Newsletter DSGVO & E-Mail Marketing

Datenschutzverordnung

DSGVO für Onlineshops

E-Mail & Newsletter DSGVO konform einsetzen

Newsletter DSGVO – Der 25. Mai rückt näher und somit auch der Zeitpunkt wo die DSGVO 2018 offiziell in Kraft tritt. Inzwischen wurde schon sehr viel darüber gesprochen. So häufen sich auch die online Informationsquellen zu diesem Thema.

Eines ist sicher, der Online Datenschutz wurde strenger, die Strafen sind enorm und die Angst etwas falsch zu machen steigt.

Ein Thema, das fast alle Unternehmen betrifft und zudem wir am häufigsten gefragt werden, ist die DSGVO im Bezug zum Newsletter-Versand. Deshalb machen wir das einfach mal zu unserem Blog-Thema und möchten im Zuge dessen alle Bestimmungen diesbezüglich erklären und die wichtigsten Maßnahmen erläutern.

Der Newsletter bzw. Kunden E-Mails sind und bleiben eine der beliebtesten online Werbemaßnahmen. Demnach hoch ist der Einsatz und das Potential nicht alles Datenschutz konform abzuwickeln.

Personenbezogene Daten – was bedeutet das?

Vorweg ist eines sicher, die DSGVO schützt vor allem Personenbezogene Daten, weshalb der Newsletter ohne Frage darunter fällt. Aus dem einfachen Grund, weil der Name und die E-Mail Adresse des Kunden Grundvoraussetzung für den Versand sind. Mit dem Namen und der E-Mail-Adresse, hat man ausreichend Daten um eine Person zu identifizieren. Daher stehen diese Daten oder auch bekannt unter personenbezogene Daten, unter besonderem Schutz.

Welche Arten von E-Mails sind erlaubt?

E-Mails gelten als Massen-E-Mails oder Newsletter, wenn diese an mehr als 50 Empfänger versandt werden. Ab 50 Empfänger, benötigt man vorab die vorherige Zustimmung des Empfängers.

Das heißt grundsätzlich erlaubt sind folgende Arten des Mailings:

  • E-Mails mit Einwilligung des Empfängers
  • E-Mails ohne Einwilligung an bis zu 50 Empfänger, wenn die E-Mails nicht der Direktwerbung dienen (unter Direktwerbung versteht man weitgehend Inhalte, die Marketing-Zwecken dienen bzw. eine Verkaufsabsicht ausdrücken)
  • E-Mails ohne Einwilligung, wenn bestimmte Voraussetzungen erfüllt sind

E-Mails ohne Einwilligung

Unter gewissen Voraussetzungen ist das Versenden von E-Mails an Kunden auch ohne Einwilligung erlaubt. Es müssen aber ALLE Voraussetzungen erfüllt werden, damit der erlaubte Versand gegeben ist:

  • E-Mail-Adresse des Kunden wir bei einem Produktverkauf oder im Zuge des Konsums einer Dienstleistung erhoben
  • der Kunde hat dabei jederzeit die Möglichkeit, den Empfang kostenfrei und problemlos abzulehnen
  • innerhalb des Newsletters ist die Möglichkeit diesen kostenfrei und problemlos abzumelden
  • das Mail an den Kunden dient der Direktwerbung für eigene, ähnliche Produkte oder Dienstleistungen
  • der Kunde ist nicht in der „ECG-Liste“ eingetragen

Wichtig!

ECG steht für E-Commerce Gesetz. Auf der ECG-Liste sind E-Mail-Adressen von Personen und Unternehmen gesammelt, an die keine Werbe-E-Mails gesendet werden dürfen.
Geführt und verwaltet wird diese Liste von der Regulierungsbehörde für Telekommunikation und Rundfunk (RTR-GmbH).
Jede Person oder Unternehmen, kann sich kostenlos eintragen. Zu beachten ist jedoch, dass diese Liste nur für Österreich gilt, im Ausland gibt es eigene Listen.

Die Nachweisbarkeit stellt oft eine Herausforderung da

Fangen wir beim Newsletter ganz am Anfang an. Das heißt der Kunde kommt auf Ihre Website und möchte sich für den Newsletter bei Ihnen anmelden.

Da tauchen bereits die ersten Fragen auf:

  • Welche Kundendaten werden abgefragt (Name, E-Mail-Adresse, Telefonnummer, …)?
  • Gibt es einen Hinweis zum Datenschutz worin genau beschrieben wird, was mit den Kundendaten passiert?
  • Wie erhalten Sie das nachweisebare Einverständnis des Kunden, dass dieser den Newsletter auch tatsächlich erhalten möchte?

Bleiben wir zunächst bei den abgefragten Kundendaten. Fragen Sie lediglich nach Daten, die Sie auch wirklich benötigen. Für einen Newsletter reichen in der Regel der Name und die E-Mail-Adresse vollkommen aus, um den Kunden mit einem Newsletter zu versorgen. Wenn Sie nun nach einer Adresse fragen, stellt sich natürlich die Frage, was Sie mit den Adressdaten anstellen bzw. wozu Sie diese im Bezug auf den Newsletter benötigen.

Ein anderer Fall ist es natürlich, wenn der Kunde zusätzlich zum Newsletter eine Broschüre nachhause versendet haben möchte. Dazu ist eine Adresse natürlich erforderlich.

Zusätzlich muss der Kunde in verständlicher bzw. einfach zu verstehender Weise, darüber informiert werden, was mit dessen Daten passiert. Das heißt konkret, er muss über die Art, den Umfang und Zweck der Erhebung und Verwendung der Kundendaten und die Verarbeitung, aufgeklärt werden.

Double Opt-In für den Nachweis des Einverständnisses

Grundsätzlich muss vom Empfänger des Newsletters vorab ein Einverständnis für den Versand eingeholt werden. Dieses Einverständnis kann laut Gesetz formlos eingeholt werden. Das heißt es kann mündlich, schriftlich per Mail oder sogar durch eine schlüssige Handlung erfolgen.

Trotzdem sollte man bedenken, dass man im Ernstfall beweisen muss, dass man ein Einverständnis erhalten hat. Daher empfehlen wir in jedem Fall ein Einverständnis in schriftlicher Form einzuholen!

Bitte achten Sie auch darauf, dass diese Formen des Einholens des Einverständnisses, bei Erstkontakt, ebenso verboten sind:

  • den Kunden diesbezüglich anrufen (verbotene Telefonwerbung)
  • dem Kunden mailen (verbotene E-Mail-Werbung)
  • dem Kunden ein Fax senden (verbotene Fax-Werbung)

Sehr gut geeignet ist das Double Opt-In Verfahren. Double Opt-In heißt nichts anderes, als dass der Kunde, wenn er sich für einen Newsletter angemeldet hat. Ein Bestätigungs-Mail erhält, worin ein Link zur Aktivierung des Newsletters enthalten ist.

Erst wenn der Kunde in seinem Mail-Account durch den Link den Newsletter bestätigt, können Sie tatsächlich nachweisen, dass dieser das Werbemail wirklich möchte. Zusätzlich zur Bestätigung, sollten auch das Datum und die Uhrzeit dokumentiert werden. Sollte dieser Vorgang nicht automatisch über ein Programm funktionieren, muss außerdem der Mitarbeiter, welche diese Aktivierung tätigt, namentlich bekannt sein und dokumentiert werden.

Verwendung von externen Newsletter Tools & Programmen

Meistens ist es der Fall, dass im Unternehmen für den Newsletter-Versand ein externes Programm verwendet wird. Oder Sie haben eine Werbeagentur beauftragt. Sobald ein externes Tool oder Person Zugang zu Ihren Kundendaten hat, muss das Vertraglich geregelt sein und der Kunde darüber informiert werden. Zudem sind Sie verpflichtet sich zu erkundigen, ob dieser Anbieter Datenschutzkonform arbeitet. Daher ist es zu empfehlen mit einem europäischen Anbieter zu arbeiten, da die DSGVO innerhalb Europas gilt.

Es ist jedoch erlaubt mit einem Anbieter außerhalb Europas zu arbeiten. Beispielsweise liegt der Server des bekannten Webmail Organizer MailChimp in den USA.

Unabhängig ob in Europa oder nicht, was müssen Sie tun, bevor Sie einen Anbieter auswählen:

  • prüfen Sie den Anbieter auf dessen SIcherheitsniveau
  • wenn Sie einen Anbieter ausgewählt haben, müssen Sie eine Vereinbarung zur Auftragsdatenverarbeitung treffen. Diese entspricht nicht dem standardmäßigen Vertrag zur Leistungserbringung.

Beachten Sie, dass das fehlende oder eine fehlerhafte Auftragsdatenverarbeitung Bußgelder bis 50.000 Euro bedeuten können.

Wichtig!

Sobald Sie mit einem externen Dienstleister zusammen arbeiten, der Zugriff auf personenbezogene Daten hat, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden.

Welche Informationen muss der Kunde beim Newsletter -Antrag erhalten?

Wenn Sie auf Ihrer Website einen Bereich haben, wo sich der Kunde für einen Newsletter anmelden kann, muss der Kunde folgende Informationen einsehen können:

  • Name und Kontaktdaten des Verantwortlichen bzw. des Vertreters innerhalb des Unternehmens
  • wenn vorhanden, der Name des Datenschutzbeauftragten
  • wer noch Zugang zu den Daten hat (externe Unternehmen, Personen, Dienstleister)
  • Infos über den Zweck der personenbezogenen Daten (Wofür werden die Daten erhoben?)
  • Darlegung der Rechtsgrundlage für die Datenverarbeitung. Das entpsricht Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO beim Newsletterversand.
  • Dem Kunden muss genannt werden, wie lange seine Daten gespeichert werden. Wenn es keine festgelegte Zeit gibt, dann müssen Sie ihm Kriterien zur Festlegung der Dauer nennen.
  • Infos zu seinen Rechten (Recht auf Widerruf, Berichtigung, Beschwerderecht bei Datenschutzbehörde)

Verzeichnis von Verarbeitungstätigkeiten

Interne Maßnahmen

Als Verantwortlicher hat man ein Verzeichnis mit sämtlichen Verarbeitungstätigkeiten, die in der eigenen Zuständigkeit liegen, zu führen.

Folgendes muss im Verzeichnis angegeben werden:

  • Name und Kontaktdaten aller Verantwortlichen und des Vertreters des Verantwortlichen als auch des Datenschutzbeauftragten (wenn es einen gibt)
  • Eine Beschreibung über die Einordnung der Personen bzw. personenbezogener Daten (beispielsweise Kunde, Lieferant, Rechnungsdaten, …)
  • Externe, die personenbezogene Daten erhalten (beispielsweise Sozialversicherug, Finanzamt, Rechtsanwalt, Steuerberater). Das betrifft ebenso einen weiteren Standort des Unternehmens (beispielsweise wenn der Mutterkonzern in China ist & Daten erhält)
  • Drittländer und wer darunter fällt, wenn personenbezogene Daten an ein Drittland oder einer internationalen Organisation weitergegeben werden.
    • wenn vorhanden, sollten dabei auch die zugehörigen Garantien des Drittlandes angegeben werden
  • Die Dauer, wie lange Daten gespeichert werden.
  • Allgemeine Informationen zum Prozess der Datensicherheitsmaßnahmen innerhalb des Unternehmens.

Aus Beweisgründen ist es zu empfehlen die Verzeichnisse so ausführlich wie möglich zu gestalten und unter Umständen auch die Rechtsgrundlage anzuführen. Auf der Website der WKO finden Sie ein Muster Verarbeitungsverzeichnis.

Häufig gestellte Fragen

Was mache ich mit Langjährigen Kontakten, wo keine Zustimmung vorliegt?

Sollte bei Ihnen der Fall zutreffen, dass Sie aus der Vergangenheit noch E-Mail Kontakte habe, wo es keinen Nachweis einer Erlaubnis gibt, müssen Sie diese nicht zwangsläufig löschen.

Prüfen Sie, ob wie oben im Blog beschrieben, diese den Kriterien für „E-Mails ohne Einwilligung“ entsprechen. Ansonsten ist zu raten, eine Einwilligung einzuholen oder tatsächlich diese Daten zu löschen. Denn Fakt ist, Sie müssen beweisen können, dass der Kunde das E-Mail tatsächlich erhalten möchte. Generell ist es zu empfehlen Alt-Daten und vor allem „Systemleichen“ (Kundendaten, mit denen nicht gearbeitet wird) zu löschen.

Die Einverständniserklärung ist in den AGBs enthalten, ist das erlaubt?

Grundsätzlich ist es derzeit erlaubt, wenn die Einverständniserklärung zum Newsletter als Klausel in den AGBs enthalten ist. Diese muss jedoch gut ersichtlich sein, im besten Fall ist sie fett markiert. Zudem muss sie klare Angaben enthalten, von wem das Mail gesendet wird und für welche Zwecke.

Als Beispiel:

  • Ich stimme zu vom Unternehmen XY den monatlichen Newsletter zu erhalten.
  • Ich stimme zu Informationen über neue Produkte und Dienstleistungen des Unternehmens XY zu erhalten.

Dem Empfänger muss in jedem Fall klar sein, dass er eine Zustimmung zum Newsletter erteilt.

Was ist zu tun, wenn sich ein Kunde vom NL abmeldet?

Wenn sich ein Kunde vom Newsletter abmeldet, darf ihm kein Werbemail mehr versendet werden. Das heißt, wenn im Account des Kunden der Newsletterversand deaktiviert ist, reicht das. Hat der Kunde zudem die Löschung des Accounts oder der E-Mail-Adresse angefordert, muss das erfolgen. Wichtig für das Unternehmen ist, dass diese Handlungen dokumentiert werden und somit beweisbar sind.

Sollten die neuen Anforderungen für Verwirrung sorgen,
melden Sie sich – wir helfen gerne!

Ähnliche Beiträge