DS-GVO: Hier müssen Händler jetzt beim E-Mail-Marketing nachbessern

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Bis dahin müssen Online- und Multichannel-Händler alle Anforderungen umgesetzt haben. Viel zu tun gibt es nicht zuletzt beim E-Mail-Marketing. So entsprechen aktuell zum Beispiel die meisten Anmeldeseiten für Newsletter nicht den Anforderungen der EU-DSGVO, so dass Abmahnungen und Bußgelder drohen. Gründer Martin Aschoff von der auf E-Mail-Marketing spezialisierten Agnitas AG aus München hat fünf Tipps, wie Händler eine DSGVO-konforme Newsletter-Anmeldung gestalten:

1. Pflicht-Checkbox integrieren

Sie brauchen eine Checkbox, die auf Ihre Datenschutzerklärung verlinkt. Integrieren Sie diese auf Ihrer Anmeldeseite. Die Checkbox darf in der Voreinstellung aber nicht aktiviert sein. Der Interessent muss die Box selbst aktivieren. Begründung: In Artikel 13 der EU-DSGVO wird gefordert, dass betroffene Personen bei der Erhebung von personenbezogenen Daten umfassend informiert werden müssen.

In Artikel 4 Punkt 11 wird als Einwilligung definiert eine „freiwillig […] abgegebene Willensbekundung in Form einer […] eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Sie müssen für eine EU-DSGVO-konforme Anmeldung unter anderem auch noch Informationen angeben wie Verarbeitungszweck und Speicherdauer der personenbezogenen Daten sowie Hinweise zum Recht auf Auskunft, Berichtigung, Löschung und Widerspruch der Datenerfassung. Diese Infos können Sie in Ihre Datenschutzerklärung packen, auf die bei der Anmeldeseite verlinkt wird.

2. Tracking-Checkbox anbieten

Eine weitere Checkbox ist nötig, wenn Sie Mail-Öffnungen und Link-Klicks personenbezogen messen und wenn Sie über Ihre E-Mails individuelle Cookies verteilen. Dann ist eine Checkbox auf der Anmeldeseite notwendig, über die der Interessent mitteilen kann, ob er getrackt werden möchte.

Begründung: Generell ist das personenbezogene Tracking möglich, wenn ein „berechtigtes Interesse“ des Versenders vorliegt (siehe auch Artikel 6 Absatz 1 f). Natürlich ist ein berechtigtes Interesse des E-Mail-Versenders vorhanden, um dem Kunden bzw. Interessent individuelle Inhalte anbieten zu können und damit die Kommunikation relevanter und interessanter für diesen zu gestalten. Daher ist ein personenbezogenes Tracking notwendig, um die eigenen Empfänger besser kennenzulernen.

Allerdings muss in diesem Zusammenhang auch Artikel 21 der EU-DSGVO beachtet werden, nach dem betroffene Personen das Recht haben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten einen Widerspruch einzulegen. Der Interessent muss daher bereits bei der Anmeldung über sein Widerspruchsrecht informiert werden. Um dies sicherzustellen, bietet sich eine Checkbox an.

3. Verbot der Kopplung von Versand und -Tracking

Beachten Sie, dass der Versand nicht an die Zustimmung zum Tracking geknüpft werden darf. In Artikel 7 Absatz 4 der EU-DSGVO wird das „Kopplungsverbot“ für die Einwilligung definiert. Konkret geht es darum, ob dabei die „Erbringung einer Dienstleistung von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“. Für den Versand ist nicht zwingend erforderlich, Mail-Öffnungen und Link-Klicks personenbezogen zu erfassen. Daher darf auch nicht der Versand an die Zustimmung zum Tracking geknüpft werden.

Erlauben Sie dem Empfänger zudem, dass dieser das Tracking wieder beenden kann. Dies ist möglich, in dem Sie in Newsletter einen Link zur Profilseite des Nutzers mit einer Checkbox zum Abwählen integrieren. Begründung: Artikel 13 der EU-DSGVO fordert das Recht auf Widerruf der Einwilligung.

4. Nur HTTPS-Protokoll verwenden

Damit personenbezogene Daten sicher übertragen werden, sollten An- und Abmeldeformulare nur auf Webseiten mit HTTPS-Protokoll angeboten werden. Denn Artikel 32 Absatz 1 der EU-DSGVO fordert „[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Die unverschlüsselte Übertragung von personenbezogenen Daten über das Internet ist damit nicht länger zulässig, weil ein angemessenes Schutzniveau fehlt. Das sollten Sie daher auch bei Seiten einhalten, auf denen Nutzer zum Beispiel ihr Profil verwalten können.

5. Archivieren von Screenshots und E-Mail-Kopien

Um einen Nachweis bei rechtlichem Ärger zu haben, empfehle ich Ihnen bei jeder Änderung Ihrer Anmeldeseite, Ihrer Datenschutzerklärung, Ihrer Double-opt-in-Mails sowie der Anmeldelogik hinter den Formularen, einen Screenshot mit Zeitstempel zu erstellen bzw. elektronische Kopien zu sichern. Archivieren Sie diese Screenshots und Kopien. Immer dann, wenn sich an der Anmeldung etwas ändert, archivieren Sie die geänderten Versionen erneut. Denn Artikel 7 Absatz 1 der EU-DSGVO fordert: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“

Martin Aschoff
Martin Aschoff (Bild: Agnitas AG)

Über den Autor: Martin Aschoff (siehe Foto) ist Gründer und Vorstand der AGNITAS AG, die Unternehmens-Software für E-Mail- und Web-Push-Marketing sowie Marketing-Automation entwickelt und diese als Lizenz und Cloud-Service anbietet.

Er ist außerdem Maintainer der Open-Source-Software „OpenEMM“, Autor von diversen Fachbüchern und Magazinbeiträgen sowie Referent auf Entwickler- und Marketing-Kongressen.

Mehr zum Unternehmen gibt es online auf agnitas.de.

P.S.: Verpassen Sie keine Beiträge mehr! Jeden Freitag liefert Ihnen unser Newsletter alle Nachrichten, Analysen und Insider-Infos der Woche kostenlos in Ihr Postfach. 4.307 Kollegen aus dem Versand- und Multichannel-Handel nutzen diesen Service schon, um up-to-date zu bleiben. Jetzt anmelden!.