Versenden Sie Ihren Newsletter datenschutzkonform? Diese 12 Punkte sollten Sie überprüfen!

von

Lesezeit: Minuten ( Wörter)

Ein Großteil der deutschen Unternehmen setzt auf Newsletter, um mit seinen Kunden in regelmäßgiem Kontakt und Austausch zu bleiben. Seit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) gelten jedoch auch für diesen Bereich besondere Regeln, die die Empfänger der Newsletter schützen. Im Fokus stehen deren persönlichen Daten und die Verwendung dieser. Wer die DSGVO für Unternehmen nicht beachtet, läuft Gefahr, Datenschutzverletzungen zu begehen. Dieser Artikel behandelt zwölf Punkte, die es beim Datenschutz der Newsletter-Empfänger zu berücksichtigen gibt.

Newsletter – ein beliebtes Kommunikationsmittel

Laut einer Studie zum Thema E-Mail-Marketing Benchmarks aus dem Jahre 2021 stellte der Deutsche Dialogmarketing Verband e. V. fest, dass 98 Prozent der Unternehmen Newsletter verschicken. Damit ist der Newsletter eines der zentralen Marketing-Werkzeuge in Deutschland. Gleichzeitig ergab die Studie, dass fast 10 Prozent der Unternehmen den Datenschutz beim E-Mail Marketing nicht korrekt umsetzen.

Datenschutz der Newsletter-Empfänger verletzt – diese Strafen drohen

Wird die DSGVO von Unternehmen nicht eingehalten, hat dies unangenehme Konsequenzen. Zum einen verärgert dies die Empfänger des Newsletters. Der Schutz der eigenen Daten ist vielen Verbrauchern inzwischen sehr wichtig. Mit Datenschutzverletzungen tun sich Unternehmen also keinen Gefallen und beschädigen das eigene Image. Zum anderen gibt es noch die rechtlichen Folgen. Hier drohen vor allem hohe Bußgelder. Die zuständigen Behörden greifen inzwischen hart durch und behandeln Datenschutzverletzungen nicht wie Kavaliersdelikte. So erhielt die Allgemeine Ortskrankenkasse Baden-Württemberg (AOK) von der Datenschutzaufsichtsbehörde Baden-Württembergs (LfDI) im Juni 2020 eine Strafe von 1,24 Millionen Euro. Die AOK hatte ohne Einwilligung der Empfänger Werbe-Mails verschickt. Auch das italienische Telekommunikationsunternehmen Wind Tre musste eine hohe Strafe für das Versenden von Werbe-Mails ohne Einwilligung der Empfänger zahlen. Das Unternehmen erhielt in Italien eine Strafe von 16,7 Millionen Euro.

Diese Beispiele zeigen, dass selbst bei großen Konzernen der Datenschutz im E-Mail Marketing zu wünschen übrig lässt. Umso wichtiger ist es, sich im Zusammenhang mit dem E-Mail-Marketing genauestens über die DSGVO für Unternehmen zu informieren.

Punkt 1: Vorhandensein der Datenschutzerklärung

Wer einen Newsletter anbietet, benötigt eine dazu passende Datenschutzerklärung. Bei einigen Unternehmen fehlt eine solche Erklärung nach wie vor. Ebenso ist eine allgemeine Datenschutzerklärung unpassend oder es kommt eine veraltete Version zum Einsatz. Die Erklärung muss vielmehr exakt auf den Zweck sowie die eigene Verwendung angepasst sein und den konkreten Datenschutz der Newsletter-Empfänger adressieren. Dies betrifft insbesondere die Art und den Umfang der Verwendung von den eingesammelten Daten.

Punkt 2: Leichte Auffindbarkeit der Datenschutzerklärung

Ebenso wichtig wie die Erklärung selbst ist die Positionierung. Die Datenschutzerklärung muss auf der Webseite leicht zu finden und jederzeit zugänglich sein. Deshalb ist eine Integration in die Webseite inklusive einer auffälligen Verlinkung sinnvoll. Es bietet sich an, den Link zur Datenschutzerklärung in die Hauptnavigation zu integrieren, wo sich auch die Verweise zum Impressum und anderen zentralen Seiten befinden. Die Datenschutzerklärung benötigt außerdem eine eigene Unterseite. Eine Kombination mit den Allgemeinen Geschäftsbedingungen ist nicht zulässig. Bei den AGBs handelt es sich um vertragliche Vereinbarungen, während die Erklärung lediglich eine Information über den Datenschutz der Newsletter-Empfänger ist.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Punkt 3: Kontaktmöglichkeiten zum Datenschutzbeauftragten

Viele Unternehmen benötigen laut Gesetz einen Datenschutzbeauftragten. So schreibt die DSGVO Unternehmen, die personenbezogene Daten verarbeiten, die Benennung eines Datenschutzbeauftragten vor. Die genauen Regeln, wann eine solche Position notwendig ist, regeln Artikel 37 der Datenschutzgrundverordnung sowie § 38 des Bundesdatenschutzgesetzes. Der Datenschutzbeauftragte muss für Dritte zeitnah zu kontaktieren sein. Zum einen ist es daher notwendig, die verantwortliche Person auf der Webseite öffentlich bekannt zu geben. Zum anderen gehören die entsprechenden Kontaktmöglichkeiten zu dieser Information. Zumindest die E-Mail-Adresse des Datenschutzbeauftragten gehört also mit auf die Informationsseite.

Punkt 4: Datenschutzerklärung bei der Verwendung von externen Dienstleistern

Viele Unternehmen nutzen ein Newsletter-Tool eines dritten Anbieters für den Versand des eigenen Newsletters. Dann verweisen die Unternehmen teilweise auf die Datenschutzerklärung dieses Anbieters und somit auf eine fremde Webseite. Diese Praktik ist laut den Aufsichtsbehörden nicht zulässig und stellt ebenfalls eine Datenschutzverletzung dar. Vielmehr ist jedes Unternehmen verpflichtet, eine eigene Datenschutzerklärung zu veröffentlichen, sobald es personenbezogene Daten erfasst und verarbeitet.

Punkt 5: Informationen über die Weitergabe von persönlichen Daten an Dritte

Nach der DSGVO sind Unternehmen dazu verpflichtet, die Nutzer darüber zu informieren, wenn sie persönliche Daten an Dritte weitergeben. Dies trifft beispielsweise schon dann zu, wenn ein externer Anbieter den Newsletter verarbeitet und versendet. Bei der Weitergabe reicht es nicht aus, nur darüber zu informieren, an wen das Unternehmen die Daten übermittelt. Es muss auch ein Bezug zur Rechtsgrundlage für diese Weitergabe bestehen. Der Datenschutz der Newsletter-Empfänger muss auch dann gewährleistet sein, wenn die Informationen an Stellen außerhalb der EU gelangen. Dies betrifft beispielsweise die Weitergabe an Dritte mit Sitz in den USA.

Punkt 6: Fehlende Rechtsgrundlage für die Verarbeitung von Daten

Zum Datenschutz im E-Mail Marketing gehört es auch, dass eine rechtmäßige Grundlage für die Verarbeitung der Daten vorhanden ist. Die Rechtmäßigkeit der Verarbeitung wird in Artikel 6 der DSGVO behandelt. So besagt der Artikel, dass die betroffene Person die Einwilligung für die Verarbeitung gegeben haben muss. Außerdem müssen der Zweck und Umfang der Verarbeitung der Daten bekannt gegeben sein. Eine Berufung auf die Einwilligung ist also nur rechtens, wenn die Rechtsgrundlage nach den Regeln der DSGVO von dem Unternehmen eingeholt wurde.

Punkt 7: Option für den Widerruf der Datenverarbeitung

Die Anmeldung zu einem Newsletter ist meist sehr einfach. E-Mail-Adresse eintragen und Bestätigungslink klicken, schon ist die Person im Verteiler. Bei einigen Unternehmen ist es hingegen nicht so einfach, sich wieder von diesem Newsletter abzumelden. Dies stellt eine klare Datenschutzverletzung dar. Verbraucher müssen die Möglichkeit haben, sich einfach und unkompliziert vom Newsletter abzumelden und die Einwilligung zur Verarbeitung der persönlichen Daten zu widerrufen. Dieses Recht wird den Verbrauchern von der DSGVO ausdrücklich eingeräumt.

Punkt 8: Möglichkeit zu Löschung der persönlichen Daten

Die DSGVO für Unternehmen behandelt auch das Recht auf Löschung der eigenen Daten. Persönliche Informationen sind für Unternehmen wertvoll. In der Analyse nutzen das Marketing und andere Abteilungen die Daten, um sich ein Bild über die Käufer zu machen. Deshalb speichern Unternehmen persönliche Informationen gerne für einen möglichst langen Zeitraum. Jedoch muss jede Organisation, die persönliche Daten speichert und verarbeitet, den Eigentümern dieser Informationen eine Möglichkeit zur Löschung bereitstellen. Es muss gewährleistet sein, dass Verbraucher einen Weg haben, die Löschung der eigenen Daten zu beantragen. Ebenfalls sind Unternehmen dann verpflichtet, dieser Aufforderung unverzüglich nachzukommen, sofern die in Artikel 17 der DSGVO genannten Punkte erfüllt sind.

Punkt 9: Information über den Grund der Datenverarbeitung

Zu den häufigsten Datenschutzverletzungen gehört, dass Unternehmen keine Angabe über die Art der Datenverarbeitung machen. Die DSGVO für Unternehmen ist in diesem Punkt jedoch deutlich. Artikel 13 der DSGVO besagt, dass Organisationen die Zwecke der Verarbeitung von personenbezogenen Daten den betroffenen Personen mitteilen müssen. Fehlen bestimmte Verwendungszwecke in der Datenschutzerklärung, ist ein Einsatz für diese Fälle ausgeschlossen. Ein nachträgliches Hinzufügen ist ebenfalls nicht möglich und stellt eine Datenschutzverletzung dar. Vielmehr stehen Unternehmen dann in der Pflicht, von den Lesern des Newsletters eine neue Einwilligung für die Verarbeitung zu einem spezifischen Zweck einzuholen.

Punkt 10: Auskunft über die Rechte der betroffenen Person

Die DSGVO gibt den Eigentümern von persönlichen Daten zahlreiche Rechte. Hierbei geht es um Punkte wie die Einschränkung der Verwendung, das Auskunftsrecht oder das Recht auf Löschung. Darüber hinaus legt die Verordnung auch Grundregeln für die Kommunikation dieser Rechte dar. Für den Datenschutz im E-Mail Marketing bedeutet dies, dass Unternehmen Mechanismen für die Umsetzung der Auskunftsrechte einführen müssen. Zum einen ist es somit Pflicht, die betroffenen Personen über ihre Rechte zu informieren. Dies lässt sich über die Datenschutzerklärung realisieren. Zum anderen hat das Unternehmen auch für die ordnungsgemäße Umsetzung Sorge zu tragen. Dies betrifft beispielsweise die Fristen für die Beantwortung von Anfragen der Betroffenen. Hier legt die DSGVO einen Zeitrahmen von maximal einem Monat fest. Hält ein Unternehmen dies nicht ein, stellt auch dies eine Verletzung des Datenschutzes im E-Mail Marketing dar.

Punkt 11: Newsletter-Abmeldung muss wirksam sein

Bei einigen Unternehmen wurde der Datenschutz im E-Mail Marketing dadurch verletzt, dass die Abmeldung vom Newsletter nicht wirksam war. Vielfach greifen Unternehmen auf ein automatisches System für die Abmeldung zurück, ähnlich wie bei der Anmeldung. In einzelnen Fällen sorgte eine Fehlermeldung bei der Austragung dafür, dass der Newsletter auch weiterhin versendet wurde. Dies stellt eine Datenschutzverletzung dar, denn der Nutzer ist im Glauben, dass er seine Einwilligung zur Nutzung der persönlichen Informationen widerrufen hat.

Punkt 12: Informationen zum Profiling und zur automatisierten Entscheidungsfindung

Laut der DSGVO sind Unternehmen dazu verpflichtet, die Nutzer durch automatisierte Auswertungen der persönlichen Daten nicht nachteilig zu behandeln. Häufig nutzen Unternehmen für die Auswertung der gesammelten Informationen Softwarelösungen. Big Data und Profiling von Nutzerkategorien sind hier nur zwei Beispiele. Entstehen den Nutzern durch das automatisierte Profiling rechtliche Nachteile oder ähnliche Beeinträchtigungen, handelt es sich um eine Datenschutzverletzung. Nach Artikel 22 der DSGVO sind Unternehmen dazu verpflichtet, eine manuelle Kontrolle solcher Prozesse vorzunehmen.

Fazit

Es zeigt sich, dass die DSGVO Unternehmen in vielen Bereichen betrifft. Selbst der Versand des Newsletters ist durch die DSGVO in vielen Punkten betroffen. Der Datenschutz im E-Mail Marketing ist dabei für Unternehmen kein leichtzunehmendes Thema. Wie die Beispiele aus der Praxis zeigen, kommt es schnell zu Datenschutzverletzungen, teilweise auch ohne Absicht. Die Aufsichtsbehörden ahnden Verstöße gegen den Datenschutz im E-Mail Marketing jedoch mit empfindlichen Geldbußen. Vor allem aus diesem Grund ist es für Unternehmen wichtig, sich in diesem Bereich abzusichern. Im Zweifelsfall ist die Einholung von professioneller Hilfe bei der Umsetzung der Datenschutz-Grundverordnung ratsam. Ansprechpartner sind beispielsweise Rechtsanwälte, die sich auf die DSGVO spezialisiert haben oder IT-Dienstleister mit entsprechendem Leistungsangebot.

Beachten Sie bei diesem Thema bereits in allen Punkten die DSGVO? Kontaktieren Sie uns - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück