4 Jahre DSGVO: 7 Tipps fürs kon­for­mes E‑Mail-Marketing

DSGVO konformes Email Marketing

Seit dem 25. Mai 2018 bereits gilt die EU-DSGVO (Datenschutzgrundverordnung). Zum vier­ten Jahrestag soll­ten Verantwortliche anhand von 7 Tipps das eigene E‑Mail-Marketing überprüfen.

Die euro­päi­sche Datenschutzgrundverordnung (EU-DSGVO) ist vier Jahre gül­tig. In der Kommunikation mit Kunden und Partnern kommt heute nie­mand mehr an ihr vor­bei. Die Reputation von E‑Mail-Massenversendern lei­det, wenn diese sich nach­weis­lich nicht an Datenschutzregeln hal­ten, außer­dem gibt es finan­zi­elle Risiken. Die natio­na­len Datenschutzbehörden inner­halb der EU haben zunächst ver­hal­ten, dann aber immer stär­ker mit­tels Bußgelder die Einhaltung der Regeln durch­ge­setzt. Diese kön­nen laut Gesetz bis zu 20 Millionen Euro oder bis zu 4 Prozent des welt­wei­ten Jahresumsatzes des Unternehmens betragen.

Von 2020 auf 2021 hat sich die Gesamtsumme der Bußgelder auf 1,22 Milliarden Euro ver­sie­ben­facht, Luxemburg ver­hängte das mit Abstand höchste Einzelbußgeld in Höhe von 746 Millionen EUR gegen Amazon. Deutschland belegte im Jahr 2021 den 7. Platz bei der Höhe der Gesamtvolumina der Bußgelder. Was viele nicht beach­ten: Nicht nur gegen Unternehmen, son­dern auch gegen Verantwortungsträger in Unternehmen wie Vorstände, Geschäftsführer oder externe Datenschutzbeauftragte kön­nen Bußgelder ver­hängt wer­den. Bei Angestellten ist dies in sehr ein­ge­schränk­tem Maße möglich.

Den vier­ten Geburtstag der DSGVO soll­tet Ihr als Verantwortliche daher nut­zen, um Datenschutzregelungen im Unternehmen auf den Prüfstand zu stel­len. Hilfestellung bie­ten dabei diese sie­ben Punkte:

Haltet Euer Verzeichnis für Verarbeitertätigkeiten aktuell

Wer ist genau für wel­che Daten ver­ant­wort­lich und behält den Datenschutz im Blick? Laut Art. 30 EU-DSGVO sind Unternehmen dazu ver­pflich­tet, eine schrift­li­che Dokumentation und Übersicht über Verfahren zu füh­ren, bei denen per­so­nen­be­zo­gene Daten ver­ar­bei­tet wer­den. Hier ste­hen wesent­li­che Angaben zur Datenverarbeitung, bei­spiels­weise die Datenkategorien, der Kreis der betrof­fe­nen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde voll­stän­dig zur Verfügung zu stel­len. Aktualisiert die­ses Verzeichnis fort­lau­fend, bei­spiels­weise wenn neue Mitarbeiter:innen ins Unternehmen eintreten.

Schult Eure Mitarbeiter:innen kon­ti­nu­ier­lich hin­sicht­lich neuer Datenschutzanforderungen

Damit alle wis­sen, wie sie mit Daten der E‑Mail Empfänger:innen rechts­si­cher umge­hen, brau­chen alle regel­mä­ßig Schulungen. Dürfen externe Dienstleister die Daten hos­ten? Wann sind diese unwie­der­bring­lich zu löschen? Die DSGVO schreibt die regel­mä­ßige Schulung von Mitarbeitenden vor. Mitarbeiter und Mitarbeiterinnen, die mit per­so­nen­be­zo­ge­nen Daten arbei­ten, sind nach der Datenschutz-Grundverordnung (DSGVO) mit den Regeln des Datenschutzes „ver­traut zu machen“.

Nutzt nur Daten von Personen, deren Einwilligung Ihr habt und das auch nach­wei­sen könnt

Keine Werbemail ohne Einwilligung. Die DSGVO ver­pflich­tet Versender nach­wei­sen zu kön­nen, dass eine Einwilligung vor­liegt, bevor eine Werbemail gesen­det wird. Geregelt ist das in Artikel 7 Absatz 1 DSGVO. Dieser Nachweis wird von der Rechtsprechung bis­lang aus­schließ­lich über ein Double Opt In (DOI) aner­kannt. Das heißt, tra­gen sich Empfänger:innen mit ihren Mailadresse in eine Mailing-Liste ein, wird eine zweite, bestä­ti­gende Mail mit einem Bestätigungslink an die Mailadresse geschickt. Diese Mail darf nicht werb­lich sein. Die Methode gewähr­leis­tet, dass Empfänger:innen per­sön­lich die Bestätigung erbrin­gen. Der Versender hin­ter­legt die ent­spre­chende Bestätigung als Nachweis in sei­nen Daten. Das DOI-Verfahren hat die Certified-Senders-Alliance daher auch in die Liste ihrer Zertifizierungs-Kriterien aufgenommen.

Bestellt einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte (DSB)

Rein recht­lich muss einen oder eine DSB bestel­len, wenn min­des­tens 20 Mitarbeiter oder Mitarbeiterinnen stän­dig mit der auto­ma­ti­sier­ten Verarbeitung von per­so­nen­be­zo­ge­nen Daten beschäf­tigt sind. Alternativ, wenn die Kerntätigkeit in einer umfang­rei­chen Verarbeitung beson­de­rer Kategorien von per­so­nen­be­zo­ge­nen Daten liegt. Zeigt, dass Ihr den Datenschutz ernst neh­men und bestellt auch dann eine oder einen Verantwortliche:n für Datenschutz, wenn Ihr nicht dar­un­ter fal­len. DSB kön­nen intern bestellt wer­den, sprich aus der eige­nen Mitarbeiterschaft oder extern. Unterstützung bie­ten hier externe Dienstleister.

Behaltet die E‑Privacy-Verordnung im Blick

Die eigent­lich für das Jahr 2018 avi­sierte E‑Privacy-Verordnung ist immer noch nicht beschlos­sen. Die wei­tere Entwicklung soll­ten Datenschutz-Verantwortliche auf jeden Fall im Blick behal­ten. Sie soll die Datenschutzrichtlinie für elek­tro­ni­sche Kommunikation (Richtlinie 2002/58/EG), auch Cookie-Richtlinie genannt, erset­zen. Unter ande­rem soll hier das Thema Tracking neu gere­gelt wer­den. Bis die Auseinandersetzungen zwi­schen den EU-Mitgliedstaaten bei­gelegt sind, muss auf die alte Richtlinie zurück­ge­grif­fen wer­den und die Frage zum Verhältnis der Regelungen der DSGVO und der geplan­ten E‑Privacy-Verordnung wei­ter­hin auf­ge­scho­ben werden.

Beachtet aktu­elle Rechtsvorschriften zum Datenaustausch mit den USA

Das ehe­ma­lige bila­te­rale Abkommen zum Datenaustauch zwi­schen der EU und den USA hat der Europäische Gerichtshof (EuGH) 2020 gekippt. Die aktu­el­len Regelungen über Standardvertrags- bzw. Standardschutzklauseln sehen vor, dass Unternehmen im Einzelfall abwä­gen, ob beim Datenaustausch mit Partnern in den USA diese Daten im Sinne der DSGVO ver­ar­bei­ten. Das sorgt für Unsicherheiten, da euro­päi­sche Unternehmen das nur schwer über­prü­fen kön­nen. Ende März haben Kommissionspräsidentin von der Leyen und US-Präsident Biden ein neues Datenschutzabkommen vor­ge­stellt. Mit dem soge­nann­ten „Trans-Atlantic Data Privacy Framework“ (TADAP-Framework) soll die Weitergabe per­sön­li­cher Daten an US-Digitalkonzerne neu gere­gelt wer­den. Bislang liegt mit dem jet­zi­gen Papier ledig­lich eine poli­ti­sche Absichtserklärung vor.

Setzt auf zer­ti­fi­zierte Partner

Viele Unternehmen arbei­ten mit Partnern, bei­spiels­weise E‑Mail Service Providern zusam­men, um Newsletter zu ver­sen­den. Ob diese den Datenschutz ein­hal­ten, lässt sich nur indi­rekt über­prü­fen. Mit einer Zertifizierung der Certified Senders Alliance (CSA) bei­spiels­weise haben Unternehmen nach­ge­wie­sen, dass sie mit per­so­nen­be­zo­ge­nen Daten ver­ant­wor­tungs­voll umge­hen und hohe Datenschutz-Qualitätsstandards erfül­len. Das hono­rie­ren Internet Service Provider und stel­len deren E‑Mails bevor­zugt in den Posteingang der Empfänger zu. Um in Sachen Datenschutz aktu­ell zu blei­ben, unter­stützt die CSA Unternehmen mit aktu­el­len Informationen zum recht­lich kor­rek­ten E‑Mail-Marketing in Veranstaltungen und Veröffentlichungen.

Bildnachweis Titelgrafik: iStock / Mixmagic

Total
0
Shares
Ähnliche Beiträge

KOSTENLOSER NEWSLETTER

Mehr Tipps für profitable Kundenbeziehungen

Jetzt den kostenlosen Newsletter anfordern und 1x pro Monat neue Empfehlung für Dein CRM erhalten.

Total
0
Share