Seit dem 25. Mai 2018 bereits gilt die EU-DSGVO (Datenschutzgrundverordnung). Zum vierten Jahrestag sollten Verantwortliche anhand von 7 Tipps das eigene E‑Mail-Marketing überprüfen.
Die europäische Datenschutzgrundverordnung (EU-DSGVO) ist vier Jahre gültig. In der Kommunikation mit Kunden und Partnern kommt heute niemand mehr an ihr vorbei. Die Reputation von E‑Mail-Massenversendern leidet, wenn diese sich nachweislich nicht an Datenschutzregeln halten, außerdem gibt es finanzielle Risiken. Die nationalen Datenschutzbehörden innerhalb der EU haben zunächst verhalten, dann aber immer stärker mittels Bußgelder die Einhaltung der Regeln durchgesetzt. Diese können laut Gesetz bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.
Von 2020 auf 2021 hat sich die Gesamtsumme der Bußgelder auf 1,22 Milliarden Euro versiebenfacht, Luxemburg verhängte das mit Abstand höchste Einzelbußgeld in Höhe von 746 Millionen EUR gegen Amazon. Deutschland belegte im Jahr 2021 den 7. Platz bei der Höhe der Gesamtvolumina der Bußgelder. Was viele nicht beachten: Nicht nur gegen Unternehmen, sondern auch gegen Verantwortungsträger in Unternehmen wie Vorstände, Geschäftsführer oder externe Datenschutzbeauftragte können Bußgelder verhängt werden. Bei Angestellten ist dies in sehr eingeschränktem Maße möglich.
Den vierten Geburtstag der DSGVO solltet Ihr als Verantwortliche daher nutzen, um Datenschutzregelungen im Unternehmen auf den Prüfstand zu stellen. Hilfestellung bieten dabei diese sieben Punkte:
Haltet Euer Verzeichnis für Verarbeitertätigkeiten aktuell
Wer ist genau für welche Daten verantwortlich und behält den Datenschutz im Blick? Laut Art. 30 EU-DSGVO sind Unternehmen dazu verpflichtet, eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. Hier stehen wesentliche Angaben zur Datenverarbeitung, beispielsweise die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Aktualisiert dieses Verzeichnis fortlaufend, beispielsweise wenn neue Mitarbeiter:innen ins Unternehmen eintreten.
Schult Eure Mitarbeiter:innen kontinuierlich hinsichtlich neuer Datenschutzanforderungen
Damit alle wissen, wie sie mit Daten der E‑Mail Empfänger:innen rechtssicher umgehen, brauchen alle regelmäßig Schulungen. Dürfen externe Dienstleister die Daten hosten? Wann sind diese unwiederbringlich zu löschen? Die DSGVO schreibt die regelmäßige Schulung von Mitarbeitenden vor. Mitarbeiter und Mitarbeiterinnen, die mit personenbezogenen Daten arbeiten, sind nach der Datenschutz-Grundverordnung (DSGVO) mit den Regeln des Datenschutzes „vertraut zu machen“.
Nutzt nur Daten von Personen, deren Einwilligung Ihr habt und das auch nachweisen könnt
Keine Werbemail ohne Einwilligung. Die DSGVO verpflichtet Versender nachweisen zu können, dass eine Einwilligung vorliegt, bevor eine Werbemail gesendet wird. Geregelt ist das in Artikel 7 Absatz 1 DSGVO. Dieser Nachweis wird von der Rechtsprechung bislang ausschließlich über ein Double Opt In (DOI) anerkannt. Das heißt, tragen sich Empfänger:innen mit ihren Mailadresse in eine Mailing-Liste ein, wird eine zweite, bestätigende Mail mit einem Bestätigungslink an die Mailadresse geschickt. Diese Mail darf nicht werblich sein. Die Methode gewährleistet, dass Empfänger:innen persönlich die Bestätigung erbringen. Der Versender hinterlegt die entsprechende Bestätigung als Nachweis in seinen Daten. Das DOI-Verfahren hat die Certified-Senders-Alliance daher auch in die Liste ihrer Zertifizierungs-Kriterien aufgenommen.
Bestellt einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte (DSB)
Rein rechtlich muss einen oder eine DSB bestellen, wenn mindestens 20 Mitarbeiter oder Mitarbeiterinnen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Alternativ, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten liegt. Zeigt, dass Ihr den Datenschutz ernst nehmen und bestellt auch dann eine oder einen Verantwortliche:n für Datenschutz, wenn Ihr nicht darunter fallen. DSB können intern bestellt werden, sprich aus der eigenen Mitarbeiterschaft oder extern. Unterstützung bieten hier externe Dienstleister.
Behaltet die E‑Privacy-Verordnung im Blick
Die eigentlich für das Jahr 2018 avisierte E‑Privacy-Verordnung ist immer noch nicht beschlossen. Die weitere Entwicklung sollten Datenschutz-Verantwortliche auf jeden Fall im Blick behalten. Sie soll die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), auch Cookie-Richtlinie genannt, ersetzen. Unter anderem soll hier das Thema Tracking neu geregelt werden. Bis die Auseinandersetzungen zwischen den EU-Mitgliedstaaten beigelegt sind, muss auf die alte Richtlinie zurückgegriffen werden und die Frage zum Verhältnis der Regelungen der DSGVO und der geplanten E‑Privacy-Verordnung weiterhin aufgeschoben werden.
Beachtet aktuelle Rechtsvorschriften zum Datenaustausch mit den USA
Das ehemalige bilaterale Abkommen zum Datenaustauch zwischen der EU und den USA hat der Europäische Gerichtshof (EuGH) 2020 gekippt. Die aktuellen Regelungen über Standardvertrags- bzw. Standardschutzklauseln sehen vor, dass Unternehmen im Einzelfall abwägen, ob beim Datenaustausch mit Partnern in den USA diese Daten im Sinne der DSGVO verarbeiten. Das sorgt für Unsicherheiten, da europäische Unternehmen das nur schwer überprüfen können. Ende März haben Kommissionspräsidentin von der Leyen und US-Präsident Biden ein neues Datenschutzabkommen vorgestellt. Mit dem sogenannten „Trans-Atlantic Data Privacy Framework“ (TADAP-Framework) soll die Weitergabe persönlicher Daten an US-Digitalkonzerne neu geregelt werden. Bislang liegt mit dem jetzigen Papier lediglich eine politische Absichtserklärung vor.
Setzt auf zertifizierte Partner
Viele Unternehmen arbeiten mit Partnern, beispielsweise E‑Mail Service Providern zusammen, um Newsletter zu versenden. Ob diese den Datenschutz einhalten, lässt sich nur indirekt überprüfen. Mit einer Zertifizierung der Certified Senders Alliance (CSA) beispielsweise haben Unternehmen nachgewiesen, dass sie mit personenbezogenen Daten verantwortungsvoll umgehen und hohe Datenschutz-Qualitätsstandards erfüllen. Das honorieren Internet Service Provider und stellen deren E‑Mails bevorzugt in den Posteingang der Empfänger zu. Um in Sachen Datenschutz aktuell zu bleiben, unterstützt die CSA Unternehmen mit aktuellen Informationen zum rechtlich korrekten E‑Mail-Marketing in Veranstaltungen und Veröffentlichungen.
Bildnachweis Titelgrafik: iStock / Mixmagic