Datenschutz-Risiken beim Newsletter-Versand

Das Millionen-Bußgeld für die AOK sollte alle Unternehmen sensibilisieren. Das E-Mail-Marketing muss sich peinlich genau an die Bestimmungen der DSGVO halten - sonst wird's teuer. [...]

Der Versand von Newslettern oder Marketing-E-Mails spielt in nahezu jedem Unternehmen eine zentrale Rolle (c) pixabay.com

Der Datenschutzbeauftragte des Landes Baden-Württemberg hat gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,2 Millionen Euro verhängt. Ursächlich für das Bußgeld war die Verwendung personenbezogener Daten von 500 Personen im Rahmen einer E-Mail-Marketing-Kampagne, obwohl die betroffenen Personen einer Nutzung zu Werbezwecken nicht zugestimmt hatten.

Der Versand von Newslettern oder Marketing-E-Mails spielt in nahezu jedem Unternehmen eine zentrale Rolle. Umso wichtiger ist hier eine adäquate Umsetzung der Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Meldepflicht bei Datenpannen

Ein wesentlicher Inhalt der Pflichten aus der DSGVO ist die (potenzielle) behördliche Meldepflicht aus den Artikeln 33 und 34, wenn es zu einer Datenpanne kommt. Ob eine Meldung an die Behörde tatsächlich erforderlich ist, lässt sich an folgendem Schema prüfen: In einem ersten Schritt ist festzustellen, ob überhaupt eine Datenpanne im Sinne der genannten Artikel vorliegt. Wann das der Fall ist, regelt Art. 4 Nr. 12 DSGVO. Demnach ist von einer Datenpanne auszugehen, wenn die Datensicherheit unbeabsichtigt oder unrechtmäßig verletzt wurde, sodass durch den Verantwortlichen verarbeitete personenbezogene Daten verloren gehen, verändert oder unbefugt offengelegt werden oder für Unbefugte zugänglich sind. Wird ein Newsletter an Personen versandt, die zuvor widersprochen oder widerrufen haben, so erfüllt diese Verarbeitung mangels unbefugter Offenlegung (die Daten gehen nur an den Betroffenen) nicht die Kriterien des Art. 4 Nr. 12 DSGVO an einen Datenschutzverstoß.

Für den Fall einer Datenpanne ist sodann zu prüfen, ob eine Meldepflicht an die zuständige Aufsichtsbehörde besteht. Dies ist stets dann der Fall, wenn die Datenpanne nicht lediglich ein geringes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat. Wird ein Newsletter an eine Person versandt, die vorher widersprochen oder ihre Einwilligung widerrufen hat, so besteht regelmäßig nur ein marginales Risiko, da die betroffene Person nur ihre eigenen Daten erhält.

Wird ein Newsletter unter Angabe aller Empfängeradressen versandt (Adressen im CC- statt im BCC-Feld), so ist regelmäßig von einem erheblichen Risiko für die betroffene Person auszugehen, da die Daten etwa durch Dritte für Social Engineering verwendet werden können. Im Fall, dass ein Newsletter unter Verwendung der falschen Anrede versandt wird (Herr Müller statt Herr Schmidt), besteht in der Regel auch kein konkretes Risiko für den Betroffenen. Anders verhält es sich jedoch, wenn die Person aufgrund eines nicht häufig vorkommenden Namens leicht zu identifizieren ist oder aufgrund der Art des Newsletters (zum Beispiel Erotik-Newsletter) ein Diskriminierungspotenzial erwachsen kann. 

Schließlich müssen Verantwortliche prüfen, ob zusätzlich eine Information an die betroffene Person selbst notwendig ist. Nach Art. 34 Abs. 1 und 2 ist das stets dann notwendig, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Dieses besteht bei einem Newsletterfehlversand regelmäßig nicht, es sei denn, es gibt ausnahmsweise ein solches Risiko für den Betroffenen aufgrund der Sensibilität und des Umfangs der betroffenen Daten oder der Betroffene ist ausnahmsweise identifizierbar und es droht etwa eine besonders große Stigmatisierung.

Es liegt auf der Hand, dass die datenschutzrechtlichen Meldepflichten im Marketing-Bereich aufgrund der erheblichen Bußgelder nicht nur einen elementaren wirtschaftlichen Faktor darstellen, sondern durch die Auslegungsbedürftigkeit der Artikel 33 und 34 DSGVO in der Praxis in zahlreichen Fallgruppen auch unterschiedlich ausfallen. Firmen sollten sich deswegen unverzüglich einen um­fassenden Überblick verschaffen, wenn es zu einem Fehlversand kommt.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*