E-Mail-Marketing und Datenschutz
So bleiben Sie DSGVO-konform
Foto: iStock.com/TarikVision
Eine Frage ist der Dauerbrenner schlechthin: Welche Kriterien sollte ein E-Mail-Marketing-Anbieter aus datenschutzrechtlicher Sicht erfüllen? Das ist deshalb so wichtig, weil Sie (!) in erster Linie für eventuelle Datenschutzverstöße Ihres Dienstleisters haften. Und Sie sind auch für die Auswahl des Tools verantwortlich (Auswahlverschulden).
Natürlich könnte man mit diesem Thema ein halbes Buch füllen und zweifellos kommt es immer auf den Einzelfall an. Dennoch lassen sich wichtige Kriterien wie folgt zusammenfassen:
Besser ein Anbieter aus der EU
Die absolute Kurzfassung: Ein Anbieter aus den USA ist nicht im Einklang mit der DSGVO einsetzbar. Dies hat beispielsweise das Bayerische Landesamt für Datenschutzaufsicht bereits entschieden. Setzen Sie also bitte auf einen Anbieter aus der EU – egal, was die amerikanischen Anbieter Ihnen versprechen. Denn diese Versprechen können in der Praxis nicht eingehalten werden. Mit einem der größeren österreichischen Anbieter sollten Sie hier jedenfalls auf der sicheren Seite sein.
Tipp: Der europäische Anbieter darf auch keine amerikanischen Sub-Dienstleister (z. B. „Amazon Web Services“) einsetzen. Gleiches gilt für Tochterunternehmen amerikanischer Mutterkonzerne und ähnliche Konstruktionen.
Achtung bei personenbezogenen Verhaltensdaten!
Wenn Ihr Anbieter ausschließlich aggregierte (summierte) Statistiken (Öffnungsraten, Klickraten etc.) anbietet, können Sie direkt zum nächsten Punkt springen. Die allermeisten Systeme erlauben es aber, solche Verhaltensdaten auch auf Empfängerebene auszuwerten, d. h. man kann nicht nur allgemein sehen, welcher Artikel am häufigsten angeklickt wurde, sondern auch, welche Empfänger dies konkret waren. Solche personenbezogenen Verhaltensdaten bedürfen einer gesetzlichen Grundlage. In den meisten Fällen wird eine Einwilligung des Betroffenen erforderlich sein.
Es gibt Anbieter, die sich dieses Themas professionell angenommen haben.
Liegt diese Einwilligung (oder eine andere Rechtsgrundlage) nicht vor, gibt es zwei Möglichkeiten:
- Der Anbieter stellt nur aggregierte Statistiken (also ohne Personenbezug) zur Verfügung. Wichtig ist aber, dass der Anbieter tatsächlich keine personenbezogenen Daten erhebt und speichert!Es reicht also nicht aus, wenn Ihnen diese nur nicht angezeigt werden.
- Ihr Anbieter gibt Ihnen die Möglichkeit, die Verhaltensdaten einzelner Empfänger zu anonymisieren. Damit werten Sie nur die Daten aus, die Sie auch auswerten dürfen. Aus Marketingsicht ist das natürlich die mit Abstand beste Variante. Und ja, es gibt Tools, die das können.
Tipp: Für beide Fälle gilt: Die Gesamtstatistik sollte nicht verfälscht werden, egal ob die Verhaltensdaten anonymisiert werden oder nicht.
Double Opt-in ist Pflicht
Mittlerweile ist es eine Selbstverständlichkeit, daher nur der Vollständigkeit halber: Natürlich müssen Double-Opt-in-Bestätigungen im Zuge einer Anmeldung automatisch eingeholt werden können, wobei alle Bestätigungen genau protokolliert werden sollten (denn die Nachweispflicht liegt bei Ihnen)!
Speicherung der Datenschutz-Zustimmung(en)
Im Zuge einer Anmeldung sollte der Empfänger Ihrer Datenschutzerklärung zustimmen (in der Sie u. a. beschreiben, wofür Sie welche Daten verarbeiten, wie lange diese aufbewahrt werden usw.). Diese Zustimmung sollte lückenlos dokumentiert werden, da Sie im Falle einer Beschwerde die Zustimmung nachweisen müssen. Tipp: Speichern Sie nicht nur den Zeitstempel, sondern auch den vollständigen Text der Einwilligung und der Datenschutzerklärung! Denn manchmal wird sich Ihre Datenschutzerklärung ändern – und dann können Sie unter Umständen nicht mehr nachweisen, welchem Inhalt der Betroffene damals zugestimmt hat.
Beantwortung von Auskunftsbegehren
Wenn Sie ein Auskunftsbegehren eines Empfängers erhalten, müssen Sie natürlich auch alle Daten Ihres Newsletter-Systems beauskunften. Da damit Fristen verbunden sind, sollten Sie auf jeden Fall (ggf. auch vertraglich) sicherstellen, dass Sie diese Fristen einhalten können. Dies gilt insbesondere dann, wenn Sie auf die Mitwirkung des Dienstleisters angewiesen sind, um Auskunfts- und sonstige Anfragen beantworten zu können. Am besten geht das natürlich per Knopfdruck (ja, auch das können manche Tools).
Automatische Löschung
Wenn sich ein Empfänger abmeldet, entfällt der Grund für die Speicherung (es sei denn, es gibt andere Gründe für die Speicherung, z. B. für bestehende Kunden). Das bedeutet, dass die Empfängerdaten bei einer Abmeldung oft gelöscht werden müssen. Im Idealfall sollte dies automatisch geschehen. Tipp: Bei der Löschung ist unbedingt darauf zu achten, dass die Daten der Mailing-Statistik dadurch nicht verfälscht werden! Sonst könnten die Auswertungen nach und nach unbrauchbar werden.
Vertrag zur Auftragsdatenverarbeitung
Da der Dienstleister personenbezogene Daten für Sie verarbeitet, müssen Sie mit ihm einen Vertrag zur Auftragsdatenverarbeitung abschließen. Die gute Nach-richt: Die meisten Anbieter stellen Ihnen ein solches Dokument automatisch zur Verfügung.
Tipp: Darin sollten auch die TOMs (technische und organisatorische Maßnahmen), also die Maßnahmen des Anbieters zum Schutz der Daten, detailliert beschrieben sein.
Fazit: Ja, es kommt auf viele Details an! Das mag nach recht viel Aufwand klingen, doch in der Praxis ist das alles nicht so schlimm. Man muss nur den richtigen Anbieter auswählen und darauf achten, dass ihm das Thema Datenschutz ein echtes Anliegen ist und nicht nur Marketing-Bla-bla. Gott sei Dank gibt es durchaus Anbieter, die sich dieses Themas professionell angenommen haben.