Newsletter Richtlinien

Die DSGVO 2018: Was Sie wissen müssen

Ist die EU DSGMO noch zum Abschluss eines Auftragsdatenverarbeitungsvertrages verpflichtet und was ist das Anliegen eines Auftragsdatenverarbeitungsvertrages? Die Antwort auf diese Fragen ist einfach: Ja, die Verpflichtung zum Abschluss eines Vertrages über die Bestelldatenverarbeitung, auch bekannt als Bestelldatenverarbeitungsvertrag (ADV), bleibt bestehen. Außerdem wurde dargelegt, was in den Auftrag für die Auftragsdatenbearbeitung aufgenommen werden muss.

Wichtig ist jedoch, dass der Vertrag zwar in schriftlicher Form verfasst werden muss, aber auch in elektronischer Form vorliegen kann. Zweck des Vertrages über die Bestelldatenverarbeitung ist die Regelung der Übermittlung personenbezogener Informationen. Das ist für den Datenschutz der Beteiligten und für den allgemeinen Datenschutz unerlässlich.

Dies ist die einzige Möglichkeit, nachvollziehen zu können, an wen, wann und welche Art von persönlichen Informationen übermittelt wurden. Sicherheitsüberprüfung der Auftragsabwicklung: Werden die Kundendaten beim Fremdanbieter innerhalb der EU zwischengespeichert? Übermittelt der Dritte die Informationen außerhalb der EU? Wurden vom externen Anbieter alle erforderlichen fachlichen und technischen Massnahmen getroffen? Wem stehen die Informationen zur Verfügung und was können diese Menschen damit machen?

Mit welchen Sicherheitsvorkehrungen schützt der Drittanbieter meine persönlichen Angaben?

Neue EU-Datenschutzbestimmungen und E-Mail-Marketing

Im vergangenen Jahr wurde nach knapp vier Jahren die neue EU-Grunddatenschutzverordnung (EU-DSGVO) verabschiedet und publiziert, die ab dem 2. März 2018 in allen EU-Mitgliedsstaaten gelten wird. Dieses Abkommen schafft ein EU-weites, vereinheitlichtes Datenschutzgesetz und soll die grundlegenden Rechte und Freiheiten der natürlichen Person und vor allem ihr Recht auf Datenschutz schützen (Art. I Abs. 2 EU-DSGVO).

Bei Online-Vermarktern wird dies zu Innovationen führen, die ab dem kommenden Jahr zu beobachten sind, da die neuen Geldbußen für Zuwiderhandlungen beträchtlich sind. Es gibt auch im E-Mail-Marketing viel zu berücksichtigen. Bestehende Kunden dürfen nach geltendem Recht nur dann Werbe-E-Mails empfangen, wenn sie zuvor ihre Zustimmung erteilt haben oder wenn für ein Produkt geworben wird, das den bereits erworbenen Produkten sehr ähnelt.

Das Einverständnis zum Empfang von Werbe-E-Mails ist derzeit nur dann rechtswirksam, wenn ihr Geltungsbereich ausdrücklich umschrieben ist. Es muss auch auf freiwilliger Basis erfolgen, d.h. es kann nicht unbedingt notwendig sein, um eine Dienstleistung zu erhalten - z.B. ist es nicht erlaubt, den Erwerb von Waren zur Pflicht zu machen, einen Newsletter zu abonnieren.

Es muss auch deutlich zu erkennen sein, dass und wozu die Zustimmung vorliegt und darf nicht im Kleindruck unterdrückt werden. Es ist auch darauf zu achten, dass die Zustimmung wirksam ist, d.h. dass keine Kontrollkästchen für den Empfang des Newsletters im Voraus freigeschaltet sind. Deshalb hat sich das Double-Opt-In-Verfahren als gesetzeskonforme Implementierung etabliert und sollte von allen E-Mail-Versendern genutzt werden.

Für die Datenauswertung im E-Mail-Marketing ist zwischen anonymisierter, pseudonymisierter (durch Vergabe von IDs ) und personalisierter Datenauswertung zu differenzieren. Für die persönliche Bewertung ist die konkrete bewusste Zustimmung sowie die jederzeitige Abruf- und Widerrufsmöglichkeit erforderlich. Noch war die rechtliche Situation für die Pseudonymisierung von Informationen nicht klar, aber die neue Regelung ist dies.

Die DSGVO und das BDSG untersagen darüber hinaus jede Form der Bearbeitung von personenbezogenen Informationen, es sei denn, dies ist durch Gesetze oder die Zustimmung der Betroffenen explizit erwünscht. Wurde der Adressat über den Verwendungszweck seiner E-Mail-Adresse benachrichtigt, kann von ihm erwartet werden, dass er Werbe-E-Mails erhält.

Jeglicher Einspruch der Beteiligten führt jedoch dazu, dass das Verfolgen und Versenden des Newsletters nicht zulässig ist. Einspruchsmöglichkeit muss für die Beteiligten stets möglich sein und bei Zustimmung deutlich mitgeteilt werden (Anmeldung zum Newsletter). Die neue Basisdatenschutzverordnung schreibt zudem vor, dass die Zustimmung zur Verarbeitung der Daten auf freiwilliger Basis erfolgt. Der Einwand oder die Ablehnung der Zustimmung darf keine Benachteiligung für ihn zur Folge haben.

Der Nachweis der Zustimmung zur Verarbeitung der personenbezogenen Informationen muss nach wie vor erbracht werden. Eine Neuerung ist die Festlegung der "persönlichen Referenz" für die Datenauswertung: Demnach ist die Pseudonymisierung der Bewertung von Informationen auch eine Identifikation. Es ist jedoch unklar, ob diese Angaben ohne Zustimmung mit so genannten "clear data" (z.B. Namen) kombiniert werden können und einer Klärung bedürfen.

Auch für das E-Mail-Marketing ist das "Recht auf Vergessen" von Bedeutung, wonach personenbezogene Angaben zu löschen sind, wenn die Betroffenen dies wollen und es keine legitimen Anhaltspunkte für eine weitere Einspeicherung gibt. Welcher davon als ein konkreter Anlass angesehen wird, muss in der Realität gezeigt werden. Dabei ist es von Bedeutung, alle potenziellen E-Mail-Marketing-Dienstleister daraufhin zu überprüfen, ob sie die neuen Vorgaben einhalten, geeignete Auskünfte erteilen oder die Implementierung begleiten.

Wir empfehlen Ihnen, Ihre Datenschutzbestimmungen gesetzlich schützen zu lassen und bei Ihrem E-Mail-Dienstleister zu erfragen, ob Ihre Verzeichnisse allen Erfordernissen entsprechen und Ihre Aufträge zur Bestelldatenverarbeitung zu überprüfen oder überprüfen zu lassen. 2. Achten Sie darauf, dass Sie alle bisher erhobenen Informationen rechtmäßig nutzen dürfen und dass neue Zustimmungen für den Erhalt von Newsletter und anderen Werbe-E-Mails den ab 2018 geltenden Vorschriften entsprechen.