Smarte, fokussierte E-Mails.
Perfekte Cross-Platform-Mails für mehr Ordnung – so können Sie sich aufs Wesentliche konzentrieren.
Definition
💡 DSGVO: Die Datenschutz-Grundverordnung, im Grunde das umfassende Datenschutzgesetz der EU, das regelt, wie Sie personenbezogene Daten von Menschen (einschließlich E-Mail-Adressen) erfassen, speichern und verwenden. Sie trat am 25. Mai 2018 in Kraft und gilt für jede Organisation, die Daten von in der EU ansässigen Personen verarbeitet, unabhängig davon, wo Ihr Unternehmen tatsächlich ansässig ist.
Wann ist die DSGVO für E-Mail relevant?
Wenn Sie E-Mails an Personen in Europa senden, unterliegen Sie der DSGVO.
Die Verordnung verpflichtet Sie, die Daten von Menschen zu schützen und es ihnen leicht zu machen, zu kontrollieren, was Sie damit tun.
Organisationen, die gegen die DSGVO verstoßen, müssen mit Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Umsatzes rechnen, je nachdem, welcher Betrag höher ist. Das ist kein Klaps auf die Finger.
Speziell für E-Mails hat die DSGVO alles daran verändert, wie Marketing- und Transaktionsnachrichten funktionieren. Sie können nicht einfach eine Liste kaufen und loslegen. Die DSGVO verlangt von Unternehmen, eine klare, ausdrückliche Einwilligung einzuholen, bevor sie jemanden per E-Mail kontaktieren. Das bedeutet echte Opt-in-Kästchen, die Menschen aktiv anklicken, keine vorab angekreuzten Kästchen oder konkludente Einwilligung.
Aber es geht nicht nur um Marketing. Die DSGVO regelt Ihren gesamten E-Mail-Betrieb. Wie lange Sie Nachrichten speichern, wie Sie sie schützen und was passiert, wenn jemand Sie auffordert, seine Daten zu löschen. Sie ist wichtiger, als den meisten Menschen bewusst ist.
Was die DSGVO verlangt
Es gibt vier Hauptbereiche der Compliance:
Rechtsgrundlage für die Verarbeitung. Sie brauchen einen rechtlichen Grund, um die E-Mail-Adresse einer Person zu erfassen und zu verwenden. Die Verarbeitung ist nur zulässig, wenn entweder die betroffene Person eingewilligt hat oder eine andere Rechtsgrundlage vorliegt. Bei Marketing-E-Mails ist das fast immer die Einwilligung. Bei Transaktions-E-Mails (Bestellbestätigungen, Passwortzurücksetzungen) können Sie sich stattdessen auf berechtigtes Interesse oder vertragliche Erforderlichkeit stützen.
Rechte des Einzelnen. Menschen können Auskunft über ihre Daten verlangen, Sie auffordern, sie zu korrigieren, oder verlangen, dass Sie sie vollständig löschen. Das berühmte „Recht auf Vergessenwerden“ verpflichtet Sie, personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden. Ihre E-Mail-Systeme müssen diese Anfragen tatsächlich unterstützen, nicht sie nur bestätigen.
Datensicherheit. Die DSGVO verlangt „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, was bedeutet, dass Organisationen bei neuen oder bestehenden Produkten oder Dienstleistungen stets die datenschutzrechtlichen Auswirkungen berücksichtigen müssen. E-Mail-Verschlüsselung wird ausdrücklich als technische Maßnahme genannt, die Sie umsetzen sollten. Vor fünf Jahren war verschlüsselte E-Mail nicht praktikabel. Heute gehört sie zum Standard.
Nachweis der Compliance. Sie brauchen Aufzeichnungen. Wann jemand zugestimmt hat, wie das geschehen ist und womit die Person einverstanden war. Die DSGVO verlangt von Unternehmen, Nachweise über Einwilligungen aufzubewahren, einschließlich wer die Zustimmung erteilt hat, wann und wie dies geschah und welche Informationen der Person zu diesem Zeitpunkt gezeigt wurden. Ohne Dokumentation können Sie bei einer Prüfung die Compliance nicht nachweisen.
E-Mail-Einwilligung richtig einholen
Eine Einwilligung ist gültig, wenn sie freiwillig, informiert, eindeutig und spezifisch erfolgt. Gerade dieser letzte Punkt bringt viele durcheinander. Sie können die Einwilligung in Marketing-E-Mails nicht mit der Zustimmung zu den Nutzungsbedingungen bündeln. Das sind getrennte Dinge, für die getrennte Kästchen erforderlich sind.
So sieht eine gültige Einwilligung aus: Jemand besucht Ihre Website, sieht ein nicht angekreuztes Kästchen mit der Aufschrift „Ja, senden Sie mir wöchentliche Produkt-Updates“, klickt es aktiv an und sendet das Formular ab. Das funktioniert.
Was nicht funktioniert: vorab angekreuzte Kästchen. Konkludente Einwilligung durch einen Kauf. Anzunehmen, dass Schweigen Ja bedeutet. Wenn Sie keine ausdrückliche, eindeutige Einwilligung des Besuchers zum Erhalt von Marketingnachrichten haben, können Sie ihm keine Nachrichten senden—andernfalls drohen hohe Geldbußen.
Double Opt-in ist noch besser. Sobald jemand das Anmeldeformular ausfüllt und auf „Senden“ klickt, erhält die Person eine E-Mail mit einem Bestätigungslink, und Marketingkommunikation beginnt erst, nachdem sie ihre Einwilligung bestätigt hat. Dadurch werden versehentliche Anmeldungen ausgeschlossen und Sie erhalten einen wasserdichten Nachweis der Einwilligung.
Es gibt eine Ausnahme: Soft Opt-in für bestehende Kunden. Wenn Sie die E-Mail-Adresse Ihres Kunden beim Verkauf Ihres Produkts oder Ihrer Dienstleistung erhalten, können Sie sie für Direktmarketing für ähnliche Produkte verwenden, solange Sie eine Opt-out-Möglichkeit anbieten. Aber Sie brauchen in jeder Nachricht trotzdem diesen Abmeldelink.
Datenspeicherung und Löschung
Artikel 5(e) besagt, dass personenbezogene Daten „nicht länger als für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich“ gespeichert werden dürfen. Die meisten von uns löschen nie E-Mails. Das ist jetzt ein Compliance-Problem.
Sie brauchen eine Aufbewahrungsrichtlinie. Wie lange bewahren Sie Kunden-E-Mails auf? Support-Tickets? Marketing-Listen? Wie auch immer Sie sich entscheiden, dokumentieren Sie es und halten Sie sich auch tatsächlich daran. Einige E-Mail-Dienste bieten eine Funktion für ablaufende E-Mails, mit der Sie festlegen können, dass Nachrichten nach einer bestimmten Zeit gelöscht werden.
Wenn jemand die Löschung verlangt, müssen Sie handeln. Nachdem sich jemand abgemeldet hat, sollten Sie seinen Namen und seine personenbezogenen Daten aus Ihrer E-Mail-Liste löschen. Bewahren Sie nur so viel auf, dass die Opt-out-Präferenz der Person berücksichtigt werden kann, und nicht mehr.
Tipps zur DSGVO-Compliance
Am wichtigsten ist: Lesen Sie die DSGVO-Regeln und halten Sie sich auf der DSGVO-Website darüber auf dem Laufenden. Diese Regeln können sich im Laufe der Zeit ändern, daher sollten Sie sie regelmäßig prüfen, um sicherzugehen, dass Sie compliant sind.
Wenn Sie unsicher sind, beauftragen Sie einen Spezialisten, der Ihnen hilft, Systeme einzurichten, die den Vorschriften entsprechen.
Verwenden Sie Double Opt-in für alle Marketing-Listen. Es ist der sauberste Nachweis der Einwilligung und filtert gefälschte Adressen heraus.
Machen Sie das Abmelden einfach. Nach den DSGVO-Standards muss der Widerruf der Einwilligung genauso einfach sein wie ihre Erteilung. Abmeldelinks mit nur einem Klick in jeder E-Mail. Keine Hürden, kein schlechtes Gewissen.
Verschlüsseln Sie E-Mails, wo immer möglich. Die DSGVO nennt Verschlüsselung ausdrücklich als Schutzmaßnahme. Ende-zu-Ende-verschlüsselte E-Mail-Dienste gibt es inzwischen und sie sind nicht allzu schwer zu implementieren.
Trennen Sie transaktionale E-Mails von Marketing-E-Mails. Unterschiedliche Rechtsgrundlagen, unterschiedliche Aufbewahrungsregeln. Bewahren Sie sie, wenn möglich, in unterschiedlichen Systemen auf.
Dokumentieren Sie alles. Einwilligungsnachweise, Aufbewahrungsrichtlinien, Sicherheitsmaßnahmen. Wenn Sie nicht nachweisen können, dass Sie versucht haben, compliant zu sein, fallen die Strafen höher aus.
Überprüfen Sie Ihre E-Mail-Listen regelmäßig. Bereinigen Sie inaktive Abonnenten, prüfen Sie, ob die Einwilligungsdokumentation noch vorhanden ist, und kontrollieren Sie, ob Opt-out-Anfragen tatsächlich bearbeitet wurden.
Verwandte Inhalte
Verwandte Begriffe