Generell gilt: Wer personenbezogene Daten erheben und verarbeiten möchte, zum Beispiel im Rahmen von E-Mail-Marketing- und Lead-Management-Kampagnen, muss die neuen datenschutzrechtlichen Vorschriften unbedingt beachten. Fragen Sie sich also selbst: Habe ich wirklich an alles gedacht? Sind meine Prozesse absolut rechtskonform? Im Folgenden erhalten Sie verlässliche Antworten auf die dringendsten Fragen.
Foto: Roman Samborskyi - shutterstock.com
Frage 1: Erfolgt der Einwilligungsprozess gemäß DSGVO?
Um personenbezogene Daten zu Werbezwecken erheben und verarbeiten zu dürfen, braucht es eine freiwillige und nachweisliche Einwilligung des Betroffenen. Wichtig ist, dass Sie den Betroffenen, um dessen Einwilligung es geht, im Vorfeld über alle Aspekte und Zwecke der Datenverarbeitung auf verständliche Art und Weise aufklären.
Hierfür empfiehlt es sich, bei Online-Formularen im direkten Umfeld des E-Mail-Adressfelds eine entsprechende Checkbox mit Einwilligungserklärung zu ergänzen und diese Erklärung in den Datenschutzinformationen zu wiederholen. Da Unternehmen in Sachen Einwilligung die Nachweispflicht haben, sollten Sie insbesondere bei online erteilten Einwilligungen auf ein double-opt-in-Verfahren setzen:
Senden Sie dem Empfänger einen Bestätigungslink per E-Mail zu, damit er seine Angaben durch Klicken des Links verifizieren kann. Um die erforderliche Nachweisbarkeit sicherzustellen, ist jeder Schritt des double-opt-in-Prozesses in Ihrem System zu protokollieren.
Frage 2: Entspricht die Datenschutzinformation den Vorgaben der DSGVO?
Mit der Datenschutzinformation oder -erklärung müssen Sie den Nutzer über die Rechtsgrundlagen einer Versendung zu Werbezwecken informieren. Gefordert sind nicht nur verständliche Angaben zum Inhalt des Newsletters oder E-Mailings, sondern auch eine Aufklärung über das Einwilligungsverfahren (double-opt-in, Protokollierung) sowie weitere relevante Informationen: Name und Kontaktdaten des Datenschutz-Verantwortlichen, Zweck und Rechtsgrundlage der Verarbeitung sowie der Zeitraum der Speicherung personenbezogener Daten.
Sollten Sie mit externen Dienstleistern oder Auftragsverarbeitern zusammenarbeiten, sind die Abonnenten zu informieren, um wen genau es sich dabei handelt. Daneben muss die Datenschutzinformation auch darüber aufklären, welche personenbezogenen Daten Sie speichern und deutlich machen, dass die Nutzer ihre Einwilligung jederzeit widerrufen und sich von Ihren Diensten abmelden können (Widerrufsrecht). Am besten erfüllen Sie diese Pflicht durch einen jederzeit abrufbaren Link, der von allen Seiten Ihrer Website aus gut erreichbar ist. So können Websitebesucher die Datenschutzerklärung lesen, bevor sie sich in einen E-Mail-Verteiler eintragen oder ein Formular ausfüllen.
Lesetipp: DSGVO-Stress ist nicht vorbei
Frage 3: Ist das Impressum auf dem aktuellen Stand?
Damit sich ein Betroffener darüber informieren kann, mit wem er es zu tun hat und wer für die Verarbeitung seiner personenbezogenen Daten verantwortlich ist, sollten Sie das Impressum an einer gut auffindbaren Stelle auf Ihrer Website platzieren. Bitte beachten Sie, dass auch Ihr Newsletter und/oder Ihre Marketing-E-Mails ein Impressum beinhalten müssen - mit Angaben zum Namen, Anschrift und ggf. Rechtsform, E-Mail-Adresse und Telefonnummer, Handelsregister-Eintrag sowie Umsatzsteueridentifikationsnummer. Alternativ besteht die Möglichkeit, im Newsletter oder E-Mailing nur Anschrift, E-Mail-Adresse und Telefonnummer anzugeben und auf das Website-Impressum zu verlinken.
Frage 4: Findet der Grundsatz der Datensparsamkeit Beachtung?
Bei der Erhebung personenbezogener Daten im Rahmen einer E-Mail-Marketing- oder Lead-Management-Kampagne prallen gegensätzliche Interessen aufeinander. Ihrem nachvollziehbaren Interesse, Leads auf Basis zahlreicher Informationen möglichst weitgehend zu qualifizieren, steht der Grundsatz der Datenvermeidung und Datensparsamkeit gegenüber.
Wie aber bekommen Sie das zusammen? In erster Linie sind Sie dazu verpflichtet, so wenig personenbezogene Daten wie möglich zu verarbeiten und die Rechtmäßigkeit jeder einzelnen Information eines Datensatzes nachzuweisen. Die Grundsätze der Transparenz, Zweckbindung, Datensparsamkeit und begrenzten Speicherung sind unbedingt einzuhalten.
Lesetipp: Probleme beim Newsletter-Versand nach DSGVO
Achten Sie darum bei der Formulargestaltung darauf, dass Sie nur so viele Daten abfragen, wie für den jeweiligen Zweck nötig sind (Art. 13 Abs. 1 DSGVO). Zum Versand eines Newsletters oder anderer E-Mailings ist beispielsweise die E-Mail-Adresse ausreichend. Sollten Sie darüber hinaus weitere Daten erheben wollen, empfiehlt es sich, das nicht über Pflichtfelder zu tun, sondern solche Formularfelder als freiwillige Angabe zu kennzeichnen. Hier sollten Sie kurz erläutern, warum diese Daten für Sie relevant wären. Generell gilt: Je überschaubarer ein Formular, desto höher die Konversionsrate.
Frage 5: Läuft der Datenverarbeitungsprozess DSGVO-konform ab?
Mit Inkrafttreten der DSGVO sind Sie verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Sie dürfen diese Aufgabe zwar delegieren, bleiben jedoch dafür verantwortlich und müssen die Durchführung kontrollieren.
Zum Video: DSGVO-konformes E-Mail-Marketing
Ein solches Verzeichnis informiert nachvollziehbar über den Zweck der Datenverarbeitung; die Kategorien der betroffenen Personen und der personenbezogenen Daten; die Kategorien der Empfänger, gegenüber denen die Daten offengelegt wurden oder noch werden; Fristen zur Löschung der Daten; sowie die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit. Wenn Sie eine E-Mail-Marketing-Automation-Lösung einsetzen, agieren Sie als Auftraggeber, der die Daten - z. B. Mailing- und Newsletter-Inhalte samt Adressenpool - an einen Dienstleister als Auftragnehmer weitergibt.
Dieser wiederum verarbeitet oder versendet diese Informationen auf Ihre Anweisung hin. Darum müssen Sie einen Auftragsverarbeitungsvertrag mit dem Softwareanbieter schließen. Darin versichern beide Parteien, dass die Datenverarbeitung entsprechend der rechtlichen Vorgaben erfolgt - was Sie als Auftraggeber, zum Beispiel gegenüber einer prüfenden Behörde, nachweisen müssen. Als Auftraggeber müssen Sie außerdem dafür sorgen, dass der Auftragsverarbeiter die schriftlich vereinbarten Vorgaben, die - anders als früher - heute auch elektronisch geregelt werden dürfen, tatsächlich umsetzt.
Frage 6: Was passiert mit Altdaten?
Sollten in Ihrem System personenbezogene Daten gespeichert sein, die Sie vor Inkrafttreten der DSGVO erhoben haben, müssen Sie diese Informationen nicht löschen, sofern die Einwilligungen der Betroffenen gemäß der EU-Datenschutzrichtlinie 95/46/EG eingeholt wurden und den Mindestanforderungen der DSGVO entsprechen: Es braucht eine freiwillige, nachweisbare und protokollierte Einwilligung sowie einen Hinweis auf das Widerrufsrecht. Sind diese Voraussetzungen erfüllt, dürfen Sie Alt- und vorhandene CRM-Daten DSGVO-konform verarbeiten und weiterhin für Ihr E-Mail-Marketing und Lead-Management nutzen. Wurden Ihre Altdaten nicht gemäß DSGVO erhoben, sind sie zu löschen.
Frage 7: Hat der Nutzer in das Anlegen von Nutzerprofilen und Tracking eingewilligt?
Während es bisher erlaubt war, pseudonymisierte Nutzerprofile zu Marketingzwecken mit opt-out-Lösung ohne Einwilligung anzulegen - das heißt, es ist nur eine ausdrückliche Ablehnung erforderlich -, sofern der Nutzer darüber entsprechend unterrichtet wurde, ist das nun verboten.
Bei der Pseudonymisierung handelt es sich um eine Datenverarbeitung, bei der personenbezogene Daten zwar nicht mehr ohne weiteres einer spezifischen Person zugeordnet werden können, aber trotzdem grundsätzlich personenbeziehbar bleiben. Somit dürfen Sie auch pseudonymisierte Nutzerprofile nur erstellen, wenn der Betroffene mittels double-opt-in und unter Berücksichtigung der bereits erläuterten Voraussetzungen zustimmt. Gleiches gilt für das Tracking des Nutzerverhaltens und der damit erhobenen Daten.
Lesetipp: DSGVO-Checkliste