Datenschutz-Grundverordnung (DSGVO)

Seit dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (DSGVO) offiziell und verbindlich Anwendung. Durch die neue Richtlinie ergeben sich für das Online Marketing einige Veränderungen – speziell auch für das E-Mail-Marketing. Dieses Kapitel gibt einen Überblick, was die DSGVO für das E-Mail-Marketing bedeutet. Durch Praxisbeispiele wird dabei deutlich, welche Herausforderungen auf E-Mail-Marketer warten. Zudem werden am Ende dieses Abschnitts noch einmal die wichtigsten Begriffe im Zusammenhang mit E-Mail-Marketing und Recht erläutert.

Praxisbeispiel: Die DSGVO im Marketing-Alltag

Im folgenden Abschnitt erfahren Sie, was die DSGVO-Richtlinien bei der alltäglichen Arbeit bedeuten. Manche dieser Regeln sind schnell umzusetzen, während andere auf Hindernisse stoßen, die nicht immer leicht zu lösen sind.

Betroffenenrechte

Nach Art. 15 DSGVO haben Betroffene das Recht zu erfahren, ob und gegebenenfalls welche personenbezogenen Daten über sie bei einem Unternehmen gespeichert sind. Hinzu kommt, wer diese Daten einsehen kann und wie lang sie gespeichert sind (bzw. die Kriterien für die Speicherdauer). Außerdem muss eine Person Auskunft darüber bekommen, ob die Daten an eine Stelle außerhalb der EU übermittelt werden. Auf Verlangen müssen Sie, wenn eine solche Anfrage bei Ihnen landet, dem Betroffenen auch eine Kopie seiner personenbezogenen Daten zur Verfügung stellen, was in der Praxis oft gar nicht so einfach ist.

Berichtigung, Löschung

Nach Art. 16 und 17 dürfen Berechtigte ebenso fordern, dass ihre bei einem Unternehmen gespeicherten Daten berichtigt werden – natürlich nur, wenn sie zu der Zeit nicht richtig sind. Ebenso kann eingefordert werden, dass die Daten gelöscht werden – sofern dies keiner Aufbewahrungspflicht entgegensteht oder das Unternehmen die Daten noch zur Vertragserfüllung benötigt.

Das ist an sich nichts Neues, aber eine inhaltliche Veränderung bringt die DSGVO auf jeden Fall: Zukünftig, anders als im BDSG (§ 3 Abs. 4 Nr. 5), findet sich in der DSGVO keine ausdrückliche Definition der Anforderung an „Löschen“ (von Daten) mehr. In Art. 4 Nr. 2 DSGVO allerdings finden sich die Begriffe „Löschen“ und „Vernichtung“ nebeneinander, sodass der Gesetzgeber davon ausgehen muss, dass Löschen keine Vernichtung erfordert. Solange und soweit das die Daten speichernde Unternehmen zur Aufbewahrung gesetzlich verpflichtet ist, ist diese Aufbewahrung logischerweise auch zulässig. Dem Gedanken des Löschungsersuchens gemäß müssen Daten aber durchaus für den gewöhnlichen Gebrauch unbenutzbar gemacht werden. Das bedeutet, dass Sie Ihrer Löschpflicht genügen können, wenn Sie Betroffenendaten Ihrem üblichen Backup-Turnus gemäß „löschen“ und die Daten dann dementsprechend erst im normalen Verlauf vernichtet werden.

Das „‘Löschen Sie meine Daten‘ und ‚Do not track‘“-Paradoxon

Heutzutage ist das Online-Tracking beliebiger Website-Besucher gang und gäbe (um nicht zu sagen: Wer das heute noch nicht macht, hat vermutlich einen triftigen Grund dafür). Wenn ein Betroffener Sie als Website-Inhaber dazu auffordert, alle seine bei Ihnen gespeicherten Daten zu löschen und ihn zukünftig nicht mehr zu tracken, müssen Sie diesen Aufforderungen nachkommen. Die Frage ist aber, wie Sie das tun sollen bzw. überhaupt können. Beides zusammen ist nämlich kompliziert, wenn nicht gar unmöglich.

Eine Möglichkeit ist, ihm einen „no-track“-Cookie zu setzen, mit dem Sie ihn als „nicht tracken Besucher“ wiedererkennen können. Wenn dieser Cookie keinen Rückschluss auf ihn als Person zulässt, beinhaltet der Cookie pseudonyme Daten, sodass das Setzen eines solchen Cookies ein zulässiges Verhalten sein kann, selbst wenn der Betroffene Sie aufgefordert hat, alle seine Daten zu löschen. Das Problem ist aber, dass der Betroffene diesen Cookie löschen kann, ohne dass Sie etwas davon mitbekommen. Wenn er danach wieder auf Ihre Website kommt und Sie ihn auch pseudonym nicht wiedererkennen können, tracken Sie ihn automatisch wieder, was genau das Gegenteil von dem ist, wozu er Sie aufgefordert hat. Dummerweise sind Sie in einer schlechten Beweislage, wenn ein für Sie (wieder) völlig unbekannter Betroffener abmahnt oder verklagt und beweisen kann, dass er Sie zur Unterlassung des Trackings aufgefordert hat. Dass Ihnen hier auch nur der Beweis gelingt, dass er den von Ihnen achtsam gesetzten Cookie selbst gelöscht hat, ist wohl sehr zweifelhaft.

Das Problem entsteht vermutlich vor allem deshalb, weil der Betroffene in diesen Fällen nicht versteht, dass er zwei gegensätzliche Dinge fordert. Vorrangiges Ziel muss es sein, Rechtsstreits und vor allem Bußgelder zu vermeiden. Bußgelder werden vor allem dann verhängt, wenn Unternehmen sich vorsätzlich nicht an geltendes Recht halten. Hier können jedoch Rechts- und Beweislage weit auseinanderklaffen. Wie auch immer: Sie als Online-Marketing-Unternehmen müssen sich ein möglichst risikoarmes Vorgehen überlegen.

Handlungsempfehlung in diesem Fall

Wenn der Betroffene die Löschung „all seiner Daten“ und die Unterlassung zukünftigen Trackings fordert, ist der vernünftigste Weg der folgende:

• Weisen Sie den Betroffenen darauf hin, dass beide Aufforderungen (also Löschen aller Daten und nicht mehr getrackt zu werden) nicht verlässlich zusammen erfüllbar sind, weil Sie ihn nach dem Löschen all seiner Daten bei Ihnen auch nicht mehr verlässlich als nicht-mehr-tracken-Besucher identifizieren können.
• Informieren Sie ihn, dass Sie ihm ein no-track-Cookie im Browser setzen, mit dem er zukünftig auf der betreffenden Website bei Verwendung dieses Browsers nicht mehr „getrackt“ werden wird. Am besten machen Sie dies mit einem Link zur Stelle Ihrer Datenschutzerklärung, an der Sie das Tracking erläutern. Weisen Sie außerdem darauf hin, dass er, wenn er nicht getrackt werden möchte, weiterhin diesen Browser nutzen und den besagten Cookie nicht löschen soll, da er anderenfalls erneut getrackt wird.
• Nach diesen Hinweisen fragen Sie ihn, ob er unter diesen Umständen wirklich alle seine Daten gelöscht haben möchte oder doch lieber die für seine verlässliche Erkennung durch Sie nötigen Daten gespeichert behalten möchte. Wenn er sich für Letzteres entscheidet, behalten Sie die Daten, mit denen Sie ihn auch dann wiedererkennen können, wenn er mit einem anderen Browser und/oder Ihre Website ohne den no-track-Cookie besucht.

Mit dieser Variante verbleibt ein gewisses Restrisiko, nämlich dass Sie im Ernstfall möglicherweise Schwierigkeiten haben können zu beweisen, dass Sie einer bestimmten Person gegenüber die hier aufgeführten Hinweise gegeben haben. Da Sie keine Daten mehr über den Betroffenen haben, können Sie logischerweise auch nicht mehr personenbezogen Hinweise an diese Person nachweisen. Dennoch können Sie den hier beschriebenen Prozess über Zeugenaussagen z. B. von Mitarbeitern und Beschreibung des Prozesses belegen. Jedenfalls ist ein Bußgeld einer Datenschutzbehörde bei diesem Vorgehen sehr unwahrscheinlich, ist der Prozess doch der vernünftigste und transparenteste, den Sie (und jedes Unternehmen in Ihrer Situation) beschreiten können. Ein Grund, ein Löschungsersuchen eines Betroffenen abzulehnen, ist wie gesagt eine Aufbewahrungspflicht, aber selbst bei Raum für Argumentation ist das nicht in jedem Fall ein verlässlicher Grund, die Daten zu behalten.

Was Sie sonst noch alles beachten sollten, um DSGVO-konformes E-Mail-Marketing zu betreiben, zeigen Ihnen die nächsten Kapitel.

Rechtliche Begriffe im Zusammenhang mit E-Mail-Marketing

Personenbezogene Daten

Was sind eigentlich personenbezogene Daten? Laut der EU sind diese definiert als „[…] Informationen, die sich auf eine […] Person beziehen, […] die mittels Zuordnung zu einer Kennung wie einem Namen […] identifiziert werden kann“.

Beispiele für personenbezogene Daten sind Name, Adresse, Erreichbarkeitsdaten wie Telefon und E-Mail-Adresse, aber auch Personalausweisnummer, ein Foto, Geschlecht, Größe oder Haarfarbe. Darüber hinaus gibt es besonders sensible personenbezogene Daten wie Herkunft, politische Meinung, sexuelle Orientierung oder religiöse Überzeugungen sowie Gesundheitszustand.

Die DSGVO sieht vor, dass personenbezogene Daten nur noch verarbeitet werden dürfen, wenn es für eine Vertragserfüllung zwingend notwendig ist. Sprich: Wird online eine Bestellung getätigt, ist es für die Vertragserfüllung notwendig, dass die Adresse des Paketempfängers verarbeitet wird, damit die Sendung zugestellt werden kann. Die Vorrausetzungen sind aber nur erfüllt, wenn es sich um die Abwicklung eines Vertrags handelt. Wenn die Kontaktdaten zusätzlich für werbliche Zwecke verarbeitet werden sollen, ist dafür eine gesonderte Einwilligung notwendig.

Datenschutzbeauftragter

Zu den Aufgaben des Datenschutzbeauftragten gehört die Beratung von Unternehmen in allen Fragen rund um den Datenschutz. Gleichzeitig ist er dafür zuständig, zu überwachen, ob Datenschutzrichtlinien im Unternehmen eingehalten werden. Deshalb ist er als erste Anlaufstelle für die Aufsichtsbehörde definiert.

In vielen deutschen Unternehmen gibt es bereits einen Datenschutzbeauftragten. Mit der Anwendung der DSGVO gibt es dann auch keinen Weg mehr Drumherum: Erstmals ist die Bestellung eines Datenschutzbeauftragten dann europaweit verbindlich und verpflichtend. Da dies bisher ähnlich im Bundesdatenschutzgesetz geregelt war, haben Unternehmen mit Sitz in Deutschland jedoch keine großen Änderungen zu befürchten. Wenn im Unternehmen noch keiner bestellt ist, ist es angesichts der neuen Richtlinie ratsam, sich über die Notwendigkeit eines Datenschutzbeauftragten zu informieren.

Auftragsdatenverarbeitung (ADV)

Unternehmen sollten eine Auftragsdatenverarbeitung (ADV) mit Dienstleistern abschließen, wenn diese in ihrem Auftrag personenbezogene Daten verarbeiten. Die ADV soll nach den Vorgaben des Datenschutzes gewährleisten, dass der Dienstleister die anvertrauten Daten nur zu dem Zweck verarbeiten, für die der Auftraggeber die Daten erhoben hat. Ein Beispiel sind Gehaltsabrechnungsbüros, die Namen, Gehälter, Kontaktdaten oder personenbezogene Dokumente erhalten, um Gehaltsabrechnungen zu erstellen.

DSGVO-Einwilligung (Double-Opt-in)

Weil E-Mails mit werblichem Inhalt nicht zwingend für eine Vertragserfüllung notwendig sind, nahm die DSGVO insbesondere Einfluss auf das E-Mail-Marketing. Die Richtlinie sieht vor, dass Verbrauchern nur dann Werbung gesendet werden darf, wenn sie dafür eine explizite Einwilligung gegeben haben. Dafür ist das Double-Opt-in-Verfahren (DOI) empfehlenswert, weil der Empfänger den Erhalt von E-Mails aktiv bestätigt und damit seine Zustimmung gibt.

Um rechtlich auf der sicheren Seite zu sein, muss zukünftig neben dem DOI für jede einzelne Nutzung der personenbezogenen Daten gesondert eine Einwilligungserklärung eingeholt werden. Wenn personenbezogene Daten also für andere werbliche Zwecke verarbeitet werden, für die bisher keine Einwilligung vorliegt, empfiehlt es sich für jeden einzelnen Zweck eine Zustimmung des Empfängers einzuholen.

Pseudonymisierung

Der Datenschutz erlaubt nach der DSGVO nur dann Rückschlüsse auf das Öffnungs- und Klickverhalten von Newsletter-Empfängern (also den Personen), wenn sie dem personenbezogenen Tracking und der Verarbeitung ihrer Daten aktiv zugestimmt haben. Gibt eine Person also keine Einwilligung, darf aus dem Reporting nicht hervorgehen, dass diese Person auf einen bestimmten Link im Mailing geklickt hat. Die Pseudonymisierung von Daten kann deshalb ein guter Mittelweg sein, um weiterhin Rückschlüsse zu ziehen und Kennzahlen auszuwerten.

Pseudonymisierung funktioniert, indem jedem Empfänger eine ID (Pseudonym) zugeordnet wird, die getrennt von den personenbezogenen Daten, wie zum Beispiel Name und E-Mail-Adresse, gespeichert wird. Das Ergebnis: Im Reporting ist trotzdem abzulesen, wie viele Personen auf einen bestimmten Link geklickt haben, es ist jedoch nicht mehr nachvollziehbar, um welche Einzelperson es sich handelt. Gleichzeitig können keine Rückschlüsse mehr auf das Nutzungsverhalten der einzelnen Person gezogen werden.

Recht auf Vergessenwerden

Hinter dem Recht auf Vergessenwerden verbirgt sich die Löschpflicht, die der europäische Datenschutz nach der DSGVO für Unternehmen vorsieht. Diese beschreibt, dass personenbezogene Daten unverzüglich zu löschen sind, wenn die betroffene Person dies fordert. Damit Unternehmen schnell auf eine Löschanfrage reagieren können, ist es ratsam zu dokumentieren, welche personenbezogene Daten gespeichert und verarbeitet werden, woher diese stammen und an wen die Daten weitergegeben wurden.