DS-GVO: Hier müssen Händler jetzt beim E-Mail-Marketing nachbessern
12.04.2018
1. Pflicht-Checkbox integrieren
Sie brauchen eine Checkbox, die auf Ihre Datenschutzerklärung verlinkt. Integrieren Sie diese auf Ihrer Anmeldeseite. Die Checkbox darf in der Voreinstellung aber nicht aktiviert sein. Der Interessent muss die Box selbst aktivieren. Begründung: In Artikel 13 der EU-DSGVO wird gefordert, dass betroffene Personen bei der Erhebung von personenbezogenen Daten umfassend informiert werden müssen. In Artikel 4 Punkt 11 wird als Einwilligung definiert eine „freiwillig [...] abgegebene Willensbekundung in Form einer […] eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ Sie müssen für eine EU-DSGVO-konforme Anmeldung unter anderem auch noch Informationen angeben wie Verarbeitungszweck und Speicherdauer der personenbezogenen Daten sowie Hinweise zum Recht auf Auskunft, Berichtigung, Löschung und Widerspruch der Datenerfassung. Diese Infos können Sie in Ihre Datenschutzerklärung packen, auf die bei der Anmeldeseite verlinkt wird.2. Tracking-Checkbox anbieten
Eine weitere Checkbox ist nötig, wenn Sie Mail-Öffnungen und Link-Klicks personenbezogen messen und wenn Sie über Ihre E-Mails individuelle Cookies verteilen. Dann ist eine Checkbox auf der Anmeldeseite notwendig, über die der Interessent mitteilen kann, ob er getrackt werden möchte. Begründung: Generell ist das personenbezogene Tracking möglich, wenn ein "berechtigtes Interesse" des Versenders vorliegt (siehe auch Artikel 6 Absatz 1 f ). Natürlich ist ein berechtigtes Interesse des E-Mail-Versenders vorhanden, um dem Kunden bzw. Interessent individuelle Inhalte anbieten zu können und damit die Kommunikation relevanter und interessanter für diesen zu gestalten. Daher ist ein personenbezogenes Tracking notwendig, um die eigenen Empfänger besser kennenzulernen. Allerdings muss in diesem Zusammenhang auch Artikel 21 der EU-DSGVO beachtet werden, nach dem betroffene Personen das Recht haben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten einen Widerspruch einzulegen. Der Interessent muss daher bereits bei der Anmeldung über sein Widerspruchsrecht informiert werden. Um dies sicherzustellen, bietet sich eine Checkbox an.3. Verbot der Kopplung von Versand und -Tracking
Beachten Sie, dass der Versand nicht an die Zustimmung zum Tracking geknüpft werden darf. In Artikel 7 Absatz 4 der EU-DSGVO wird das "Kopplungsverbot" für die Einwilligung definiert. Konkret geht es darum, ob dabei die "Erbringung einer Dienstleistung von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind". Für den Versand ist nicht zwingend erforderlich, Mail-Öffnungen und Link-Klicks personenbezogen zu erfassen. Daher darf auch nicht der Versand an die Zustimmung zum Tracking geknüpft werden. Erlauben Sie dem Empfänger zudem, dass dieser das Tracking wieder beenden kann. Dies ist möglich, in dem Sie in Newsletter einen Link zur Profilseite des Nutzers mit einer Checkbox zum Abwählen integrieren. Begründung: Artikel 13 der EU-DSGVO fordert das Recht auf Widerruf der Einwilligung.4. Nur HTTPS-Protokoll verwenden
Damit personenbezogene Daten sicher übertragen werden, sollten An- und Abmeldeformulare nur auf Webseiten mit HTTPS-Protokoll angeboten werden. Denn Artikel 32 Absatz 1 der EU-DSGVO fordert „[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Die unverschlüsselte Übertragung von personenbezogenen Daten über das Internet ist damit nicht länger zulässig, weil ein angemessenes Schutzniveau fehlt. Das sollten Sie daher auch bei Seiten einhalten, auf denen Nutzer zum Beispiel ihr Profil verwalten können.5. Archivieren von Screenshots und E-Mail-Kopien
Um einen Nachweis bei rechtlichem Ärger zu haben, empfehle ich Ihnen bei jeder Änderung Ihrer Anmeldeseite, Ihrer Datenschutzerklärung, Ihrer Double-opt-in-Mails sowie der Anmeldelogik hinter den Formularen, einen Screenshot mit Zeitstempel zu erstellen bzw. elektronische Kopien zu sichern. Archivieren Sie diese Screenshots und Kopien. Immer dann, wenn sich an der Anmeldung etwas ändert, archivieren Sie die geänderten Versionen erneut. Denn Artikel 7 Absatz 1 der EU-DSGVO fordert: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“Abonnieren Sie unseren kostenlosen wöchentlichen Newsletter!