Letzte Änderung: Uhr
Newsletter DSGVO richtig umsetzen
Datenschutzverordnung
Newsletter DSGVO – Mehr als ein Jahr ist es bereits her, da die intensivst in den Medien diskutierte DSGVO in Kraft trat. Die Verordnung sorgte sowohl vor ihrer Einführung wie auch danach für ordentlich Verwirrung. Es gab viele offene Fragen, und die Angst etwas falsch zu machen, war (und ist nach wie vor) angesichts der hohen Strafen groß. Seitdem hat sich diesbezüglich doch einiges im Bereich Email-Marketing und Newsletter getan. Dennoch lautet die Bilanz laut einer jüngst veröffentlichten Studie des Capgemini Research Institutes: Lediglich 28 Prozent der Unternehmen haben die DSGVO auch tatsächlich gänzlich umgesetzt – und dies weltweit!
In diesem Sinne stellt sich nun die Frage: Wie DSGVO-fit ist eigentlich Ihr Unternehmen? In welchem Ausmaß sind Sie im Bezug zum Newsletter DSGVO-konform?
Wir haben dieses ernüchternde Ergebnis zum Anlaß genommen, um uns nochmals ausgiebig in dieses Thema zu vertiefen und die wichtigsten Maßnahmen erneut im Detail zu erläutern. Denn eines ist sicher: Der Newsletter bzw. Kunden Emails sind und bleiben eine der beliebtesten online Werbemaßnahmen. Deshalb ist es enorm wichtig, dass ihr Einsatz auch Datenschutz-konform abläuft.
Personenbezogene Daten – was bedeutet das laut Newsletter DSGVO?
Eines vorweg: Die DSGVO schützt vor allem personenbezogene Daten, weshalb der Newsletter ohne Frage darunterfällt. Aus dem einfachen Grund, weil der Name und die Email-Adresse des Kunden Grundvoraussetzung für den Versand sind. Mit dem Namen und der Email-Adresse hat man ausreichend Daten, um eine Person zu identifizieren. Daher stehen diese Daten unter besonderem Schutz.
Welche Arten von E-Mails sind erlaubt?
Emails gelten als Massen-Emails oder Newsletter, wenn diese an mehr als 50 Empfänger versandt werden. Ab 50 Empfänger benötigt man daher vorab die vorherige Zustimmung des Empfängers.
Grundsätzlich erlaubt sind demnach folgende Arten des Mailings:
- Emails mit Einwilligung des Empfängers
- Emails ohne Einwilligung an bis zu 50 Empfänger, wenn die Emails nicht der Direktwerbung dienen (unter Direktwerbung versteht man weitgehend Inhalte, die Marketing-Zwecken dienen bzw. eine Verkaufsabsicht ausdrücken)
- Emails ohne Einwilligung, wenn bestimmte Voraussetzungen erfüllt sind
Emails ohne Einwilligung – Newsletter DSGVO-konform?
Unter gewissen Voraussetzungen ist das Versenden von E-Mails an Kunden auch ohne Einwilligung erlaubt. Damit allerdings der Newsletter DSGVO-konform ist, müssen nachfolgende Voraussetzungen erfüllt sein:
- E-Mail-Adresse des Kunden wird bei einem Produktverkauf oder im Zuge des Konsums einer Dienstleistung erhoben
- der Kunde hat dabei jederzeit die Möglichkeit, den Empfang kostenfrei und problemlos abzulehnen
- innerhalb des Newsletters ist die Möglichkeit diesen kostenfrei und problemlos abzumelden
- das Mail an den Kunden dient der Direktwerbung für eigene, ähnliche Produkte oder Dienstleistungen
- der Kunde ist nicht in der „ECG-Liste“ eingetragen
Die Nachweisbarkeit stellt oft eine Herausforderung da
Fangen wir in Sachen Newsletter DSGVO ganz am Anfang an. Das bedeutet: Der Kunde kommt auf Ihre Website und möchte sich für den Newsletter bei Ihnen anmelden.
Da stellen sich bereits die ersten Fragen:
- Welche Kundendaten werden abgefragt (Name, Email-Adresse, Telefonnummer, …)?
- Gibt es einen Hinweis zum Datenschutz, worin genau beschrieben wird, was mit den Kundendaten passiert?
- Wie erhalten Sie das nachweisbare Einverständnis des Kunden, dass dieser den Newsletter auch tatsächlich erhalten möchte?
Bleiben wir zunächst bei den abgefragten Kundendaten. Fragen Sie lediglich nach Daten, die Sie auch wirklich benötigen? Für einen Newsletter reichen in der Regel der Name und die Email-Adresse vollkommen aus, um den Kunden mit einem Newsletter zu versorgen. Wenn Sie nun nach einer Adresse fragen, stellt sich natürlich die Frage, was Sie mit den Adressdaten anstellen bzw. wozu Sie diese im Bezug auf den Newsletter benötigen.
Anders verhält es sich, wenn der Kunde zusätzlich zum Newsletter eine Broschüre nach Hause versendet haben möchte. Dazu ist dann auch eine Adresse erforderlich.
Zusätzlich muss der Kunde in verständlicher bzw. einfach zu verstehender Weise darüber informiert werden, was mit seinen Daten passiert. Das heißt, er muss über die Art, den Umfang und Zweck der Erhebung sowie die Verwendung der Kundendaten und ihre Verarbeitung genauestens aufgeklärt werden.
Double Opt-In für den Nachweis des Einverständnisses
Grundsätzlich muss vom Empfänger des Newsletters vorab ein Einverständnis für den Versand eingeholt werden. Dieses Einverständnis kann laut Gesetz formlos eingeholt werden. Das heißt es kann mündlich, schriftlich per Mail oder sogar durch eine schlüssige Handlung erfolgen.
Bedenken Sie trotzdem, dass im Ernstfall der Erhalt einer Einverständnis nachgewiesen werden muss. Wir empfehlen daher dies in schriftlicher Form zu tun!
Achten Sie auch darauf, dass folgende Formen des Einholens des Einverständnisses bei Erstkontakt verboten sind:
- den Kunden diesbezüglich anrufen (verbotene Telefonwerbung)
- dem Kunden mailen (verbotene E-Mail-Werbung)
- dem Kunden ein Fax senden (verbotene Fax-Werbung)
Bestens geeignet ist daher das Double Opt-In Verfahren. Double Opt-In heißt nichts anderes, als dass der Kunde, wenn er sich für einen Newsletter angemeldet hat, ein Bestätigungs-Mail mit einem Link zur Aktivierung des Newsletters erhält.
Erst wenn der Kunde in seinem Mail-Account durch den Link den Newsletter bestätigt, können Sie tatsächlich nachweisen, dass dieser das Werbemail wirklich möchte. Zusätzlich zur Bestätigung sollten auch das Datum und die Uhrzeit dokumentiert werden. Sollte dieser Vorgang nicht automatisch über ein Programm erfolgen, muss zusätzlich der Mitarbeiter, der diese Aktivierung tätigt, namentlich bekanntgegeben und dokumentiert werden.
Erleichtern Einhalten der Newsletter DSGVO: externe Newsletter Tools & Programme
Zumeist verwenden Unternehmen für den Newsletter-Versand ein externes Programm. Oder aber, sie beauftragen eine Werbeagentur. Sobald ein externes Tool oder eine Drittperson Zugang zu Ihren Kundendaten erhält, muss das vertraglich geregelt sein und der Kunde darüber informiert werden. Zudem sind Sie verpflichtet sich zu erkundigen, ob dieser Anbieter datenschutzkonform arbeitet. Es ist daher empfehlenswert mit einem europäischen Anbieter zu arbeiten, da die DSGVO innerhalb Europas gilt.
Dies soll allerdings keineswegs heißen, dass es nicht erlaubt ist mit Anbietern außerhalb Europas zu arbeiten! Der Server des bekannten Webmail Organizers MailChimp liegt beispielsweise in den USA.
Egal für welchen Anbieter Sie sich letztendlich entscheiden, es müssen im Vorfeld ein paar wesentliche Punkte bedacht werden:
- Prüfen Sie den Anbieter auf dessen Sicherheitsniveau.
- Wenn Sie einen Anbieter ausgewählt haben, müssen Sie eine Vereinbarung zur Auftragsdatenverarbeitung treffen. Diese entspricht nicht dem standardmäßigen Vertrag zur Leistungserbringung.
Beachten Sie, dass eine fehlende oder fehlerhafte Auftragsdatenverarbeitung Bußgelder bis 50.000 Euro nach sich ziehen kann.
Welche Informationen muss der Kunde beim Newsletter-Antrag erhalten?
Wenn Sie auf Ihrer Website einen Bereich haben, wo sich der Kunde für einen Newsletter anmelden kann, muss der Kunde folgende Informationen einsehen können:
- Name und Kontaktdaten des Verantwortlichen bzw. des Vertreters innerhalb des Unternehmens
- der Name des Datenschutzbeauftragten (falls vorhanden)
- wer noch Zugang zu den Daten hat (externe Unternehmen, Personen, Dienstleister)
- Infos über den Zweck der personenbezogenen Daten
- Darlegung der Rechtsgrundlage für die Datenverarbeitung – dies entspricht Art. 6 Abs. 1 UAbs. 1 lit. aus der DSGVO beim Newsletterversand.
- Dem Kunden muss genannt werden, wie lange seine Daten gespeichert werden. Wenn es keine festgelegte Zeit gibt, dann müssen Sie ihm Kriterien zur Festlegung der Dauer nennen.
- Infos zu seinen Rechten (Recht auf Widerruf, Berichtigung, Beschwerderecht bei Datenschutzbehörde)
Verzeichnis von Verarbeitungstätigkeiten lt. Newsletter DSGVO
Interne Maßnahmen
Als Verantwortlicher hat man ein Verzeichnis mit sämtlichen Verarbeitungstätigkeiten, die in der eigenen Zuständigkeit liegen, zu führen.
Folgendes muss im Verzeichnis enthalten sein:
- Name und Kontaktdaten aller Verantwortlichen und des Vertreters des Verantwortlichen als auch des Datenschutzbeauftragten (wenn es einen gibt)
- eine Beschreibung über die Einordnung der Personen bzw. personenbezogener Daten (zum Beispiel Kunde, Lieferant, Rechnungsdaten, …)
- Externe, die personenbezogene Daten erhalten (beispielsweise Sozialversicherug, Finanzamt, Rechtsanwalt, Steuerberater). Das betrifft ebenso einen weiteren Standort des Unternehmens (falls zum Beispiel der Mutterkonzern in China ist und Daten erhält).
- Drittländer und wer darunter fällt, wenn personenbezogene Daten an ein Drittland oder einer internationalen Organisation weitergegeben werden. Wenn vorhanden, sollten dabei auch die zugehörigen Garantien des Drittlandes angegeben werden.
- die Dauer, wie lange Daten gespeichert werden
- Allgemeine Informationen zum Prozess der Datensicherheitsmaßnahmen innerhalb des Unternehmens
Aus Beweisgründen ist es ratsam die Verzeichnisse so ausführlich wie möglich zu gestalten und unter Umständen auch die Rechtsgrundlage anzuführen. Auf der Website der WKO finden Sie ein Muster Verarbeitungsverzeichnis.
Häufig gestellte Fragen
Was mache ich mit langjährigen Kontakten, für die keine Zustimmung vorliegt?
Sollten Sie noch über E-Mail-Kontakte aus der Vergangenheit verfügen, für die es keinen Erlaubnisnachweis gibt, müssen Sie diese nicht zwangsläufig löschen.
Überprüfen Sie zuerst, ob diese entsprechend der Newsletter DSGVO den Kriterien für „E-Mails ohne Einwilligung“ entsprechen. Tun sie es nicht, sollten Sie eine Einwilligung einholen oder tatsächlich diese Daten löschen. Alles in Allem müssen Sie beweisen können, dass der Kunde das E-Mail tatsächlich erhalten möchte. Stellen Sie außerdem sicher, dass sämtliche Alt-Daten und sog. „Systemleichen“ (Kundendaten, mit denen nicht gearbeitet wird) gelöscht sind.
Die Einverständniserklärung ist in den AGBs enthalten. Ist das erlaubt?
Grundsätzlich ist es derzeit erlaubt, wenn die Einverständniserklärung zum Newsletter als Klausel in den AGBs enthalten ist. Diese muss jedoch gut ersichtlich, im Optimalfall fett markiert sein. Zudem muss sie klare Angaben enthalten, von wem das Mail gesendet wird und für welche Zwecke.
Zum Beispiel:
- Ich stimme zu, vom Unternehmen XY den monatlichen Newsletter zu erhalten.
- Ich stimme zu, Informationen über neue Produkte und Dienstleistungen des Unternehmens XY zu erhalten.
Gemäß Newsletter DSGVO muss dem Empfänger in jedem Fall klar sein, dass er eine Zustimmung zum Newsletter erteilt.
Was ist zu tun, wenn sich ein Kunde vom Newsletter abmeldet?
Wenn sich ein Kunde vom Newsletter abmeldet, darf ihm kein Werbemail mehr versendet werden. Es ist vollkommen ausreichend, wenn im Account des Kunden der Newsletterversand deaktiviert ist. Hat der Kunde zudem die Löschung des Accounts oder der E-Mail-Adresse angefordert, muss das erfolgen. Wichtig für das Unternehmen ist, dass diese Handlungen dokumentiert werden und somit beweisbar sind.