Simplemente bien asesorado

Consulta sobre la DSGVO: Preguntas y respuestas sobre el tema de la DSGVO en el marketing por correo electrónico

Datenschutz und Sicherheit im E-Mail Marketing
DSGVO Sprechstunde

Consulta de DSGVO con el Dr. Gerrit Mesch

Usted ha preguntado y nosotros hemos respondido. Nuestro abogado, el Dr. Gerrit Mesch, ha estudiado sus preguntas y ha respondido a las más frecuentes.

Preguntas sobre el RGPD respondidas por nuestro abogado

Le pedimos, como cliente, que nos hiciera preguntas sobre el GDPR. A continuación encontrará el resultado de la entrevista con nuestro abogado, que respondió a las preguntas por usted.

Aviso importante: "El consumo de este texto general no sustituye al necesario asesoramiento jurídico en casos individuales. A este respecto, usted actúa por su cuenta y riesgo. En caso de duda, consulte siempre a un abogado sobre su caso concreto.

I. Cuestiones fundamentales

¿Se aplica el RGPD fuera de la UE?

  • El artículo 3 del RGPD se centra en la Unión Europea.
  • La UE no tiene competencias para regular la protección de datos en Asia o Norteamérica, por ejemplo.
  • El artículo 3 del RGPD contiene un principio de localización del mercado: según este principio, el RGPD también se aplica a las empresas de terceros países si ofrecen bienes o servicios a ciudadanos de la UE.

¿Cuáles son las sanciones por incumplimiento del RGPD? Ha habido sentencias judiciales al respecto?

Según un informe de los medios de comunicación, los comisarios de protección de datos de los Estados federados han impuesto multas en al menos 75 casos desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el primer año, del 18 al 19 de mayo.

El importe total, según una encuesta de Welt am Sonntag, asciende a 449.000 euros. El periódico había encuestado a los comisarios de protección de datos de los Estados federados. 14 de los 16 estados federados facilitaron información, Mecklemburgo-Pomerania Occidental y Turingia no lo hicieron.

Todavía no se han impuesto sanciones millonarias, como temían empresas y asociaciones en vísperas del RGPD. Desde entonces, sin embargo, las sanciones han aumentado. Según los medios de comunicación, desde entonces se han impuesto algunas multas significativamente más elevadas. Sin embargo, esto no es representativo. Además, se esperan procesos judiciales en algunos de estos casos. Por tanto, es demasiado pronto para emitir un juicio definitivo. Se trata de sanciones impuestas por las autoridades. No me consta que ningún tribunal se haya pronunciado al respecto.

Sin embargo, el marketing por correo electrónico no está regulado únicamente por el GDPR. También hay que tener en cuenta la Ley de Competencia Desleal (LDC). En este caso, es posible el lucro cesante, la indemnización por daños y perjuicios, etc.

¿Trabajas según la ley eclesiástica?

Como empresa, estamos sujetos a las disposiciones legales que nos son aplicables. Las leyes de protección de datos de las iglesias protestante y católica no se aplican directamente a nosotros. Dado que las leyes de protección de datos de las iglesias protestante y católica se adaptaron al RGPD tras la revisión, no vemos aquí ningún problema fundamental.

¿Puede recomendarme sitios web u otras fuentes donde pueda mantenerme al día sobre el GDPR?

El sitio web del gurú de la protección de datos https://www.datenschutz-guru.de/ puede recomendarse sin reservas y es, con razón, muy popular. Los textos son fáciles de entender y muy amenos. Además, también hay vídeos disponibles.

II. estudio de direcciones

¿Puedo utilizar direcciones de, por ejemplo, colegios de Internet que sean públicas?

En principio, el consentimiento debe darse para el caso concreto. Esto no significa que el consentimiento deba darse de nuevo para cada envío publicitario individual. Sin embargo, el consentimiento debe (también) estar relacionado con el envío publicitario específico. Falta el consentimiento para el caso concreto, por ejemplo, si un club de fútbol ha publicado su dirección de correo electrónico en su sitio web (BGH, NJW 2008, 2999 - FC Troschenreuth). Como mucho, el club espera recibir consultas sobre el funcionamiento de los partidos o las actividades del club, pero no sobre servicios no relacionados con el club.

¿Son las tarjetas de visita automáticamente consentidas para un "contacto del boletín"?

También en este caso falta el carácter definitivo requerido del consentimiento expreso si se entrega una tarjeta de visita en el contexto de un evento (LG Baden-Baden, WRP 2012, 612 (613)). Sin embargo, es concebible que se coloque una caja con la inscripción clara "Newsletter" en la que se introduzca la tarjeta de visita. En este caso, la verificabilidad es peor que con el doble opt-in.

Encuesto a los destinatarios en seminarios de comunicación. Están de acuerdo o en desacuerdo mediante una casilla de verificación. ¿Puedo introducir los nombres, etc., en una tabla de Excel?

Tampoco existe consentimiento si el participante en un seminario ha introducido su dirección de correo electrónico en la lista de participantes (LG Gera, WRP 2012, 1468). En este caso, el participante no ha declarado su consentimiento. Por otro lado, la visualización de una lista de seminarios con la solicitud de registrarse si se desea recibir el boletín informativo es suficientemente concreta si queda claro por parte de qué empresa se enviará el boletín.

¿Puedo suscribirme también a los boletines informativos en el proceso de compra a través de una simple casilla de verificación o esto siempre requiere DOI?

Esto sería suficiente como consentimiento si el cliente hace clic activamente en la casilla y no está preseleccionada - opt-in y no opt-out (BGH, MMR 2008, 731 - Payback). Sin embargo, no sería posible demostrar que el propietario de la dirección de correo electrónico realizó realmente la entrada, ya que no pueden descartarse errores o un uso indebido (AG Berlin, MMR 2009, 144). Ni siquiera una dirección IP registrada es suficiente como prueba. El operador del sitio web no tiene medios para deducir el titular concreto de una cuenta de correo electrónico a partir de una dirección IP dinámica. Los proveedores de acceso, que al menos podrían determinar el propietario de la conexión (aunque no sea el titular de la cuenta), no están obligados ni facultados para entregar los datos correspondientes.

El llamado opt-in confirmado tampoco es suficiente como prueba. En este caso, se envía un correo electrónico de confirmación, pero no se integra ningún enlace de confirmación. En su lugar, sólo hay una referencia explícita a la posibilidad de darse de baja. Si no hay reacción, la dirección de correo electrónico en cuestión se añade a la lista de distribución. Sin embargo, no es posible demostrar que el titular de la cuenta de correo electrónico se ha suscrito al boletín.

Crié beneficiarios hace 8 años. ¿Puedo escribirles? ¿Existe un plazo de prescripción?

BGH, sentencia de 01.02.2018 - III ZR 196/17: "Ni la Directiva 2002/58/CE ni el artículo 7 de la UWG prevén un límite temporal para el consentimiento una vez otorgado. De ello se deduce que éste -al igual que el consentimiento con arreglo al artículo 183 del Código Civil alemán (BGB)- no caduca en principio por el mero transcurso del tiempo." En conclusión, considero que la publicidad por correo electrónico está permitida si no hay motivos para dudar del consentimiento expresado originalmente por el consumidor. Esta razón podría ser el hecho de que el consentimiento se diera hace más de un año y medio y no se enviara publicidad durante este periodo. Esta era la opinión del Tribunal Regional de Berlín antes de la introducción del RGPD (LG Berlín, sentencia de 09.12.2011 - 15 O 343/11). Si esto sigue siendo así ahora es cuestionable. Se trata de una decisión aislada en primera instancia, no de jurisprudencia permanente de última instancia. Sin embargo, aunque se quisiera seguir esta decisión, no habría caducidad si los anuncios se enviaran con regularidad. La afirmación de que la norma de que el consentimiento caduca a los dos años no existe en todo el ordenamiento jurídico es difícil en la medida en que no puedo examinar todo el ordenamiento jurídico. Sin embargo, los conjuntos de normas pertinentes del GDPR y de la UWG no contienen tal regulación jurídica.

Recopilamos destinatarios antes del GDPR. ¿Puedo escribirles? ¿Tengo que recopilarlos de nuevo?

Es perfectamente posible que el consentimiento para el envío de publicidad ya se diera correctamente con doble opt-in antes de la introducción del GDPR. Esto también cumpliría las normas del RGPD. Podría seguir escribiendo a los destinatarios en cuestión.

No tengo ninguna prueba de consentimiento del DOI. Sin embargo, los destinatarios no se han dado de baja durante años, ¿puedo seguir escribiéndoles?

No, no hay consentimiento explícito.

Si cambio de proveedor de servicios de boletín electrónico, ¿necesito un nuevo DOI?

Si ya ha recabado el consentimiento con un procedimiento de opt-in doble con otro proveedor de servicios de boletines, no es necesario que lo haga de nuevo. El consentimiento del destinatario se refiere a la recepción de sus correos electrónicos y no al proveedor de servicios que utiliza para enviarlos. Por lo tanto, puede utilizar los datos que se recopilaron correctamente mediante el procedimiento de doble opt-in directamente con CleverReach.

Un cliente solicita información sobre un producto en un sitio web. Puedo enviarle un correo electrónico solo sobre este producto o también varias veces sobre este y otros similares?

No se presumirá acoso injustificado en el caso de un anuncio que utilice el correo electrónico si:

a. un empresario ha recibido la dirección de correo electrónico del cliente en relación con la venta de un bien o servicio,

b. el empresario utiliza la dirección para la comercialización directa de sus propios bienes o servicios similares,

c. el cliente no se ha opuesto al uso, y

d. se informe claramente al cliente, en el momento de la recogida de la dirección y en cada uso, de que puede oponerse al uso en cualquier momento sin incurrir en más costes que los de transmisión con arreglo a las tarifas básicas.

Sólo la publicidad de bienes o servicios propios está cubierta por la excepción. Esto excluye inicialmente el envío de correos electrónicos publicitarios en beneficio de otras empresas. En particular, los boletines informativos independientes no pueden enviarse invocando el apartado 3. El KG exige una "intercambiabilidad" de los productos o que los productos sirvan a la misma necesidad o finalidad, o al menos a una similar. El OLG de Jena exige un "uso típico idéntico".

No tengo ninguna prueba de consentimiento del DOI. Sin embargo, los destinatarios no se han dado de baja desde hace años. ¿Puedo seguir escribiéndoles?

Lamentablemente, no, porque no hay consentimiento explícito.

¿Qué tipo de contenidos pueden enviarse a los "no clientes" sin opt-in?

Esta pregunta también puede responderse rápidamente. Ninguna, si no hay ni consentimiento ni orden.

III. clientes empresariales

¿Existe alguna diferencia entre B2C y B2B? ¿Puedo escribir a clientes comerciales que ponen su correo electrónico a disposición de una oferta?

La publicidad por correo electrónico no solicitada debe considerarse acoso injustificado sin el consentimiento expreso previo del destinatario de conformidad con el artículo 7 (2) n.º 3 de la UWG (la denominada solución opt-in) (BGH, sentencia de. 10.2.2011, asunto nº I ZR 164/09, MMR 2011, 662 y ss. 15.5.2014). El legislador alemán se abstiene de diferenciar entre consumidores y comerciantes por considerar que la publicidad por correo electrónico tiene un marcado carácter acosador, especialmente en los negocios. (BT-Drucks. 15/1487, p. 21.)

¿Puedo escribir a clientes corporativos con un boletín?

Aunque se trate de clientes corporativos, sin su consentimiento no está permitido escribirles.

¿Puedo comprar direcciones, por ejemplo de quién a quién?

Siempre se requiere el consentimiento para el caso concreto. Por lo tanto, lamentablemente, no es posible la compra.

¿Está permitido el envío no solicitado de correos electrónicos dirigidos exclusivamente a direcciones de correo electrónico impersonales como info@..., kontakt@, service@...? etc.? ¿O se requiere también en este caso una autorización previa, por ejemplo mediante doble opt-in?

No, no se permite el mailing porque no hay consentimiento para el caso concreto. En cuanto a la segunda pregunta, siempre se requiere un doble opt-in.

¿Puedo escribir simplemente a estudios deportivos cuando vendo material deportivo?

No sin consentimiento, el consentimiento siempre es necesario para el caso concreto.

¿Cuándo tengo que eliminar destinatarios? ¿Inmediatamente después de darse de baja?

Según el artículo 17 I b de la DSGVO, todos los datos deben suprimirse inmediatamente. El gurú de la protección de datos lo ve de forma completamente diferente. En mi opinión, los datos -si no se suprimen expresamente- deben conservarse durante al menos 3 años. El trasfondo de esto es la obligación de aportar pruebas en virtud de la ley de protección de datos para evitar el riesgo de multas.

IV. Otras preguntas sobre el GDPR y CleverReach

¿Cuánto tiempo se almacenan los datos del doble opt-in?

La duración del almacenamiento de los datos no la decide CleverReach, sino usted como remitente del boletín. No existe (todavía) una unidad de tiempo de aplicación general. Dado que tiene que demostrar el consentimiento del destinatario del boletín mediante un opt-in doble, los datos pueden permanecer almacenados legalmente durante este tiempo,

  • mientras los correos se envíen sobre la base del consentimiento, e
  • e incluso más allá, mientras tenga que contar con el hecho de que todavía se puede exigir una prueba.

Se aplica el principio de que los datos deben suprimirse cuando ya no sean necesarios; pero también pueden conservarse mientras exista un interés legítimo para ello. Por tanto, el periodo de almacenamiento de los datos debe determinarlo usted en cada caso concreto.

¿Cómo y cuándo reciben los clientes de CleverReach los datos del doble opt-in para una solicitud?

Al igual que antes, recibirá los datos de doble inclusión por correo electrónico en caso de solicitud de CleverReach. Si utiliza nuestros formularios CleverReach, puede descargar el protocolo DOI de forma específica para cada destinatario. Encontrará la opción de descarga directamente en el perfil del destinatario. Esto es, por supuesto, una gran ventaja, especialmente en caso de reclamación. Un clic y podrá ver el correspondiente comprobante de registro conforme a la DSGVO. Rápido, cómodo y para su seguridad.

¿Cuánto tiempo se guardan los datos de los destinatarios de los boletines?

El periodo de almacenamiento de los datos no lo determina CleverReach, sino usted como remitente del boletín. Esto significa que en cuanto usted solicite la supresión de los datos del destinatario, cumpliremos esta orden.

Sin embargo, en este contexto, debe tenerse en cuenta que nosotros, como procesadores de datos, estamos obligados a garantizar la seguridad de los datos de acuerdo con el nuevo GDPR y debemos realizar copias de seguridad periódicas con este fin. Lamentablemente, los registros de datos individuales no se pueden eliminar específicamente de estas copias de seguridad, que solo se pueden ver y volver a utilizar bajo determinadas condiciones. Por lo tanto, en CleverReach hemos decidido eliminar de forma general estas copias de seguridad transcurridos 30 días.

¿Cuánto tiempo se guardan las direcciones de correo electrónico inactivas, es decir, los datos de los destinatarios de boletines, después de que se hayan dado de baja?

Como responsable de los datos, usted decide esto de acuerdo con su propia normativa. Como ya se ha explicado en relación con el procedimiento de doble inclusión, se aplica el principio de que los datos deben suprimirse cuando ya no sean necesarios; no obstante, también pueden conservarse mientras exista un interés legítimo para ello. Si los datos se procesaron únicamente con el fin de enviar boletines informativos, los datos ya no podrán utilizarse para enviar boletines informativos al destinatario una vez que éste se haya dado de baja. No obstante, el remitente del boletín también debe poder demostrar el cumplimiento de sus obligaciones legales (por ejemplo, de conformidad con la DSGVO). En la medida en que los datos sean necesarios para este fin, podrán seguir almacenándose. No habrá eliminación automática por parte de CleverReach, pero crearemos las condiciones para que usted pueda establecer procesos automatizados.

¿Hay que recoger de nuevo los consentimientos existentes de los destinatarios del boletín?

Si ya ha dado su consentimiento efectivo: en general, no (considerando 171 del RGPD). El legislador europeo se ha pronunciado a favor de que el usuario de los datos siga aplicando el consentimiento ya obtenido en virtud de la ley de protección de datos. Sin embargo, el requisito previo es que

  • a) los consentimientos se hayan obtenido efectivamente sobre la base de la BDSG y la TMG aplicables hasta el 24.05.2018
  • b) los consentimientos otorgados también cumplan las condiciones del GDPR.

En este contexto, se concede gran importancia a la voluntariedad. Este no es el caso si en el pasado se infringió la denominada prohibición de vinculación, es decir, si la recogida de datos (dirección de correo electrónico) estaba vinculada a condiciones que no eran necesarias para el cumplimiento de un contrato. Por otro lado, el hecho de que los nuevos requisitos de información (artículo 13 del GDPR) no se cumplieran en los consentimientos anteriores hasta el 24 de mayo de 2018 es inocuo.

Esto significa para usted como remitente de boletines informativos: dado que los requisitos de consentimiento pertinentes en virtud de la ley actual y la nueva ley en Alemania se superponen predominantemente, en general no es necesario volver a obtener el consentimiento a partir del 25 de mayo de 2018 de cada destinatario de boletines informativos cuyos datos ya se procesan con consentimiento.

Lo que es nuevo y debe tenerse en cuenta para los consentimientos anteriores es que el GDPR ahora ha regulado una edad mínima uniforme para el consentimiento. El consentimiento de menores de 16 años (o menores de 13 años si la legislación nacional contiene una disposición correspondiente) solo es efectivo en virtud del GDPR si los padres están de acuerdo.

¿Se pueden seguir recogiendo datos de forma analógica? ¿Qué nuevas normas hay que respetar?

Sí. La forma en que se recogen los datos -digital o analógica- es básicamente la misma para la evaluación legal, se aplican los mismos requisitos. Esto significa: también debe hacerse referencia a la declaración de protección de datos en caso de recogida de datos analógicos, por ejemplo, cuando las direcciones de correo electrónico se recogen fuera de línea.

A este respecto, la Conferencia de Protección de Datos ha declarado que la información al respecto

  • de forma precisa, transparente, comprensible y fácilmente accesible
  • y en un lenguaje claro y sencillo

en un lenguaje claro y sencillo. También deberán ser

  • por escrito o
  • de otra forma (si es necesario, por vía electrónica)

que esté disponible.

Sin embargo, si se hace referencia a información disponible electrónicamente, ésta también debe ser fácil de encontrar y, por tanto, estar disponible en la situación concreta. Así pues, si los datos deben recabarse de una persona que está presente, por regla general no debe remitirse a la información en Internet. Esto se aplica igualmente a la correspondencia escrita en papel.

¿Es necesario que los destinatarios del boletín sepan dónde se almacenan sus datos (ubicación, proveedor)?

Sí, una nota en las declaraciones de protección de datos que indique qué se almacena, dónde y durante cuánto tiempo, y que CleverReach es el encargado del tratamiento de datos con el que existe un acuerdo de tratamiento de datos encargado (CPA) para salvaguardar los datos, normalmente debería ser suficiente.

¿Es necesario informar a los destinatarios de la existencia de enlaces y píxeles de seguimiento?

Sí, a través de las notas correspondientes en la política de privacidad.

¿Están codificados los datos del doble opt-in y, en caso afirmativo, cómo?

Por supuesto. Los datos del doble opt-in se codifican mediante el procedimiento SSL.

¿Es necesario que los destinatarios del boletín sepan qué datos se recogen de ellos?

Sí. El alcance y la finalidad de la recogida de datos deben comunicarse a los destinatarios de forma transparente, sencilla y clara. El contenido esencial debe explicarse en el punto en el que se recogen los datos; para el resto, puede hacerse referencia a la política de privacidad, que idealmente está vinculada en ese punto.

Más información sobre el tema del RGPD

¿Su pregunta sobre el GDPR aún no está incluida?

¿Tiene alguna pregunta sobre el RGPD que corresponda a horas de consulta?