Datenschutz-Grundverordnung (DSGVO)

Seit dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (DSGVO) offiziell und verbindlich Anwendung. Durch die neue Richtlinie ergeben sich für das Online Marketing einige Veränderungen – speziell auch für das E-Mail-Marketing. Dieses Kapitel gibt einen Überblick, was die DSGVO für das E-Mail-Marketing bedeutet. Durch Praxisbeispiele wird dabei deutlich, welche Herausforderungen auf E-Mail-Marketer warten. Zudem werden am Ende dieses Abschnitts noch einmal die wichtigsten Begriffe im Zusammenhang mit E-Mail-Marketing und Recht erläutert.

Inhaltsverzeichnis

DSGVO im E-Mail-Marketing

Für mehr Transparenz: Die DSGVO nimmt Unternehmen verstärkt in die Pflicht, Prozesse rund um die Datenverarbeitung angemessen zu dokumentieren. Es handelt sich dabei um eine beschlossene Verordnung mit dem Ziel, die Datenschutzrechte für EU-Bürger zu stärken und zu vereinheitlichen. Diese Richtlinien sind so umzusetzen, dass die Einhaltung des Datenschutzrechts sichergestellt ist. Im E-Mail-Marketing hat dies insbesondere Auswirkungen auf die Verarbeitung von personenbezogenen Daten. Daraus entstehen neue Herausforderungen.

Um nämlich E-Mails möglichst gut auswerten zu können, braucht man die Reaktionen der einzelnen Empfänger. Diese dürfen allerdings nicht mehr ohne das explizite Einverständnis der Empfänger erhoben werden – jedenfalls nicht, wenn es sich um personenbezogene Daten handelt. Allgemeine Kennzahlen wie eine generelle Öffnungsrate sind davon allerdings nicht betroffen. Dadurch werden Anbieter von E-Mail-Marketing-Programmen gezwungen, ihre Software anzupassen.

Neue Features für Versand und Controlling nötig

Für moderne E-Mail-Marketing-Software hat die DSGVO einige Veränderungen herbeigeführt: Es sollte nun die Möglichkeit geben, das Öffnungs- und Klickverhalten in Mailings personenbezogen oder pseudonymisiert auszuwerten. Ein Nutzer muss nämlich die Einwilligung zur personenbezogenen Auswertung („Tracking Permission“) geben. Natürlich ist es dann praktisch, wenn E-Mail-Marketinglösungen über entsprechende Optionen verfügen, um dies zu gewährleisten. Wichtig dabei: Der Leser sollte immer bequem per Link oder Kästchen die Möglichkeit haben, seine Einwilligung zu geben. Ebenso sollte die Einwilligung genauso einfach zu wiederrufen sein. Sehr komfortabel ist es, wenn eine E-Mail-Marketing-Software sogar Informationen aus Drittsystemen berücksichtigt und integriert.

Auf Nummer sicher gehen

Die DSGVO schreibt vor, dass die Daten eines Einzelnen stärker geschützt werden. Ein Unternehmen kann mit ein paar Maßnahmen sicherstellen, dass dieser Schutz der sensiblen Daten beim E-Mail-Marketing auch gewährleistet ist.

Made and Hosted in Germany – ein Merkmal, das auch im E-Mail-Marketing zur Bindung der Kunden beiträgt. Denn wenn Du bei der Wahl der E-Mail-Marketing-Software darauf achtest, dass die Server des Anbieters in Deutschland stehen, beschert Dir das schon viel Vertrauen von Kundenseite. Warum? Ganz einfach: Würden sich die Server beispielsweise in den USA befinden, gäbe es keine Garantie, dass die darauf befindlichen Daten nicht doch von einem externen Dritten ausgewertet werden. In Deutschland unterliegen die Server jedoch den sehr strengen Richtlinien der DSGVO. Natürlich schützt dies nicht zu einhundert Prozent von fremden Zugriffen, macht die Verarbeitung der Daten aber um einiges sicherer.

Zudem ist es immer ein sehr gutes Kennzeichen, wenn der E-Mail-Marketing-Anbieter ein Mitglied der Certified Senders Alliance (CSA) ist. Dies zeigt, dass der Anbieter die Sicherheit der sensiblen Daten ernst nimmt und bereits von der CSA unter die Lupe genommen wurde. Positiv zu bewerten sind auch freiwillige Selbstverpflichtungen, wie ein unterzeichneter Qualitätsstandard im E-Mail-Marketing des DDV.

Praxisbeispiel: Die DSGVO im Marketing-Alltag

Im folgenden Abschnitt erfährst Du, was die DSGVO-Richtlinien bei der alltäglichen Arbeit bedeuten. Manche dieser Regeln sind schnell umzusetzen, während andere auf Hindernisse stoßen, die nicht immer leicht zu lösen sind.

Betroffenenrechte

Nach Art. 15 DSGVO haben Betroffene das Recht zu erfahren, ob und gegebenenfalls welche personenbezogenen Daten über sie bei einem Unternehmen gespeichert sind. Hinzu kommt, wer diese Daten einsehen kann und wie lang sie gespeichert sind (bzw. die Kriterien für die Speicherdauer). Außerdem muss eine Person Auskunft darüber bekommen, ob die Daten an eine Stelle außerhalb der EU übermittelt werden. Auf Verlangen musst Du, wenn eine solche Anfrage bei Dir landet, dem Betroffenen auch eine Kopie seiner personenbezogenen Daten zur Verfügung stellen, was in der Praxis oft gar nicht so einfach ist.

Berichtigung, Löschung

Nach Art. 16 und 17 dürfen Berechtigte ebenso fordern, dass ihre bei einem Unternehmen gespeicherten Daten berichtigt werden – natürlich nur, wenn sie zu der Zeit nicht richtig sind. Ebenso kann eingefordert werden, dass die Daten gelöscht werden – sofern dies keiner Aufbewahrungspflicht entgegensteht oder das Unternehmen die Daten noch zur Vertragserfüllung benötigt.

Das ist an sich nichts Neues, aber eine inhaltliche Veränderung bringt die DSGVO auf jeden Fall: Zukünftig, anders als im BDSG (§ 3 Abs. 4 Nr. 5), findet sich in der DSGVO keine ausdrückliche Definition der Anforderung an „Löschen“ (von Daten) mehr. In Art. 4 Nr. 2 DSGVO allerdings finden sich die Begriffe „Löschen“ und „Vernichtung“ nebeneinander, sodass der Gesetzgeber davon ausgehen muss, dass Löschen keine Vernichtung erfordert. Solange und soweit das die Daten speichernde Unternehmen zur Aufbewahrung gesetzlich verpflichtet ist, ist diese Aufbewahrung logischerweise auch zulässig. Dem Gedanken des Löschungsersuchens gemäß müssen Daten aber durchaus für den gewöhnlichen Gebrauch unbenutzbar gemacht werden. Das bedeutet, dass Du Deiner Löschpflicht genügen kannst, wenn Du Betroffenendaten Deinem üblichen Backup-Turnus gemäß „löschst“ und die Daten dann dementsprechend erst im normalen Verlauf vernichtet werden.

Das „‘Löschen Sie meine Daten‘ und ‚Do not track‘“-Paradoxon

Heutzutage ist das Online-Tracking beliebiger Website-Besucher gang und gäbe (um nicht zu sagen: Wer das heute noch nicht macht, hat vermutlich einen triftigen Grund dafür). Wenn ein Betroffener Dich als Website-Inhaber dazu auffordert, alle seine bei Dir gespeicherten Daten zu löschen und ihn zukünftig nicht mehr zu tracken, musst Du diesen Aufforderungen nachkommen. Die Frage ist aber, wie Du das tun sollst bzw. überhaupt kannst. Beides zusammen ist nämlich kompliziert, wenn nicht gar unmöglich.

Eine Möglichkeit ist, ihm einen „no-track“-Cookie zu setzen, mit dem Du ihn als „nicht tracken Besucher“ wiedererkennen kannst. Wenn dieser Cookie keinen Rückschluss auf ihn als Person zulässt, beinhaltet der Cookie pseudonyme Daten, sodass das Setzen eines solchen Cookies ein zulässiges Verhalten sein kann, selbst wenn der Betroffene Dich aufgefordert hat, alle seine Daten zu löschen. Das Problem ist aber, dass der Betroffene diesen Cookie löschen kann, ohne dass Du etwas davon mitbekommst. Wenn er danach wieder auf Deine Website kommt und Du ihn auch pseudonym nicht wiedererkennen kannst, trackst Du ihn automatisch wieder, was genau das Gegenteil von dem ist, wozu er Dich aufgefordert hat. Dummerweise bist Du in einer schlechten Beweislage, wenn ein für Dich (wieder) völlig unbekannter Betroffener abmahnt oder verklagt und beweisen kann, dass er Dich zur Unterlassung des Trackings aufgefordert hat. Dass Dir hier auch nur der Beweis gelingt, dass er den von Dir achtsam gesetzten Cookie selbst gelöscht hat, ist wohl sehr zweifelhaft.

Das Problem entsteht vermutlich vor allem deshalb, weil der Betroffene in diesen Fällen nicht versteht, dass er zwei gegensätzliche Dinge fordert. Vorrangiges Ziel muss es sein, Rechtsstreits und vor allem Bußgelder zu vermeiden. Bußgelder werden vor allem dann verhängt, wenn Unternehmen sich vorsätzlich nicht an geltendes Recht halten. Hier können jedoch Rechts- und Beweislage weit auseinanderklaffen. Wie auch immer: Du als Online-Marketing-Unternehmen musst Dir ein möglichst risikoarmes Vorgehen überlegen.

Handlungsempfehlung in diesem Fall

Wenn der Betroffene die Löschung „all seiner Daten“ und die Unterlassung zukünftigen Trackings fordert, ist der vernünftigste Weg der folgende:

  • Weise den Betroffenen darauf hin, dass beide Aufforderungen (also Löschen aller Daten und nicht mehr getrackt zu werden) nicht verlässlich zusammen erfüllbar sind, weil Du ihn nach dem Löschen all seiner Daten bei Dir auch nicht mehr verlässlich als nicht-mehr-tracken-Besucher identifizieren kannst.
  • Informiere ihn, dass Du ihm ein no-track-Cookie im Browser setzt, mit dem er zukünftig auf der betreffenden Website bei Verwendung dieses Browsers nicht mehr „getrackt“ werden wird. Am besten machst Du dies mit einem Link zur Stelle Deiner Datenschutzerklärung, an der Du das Tracking erläuterst. Weise außerdem darauf hin, dass er, wenn er nicht getrackt werden möchte, weiterhin diesen Browser nutzen und den besagten Cookie nicht löschen soll, da er anderenfalls erneut getrackt wird.
  • Nach diesen Hinweisen fragst Du ihn, ob er unter diesen Umständen wirklich alle seine Daten gelöscht haben möchte oder doch lieber die für seine verlässliche Erkennung durch Dich nötigen Daten gespeichert behalten möchte. Wenn er sich für Letzteres entscheidet, behältst Du die Daten, mit denen Du ihn auch dann wiedererkennen kannst, wenn er mit einem anderen Browser und/oder Ihre Website ohne den no-track-Cookie besucht.

Mit dieser Variante verbleibt ein gewisses Restrisiko, nämlich dass Du im Ernstfall möglicherweise Schwierigkeiten haben kannst zu beweisen, dass Du einer bestimmten Person gegenüber die hier aufgeführten Hinweise gegeben hast. Da Du keine Daten mehr über den Betroffenen hast, kannst Du logischerweise auch nicht mehr personenbezogene Hinweise an diese Person nachweisen. Dennoch kannst Du den hier beschriebenen Prozess über Zeugenaussagen z. B. von Mitarbeitern und Beschreibung des Prozesses belegen. Jedenfalls ist ein Bußgeld einer Datenschutzbehörde bei diesem Vorgehen sehr unwahrscheinlich, ist der Prozess doch der vernünftigste und transparenteste, den Du (und jedes Unternehmen in Deiner Situation) beschreiten kannst. Ein Grund, ein Löschungsersuchen eines Betroffenen abzulehnen, ist wie gesagt eine Aufbewahrungspflicht, aber selbst bei Raum für Argumentation ist das nicht in jedem Fall ein verlässlicher Grund, die Daten zu behalten.

Was Du sonst noch alles beachten solltest, um DSGVO-konformes E-Mail-Marketing zu betreiben, zeigen Dir die nächsten Kapitel.

Rechtliche Begriffe im Zusammenhang mit E-Mail-Marketing

Personenbezogene Daten

Was sind eigentlich personenbezogene Daten? Laut der EU sind diese definiert als „[…] Informationen, die sich auf eine […] Person beziehen, […] die mittels Zuordnung zu einer Kennung wie einem Namen […] identifiziert werden kann“.

Beispiele für personenbezogene Daten sind Name, Adresse, Erreichbarkeitsdaten wie Telefon und E-Mail-Adresse, aber auch Personalausweisnummer, ein Foto, Geschlecht, Größe oder Haarfarbe. Darüber hinaus gibt es besonders sensible personenbezogene Daten wie Herkunft, politische Meinung, sexuelle Orientierung oder religiöse Überzeugungen sowie Gesundheitszustand.

Die DSGVO sieht vor, dass personenbezogene Daten nur noch verarbeitet werden dürfen, wenn es für eine Vertragserfüllung zwingend notwendig ist. Sprich: Wird online eine Bestellung getätigt, ist es für die Vertragserfüllung notwendig, dass die Adresse des Paketempfängers verarbeitet wird, damit die Sendung zugestellt werden kann. Die Vorausetzungen sind aber nur erfüllt, wenn es sich um die Abwicklung eines Vertrags handelt. Wenn die Kontaktdaten zusätzlich für werbliche Zwecke verarbeitet werden sollen, ist dafür eine gesonderte Einwilligung notwendig.

Datenschutzbeauftragter

Zu den Aufgaben des Datenschutzbeauftragten gehört die Beratung von Unternehmen in allen Fragen rund um den Datenschutz. Gleichzeitig ist er dafür zuständig, zu überwachen, ob Datenschutzrichtlinien im Unternehmen eingehalten werden. Deshalb ist er als erste Anlaufstelle für die Aufsichtsbehörde definiert.

In vielen deutschen Unternehmen gibt es bereits einen Datenschutzbeauftragten. Mit der Anwendung der DSGVO gibt es dann auch keinen Weg mehr Drumherum: Erstmals ist die Bestellung eines Datenschutzbeauftragten dann europaweit verbindlich und verpflichtend. Da dies bisher ähnlich im Bundesdatenschutzgesetz geregelt war, haben Unternehmen mit Sitz in Deutschland jedoch keine großen Änderungen zu befürchten. Wenn im Unternehmen noch keiner bestellt ist, ist es angesichts der neuen Richtlinie ratsam, sich über die Notwendigkeit eines Datenschutzbeauftragten zu informieren.

Auftragsdatenverarbeitung (ADV)

Unternehmen sollten eine Auftragsdatenverarbeitung (ADV) mit Dienstleistern abschließen, wenn diese in ihrem Auftrag personenbezogene Daten verarbeiten. Die ADV soll nach den Vorgaben des Datenschutzes gewährleisten, dass der Dienstleister die anvertrauten Daten nur zu dem Zweck verarbeiten, für die der Auftraggeber die Daten erhoben hat. Ein Beispiel sind Gehaltsabrechnungsbüros, die Namen, Gehälter, Kontaktdaten oder personenbezogene Dokumente erhalten, um Gehaltsabrechnungen zu erstellen.

DSGVO-Einwilligung (Double-Opt-in)

Weil E-Mails mit werblichem Inhalt nicht zwingend für eine Vertragserfüllung notwendig sind, nahm die DSGVO insbesondere Einfluss auf das E-Mail-Marketing. Die Richtlinie sieht vor, dass Verbrauchern nur dann Werbung gesendet werden darf, wenn sie dafür eine explizite Einwilligung gegeben haben. Dafür ist das Double-Opt-in-Verfahren (DOI) empfehlenswert, weil der Empfänger den Erhalt von E-Mails aktiv bestätigt und damit seine Zustimmung gibt.

Um rechtlich auf der sicheren Seite zu sein, muss zukünftig neben dem DOI für jede einzelne Nutzung der personenbezogenen Daten gesondert eine Einwilligungserklärung eingeholt werden. Wenn personenbezogene Daten also für andere werbliche Zwecke verarbeitet werden, für die bisher keine Einwilligung vorliegt, empfiehlt es sich für jeden einzelnen Zweck eine Zustimmung des Empfängers einzuholen.

Pseudonymisierung

Der Datenschutz erlaubt nach der DSGVO nur dann Rückschlüsse auf das Öffnungs- und Klickverhalten von Newsletter-Empfängern (also den Personen), wenn sie dem personenbezogenen Tracking und der Verarbeitung ihrer Daten aktiv zugestimmt haben. Gibt eine Person also keine Einwilligung, darf aus dem Reporting nicht hervorgehen, dass diese Person auf einen bestimmten Link im Mailing geklickt hat. Die Pseudonymisierung von Daten kann deshalb ein guter Mittelweg sein, um weiterhin Rückschlüsse zu ziehen und Kennzahlen auszuwerten.

Pseudonymisierung funktioniert, indem jedem Empfänger eine ID (Pseudonym) zugeordnet wird, die getrennt von den personenbezogenen Daten, wie zum Beispiel Name und E-Mail-Adresse, gespeichert wird. Das Ergebnis: Im Reporting ist trotzdem abzulesen, wie viele Personen auf einen bestimmten Link geklickt haben, es ist jedoch nicht mehr nachvollziehbar, um welche Einzelperson es sich handelt. Gleichzeitig können keine Rückschlüsse mehr auf das Nutzungsverhalten der einzelnen Person gezogen werden.

Recht auf Vergessenwerden

Hinter dem Recht auf Vergessenwerden verbirgt sich die Löschpflicht, die der europäische Datenschutz nach der DSGVO für Unternehmen vorsieht. Diese beschreibt, dass personenbezogene Daten unverzüglich zu löschen sind, wenn die betroffene Person dies fordert. Damit Unternehmen schnell auf eine Löschanfrage reagieren können, ist es ratsam zu dokumentieren, welche personenbezogene Daten gespeichert und verarbeitet werden, woher diese stammen und an wen die Daten weitergegeben wurden.

Rechtlicher Hinweis

Die Inxmail GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der in dieser Unterlage bereitgestellten Informationen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen und Fragen konsultiere bitte unbedingt einen Rechtsanwalt.

Inxmail Newsletter

Du möchtest spannende Insights und wertvolle Tipps rund um E-Mail-Marketing? Dann melde Dich für unseren Newsletter an!

Jetzt anmelden

Inxmail Blog

Im Inxmail Blog erfährst Du Wissenswertes und Aktuelles aus der Welt des E-Mail-Marketings.

Zum Blog

Weitere Inhalte zu diesem Thema