Gewoon goed geadviseerd
DSGVO-consultatie: Vragen & antwoorden over DSGVO in e-mailmarketing
DSGVO consult met Dr. Gerrit Mesch
Jullie hebben gevraagd en wij hebben geantwoord. Onze advocaat Dr. Gerrit Mesch heeft jullie vragen bekeken en de meest gestelde vragen beantwoord.
Uw vragen over de GDPR - beantwoord door onze advocaat
We vroegen jou, als klant, om ons vragen te stellen over de GDPR. Hieronder vindt u het resultaat van het interview met onze advocaat, die de vragen voor u heeft beantwoord.
Belangrijke opmerking: "De consumptie van deze algemene tekst vervangt niet het nodige juridische advies in individuele gevallen. In dit opzicht handelt u op eigen risico. Raadpleeg in geval van twijfel altijd een advocaat over uw specifieke individuele geval.
I. Fundamentele vragen
Geldt de GDPR ook buiten de EU?
- Art. 3 GDPR richt zich op de Europese Unie.
- De EU heeft niet de bevoegdheid om gegevensbescherming in bijvoorbeeld Azië of Noord-Amerika te regelen.
- Art. 3 GDPR bevat een marktlocatieprincipe: volgens dit principe is de GDPR ook van toepassing op bedrijven in derde landen als zij goederen of diensten aanbieden aan EU-burgers.
Wat zijn de straffen voor het niet naleven van de GDPR? Zijn er in dit verband gerechtelijke uitspraken gedaan?
Volgens een mediabericht hebben de gegevensbeschermingscommissarissen van de deelstaten in het eerste jaar van 18 tot 19 mei in minstens 75 gevallen boetes opgelegd sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (GDPR).
Het totale bedrag, volgens een enquête van Welt am Sonntag, is 449.000 euro. De krant had de commissarissen voor gegevensbescherming van de deelstaten ondervraagd. 14 van de 16 deelstaten gaven informatie, Mecklenburg-Vorpommern en Thüringen niet.
Miljoenenboetes, zoals gevreesd door bedrijven en verenigingen in de aanloop naar de GDPR, zijn nog niet opgelegd. Sindsdien zijn de boetes echter gestegen. Volgens mediaberichten zijn er sindsdien enkele aanzienlijk hogere boetes opgelegd. Dit is echter niet representatief. Bovendien worden in sommige van deze gevallen rechtszaken verwacht. Daarom is het nog te vroeg om een definitief oordeel te vellen. Dit zijn boetes die door de autoriteiten zijn opgelegd. Ik ben me er niet van bewust dat er rechtbanken zijn die zich hierover hebben uitgesproken.
E-mailmarketing wordt echter niet alleen gereguleerd door de GDPR. Er moet ook rekening worden gehouden met de Wet Oneerlijke Concurrentie (UWG). Hier zijn winstafroming, schadevergoeding, enz. mogelijk.
Werk je volgens de kerkwet?
Als bedrijf zijn wij onderworpen aan de wettelijke bepalingen die op ons van toepassing zijn. De gegevensbeschermingswetten van de protestantse en katholieke kerken zijn niet rechtstreeks op ons van toepassing. Aangezien de gegevensbeschermingswetten van de protestantse en katholieke kerken na de herziening zijn aangepast aan de GDPR, zien we hier geen fundamentele problemen.
Kunt u websites of andere bronnen aanbevelen waar ik op de hoogte kan blijven van de GDPR?
De website van de gegevensbeschermingsgoeroe https://www.datenschutz-guru.de/ kan zonder voorbehoud worden aanbevolen en is terecht erg populair. De teksten zijn gemakkelijk te begrijpen en zeer onderhoudend. Bovendien zijn er ook video's beschikbaar.
II. overzicht van adressen
Mag ik adressen van bijvoorbeeld scholen van het internet gebruiken die openbaar zijn?
In principe moet toestemming worden gegeven voor het specifieke geval. Dit betekent niet dat de toestemming voor elke afzonderlijke reclamemailing opnieuw moet worden gegeven. Wel moet de toestemming (ook) verband houden met de specifieke reclamezending. Toestemming voor het specifieke geval ontbreekt bijvoorbeeld als een voetbalclub zijn e-mailadres op zijn website heeft gepubliceerd (BGH, NJW 2008, 2999 - FC Troschenreuth). De club verwacht hooguit vragen over wedstrijdverrichtingen of clubactiviteiten, maar niet over diensten die geen verband houden met de club.
Zijn visitekaartjes automatisch toestemming voor een "nieuwsbriefcontact"?
Ook hier ontbreekt de vereiste bepaaldheid van uitdrukkelijke toestemming als een visitekaartje wordt overhandigd in het kader van een evenement (LG Baden-Baden, WRP 2012, 612 (613)). Het is echter denkbaar dat een doos met het duidelijke opschrift "Nieuwsbrief" wordt geplaatst waarin het visitekaartje wordt gestopt. In dat geval is de controleerbaarheid slechter dan bij een dubbele opt-in.
Tijdens communicatieseminars houd ik enquêtes onder de ontvangers. Ze gaan akkoord of niet akkoord via een selectievakje. Mag ik de namen enz. in een Excel-tabel invoeren?
Toestemming ontbreekt ook als de deelnemer aan een seminar zijn of haar e-mailadres heeft ingevoerd in de deelnemerslijst (LG Gera, WRP 2012, 1468). In dit geval heeft de deelnemer geen toestemming gegeven. Aan de andere kant is het tonen van een seminarlijst met het verzoek om je in te schrijven als je de nieuwsbrief wilt ontvangen voldoende concreet als duidelijk is door welk bedrijf de nieuwsbrief zal worden verstuurd.
Kan ik me tijdens het aankoopproces ook inschrijven voor nieuwsbrieven via een eenvoudig selectievakje of is hiervoor altijd een DOI nodig?
Dit zou voldoende zijn als toestemming als de klant actief op het vakje klikt en het niet is voorgeselecteerd - opt-in en niet opt-out (BGH, MMR 2008, 731 - Payback). Het zou echter niet mogelijk zijn om te bewijzen dat de eigenaar van het e-mailadres de invoer daadwerkelijk heeft gedaan, omdat fouten of misbruik niet kunnen worden uitgesloten (AG Berlin, MMR 2009, 144). Zelfs een gelogd IP-adres is niet voldoende als bewijs. De websitebeheerder heeft geen middelen om een specifieke houder van een e-mailaccount af te leiden uit een dynamisch IP-adres. Toegangsproviders, die op zijn minst de eigenaar van de verbinding zouden kunnen vaststellen (zelfs als dit niet de accounthouder is), zijn niet verplicht of gerechtigd om overeenkomstige gegevens te overhandigen.
De zogenaamde bevestigde opt-in is ook onvoldoende als bewijs. In dit geval wordt een bevestigingsmail verzonden, maar er is geen bevestigingslink geïntegreerd. Er wordt alleen expliciet verwezen naar de mogelijkheid om zich af te melden. Als er geen reactie komt, wordt het e-mailadres in kwestie toegevoegd aan de distributielijst. Het is echter niet mogelijk om te bewijzen dat de houder van het e-mailaccount zich heeft ingeschreven voor de nieuwsbrief.
Ik heb 8 jaar geleden begunstigden opgevoed. Kan ik hen aanschrijven? Is er een verjaringstermijn?
BGH, arrest van 01.02.2018 - III ZR 196/17: "Noch Richtlijn 2002/58/EG noch paragraaf 7 UWG voorziet in een tijdslimiet voor toestemming wanneer deze eenmaal is gegeven. Hieruit volgt dat deze - net als toestemming op grond van artikel 183 van het Duits Burgerlijk Wetboek (BGB) - in beginsel niet louter door tijdsverloop vervalt." Concluderend acht ik reclame per e-mail geoorloofd als er geen reden is om te twijfelen aan de oorspronkelijk uitgesproken toestemming van de consument. Deze reden kan zijn dat de toestemming meer dan anderhalf jaar geleden is gegeven en er in deze periode geen reclame is verstuurd. Dit was het standpunt van de regionale rechtbank van Berlijn vóór de invoering van de GDPR (LG Berlin, uitspraak van 09.12.2011 - 15 O 343/11). Of dit nu nog steeds het geval is, is twijfelachtig. Het is een op zichzelf staande beslissing in eerste aanleg, geen vaste jurisprudentie van de laatste instantie. Maar zelfs als men deze beslissing zou willen volgen, zou er geen tijdsverloop zijn als er regelmatig reclame wordt verstuurd. De stelling dat de regel dat toestemming na twee jaar vervalt, niet in het hele rechtssysteem bestaat, is moeilijk omdat ik niet het hele rechtssysteem kan onderzoeken. De relevante sets regels van de GDPR en de UWG bevatten echter geen dergelijke wettelijke regeling.
We verzamelden ontvangers vóór de GDPR. Kan ik ze aanschrijven? Moet ik ze opnieuw verzamelen?
Het is heel goed mogelijk dat er voor de invoering van de GDPR al op correcte wijze toestemming werd gegeven voor het versturen van reclame met een dubbele opt-in. Dit zou ook voldoen aan de normen van de GDPR. Je zou de betreffende ontvangers kunnen blijven aanschrijven.
Ik heb geen DOI-bewijs van toestemming. De ontvangers hebben zich echter al jaren niet uitgeschreven - mag ik ze blijven schrijven?
Nee, er is geen expliciete toestemming.
Als ik van e-mail nieuwsbrief service provider verander, heb ik dan een nieuwe DOI nodig?
Als u al toestemming hebt verzameld via een dubbele opt-in procedure bij een andere aanbieder van nieuwsbriefdiensten, hoeft u niet opnieuw toestemming te verzamelen. De toestemming van de ontvanger heeft betrekking op de ontvangst van uw e-mails en niet op de serviceprovider die u gebruikt om ze te verzenden. U kunt daarom gegevens die correct zijn verzameld met de dubbele opt-in procedure direct gebruiken met CleverReach.
Een klant vraagt informatie over een product op een website. Mag ik hem alleen een e-mail sturen over dit product of ook meerdere keren over dit en soortgelijke producten?
Onredelijke intimidatie in het geval van reclame door middel van elektronische post kan niet worden aangenomen als:
a. een ondernemer het e-mailadres van de klant heeft ontvangen in verband met de verkoop van een goed of dienst,
b. de ondernemer het adres gebruikt voor direct marketing van zijn eigen soortgelijke goederen of diensten,
c. de klant geen bezwaar heeft gemaakt tegen het gebruik, en
d. de klant bij het ophalen van het adres en bij elk gebruik duidelijk wordt geïnformeerd dat hij/zij te allen tijde bezwaar kan maken tegen het gebruik zonder dat dit hem/haar andere kosten oplevert dan de transmissiekosten volgens de basistarieven.
Alleen reclame voor eigen goederen of diensten valt onder de uitzondering. Dit sluit in eerste instantie het verzenden van reclamemails ten behoeve van andere bedrijven uit. Met name op zichzelf staande nieuwsbrieven kunnen niet worden verzonden met een beroep op lid 3. De KG vereist een "uitwisselbaarheid" van de producten of dat de producten dezelfde of minstens een gelijkaardige behoefte of doel dienen. Het OLG Jena vereist een "identiek typisch gebruiksdoel".
Ik heb geen DOI-bewijs van toestemming. De ontvangers hebben zich echter al jaren niet uitgeschreven. Mag ik ze blijven schrijven?
Helaas niet, want er is geen expliciete toestemming.
Wat voor soort inhoud kan worden verzonden naar "niet-klanten" zonder opt-in?
Deze vraag kan ook snel worden beantwoord. Geen, als er geen toestemming of bevel is.
III. zakelijke klanten
Is er een verschil tussen B2C en B2B? Kan ik zakelijke klanten aanschrijven die hun e-mail vrij beschikbaar stellen voor een aanbieding?
Ongevraagde reclame via e-mail moet worden beschouwd als onredelijke intimidatie zonder de uitdrukkelijke voorafgaande toestemming van de ontvanger op grond van artikel 7, lid 2, nr. 3 UWG (de zogenaamde opt-in-oplossing) (BGH, arrest van 10.2.2011, zaak nr. 10.2.2011, zaak nr. I ZR 164/09, MMR 2011, 662 e.v.). 15.5.2014). De Duitse wetgever maakt geen onderscheid tussen consumenten en handelaren op grond van het feit dat reclame via e-mail een sterk intimiderend karakter heeft, met name bij zakelijke transacties. (BT-Drucks. 15/1487, blz. 21.)
Kan ik zakelijke klanten aanschrijven met een nieuwsbrief?
Zelfs als het zakelijke klanten zijn, mag je ze zonder toestemming niet aanschrijven.
Kan ik adressen kopen, bijvoorbeeld van wie-tot-wie?
Toestemming is altijd vereist voor het specifieke geval. Daarom is er helaas geen aankoop mogelijk.
Is het ongevraagd verzenden van e-mails toegestaan als deze uitsluitend zijn gericht aan onpersoonlijke e-mailadressen zoals info@..., kontakt@, service@...? etc.? Of is hier ook voorafgaande toestemming vereist, bijvoorbeeld door een dubbele opt-in?
Nee, er is geen mailing toegestaan omdat er geen toestemming is voor het specifieke geval. Voor de tweede vraag is altijd een dubbele opt-in vereist.
Kan ik sportstudio's gewoon aanschrijven als ik sportartikelen verkoop?
Niet zonder toestemming, toestemming is altijd nodig voor het specifieke geval.
Wanneer moet ik ontvangers verwijderen? Onmiddellijk na het uitschrijven?
Volgens art. 17 I b DSGVO moeten alle gegevens onmiddellijk worden verwijderd. Gegevensbeschermingsgoeroe ziet dat heel anders. Ik vind dat de gegevens - als ze niet uitdrukkelijk worden verwijderd - minstens 3 jaar moeten worden bewaard. De achtergrond hiervan is de bewijsplicht onder de gegevensbeschermingswetgeving om het risico op boetes te vermijden.
IV. Verdere vragen over de GDPR & CleverReach
Hoe lang worden de dubbele opt-in gegevens opgeslagen?
De duur van de gegevensopslag wordt niet bepaald door CleverReach, maar door u als verzender van de nieuwsbrief. Een algemeen geldende tijdseenheid bestaat (nog) niet. Omdat u de toestemming van de ontvanger van de nieuwsbrief moet aantonen door middel van een dubbele opt-in, kunnen de gegevens wettelijk zo lang bewaard blijven,
- zolang de mails worden verstuurd op basis van de toestemming, en
- zelfs langer dan dat, zolang je er rekening mee moet houden dat er nog steeds om bewijs kan worden gevraagd.
Het principe is dat gegevens moeten worden verwijderd als ze niet langer nodig zijn, maar ze mogen ook worden bewaard zolang daar een legitiem belang bij is. De bewaartermijn van de gegevens moet daarom door u in elk afzonderlijk geval worden bepaald.
Hoe en wanneer ontvangen CleverReach klanten de dubbele opt-in gegevens voor een aanvraag?
Zoals voorheen ontvangt u de dubbele opt-in gegevens per e-mail in het geval van een CleverReach verzoek. Als je onze CleverReach formulieren gebruikt, kun je het DOI protocol downloaden per ontvanger. Je vindt de download optie direct in het profiel van de ontvanger. Dit is natuurlijk een groot voordeel, vooral in het geval van een klacht. Eén klik en je kunt het bijbehorende registratiebewijs volgens DSGVO bekijken. Snel, handig en voor uw veiligheid.
Hoe lang worden de gegevens van ontvangers van een nieuwsbrief bewaard?
De bewaartermijn van de gegevens wordt niet bepaald door CleverReach, maar door u als verzender van de nieuwsbrief. Dit betekent dat zodra u verzoekt om verwijdering van de gegevens van de ontvanger, wij deze opdracht uitvoeren.
Tegen deze achtergrond moet echter rekening worden gehouden met het feit dat wij als gegevensverwerkers verplicht zijn om de beveiliging van gegevens te waarborgen volgens de nieuwe GDPR en hiervoor regelmatig back-ups moeten maken. Helaas kunnen individuele gegevensrecords niet specifiek worden verwijderd uit deze back-ups, die alleen onder bepaalde voorwaarden worden bekeken en überhaupt weer worden gebruikt. Wij van CleverReach hebben daarom besloten om deze back-ups in het algemeen na 30 dagen te verwijderen.
Hoe lang worden inactieve e-mailadressen, d.w.z. gegevens van nieuwsbriefontvangers, überhaupt bewaard nadat ze zich hebben uitgeschreven?
Als verantwoordelijke voor de gegevens beslist u hierover volgens uw eigen regels. Zoals al is uitgelegd met betrekking tot de double opt-in procedure, geldt het principe dat gegevens moeten worden verwijderd wanneer ze niet langer nodig zijn; ze mogen echter ook worden bewaard zolang daar een legitiem belang bij is. Als de gegevens uitsluitend werden verwerkt voor het verzenden van nieuwsbrieven, mogen de gegevens niet langer worden gebruikt voor het verzenden van nieuwsbrieven aan de ontvanger zodra deze zich heeft afgemeld. De verzender van de nieuwsbrief moet echter ook kunnen aantonen dat hij aan zijn wettelijke verplichtingen voldoet (bijv. volgens de DSGVO). Voor zover de gegevens voor dit doel nodig zijn, mogen ze opgeslagen blijven. Er zal geen automatische verwijdering plaatsvinden door CleverReach, maar we zullen wel de voorwaarden voor u creëren om geautomatiseerde processen in te stellen.
Moeten bestaande toestemmingen van ontvangers van een nieuwsbrief opnieuw worden verzameld?
Als je al effectieve toestemming hebt gegeven: over het algemeen niet (overweging 171 van de GDPR). De Europese wetgever heeft ten gunste van de gegevensgebruiker besloten om de toestemming die al is verkregen onder de gegevensbeschermingswetgeving te blijven toepassen. De voorwaarde is echter dat
- a) de toestemmingen effectief werden verkregen op basis van de BDSG en de TMG die van toepassing waren tot 24.05.2018
- b) de verleende toestemmingen ook voldoen aan de voorwaarden van de GDPR.
In deze context wordt groot belang gehecht aan vrijwilligheid. Dit is niet het geval als het zogenaamde verbod op koppelverkoop in het verleden is overtreden - d.w.z. als het verzamelen van gegevens (e-mailadres) was gekoppeld aan voorwaarden die niet noodzakelijk waren voor de uitvoering van een contract. Aan de andere kant is het feit dat in de eerdere toestemmingen tot 24 mei 2018 niet werd voldaan aan de nieuwe informatievereisten (artikel 13 van de GDPR) onschadelijk.
Dit betekent voor jou als verzender van nieuwsbrieven: aangezien de relevante toestemmingsvereisten onder de huidige en nieuwe wetgeving in Duitsland elkaar grotendeels overlappen, is het over het algemeen niet nodig om vanaf 25 mei 2018 opnieuw toestemming te vragen aan elke ontvanger van een nieuwsbrief wiens gegevens al met toestemming worden verwerkt.
Wat nieuw is en moet worden opgemerkt voor eerdere toestemmingen, is dat de GDPR nu een uniforme minimumleeftijd voor toestemming heeft geregeld. Toestemming van minderjarigen jonger dan 16 jaar (of jonger dan 13 jaar als de nationale wetgeving een overeenkomstige bepaling bevat) is onder de GDPR alleen effectief als de ouders ermee instemmen.
Kunnen gegevens analoog verzameld blijven worden? Welke nieuwe regels moeten in acht worden genomen?
Ja. Hoe gegevens worden verzameld - digitaal of analoog - is in principe hetzelfde voor de wettelijke beoordeling, dezelfde vereisten zijn van toepassing. Dit betekent: een verwijzing naar de gegevensbeschermingsverklaring moet ook worden gemaakt in het geval van analoge gegevensverzameling, bijv. wanneer e-mailadressen offline worden verzameld.
In dit verband heeft de conferentie voor gegevensbescherming verklaard dat de informatie in dit verband
- in een nauwkeurige, transparante, begrijpelijke en gemakkelijk toegankelijke vorm
- en in duidelijke en eenvoudige taal
in duidelijke en eenvoudige taal. Zij moeten ook
- schriftelijk of
- in een andere vorm (indien nodig elektronisch)
beschikbaar worden gesteld.
Als er echter verwezen wordt naar informatie die elektronisch beschikbaar is, dan moet deze ook gemakkelijk te vinden en dus beschikbaar zijn in de specifieke situatie. Als de gegevens dus moeten worden verzameld bij een persoon die aanwezig is, dan mag in de regel niet naar informatie op het internet worden verwezen. Dit geldt ook voor schriftelijke correspondentie op papier.
Moeten ontvangers van een nieuwsbrief weten waar hun gegevens worden opgeslagen (locatie, provider)?
Ja. Een aantekening in de gegevensbeschermingsverklaringen waarin staat wat er wordt opgeslagen, waar en hoe lang, en dat CleverReach de gegevensverwerker in opdracht is met wie een verwerkersovereenkomst (CPA) is gesloten om de gegevens te beschermen, zou meestal voldoende moeten zijn.
Moeten ontvangers bewust worden gemaakt van trackinglinks en trackingpixels?
Ja, via de bijbehorende opmerkingen in het privacybeleid.
Zijn de dubbele opt-in gegevens versleuteld en zo ja, hoe?
Natuurlijk. De dubbele opt-in gegevens worden gecodeerd met behulp van de SSL-procedure.
Moeten ontvangers van een nieuwsbrief op de hoogte worden gebracht van de gegevens die over hen worden verzameld?
Ja. De omvang en het doel van de gegevensverzameling moeten transparant en op een eenvoudige en duidelijke manier worden meegedeeld aan de ontvangers. De essentiële inhoud moet worden uitgelegd op het punt waar de gegevens worden verzameld; voor de rest kan worden verwezen naar het privacybeleid, dat idealiter op dat punt is gekoppeld.
Meer informatie over de GDPR
- Wat verandert er nog meer bij het verzamelen van de gegevens? Waar moet ik op letten?
Gedetailleerde beschrijvingen van verdere vernieuwingen in het kader van de GDPR vind je in onze supportgedeelte. - Interview met onze directeur en juridisch beveiligingsexpert Konrad Frerichs over DSVGO
Staat je vraag over de GDPR er nog niet bij?
Heb je een vraag over de GDPR die thuishoort in het spreekuur?