GDPR-Konformität im E-Mail-Marketing

„Verpassen Sie nicht die neuesten Angebote, abonnieren Sie unseren Newsletter, erhalten Sie exklusive Angebote und personalisierte Einkaufstipps" – für viele Unternehmen ist E-Mail-Marketing immer noch der wichtigste und effektivste Kanal zur Kundengewinnung. Das Sammeln von E-Mail-Adressen und das Versenden von Direktmarketing-Nachrichten an Verbraucher und sogar B2B-Kontakte löst die Anwendbarkeit der DSGVO und anderer europäischer Gesetze aus, wenn sich der Empfänger in der EU befindet, unabhängig davon, ob der Absender in der EU ansässig ist oder nicht (lesen Sie hier mehr über den internationalen Geltungsbereich der DSGVO).

Die Durchsetzungsverfahren der Europäischen Union machen es datenschutzsensiblen Personen leicht, sich über Verstöße gegen die DSGVO zu beschweren, was für Einzelhändler, Reise- und Transportunternehmen, Anbieter von Inhalten und andere Unternehmen, die auf E-Mail-Marketing setzen, ein hohes Haftungsrisiko bedeutet. Die Datenschutzaufsichtsbehörden stellen regelmäßig Bußgeldbescheide gegen Unternehmen aus, die sich nicht an die DSGVO und andere EU-Gesetze halten. In diesem Artikel erklären wir, worauf Sie achten müssen, damit Ihre E-Mail-Marketing-Trichter mit der DSGVO konform sind.

Wie man E-Mail-Adressen in Übereinstimmung mit der GDPR sammelt

Abgesehen vom Kauf von Leads von Drittanbietern sollten zwei Hauptkontaktpunkte für die Sammlung von E-Mail-Adressen unterschieden werden:

• Szenario 1 (Lead-Generierung): Ein Nutzer gibt seine E-Mail-Adresse in ein Online-Formular ein, z. B. um ein Konto zu erstellen, um sich für Werbeaktionen, Rabatte, exklusive Angebote oder inhaltsreiche Newsletter zu registrieren, um auf einen Lead-Magneten zuzugreifen oder um an einem Gewinnspiel teilzunehmen.
• Szenario 2 (Post-Sales-Marketing): Ein Kunde bestellt Waren oder Dienstleistungen und gibt seine E-Mail-Adresse während des Bestellvorgangs ein, oder er meldet sich bei einem Online-Dienst oder einer mobilen App an.

Das Sammeln von E-Mail-Adressen von in der EU ansässigen (potenziellen) Kunden zu Marketingzwecken wird durch die allgemeine Datenschutzverordnung der EU und die Datenschutzrichtlinie für elektronische Kommunikation geregelt, die die DSGVO im Zusammenhang mit Direktmarketing ergänzt. Die Anforderungen für den Versand von E-Mail-Nachrichten, SMS, MMS und Direktnachrichten über soziale Medien hängen von dem Szenario ab, in dem die Kontaktdaten erfasst wurden.

Szenario 1: Lead-Generierung

Wenn noch keine Konversion stattgefunden hat und der Nutzer seine Kontaktdaten direkt an den Werbetreibenden weitergibt, ist es immer notwendig, die ausdrückliche Zustimmung des Interessenten einzuholen, bevor Marketing-E-Mails versendet werden. Es ist wichtig zu verstehen, dass die bloße Tatsache, dass jemand freiwillig seine E-Mail-Adresse eingibt, um sich beispielsweise für einen Newsletter anzumelden, nicht unbedingt die vollständige Einhaltung der DSGVO beweist. Stattdessen sind die zahlreichen Anforderungen für die Erlangung einer gültigen Zustimmung praktisch ein Mikromanagement für die Gestaltung des Trichters.

Hier sind 7 Anforderungen, die Sie berücksichtigen sollten:

1. Die Einwilligung kann nur von der Person gegeben werden, die die E-Mail-Adresse besitzt. - Beispiel: Ein Online-Händler bietet seinen Website-Besuchern an, E-Mail-Adressen Dritter einzugeben, um bestimmte Produkte zu empfehlen. Eine solche Weiterempfehlungsfunktion ist rechtswidrig, da der Dritte, der die E-Mail erhält, nicht in das Marketing eingewilligt hat.
2. Die Einwilligung muss unmissverständlich sein. Das bedeutet, dass der Abonnent aktiv zustimmt oder auf andere Weise klar zu erkennen gibt, dass er ein Abonnement wünscht. - Beispiel: Auf einer Nachrichtenplattform können sich die Nutzer anmelden, um Inhalte zu personalisieren. Es reicht nicht aus, die Zustimmung zum E-Mail-Marketing irgendwo in den Allgemeinen Geschäftsbedingungen zu „verstecken“. Eine gültige Zustimmung erfordert vielmehr, dass der Nutzer aktiv auf ein separates Kästchen klickt. Wenn hingegen der Empfang von E-Mails der einzige Zweck des Formulars ist (z. B. Newsletter-Abonnement) und die anderen Bedingungen für eine gültige Einwilligung erfüllt sind, ist ein separates Ankreuzfeld möglicherweise nicht erforderlich.
3. Darüber hinaus sollte der Werbetreibende zum Nachweis der Identität des Abonnenten einen Bestätigungslink versenden, der vom Nutzer vor dem Versand von Marketing-E-Mails aktiviert werden muss („Double-Opt-in"). - Beispiel: Eine unbekannte Person abonniert einen Newsletter mit der E-Mail-Adresse seines Erzfeindes, nur um ihn zu ärgern. Aus Sicht des Werbetreibenden birgt der Versand solcher Newsletter, ohne dass die E-Mail-Adresse durch ein „Double-Opt-in"-Verfahren bestätigt wurde, rechtliche Risiken.
4. Die Einwilligung ist nur gültig, wenn sie sich auf bestimmte Zwecke bezieht. Die Beschreibung dessen, was der Nutzer abonniert, sollte daher genau und umfassend sein. - Beispiel: Die Angabe einer E-Mail-Adresse ist eine Voraussetzung für die Teilnahme an einem Gewinnspiel. Beabsichtigt der Veranstalter, sie nicht nur im Falle eines Gewinns zu kontaktieren, sondern auch regelmäßig zu Marketingzwecken, muss dies auf der Website deutlich werden.
5. Neben der Beschreibung des Zwecks der Datenerhebung muss der Nutzer in der Lage sein, die Identität des Werbetreibenden leicht zu erkennen. - Beispiel: Ein Nutzer gelangt über Google auf eine bestimmte Landing-Page ohne klares Branding des Unternehmens. Wenn sie ihre E-Mail-Adresse angibt, sollte klar sein, welche juristische Person für die Datenverarbeitung gemäß der DSGVO verantwortlich ist.
6. Das Gesetz verlangt von den für die Datenverarbeitung Verantwortlichen, den Nutzer darüber zu informieren, dass er seine Einwilligung zurückziehen kann, falls er seine Meinung ändert. - Beispiel: Einem Formular für das Abonnement eines Newsletters ist ein Text beigefügt, in dem es heißt: „Sie können sich jederzeit ganz einfach abmelden, indem Sie auf einen Link am Ende jedes Newsletters klicken oder eine E-Mail an privacy@company.com senden". Eine solche Gestaltung steht im Einklang mit der Datenschutzrichtlinie für elektronische Kommunikation.
7. Die Einwilligung muss „frei erteilt“ werden, d. h. der Nutzer hat eine echte Wahl und muss nicht mit negativen Folgen rechnen, wenn er seine Einwilligung verweigert. Im Detail kann die Einhaltung dieser Anforderung schwierig sein (klicken Sie hier für weitere Informationen über Paywall- oder Einwilligungsmodelle). Ein deutsches Gerichtsurteil hat jedoch kürzlich die Praxis anerkannt, kostenlose Leistungen an die Bedingung der Zustimmung zu knüpfen. - Beispiel:  Ein Website-Besucher kann nur dann auf einen Lead-Magneten zugreifen, wenn er dem Erhalt von Marketing-E-Mails zustimmt. In diesem Zusammenhang kann argumentiert werden, dass sie frei entscheiden kann, ob sich der Zugriff auf den Leadmagneten „lohnt“.

Szenario 2: Post-Sale-Marketing

Die EU-Datenschutzrichtlinie sieht eine Ausnahme von der strengen Zustimmungspflicht vor, wenn der Nutzer bereits Artikel oder Dienstleistungen vom Werbetreibenden erworben hat. Für bestehende Kunden wird aus der Opt-in-Anforderung ein Opt-out-Modell.

Diese Ausnahme gilt nur, wenn drei Bedingungen kumulativ erfüllt sind:

1. Das Unternehmen hat die E-Mail-Adresse im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten. Nach einem deutschen Gerichtsurteil kann dies, zumindest nach den deutschen Bestimmungen, die die Datenschutzrichtlinie für elektronische Kommunikation widerspiegeln, auch den Fall einschließen, dass ein Kunde ein Benutzerkonto einrichtet und dem Werbetreibenden seine persönlichen Daten im Austausch für einen kostenlosen Dienst zur Verfügung stellt. Beispiel: Ein Nutzer meldet sich bei einer Dating-Plattform für eine kostenlose Basisversion an. Dies kann bereits als Verkauf einer Dienstleistung angesehen werden.
2. Das Unternehmen darf nur für seine eigenen, ähnlichen Produkte oder Dienstleistungen werben. Daher darf in Marketing-E-Mails nur für Produkte und Dienstleistungen geworben werden, die die gleichen Bedürfnisse befriedigen wie die, die der einzelne Kunde ursprünglich gekauft hat, einschließlich Zubehör und Ergänzungen. Beispiel: Ein Kunde hat in einem Online-Shop einen Hockeyschläger gekauft. Der Einzelhändler darf daraufhin Marketing-E-Mails für andere Hockey-Ausrüstung, nicht aber für Kugelschreiber versenden.
3. Der Kunde muss die Möglichkeit haben, die Zusendung von Marketing-E-Mails kostenlos und auf einfache Weise abzulehnen. Sowohl bei der Erfassung der E-Mail-Adresse (z. B. beim Bezahlvorgang) als auch in jeder Marketing-E-Mail muss der Werbetreibende den Kunden klar und deutlich auf dieses Recht hinweisen. Beispiel: Beim Anlegen eines Benutzerkontos für eine mobile App erhält der Benutzer die Möglichkeit, ein vordefiniertes Kontrollkästchen zu deaktivieren, wenn er keine Marketing-E-Mails erhalten möchte. Dies ist ein akzeptables Opt-out-Design.

Wie man andere GDPR-Anforderungen erfüllt

Zusätzlich zu den oben genannten Anforderungen müssen Werbetreibende auch sicherstellen, dass sie andere GDPR-Verpflichtungen erfüllen:

• Die Verwendung von Kontaktdaten für das E-Mail-Marketing muss in den Datenschutzbestimmungen des Dienstes dargelegt werden. Es sollte deutlich werden, dass der Nutzer solche E-Mails erhält, welche Art von Produkten oder Dienstleistungen beworben werden und welche Unternehmen dafür verantwortlich sind.
• Nutzt der Werbetreibende E-Mail-Marketingdienste für die Verbreitung von Marketingmitteilungen, sollte sichergestellt werden, dass der Dienst den Abschluss eines Datenverarbeitungszusatzes gemäß Artikel 28 DSGVO anbietet. Viele Anbieter wie Mailchimp oder Sendinblue nehmen solche Vereinbarungen in ihre Standardbedingungen auf.
• Die für die Datenverarbeitung Verantwortlichen müssen in der Lage sein, die Rechte der betroffenen Personen gemäß der Datenschutz-Grundverordnung einzuhalten, wie z. B. „das Recht auf Vergessenwerden" und Anträge auf Zugang zu den Daten, und angemessene technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen.
• Erklärungen darüber, wie Werbetreibende diesen Marketingkanal nutzen, müssen in die „Aufzeichnungen über Verarbeitungstätigkeiten" gemäß Artikel 30 DSGVO aufgenommen werden, sofern zutreffend.

E-Mail-Marketing an EU-Kunden ...

E-Mail-Marketing an EU-Kunden ist in Übereinstimmung mit den EU-Datenschutzgesetzen ist mühsam, aber möglich. In erster Linie sollten Werbetreibende sicherstellen, dass ihr Funnel-Design eine Opt-in-Einwilligung vorsieht, wo dies erforderlich ist. Um rechtliche Risiken zu verringern, die sich aus offiziellen Beschwerden von Kunden ergeben, sollte sichergestellt werden, dass Abmeldelinks leicht zugänglich sind und funktionieren.