DSGVO für Newsletter-Marketing: Worauf es ankommt
Trackback URL
Die Datenschutz-Grundverordnung (DS-GVO) gilt ab 25. Mai 2018 – und mit ihr gibt es nicht nur neue, europaweit einheitliche und umfangreiche Standards. Bei Verstößen drohen auch deutlich höhere Bußgelder von bis zu vier Prozent des Umsatzes. Unternehmen, die frühzeitig und richtig reagieren, vermeiden Schwierigkeiten. Erfahren Sie anhand des Beispiels Newsletter-Marketing, worauf Sie in Zukunft achten sollten.
Was die DS-GVO regelt
Die DS-GVO vereint teilweise bereits vorhandene Regelungen mit einigen Neuerungen und löst nach einer zweijährigen Übergangszeit länderspezifische Lösungen vollständig ab. Die neue Verordnung regelt die ganz, teilweise und nicht automatisierte Verarbeitung personenbezogener Daten, die in einem online oder offline Dateisystem gespeichert sind. Als personenbezogen werden alle Daten definiert, die eine natürliche Person identifizieren oder sie identifizierbar machen – zum Beispiel Adressen, Telefonnummern, Steuernummern, IP-Adressen oder Pseudonyme von Mitarbeitern oder Kunden. Es gibt also kaum ein Unternehmen, für das die DS-GVO nicht gilt. Die Regelungen umfassen 99 Artikel auf 88 Seiten.
Hintergrund: die sechs Grundsätze der DS-GVO
- Verbot mit Erlaubnisvorbehalt: Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten – es sei denn, der Betroffene erteilt seine Erlaubnis. Bereits angekreuzte Kästchen (Opt-out) sind nicht zulässig. Setzen Sie bei E-Mail-Newslettern, wie bisher auch, am besten auf Douple-opt-in.
- Rechtmäßigkeit: Rechtmäßig ist die Verarbeitung nur mit einer Einwilligung des Betroffenen (zum Beispiel des Users). Der konkrete Zweck der Datenverarbeitung (z. B. Zusendung eines regelmäßigen Newsletters mit aktuellen Angeboten) muss genannt sein. Ebenso muss der User die Einwilligung jederzeit widerrufen können – so wie es ebenfalls bisher der Fall gewesen ist.
- Zweckbindung: Genutzt werden dürfen Daten nur im Rahmen des vorher festgelegten Zweckes. Im Falle eines Newsletters für gebrauchte Maschinen wäre es also nicht zulässig, die Kontaktdaten innerhalb einer Unternehmensgruppe weiterzugeben und zum Versenden von Angeboten für Büroeinrichtung zu nutzen.
- Richtigkeit der Daten: Sollten sich die Daten der Person ändern, was bei Nachnamen und E-Mail-Adressen durchaus vorkommt, müssen diese aktualisierbar sein. Konkret bedeutet dies: Ändert ein User zum Beispiel in seinem Konto die Kontaktinformationen, oder teilt einen neuen Namen per E-Mail mit, sollten diese Neuerungen beim nächsten Newsletter-Versand berücksichtigt werden.
- Erforderlichkeit der Speicherung: Gespeichert werden dürfen nur Daten, die für den festgelegten Zweck notwendig sind. Ein Online-Fragebogen zu persönlichen Vorlieben könnte also zulässig sein, wenn er dem Zweck eines individualisierten Newsletters dienen würde. Ist der Newsletter aber für alle User gleich, könnte es sich um einen Verstoß handeln, sofern der Fragebogen Pflicht ist.
Daten, die für die Zweckerreichung nicht mehr erforderlich sind, müssen gelöscht oder entpersonalisiert werden, sofern es keine Vorschriften zur Aufbewahrung gibt.
- Rechenschaftspflicht: Mit der Rechenschaftspflicht kommt eine große Herausforderung auf Unternehmen zu. Die genannten Grundsätze müssen nun nicht mehr nur eingehalten, sondern ihre Einhaltung darüber hinaus dokumentiert werden. Zwar gibt es Ausnahmen für Unternehmen, die nur unregelmäßig Daten verarbeiten. Wer aber regelmäßig Newsletter versendet, muss ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 der DS-GVO vorweisen können – und mit einer Kontrolle durch die Datenschutzbehörden rechnen.
Nicht nur für den Newsletter-Versand: umfangreiche Dokumentationspflichten
Im Falle von Rechtsstreitigkeiten trägt zukünftig der Verarbeiter die Beweispflicht. Deshalb fordert Artikel 30 der DS-GVO von Unternehmen ein Verzeichnis aller Verarbeitungsaktivitäten. Dieses Verzeichnis erfasst, in welchem Zusammenhang personenbezogene Daten verarbeitet werden. Enthalten sein müssen unter anderem:
- Name und Kontaktdaten des Verantwortlichen im Unternehmen
- Zweck der Verarbeitung
- Beschreibung der Daten und der Kategorien
- Löschfristen (sofern vorhanden)
Vorlagen für das Verzeichnis von Verarbeitungstätigkeiten bietet der BvD e.V. (https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/)
Wichtig beim Newsletter-Marketing: Dienstleister oder Auftragsverarbeiter?
Unterschieden wird im DSGVO zwischen Verarbeiter (der Daten) und Auftragsverarbeiter. Wenn Sie Ihre Newsletter nicht selbst versenden, sondern einen Dienstleister wie zum Beispiel "Evalanche" damit beauftragen, sollten Sie einen Vertrag zur Auftragsverarbeitung schließen. Trotzdem können Sie als Auftraggeber für Vergehen haftbar gemacht werden. Informieren Sie sich daher, ob der Anbieter die Vorschriften einhält.
Ein wichtiger Punkt ist die Sicherheit. Artikel 32 der DS-GVO sieht einen nachhaltigen Schutz der Daten vor. Dazu können zum Beispiel die Verschlüsselung, ein 4-Augen-Prinzip sowie abgesicherte Serverräume zählen.
DSGVO: Tipps für den Newsletter-Versand
- Double-opt-in: Wenn Sie es bisher noch nicht getan haben, sollten Sie spätestens jetzt auf ein Douple-opt-in Verfahren umstellen. Achten Sie darauf, dass die DOI-Mail werbefrei ist und dokumentieren Sie die Zustimmung des Users zum Newsletter-Empfang. Die Abmeldung vom Newsletter sollte mit einem Klick möglich sein und darf keinesfalls an eine Passworteingabe gebunden sein.
- Nicht mehr Daten als notwendig erheben: In den allermeisten Fällen genügt die E-Mail-Adresse für den Newsletter-Versand. Machen Sie die Angabe eines Namens also nicht zum zusätzlichen Pflichtfeld. Wenn der User freiwillig weitere Daten preisgeben möchte, kann er dies selbstverständlich tun.
- Zweck nennen: Erwähnen Sie bei der Newsletter-Anmeldung, wofür die persönlichen Daten verwenden werden: Zur Zusendung eines Newsletters mit Angeboten, Neuigkeiten oder Tipps. Denken Sie daran, entsprechende Daten zu löschen, wenn ein User sich vom Empfang abmeldet.
- User informieren: Artikel 12 der DS-GVO fordert eine „präzise, transparente, verständliche, leicht zugängliche und in einfacher Sprache“ verfasste Information des Users darüber, was mit seinen Daten passieren soll. Beschreiben Sie die Datenverarbeitung also in entsprechend umfassender Form in der Datenschutzerklärung. Einen Link zur Datenschutzerklärung, das Impressum und eine Abmeldemöglichkeit sollte in jedem Newsletter vorhanden sein.
- Zertifizierte Dienstleister: Arbeiten Sie mit einem Newsletter-Dienstleister zusammen? Achten Sie bei der Auswahl eines Dienstleisters auf Rechtssicherheit. Entscheiden Sie sich im Zweifel eher gegen das günstigere Angebot, wenn Sie stattdessen einen Dienstleister mit Datenschutz-Zertifizierung wählen können.
- Serverstandort: Idealerweise setzen Sie auf einen deutschen Serverstandort, da von ihm der Gerichtsstandort bei eventuellen Rechtsstreitigkeiten abhängt. Ein Rechtsstreit im Ausland geht oft mit höheren Kosten und höherer Rechtsunsicherheit einher.
Möglichst viel Rechtssicherheit anstreben
Fakt ist: Mit der alleinigen Gültigkeit der DS-GVO steigen die ohnehin hohen Anforderungen an den Datenschutz. Dieser Artikel gibt Ihnen erste Anhaltspunkte für einen datenschutzkonformen Newsletter-Versand. Einige Fallstricke können Sie bei Mailings umgehen, indem Sie mit einem qualifizierten Dienstleister zusammenarbeiten. Für möglichst viel Rechtssicherheit sollten Sie mit einem internen oder externen Datenschutzbeauftragten zusammenarbeiten. Und spätestens jetzt, wo empfindliche Bußgelder und mehr Kontrollen drohen, ist es notwendig, das Thema Datenschutz insgesamt zur Chefsache zu machen.
Anmerkung: Dieser Blogbeitrag dient ausschließlich Informationszwecken und nicht der rechtlichen Beratung. Für die Richtigkeit und Vollständigkeit der dargelegten Informationen können wir deshalb keine Haftung übernehmen.
Wenn Sie mehr zum Thema erfahren möchten, klicken Sie hier und ,melden Sie sich an zu unserem Webinar am 09. Mai zum Thema "Webseiten fit machen für die DSGVO"
Weiterführende Literatur und Links:
T. Kranig, E. Ehmann: Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine (Verlag C.H. Beck)
https://dsgvo-gesetz.de/
https://www.it-recht-kanzlei.de/newsletter-datenschutzgrundverordnung-dsgvo.html
Lassen Sie uns wissen, was Sie denken...