DSGVO: “Die Herausforderungen beherzt angehen!”
Was bedeutet die DSGVO für Unternehmen oder Agenturen und deren E-Mail Marketing im Speziellen?
In Zeiten von Big Data, Omnichannel Marketing und dem Internet der Dinge war die seit Mai 2018 geltende EU-Datenschutz-Grundverordnung (kurz: DSGVO) überfällig: Durch sie gelten seither für alle EU-Länder die gleichen Datenschutzstandards.
Doch was bedeutet das für Unternehmen oder E-Mail Marketing Agenturen und deren E-Mail Marketing im Speziellen? Und inwieweit sollten Newsletter Anbieter DSGVO-Sicherheit für Ihre Kunden berücksichtigen? Wir haben dazu unseren ehemaligen Geschäftsführer und Rechtssicherheit-Experten Konrad Frerichs befragt:
PUSH: Lieber Konrad, was sind die wesentlichen Eckpunkte hinsichtlich des Newsletter-Versands in der seit Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO)?
Konrad Frerichs: Die EU-Datenschutzgrundverordnung schützt die personenbezogenen Daten von natürlichen Personen. Das hat sie mit dem „alten“ Bundesdatenschutzgesetz gemein.
Durch die DSGVO wurde der Datenschutz jedoch noch einmal transparenter, indem datenschutzrelevante Prozesse wesentlich intensiver als zuvor dokumentiert werden müssen.
Für wen gilt dies?
Für jeden – gleich ob Mensch, Unternehmen oder Behörde – der personenbezogene Daten verarbeitet oder den Auftrag dazu gibt. Also sowohl der Heizungsbauer, der seine Kundenkartei verwaltet; das Inkassounternehmen, das Forderungen einziehen will; die Industrie- und Handelskammer, die ihre Mitglieder verwaltet, und und und …
Welche konkreten Herausforderungen stellen sich dadurch an das Datenschutzmanagement von Unternehmen?
Schritt eins: Unternehmen müssen identifizieren, wo und wie bei ihnen personenbezogene Daten verarbeitet werden. In vielen Bereichen ist Datenverarbeitung heutzutage ja so selbstverständlich, dass einem dahingehend erst einmal die Augen geöffnet werden müssen. So denken sicher viele beim Thema Datenschutz an den Bereich der Kundenverwaltung, das ist auch richtig so. Aber wie sieht es zum Beispiel beim eigenen Personal aus? Auch hier werden Daten verarbeitet.
Schritt zwei: Nachdem die einzelnen Prozesse identifiziert wurden, muss geklärt werden, ob die Datenverarbeitung dort rechtens ist und entsprechend sauber abläuft. Die Verarbeitung personenbezogener Daten ist ja nur dann erlaubt, wenn es dazu einen Rechtfertigungsgrund gibt (z. B. die Einwilligung des Betroffenen, weil es notwendig zur Erfüllung eines Vertrages ist, rechtliche Verpflichtungen und dergleichen). Ist das nicht der Fall, müssen diese „Lücken“ gesetzeskonform geschlossen werden.
Schritt drei: Die neuen Dokumentations-, Transparenz- und Informationspflichten der DSGVO sind zu beachten und umzusetzen.
Worauf sollten gerade Newsletter-Verantwortliche in Bezug auf Neukunden, aber auch hinsichtlich bereits bestehender Adresslisten, achten?
In der DSGVO sind eine Reihe von Gründen geregelt, die die Verarbeitung personenbezogener Daten, dazu gehören auch die verwendeten E-Mail-Adressen, zulassen. Im Rahmen von Newslettern ist in der Regel die Einwilligung des Empfängers der Grund, der die Verarbeitung zulässig werden lässt. Durch die DSGVO werden die Anforderungen an eine wirksame Einwilligung verschärft.
Daher gilt:
- Punkt 1: Der Verantwortliche muss nachweisen können, dass der Empfänger in die Verarbeitung seiner Daten eingewilligt hat, also auch, den Newsletter zu erhalten. Dies muss nicht schriftlich sein, eine Protokollierung elektronischer Einwilligungen ist sinnvoll.
- Punkt 2: Der Empfänger muss den Umfang der Daten, den Zweck, zu dem die Daten verarbeitet werden sollen, sowie die Folgen der Verweigerung einer Einwilligung kennen. Hierzu ist es erforderlich, dass das Ersuchen um die Einwilligung in leicht zugänglicher und verständlicher Form sowie in einer klaren und einfachen Sprache abgefasst ist. Der Empfänger ist schon bei der Einholung der Einwilligung auf die Möglichkeit des Widerrufs hinzuweisen. Eine nicht erforderliche Kopplung an eine Gegenleistung darf nicht erfolgen.
- Punkt 3: Bei in der Vergangenheit bereits wirksam gegebenen Einwilligungen ist es nicht erforderlich, dass diese wiederholt werden. Diese Einwilligungen sind jedoch trotzdem an den Wirksamkeitsvoraussetzungen der DSGVO an eine Einwilligung zu messen. Verstößt eine früher gegebene Einwilligung allerdings gegen das Gebot der Freiwilligkeit, gilt sie nicht weiter fort und muss erneut eingeholt werden.
Mit welchen Konsequenzen müssen Unternehmen bei einem Verstoß gegen das Gesetz rechnen?
Es darf davon ausgegangen werden, dass die verhängten Bußgelder bei den hohen Bußgeldrahmen im Verhältnis zur Vergangenheit steigen werden. Mit einem vermehrten Einsatz von Bußgeldern ist nicht zuletzt deshalb zu rechnen, weil die formalen Anforderungen an zu fertigende Dokumentationen erheblich gestiegen sind und die Erfüllung von Formalitäten relativ einfach zu greifen ist. Wie in so vielen Punkten des neuen Gesetzes wird man hier jedoch abwarten müssen.
Ich kann allen Unternehmen aber nur den Tipp geben, in Anbetracht der jetzigen Anforderungen und drohender Bußgelder nicht in Schockstarre zu verfallen, sondern die Herausforderungen beherzt anzugehen und dadurch die negativen Folgen zu vermeiden.
Und wenn man sich nicht sicher ist, ob man schon alle nötigen Maßnahmen umgesetzt hat, an wen sollte man sich dann wenden?
Der erste Ansprechpartner wird immer der eigene oder auch ein sonst hinzuzuziehender Datenschutzbeauftragte sein. Er verfügt über die notwendige Sachkompetenz.
Es ist zwar nicht die Aufgabe des Datenschutzbeauftragten, die Einhaltung von Datenschutzbestimmungen selber zu gewährleisten. Diese Aufgabe obliegt dem jeweils für die Datenverarbeitung Verantwortlichen bzw. dem Auftragsverarbeiter. Es ist aber auch nicht nur die Aufgabe des Datenschutzbeauftragten, die Einhaltung der Datenschutzbestimmungen zu überwachen, es gehört genauso zu seinen Aufgaben, den für die Datenverarbeitung Verantwortlichen bzw. den Auftragsverarbeiter über seine Pflichten zu unterrichten und zu beraten.
Daneben gibt es sicher eine Vielzahl anderer Berater, die man befragen kann. So haben sich eine ganze Reihe von Rechtsanwälten auf datenschutzrechtliche Fragen spezialisiert.
Ob man auch die Beratung durch die zuständigen Datenschutzaufsichtsbehörden in Anspruch nehmen möchte, mag jeder für sich entscheiden. Man sagte früher nicht zu Unrecht: ‚Gehe nicht zu Deinem Herrn, wenn Du nicht gerufen wurdest‘. Eine Behördenanfrage kann auch Behördenhandeln über die Fragestellung hinaus hervorrufen.
Zu guter Letzt: Welche Sicherheits-Features bietet CleverReach bezüglich der DSGVO als Newsletter Tool seinen Kunden?
CleverReach setzt auf die Kombination aus Flexibilität und Sicherheit: Denn inwieweit personenbezogene Daten erfasst werden sollen, z. B. Öffnungen oder Klicks, liegt in der Verantwortung des jeweiligen Versenders.Gleichzeitig wird über unsere Software beim Double-Opt-in-Verfahren die Einwilligung der Kunden zur Erfassung seiner Daten vollständig protokolliert.
Sie haben weitere Fragen zur DSGVO?
In unserem Bereich zu Datenschutz und Sicherheit finden Sie alle relevanten Informationen über das E-Mail Marketing in Zeiten der DSGVO.
Zusätzlich finden Sie dort auch eine Checkliste zur DSGVO sowie unsere DSGVO-Sprechstunde, in der unser Rechtsanwalt Dr. Gerrit Mesch häufige Fragen rund um die Datenschutzgrundverordnung beantwortet.
Jetzt mit E-Mail Marketing und CleverReach durchstarten!
Sie planen schon länger, Newsletter zu versenden oder tun es bereits, aber sind sich wegen der rechtlichen Risiken unsicher? Das ist mit CleverReach gar nicht nötig. Unser Newsletter Tool ist DSGVO-konform und schützt Sie vollumfänglich davor, sich in etwaigen Fallstricken rund um den Datenschutz zu verheddern. Das gilt auch, wenn Sie unser Tool als Plugin eines Fremdsystems nutzen, bei dem Sie sich nicht sicher sind, ob die europäischen Datenschutzstandards eingehalten werden. Mit unserem offiziellen Plugin versenden Sie beispielsweise auch in WordPress DSGVO-konforme Newsletter.
Wechseln Sie jetzt zu CleverReach und profitieren Sie bei Ihrem E-Mail Marketing von unserer intuitiven Newsletter Software.