaube theoretisch, dass ein Dienst jedes Mal, wenn er seine Datenschutzrichtlinie ändert, erneut um ausdrückliche Zustimmung bitten muss, obwohl ich keine Aussage dazu finden kann. Daher glaube ich, dass Ihr Beispiel für "pseudo-implizites Opt-out" in keinem Fall legal ist, selbst wenn Sie zuvor ausdrücklich eine GDPR-konforme Einwilligung erteilt haben (und ich bezweifle dies), da sie jetzt ihre Datenschutzrichtlinien ändern und Sie bitten, dies implizit zu akzeptieren, indem Sie einfach ihren Dienst weiter nutzen.

Vorausgesetzt, sie entscheiden sich für die Verwendung der Einverständniserklärung.Es kann sein, dass diejenigen, die per E-Mail "Opt-out" -Links senden, ein berechtigtes Interesse geltend machen, aber ein Opt-out anbieten, um anderen Rechten nachzukommen.
Die DSGVO bedarf keiner ausdrücklichen Zustimmung - dies ist nur eine von 6 rechtmäßigen Grundlagen für die Verarbeitung.
@symcbean, Sie haben Recht, in einigen Fällen benötigen Sie nicht wirklich die Zustimmung des Benutzers für alles.Aber in diesem speziellen Fall haben wir meiner Meinung nach über die Zustimmung (Opt-In, Opt-Out usw.) gesprochen, und soweit ich das verstehe, sollte dies explizit sein.
* Wenn ein Dienst personenbezogene Daten gesammelt hat und Sie dieser nicht ausdrücklich zugestimmt haben, müssen sie erneut um Ihre Zustimmung bitten. * Dies ist wenig sinnvoll.Wenn sie keine Einwilligung haben, können sie Ihre Daten nicht verarbeiten, auch wenn sie nur um diese Einwilligung bitten.Die gemeinnützigste Interpretation ist, dass diese E-Mails nur die übliche E-Mail „Wir haben unsere Nutzungsbedingungen geändert“ sind, die nichts mit dem Begriff der Zustimmung gemäß der DSGVO zu tun hat.
@Relaxed, Sie haben möglicherweise in der Vergangenheit eine * implizite * Zustimmung oder eine nicht explizit genug Zustimmung für die DSGVO erteilt.Der Kontrast, auf den ich hingewiesen habe, ist zwischen implizit / explizit, nicht zwischen Zustimmung / Nicht-Zustimmung.
@reed Ich habe das, aber das löst das Problem nicht.Wenn die implizite Zustimmung nicht gut genug ist, haben Sie keine Zustimmung, Punkt.Was auch immer der Standard ist, Sie müssen ihn * vor * dem Senden einer E-Mail erfüllt haben.Vielleicht denken sie, dass sie damit durchkommen können, aber das Gesetz sagt sicherlich nicht, dass Sie erneut um Zustimmung bitten müssen. Es heißt, dass Sie die Daten nicht mehr verwenden müssen.
#3
+11
Overmind
2018-05-23 15:28:35 UTC
view on stackexchange narkive permalink

Die erste Kategorie sind die großen Unternehmen (wie große E-Mail-Anbieter), die sowieso tun, was sie wollen, und da Sie ihren Dienst nutzen möchten, müssen Sie ihre Bedingungen akzeptieren. Wenn Sie dies nicht tun, können Sie ihre Dienste nicht nutzen.

Die zweite Kategorie sind die faireren, die Sie fragen, ob Sie von ihnen Informationen erhalten möchten oder nicht. In der Regel handelt es sich dabei um Handelsunternehmen. Wenn Sie sich nicht für den Erhalt ihrer Angebote entscheiden, können Sie nicht mit ihnen Geschäfte machen.

"Wenn Sie dies nicht tun, können Sie ihre Dienste nicht nutzen."ist von der DSGVO verboten und ich kenne einen Verein (bei Interesse "La Quadrature du Net" genannt), der bereits geplant hat, als nächstes Sammelklagen gegen 12 große Unternehmen (einschließlich Google, Apple, Facebook, Amazon, Microsoft ...) zu startenMontag, und die Hauptbeschwerde ist dies.
@NajibIdrissi können Sie einen Link zu diesem Artikel speziell bereitstellen?Die Quadratur-Website ist etwas dicht.
@MatthewFitzGerald-Chamberlain Ich habe eine Antwort geschrieben, die eine Zusammenfassung und einen Link enthält.
@Najib - ja, das ist richtig, aber die großen Unterdrücker kümmern sich nicht wirklich darum.Sie werden weitermachen, was sie tun.
@NajibIdrissi über das, was ich lesen kann, wird die Aktion am Freitag 2018-Mai-25 (nicht am nächsten Montag) gestartet.Hier ist ein Link für die französische Version: https://gafam.laquadrature.net/
#4
+10
Michael Kay
2018-05-25 03:26:54 UTC
view on stackexchange narkive permalink

Erstens gibt es noch keine Rechtsprechung, und verschiedene Anwälte interpretieren die Regeln unterschiedlich: Einige gehen sehr sicher, andere segeln näher am Wind. Einige gehen wahrscheinlich davon aus, dass sie wahrscheinlich nicht ganz oben auf der Liste der Personen stehen, die es wert sind, strafrechtlich verfolgt zu werden. (Seien wir ehrlich, niemand wird einen Sportverein strafrechtlich verfolgen, weil er notiert hat, wer den Rasenmäher zuletzt repariert hat.)

Zweitens ist die Zustimmung nur eine der Möglichkeiten, wie die Vorratsdatenspeicherung zulässig sein kann. Andere beinhalten das Bestehen eines Vertrags, die Notwendigkeit, Gesetze und Vorschriften einzuhalten, und "berechtigte Interessen" (die sehr offen für Interpretationen sind: Aber zum Beispiel kann eine Versicherungsgesellschaft Ihre Schadenhistorie aufbewahren, damit sie ein Muster von erkennen kann betrügerische Ansprüche).

Drittens müssen bestehende Zustimmungen entgegen dem Anschein für die DSGVO nicht erneuert werden. Wenn Sie letztes Jahr zugestimmt haben, ist das (wahrscheinlich!) ziemlich gut genug.

IANAL - Ich habe jedoch die Vorschriften gelesen.

#5
+6
ysmartin
2018-05-25 02:11:57 UTC
view on stackexchange narkive permalink

Wie in anderen Antworten angegeben, erfordert die DSGVO eine ausdrückliche, informierte und eindeutige Zustimmung. Nach dem Prinzip der Rechenschaftspflicht müssen die für die Datenverarbeitung Verantwortlichen dies nachweisen können. Theoretisch:

  1. Organisationen, die Opt-out-E-Mails senden, haben Ihre ausdrückliche Zustimmung bereits ordnungsgemäß aufgezeichnet (z Wenn Sie einen Newsletter abonniert oder einen Vertrag unterschrieben haben, aktualisieren sie möglicherweise ihre Datenschutzrichtlinien, um sie besser an die DSGVO anzupassen. Sie senden Ihnen daher eine E-Mail und erinnern Sie daran, dass Sie sich jederzeit abmelden können
  2. Organisationen, die Opt-In-E-Mails senden, haben keine ordnungsgemäße Einwilligung aufgezeichnet, und sie beeilen sich, Ihre Einwilligung aufzuzeichnen und in ihren brandneuen GDPR-Verwaltungstools zu speichern.
  3. ol>

    In der Praxis:

    1. Einige Organisationen, die Opt-out-E-Mails versenden, laufen möglicherweise auf dünnem Eis und vertrauen darauf, dass ihre altmodischen Zustimmungen von den Behörden anerkannt werden, wenn es kommt darauf an.
    2. Einige Organisationen, die Opt-In-E-Mails senden, waren bereits außerhalb des Gesetzes (in Bezug auf die frühere Richtlinie und Gesetze der Mitgliedstaaten), aber sie bedauern es jetzt, da sie Angst vor den Geldbußen haben.
    3. ol>

      Oder es hängt von dem Anwalt ab, den jeder von ihnen eingestellt hat.

#6
+5
gabe3886
2018-05-24 16:15:57 UTC
view on stackexchange narkive permalink

Zusätzlich zu den hier bereits erwähnten Bereichen gibt es einen Abschnitt der DSGVO, der sich auf die Vorratsdatenspeicherung bezieht. Viele der E-Mails, in denen Leute (oder zumindest diejenigen, die ich bekomme) gebeten werden, sich anzumelden, geben auch an, dass sie seit einigen Jahren keine Interaktion mehr mit mir (oder besser gesagt von mir) hatten und daher Wenn ich ihre E-Mails weiterhin erhalten möchte, muss ich mich erneut anmelden. Dadurch erfahren sie, dass ihre Daten aktuell sind und alles andere entfernt werden kann.

Während das britische Datenschutzgesetz bereits festlegt, dass Daten nicht länger als nötig aufbewahrt werden können, wurden sie weitgehend ignoriert und die Mailinglisten nahmen weiter zu. Die DSGVO verlangt jedoch, dass Daten nach einer angemessenen Zeit entfernt werden. Wenn Sie sich anmelden, setzen Sie die Uhr auf die relevanten Daten zurück.

#7
+2
Agent_L
2018-05-26 17:26:47 UTC
view on stackexchange narkive permalink

Hier spielen zwei Dinge eine Rolle:

  • wann immer die alte Zustimmung noch gültig ist, weil sie auf eine Weise gefragt wurde, die bereits mit diesem eingehenden Gesetz vereinbar war (was den Eindruck eines Opt-out, aber es ist lediglich die Fortsetzung Ihres alten Opt-In) gegenüber der alten Zustimmung, die als unzureichend oder nichtig befunden wurde, sodass Sie sie erneuern müssen, z. weil das Kontrollkästchen standardmäßig aktiviert war (es war damals tatsächlich deaktiviert, daher muss es durch ein brandneues Opt-in ersetzt werden).
  • wann immer das Unternehmen die Dinge so halten möchte, wie sie waren ( wieder altes Opt-In, das sich jetzt wie Opt-Out anfühlt) oder nutzen sie die Gelegenheit, um Sie um mehr Berechtigungen zu bitten, als sie bereits hatten (Opt-In für etwas völlig Neues, wie E-Mails).
  • Es scheint, dass Sie sich hier mit dem ersten Fall befassen. Das erste Unternehmen hat lediglich seine Richtlinien aktualisiert und alte Einwilligungen als gut genug eingestuft, während das zweite Unternehmen Ihre alte Einwilligung nach dem neuen Gesetz für nichtig erklärt und Sie auffordert, erneut zuzustimmen.

    Die DSGVO ist hier, wo ich wohne, nicht neu 2 Jahre vacatio legis, so dass theoretisch Standorte seit mindestens 2 Jahren vorbereitet werden könnten. Es ist durchaus vorstellbar, dass einige Zustimmungen bereits konform sind (in Wirklichkeit kümmerte es niemanden, bis der Gesetzentwurf in Kraft trat).

    Zu Fall Nummer 2 gibt es ein Beispiel auf https://gdprhallofshame.com/ wo Zoom genau das versucht.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...