Happy 1st Anniversary, DSGVO!

 

Gerichte brauchen im Schnitt drei Jahre für die Rechtsdurchsetzung eines neu beschlossenen Gesetzes. Die DSGVO feierte diesen Monat gerade einmal ihren ersten Geburtstag und hat mit über 100.000 Beschwerden europaweit zu kämpfen – es sollte daher also kein Wunder sein, dass sich in den letzten 12 Monaten (gefühlt) nichts geändert hat. Und doch wird sie vom Großteil der Bevölkerung als Sinnbild des staatlichen Kontrollwahns gesehen. Was ist nun gefährliches Halbwissen, was sind unberechtigte und was berechtigte Vorwürfe? Wir schenken der DSGVO nachträglich zum Geburtstag neue Aufmerksamkeit und schauen uns an, was sich, besonders im E-Mail Marketing, tatsächlich verändert hat. 


1. Google und Facebook mussten Strafe zahlen – ist sonst noch was passiert?

Woran denken Sie als erstes, wenn Sie den Begriff „DSGVO“ hören? Nicht zufällig an die unbedeutenden 50 Millionen Euro Strafe, mit denen es Google zu tun bekommen hat? Wir nämlich schon. Dabei investierte das Unternehmen ganze 500 Menschenjahre in die Vorbereitungen auf das Inkrafttreten der DSGVO im letzten Jahr. Ja, 500 Menschenjahre – das hat Googles Datenschutzjustiziar Peter Fleischer kürzlich in Berlin verraten. Davon wurden allein schon 40 Jahre genutzt, um über 1000 Google-Produkte und -Projekte entsprechend der neuen Regelungen anzupassen. Außerdem beachtlich: 12,5 Millionen Verträge mit Kunden und Geschäftspartnern wurden erneuert. Was zeigt uns das? Es zeigt die Ausmaße, die die neuen Anpassungen annehmen können. Viele kleine Unternehmen haben bereits Schwierigkeiten den rechtlichen Änderungen gerecht zu werden. Doch erst durch den Fall „Google“ wurde alles noch greifbarer, beunruhigender, gefährlicher.1 Zwei Verstöße, die die Welt haben spüren lassen, was es heißt angreifbar zu sein. Begonnen hat es im September 2018, als die CNIL (Die Commission Nationale de l’Informatique et des Libertés ist die nationale Datenschutzbehörde Frankreichs mit Sitz in Paris) den Vorwürfen eigenständig nachgegangen ist. Die Vorwürfe: Verletzung der Transparenz- und Informationspflichten und eine fehlende gültige Zustimmung des Nutzers zur Ausspielung personalisierter Anzeigen bei der Einrichtung eines Google-Accounts auf Android-Smartphones. Datenverarbeitungszwecke, Dauer von Datenspeicherungen oder andere Fakten waren über mehrere Dokumente verteilt worden und somit für den Kunden erst durch mehrere Schritte zugänglich. Ein zu aufwendiger Prozess, der dem Kunden ergänzende Informationen vorenthielt. Zudem wurden die Nutzer laut CNIL nicht genügend informiert, was ihre Zustimmung bedeutet und wie vielen Google-Diensten sie letztlich zugestimmt haben. Schlussendlich haben zig Franzosen bei der Nutzung ihres Android-Smartphones ein Google-Konto erstellt – unwissentlich.2 Hoppala.   

 

2. Kuriose Folgen der DSGVO

Google und Facebook traf es finanziell, einige andere Bürger in Österreich litten psychisch unter der Inkraftsetzung der DSGVO. So kam es über die letzten Monate hinweg zu einigen dubiosen Fällen. Die vermeintliche Intention dahinter: Eigenschutz vor falscher Datenverwendung. So wurden beispielsweise in Wien Klingelschilder abgedeckt – schließlich könnte ein Nachname mit Daten aus dem Netz verknüpft werden. Eine ebenfalls interessante Wendung seit Mai letzten Jahres: die Diskussion mit Landesdatenschutzbeauftragten aus Deutschland über die Illegalität der WhatsApp-Nutzung oder Facebook-Gewinnspielen. Manch ein Vorwurf ist dabei ernst zu nehmen – ein anderer dafür nicht.3 Interessant ist vor allem die Kreativität der Handlungen Betroffener oder aber auch Nicht-Betroffener.

 

3. Was sich tatsächlich geändert hat

Viel Wirbel um Nichts? Oder viel Wirbel um was genau? In den letzten 12 Monaten hat sich im E-Mail-Marketing aber auch tatsächlich etwas getan, beziehungsweise verändert. Welche Aspekte darunter fallen, wollen wir im Folgenden kurz und kompakt darstellen. Vorwegzunehmen ist dabei jetzt schon: viele der Punkte, die sich für unsere Branche verändert haben, sind für den Kunden meist eher unterbewusst wahrnehmbar und stellen keine schockierenden Veränderungen dar, sondern sind nur für das Unternehmen selbst relevant. Und los geht’s:

 

Die Anforderungen

Welche Anforderungen damit gemeint sind? Ganz einfach und nicht überraschend: Informationen für den Kunden. Der Kunde muss seit Mai letzten Jahres nun stärker über die Informationen der Datenschutzbestimmungen belehrt werden. Darunter fallen Attribute wie Transparenz, Verständlichkeit, leichte Zugänglichkeit, Verfassung in leicht verständlicher Sprache, Benennung der Rechtsgrundlage und eine präzise Ausdrucksweise.4 Die neu gesetzten Anforderungen beziehen sich allerdings nicht nur auf die Informationsmitteilung, sondern auch auf die Definition personenbezogener Daten. Welche Daten dürfen weiterhin abgefragt werden? Die DSGVO definiert hierbei konkret die Zuordnung zu einem oder mehreren besonderen Merkmalen. Dazu gehören Merkmale wie Namen, Standortdaten, Kennnummern, sowohl physiologische, als auch physische Identität, kulturelle oder soziale Identität.5 

 

Die Newsletter Anmeldebox 

Auch in Bezug auf den Aufbau der Newsletter-Anmeldeseiten gab es Änderungen durch das Inkrafttreten der DSGVO. Dass es nun einer weiteren Checkbox bedarf, mit der die Datenschutzbestimmungen akzeptiert werden sollen, ist dabei aber nicht der Fall – auch wenn diese Annahme durch das Land kursierte. Es müssen lediglich die datenschutzrechtlichen Vorrausetzungen von Art. 7 eingehalten werden. Hauptaspekt ebendieses Artikels aus der DSGVO ist eine ausdrückliche Widerrufsbelehrung, die nun dazuzählt. Folglich muss der Nutzer selbst keine zusätzliche Zustimmung geben, sondern, wie der Name „Datenschutzerklärung“ bereits verrät, einzig die Möglichkeit haben, eine Erklärung des Unternehmens über den Umgang personenbezogener Daten des Nutzers einzusehen. Der Hinweis auf die Datenschutzinformationen ist infolgedessen wie schon bisher ausreichend.6  

 

Double-Opt-In 

Manch ein E-Mail-Marketer hat bereits vor Mai 2018 mit Double-Opt-Ins gearbeitet, ein Anderer ist nun seit dem letzten Jahr offiziell zu einer Folgemail mit dem Bestätigungslink für das Newsletter-Abonnement verpflichtet. (Eine wichtige Randnotiz an dieser Stelle: Die DSGVO umfasst Regelungen bezüglich der Datenspeicherung. Die Double-Opt-In-Regelung ist daher nicht durch die DSGVO, sondern das UWG geregelt – da es aber für das E-Mail-Marketing relevant ist, nehmen wir es hier trotz allem mit auf.) Eine simple Hinterlegung der E-Mail-Adresse, inkludiert im Anmeldeformular, reicht dafür nicht mehr aus - die lang umstrittene Folgemail ist nach vielen Diskussionen nun unumgänglich. Zusätzlich zur Folgemail sind allerdings noch weitere Aspekte zu beachten. So ist beispielsweise die Einwilligungserklärung mit in die Mail zu schreiben. Außerdem muss seit nun einem Jahr jede einzelne Anmeldung archiviert werden. Werden die Daten zusätzlich gespeichert, muss noch eine Auftragsdatenvereinbarung abgeschlossen werden. Letztlich dürfen Folgemails keinerlei Werbung transportieren, womit Produktangebote oder Ähnliches ausgeschlossen sind.7   

 

Auswertung von E-Mail-Kampagnen  

Einige E-Mail-Versandsysteme bieten die Möglichkeit einer Auswertung von E-Mail-Kampagnen. Welcher Empfänger hat welche E-Mail angeklickt? Welchen Artikel hat der Empfänger geöffnet, welchen nicht? Diese Art von Auswertung ist nun im Falle einer entsprechenden Einwilligung des Nutzers zulässig. Eine personenbezogene Auswertung darf folglich nur durchgeführt werden, stimmt der Nutzer zu Angaben wie „Ja, ich möchte Ihren auf mich zugeschnittenen Newsletter erhalten“ zu. Zusätzlich sollte, wie bereits bei Punkt 1 der Änderungen erwähnt, klare Transparenz bezüglich der auszuwertenden Aspekte gegeben sein. Für den Kunden sollte klar definiert sein, inwieweit der Newsletter zukünftig individualisiert oder dynamisiert wird.8 Die alleinige Öffnungsrate als Tracking-Methode ist jedoch auch weiterhin ohne Einwilligung möglich. An dem Grundsatz, unpersonalisierte KPIs zu tracken um zu analysieren welche Links, CTAs, Buttons, etc. wie oft geklickt wurden, hat sich nichts geändert. 

 

Das Kopplungsverbot  

Bezüglich des Kopplungsverbotes gibt es immer wieder unterschiedliche Meinungen und Ansichten – eine optimal abgrenzbare Definition ist bisher noch nicht gegeben, da es im Art 7 der DGSVO kein ausdrückliches Kopplungsverbot gibt. Klar abgegrenzt ist dafür aber die Verwendung von Incentives, die von vielen Unternehmen angeboten werden. Sei es ein Gutschein, eine kostenlose Beratung oder ein anderes kleines Dankeschön für die Newsletter-Registrierung an den Kunden. Da hier keine Kopplung im engeren Sinne vorliegt, ist diese Option weiterhin zulässig. Anders sieht dies bei einer Verweigerung der Werbeeinwilligung am Ende eines Bestellprozesses beispielsweise aus, die den Abbruch an der Kasse zur Folge hat. Ein Werbe-Opt-in gegen Download ist aber immer noch möglich.9 Wieder anders geht es bei der freiwilligen Zustimmung zur Versendung eines Newsletters an eine vom Kunden angegebene E-Mail-Adresse aus. Hier tritt das Kopplungsverbot in Kraft, das eine Versendung auf postalischem Wege durch die Zustimmung für die Versendung per E-Mail nicht erlaubt.10 Ein wenig mehr Transparenz zu diesem Thema gibt Rechtsanwalt Dr. Eckhardt im Interview mit unserer rasenden Reporterin. Mehr dazu hier: https://www.rabbit-emarketing.de/2019/05/31/neue-erkenntnisse-alte-rechtslage/

 

4. Blick in die Zukunft: DSGVO als Wettbewerbsvorteil?

Klingt komisch, ist aber wahr: die DSGVO stellt gerade im E-Mail-Marketing einen enormen Wettbewerbsvorteil dar – und das weltweit. Sie glauben uns nicht? Hier sind die shocking news: Kritisiert für ihre Unklarheit, ist die DSGVO doch eigentlich recht überschaubar und hilfreich für wache Augen. Einmal den Originaltext durchgelesen und schon lässt sich durch nur wenig Aufwand viel ändern und verbessern. Es darf nicht in Vergessenheit geraten: die DSGVO entstand durch die ausdrückliche Forderung der Nutzer auf mehr Rechte, Kontrolle und Transparenz. Durch zahlreiche Datenskandale, wie Google, Facebook und viele andere, entwickelt sich die DSGVO zu einer globalen Bewegung, die nicht unterschätzt werden und unbeachtet bleiben sollte. Daher ist der banal scheinende Tipp einer frühzeitigen Akzeptanz der Änderungen, wertvoller als manch einer denkt. Eine frühe Integration der DSGVO in der eigenen Datenarchitektur wird somit früher oder später Wettbewerber ausstechen. Der Datenschutz ist für viele Kunden heutzutage zum ausschlaggebenden Kauf- bzw. Vertrauenskriterium geworden. Besonders gegenüber der amerikanischen Unternehmen hat die EU derzeit einen großen Vorsprung – erst für 2020 ist dort ein DSGVO-ähnliches Gesetz geplant.11 Setzen Sie die Prozesse um, proklamieren Sie sie, nutzen Sie sie zu ihren Gunsten aus – es wird sich langfristig lohnen!