E-Mail-Marketing im Gesamtkontext der DSGVO
Die DSGVO (Datenschutz-Grundverordnung) regelt seit dem 25. Mai 2018 die Anforderungen an eine Einwilligung in E-Mail-Marketing neu. Das wissen Sie bereits. Was Ihnen aber vielleicht noch nicht so bewusst ist: Die DSGVO hat vor allem neue Anforderungen an das E-Mail-Marketing geschaffen, die sich zwar nicht direkt auf die Zulässigkeit des E-Mail-Marketings auswirken, aber dennoch zu Bußgeldern führen können.
Warum ist das neu?
Diese zusätzlichen Pflichten durch die DSGVO führen auch dazu, dass von einem Paradigmenwechsel im Datenschutzrecht gesprochen wird. Denn das bisherige Datenschutzrecht regelte vor allem, ob eine Verarbeitung von Daten für das E-Mail-Marketing zulässig ist oder nicht. Die DSGVO sieht zusätzlich (!) umfangreiche Dokumentations-, Organisations- und Transparenzpflichten vor. Die Missachtung dieser zusätzlichen Pflichten macht zwar das E-Mail-Marketing nicht zwingend unzulässig, kann aber zu drakonischen Bußgeldsanktionen führen. In der Praxis kann sich noch ein weiterer Effekt zeigen: Es kann sein, dass zwar das E-Mail-Marketing zulässig ist, aber dennoch ein Bußgeld ausgesprochen wird, weil beispielsweise eine Transparenz- oder Dokumentationspflicht missachtet wurde.
Warum hat der Gesetzgeber das gemacht?
Diese neuen, zusätzlichen Dokumentations- und Transparenzpflichten haben vor allem zwei Ziele: • Der Datenverarbeiter soll dazu gezwungen werden, sich durch die Dokumentation und die Erstellung der Informationstexte mit der Verarbeitung datenschutzrechtlich auseinanderzusetzen (Stichwort: Selbstkontrolle). • Ein wesentliches Ziel ist es auch, die Kontrolle „von außen“ zu erleichtern. Denn nur was geschrieben ist, ist geschrieben. Darüber hinaus lässt sich an der Pflichtinformation gegenüber den betroffenen Personen schon recht gut ablesen, wie es um die Beachtung des Datenschutzrechts steht. Gerade den zuletzt genannten Aspekt müssen Sie ernst nehmen. Denn hier tragen Sie nach außen, ob und wie Sie ich um das Datenschutzrecht gekümmert haben und sind für jeden leicht angreifbar.
Was bedeutet das in der Praxis für Sie?
Nachfolgend haben Sie einen Überblick in Schlagworten über diese zusätzlichen Pflichten. Das sind allgemeine Pflichten. Bitte beachten Sie: Auch wenn Sie im Unternehmen nicht für den allgemeinen Datenschutz zuständig sind, werden Sie diese Pflichten aufgrund Ihrer Zuständigkeit für das E-Mail-Marketing berücksichtigen müssen. • In Art. 5 Abs. 1 DSGVO sind 6 Grundsätze der DSGVO genannt. Darunter fallen unter anderem die Fragen, ob nur erforderliche Daten verarbeitet werden, zu welchem Zweck sie verarbeitet werden und ob es hierfür ein Löschkonzept gibt. Diese Fragen müssen aus dem Marketing heraus beantwortet werden, weil dort die fachliche Kompetenz hierfür ist. Der entscheidende neue Aspekt ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Es muss nachgewiesen werden können, dass diese Grundsätze in Bezug auf das E-Mail-Marketing geprüft worden sind. • Nach Art. 13, 14 DSGVO besteht eine umfassende Pflicht, den in die E-Mail-Werbung einwilligenden bzw. den Adressaten der E-Mail-Werbung zu unterrichten. Diese Information muss proaktiv – also nicht erst auf Nachfrage - erfolgen. Sie umfasst unter anderem die Angabe der Rechtsgrundlage, der Zwecke, der Löschfristen, den Hinweis auf das Widerrufsrecht und allgemeine Hinweise auf die Rechte der betroffenen Person. • Wenn Sie sich den Katalog der Pflichtinformationen ansehen, werden Sie feststellen, dass Sie hierfür zunächst datenschutzrechtliche Bewertungen vornehmen müssen. In der Praxis müssen Sie dann auch noch klären, wie Sie den Hinweis zu rechten Zeitpunkt erteilen. • Die Einhaltung der Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO muss beachtet werden. Gleichgültig, wie Sie das lösen, Sie müssen die Bewertung dokumentieren. • Grundsätzlich muss jeder Datenverarbeiter nach Art. 30 Abs. 1 DSGVO ein Verzeichnis aller seiner Datenverarbeitungstätigkeiten führen. Hier muss auch das E-Mail-Marketing beschrieben sein. Es gibt Ausnahmen von der Pflicht in Art. 30 Abs. 5 DSGVO – aber ob diese vorliegen, muss dokumentiert geprüft werden. Die Datenschutzaufsichtsbehörden können jederzeit verlangen, dieses Verzeichnis vorgelegt zu bekommen. • Die DSGVO betont stärker als bisher die Pflichten zur Sicherheit der Verarbeitung in Art. 32 DSGVO. Auch der Schutz der Daten für das Marketing ist Bestandteil. • Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Vorgang unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO) gemeldet werden. Solche Vorfälle kann es auch im Bereich Marketing geben. • Jede Verarbeitung personenbezogener Daten muss darauf geprüft werden, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und eine vorherige Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erfolgen muss. Gerade beim Marketing kann das in Betracht kommen. • Auch wenn das bei einem einfachen Versenden von E-Mail-Werbung typischerweise keine Rolle spielen wird, kann bei komplexeren Analysen oder Aufbereitungen eine solche Prüfung erforderlich werden. Die wichtige Erkenntnis ist: Für ein rechtskonformes E-Mail-Marketing müssen über die reine Zulässigkeit hinaus weitere Pflichten erfüllt sein.
Zusammenfassung
Das Datenschutzrecht erschöpft sich auch beim E-Mail-Marketing nicht mehr in der Frage nach der Zulässigkeit. Darüber hinaus müssen die Pflichten der DSGVO beachtet und umgesetzt werden. Gerade die zusätzlichen Transparenzpflichten nach Art. 13, 14 DSGVO sind eine wesentliche zusätzliche Pflicht nach der DSGVO. Diese darf beim E-Mail-Marketing nicht außer Acht gelassen werden. Am 17.08.2018 um 11:00 Uhr führt Jens Eckhardt ein Webinar zum Thema „DSGVO: Was Sie zum E-Mail-Marketing wissen müssen in 45 Minuten“ durch. Anmeldung hier. Und am 22.11.2018 gibt er in München das Seminar „E-Mail-Recht in der neuen DSGVO“. Weitere Informationen und Anmeldung hier.