Marketing: Was gehört in die Datenschutzerklärung von jedem Newsletter?

In der gleichen Umfrage gaben die Befragten trotz der hohen Verbreitung noch deutliche Defizite in der Professionalisierung der Newsletter zu: Nur 55 Prozent nutzen einen zertifizierten Mailserver, nur sechs Prozent schützen ihre Versand-Domain umfassend gegen Phishing und Betrugsversuche und etwa neun Prozent übertragen ihre Kundendaten nach eigener Aussage noch nicht DSGVO-konform. Immerhin: Im Jahr 2020 gaben noch mehr als doppelt so viele Unternehmen an, nicht DSGVO-konform zu arbeiten. Vielleicht war mancherorts ja im Lockdown tatsächlich Zeit, sich mit dem immer wieder aufgeschobenen Thema Datenschutz zu befassen. Schließlich drohen gerade hier hohe Bußgelder und nicht zuletzt auch enorme Imageschäden bei den Kunden. (Ein neuer Name – Meta als Überbau für Facebook, WhatsApp, Instagram & Co.  – hilft auch nicht immer, denn ist der Ruf erst runiert…)

Da die Zahlen der Studie auf Selbsteinschätzungen beruhen und auch abhängig davon sind, wer an der Umfrage teilnimmt, dürfte die tatsächliche Zahl der „Datenschutz-Sünder“ wohl doch etwas höher liegen. Deswegen nun kurz zu den wichtigsten Vorgaben der DSGVO beim Thema E-Mail-Marketing: Das sind Artikel 7 (Thema: Bedingungen für die Einwilligung), Artikel 13 und 14 (Thema: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person bzw. nicht direkt bei der betroffenen Person) und Artikel 15 (Thema: Auskunftsrecht der betroffenen Person). Die ganze Datenschutz-Grundverordnung der EU kann man übrigens hier nachlesen.

Dreh- und Angelpunkt und häufiger, obwohl naheliegender Stolperstein, ist zunächst die Datenschutzerklärung als theoretisches Grundgerüst für die spätere Handhabung in der Praxis. Das wichtigste ist, überhaupt erstmal eine eigene Datenschutzerklärung aufzusetzen. Dabei darf nicht einfach auf die Erklärung des Tool-Anbieters oder Newsletter-Dienstleisters verwiesen werden. Sie darf auch nicht zu allgemein gehalten sein, muss auf die konkrete Datenverarbeitung angepasst sein und sollte nicht auf altes Datenschutzrecht verweisen. Sie muss zudem leicht auffindbar sein. Das gilt auch für die Angabe des Verantwortlichen und die Kontaktdaten des oder der Datenschutzbeauftragten.

Es muss eine Rechtsgrundlage für den Zweck der Datenverarbeitung sowie die Weitergabe der Daten geben, und die Nutzer müssen umfassend darüber informiert werden. Wichtig ist dabei auch die oft erfolgende Übermittlung in die USA oder andere Drittstaaten zu erwähnen und diese europarechtskonform auszugestalten. Ebenso muss die Einwilligung in die Datenverarbeitung datenschutzgerecht eingeholt werden, damit man sich auch ggf. auf sie berufen kann. Andere häufige Fehler sind, Daten endlos aufbewahren zu wollen oder keine einfache (und wirksame!) Abmeldung vom Newsletter zu ermöglichen.

Viel richtig (oder eben falsch) kann man schon mit der Wahl des richtigen Newsletter-Dienstleisters machen: Die Bayerische Datenschutzbehörde hat zum Beispiel die Nutzung von Mailchimp in einem konkreten Fall für unzulässig erklärt, da der EuGH „Privacy Shield“ ja gekippt hatte – und auch die Anwendung der Standardvertragsklauseln im Datenverarbeitungsvertrag stellt der Behörde zufolge nicht sicher, dass ein der DSGVO vergleichbares Datenschutzniveau gewahrt werde. Das Unternehmen reagierte sofort, stellte auf einen anderen Anbieter um und entkam so einem Bußgeld.

Foto: Adobe Stock | BillionPhotos.com