3-Punkte-Plan für rechtssicheres E-Mail-Marketing und Lead Management
©
Schon mit der Aufhebung des Safe-Harbor-Abkommens 2015 wurde in ganz Europa eine sprichwörtliche Lawine ausgelöst. Durch die Verabschiedung der neuen europaweiten Datenschutzgrundverordnung (EU-DSGVO), die bis Mai 2018 in Kraft treten soll, nimmt das Thema Datenschutz erneut Fahrt auf. Unternehmen und andere Institutionen kommen nun nicht mehr umhin, sich den wachsenden Anforderungen an Datenschutz und Datensicherheit zu stellen. Insbesondere im Personendaten-basierten E-Mail-Marketing und Lead Management ist es unverzichtbar, die gesetzlichen Vorgaben einzuhalten.
Punkt 1: Der richtige Software-Partner
Zunächst einmal ist jede Organisation, die personenbezogene Daten verarbeitet oder nutzt – also auch jedes Unternehmen, das E-Mail-Marketing und Lead Management betreibt – dafür verantwortlich, ein angemessenes Datensicherheitsniveau gemäß Bundesdatenschutzgesetz (BDSG) zu gewährleisten. Hinzu kommt: E-Mail-Marketing und Lead Management lassen sich heutzutage nicht ohne eine leistungsfähige Software betreiben. Im Hinblick auf die aktuelle und zukünftige Gesetzeslage sollten Unternehmen demzufolge bei der Wahl der technologischen Lösung ein besonderes Augenmerk auf die Einhaltung von Datenschutz- und Datensicherheitsstandards haben.
Eine datenschutzkonforme Software ist die Basis für eine rechtssichere digitale Kommunikation. Wichtig hierbei: Nicht nur der Software-Anbieter, sondern auch die Unternehmen selbst stehen als Auftraggeber in der Verantwortung. Grundsätzlich sollten daher Datenschutz und Datensicherheit primär im eigenen Unternehmen gewährleistet sein und entsprechend auf den Anbieter übertragen werden. Im Falle eines Verstoßes drohen nämlich erhebliche Geldbußen. Darum gilt: Bestehende Verträge zur Datenverarbeitung überprüfen und unter Umständen anpassen; neue Verträge schon jetzt gemäß den Vorgaben der EU-DSGVO ausgestalten.
Punkt 2: Die sorgfältige Kampagnenplanung
Wer mit Inbound- und E-Mail-Marketing im Rahmen einer Lead Management-Strategie auf Kundenfang gehen möchte, sollte ebenso viel Sorgfalt auf die Konzeption und Erstellung von Kampagnen verwenden wie auf die Wahl des richtigen Software-Anbieters. Das Grundrecht des Einzelnen auf informationelle Selbstbestimmung – Basis des Datenschutzes – darf zu keiner Zeit gefährdet werden. Ohne die aktive, ausdrückliche, bewusste und freiwillige Einwilligung des Betroffenen dürfen Unternehmen grundsätzlich keine personenbezogenen Daten weder erheben noch speichern und den Nutzer auch nicht per E-Mail kontaktieren. Am besten plant man hierfür ein rechtskonformes Double-Opt-in-Verfahren, bei dem ein Interessent seine E-Mail-Adresse nicht nur eingibt, sondern noch einmal explizit durch die Bestätigung einer daraufhin erhaltenen E-Mail verifiziert.
Rechtswirksam ist die Einwilligung des Nutzers aber auch nur dann, wenn das Unternehmen ihn zuvor vollständig und verständlich über alle Aspekte und Zwecke der Datenerhebung und -verarbeitung, zum Beispiel in einem Datenschutzhinweis, aufgeklärt hat. Dabei müssen Unternehmen gemäß Art. 13 EU-DSGVO umfassenden Informationspflichten nachkommen. Auch für Tracking und Webanalyse bedarf es einer ausdrücklichen Zustimmung des Nutzers. Nur so lässt sich die Qualität von Kampagnen rechtskonform messen und optimieren.
Punkt 3: Die korrekte Umsetzung
Neben dem BDSG und den anstehenden Neuerungen aufgrund der EU-DSGVO sind noch eine Reihe weiterer gesetzlicher Vorgaben zu beachten: darunter das Telemediengesetz (TMG), das Bürgerliche Gesetzbuch (BGB) sowie das Gesetz gegen den unlauteren Wettbewerb (UWG). Da auch hier bei Nichtbeachtung unter Umständen empfindliche Geldbußen und teure Abmahnungen drohen, empfiehlt es sich in jedem Fall, die sich aus den Gesetzen ergebenden Anforderungen zu erfüllen.
Ob E-Mail-, Newsletter-Marketing oder Lead Management – folgende Aspekte sollten unbedingt berücksichtigt werden:
• Gibt es auf der Unternehmens-Website ein vollständiges, leicht zu findendes Impressum mit allen wichtigen Angaben?
• Ist der Datenschutzhinweis gut platziert bzw. leicht erreichbar und enthält er alle aufklärenden Informationen über Zweck und Dauer der Datenerhebung, -speicherung und -verarbeitung sowie zum Widerrufsrecht?
• Sind Mailing-Vorlagen standardmäßig mit Widerrufsmöglichkeit, z. B. einem Abmeldelink, ausgestattet?
• Existiert ein Double Opt-in, über den der Interessent sein Abonnement ausdrücklich bestätigen muss?
• Enthalten Formulare möglichst wenige Pflichtfelder, die nur die notwendigen Daten erheben gemäß Grundsatz der Datensparsamkeit (BDSG)?
• Ist das Tracking pseudonymisiert und wird auch für diese Form der Datenerhebung die ausdrückliche Einwilligung der Nutzer eingeholt bzw. ist auch ein Widerspruch möglich?
Fazit
Nur wer bei allen drei Schritten – von der Anbieterauswahl über die Planung von Kampagnen bis hin zu deren konkreter Umsetzung – die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit berücksichtigt, hat sein E-Mail-Marketing und Lead-Management in Sachen Rechtskonformität im Griff.
Punkt 1: Der richtige Software-Partner
Zunächst einmal ist jede Organisation, die personenbezogene Daten verarbeitet oder nutzt – also auch jedes Unternehmen, das E-Mail-Marketing und Lead Management betreibt – dafür verantwortlich, ein angemessenes Datensicherheitsniveau gemäß Bundesdatenschutzgesetz (BDSG) zu gewährleisten. Hinzu kommt: E-Mail-Marketing und Lead Management lassen sich heutzutage nicht ohne eine leistungsfähige Software betreiben. Im Hinblick auf die aktuelle und zukünftige Gesetzeslage sollten Unternehmen demzufolge bei der Wahl der technologischen Lösung ein besonderes Augenmerk auf die Einhaltung von Datenschutz- und Datensicherheitsstandards haben.
Eine datenschutzkonforme Software ist die Basis für eine rechtssichere digitale Kommunikation. Wichtig hierbei: Nicht nur der Software-Anbieter, sondern auch die Unternehmen selbst stehen als Auftraggeber in der Verantwortung. Grundsätzlich sollten daher Datenschutz und Datensicherheit primär im eigenen Unternehmen gewährleistet sein und entsprechend auf den Anbieter übertragen werden. Im Falle eines Verstoßes drohen nämlich erhebliche Geldbußen. Darum gilt: Bestehende Verträge zur Datenverarbeitung überprüfen und unter Umständen anpassen; neue Verträge schon jetzt gemäß den Vorgaben der EU-DSGVO ausgestalten.
Punkt 2: Die sorgfältige Kampagnenplanung
Wer mit Inbound- und E-Mail-Marketing im Rahmen einer Lead Management-Strategie auf Kundenfang gehen möchte, sollte ebenso viel Sorgfalt auf die Konzeption und Erstellung von Kampagnen verwenden wie auf die Wahl des richtigen Software-Anbieters. Das Grundrecht des Einzelnen auf informationelle Selbstbestimmung – Basis des Datenschutzes – darf zu keiner Zeit gefährdet werden. Ohne die aktive, ausdrückliche, bewusste und freiwillige Einwilligung des Betroffenen dürfen Unternehmen grundsätzlich keine personenbezogenen Daten weder erheben noch speichern und den Nutzer auch nicht per E-Mail kontaktieren. Am besten plant man hierfür ein rechtskonformes Double-Opt-in-Verfahren, bei dem ein Interessent seine E-Mail-Adresse nicht nur eingibt, sondern noch einmal explizit durch die Bestätigung einer daraufhin erhaltenen E-Mail verifiziert.
Rechtswirksam ist die Einwilligung des Nutzers aber auch nur dann, wenn das Unternehmen ihn zuvor vollständig und verständlich über alle Aspekte und Zwecke der Datenerhebung und -verarbeitung, zum Beispiel in einem Datenschutzhinweis, aufgeklärt hat. Dabei müssen Unternehmen gemäß Art. 13 EU-DSGVO umfassenden Informationspflichten nachkommen. Auch für Tracking und Webanalyse bedarf es einer ausdrücklichen Zustimmung des Nutzers. Nur so lässt sich die Qualität von Kampagnen rechtskonform messen und optimieren.
Punkt 3: Die korrekte Umsetzung
Neben dem BDSG und den anstehenden Neuerungen aufgrund der EU-DSGVO sind noch eine Reihe weiterer gesetzlicher Vorgaben zu beachten: darunter das Telemediengesetz (TMG), das Bürgerliche Gesetzbuch (BGB) sowie das Gesetz gegen den unlauteren Wettbewerb (UWG). Da auch hier bei Nichtbeachtung unter Umständen empfindliche Geldbußen und teure Abmahnungen drohen, empfiehlt es sich in jedem Fall, die sich aus den Gesetzen ergebenden Anforderungen zu erfüllen.
Ob E-Mail-, Newsletter-Marketing oder Lead Management – folgende Aspekte sollten unbedingt berücksichtigt werden:
• Gibt es auf der Unternehmens-Website ein vollständiges, leicht zu findendes Impressum mit allen wichtigen Angaben?
• Ist der Datenschutzhinweis gut platziert bzw. leicht erreichbar und enthält er alle aufklärenden Informationen über Zweck und Dauer der Datenerhebung, -speicherung und -verarbeitung sowie zum Widerrufsrecht?
• Sind Mailing-Vorlagen standardmäßig mit Widerrufsmöglichkeit, z. B. einem Abmeldelink, ausgestattet?
• Existiert ein Double Opt-in, über den der Interessent sein Abonnement ausdrücklich bestätigen muss?
• Enthalten Formulare möglichst wenige Pflichtfelder, die nur die notwendigen Daten erheben gemäß Grundsatz der Datensparsamkeit (BDSG)?
• Ist das Tracking pseudonymisiert und wird auch für diese Form der Datenerhebung die ausdrückliche Einwilligung der Nutzer eingeholt bzw. ist auch ein Widerspruch möglich?
Fazit
Nur wer bei allen drei Schritten – von der Anbieterauswahl über die Planung von Kampagnen bis hin zu deren konkreter Umsetzung – die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit berücksichtigt, hat sein E-Mail-Marketing und Lead-Management in Sachen Rechtskonformität im Griff.