Umsetzung der DSGVO in der Praxis Die größten Datenschutz-Fehler bei Newslettern

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

E-Mail-Marketing gehört weiterhin zu den wichtigsten Kanälen der digitalen Kundenkommunikation. Wichtig dabei ist aber die Einhaltung der Vorgaben der Datenschutz-Grundverordnung (DSGVO), um mögliche Sanktionen zu vermeiden und Kunden nicht zu verärgern. Aufsichtsbehörden berichten von typischen Fehlern bei Newslettern, aus denen man lernen sollte.

Firmen zum Thema

Der Datenschutz im Bereich E-Mail-Marketing ist noch nicht überall zufriedenstellend, es gibt für deutsche Unternehmen noch eine Reihe von Punkten mit Handlungsbedarf.
Der Datenschutz im Bereich E-Mail-Marketing ist noch nicht überall zufriedenstellend, es gibt für deutsche Unternehmen noch eine Reihe von Punkten mit Handlungsbedarf.
(Bild: sdecoret - stock.adobe.com)

Ganze 98 Prozent (im Vorjahr 95 Prozent) der Unternehmen setzen E-Mail-Marketing ein, um regelmäßig mit Kunden und Interessenten in Kontakt zu treten, so die Studie E-Mail-Marketing Benchmarks 2021 von DDV (Deutscher Dialogmarketing Verband e. V.) und absolit Dr. Schwarz Consulting. Damit wird deutlich, dass die E-Mail eines der wichtigsten Instrumente für Marketingzwecke von Unternehmen ist und weiter an Bedeutung gewinnt.

Hebel zur weiteren Optimierung gibt es trotzdem noch. So setzen mit 55 Prozent (im Vorjahr 49 Prozent) erst etwas mehr als die Hälfte der Unternehmen einen zertifizierten Mailserver ein, nur sechs Prozent schützen ihre Versand-Domain umfassend gegen Phishing und Betrugsversuche. Rund neun Prozent handeln bei der Übertragung der Kundendaten noch nicht DSGVO konform, wie die Umfrage ergab.

DDV-Präsident Martin Nitsche kommentierte: „Die E-Mail ist und bleibt zweifelsohne für Marketer DAS Instrument zur Kundenkommunikation. Deutlich Luft nach oben ist aber insbesondere noch bei den Themen Automatisierung und Personalisierung. Dass rund jedes zehnte Unternehmen noch nicht die DSGVO vollständig beachtet, lässt mich nicht zuletzt wegen des drohenden Imageschadens und möglicher Bußgelder sprachlos."

Vergleicht man die Ergebnisse des E-Mail-Marketing Benchmarks 2021 mit dem aus dem Jahr 2020 hinsichtlich DSGVO, findet man: Laut Studie 2020 waren es erst 80 Prozent aller Unternehmen, die Kundendaten sicher gemäß der DSGVO übertragen haben.

Das klingt zwar nach Fortschritt, ist aber aus Datenschutzsicht nicht tragbar.

Doch wie steht es um den Datenschutz?

Aufsichtsbehörden für den Datenschutz wie der Europäische Datenschutzbeauftragte prüfen auch in diesen Zeiten die Einhaltung der Datenschutz-Grundverordnung. Auch wer nicht von seiner zuständigen Aufsichtsbehörde auf das Thema E-Mail-Marketing und Newsletter angesprochen wurde, tut gut daran, sich mit den typischen Fehlern bei Erstellung, Versand und Auswertung von Newslettern zu befassen.

Unzulänglichkeiten im Datenschutz können nicht nur zu Sanktionen führen, sie verärgern oftmals die Interessenten und Kunden, zum Beispiel wenn ein Newsletter ankommt, den man gar nicht bestellt hatte oder der abbestellt wurde. Da wird aus E-Mail-Marketing schnell E-Mail-Spam. Das muss und darf nicht sein.

Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski sagte: „Da aufgrund von COVID-19 keine persönlichen Veranstaltungen und andere Öffentlichkeitsarbeit stattfinden, haben EU-Einrichtungen ihre Online-Präsenz erhöht. Der Versand von Newslettern ist ein wirksames Mittel, um Einzelpersonen und Interessengruppen zu erreichen. EU-Einrichtungen sollten mit gutem Beispiel vorangehen, indem sie Einzelpersonen transparent darüber informieren, wie mit ihren personenbezogenen Daten umgegangen wird.“

Der Europäische Datenschutzbeauftragte hat festgestellt, dass die meisten EU-Einrichtungen die Informations- und Transparenzanforderungen des geltenden Datenschutzrechts erfüllen.

Noch bevor sie nach der Prüfung die Empfehlungen des Europäischen Datenschutzbeauftragten erhielten, ergriff die Mehrheit der EU-Einrichtungen proaktiv einstweilige Maßnahmen. Auf Grundlage des Ankündigungsschreibens zur Prüfung haben die EU-Einrichtungen beispielsweise ihre Datenschutzerklärungen überarbeitet oder die Zugänglichkeit von Informationen verbessert. Diese Maßnahmen sollen sicherstellen, dass Einzelpersonen auf den EU-Websites einfachen Zugang zu klaren Informationen darüber haben, wie ihre personenbezogenen Daten beim Abonnieren von Newslettern verarbeitet werden.

Den Berichten des Europäischen Datenschutzbeauftragten zum Beispiel kann man vieles entnehmen, was nicht nur EU-Behörden bei Newslettern aus Datenschutzsicht falsch machen, sondern zweifellos auch viele privatwirtschaftliche Unternehmen.

Wichtige Punkte im Datenschutz bei Newsletter-Versand

Eine besondere Rolle bei der Prüfung, wie es um den Datenschutz steht, wenn sich Interessenten für Newsletter anmelden, wenn sie Newsletter empfangen und wenn sie diese abbestellen wollen, spielen Artikel 15 DSGVO (Auskunftsrecht der betroffenen Person), Artikel 13 DSGVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person), Artikel 14 DSGVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) und natürlich Artikel 7 DSGVO (Bedingungen für die Einwilligung).

Folgende Punkte wurden von der Aufsicht festgestellt und sollten auch von Unternehmen bei sich selbst überprüft werden:

Datenschutzerklärung: Teilweise fehlte die Datenschutzerklärung, oder sie war zu allgemein gehalten und nicht auf die konkrete Datenverarbeitung angepasst, schließlich wurde teils auf altes Datenschutzrecht verwiesen.

Datenschutzerklärung bei Nutzung von Newsletter-Tools: Die Aufsichtsbehörde hat auch von Fällen berichtet, bei denen einfach auf die Datenschutzerklärung des Tool-Anbieters oder Dienstleisters verwiesen wurde, eine eigene Datenschutzerklärung fehlte.

Auffindbarkeit der Datenschutzerklärung: Einige Datenschutzerklärungen waren nicht ohne weiteres zu finden.

Verantwortliche Stelle und Datenschutzbeauftragte: Mitunter fehlte die Angabe des Verantwortlichen, den die Betroffenen aber vielleicht kontaktieren wollen. Auch die Kontaktdaten des oder der Datenschutzbeauftragten waren nicht immer zu finden.

Angabe der Zwecke der Datenverarbeitung: Auch der Zweck der Datenverarbeitung wurde teils nicht genannt. Man kann davon ausgehen, dass die Frage nach dem genauen Zweck einer der Gründe ist, warum Datenschutzerklärungen gar nicht veröffentlicht werden.

Fehlende Rechtsgrundlage: Wenn man sich auf die Einwilligung berufen will, dann muss diese auch datenschutzgerecht einholt werden.

Angaben zur Weitergabe an Dritte: Es muss nicht nur genannt sein, an wen die Nutzerdaten womöglich weitergegeben werden, es muss auch eine Rechtsgrundlage geben. Dabei muss auch an die Datenübermittlung in Drittstaaten wie die USA gedacht werden, mit all den Folgen für die Klärung des Datenschutzniveaus und der ergänzenden Schutzmaßnahmen.

Angaben zur Datenlöschung: Auch im Bereich der Angaben zur Löschung der Daten gab es Probleme. Manche wollten die Daten gerne dauerhaft aufbewahren.

Angaben zu den Betroffenenrechten: Auch diese Angaben dürfen nicht fehlen. Allerdings passiert dies, wenn man fälschlicherweise einfach auf die Privacy Policy des US-Dienstleisters verweist.

Angaben zur Möglichkeit des Widerrufs: Einwilligungen müssen sich widerrufen lassen, auch darauf muss man hinweisen. Es muss möglich sein, den Newsletter so einfach abzustellen, wie man ihn abonnieren kann.

Wirksamkeit der Abbestellung: In einigen Fällen konnte man zwar den Newsletter abbestellen, aber der Versand könnte weiterhin erfolgen, ohne Einwilligung, da es zu einer Fehlermeldung bei der Abmeldung kam.

Hinweis zur automatisierten Entscheidungsfindung im Einzelfall: Hier muss daran gedacht werden, wie die Nutzerdaten denn ausgewertet werden sollen und was auf dieser Grundlage passieren soll. Mögliches Profiling muss hier angesprochen werden.

Fazit

Es zeigt sich: Noch ist der Datenschutz im Bereich E-Mail-Marketing nicht überall zufriedenstellend, es gibt eine Reihe von Punkten mit Handlungsbedarf. Ob dies wirklich nur bei weniger als zehn Prozent der Unternehmen so ist, wie die aktuelle Umfrage ergab, sei dahingestellt.

(ID:47629903)