Anzeige
Anzeige
Dsvgo Abmahnung 211226385 Fotolia Web
Seit knapp einem Jahr ist die Datenschutzgrundverordnung (EU-DSGVO) rechtskräftig (Foto: Fotolia)
DSGVO Datenschutz Daten

DSGVO: 7 sichere Wege, eine Abmahnung zu kassieren

Seit knapp einem Jahr ist die Datenschutzgrundverordnung (EU-DSGVO) rechtskräftig. Weil sich viele Unternehmen bei ihrem E-Mail-Marketing und Lead Management noch immer nicht an die Vorgaben halten, drohen ihnen Abmahnungen und hohe Bußgelder. Zu diesem Ergebnis kommen die E-Mail-Marketing-Benchmarks 2019.

Anzeige
Anzeige

Die Studie zeigt auch: 18,3 Prozent der rund 5.000 befragten Unternehmen verwenden offene Anmeldeformulare ohne Double-Opt-in, 38 Prozent fragen bei der Anmeldung zu viele Daten ab und geben in nur rund einem Viertel der Fälle an, was damit passiert.

Zudem können Nutzer bei lediglich zwei Prozent der Firmen dem Tracking ihres Leseverhaltens widersprechen. Hand aufs Herz: Gehört auch dein Unternehmen dazu? Welche sieben typischen Fehler ganz sicher zu einer Abmahnung führen und wie du genau das vermeidest, verrät die folgende Checkliste:

1. Fehler: Nutze Daten für Werbezwecke immer ohne Einwilligung

Wer personenbezogene Daten zu Werbezwecken ohne freiwillige, nachweisliche Einwilligung des Betroffenen erhebt und verarbeitet, hat gute Chancen, Post vom Anwalt zu bekommen. Darum sollten werbetreibende Unternehmen

  • jeden Betroffenen, der seine Einwilligung gibt, über alle Aspekte und Zwecke der Datenverarbeitung im Vorfeld verständlich aufklären;
  • bei Online-Formularen eine Checkbox mit Einwilligungserklärung im direkten Umfeld des E-Mail-Adressfelds ergänzen;
  • diese Erklärung in den Datenschutzinformationen wiederholen;
  • bei online erteilten Einwilligungen auf ein Double-Opt-in-Verfahren setzen, indem sie dem Empfänger einen Bestätigungslink per E-Mail zuschicken. Durch Klicken des Links verifiziert er seine Angaben;
  • jeden Schritt des Double-Opt-in-Prozesses systemseitig protokollieren.
Anzeige
Ctab Dsgvo Contentbild
​Datenschutz. Grund? Verordnung!

Von Kopplungsverbot bis Double-Opt-in: Beim Thema DSGVO herrschen immer noch Unsicherheiten. Das LEAD Bookazine 1/2019 zeigt Schritt für Schritt, wie die rechtskonforme Leadgenerierung im Onlinemarketing sauber abläuft.

2. Fehler: Vergiss die Datenschutzinformation oder -aufklärung

Eine Abmahnung droht auch dann, wenn Unternehmen keine Datenschutzinformation oder -erklärung haben, in der sie über die Rechtsgrundlagen einer werblichen Versendung informieren. Die Erklärung sollte folgende Informationen beinhalten:

  • Angaben zum Inhalt eines Newsletters oder E-Mailings
  • Aufklärung über das Einwilligungsverfahren (Double-Opt-in, Protokollierung)
  • Name und Kontaktdaten des Datenschutz-Verantwortlichen
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Zeitraum der Speicherung personenbezogener Daten

Wer mit externen Dienstleistern oder Auftragsverarbeitern zusammenarbeitet, muss darüber informieren, wer genau diese sind. Mit der Datenschutzinformation sind die Abonnenten auch darüber aufzuklären, welche personenbezogenen Daten erhoben werden, und dass sie ihre Einwilligung jederzeit widerrufen und sich von den Diensten abmelden können. Idealerweise beinhaltet eine Webseite einen entsprechenden, gut erreichbaren Link. So können Besucher die Datenschutzerklärung lesen, bevor sie sich in einen Verteiler eintragen oder ein Formular ausfüllen.

Auch interessant: Warum die DSGVO nicht das Ende von gutem Online Marketing bedeuten muss

3. Fehler: Verstecke das Impressum, sodass es niemand findet

Das Impressum vernachlässigen viele. Wer mit einem schlecht auffindbaren oder ohne Impressum arbeitet, kann in große Schwierigkeiten geraten. Denn Betroffene müssen sich informieren können, wer ihre personenbezogenen Daten verarbeitet. Um das zu bewerkstelligen, ist sicherzustellen, dass

  • das Impressum auf der Webseite gut auffindbar ist;
  • Newsletter und/oder marketingspezifische E-Mails ein Impressum haben – mit Angaben zu Namen, Anschrift und ggf. Rechtsform, E-Mail-Adresse und Telefonnummer, Handelsregister-Eintrag sowie Umsatzsteueridentifikationsnummer.

Alternativ ist erlaubt, in Newslettern und E-Mailings nur Anschrift, E-Mail-Adresse sowie Telefonnummer anzugeben und auf das Impressum der Webseite zu verlinken.

4. Fehler: Sammle und speichere alle Daten, die du besorgen kannst

In Zeiten von Big Data ist es verlockend, möglichst viele Daten zu verarbeiten. Bei E-Mail-Marketing- oder Lead-Management-Kampagnen viele Informationen zu sammeln, um Leads zu qualifizieren, ist sehr riskant. Dem steht der Grundsatz der Datenvermeidung und -sparsamkeit gegenüber.

Unternehmen sind verpflichtet,

  • möglichst wenig personenbezogene Daten zu verarbeiten und
  • die Rechtmäßigkeit aller Informationen von Datensätzen nachzuweisen.

Auf Transparenz, Zweckbindung, Datensparsamkeit und eine begrenzte Speicherung ist zwingend zu achten. Darum sollten Werbungtreibende in Formularen nur so viele Daten abfragen, wie sie für den jeweiligen Zweck benötigen (Art. 13 Abs. 1 DSGVO) - zum Beispiel die E-Mail-Adresse für den Versand eines Newsletters oder Mailings. Weitere abgefragte Daten sollten als freiwillige Angabe gekennzeichnet sein. Eine kurze Erläuterung bezüglich deren Relevanz erhöht die Akzeptanz der Nutzer. Denn die Konversionsrate ist umso höher, je übersichtlicher ein Formular gestaltet ist.

Ctab Cover Contentbild
Die Zukunft des Arbeitens!

Jeder ist ersetzbar. Oder doch nicht? Unternehmen müssen umdenken. Das LEAD Bookazine 1/2019 zeigt Cases für erfolgreiches Employer-Branding und wie Karrierenetzwerke dabei helfen, beruflich gesehen zu werden. Außerdem im Heft: eine Anleitung für erfolgreiches SEO und die Wahl des richtigen Influencers.

5. Fehler: Mache dir nicht die Mühe, den Datenverarbeitungsprozess zu dokumentieren

Kein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, ist ein grober Verstoß. Selbst wenn Unternehmen diese Aufgabe delegieren, tragen sie die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung: Sie müssen die DSGVO-konforme Durchführung kontrollieren und ein Verzeichnis führen, das über

  • den Zweck der Datenverarbeitung,
  • die Kategorien der betroffenen Personen und der personenbezogenen Daten,
  • die Kategorien der Empfänger, gegenüber denen die Daten offengelegt wurden oder werden,
  • die Fristen zur Löschung der Daten und
  • die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit

nachvollziehbar informiert.

Wer eine Marketing-Automation-Lösung einsetzt, agiert als Auftraggeber, der Daten wie Mailing- und Newsletter-Inhalte samt Adressenpool an einen Auftragnehmer weitergibt, der die erhaltenen Informationen auf Anweisung des werbetreibenden Unternehmens hin verarbeitet oder versendet. Um rechtlich auf der sicheren Seite zu sein, ist ein Auftragsverarbeitungsvertrag zu schließen, in dem beide Parteien versichern, dass sie bei der Datenverarbeitung alle Vorgaben gemäß DSGVO erfüllen. Das müssen Unternehmen als Auftraggeber der Datenverarbeitung zum Beispiel einer prüfenden Behörde gegenüber nachweisen können. Zudem haben sie sicherzustellen, dass der Auftragsverarbeiter die schriftlich vereinbarten oder elektronisch geregelten Vorgaben tatsächlich umsetzt.

6. Fehler: Nutze vorhandene Altdaten auf jeden Fall weiter

Wenn Unternehmen personenbezogene Altdaten, die nicht gemäß DSGVO erhoben wurden, nicht löschen, drohen hohe Strafen. Dennoch sind nicht alle personenbezogenen Altdaten für die Werbekommunikation rechtlich ungeeignet. Informationen, die vor Inkrafttreten der DSGVO erhoben wurden, dürfen weiterhin verarbeitet werden, sofern dafür die Einwilligungen der Betroffenen gemäß der EU-Datenschutzrichtlinie 95/46/EG vorliegt und sofern diese den Mindestanforderungen der DSGVO entsprechen: Es braucht

  • eine freiwillige, nachweisbare und protokollierte Einwilligung sowie
  • einen Hinweis auf das Widerrufsrecht.

Unter diesen Voraussetzungen dürfen Unternehmen Alt- und vorhandene CRM-Daten DSGVO-konform verarbeiten, etwa für E-Mail-Marketing und Lead-Management.

7. Fehler: Lege Nutzerprofile an und betreibe Tracking ohne Einwilligung

Wer pseudonymisierte Nutzerprofile zu Marketingzwecken mit Opt-out anlegt, riskiert eine Abmahnung. Bisher war eine Opt-out-Lösung – es ist nur eine ausdrückliche Ablehnung erforderlich – erlaubt, sofern der Betroffene darüber aufgeklärt wurde. Der Hintergrund: Als Art der Datenverarbeitung sorgt Pseudonymisierung dafür, dass personenbezogene Daten nicht mehr ohne weiteres einer Person zuordenbar sind.

Dennoch bleiben sie grundsätzlich personenbeziehbar. Darum dürfen Unternehmen pseudonymisierte Nutzerprofile nur erstellen, wenn der Betroffene per Double-Opt-in zugestimmt hat. Gleiches gilt für das Tracking des Nutzerverhaltens und den Umgang mit den erhobenen Daten. Mit der ePrivacy-Verordnung (EPVO) ist für 2020 ein weiteres Regelwerk angekündigt, das die Datenschutz-Thematik weiter verschärfen und die Bewertung von Marketingmaßnahmen erschweren wird.

Über den Autor: Martin Philipp hat über 20 Jahre Erfahrung in der Beratung, Vermarktung und dem Vertrieb von beratungsaufwendigen, webbasierten Produkten und Lösungen im B2B-Umfeld. Der diplomierte Betriebswirt ist Mitgeschäftsführer bei SC-Networks und verantwortet seit 2007 das Neukundengeschäft und die Kundenbegeisterung.

Weitere Informationen für ein DSGVO-konformes E-Mail-Marketing und Lead Management bietet das kostenfreie E-Book von SC-Networks.

Newsletter & Messenger

Mit dem LEAD Newsletter und dem LEAD Tech Newsletter immer top informiert zu allen Themen des digitalen Lebens. Egal ob beruflich oder privat. In deiner Inbox oder per Messenger.

Anzeige
Verlagsangebot
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote
Anzeige