Dialogmarketing nach neuer EU-DSGVO

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft, die für jedes Unternehmen gilt und umfassende Maßnahmen erfordert. Obwohl das Thema schon seit langer Zeit präsent ist, wird es von vielen Unternehmen noch immer nicht ausreichend angegangen. Bereits in wenigen Monaten drohen empfindliche Bußgelder. In allen Bereichen des Online-Marketings, wie im Newsletterversand, Remarketing oder Social Media, spielt die Berücksichtigung des Datenschutzes eine bedeutende Rolle.

Wie wirkt sich die EU-DSGVO im Dialogmarketing aus? 

Wie bisher müssen Sie für den Versand von Werbe-E-Mails die ausdrückliche zweckgebundene Einwilligung des Adressaten einholen. Die Einwilligung muss freiwillig und nachvollziehbar sein. Dazu wird in dem Online-Formular eine leere Checkbox eingefügt, die aktiv anzuklicken ist. Nur die für das jeweilige Angebot unabdinglichen Daten dürfen als *required erhoben werden. Der User muss seine Anmeldung anschließend über einen Link in einer Bestätigungsmail nochmals verifizieren. Eine Koppelung von Werbe-Einwilligung oder Newsletter-Abo an ein Produkt oder eine Leistung ist nicht erlaubt. Im Rahmen der Einwilligung ist auf das jederzeitige Widerrufsrecht hinzuweisen, ebenso muss es in jeder einzelnen E-Mail eine Abmeldemöglichkeit geben. Zum Nachweis des rechtmäßigen Double Opt-In ist jeder Schritt des Double-Opt-In-Verfahrens in einer Datenbank zu protokollieren. Dies erfordert u.U. eine technische Lösung zusätzlich zu der verwendeten Newsletter-Software, sofern diese allein diese Vorgabe nicht umsetzen kann.

Wenn Ihre alten Einwilligungen die genannten Anforderungen der EU-DSGVO (Freiwilligkeit, Zweckgebundenheit, Widerrufsrecht, Protokollierung) nachweislich bereits erfüllen, dürfen diese weiter genutzt werden.

Demnächst unzulässig werdende Datenbestände können auf dem Weg zur EU-DSGVO noch gerettet werden, indem über entsprechende Aktionen eine neue ausdrückliche Erlaubnis per nachweisbarem Double Opt-In generiert wird. Nicht genutzte und unrechtmäßig erhobene Daten sollten Sie aus dem Datenbestand entfernen.

  Welche Daten dürfen auch ohne Double-Opt-In verwendet werden

Die sogenannte Erforderlichkeit der Datenverarbeitung erlaubt die Erhebung von Daten zur Erfüllung eines Vertrages, für vorvertragliche Maßnahmen auf eine Anfrage hin (bspw. per Kontaktformular oder E-Mail) oder zur Erfüllung steuerrechtlicher Aufbewahrungsfristen. Ein berechtigtes Interesse an der Datenverarbeitung kann auch für Direktwerbung gelten, sofern es mit den schutzwürdigen Interessen des Betroffenen abgewogen ist und beim Einsammeln der Adressen die Werbeabsicht erkennbar ist.

Weiterhin zulässig sind E-Mails ohne ausdrückliche vorherige Einwilligung an aktuelle Vertragskunden, deren Adresse mit Hinweis auf die Verwendung zu Werbezwecken sowie auf die Widerspruchsmöglichkeit (Opt-out) erhoben wurde (bspw. im Rahmen einer Beratungseinwilligung), sofern die Adresse zur Werbung für ähnliche Angebote verwendet wird. Soll an Bestandskunden darüber hinausgehende Werbung versendet werden, ist eine gesonderte Werbe-Einwilligung einzuholen. Im Rahmen von Events können mit entsprechendem schriftlichen Nachweis ebenfalls neue Adressaten in den E-Mail-Verteiler aufgenommenen werden. Aber auch diese Empfänger müssen dann als erstes eine Double-Opt-In Mail bekommen und den Bestätigungs-Link klicken.

Mehr Transparenz: Verfahrensverzeichnis und Auftragsverarbeitungsverträge

Alle Tätigkeiten zur Verarbeitung personenbezogener Daten müssen in einem Verfahrensverzeichnis dokumentiert werden. Die Unternehmensführung ist persönlich verantwortlich und haftbar dafür, dass dieses Verzeichnis erstellt und aktualisiert wird. Zu jedem Verfahren, so auch zum Newslettersystem, muss aufgeführt sein, auf welcher rechtlichen Grundlage es steht, zu welchem Zweck und wie die Daten verarbeitet werden.

Auch die Verträge zur Auftragsdatenverarbeitung sind anzupassen. Die neuen Auftragsverarbeitungsverträge erfassen das Auftragsverhältnis mit sämtlichen eingebundenen Subunternehmen - dazu zählen neben den unmittelbar beauftragten Dienstleistern wie dem Newsletter-Anbieter beispielsweise auch Cloud-Anbieter und Google Analytics.

Welche Betroffenenrechte sind zu gewährleisten

Die EU-DSGVO gibt den Betroffenen das Recht, ihre personenbezogenen Daten anzufordern und auf ein anderes Unternehmen zu übertragen. Um die erforderliche Portabilität der Daten zu gewährleisten, muss das System den Datenexport in üblichen Formaten oder über eine Schnittstelle erlauben.

Neu ist das sogenannte „Recht auf Vergessenwerden“: wenn Kunden ihre Einwilligung zur Datenverarbeitung widerrufen oder die Speicherung der Daten nicht mehr notwendig ist, können sie verlangen, dass ihre Daten vollständig gelöscht werden. Das Unternehmen muss dann sicherstellen, dass alle angebundenen Datenverarbeiter die Daten ebenfalls löschen.

*Dieser Artikel stellt keine rechtsverbindliche Auskunft dar.