+49 (511) 330 601 11
10 Datenschutzgebote für Ihr E-Mail Marketing

10 Datenschutzgebote für Ihr E-Mail Marketing

Änderungen durch die EU-Datenschutz-Grundverordnung

Dürfen Sie Ihren Messestandbesuchern im Nachgang geradewegs einen Newsletter schicken? Müssen Sie Daten löschen, wenn sich ein Empfänger von Ihrem Newsletter abmeldet? Für viele Unternehmen ist die Rechtslage rund um das Thema E-Mail-Werbung eine Grauzone. Erschwerend kommt ab Mai 2018 die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) hinzu. Sie regelt den Umgang mit personenbezogenen Daten neu und kann daher erhebliche Auswirkungen auf die Prozesse in deutschen Unternehmen haben. Mit den 10 folgenden Datenschutzgeboten sind Sie auf der sicheren Seite.

Gebot 1: Du sollst keine unerwünschten E-Mails verschicken.

Wer kein Einverständnis des E-Mail-Empfängers hat, lässt am besten die Finger vom „Sende“-Button. Der Empfänger ist gesetzlich gegen unerwünschte E-Mails geschützt. Zum einen durch § 823 Bürgerliches Gesetzbuch (BGB), welcher zum Schadensersatz verpflichtet, wenn das sonstige Recht eines anderen widerrechtlich verletzt wird, und zum anderen durch § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), nach welchem der Versand von Mails ohne ausdrückliche Einwilligung unter „unzumutbare Belästigung“ fällt und daher als wettbewerbswidrig gilt. Mögliche Konsequenzen bei Nicht-Einhaltung: außergerichtliche Abmahnung, Klage oder einstweilige Verfügung. Im schlimmsten Fall können Strafen in Höhe von 15.000 Euro auf Sie zukommen.

Unser Tipp: So ist die Einwilligung rechtskonform

Um auf der sicheren Seite zu sein, müssen Sie das sogenannte „Double Opt-In“ durchführen. Das bedeutet, Sie schicken zunächst eine E-Mail ohne werblichen Inhalt, die einen Bestätigungslink enthält. Bestätigt der Empfänger diesen Link, ist Ihre nächste E-Mail rechtssicher.

Gebot 2: Du musst die Einwilligung nachweisen können.

Ob schriftlich, elektronisch oder mündlich – wichtig ist nach neuer DSGVO, dass Sie die Einwilligung des Empfängers in die Datenverarbeitung nachweisen können. Das heißt konkret: Sie müssen das Einverständnis protokollieren. Zudem sind Sie verpflichtet, den Empfänger auf sein Widerrufsrecht aufmerksam zu machen und ihn über die Zwecke der Datenverarbeitung zu informieren.

Gebot 3: Du sollst nicht dein Interesse über das Interesse deiner Empfänger stellen.

In der neu geschaffenen „Online Marketing-Klausel“ in Art. 6 Abs. 1 f DSGVO ist die Rede davon, dass Werbung auch ohne die Einwilligung des Empfängers aufgrund eines „berechtigten Interesses“ zulässig sein kann. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann durchaus als eine dem berechtigten Interesse dienenden Aktion betrachtet werden – das ergibt sich aus Erwägungsgrund 47. Sollten Sie dieses Interesse beanspruchen wollen, müssen zwei Voraussetzungen erfüllt sein: die Datenverarbeitung muss für Ihren konkreten Marketingzweck notwendig sein und Sie müssen den Zweck der Datenerhebung und -verarbeitung eindeutig definieren. Welche Maßnahmen schließlich in diesen Bereich fallen und welche nicht, gilt abzuwarten, denn für diesen Fall darf das Interesse des Empfängers am Schutz seiner persönlichen Daten Ihr unternehmerisches Interesse nicht überwiegen.

Gebot 4: Du musst dich trotz Einwilligung der Empfänger an die Datenschutzprinzipien halten.

Fest steht: Die Datenverarbeitung ist nur rechtskonform, wenn eine Einwilligung des Empfängers oder ein gesetzlicher Erlaubnistatbestand greift. Darunter fallen zum Beispiel das berechtigte Interesse (s. Gebot 3) sowie die Notwendigkeit der Datenverarbeitung aus vertraglichen, lebenswichtigen oder das öffentliche Interesse betreffenden Gründen.

Wollen Sie einen Newsletter versenden, müssen Sie sich jedoch zusätzlich an die Datenschutzprinzipien der DSGVO halten. Das sind zum Beispiel folgende:

  • Vorhandensein einer Rechtsgrundlage für die Datenverarbeitung
  • Richtigkeit, Treue und Anständigkeit der Verarbeitung
  • Informationspflicht gegenüber den „betroffenen“ Personen
  • begrenzte Speicherzeit
  • Zweckbindungsgrundsatz
  • Prinzip der Datensparsamkeit

Was diese Auflagen in der Praxis bedeuten, lässt sich am Prinzip der Datensparsamkeit darstellen: Bei der Gestaltung von Formularen zur Lead-Generierung ist Marketing und Vertrieb daran gelegen, so viele Informationen wie möglich über den Lead abzufragen. Der Grundsatz der Datensparsamkeit verpflichtet hingegen zu kurzen Formularen.

Gebot 5: Du sollst Rede und Antwort stehen.

Für Unternehmen bringt E-Mail Marketing eine Reihe von Informationspflichten mit sich: Das Widerrufsrecht sowie die Erklärung des Verarbeitungszwecks haben wir bereits erwähnt. Darüber hinaus müssen Sie Angaben zur Speicherdauer machen und Informationen über das Bestehen des Auskunfts-, Berichtigungs-, Löschungs- und Einschränkungsrechts zur Verfügung stellen. Hinzu kommen Informationen zum Profiling – sofern dies vorgenommen wird – und Angaben zur Herkunft der Daten. Geben Sie Daten an Dritte weiter, müssen Sie die konkreten Empfänger sowie Informationen zum Datentransfer in Drittstaaten benennen. Denken Sie daran, die Texte Ihrer Einwilligungserklärung, Datenschutzinformationen, AGB usw. anzupassen.

Gebot 6: Du sollst das Recht des Empfängers ehren.

Die neue DSGVO räumt Einzelpersonen zahlreiche Rechte ein, die Ihr E-Mail Marketing erschweren. So haben Empfänger ein sogenanntes Auskunftsrecht. Demzufolge kann eine Einzelperson sogar verlangen, ihre personenbezogenen Daten zu erhalten. Ebenso wie bisher sieht das Löschungsrecht vor, dass personenbezogene Daten auf Anforderung gelöscht werden. Aber auch ohne Anforderung sind Sie gezwungen, Daten zu löschen, wenn diese nicht mehr für die Zwecke erforderlich sind, für die sie ursprünglich erhoben wurden. Das Recht auf Löschung wird in der neuen DSGVO um das „Recht auf Vergessenwerden“ ausgeweitet: Ein Verantwortlicher, der die personenbezogenen Daten veröffentlicht hat, muss allen Verantwortlichen, die diese Daten verarbeiten, mitteilen, die Links zu den Daten, Kopien oder Replikationen der Daten zu löschen. Wie genau die Umsetzung im konkreten Fall aussehen soll, wird sich jedoch noch zeigen.

Gebot 7: Du musst schnell reagieren.

Nimmt jemand sein Recht auf Löschung, Berichtigung oder Auskunft in Anspruch, müssen Sie spätestens innerhalb eines Monats reagieren. Unser Tipp lautet hier: Definieren Sie ein Verfahren für den Umgang mit derlei Anfragen. So kann sich zum Beispiel der Einsatz eines Onlineformulars als dienlich erweisen.

Gebot 8: Du sollst Vorfälle unverzüglich melden.

Kommt es zu einer Datenpanne, durch welche zum Beispiel die Daten Ihrer Newsletter-Empfänger an Dritte geraten, müssen Sie diese unverzüglich melden. Zunächst den Betroffenen und innerhalb von 72 Stunden den Aufsichtsbehörden. Dabei können und müssen Sie die Sicherheit der Daten sogar präventiv erhöhen. Als Unternehmen, das mit personenbezogenen Daten arbeitet, sind Sie gezwungen, mithilfe „technischer und organisatorischer Maßnahmen (TOM)“ für ein angemessenes Datensicherheitsniveau zu sorgen. Dazu gehören zum Beispiel Zutritts-, Zugangs- und Zugriffskontrollen, Weitergabe- und Eingabekontrollen, Auftragskontrollen, Zertifizierungen etc.

Gebot 9: Du sollst deine Partnerverträge anpassen.

Wenn Sie Newsletter und Mailings von einem Dienstleister versenden lassen, sollten Sie noch vor Wirksamkeit der neuen DSGVO Ihre Altverträge anpassen. Nach bisherigem Recht ist allein der Auftraggeber für die Datenverarbeitung verantwortlich. Dies ändert sich, denn auch Auftragnehmer werden stärker in die Pflicht genommen, wenn es um Dokumentation, technische Maßnahmen zur Datensicherheit, Meldepflichten etc. geht.

Gebot 10: Du sollst dir der Strafe bewusst sein.

Was passiert, wenn Sie gegen die Gebote verstoßen und unerwünschte E-Mails versenden, Informationen über die Datenverarbeitung zurückhalten oder sich weigern, einen Datensatz aus Ihrem CRM zu löschen? Nun ja, die Sünde als solche können Sie nicht reinwaschen – Ihr Image wird einen Schaden nehmen, wie bekannte Datenskandale zeigen. Zudem drohen Ihnen Geldbußen – sehr viel höhere als bisher. Je nach Art des Verstoßes können die Strafgelder bis zu 20 Millionen Euro bzw. zwei oder vier Prozent Ihres Jahresumsatzes betragen. Daher sollten Sie noch heute beginnen, sich mit der neuen DSGVO auseinanderzusetzen und die entsprechenden technischen sowie organisatorischen Voraussetzungen zur Umsetzung schaffen.

Verwandte Beiträge