print logo

Die DSVGO im E-Mail-Marketing – die wichtigsten Änderungen

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) – oder General Data Protection Regulation (GDPR) – europaweit in Kraft.
Lianatech GmbH | 26.10.2017
© Lianatech GmbH
 

Im ersten Teil unser DSGVO-Artikelserie wurde das Thema behandelt, wie Marketer sich auf die DSGVO vorbereiten können, indem zunächst identifiziert wird, wo persönliche Daten überhaupt gespeichert werden. Im zweiten Teil unserer Serie geht es darum, wie das Speichern von persönlichen Daten sowie deren Nutzung für Marketing- und PR-Zwecke legitimiert werden kann, nachdem die DSGVO in Kraft getreten ist. Es gibt übrigens gute Gründe, warum die DSGVO in erster Linie als positiv für Unternehmen, Marketer und Privatpersonen zu erachten ist, obwohl sie zunächst einen höheren Verwaltungsaufwand bedeuetet: Nach Inkrafttreten der DSGVO müssen Unternehmen nachweisen können, warum sie personenbezogene Daten speichern und aus welchen Gründen sie mit einer bestimmten Person kommunizeren. Mit anderen Worten: die Kommunikation muss zielgerichtet, gerechtfertigt und transparent sein. Und das ist genau das, was versierte Marketer ohnehin beabsichtigen. Mit der DSGVO wird dies auf EU-Ebene geregelt und durch nationale Gesetze unterstützt. Eine E-Mail-Marketing-Datenbank muss spätestens dann gut strukuriert und eindeutig sein, d.h. sie muss ohne das – ohnehin umstrittene – Einkaufen von Adresslisten oder Kontaktdaten ohne Herkunftsangabe auskommen.

Mehr Verantwortung für E-Mail-Marketer: Auf welcher Basis dürfen Daten gespeichert werden?

Wenn es um E-Mail-Marketing und die DSGVO geht, ist es wichtig, die Rollen zu definieren: Der E-Mail-Marketer ist der Datencontroller und der E-Mail-Marketing-Serviceprovider ist der Datenprozessor. Im Kern der DSGVO ist es verpflichtend für den Datencontroller, die Einhaltung der Datenschutzgrundsätze nachzuweisen. Dies bedeutet, dass der Newsletter-Versender die Bedingungen der Rechtmäßigkeit der Verarbeitung zum Umgang mit personenbezogenen Daten erfüllen muss. Die Grundsätze zur Verarbeitung personenbezogener Daten sind im Artikel 5 der DSGVO beschrieben, und die Rechtmäßigkeit der Verarbeitung wird in Artikel 6 beschrieben. Jeder Marketer sollte sich mit diesen vertraut zu machen. Rechtmäßigkeit der Verarbeitung personenbezogener Daten Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Einfach ausgedrückt: Wenn persönliche Daten, wie z. B. eine E-Mail-Adresse gespeichert werden, müssen Gründe für die Verarbeitung dieser personenbezogenen Daten vorliegen und diese Gründe müssen mindestens einem der Punkte in Artikel 6 entsprechen. Wenn ein Newsletter an die Adresse dieser Person gesendet wird, muss diese Art der Kommunikation ebenfalls auf mindestens einem Aspekt von Artikel 6 basieren. Ein konkretes Beispiel zur Veranschaulichung: Die betroffene Person hat den Newsletter per Opt-in abonniert, dementsprechend stellt sich die Situation relativ einfach dar. - die Begründung für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist in diesem Fall die Zustimmung der Person: Mit dem Abonnement des Newsletters hat diese erklärt, dass sie Informationen an die angegebene E-Mail-Adresse erhalten möchte. Dies entspricht Abschnitt a aus Artikel 6. - der Grund für den Versand des Newsletters bezieht sich auf denselben Abschnitt: Kommunikation basierend auf der Zustimmung der Person. Im Prinzip ganz einfach einfach, oder? Wenn das E-Mail-Marketing auf eigenen Empfängerlisten basiert, die durch Opt-in entstanden sind, entspricht es den Grundsätzen der DSGVO. So erklärt auch eConsultancy in einem Blogbeitrag zum Thema DSGVO ”GDPR needn't be a bombshell for customer-focused marketers”. Aber wie sieht es mit all den anderen Empfängern aus, die nicht durch Opt-in auf die Abonnentenliste gelangt sind? Das ist eine Grauzone und es ist unsicher, was die Zukunft genau bringen wird. Aber ein paar Hinweise: Wenn die betroffene Person ein Kunde ist: - die Begründung für die Verarbeitung personenbezogener Daten ist sehr wahrscheinlich durch die Erfüllung eines Vertrags gegeben, dessen Vertragspartei die betroffene Person (der Kunde) ist (zweiter Abschnitt von Artikel 6). - der Grund für den Versand eines Newsletters an den Kunden könnte sein, dass dieser für die Erfüllung des Vertrags erforderlich ist (ebenfalls zweiter Abschnitt von Artikel 6). Dabei könnte es sich beispielsweise um eine Auftragsbestätigung eines Online-Shops handeln. Es gibt aber noch weitere Szenarien als die zuvor beschriebenen. Was zum Beispiel gilt als "berechtigtes Interesse", wie es in Artikel 6 beschrieben wird? Dürfen Informationen über ein neues Produkt an einen Kunden gesendet werden, wenn konkret dazu keine Zustimmung vorliegt? Bevor nun eine endlose Google-Suche beginnt, gilt zu bedenken: Die DSGVO ist eine Verordnung, die durch die nationale Gesetzgebung ergänzt werden wird. Dabei gilt jedoch, dass die EU-Mitgliedsstaaten das Grundniveau der DSGVO nicht unterschreiten dürfen. Mit der DSGVO tritt in Deutschland am 25. Mai 2018 auch das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft, dem der Bundesrat bereits im April dieses Jahres zugestimmt hat. Das BDSG-neu konkretisiert die DSVGO, wobei jedoch gilt, dass die DSGVO vorgeht. Eine Synopse der europäischen DSGVO und des BDSG-neu gibt es als kostenloses eBook. Dort werden DSGVO und BDSG-neu gegenübergestellt. Wichtig ist und bleibt: Das Einholen einer Erlaubnis war im Marketing schon immer wichtig und wird mit Umsetztung der DSGVO umso wichtiger. Um auf der sicheren Seite zu bleiben, lohnt es sich also, die Bemühungen dahingehend zu verstärken und auf Opt-in-Listen zu setzen. included image Bild: Liana Technologies fragt beim Abonnieren des Newsletters oder Herunterladen von Whitepapern nach einer Bestätigung der E-Mail-Adresse per Double-Opt-in, so wird nicht nur die Erlaubnis des Abonnenten eingeholt, sondern gleichzeitig auch Spam vermieden.

Wie sieht die Umsetzung in LianaMailer aus?

Gründe für die Zusendung und Zustimmungen Artikel 6 der DSGVO beschäftigt sich mit der Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Um komplizierten juristischen Fachjargon möglichst zu vermeiden, wird in der Benutzeroberfläche von LianaMailer die Rede von "Gründen für das Senden und Einverständnis" sein. Nutzer von LianaMailer können Zustimmungsgründe für ihre Konten bestimmen und für Newsletter-Abonnenten ab November/Dezember markieren. So erhalten Kunden von LianaTechnologies einen kleinen Vorsprung in Sachen DSGVO: Sie können sehen, wie hoch die Zahl der vorhandenen Zustimmungen ist und bei wie vielen Abonnenten noch Begründungen fehlen. Beim Import von Kontaktlisten können außerdem Gründe für das Senden festgelegt werden – entweder für die gesamte Liste oder nur für einzelne Kontakte. Das Update der Benutzeroberfläche wird im November/Dezember stattfinden. Kunden von Liana Technologies werden per Newsletter darüber informiert und erhalten außerdem Video-Anleitungen. Das Recht auf Information und Vergessenwerden Mit Inkrafttreten der DSGVO hat jede betroffene Person das Recht, von Unternehmen Informationen über vorhande persönliche Daten sowie deren Speicherung zu erhalten. Der für die Verarbeitung Verantwortliche (in diesem Fall der E-Mail-Vermarkter) muss eine Kopie der personenbezogenen Daten in elektronischer Form kostenlos zur Verfügung stellen. Die DSGVO stellt darüber hinaus sicher, dass die betroffene Person ein Recht auf Vergessenwerden hat, was in der Praxis bedeutet, dass die betroffene Person dauerhaft aus allen Unternehmensregistern entfernt werden muss. LianaMailer wird aktuell dahingehend weiterentwickelt, Anfragen zur Nutzung der personenbezogenen Daten von betroffenen Personen zu unterstützen, so dass Kunden die registrierten personenbezogenen Daten leichter herausgeben, übertragen oder löschen können. Schon heute speichert LianaMailer alle Informationen bezüglich personenbezogener Daten und macht diese leicht zugänglich. Unabhängig davon, welchen Dienstleister man für den Versand von Newslettern nutzt, lohnt sich eine Nachfrage nach den DSGVO-Vorbereitungen. Nur so kann sichergestellt werden, dass mit Inkrafttreten der DSGVO im Mai nächsten Jahres keine Probleme entstehen.

Weitere Anmerkungen zum Thema DSGVO

Transparenz Mit Einführung der DSGVO rückt Transparenz mehr in den Mittelpunkt und muss im Interesse der Empfänger in der eigenen Kommunikation berücksichtig werden. Als E-Mail-Marketer sollte man verstärkt darauf achten, welche Begrifflichkeiten man in Formularen verwendet und außerdem sicherstellen, dass das Abmeldeverfahren möglichst einfach ist. Datensicherheit Die neue Verordnung ist sehr sicherheitsorientiert und die Sicherheit der Systeme von Technologiepartnern und die Einhaltung der Vorschriften werden für Marketer von großer Bedeutung sein. Es liegt in der Verantwortung des Datenverarbeitenden, bereits bei der Planung etwaige Sicherheitsanforderungen zu berücksichtigen und sicherzustellen, dass verwendete Services den Anforderungen entsprechen. Datenspeicherung Bei der Speicherung von Daten gilt es, Vorsicht walten zu lassen. Generell sollten nur die Daten gespeichert werden, die tatsächlich benötigt werden und es dürfen nur die Personen Zugriff haben, die einen guten Grund haben. Alle nicht benötigten Daten sollten aus den Registern gelöscht werden. Möchten Sie mehr über LianaMailer erfahren oder sich zum Thema DSGVO austauschen? Unsere Experten stehen Ihnen gerne zur Verfügung. Hinweis: Dieser Artikel kann lediglich als Empfehlung betrachtet werden und ersetzt keine Rechtsberatung.