DSGVO im Newsletter-Marketing umsetzen – Infos & Anleitung

  • DSGVO im Newsletter-Marketing umsetzen – Infos & Anleitung

    DSGVO im Newsletter-Marketing umsetzen – Infos & Anleitung

    Wie Firmen mit Kundendaten im Newsletter-Marketing umgehen, ändert sich mit der EU-DSGVO massgeblich. Die Datenschutz-Grundverordnung bringt neue, EU-übergreifende, einheitliche Regelungen – auch für die Schweiz. Lesen Sie hier, wie Sie mit Ihren bestehenden und neuen Empfänger-Kontakten DSGVO-gerecht umgehen.

    Anmerkung: wir können nur Hinweise und Tipps geben, die für ihren individuellen Fall einzeln geprüft werden müssen. Letztendlich sind Sie allein für die korrekte Umsetzung der DSVGO verantwortlich und sollten es ggf. von einer Fachperson prüfen lassen.

    So, nun lassen Sie uns aber loslegen 🙂

    Die EU-DSGVO gilt ab dem 25. Mai 2018

     

    Hintergrund der EU-DSGVO im Newsletter-Marketing

    Die EU-DSGVO möchte Ihre Empfänger besser schützen, informieren und mehr Rechte über ihre Daten geben.

    Sie gilt:

    • für natürliche Personen
    • also nicht für Unternehmen, Vereine, Parteien usw.
    • für Personenbezogene Daten, die die Identifikation einer Person ermöglichen, wie:
      • Name, Adresse, Telefonnummer usw.
      • aber auch ein Username
      • oder biometrische Daten, sowie Krankendaten, die Rückschlüsse zulassen

     

    Die EU-DSGVO regelt das Newsletter-Marketing nicht explizit, die Regelungen müssen daher übertragen werden. Die wichtigsten Punkte sind wohl:

    • Die umfassende, transparente und verständliche Offenlegung, wie mit Daten umgegangen wird
      • welche Daten
      • zu welchem Zweck
      • wo sind sie gespeichert
      • wie wird mit ihnen umgegangen
      • was passiert wenn sich der Empfänger abmeldet
    • Empfänger müssen aktiv dem Newsletter-Versand zustimmen, jederzeit auf Ihre Datenschutzerklärung zugreifen und sich abmelden können
    • Wie sind Drittpersonen involviert, bspw. der Newsletter-Software-Anbieter, andere Unternehmen oder auch interne Stellen, die mit den Daten arbeiten
    • Wie wird die Sicherheit gewährleistet? Ist der Anbieter, der Server-Standort usw. vertrauenswürdig?

     

    Ab 25. Mai 2018 treten diese Regelungen in Kraft – bis dahin sollte Ihr Newsletter-Marketing ready sein.

    Nachfolgend betrachten wir die einzelnen Punkte im Newsletter-Marketing detailliert und geben Hinweise auf die Umsetzung in der Praxis.

     

    Wie setzt man die DSGVO Regelungen im Newsletter Marketing um?

    Ihre Empfänger müssen aktiv zum Newsletter zustimmen und über die Behandlung ihrer Daten informiert worden sein.

    Die EU-DSGVO gerechte Anmeldung für Ihren Newsletter

    Egal ob Sie Ihre Empfänger online, z.B. auf der Webseite oder offline auf einer Messe gewinnen, die folgenden Punkte müssen erfüllt sein.

     

    Die Anmeldung

    • Nur das Email-Feld ist Pflichtfeld – alle Angaben anderen sind für den Versand nicht essentiell (Datensparsamkeit: nur einfordern was nötig ist)
    • Idealerweise weisen Sie darauf hin, dass weitere Angaben wie Name, Geburtstag usw. optional sind
    • Nennen Sie den Zweck – lieber etwas umfassender als zu eng, bspw.: “Ihre Daten werden genutzt um Ihnen Informationen zu Aktionen, neuen Produkten, [….] zukommen zu lassen” (Zweckbindung) – selbstverständlich dürfen die Daten dann auch nur zu diesem Zweck verwendet werden
    • Informieren Sie über die Abmeldemöglichkeit
    • Idealerweise gibt es ein Kästchen zur Bestätigung des Hinweises auf die eigenen Datenschutzerklärung + Link
    • Verwenden Sie das Double Opt-In Verfahren: mit der neuen Regelung, muss der Datenverwendung aktiv zugestimmt werden. Passivität oder ein bereits angekreuztes Kontrollfeld sind nicht gültig (Verbot mit Erlaubnisvorbehalt)
    • Achten Sie auf die aktive und bewusste Einwilligung des neuen Empfängers (mehr dazu unten) und dessen Protokollierung

     

    Die rechtssichere Einwilligung

    • Einwilligung durch die Person selbst, oder den gesetzlichen Vertreter
    • Einwilligung durch ausdrückliche Handlung (bewusst und eindeutig) – Nichts-Tun oder ein vorangekreuztes Feld sind nicht erlaubt
    • Inhalt der Einwilligungserklärung ist jederzeit aufrufbar und beschreibt Zweck der Datenverarbeitung (Datenschutzerklärung)
    • Protokollierung der Einwilligung, bspw. Speicherung wann der Empfänger die Eintragung bestätigt hat beim DOI – dies übernehmen i.d.R. die Newsletteranbieter. Ggf. müssen Sie sich aber selber um die Aufbewahrung der Zustimmung kümmern (z.B. der Postkarte auf einer Messe)
    • Widerrufsmöglichkeit muss schon beim Zeitpunkt der Einwilligung bekannt sein/darauf hingewiesen werden

     

    Wie kann eine Anmeldung erfolgen

    • Online empfiehlt sich das DOI (Details dazu siehe unten), da die Einwilligung durch den Newsletter-Anbieter protokolliert wird
    • Anmeldung via Karte o.ä., bspw. an einer Messe – auch hier gilt: nur Email ist Pflicht, Zweck nennen, Informationen zur Datenverwaltung und der Abmeldung müssen auf der Karte stehen bzw. der Hinweis wo man es finden und nachlesen kann, usw.
    • Es ist durchaus erlaubt die Anmeldung mit Gutscheinen, Rabatten usw. zu promoten
    • Achtung bei Käufen und Freebies:
      • wird die Herausgabe von kostenlosen Inhalten (Freebies) wie E-Books oder Whitepapers mit einer Newsletteranmeldung verknüpft, muss a) der User über das Tauschgeschäft aufgeklärt werden und b) darf es nicht als kostenlos bezeichnet werden, da der Empfänger quasi mit seinen Daten bezahlt. Und c) muss die Anmeldung klar kommuniziert sein. Verboten ist es ansonsten aber nicht.
      • Kopplungsverbot: so darf bspw. der Erwerb eines Produkts nicht von der Anmeldung beim Newsletter abhängig gemacht werden

     

    Tipps für das richtige Double Opt-In Mailing

    Beim DOI erhält der Empfänger eine weitere Email, mit der er die Anmeldung bestätigen muss. Nutzen Sie dies um erneut Informationen bereitzustellen:

    • Nochmals den Zweck nennen
    • Auf Abmeldemöglichkeit hinweisen
    • Die wichtigsten Informationen und der Link auf Ihre Datenschutzerklärung – am besten weisen Sie auch nochmals aktiv darauf hin
    • Das Mailing muss werbefrei sein – das eigene Logo, i.S.v. Branding ist aber erlaubt

     

    Wie geht man mit bestehenden Newsletter-Empfängern um?

    Es gilt: besteht für einen Empfänger eine aktive Einwilligung, bspw. weil man bereits das DOI nutzt, können diese Empfänger in der Empfängerliste belassen werden.

    Bei allen anderen sollten Sie rechtzeitig eine rechtlich gültige Einwilligung einholen,  bspw. über ein entsprechendes Info-Mailing.

    Um sicher zu gehen, sollten Sie alle Empfänger ohne Einwilligung entfernen.

     

    Das Kleingedruckte – Ihre Datenschutzerklärung

    Die Datenschutzerklärung hinsichtlich Newsletter-Marketing hat Ihre eigenen Ansprüche….

     

    Erweitern Sie Ihre Datenschutzerklärung auf der Webseite mit den relevanten Angaben, bspw.

    • Welche Angaben für welchen Zweck gespeichert und verarbeitet werden – eigentlich all die oben beschriebenen Angaben
    • Wo man sich Abmelden kann und was dann mit den Daten geschieht
    • Führen Sie Drittanbieter, bspw. die Software mit der Sie Ihre Newsletter versenden, auf und erwähnen bzw. verlinken auf deren Datenschutz.
    • Informieren über die Art der Datenverarbeitung und -Aufbewahrung und wer dafür verantwortlich ist

     

    Die Angaben sollten umfassend, transparent und leicht verständlich sein. Beachten Sie die “1-Klick entfernt” Regel. Diese wäre bspw. mit einem Link im Footer eingehalten.

     

    Gestaltung des Newsletter unter Berücksichtigung des Telemediengesetz (TMG)

    Bei der Gestaltung des Newsletters gemäss EU-DSGVO sollte man die Regeln des TMG ebenfalls berücksichtigen. Daher gehören in den Newsletter:

    • Impressum, sprich
      • Name, Adresse, Kontakt
      • Vertretungsberechtigter
      • Aufsichtsbehörde, soweit behördliche Zulassung erforderlich (z.B. Gaststättenrecht)
      • Registergericht, Registernummer
      • ggf. weitere Angaben bei besonderen Berufsgruppen
    • Link zur Datenschutzerklärung auf Ihrer Webseite
    • Abmeldelink
    • wenn Sie ganz sicher gehen wollen noch weitere Informationen zur Verwendung und andere weiterführende Links

     

    Die EU-DSGVO-gerechte Abmeldung vom Newsletter

    Werden die Angaben des Empfängers nicht mehr benötigt, sind diese zu löschen.

     

    Grundsätzlich gilt: es werden nur die Angaben aufbewahrt die benötigt werden, daher:

    • Nicht benötigte Daten löschen
    • Bei Abmeldung werden alle Daten gelöscht
    • Mit dem Ende des eigentlichen Zwecks, z.B. Einstellung des Newsletters, sind die Daten zu löschen
    • Ausnahme: Daten mit Aufbewahrungspflicht (Geschäftsbriefe, Steuererklärungen)

     

    Wichtig: die Abmeldung muss einfach, verständlich und unmittelbar erfolgen und darf nicht durch einen Login oder Passworteingabe erschwert werden. Auch auf das Double Opt-Out sollte verzichtet werden.

     

    Das Newslettersystem und die Sicherheit

    Sie sind für die Sicherheit und die verantwortungsvolle Behandlung der Empfänger-Angaben verantwortlich. Daher sollten Sie bei der Wahl des Newslettersystem aufpassen. Grosse Anbieter wie Newsletter2Go oder CleverReach bringen i.d.R. die richtigen Anforderungen mit.

    Achten Sie auf:

    • Vertrauenswürdiger Anbieter, der DSVGO unterstützt und selber umsetzt – so haben einige eine explizite Datenschutz-Zertifizierung
    • Server-Standort bzw. wo die Daten gespeichert werden
      • Datensicherheit vor Dritten, vor Veröffentlichung usw.
      • Bei Streitigkeiten werden ggf. die Gesetze dieses Landes  angesetzt und nicht die des Sitz Ihres Unternehmens
      • Zumindest ein EU-Land ist daher empfehlenswert
    • Aktualisieren Sie den Verarbeitungsvertrag mit der Stelle, die dafür verantwortlich ist, bspw. der Newsletter-Anbieter (Details siehe unten)
    • Prüfen Sie selber die Datensicherheit und führen ggf. zusätzliche Sicherheitsmassnahmen ein

     

    Sie sind letztlich für die Sicherheit der Daten verantwortlich und sollten entsprechende Massnahmen ergreifen:

    • Prüfen Sie selber, wo und wie Ihre Daten gespeichert und verarbeitet werden und führen ggf. weitere Sicherheitsmassnahmen ein. Bspw. zusätzlicher Schutz durch Passwörter, Wechsel des Anbieters usw.
    • Denn auch gesetzlich gilt: “die technischen und organisatorischen Massnahmen des Auftragnehmers muss durch eine Folgenabschätzung nach Art 35 DSGVO und ein diesbzgl. IT-Sicherheitskonzept geprüft und dargestellt werden.” Frühere Massnahmen und Prüfkataloge entsprechen diesen Anforderungen nicht.
    • Sie sollten eine Risikoabschätzung von Datenverarbeitungsvorgängen erarbeiten, für Datenverarbeitungsvorgänge, die eine Gefährdung von Rechten und Freiheiten der Betroffenen bedeuten

     

    Auftragsverarbeitung und Verfahrensverzeichnis

    Bestehende Verträge mit ihrem Newsletternanbieter, die gem. §11 BDSG geschlossen wurden, sind ab dem 25. Mai 2018 ungültig und müssen neu und gem. Art 28. EU-DSGVO geschlossen werden. Informieren Sie sich hier am besten direkt beim Newsletter-Anbieter. I.d.R. handelt es sich dabei um Auftragsverarbeitungsverträge und die Anbieter weisen Sie entsprechend darauf hin.

    Das öffentliche Verfahrensverzeichnis ist unverzüglich, in einem zeitlich angemessenen Zeitraum jeder natürlichen Person herausgegeben werden, sofern diese danach fragen und von der Datenverarbeitung auch betroffen ist (Auskunftsrecht).

     

    Was passiert wenn ich mich nicht dran halte

    Ab dem 25. Mai 2018 sollten Sie auf die neue EU-DSGVO vorbereitet sein, denn

    • Die Regelungen gelten nicht nur EU-weit, sie werden auch EU-weit einheitlich durchgesetzt und damit stärker verfolgt als die bisherigen Regelungen
    • Das Strafmass ist ebenfalls einheitlicher geregelt. Da insbesondere am Anfang eine abschreckende Wirkung erzielt werden soll, kann es sein, dass die Strafen höher ausfallen als nötig
    • Statt wie früher bis zu 2% vom weltweiten Jahresumsatz, kann sich die Busse auf bis zu 4% erhöhen
    • Die Regelungen sind deutlich komplexer, die rund 70 zusätzlichen Öffnungsklausen machen es nicht einfacher…

     

    Wir empfehlen daher lieber etwas zu vorsichtig und zu akribisch mit dem neuen Datenschutzgesetz umzugehen, als dann unnötig hohen Strafen ausgeliefert zu sein.

     

    Wie kann kliqs helfen

    Nicht nur das Newsletter-Marketing ist von der EU-DSGVO betroffen, es hat auch Konsequenzen für die Webseite usw. Da ist es gar nicht so leicht, an alles zu denken und richtig umzusetzen. Wir helfen daher unseren Kunden bspw. mit:

    • Anpassung des Newsletterverfahrens entsprechend der genannten Punkte (An-/Abmeldung, Verwaltung usw.)
    • Übergreifende Umsetzung z.B. auch auf der Webseite
    • Weitere Beratung zum Thema

     

    Fazit

    Die neuen Regelungen des EU-DSGVO haben grossen Einfluss auf die Datenhandhabe von Unternehmen, teilweise müssen intern grosse Änderungen durchgeführt werden. Je früher Sie anfangen, desto besser haben Sie alle Anforderungen und Anpassungen im Griff.

    Bedenken Sie bei den Anpassungen im Newsletter-Bereich, ob noch andere Daten, andere Prozesse betroffen, sind, bspw. die Webseite, interne Prozesse usw.

    Weiterführende Informationen zur DSGVO allgemein und insbesondere zur Webseite schalten wir in Kürze auf.

     

    Sabrina Näf

    "Im Online-Marketing braucht man keine teuren High-End Lösungen. Oft bringen gezielte, durchdachte und authentische Massnahmen mehr, als aufwendige Konzepte, die gar nicht zum Kunden passen. So möchten wir auch unseren Kunden begegnen und sie unterstützen." Direktkontakt: sabrina@kliqs.ch

    Comments (1)

    Kommentieren

    Das sind Pflichtfelder *