Was die DSGVO für Ihre E-Mail Marketing Maßnahmen bedeutet

Gastartikel von Darine Fayed, Head of Legal und Datenschutzbeauftragte bei Mailjet. 

Die Datenschutzgrundverordnung (DSGVO) regelt und vereinheitlicht EU-weit den Umgang mit personenbezogenen Daten. Bislang waren die Regelungen in verschiedenen Ländern sehr unterschiedlich, das einheitliche Datenschutzrecht dürfte die Situation für Unternehmen vereinfachen, die in verschiedenen EU-Ländern tätig sind.

Die DSGVO wirft jedoch auch einige Fragen auf und bedarf weiterer Klärung in Fragen von nationalen Auslegungsspielräumen. Die Bußgelder für Verstöße gegen die Verordnung sind erheblich, darum sollten Sie rechtzeitig informiert sein und Vorkehrungen treffen, um vorbereitet zu sein.

Die folgenden Hinweise verstehen sich als Information nach bestem Kenntnisstand zum Zeitpunkt der Erstellung und ersetzen keine rechtsverbindliche Auskunft.

Ab wann und für wen gilt die Datenschutz-Grundverordnung?

Der Text der DSGVO wurden im Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung tritt am 20.Tag nach ihrer Veröffentlichung in Kraft, gilt jedoch verbindlich und unmittelbar erst ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten.

In Deutschland löst sie das Bundesdatenschutzgesetz (BDSG) ab, denn europäisches Recht hat Anwendungsvorrecht vor kollidierender nationaler Gesetzgebung. Viele Regelungen bleiben im Vergleich gleich, einige wurden jedoch verschärft. Besonders die Informationspflicht ist hier zu nennen, aber auch die bereits erwähnten deutlich höheren Bußgelder (bis zu 20 Millionen Euro oder vier Prozent des Jahresgewinnes, je nachdem welcher Betrag höher ist), mit denen Verstöße geahndet werden.

Die Datenschutz-Grundverordnung gilt für Personen und Körperschaften jeglicher Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, wo der Verarbeiter sich befindet (innerhalb oder außerhalb der EU). Diese Regelungen gelten ebenso für Datenrechner und Datenverarbeiter, einschließlich Dritter wie Cloud-Provider.

 

Ebenfalls ist es unerheblich, welche Art Dienstleistung oder Produkte Unternehmen oder Organisationen anbieten. Entscheidend ist allein, ob hier personenbezogene Daten von EU-Bürgerinnen und Bürgern erhoben und verarbeitet werden.

E-Mail Liste datenschutzkonform aufbauen

Werbe-E-Mails dürfen grundsätzlich nur nach vorheriger Zustimmung durch den Empfänger versendet werden, unabhängig davon, ob es sich um Verbraucher oder Unternehmen handelt. Die DSGVO führt außerdem in diesem Zusammenhang den Begriff der Interessensabwägung ein: Überwiegen die Interessen des Betroffenen oder des Werbenden? Die Direktwerbung kann hier als berechtigtes Interesse der Datenverarbeitung gelten, die genaue Auslegung in Anwendungsbeispielen wird jedoch die Praxis zeigen.

Wenn Sie E-Mail Adressen und/oder andere personenbezogene Daten erheben, muss die Werbeabsicht erkennbar sein. Sie müssen klar und verständlich darüber informieren, womit Empfänger zu rechnen haben (z.B. Versendung eines regelmäßigen Newsletters mit Angeboten aus dem Shop) und außerdem auf das Widerrufsrecht hinweisen. Die Erweiterung von Anmeldeformularen und des Anmeldeprozesses mag auf Kosten der Conversionrate gehen, für die datenschutzkonforme Adressgewinnung ist sie jedoch besonders angesichts der drohenden Bußgelder in Millionenhöhe durch die DSGVO unabdingbar.

Die Einwilligung muss aktiv und freiwillig erfolgen. Vorausgewählte Checkboxen, also Boxen, bei dem der User den Haken aktiv entfernen muss, sind nicht zulässig, ebenso wenig die Knüpfung an andere Leistungen.

Kunden, die einen Kauf tätigen oder sich für ein Konto registrieren, dürfen nicht dazu verpflichtet werden, sich gleichzeitig in eine E-Mail Liste einzutragen. Außerdem sind Sie dazu verpflichtet, die Einwilligung nachweisen zu können.

Das Double Opt-In Verfahren, das schon jetzt vielfach angewendet wird, ist hierfür ein geeignetes rechtskonformes Mittel. Nicht bislang eindeutig geklärt sind Fälle wie beispielsweise die Gewinnspielteilnahme.

Betroffenen dürfen keine Nachteile entstehen, wenn sie der Verarbeitung ihrer Daten widersprechen. Der Widerruf muss jederzeit und ohne Nachteile möglich sein und bedeutet, dass weiterer Versand von Werbe-E-Mails wie auch die Auswertung der Daten unzulässig sind.

Die Bestimmungen gelten übrigens nicht nur für die ab dem 25. Mai 2018 gesammelten Daten, sondern entscheiden auch darüber, ob Sie Ihre bis dahin aufgebaute Liste weiterverwenden dürfen oder ob nachgebessert werden muss.

E-Mail Kampagnen versenden unter der DSGVO

Um E-Mails rechtssicher zu versenden, benötigen Sie also eine eindeutige Einwilligung in die Verwendung der Empfängerdaten zu diesem Zweck. Der Widerruf dieser Einwilligung muss jederzeit möglich sein, entsprechende Links zum Abmelden aus einer Liste sind im Allgemeinen ohnehin schon Bestandteil von E-Mails, die über professionelle Anbieter versendet werden.

Interessant ist die Zweckbindung der erhobenen Daten, nach der diese nur für den vorher eindeutig definierten und den Betroffenen bekannt gegebenen Zweck verwendet werden dürfen. Zusätzlich benennt das DSGVO die Voraussetzungen, unter denen eine „Zweckänderung“ möglich ist. So muss diese den Betroffenen bekannt gegeben werden und für diese erwartbar sein.

Bei der Konzeption neuer E-Mail Kampagnen mit vollkommen anderem Zweck/Inhalt als bisher (zum Beispiel personalisierte Angebote oder Anfrage nach einer Bewertung an Stelle der bisherigen reinen Informationsnewsletter), ist zu prüfen, ob eine solche Zweckänderung vorliegt.

Sofern Sie planen, Marketing E-Mails an Ihre Kunden zu versenden, können Sie diese laut § 7 Abs. 3 UWG unter erleichterten Bedingungen tun (Bei Bereichen, die nicht durch das neue DSGVO verdrängt werden, gelten weiterhin die anderen Gesetze wie UWG, TKG, SGB etc.), sofern folgende vier Voraussetzungen erfüllt sind:

  1. Die verwendete E-Mail Adresse muss im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden mitgeteilt worden sein.
  2. Die Marketing E-Mail wird dazu genutzt, um die gleich oder ähnliche Waren oder Dienstleistungen zu bewerben.
  3. Der Kunde darf der Verwendung der E-Mail Adresse zu Marketing-/Werbezwecken nicht widersprochen haben.
  4. Sie haben dem Kunden bei der Aufnahme und Speicherung seiner E-Mail Adresse klar und deutlich kommuniziert, dass er der Verwendung dieser widersprechen kann.
  5. Die letzte Bestellung liegt nicht zu weit in der Vergangenheit.

Auswertung von Daten nach der DSGVO

Im Zusammenhang mit der Datenauswertung führt die DSGVO den Begriff „Profiling“ ein, der vereinfacht jede Art der Verarbeitung personenbezogener Daten zum Zweck der Analyse und Vorhersage einbezieht. Im E-Mail Marketing betrifft dies zum Beispiel die Erstellung von Segmenten und der Datenauswertung zum Zweck personalisierter E-Mail Kampagnen. Anwendungsbereiche und genauere Definition bleiben zu klären, ebenso welche Voraussetzungen konkret für pseudonymisierte Daten (Daten werden einer ID zugeordnet) gelten.

Betroffene haben übrigens das „Recht auf Vergessen“, nach dem ihre persönlichen Daten auf Wunsch gelöscht werden, sofern es keinen berechtigten Grund dafür gibt, diese weiter zu speichern. Welche Gründe das im konkreten Fall sein könnten, ist bisher ungeklärt.

Wie Sie auf die DSGVO vorbereitet sind

Auch wenn die Datenschutzgrundverordnung erst ab dem 25. Mai 2018 gilt, sollten Sie sich dennoch schon zeitig darauf einstellen:

  • Bringen Sie Ihre Datenschutzerklärung auf den aktuellen Stand und achten Sie darauf, dass der Anmeldeprozess zu Ihrem Newsletter oder anderen E-Mail Kampagnen alle Anforderungen erfüllt, zum Beispiel den Hinweis auf das Widerrufsrecht. Verwenden Sie das Double Opt In Verfahren bisher noch nicht, so ist es höchste Zeit, darauf umzusteigen.
  • Prüfen Sie, ob Sie Ihre bisher gewonnenen Daten weiterverwenden dürfen. Dies hängt davon ab, ob sie die Bestimmungen der DSGVO erfüllen. Die Voraussetzung hierfür ist auch, dass die Einwilligungen den Anforderungen des BDSG und des Gesetzes gegen unlauteren Wettbewerb genügen.
  • Informieren Sie sich bei Ihrem E-Mail Dienstleister und prüfen Sie, ob alle Verträge zur Auftragsdatenverarbeitung die neuen Anforderungen erfüllen.

Es ist außerdem ratsam, sich Rechtsbeistand zu suchen, um offene Fragen zu klären und eine rechtverbindliche Einschätzung zu erhalten.

1 Antwort
  1. XY
    XY says:

    Hallo,
    vielen Dank für den Artikel. Leider finde ich ihn aber sehr schwammig, wie die meisten Beiträge zu dem Thema. Ich vermute es hängt mit der Komplexität der ganzen Geschichte zusammen, die dann wohl doch auch viel Interpretationsspielraum lässt. Dennoch würde ich mir als juristischer Laie natürlich wünschen, dass jemand mal eine Art einfache Checkliste formuliert, aufgrund derer man nachvollziehen kann, was denn nun zu tun ist. Bisher sehe ich nämlich keine wirklichen Unterschiede zur aktuellen Situation, d.h. wer sich konform zu bisherigem/aktuellen deutschen Datenschutzrecht verhalten hat, den dürften ja keine großen Änderungen erwarten, oder? Double-Opt-In, Datenschutzerklärung, Hinweis auf Widerruf/Opt-Out waren doch bisher auch schon verlangt.

    Völlig unklar ist mir, wie zum Beispiel folgendes zu verstehen ist: „… , sind nicht zulässig, ebenso wenig die Knüpfung an andere Leistungen.“. Inwieweit betrifft das z.B. die gängige „Freebie“-Praxis? Also: um das Freebie zu erhalten muss man seine e-Mail eintragen, dann durch Double-opt-in bestätigen. Der eigentliche Download kommt dann per eMail über die Mailing-Liste, in die sich der Interessant automatisch eingetragen hat. Gehen wir ruhig davon aus, dass dieser Vorgang transparent und mit allen nötigen Aufklärungen über den Vorgang gestaltet wurde. Ist dieses Vorgehen, bei dem man ja eigentlich jemanden durch einen anderen Vorgang („Erhalte Freebie“ und nicht „Trage dich in den Newsletter ein“) in die Liste lockt denn noch zulässig oder nicht?

    Besten Dank und viele Grüße

    Antworten

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.