Wurde wirklich an alles gedacht?

DSGVO-konformes E-Mail-Marketing und Lead-Management

Seit mehr als 100 Tagen ist die Datenschutzgrundverordnung (DSGVO) europaweit rechtskräftig. Auch wenn die befürchtete Abmahnwelle bislang ausgeblieben ist, herrscht bei vielen Verantwortlichen noch immer Unsicherheit darüber, ob sie die neuen gesetzlichen Vorgaben korrekt und vollständig umgesetzt haben.

Laptop mit aufgeklapptem Display

DSGVO-konformes E-Mail-Marketing und Lead-Management

Generell gilt: Wer personenbezogene Daten erheben und verarbeiten möchte, zum Beispiel im Rahmen von E-Mail-Marketing- und Lead-Management-Kampagnen, muss die neuen datenschutzrechtlichen Vorschriften unbedingt beachten. Von daher sollten sich die Verantwortlichen selbst fragen: Hat man wirklich an alles gedacht? Sind alle Prozesse rechtskonform? Im Folgenden gibt es Antworten auf die dringendsten Fragen:

Erfolgt der Einwilligungsprozess gemäß DSGVO?

Um personenbezogene Daten zu Werbezwecken erheben und verarbeiten zu dürfen, braucht es eine freiwillige und nachweisliche Einwilligung des Betroffenen. Wichtig ist, dass man den Betroffenen, um dessen Einwilligung es geht, im Vorfeld über alle Aspekte und Zwecke der Datenverarbeitung auf verständliche Art und Weise aufklärt. Hierfür empfiehlt es sich, bei Online-Formularen im direkten Umfeld des E-Mail-Adressfelds eine entsprechende Checkbox mit Einwilligungserklärung zu ergänzen und diese Erklärung in den Datenschutzinformationen zu wiederholen. Da Unternehmen in Sachen Einwilligung die Nachweispflicht haben, sollten die Verantwortlichen insbesondere bei online erteilten Einwilligungen auf ein Double-Opt-in-Verfahren setzen: Man sollte dem Empfänger einen Bestätigungslink per E-Mail zusenden, damit er seine Angaben durch Klicken des Links verifizieren kann. Um die erforderliche Nachweisbarkeit sicherzustellen, ist jeder Schritt des Double-Opt-in-Prozesses im System zu protokollieren.

Entspricht die Datenschutzinformation den Vorgaben der DSGVO?

Mit der Datenschutzinformation oder -erklärung müssen die Nutzer über die Rechtsgrundlagen einer Versendung zu Werbezwecken informiert werden. Gefordert sind nicht nur verständliche Angaben zum Inhalt des Newsletters oder E-Mailings, sondern auch eine Aufklärung über das Einwilligungsverfahren (Double-Opt-in, Protokollierung) sowie weitere relevante Informationen: Name und Kontaktdaten des Datenschutzverantwortlichen, Zweck und Rechtsgrundlage der Verarbeitung sowie der Zeitraum der Speicherung personenbezogener Daten. Sollte man mit externen Dienstleistern oder Auftragsverarbeitern zusammenarbeiten, sind die Abonnenten zu informieren, um wen genau es sich dabei handelt. Daneben muss die Datenschutzinformation auch darüber aufklären, welche personenbezogenen Daten das Unternehmen speichert. Zudem muss man deutlich machen, dass die Nutzer ihre Einwilligung jederzeit widerrufen und sich von den Diensten abmelden können (Widerrufsrecht). Am besten erfüllt man diese Pflicht durch einen jederzeit abrufbaren Link, der von allen Seiten der Website aus gut erreichbar ist. So können Websitebesucher die Datenschutzerklärung lesen, bevor sie sich in einen E-Mail-Verteiler eintragen oder ein Formular ausfüllen.

Ist das Impressum auf dem aktuellen Stand?
Damit sich ein Betroffener darüber informieren kann, mit wem er es zu tun hat und wer für die Verarbeitung seiner personenbezogenen Daten verantwortlich ist, sollten das Impressum an einer gut auffindbaren Stelle auf der Website platziert werden. Zu beachten gilt, dass auch Newsletter und/oder Marketing-E-Mails ein Impressum beinhalten müssen – mit Angaben zu Name, Anschrift und ggf. Rechtsform, E-Mail-Adresse und Telefonnummer, Handelsregister-Eintrag sowie Umsatzsteueridentifikationsnummer. Alternativ besteht die Möglichkeit, im Newsletter oder E-Mailing nur Anschrift, E-Mail-Adresse und Telefonnummer anzugeben und auf das Website-Impressum zu verlinken.

Findet der Grundsatz der Datensparsamkeit Beachtung?

Bei der Erhebung personenbezogener Daten im Rahmen einer E-Mail-Marketing- oder Lead-Management-Kampagne prallen gegensätzliche Interessen aufeinander. Dem Interesse, Leads auf Basis zahlreicher Informationen möglichst weitgehend zu qualifizieren, steht der Grundsatz der Datenvermeidung und Datensparsamkeit gegenüber. Wie aber bekommt man das zusammen? In erster Linie sind Unternehmen dazu verpflichtet, so wenig personenbezogene Daten wie möglich zu verarbeiten und die Rechtmäßigkeit jeder einzelnen Information eines Datensatzes nachzuweisen. Die Grundsätze der Transparenz, Zweckbindung, Datensparsamkeit und begrenzten Speicherung sind unbedingt einzuhalten. Deshalb sollten die Verantwortlichen bei der Formulargestaltung darauf achten, dass sie nur so viele Daten abfragen, wie für den jeweiligen Zweck nötig sind (Art. 13 Abs. 1 DSGVO). Zum Versand eines Newsletters oder anderer E-Mailings ist beispielsweise die E-Mail-Adresse ausreichend. Sollte man darüber hinaus weitere Daten erheben wollen, empfiehlt es sich, das nicht über Pflichtfelder zu tun, sondern solche Formularfelder als freiwillige Angabe zu kennzeichnen. Hier sollte kurz erläutert werden, warum diese Daten relevant wären. Generell gilt: Je überschaubarer ein Formular, desto höher die Konversionsrate.

Läuft der Datenverarbeitungsprozess DSGVO-konform ab?

Mit Inkrafttreten der DSGVO sind Unternehmen verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Sie dürfen diese Aufgabe zwar delegieren, bleiben jedoch dafür verantwortlich und müssen die Durchführung kontrollieren. Ein solches Verzeichnis informiert nachvollziehbar über den Zweck der Datenverarbeitung; die Kategorien der betroffenen Personen und der personenbezogenen Daten; die Kategorien der Empfänger, gegenüber denen die Daten offengelegt wurden oder noch werden; Fristen zur Löschung der Daten; sowie die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit. Wenn man eine E-Mail-Marketing-Automation-Lösung einsetzen, agiert man als Auftraggeber, der die Daten – z. B. Mailing- und Newsletter-Inhalte samt Adressenpool – an einen Dienstleister als Auftragnehmer weitergibt. Dieser wiederum verarbeitet oder versendet diese Informationen auf Anweisung hin. Darum müssen die Verantwortlichen einen Auftragsverarbeitungsvertrag mit dem Software-Anbieter schließen. Darin versichern beide Parteien, dass die Datenverarbeitung entsprechend der rechtlichen Vorgaben erfolgt – was Auftraggeber, zum Beispiel gegenüber einer prüfenden Behörde, nachweisen müssen. Als Auftraggeber muss man außerdem dafür sorgen, dass der Auftragsverarbeiter die schriftlich vereinbarten Vorgaben, die – anders als früher – heute auch elektronisch geregelt werden dürfen, tatsächlich umsetzt.

Was passiert mit Altdaten?

Sollten im System personenbezogene Daten gespeichert sein, die vor Inkrafttreten der DSGVO erhoben wurden, müssen diese Informationen nicht gelöscht werden, sofern die Einwilligungen der Betroffenen gemäß der EU-Datenschutzrichtlinie 95/46/EG eingeholt wurden und den Mindestanforderungen der DSGVO entsprechen: Es braucht eine freiwillige, nachweisbare und protokollierte Einwilligung sowie einen Hinweis auf das Widerrufsrecht. Sind diese Voraussetzungen erfüllt, dürfen Alt- und vorhandene CRM-Daten DSGVO-konform verarbeitet und weiterhin für E-Mail-Marketing und Lead-Management genutzt werden. Wurden die Altdaten nicht gemäß DSGVO erhoben, sind sie zu löschen.

Hat der Nutzer in das Anlegen von Nutzerprofilen und Tracking eingewilligt?
Während es bisher erlaubt war, pseudonymisierte Nutzerprofile zu Marketingzwecken mit Opt-out-Lösung ohne Einwilligung anzulegen – das heißt, es ist nur eine ausdrückliche Ablehnung erforderlich –, sofern der Nutzer darüber entsprechend unterrichtet wurde, ist das nun verboten. Bei der Pseydonymisierung handelt es sich um eine Datenverarbeitung, bei der personenbezogene Daten zwar nicht mehr ohne weiteres einer spezifischen Person zugeordnet werden können, aber trotzdem grundsätzlich personenbeziehbar bleiben. Somit dürfen Sie auch pseudonymisierte Nutzerprofile nur erstellen, wenn der Betroffene mittels Double-Opt-in und unter Berücksichtigung der bereits erläuterten Voraussetzungen zustimmt. Gleiches gilt für das Tracking des Nutzerverhaltens und der damit erhobenen Daten.

* Der Autor Martin Philipp ist Geschäftsführer der SC-Networks GmbH.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok