Rechtssicheres Lead Management

DSGVO-konformes E-Mail-Marketing

03.01.2019 von Martin Philipp
Seit dem 24. Mai 2016 ist die Datenschutzgrundverordnung (DSGVO) europaweit rechtskräftig. Auch wenn die befürchtete Abmahnwelle bislang ausgeblieben ist, herrscht bei vielen Unternehmen noch immer Unsicherheit darüber, ob sie die neuen gesetzlichen Vorgaben korrekt und vollständig umgesetzt haben.

Generell gilt: Wer personenbezogene Daten erheben und verarbeiten möchte, zum Beispiel im Rahmen von E-Mail-Marketing- und Lead-Management-Kampagnen, muss die neuen datenschutzrechtlichen Vorschriften unbedingt beachten. Fragen Sie sich also selbst: Habe ich wirklich an alles gedacht? Sind meine Prozesse absolut rechtskonform? Im Folgenden erhalten Sie verlässliche Antworten auf die dringendsten Fragen.

In vielen Unternehmen herrscht noch immer Unsicherheit darüber, ob sie die neuen gesetzlichen Vorgaben korrekt und vollständig umgesetzt haben.
Foto: Roman Samborskyi - shutterstock.com

Frage 1: Erfolgt der Einwilligungsprozess gemäß DSGVO?

Um personenbezogene Daten zu Werbezwecken erheben und verarbeiten zu dürfen, braucht es eine freiwillige und nachweisliche Einwilligung des Betroffenen. Wichtig ist, dass Sie den Betroffenen, um dessen Einwilligung es geht, im Vorfeld über alle Aspekte und Zwecke der Datenverarbeitung auf verständliche Art und Weise aufklären.

Hierfür empfiehlt es sich, bei Online-Formularen im direkten Umfeld des E-Mail-Adressfelds eine entsprechende Checkbox mit Einwilligungserklärung zu ergänzen und diese Erklärung in den Datenschutzinformationen zu wiederholen. Da Unternehmen in Sachen Einwilligung die Nachweispflicht haben, sollten Sie insbesondere bei online erteilten Einwilligungen auf ein double-opt-in-Verfahren setzen:

Senden Sie dem Empfänger einen Bestätigungslink per E-Mail zu, damit er seine Angaben durch Klicken des Links verifizieren kann. Um die erforderliche Nachweisbarkeit sicherzustellen, ist jeder Schritt des double-opt-in-Prozesses in Ihrem System zu protokollieren.

Frage 2: Entspricht die Datenschutzinformation den Vorgaben der DSGVO?

Mit der Datenschutzinformation oder -erklärung müssen Sie den Nutzer über die Rechtsgrundlagen einer Versendung zu Werbezwecken informieren. Gefordert sind nicht nur verständliche Angaben zum Inhalt des Newsletters oder E-Mailings, sondern auch eine Aufklärung über das Einwilligungsverfahren (double-opt-in, Protokollierung) sowie weitere relevante Informationen: Name und Kontaktdaten des Datenschutz-Verantwortlichen, Zweck und Rechtsgrundlage der Verarbeitung sowie der Zeitraum der Speicherung personenbezogener Daten.

Sollten Sie mit externen Dienstleistern oder Auftragsverarbeitern zusammenarbeiten, sind die Abonnenten zu informieren, um wen genau es sich dabei handelt. Daneben muss die Datenschutzinformation auch darüber aufklären, welche personenbezogenen Daten Sie speichern und deutlich machen, dass die Nutzer ihre Einwilligung jederzeit widerrufen und sich von Ihren Diensten abmelden können (Widerrufsrecht). Am besten erfüllen Sie diese Pflicht durch einen jederzeit abrufbaren Link, der von allen Seiten Ihrer Website aus gut erreichbar ist. So können Websitebesucher die Datenschutzerklärung lesen, bevor sie sich in einen E-Mail-Verteiler eintragen oder ein Formular ausfüllen.

Lesetipp: DSGVO-Stress ist nicht vorbei

Frage 3: Ist das Impressum auf dem aktuellen Stand?

Damit sich ein Betroffener darüber informieren kann, mit wem er es zu tun hat und wer für die Verarbeitung seiner personenbezogenen Daten verantwortlich ist, sollten Sie das Impressum an einer gut auffindbaren Stelle auf Ihrer Website platzieren. Bitte beachten Sie, dass auch Ihr Newsletter und/oder Ihre Marketing-E-Mails ein Impressum beinhalten müssen - mit Angaben zum Namen, Anschrift und ggf. Rechtsform, E-Mail-Adresse und Telefonnummer, Handelsregister-Eintrag sowie Umsatzsteueridentifikationsnummer. Alternativ besteht die Möglichkeit, im Newsletter oder E-Mailing nur Anschrift, E-Mail-Adresse und Telefonnummer anzugeben und auf das Website-Impressum zu verlinken.

Roundtable Managed Security Services - Hersteller erklären ihre Channel-Konzepte
Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Dr. Ronald Wiltscheck, Chefredakteur bei ChannelPartner, eröffnet den Roundtable "Managed Security Services" und begrüßt alle Teilnehmer.
Maik Wetzel, Channel Sales Director DACH bei ESET
„Die Zuwächse in dem Bereich Managed Security Services sind um ein Vielfaches größer, als im klassischen Business.“
Tim Berghoff, Security Evangelist bei G Data
„Audits, Penetrationstest und ähnliches bieten sich als ergänzende Leistungen zu MSS an. Das kann auch jemand machen, der herstellerübergreifend tätig ist.“
David Beier, Partner Account Manager bei Avast
„Gerade bei KMU kommt der Bedarf von den Endkunden. Sie möchten wegen Personalmangel oder um Kosten zu sparen outscourcen.“
Thomas Huber, Channel Director bei Trend Micro
„Der IT-Admin beim Endkunden braucht neue Prozesse und er braucht Antworten von den Resellern.“
Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Elisabeth Gries (Avast, links) im Gespräch mit Regina Hermann (IDG, rechts).
Richard Werner, Business Consultant bei Trend Micro
Mit dem Thema Managed Security Services beschäftigen wir uns bereits seit zehn Jahren. Und schon damals hatte die großen Systemintegratoren aber auch die Spezialisten unter den IT-Dienstleistern in Deutschland Managed Security Services im Fokus."
Michael Haas, Area Sales Director Central Europe bei Watchguard
„Ich glaube, dass ein MSS-Provider mehrere Hersteller anbieten muss. Daher muss man auch als Hersteller offen sein für die technische Kommunikation mit anderen Lösungen.“
Sven Janssen, Director Channel Sales DACH bei Sophos
„Ganz wichtig ist, dass es nicht nur um die Lösung an sich geht, sondern dass drumherum auch die Lizenz- und Preismodelle stimmen.“
Peter Marwan, ChannelPartner
"Wie hoch ist Ihr Managed Security Services-Anteil am Gesamt-Business?"
Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Die Teilnehmer am "Managed Security"-Roundtable von ChannelPartner (v.l.n.r.): Sven Janssen, (Sophos), Hagen Renner (Rohde und Schwarz Cybersecurity), Peter Marwan und Saskia van der Kraaij (beide ChannelPartner), Thomas Huber (Trend Micro), David Baier (Avast), Richard Werner (Trend Micro), Maik Wetzel (Eset), Thomas Jank (ChannelPartner), Michael Haas (WatchGuard) und Ronald Wiltscheck (ChannelPartner).
Hagen Renner, Head of Channel Sales DACH bei Link11
„Endkunden wollen Kosten auf ein möglichst langes Zeitfenster verteilen und da kommt automatisch die Anforderung nach einem geeigneten Modell.“

Frage 4: Findet der Grundsatz der Datensparsamkeit Beachtung?

Bei der Erhebung personenbezogener Daten im Rahmen einer E-Mail-Marketing- oder Lead-Management-Kampagne prallen gegensätzliche Interessen aufeinander. Ihrem nachvollziehbaren Interesse, Leads auf Basis zahlreicher Informationen möglichst weitgehend zu qualifizieren, steht der Grundsatz der Datenvermeidung und Datensparsamkeit gegenüber.

Wie aber bekommen Sie das zusammen? In erster Linie sind Sie dazu verpflichtet, so wenig personenbezogene Daten wie möglich zu verarbeiten und die Rechtmäßigkeit jeder einzelnen Information eines Datensatzes nachzuweisen. Die Grundsätze der Transparenz, Zweckbindung, Datensparsamkeit und begrenzten Speicherung sind unbedingt einzuhalten.

Lesetipp: Probleme beim Newsletter-Versand nach DSGVO

Achten Sie darum bei der Formulargestaltung darauf, dass Sie nur so viele Daten abfragen, wie für den jeweiligen Zweck nötig sind (Art. 13 Abs. 1 DSGVO). Zum Versand eines Newsletters oder anderer E-Mailings ist beispielsweise die E-Mail-Adresse ausreichend. Sollten Sie darüber hinaus weitere Daten erheben wollen, empfiehlt es sich, das nicht über Pflichtfelder zu tun, sondern solche Formularfelder als freiwillige Angabe zu kennzeichnen. Hier sollten Sie kurz erläutern, warum diese Daten für Sie relevant wären. Generell gilt: Je überschaubarer ein Formular, desto höher die Konversionsrate.

Frage 5: Läuft der Datenverarbeitungsprozess DSGVO-konform ab?

Mit Inkrafttreten der DSGVO sind Sie verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Sie dürfen diese Aufgabe zwar delegieren, bleiben jedoch dafür verantwortlich und müssen die Durchführung kontrollieren.

Zum Video: DSGVO-konformes E-Mail-Marketing

Ein solches Verzeichnis informiert nachvollziehbar über den Zweck der Datenverarbeitung; die Kategorien der betroffenen Personen und der personenbezogenen Daten; die Kategorien der Empfänger, gegenüber denen die Daten offengelegt wurden oder noch werden; Fristen zur Löschung der Daten; sowie die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit. Wenn Sie eine E-Mail-Marketing-Automation-Lösung einsetzen, agieren Sie als Auftraggeber, der die Daten - z. B. Mailing- und Newsletter-Inhalte samt Adressenpool - an einen Dienstleister als Auftragnehmer weitergibt.

Dieser wiederum verarbeitet oder versendet diese Informationen auf Ihre Anweisung hin. Darum müssen Sie einen Auftragsverarbeitungsvertrag mit dem Softwareanbieter schließen. Darin versichern beide Parteien, dass die Datenverarbeitung entsprechend der rechtlichen Vorgaben erfolgt - was Sie als Auftraggeber, zum Beispiel gegenüber einer prüfenden Behörde, nachweisen müssen. Als Auftraggeber müssen Sie außerdem dafür sorgen, dass der Auftragsverarbeiter die schriftlich vereinbarten Vorgaben, die - anders als früher - heute auch elektronisch geregelt werden dürfen, tatsächlich umsetzt.

Frage 6: Was passiert mit Altdaten?

Sollten in Ihrem System personenbezogene Daten gespeichert sein, die Sie vor Inkrafttreten der DSGVO erhoben haben, müssen Sie diese Informationen nicht löschen, sofern die Einwilligungen der Betroffenen gemäß der EU-Datenschutzrichtlinie 95/46/EG eingeholt wurden und den Mindestanforderungen der DSGVO entsprechen: Es braucht eine freiwillige, nachweisbare und protokollierte Einwilligung sowie einen Hinweis auf das Widerrufsrecht. Sind diese Voraussetzungen erfüllt, dürfen Sie Alt- und vorhandene CRM-Daten DSGVO-konform verarbeiten und weiterhin für Ihr E-Mail-Marketing und Lead-Management nutzen. Wurden Ihre Altdaten nicht gemäß DSGVO erhoben, sind sie zu löschen.

Frage 7: Hat der Nutzer in das Anlegen von Nutzerprofilen und Tracking eingewilligt?

Während es bisher erlaubt war, pseudonymisierte Nutzerprofile zu Marketingzwecken mit opt-out-Lösung ohne Einwilligung anzulegen - das heißt, es ist nur eine ausdrückliche Ablehnung erforderlich -, sofern der Nutzer darüber entsprechend unterrichtet wurde, ist das nun verboten.

Bei der Pseudonymisierung handelt es sich um eine Datenverarbeitung, bei der personenbezogene Daten zwar nicht mehr ohne weiteres einer spezifischen Person zugeordnet werden können, aber trotzdem grundsätzlich personenbeziehbar bleiben. Somit dürfen Sie auch pseudonymisierte Nutzerprofile nur erstellen, wenn der Betroffene mittels double-opt-in und unter Berücksichtigung der bereits erläuterten Voraussetzungen zustimmt. Gleiches gilt für das Tracking des Nutzerverhaltens und der damit erhobenen Daten.

Lesetipp: DSGVO-Checkliste