Der Einfluss der DSGVO auf das E-Mail-Marketing, den SMS- und Faxversand
Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) wirksam. Für Unternehmen bedeutet dies, dass beim Umgang mit personenbezogenen Daten die Anforderungen dieser Verordnung zu beachten sind – auch und gerade bei werblichen Aktivitäten. Welche Auswirkungen die DSGVO auf das E-Mail-Marketing hat, wird im Folgenden erläutert.
Beim E-Mail-Marketing steht die Kontaktaufnahme zu (potenziellen) Kunden im Mittelpunkt. Da dies ohne die Verarbeitung von personenbezogenen Daten nicht möglich ist, spielen datenschutzrechtliche Vorgaben hierbei eine wichtige Rolle. Die DSGVO regelt den Umgang mit personenbezogenen Daten – Was ist erlaubt? Was geht gar nicht? Wer dies nicht berücksichtigt, riskiert Sanktionen in Form von Geldbußen.
Checkliste – E-Mail-Marketing & DSGVO
Die nachfolgenden Punkte sollten Sie mit Blick auf die Datenschutzgrundverordnung beachten, wenn Ihr Unternehmen mit E-Mail-Marketing-Aktionen auf Kunden zugeht. Zusätzlich bieten wir Ihnen auf dieser Seite eine sehr praxisnahe Liste mit Tools, Tipps und Literatur.
1. Die Einwilligung zum E-Mail-Marketing ist das „A und O“
Vor dem Erheben von personenbezogenen Informationen, zum Beispiel zum Versenden von Werbemails, muss die Einwilligung der Empfänger eingeholt werden. Dies kann etwa mithilfe von Kontrollkästchen beim Kontaktformular auf der Website geschehen. Sollen die Daten zu verschiedenen Zwecken gespeichert werden, muss für jede Absicht ein gesondertes Kästchen zur Verfügung gestellt werden. Den Anforderungen der DSGVO ist im Grunde nur dann Genüge getan, wenn diese Einwilligung über die Double-Opt-In-Methode fürs E-Mail-Marketing eingeholt wurde. Das bedeutet, dass nach dem Anklicken des Kästchens für die Zusendung eines Newsletters zunächst eine E-Mail mit einem Bestätigungslink an die Empfänger-Mailadresse versendet wird. Erst wenn dieser Bestätigungslink vom Empfänger angeklickt wurde, werden seine/ihre Daten in den E-Mail-Verteiler aufgenommen.
Doch auch wenn der Erhalt von Werbung per E-Mail vom Betroffenen nicht gewünscht ist, ist die Zustellung werblicher Inhalte auf dem Postweg (ohne die Einwilligungshandlung) gestattet, wenn der Verbraucher „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“ (Erwägungsgrund 47 DSGVO). Die Absehbarkeit liegt zum Beispiel dann vor, wenn die Kunden-Adresse in einem öffentlichen Telefonbuch eingetragen oder in Form eines Impressums auf einer eigenen Website angegeben ist.
Mehr über Einwlligung mittels Double-Opt-In fürs E-Mail-Marketing hier bei uns im Blog!
Dieser Blogbeitrag im Podcast: Die DSGVO und das Mailing-Marketing
Diesen Blogbeitrag haben wir auch als Podcast-Episode veröffentlicht. Bei Apple Podcasts, Podigee, Deezer und auf Spotify sind wir mit unserem Podcast „Happy Optimizing“ aktiv. Möchten Sie sich den Beitrag lieber anhören, dann nutzen Sie den folgenden Play-Button oder abonnieren Sie uns auf der Podcast-Plattform Ihrer Wahl 😉
2. Das Widerrufsrecht im E-Mail-Marketing
Im Zuge der Einwilligungserklärung des Nutzers zum E-Mail-Marketing muss auch gleichzeitig immer ein Verweis auf das Widerrufsrecht erfolgen, denn eine bereits erteilte Genehmigung für die Verarbeitung der personenbezogenen Daten können Betroffene jederzeit widerrufen. Des Weiteren müssen Werbe-E-Mails stets einen Link zur Abmeldung vom Newsletter enthalten, sodass lediglich ein Klick den Widerruf der Nutzung von persönlichen Daten ermöglicht.
Mehr über das Widerrufsrecht zum Newsletter-Abo hier bei uns im Blog! Haben Sie Fragen rund um strategisches E-Mail-Marketing für Ihr Unternehmen, dann sprechen Sie bitte unser E-Mail-Marketing Experten-Team an. Harry Schäfer, Dennis Hayungs und Tino Kempe helfen Ihnen gerne weiter!
3. E-Mail-Marketing: Dokumentation in Verfahrensverzeichnis ist Pflicht
Nach der DSGVO müssen alle Tätigkeiten, die im Zusammenhang mit dem Datenschutz erfolgen – und somit auch jene, die innerhalb des E-Mail-Marketings vorgenommen werden, in einem entsprechenden Verfahrensverzeichnis dokumentiert werden. Dazu gehört:
- die Auflistung der Daten selbst,
- der Zweck der Datenverarbeitung,
- die Fristen zur Löschung,
- Maßnahmen, die die Datensicherheit garantieren,
- die Nennung des Empfängers, dem die Daten übermittelt werden, sowie
- spezifische Kategorien, in welche die betroffenen Personen und deren Informationen eingeteilt werden.
Bisher war der Datenschutzbeauftragte in einem Unternehmen für eine entsprechende Dokumentation zuständig. Künftig soll diese Aufgabe jedoch die verantwortliche Stelle selbst, sprich die Unternehmensleitung, übernehmen. Im Falle von Datenpannen muss die Unternehmensleitung auch haften. Mehr übers Verfahrensverzeichnis bei active.Mind.AG!
4. Die Datenübertragbarkeit ermöglichen
In der DSGVO ist das Recht auf Datenübertragbarkeit festgeschrieben. Das heißt, dass ein Kunde vom Unternehmen verlangen kann, seine von ihm bereitgestellten und gespeicherten Daten in gängiger maschinenlesbarer und strukturierter Form zu erhalten beziehungsweise diese sogar direkt an einen anderen Betrieb zu übermitteln. Dadurch wird Betroffenen unter anderem ein Anbieterwechsel erleichtert. Jedes Unternehmen sollte daher von Beginn der Erhebung an darauf vorbereitet sein, auf Anfrage einen möglichen Datenexport durchzuführen.
Dies gilt selbstverständlich auch für Datensätze, die durch eine Newsletter-Anmeldung entstehen. Wie sich dies praktikabel umsetzen lässt, können Ihnen unsere E-Mail-Marketing Experten Harry Schäfer, Dennis Hayungs und Tino Kempe beantworten. Mehr über das Recht auf Datenübertragbarkeit auf Datenschutz-Notizen.de!
5. Einwilligung bei pseudonymisierten Nutzerprofilen für das E-Mail-Marketing
Mit Einführung der DSGVO wurde schließlich auch die Pseudonymisierung von Nutzerprofilen als Datenverarbeitung eingestuft, sodass hierbei künftig ebenso eine Einwilligung vonseiten der betroffenen E-Mail-Empfänger benötigt wird. Innerhalb des E-Mail-Marketings ist dies vor allem dann relevant, wenn eine Dokumentation einzelner Interaktionen der Empfänger erfolgt und ein daraus resultierendes Nutzerprofil erstellt wird – Stichwort: Segmentierung im E-Mail-Marketing. Wie bereits in Punkt 1 deutlich wurde, sind Unternehmen daher auf der sicheren Seite, wenn sie für jeden Zweck der Datenerhebung stets eine gesonderte Einwilligung mit entsprechendem Widerrufsrecht einholen.
Mehr über die Pseudonymisierung lt. EU-DSGVO Artikel 4 auf Datenschutz-Grundverordnung.eu!
6. Wertevernichtung im E-Mail-Marketing: Müssen bestehende Empfänger erneut um Zustimmung gebeten werden?
Mit Wirksamwerdung der DSGVO am 25. Mai 2018 fragten sich viele Unternehmen, die bereits seit Jahren E-Mail-Newsletter an ihre Kunden versendeten, ob sie alle Newsletter-Abonnenten erneut um eine Zustimmung „nach DSGVO-Regeln“ bitten müssen. Wer bereits in Übereinstimmung mit „altem Recht“ (Bundesdatenschutzgesetz [BDSG], Telemediengesetz [TMG], Gesetz gegen den unlauteren Wettbewerb [UWG]) datenschutz-rechtlich saubere Opt-In-Einwilligungen eingeholt hatte, der darf auf deren Grundlage auch nach Wirksamwerdung der DSGVO ohne erneutes Befragen weiterhin E-Mail-Newsletter an diese Listen versenden. Die Rechtsgrundlage hierfür ist der Erwägungsgrund 171 zur DSGVO.
Nochmals: Dies gilt nur, solange ein Unternehmen die Einwilligungen auf Grundlage des früher geltenden BDSG, UWG und TMG wirksam eingeholt hat (Stichwort: Double Opt-In) und diese Einwilligungen auch den Bedingungen der DSGVO entsprechen. Letzteres trifft überwiegend auf deutsche Unternehmen zu, da die Einwilligungserfordernisse nach altem und neuem Recht in Deutschland starke Überschneidungen aufweisen. So ist in diesen Fällen das Einholen erneuter Einwilligungen nicht nötig! Wer sich dies trotzdem selber auferlegt oder von übervorsichtigen Datenschutzbeauftragten auferlegen lässt, verursacht ohne Not eine Wertevernichtung im E-Mail-Marketing seines Unternehmens, die von der DSGVO gar nicht verlangt wird!
7. B2B vs. B2C – Unterschiede beim Thema DSGVO & E-Mail-Marketing?
Immer wieder begegnet einem die Ansicht, dass alle DSGVO-Regelungen vor allem den Umgang mit personenbezogenen Daten von Endverbrauchern regeln – also das Ganze nur für B2C-Geschäftsmodelle zuträfe. Das ist falsch! Die DSGVO macht beim Umgang mit personenbezogenen Daten keinerlei Unterschied zwischen deren Nutzung in B2C- oder B2B-Umfeldern. Allein der Umgang mit diesen Daten verpflichtet die entsprechenden Unternehmen zur Einhaltung der Regeln, die durch die Datenschutzgrundverordnung vorgegeben werden. Welche weiteren datenschutzrechtlichen Aspekte beim Marketing beachtet werden sollten, hat der Berufsverband der Rechtsjournalisten e.V. für Sie zusammengefasst. Dieser Artikel entstand auf Grundlage eines Beitrags von Laura Gosemann. Sie hat Germanistik und Linguistik an der Universität Potsdam studiert und ist als freie Journalistin für verschiedene Verbände tätig. In ihren Artikeln behandelt sie vor allem datenschutzrechtliche Themen.
Bei Fragen rund ums E-Mail-Marketing, sprechen Sie bitte unser Experten-Team an!
Was bedeutet die DSGVO für den Faxversand?
Alle in diesem Beitrag „DSGVO-konformes E-Mail-Marketing“ beschriebenen Anforderungen gelten genau so ebenfalls für den im Rahmen von Werbemaßnahmen durchgeführten Massenfaxversand. Für die DSGVO ist es irrelevant, welche Übertragungsart Sie für Ihre Werbebotschaft wählen. Von Bedeutung ist lediglich, ob Sie personenbezogene Daten für werbliche Maßnahmen heranziehen. Im Falle des Faxmarketing sind dies die Faxnummern und dazugehörige Personalisierungsdaten. Trifft dies zu, dann werden personenbezogene Daten in Ihrem Unternehmen verarbeitet und die damit einhergehenden Prozesse sind DSGVO-relevant. Bedienen Sie sich dazu eines externen Dienstleisters, so muss mit ihm ein Auftragsverarbeiter-Vertrag geschlossen werden.
Dieser Blogbeitrag im Podcast: Die DSGVO und das Mailing-Marketing
Diesen Blogbeitrag haben wir auch als Podcast-Episode veröffentlicht. Bei Apple Podcasts, Podigee, Deezer und auf Spotify sind wir mit unserem Podcast „Happy Optimizing“ aktiv. Möchten Sie sich den Beitrag lieber anhören, dann nutzen Sie den folgenden Play-Button oder abonnieren Sie uns auf der Podcast-Plattform Ihrer Wahl 😉
Weiterführende Online-Literatur + Tools zur DSGVO
Für alle Website-Betreiber:
- Alles zum Thema DSGVO & Firmen-Website von DomainFactory
- 120+ WordPress-PlugIns im DSGVO-Check von Finn Hillebrandt
- Website-Cookies und die DSGVO – gefunden bei eRecht24
- DSGVO-konformes Cookie-Consent-Tool für Websites von Cookiebot (kostenfreie Basisversion)
- Clevere DSGVO-Lösung zum Cookie-Consent für WordPress-Websites von Borlabs (kostenpflichtig)
- Was man rund um DSGVO & Webanalyse wissen muss (BASIC thinking)
- Die DSGVO und Google Ads & Google Analytics (Luna Park)
- Der Umgang mit Google Analytics Rohdaten nach DSGVO (e-dialog)
- Dynamische Datenschutzerklärung für Ihre Website (kostenpflichtig)
- DSGVO-konformer Konfigurator für Website-Datenschutzerklärung (kostenfrei)
Für Geschäftsführer & Firmen-Inhaber:
- DSGVO-Hilfen für kleine Unternehmen und Vereine vom Bayrischen Landesamt für Datenschutzaufsicht (BayLDA)
inklusive PDF-Checklisten und Musterverzeichnisse für- Vereine
- Handwerksbetriebe
- Steuerberater
- Arztpraxen
- Hausverwaltungen
- Onlineshops
- Beherbergungsbetriebe (Hotels, Pensionen)
- Einzelhändler
- Schritt-für-Schritt Generator für die DSGVO-Dokumentations-Erstellung (kostenpflichtige Software)
- Praxishilfen zur DSGVO von der Gesellschaft für Datenschutz & Datensicherheit
- Muster für Verzeichnis von Verarbeitungstätigkeiten nach DSGVO für Verantwortliche (activeMind.AG)
- Was beachten bei der Datenübertragung ins Ausland? TrustedShops weiß Antwort!
- Liste der ADV-Verträge von Hostern, Newsletter-Tools & Online-Diensten von Finn Hillebrandt
Buchtipps für Jedermann:
Hilfen für Agenturen:
- Infopaket DSGVO & Agenturen von Mittwald (kostenpflichtig)
- Praxishinweise für Auftragsverarbeiter von der GDD (PDF, kostenfrei)
- Muster für Verzeichnis von Verarbeitungstätigkeiten nach DSGVO für Auftragsverarbeiter (activeMind.AG)
Test zum eigenen DSGVO-Wissen & DSGVO-Fortschritt im Unternehmen:
- Test zur Selbsteinschätzung auf dem Weg zur DSGVO-Umsetzung vom BayLDA
Dieser E-Mail-Marketing-Blog weiß noch mehr
Unsere Direktmarketing-Experten bieten Ihnen in diesem Blog eine Menge Fachwissen rund um das E-Mail-Marketing und Faxmarketing von Unternehmen. Gerne weisen wir Sie auch auf diese drei Fachbeiträge hin:
Sie haben Fragen rund ums E-Mail-Marketing für Ihr Unternehmen? Dann rufen Sie uns bitte an 030 / 4990 7084 oder Sie nutzen unser Kontaktformular. Harry Schäfer und sein Team melden sich umgehend bei Ihnen.
Faxversand und DSGVO
Viel ist über E-Mail-Versand und die DSGVO, über die Verarbeitung personenbezogener Daten im E-Mail-Marketing und über Hinweise zu Widerrufsrechten geschrieben worden. Der Faxversand war in dieser Diskussion nur spärlich vertreten. Dieser Beitrag beschäftigt sich mit der DSGVO aus Sicht des Fax-Marketing und des Faxversands.
Ist die DSGVO bei Faxversand relevant?
Die Verarbeitung von personenbezogenen Daten ist im personalisierten Faxversand relevant und damit die DSGVO zu beachten. Natürlich sind auch die weiteren Bestimmungen hinsichtlich der Erhebung von personenbezogenen Daten, der Einwilligung und Widerrufsrechte zu beachten.
Wie verhält es sich, wenn keine personenbezogenen Daten verarbeitet werden?
Würde man keine personenbezogenen Daten in der Personalisierung von Faxvorlagen verwenden (differenzierte Personalisierung), ist die Frage nach der Relevanz der DSGVO für die faxbezogene Verarbeitung der Daten einer ernsten Diskussion würdig. Dies wäre dann von Bedeutung, wenn keine Einwilligung zur Verarbeitung personenbezogener Daten vorläge.
Was sind personenbezogenen Daten?
Nach Art. 4, Abs. 1. der DSGVO wird wie folgt definiert: Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zusammengefasst zählen zu „personenbezogenen Daten“ alle Daten, die einen Rückschluss auf die Person und deren Identifikation zulassen.
Fällt die Versendung von Faxvorlagen mit differenzierter Personalisierung unter die DSGVO?
Die Faxnummer ist im Business-Alltag in aller Regel keiner Person zugewiesen und damit ist die Person über die Faxnummer nicht identifizierbar. Ist jedoch, über weitere zum Datensatz gehörigen Daten, die Person identifizierbar, gilt auch die Faxnummer als personenbezogenes Datum. Eine E-Mail-Adresse gehört in jedem Falle zu den personenbezogenen Daten. In der Regel hat diese den Namen der Person im Alias der E-Mail. Selbst bei allgemeinen E-Mail-Adressen, wie „Vertrieb“ oder „info“ ist Vorsicht geboten, da diese oft einer Person im Datensatz der Datenbank zugewiesen wird. Differenzierte Personalisierung auf einer Faxvorlage bedeutet, dass Sie keine personenbezogenen Daten im Sinne der DSGVO dort verwenden. Also beispielsweise Vorname und Nachname nicht in Anrede, Adressfeld oder sonst wo auf Ihrer Fax-Vorlage in Erscheinung treten. Andere Individualisierungen, wie unterschiedliche Angaben zu Preisen, oder Versionen von bei Ihren Adressaten verwendeten, unterschiedlichen Produkten, können durchaus erfolgen. Jedoch muss immer über Identifikation von Personen nachgedacht werden. Ist diese über die im Unternehmen bestehenden, verknüpften Informationen möglich oder ausgeschlossen? Bei einer differenzierten Personalisierung, also keinerlei Verwendung personenbezogener Daten, würde die Versendung von Faxvorlagen nicht gegen den Datenschutz, gemäß DSGVO verstoßen. Wohl gemerkt, dies bezieht sich nur auf die Verarbeitung von personenbezogenen Daten bei der Faxversendung. Greift die DSGVO nicht, so sind die Bußgeldforderungen nicht von Relevanz.
Für DSGVO-konforme Faxvorlagen ist das Recht auf Widerruf der Einwilligung (Art. 7, Abs. 3 und Art. 21), respektive Widerspruch gegen die Verarbeitung seiner Daten zu beachten. Es muss also ein Hinweis auf die Faxvorlage, die dem Betroffenen eine sichere Möglichkeit des Widerrufs zu jeder Zeit eröffnet.
Fällt damit bei Faxversand jegliche Verantwortung gegenüber der DSGVO weg?
Nein! Die DSGVO bezieht sich eben nicht nur auf die Verarbeitung von personenbezogenen Daten. Die Gültigkeit der DSGVO umfasst auch die Erhebung, Einwilligung, Profilierung, den Widerruf und die Löschung von personenbezogenen Daten. Hier gibt Art. 4 und auch der Art. 1 Abs. 2 und 3 der DSGVO weitere Auskünfte. Werden keine personenbezogene Daten verarbeitet, ist die Relevanz der angeführten Themen zu diskutieren.
In jedem Fall ist Art. 17 Abs. 1 zu berücksichtigen. Werden Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, sind sie unverzüglich zu löschen. Lässt man also die persönliche Anrede und ähnliches entfallen, ist zu überprüfen, ob die Daten zwingend für andere Unternehmensprozesse weiterhin benötigt werden. Wenn nicht, gilt das soeben Gesagte.
Gelten für den Faxversand auch andere gesetzliche Vorschriften?
Ja! Wie dies auch beim E-Mail-Marketing der Fall ist, muss beispielsweise auf das Gesetz gegen den unlauteren Wettbewerb (UWG) ebenso geachtet werden, wie auf die DSGVO hinsichtlich des Datenschutzes.
BEACHTEN SIE BITTE:
Alle in diesem Artikel gemachten Aussagen sind keine rechtsverbindlichen Aussagen. Im Bedarfsfall ist eine rechtsverbindliche Auskunft bei einem Vertreter des Berufsstandes der Rechtsanwälte einzuholen.