DSGVO-konformes E-Mail-Marketing betreiben

Auch im E-Mail-Marketing führt heute kein Weg mehr an der europäischen Datenschutzgrundverordnung (EU-DSGVO) vorbei. Die Reputation von E-Mail-Massenversendern leidet, wenn diese sich nachweislich nicht an Datenschutzregeln halten, außerdem gibt es finanzielle Risiken. Die nationalen Datenschutzbehörden innerhalb der EU haben zunächst verhalten, dann aber immer stärker mittels Bußgelder die Einhaltung der Regeln durchgesetzt. Diese können laut Gesetz bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.

Von 2020 auf 2021 hat sich die Gesamtsumme der Bußgelder auf 1,22 Milliarden Euro versiebenfacht, Luxemburg verhängte das mit Abstand höchste Einzelbußgeld in Höhe von 746 Millionen EUR gegen Amazon. Deutschland belegte im Jahr 2021 den 7. Platz bei der Höhe der Gesamtvolumina der Bußgelder. Was viele nicht beachten: Nicht nur gegen Unternehmen, sondern auch gegen Verantwortungsträger in Unternehmen wie Vorstände, Geschäftsführer oder externe Datenschutzbeauftragte können Bußgelder verhängt werden. Bei Angestellten ist dies in sehr eingeschränktem Maße möglich.

Den vierten Geburtstag der DSGVO sollten Verantwortliche daher nutzen, um Datenschutzregelungen im Unternehmen auf den Prüfstand zu stellen. Hilfestellung bieten dabei diese sieben Punkte:

1. Halten Sie Ihr Verzeichnis für Verarbeitertätigkeiten aktuell

Wer ist genau für welche Daten verantwortlich und behält den Datenschutz im Blick? Laut Art. 30 EU-DSGVO sind Unternehmen dazu verpflichtet, eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. Hier stehen wesentliche Angaben zur Datenverarbeitung, beispielsweise die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Aktualisieren Sie dieses Verzeichnis fortlaufend, beispielsweise wenn neue Mitarbeiter:innen ins Unternehmen eintreten.

2. Schulen Sie Ihre Mitarbeiter:innen kontinuierlich hinsichtlich neuer Datenschutzanforderungen

Damit alle wissen, wie sie mit Daten der E-Mail Empfäner:innen rechtssicher umgehen, brauchen sie regelmäßige Schulungen. Dürfen externe Dienstleister die Daten hosten? Wann sind diese unwiederbringlich zu löschen? Die DSGVO schreibt die regelmäßige Schulung von Mitarbeitenden vor. Mitarbeiter und Mitarbeiterinnen, die mit personenbezogenen Daten arbeiten, sind nach der Datenschutz-Grundverordnung (DSGVO) mit den Regeln des Datenschutzes „vertraut zu machen“.

3. Nutzen Sie nur Daten von Personen, deren Einwilligung Sie haben und das auch nachweisen können

Keine Werbemail ohne Einwilligung. Die DSGVO verpflichtet Versender nachweisen zu können, dass eine Einwilligung vorliegt, bevor eine Werbemail gesendet wird. Geregelt ist das in Artikel 7 Absatz 1 DSGVO. Dieser Nachweis wird von der Rechtsprechung bislang ausschließlich über ein Double Opt In (DOI) anerkannt. Das heißt, tragen sich Empfänger:innen mit ihren Mailadresse in eine Mailing-Liste ein, wird eine zweite, bestätigende Mail mit einem Bestätigungslink an die Mailadresse geschickt. Diese Mail darf nicht werblich sein. Die Methode gewährleistet, dass Empfänger persönlich die Bestätigung erbringen. Der Versender hinterlegt die entsprechende Bestätigung als Nachweis in seinen Daten. Das DOI-Verfahren hat die Certified-Senders-Alliance daher auch in die Liste ihrer Zertifizierungs-Kriterien aufgenommen.

4. Bestellen Sie einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte (DSB)

Rein rechtlich muss einen oder eine DSB bestellen, wenn mindestens 20 Mitarbeiter oder Mitarbeiterinnen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Alternativ, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten liegt. Zeigen Sie, dass Sie den Datenschutz ernst nehmen und bestellen Sie auch dann eine oder einen Verantwortliche:n für Datenschutz, wenn Sie nicht darunter fallen. DSB können intern bestellt werden, sprich aus der eigenen Mitarbeiterschaft oder extern. Unterstützung bieten hier externe Dienstleister, beispielsweise der Service Externer Datenschutzbeauftragter des eco Verbands.

5. Behalten Sie die E-Privacy-Verordnung im Blick

Die eigentlich für das Jahr 2018 avisierte E-Privacy-Verordnung ist immer noch nicht beschlossen. Die weitere Entwicklung sollten Datenschutz-Verantwortliche auf jeden Fall im Blick behalten. Sie soll die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), auch Cookie-Richtlinie genannt, ersetzen. Unter anderem soll hier das Thema Tracking neu geregelt werden. Bis die Auseinandersetzungen zwischen den EU-Mitgliedstaaten beigelegt sind, muss auf die alte Richtlinie zurückgegriffen werden und die Frage zum Verhältnis der Regelungen der DSGVO und der geplanten E-Privacy-Verordnung weiterhin aufgeschoben werden.

6. Beachten Sie aktuelle Rechtsvorschriften zum Datenaustausch mit den USA

Das ehemalige bilaterale Abkommen zum Datenaustauch zwischen der EU und den USA hat der Europäische Gerichtshof (EuGH) 2020 gekippt. Die aktuellen Regelungen über Standardvertrags- bzw. Standardschutzklauseln sehen vor, dass Unternehmen im Einzelfall abwägen, ob beim Datenaustausch mit Partnern in den USA diese Daten im Sinne der DSGVO verarbeiten. Das sorgt für Unsicherheiten, da europäische Unternehmen das nur schwer überprüfen können. Ende März stellten nun Kommissionspräsidentin von der Leyen und US-Präsident Biden ein neues Datenschutzabkommen vor. Mit dem sogenannten „Trans-Atlantic Data Privacy Framework“ („TADAP-Framework“) soll die Weitergabe persönlicher Daten an US-Digitalkonzerne neu geregelt werden. Bislang liegt mit dem jetzigen Papier lediglich eine politische Absichtserklärung vor.

7. Setzen Sie auf zertifizierte Partner

Viele Unternehmen arbeiten mit Partnern, beispielsweise E-Mail Service Providern zusammen, um Newsletter zu versenden. Ob diese den Datenschutz einhalten, lässt sich für Sie nur indirekt überprüfen. Mit einer Zertifizierung der Certified Senders Alliance (CSA) beispielsweise haben Unternehmen nachgewiesen, dass sie mit personenbezogenen Daten verantwortungsvoll umgehen und hohe Datenschutz-Qualitätsstandards erfüllen. Das honorieren Internet Service Provider und stellen deren E-Mails bevorzugt in den Posteingang der Empfänger zu. Um in Sachen Datenschutz jederzeit aktuell zu bleiben, unterstützt die CSA Unternehmen mit aktuellen Informationen zum rechtlich korrekten E-Mail-Marketing in Veranstaltungen und Veröffentlichungen.