Mehr als ein Jahr nach Inkrafttreten der DSGVO sind - gerade bei KMUs - noch immer einige Fragen offen, gibt es Missverständnisse oder das Thema wird nicht (mehr) ernst genommen. dialog-Mail, Hersteller der gleichnamigen E-Mail-Marketing-Software, nennt die häufigsten Irrtümer im Bereich E-Mail-Marketing. [...]
„In der Praxis begegnen uns immer wieder die gleichen Fehler rund um die Themen Datenschutz und E-Mail–Marketing, die Unternehmen machen. Deshalb haben wir dazu eine Hitliste der wichtigsten Fehler erstellt“, erklärt Michael Kornfeld, Geschäftsführer von dialog-Mail eMarketing Systems.
Die häufigsten Fehler aus Sicht des Datenschutzexperten sind:
1: Fehlende Dienstleister-Vereinbarung
2: Zustimmung ist gleich Zustimmung
3: Fehlerhafte Datenschutz-Bestimmungen (Website)
4: Fehler bei der Beantwortung von Auskunftsbegehren
5: Konsequenz bei Wegfall der Einwilligung
Nr. 1: Fehlende Dienstleister-Vereinbarung
Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet (zum Beispiel ein E-Mail Marketing-Tool für den Versand Ihrer E-Mailings), dann benötigen Sie eine Dienstleister-Vereinbarung (Auftragsdaten-Vereinbarung).
Denn in der DSGVO ist klar geregelt, dass der Verantwortliche auch für die Auswahl seiner Dienstleister und deren datenschutzrechtliches Verhalten verantwortlich ist (das sog. „Auswahlverschulden“).
Das bedeutet: Wenn ein Dienstleister personenbezogene (!) Daten von Ihnen verarbeitet, sorgen Sie dafür, dass Sie eine entsprechende Dienstleister-Vereinbarung mit ihm abschließen. Die meisten professionellen Dienstleister werden Ihnen eine solche Vereinbarung ohnehin automatisch zur Verfügung stellen.
Nr. 2: Zustimmung ist gleich Zustimmung
Es gibt rund um die Zustimmung (im Zuge einer Newsletter-Anmeldung) immer wieder ein großes Missverständnis: Es gibt nämlich zwei (voneinander getrennte!) Zustimmungen – und beide (!) benötigt man in den meisten Fällen, um rechtskonform E-Mailings verschicken zu können.
Einerseits benötigt man eine Zustimmung nach dem TKG (was den Erhalt des Newsletters betrifft), andererseits zusätzlich noch eine Einwilligung nach der DSGVO (für die Analyse von personenbezogenen Verhaltensdaten).
Nr. 3: Fehlerhafte Datenschutzbestimmungen (Website)
Wenn Sie ein Kontaktformular auf Ihrer Website einsetzen, in dem auf eine Seite mit den Datenschutzbestimmungen verwiesen wird, dann ist das grundsätzlich sehr gut. Doch leider werden bei den Datenschutzbestimmungen immer wieder formale oder inhaltliche Fehler gemacht und zum Beispiel wichtige Informationen nicht angegeben (so muss z.B. die Dauer der Speicherung angeführt werden).
Das Problem: Wenn die Datenschutzbestimmungen fehlen oder fehlerhaft sind, dann ist die Zustimmung ungültig; wenn aber die Zustimmung ungültig ist, entfällt die Rechtsgrundlage für die Datenverarbeitung. Anders formuliert: Die Zustimmung ist dann wertlos und die Daten müssen in weiterer Konsequenz gelöscht werden.
Nr. 4: Fehler bei der Beantwortung von Auskunftsbegehren
Wenn ein Betroffener Auskunft über die Daten verlangt, die Sie über ihn verarbeiten, dann müssen Sie diesem Begehren nachkommen.
Hier ist aber eines wichtig: Sie müssen verpflichtend sicherstellen, dass die Datenauskunft auch an den richtigen (und berechtigten) Empfänger geschickt wird! Sie sollten also eine entsprechende Identifikation (z.B. Kopie eines Reisepasses) verlangen oder die Antwort als RSb-Brief verschicken – insbesondere wenn Sie das Auskunftsbegehren per E-Mail erhalten haben.
Außerdem muss die Beantwortung umfassend sein, sie muss also sämtliche Daten enthalten, die Sie über den Empfänger gespeichert haben (hier gibt es nur wenige Ausnahmen, z.B. wenn Betriebsgeheimnisse betroffen wären).
Achten Sie dabei auch an die Fristen: Auskunftsbegehren müssen innerhalb von vier Wochen beantwortet werden (in begründeten Fällen kann diese Frist auf maximal drei Monate verlängert werden).
Nr. 5: Konsequenz bei Wegfall der Einwilligung
Es gibt ein grundlegendes Problem mit den (datenschutzrechtlichen) Einwilligungen: Sie können durch den Betroffenen jederzeit widerrufen werden. Doch wenn diese Einwilligung widerrufen wird, dann fällt in vielen Fällen die Grundlage für die Datenverarbeitung weg!
Anders formuliert: Die Daten dürfen dann nicht weiter verwendet, sondern müssen anonymisiert oder gelöscht werden.
Bezogen auf E-Mail–Marketing ist der häufigste Fall eine Abmeldung: Wenn sich ein Empfänger abmeldet, fällt auch die Grundlage für die Datenspeicherung weg (sofern nicht andere Gründe geltend gemacht werden können, zum Beispiel vertragliche Verpflichtungen aus einer Kundenbeziehung).
Diese und weitere Tipps indem sich in dem Blog von dialog-Mail e-Mail Marketing Systems GmbH, der unter www.dialog-mail.com/p/Mg90q abgerufen werden kann.
Be the first to comment