DSGVO-konformes E-Mail-Marketing und Lead-Management
Die fünf wichtigsten Änderungen für DSGVO-konformes E-Mail-Marketing und Lead-Management
Sicher haben Sie schon viel zum Thema DSGVO gelesen und sicher wissen Sie auch, dass ab 25. Mai 2018 bei Nichtbeachtung mit hohen Strafen gerechnet wird.
Auch wir bei FEDERKIEL & PARTNER haben uns mittlerweile durch zahlreiche Audits, Datenschutz-Meetings und Seminare geschlagen und uns immer wieder die Frage gestellt, was ist denn nun für E-Mail-Marketing und Lead-Management wirklich wichtig?
Daher möchten wir Ihnen hier die, aus unserer Sicht, 5 wichtigsten Punkte präsentieren, die Sie bei Ihrem E-Mail-Marketing und Lead-Management beachten sollten.
Konkret geht es in diesem Artikel um 1. Rechtskonformität bei Daten-Speicherung und Daten-Verarbeitung, 2. Ausdrückliche Einwilligungen, 3. Widerruf der Betroffenen, 4. Alte Einwilligungen und 5. Einwilligung zum Tracking. Alles kurz und knackig in anwaltsfreiem Deutsch erklärt – versprochen!
1. Daten-Speicherung und Daten-Verarbeitung
Neuster Stand der Technik
Laut EU-DSGVO müssen alle Systeme die zur Daten-Speicherung und Daten-Verarbeitung zum Einsatz kommen hinsichtlich Datensicherheit und Datensparsamkeit auf dem neuesten Stand der Technik sein.
Hinzu kommt, dass der Nutzer selbst auch ein Recht auf Löschung und Übertragung seiner Daten auf ein anderes Unternehmen hat, beispielsweise bei einem Anbieterwechsel. Sorgen Sie daher schon rechtzeitig dafür, dass Sie durch entsprechende Prozesse zur Bearbeitung von Löschanträgen oder durch entsprechende Schnittstellen zum Datentransfer diesen Forderungen nachkommen können.
Das Marktort-Prinzip
Ein weiterer wichtiger Punkt ist im sogenannten Marktort-Prinzip zu finden. Das Marktort-Prinzip findet Anwendung, wenn sich ein Angebot an den nationalen Markt innerhalb der EU richtet oder wenn die Datenverarbeitung auf die Beobachtung des Verhaltens von EU-Bürgern, beispielsweise durch Tracking oder Profiling, ausgelegt ist.
Sie als Unternehmen müssen nun sicherstellen, dass bei all Ihrer verwendeten Software und Ihren Dienstleistern das Europäische Datenschutzgesetz eingehalten wird. Hosting in unsicheren Drittländern wie USA ist aus Sicht der Datenschutz-Experten nicht zulässig.
2. Ausdrückliche Einwilligungen
Die DSGVO schreibt für E-Mail-Marketing und Lead-Management-Prozesse eine ausdrückliche Einwilligung des Betroffenen vor. Andernfalls ist es untersagt, jegliche Form von Werbe-E-Mails zu versenden. Laut EU-DSGVO ist im E-Mail-Marketing alles als Werbung zu betrachten, was auch nur mittelbar der Umsatzsteigerung dient. Darunter fallen zum Beispiel Mailings, Newsletter, Lead-Nurturing-Mails, Bewertungsanfragen, Follow-Ups, Trigger-, Intervall- oder Transaktions-Mailings.
A: Einwilligung zur werblichen Nutzung
Achten Sie daher immer auf die ausdrückliche Einwilligung des Empfängers. Ein einfaches Weiterklicken reicht hier leider nicht mehr aus, um eine rechtssichere Einwilligung zu erhalten. Bauen Sie daher eine leere Checkbox in jedes Formular ein, in dem der Empfänger der werblichen Nutzung seiner Daten zustimmen muss.
B: Double-Opt-in Bestätigung
Nutzen Sie auch weiterhin das Double-Opt-In-Verfahren zur rechtssicheren Bestätigung des Einverständnisses zur Newsletter-Anmeldung. Über diesen Weg können Sie nicht nur sicherstellen, dass es sich um eine „echte“ E-Mail-Adresse handelt, sondern Sie sammeln auch noch die Beweisgrundlage dafür, dass sich diese Person wirklich selbst eingetragen hat. Wichtig ist in diesem Zusammenhang übrigens auch die Speicherung des Eintragsdatums und der IP-Adresse in Ihrem E-Mail- oder CRM-System. So haben Sie im Zweifelsfall eine saubere Beweisgrundlage, dass die Anmeldung wirklich stattgefunden hat. Übrigens sind die so genannten Permission-Mails im Rahmen des Double-Opt-In-Prozesses erlaubt, denn sie dienen dazu, die Einwilligung rechtssicher abzuwickeln.
3. Widerruf der Einwilligung
Am Widerrufsrecht ändert sich mit der DSGVO eigentlich kaum etwas. Für Ihr E-Mail-Marketing bedeutet dies konkret, dass nach wie vor, neben dem Hinweis auf das Widerrufsrecht in der Einwilligungs-Erklärung, in jeder einzelnen E-Mail eine Abmeldemöglichkeit (Abmeldelink im Footer) integriert sein muss. Der Widerruf sollte per Telefon, E-Mail und Post möglich sein.
Platzieren Sie auch den Hinweis zum Widerruf auf jedem Anmelde-Formular, mit dem auch die Einwilligung eingeholt wird. Hier muss, gut sichtbar platziert, ausführlich über das Widerrufsrecht informiert werden. Diese Erklärung muss zusätzlich in der allgemeinen Datenschutzerklärung wiederholt werden. Diese Informationen müssen klar und verständlich formuliert sein.
4. Alte Einwilligungen
Sicherlich hatten Sie auch schon schlaflose Nächte in denen Sie überlegt haben, was denn nun mit den alten Adressdaten passiert. Entwarnung! Alt-Einwilligungen können weiterhin bestehen bleiben. Aber nur dann, wenn sie schon damals einen Hinweis auf die zweckbestimmte Verwendung und das jederzeitige Widerrufsrecht enthielten und dies rechtsverbindlich dokumentiert werden kann.
Doch auch Ihren Altdaten müssen Sie die Möglichkeit geben, die persönlichen Einwilligungs- und Tracking-Einstellungen zu verändern. Bieten Sie daher ein leicht zu erreichendes Preference-Center aus allen Formularen und Newslettern an.
5. Kein Tracking ohne Einwilligung
Die ergänzende E-Privacy-Verordnung
Für die Cookie-Regelung ist die zur DSGVO ergänzende E-Privacy-Verordnung zuständig. Aufgrund heftiger Kritik tritt diese aber wohl erst 2019 in Kraft. Genauer Inhalt und Ausgang sind bisher unbekannt. Experten gehen aber davon aus, dass sie im Großen und Ganzen, wie im bisherigen Entwurf, verabschiedet wird.
Wenn Sie schon jetzt sicher gehen wollen, empfiehlt es sich ab 25. Mai 2018 für das Tracking eine zusätzliche Einwilligung des Betroffenen einzuholen. Sobald Sie Tracking-Cookies verwenden, sollten Sie also z. B. über die bereits bekannten Cookie-Banner eine eindeutige Einwilligung einholen. Auch gemäß der E-Privacy-Verordnung wird wahrscheinlich ein grundsätzliches Verbot mit Erlaubnisvorbehalt in Bezug auf das Tracking mit Cookies gelten.
Konkret bedeutet das für Ihr E-Mail-Marketing, dass Sie im Anmeldeformular auch noch eine Checkbox mit der Einwilligung zum personenbezogenen Tracking einführen sollten.
Jeder Betroffene muss hier aktiv zustimmen, wenn er mit personenbezogenem Tracking einverstanden ist. Geschieht dies nicht, müssen Sie den Datensatz anonym oder pseudonymisiert verarbeiten. Der Newsletter-Empfänger muss jederzeit die Möglichkeit haben, seine Einstellungen hinsichtlich Tracking zu ändern. Wir empfehlen hierzu ein persönliches Präferenz-Center in dem der Betroffene all seine Einstellungen wählen und verändern kann.
Bisher bieten nur wenige E-Mail-Systeme die Möglichkeit anonyme, pseudonymisierte und trackbare Profile in einer Instanz abzubilden. Mit unserem Partner EVALANCHE können wir schon heute 100% der geforderten Funktionen rechtskonform abbilden.
In den nächsten Tagen informieren wir hierzu noch all unsere aktiven E-Mail-Marketing-Kunden und liefern eine konkrete Handlungsempfehlung mit Umsetzungsbeispielen.
Hinweis:
Dieser Beitrag dient nur zur Orientierung und zu Informationszwecken. Er ist ausdrücklich nicht als rechtliche Beratung zu verstehen.
WEITERFÜHRENDE LINKS
Einen ausführlichen und sehr praxisnahen Leitfaden zum Thema DSGVO können Sie sich hier Downloaden. Herzlichen Dank an unseren Software-Partner EVALANCHE für die Bereitstellung.
Sehr kompakt und gut gebündelt präsentiert auch unser Partner Newletter2GO das Thema in seinem Fachbeitrag: "E-Mail-Marketing - 10 Antworten zur DSGVO"
Auch interessant: Die Studie von Absolit Consulting: "Deutsche Unternehmen stolpern in die DSGVO". Laut der im April 2018 erschienenen Studie ist derzeit nur jedes zehnte Unternehmen auf die Einführung der DSGVO vorbereitet.