E-Mail-Marketing mit der EU-DSGVO

Was ändert sich für Versender von Werbe-E-Mails?

EU-Datenschutzverordnung gilt in

Day(s)

:

Hour(s)

:

Minute(s)

:

Second(s)

Am 25. Mai 2018 löst die EU-DSGVO (EU-Datenschutzgrundverordnung) das bisherige Datenschutzgesetz (BDSG) ab. Einige Punkte werden in einem Nachfolgegesetz zum BDSG durch die Bundesregierung ergänzend geregelt. Und zu guter Letzt wird auch eine europaweite Novellierung der E-Privacy-Verordnung erwartet.

Datenschutz ist nicht das beliebteste Thema unter Marketing-Experten, dennoch werden die neuen Verordnungen für alle Unternehmen relevant, die digitales Marketing – insbesondere E-Mail- Marketing – betreiben oder betreiben wollen. Schon bei geringfügigen Verstößen gegen den Datenschutz drohen mit der EU-DSGVO massive Sanktionen bis zu 20 Millionen Euro! Mit diesen Informationen wollen wir Ihnen kurz aufzeigen, was Sie im E-Mail-Marketing bezüglich der neuen Datenschutzgesetze beachten sollten.

Das Verbot mit Erlaubnisvorbehalt – quasi ein „alter Bekannter“

Die aus dem BDSG bekannte Regelung „personenbezogene Daten dürfen nur mit Einwilligung der Betroffenen oder aufgrund einer rechtlichen Erlaubnis verarbeitet werden“ gilt auch weiterhin und stellt für Sie die wichtigste Grundlage für die Verarbeitung personenbezogener Daten dar.

Bei der Ausgestaltung der Einwilligung und der Aufklärung des Betroffenen, gibt es strengere Anforderungen als bisher. Auf diesen Punkt gehen wir in Teil 3 – Datenschutzrechtliche Einwilligung genauer ein.

100% Whitelabel fähig

Gesetzliche Erlaubnisse, die keine persönliche Einwilligung der Betroffenen erfordern, gelten wie bisher – zum Beispiel die Verarbeitung zur Durchführung eines Vertrages, zur Erfüllung einer rechtlichen Verpflichtung und die Verarbeitung zur Wahrung berechtigter Interessen eines Unternehmens – sofern die Interessen und Grundrechte der betroffenen Nutzer nicht überwiegen.

Aber hier ist Vorsicht geboten: die Persönlichkeitsrechte der Betroffenen werden in den meisten Fällen schwerer wiegen als die berechtigten Interessen der Unternehmen (siehe hierzu Kurzpapier des Bayerischen Landesamts für Datenschutzaufsicht „Verarbeitung personenbezogener Daten für Werbung“ – (https://www.lda.bayern.de). Nicht jedes Geschäftsmodell lässt sich mit der Abstellung auf berechtigte Interessen rechtfertigen. Die Verarbeitung von Namen und Adressen zur Versandabwicklung wird weiterhin erlaubt sein, das sehr verbreitete Nutzertracking wird sich aber auch zukünftig nicht ohne eine Einwilligung der betroffenen Nutzer rechtfertigen lassen.

Kontenverwaltung

Software-Hersteller werden strenger in die Pflicht genommen

In der EU-DSGVO finden sich zwei wichtige Neuerungen zum Thema technischer Datenschutz. Verantwortliche sind zukünftig explizit aufgefordert, datenschutzfreundliche Techniken einzusetzen („Privacy by Design“) und Produkte mit datenschutzfreundlichen Voreinstellungen („Privacy by Default“) anzubieten. Das bedeutet konkret, dass Sie ihre Datenverarbeitung nach diesen Vorgaben ausrichten müssen, egal ob Sie Arbeitsprozesse gestalten oder Software Dritter zur Verarbeitung nutzen möchten (z.B. Cloud Lösungen) – in jedem Fall müssen Sie dafür Sorge tragen, dass die eingesetzten Techniken und Systeme den beiden oben genannten Grundsätzen folgen und nur personenbezogene Daten verarbeitet werden, deren Verarbeitung auch für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind.

Die EU-DSGVO erwähnt z.B. die Pseudonymisierung als geeignetes Mittel, um diesen Vorgaben gerecht zu werden.
Weiterhin gilt der schon im BDSG vorgesehene Grundsatz der Datenminimierung. Neu ist, dass zur Verarbeitung eingesetzte Software diesen Grundsatz durch technische Voreinstellungen erfüllen muss. Dies betrifft die Menge der erhobenen Daten, den Umfang der Verarbeitung, Speicher- und Löschfristen, sowie die Zugänglichkeit durch Dritte. Diese Regelungen zielen zwar vorwiegend auf die bisherige Verarbeitungspraxis bei sozialen Netzwerken ab, gelten aber ebenso für alle anderen Unternehmensformen und Softwarelösungen.

Sie müssen also in Zukunft bereits bei der Erhebung von personenbezogenen Daten prüfen, ob diese Informationen für die Dienstleistung tatsächlich erforderlich sind, die erbracht werden soll. Für die Missachtung dieses Gebots drohen bereits empfindliche Bußgelder.

Recht auf Datenübertragbarkeit

Betroffene (also die Personen, deren Daten Sie speichern und verarbeiten), haben mit der EU-DSGVO ein Anrecht darauf, die durch ein Unternehmen gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie müssen also dafür Sorge tragen, dass Sie die Daten jederzeit unverzüglich in einer Form übermitteln können, die der oder die Betroffene am PC ohne Schwierigkeiten öffnen und lesen kann.

Ebenso haben Nutzer damit das Recht, ihre Daten auf einfachem Weg an neue Anbieter übermitteln zu lassen – davon werden vor allem Cloud-Anbieter betroffen sein. Nutzer, die ihre personenbezogenen Daten zu einem neuen Anbieter umziehen wollen, haben nun per Gesetz einen Anspruch darauf, dass ihnen dies einfach und reibungslos ermöglicht wird. Theoretisch fallen hier Anbieter von E-Mail-Marketing-Software unter diese Definition, es wird aber sicher eher eine Ausnahme sein, dass ein Empfänger seine Anmeldedaten zu einem anderen Anbieter übertragen lassen möchte.

100% Whitelabel fähig
Kontenverwaltung

Datenschutzerklärungen müssen angepasst werden

Nutzer hatten schon nach BDSG und TMG das Recht Einblick in die über sie gespeicherten Daten und den Verwendungszweck zu nehmen, die EU-DSGVO geht an dieser Stelle aber deutlich über die alten Vorschriften hinaus. Allerdings hat sie diese Regelungen mit einer Öffnungsklausel versehen, die es dem deutschen Gesetzgeber erlaubt, hier eigene Vorschriften zu den Informationspflichten zu erlassen. Die Entwürfe zu einem ergänzenden Datenschutzgesetz in Deutschland zeigen bereits, dass der Gesetzgeber diese Öffnungsklausel eher zugunsten von Unternehmen auslegen möchte. Ob diese nationale Regelung dann mit EU-Recht vereinbar sein wird und nach Beendigung des Gesetzgebungsverfahrens Bestand hat, bleibt abzuwarten.
In jedem Fall müssen Sie aber die Datenschutzerklärungen nach BDSG auf Webseiten bis Mai 2018 angepasst haben. Sie müssen nun zum Beispiel nach EU-DSGVO die Speicherfristen und die Gründe für die Datenerhebung detaillierter angeben. Auch die Kontaktdaten des Datenschutzbeauftragten sind nun zwingend anzugeben. Wir empfehlen Ihnen hier Anrede, Name, E-Mail-Adresse und eine Rufnummer anzugeben, sowie die postalische Anschrift, sofern diese nicht der Unternehmens-anschrift entspricht. Eine anonyme E-Mail-Adresse wie datenschutz@company.com alleine ist nicht ausreichend.

Regelungen zur Dokumentation von Verarbeitungstätigkeiten

Sie als Verantwortlicher im Sinne der EU-DSGVO müssen, ebenso wie der Auftragsverarbeiter, sämtliche Verarbeitungstätigkeiten dokumentieren. Die sogenannten Verzeichnisse von Verarbeitungstätigkeiten sind in gewissenhaft zu führen und den Datenschutzbehörden auf Verlangen unverzüglich vorzulegen.

Folgende grundsätzliche Anforderungen gelten an die Dokumentation: Die Verzeichnisse sind regelmäßig in deutscher Sprache zu führen. Zumindest muss das Unternehmen in der Lage sein, von der Aufsichtsbehörde angeforderte Verzeichnisse unverzüglich in deutscher Sprache vorzulegen. Die Verzeichnisse sind schriftlich zu führen. Dies kann auch in einem elektronischen Format erfolgen.

100% Whitelabel fähig

Die Aufsichtsbehörde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) eigenständig festlegen und daher auch bei einem im elektronischen Format geführten Verzeichnis den Ausdruck verlangen. Um Änderungen der Eintragungen im Verzeichnis nachvollziehen zu können (z.B. wer war wann Verantwortlicher, Datenschutzbeauftragter etc.), sollte eine Dokumentation der Änderungen mit einer Speicherfrist von einem Jahr erfolgen.

Welche konkreten Informationen in den Verzeichnissen enthalten sein müssen, entnehmen Verantwortliche Art. 30 DSGVO Absatz 1, Auftragsverarbeiter Art. 30 DSGVO Absatz 2.

Konkrete Mustervorlagen der Aufsichtsbehörden für Auftragsverarbeiter und Verantwortliche finden Sie auf der Webseite des Berufsverbands der Datenschutzbeauftragten Deutschlands (bvdnet.de). Sie können diese auch bei uns erhalten.

Diese Verzeichnisse müssen Sie nicht mehr öffentlich machen, aber den Behörden auf Verlangen vorlegen können. Haben Sie die Verzeichnisse nicht oder nicht ausreichend geführt, drohen empfindliche Bußgelder. Kleine Unternehmen (weniger als 250 Mitarbeiter), die nicht regelmäßig personenbezogene Daten verarbeiten, müssen diese Dokumentation nicht erstellen – im Regelfall erfolgt aber heutzutage in nahezu jedem Unternehmen die Verarbeitung regelmäßig, zum Beispiel in der Personalabteilung. Die besonderen Ausnahmen finden Sie in Art. 30 Abs. 5 DSGVO.

Kontenverwaltung

Neue Sanktionen – es kann richtig teuer werden!

Nach BDSG sind im Einzelfall Bußgelder bis zu 300.000 € möglich, in den letzten Jahren wurden tatsächlich Bußgelder in Höhen von mehreren Tausend, selten aber über Zehntausend Euro verhängt – weil die meisten Unternehmen ihre Verfahren schnell angepasst und sich einsichtig gezeigt hatten. Zukünftig sieht die DSGVO deutlich erhöhte Sanktionen vor, mit dem Ziel auch große internationale Unternehmen zu treffen.
Mögliche Bußgelder erhöhen sich auf bis zu 20.000.000 Euro oder 4% des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert höher ist.

Natürlich wird nicht jedes Vergehen gleich mit dem Höchstsatz sanktioniert, die DSGVO ist die Grundlage für die Bemessungskriterien, nach denen die Behörden Schwere und Dauer der Verstöße eingestuft werden. Grundsätzlich drohen aber deutlich höhere Bußgelder und auch vermeintlich geringfügige Verstöße, wie eine nicht ordnungsgemäße Bestellung eines Datenschutzbeauftragten oder die fehlende Dokumentation der Verarbeitungstätigkeiten, können bereits mit sehr hohen Bußgeldern belegt werden. Dazu kommt, dass die Datenschutzaufsichtsbehörden voraussichtlich zusammengelegt und mit mehr Personal und Geld ausgestattet werden sollen, also auch stärker kontrollieren können als zuvor.

Was Sie umgehend prüfen sollten

• Liegen für alle Verarbeitungstätigkeiten die Einwilligungserklärungen der Betroffenen vor?
• Haben Sie Ihre Dienstleister und die verwendete Software auf Privacy by Design und Privacy by Default hin überprüft?
• Werden personenbezogene Daten in einem übertragbaren und maschinell lesbaren Format gespeichert, das zur Auskunftserteilung oder Datenübertragung geeignet ist?
• Haben Sie Ihre Datenschutzerklärung angepasst (Speicherfristen, Gründe der Datenerhebung)? Kontaktdaten Ihres Datenschutzbeauftragten genannt?
• Dokumentieren Sie bereits alle Verarbeitungstätigkeiten mit allen erforderlichen Angaben? Können Sie diese Verzeichnisse unverzüglich Behörden zur Einsicht vorlegen?