4 Jahre DSGVO 7 Tipps fürs konforme B2B E-Mail-Marketing

Ein Gastbeitrag von Astrid Braken*

Anbieter zum Thema

Bereits vier Jahre gilt die EU-DSGVO (Datenschutzgrundverordnung), genau genommen seit dem 25. Mai 2018. Verantwortliche fürs B2B Marketing sollten anlässlich des vergangenen Jahrestages überprüfen, ob sie alle Anforderungen nach wie vor erfüllen. Dabei helfen sieben Tipps.

E-Mail-Marketing rechtskonform aufzustellen, ist gar nicht so einfach. In diesem Beitrag erhalten Sie dazu sieben Tipps, wie das konforme B2B E-Mail-Marketing gelingt.
E-Mail-Marketing rechtskonform aufzustellen, ist gar nicht so einfach. In diesem Beitrag erhalten Sie dazu sieben Tipps, wie das konforme B2B E-Mail-Marketing gelingt.
(Bild: gemeinfrei / Unsplash )

Die europäische Datenschutzgrundverordnung (EU-DSGVO) ist nun schon vier Jahre lang gültig. In der B2B Kommunikation mit Kunden und Partnern kommt heute niemand an ihr vorbei. Die DSGVO unterscheidet nicht zwischen den Bereichen B2C und B2B. Datenschutzrechtliche Anforderungen sind immer zu beachten, wenn „personenbezogene Daten“ verarbeitet werden. Ihre Reputation der Unternehmen leidet, die sich etwa beim Versand von Newslettern nicht daran halten. Zudem sind die finanziellen Risiken beträchtlich. Die nationalen Datenschutzbehörden innerhalb der EU haben zunächst verhalten, dann aber immer stärker mittels Bußgelder die Einhaltung der Regeln durchgesetzt. Diese können laut Gesetz bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes betragen.

Von 2020 auf 2021 hat sich die Gesamtsumme der Bußgelder auf 1,22 Milliarden Euro versiebenfacht, Luxemburg verhängte das mit Abstand höchste Einzelbußgeld in Höhe von 746 Millionen Euro gegen Amazon. Deutschland belegte im Jahr 2021 den siebten Platz bei der Höhe der Gesamtvolumina der Bußgelder. Was viele nicht beachten: Nicht nur gegen Unternehmen, sondern auch gegen Verantwortungsträger in Unternehmen wie Vorstände, Geschäftsführer oder externe Datenschutzbeauftragte können Bußgelder verhängt werden. Bei Angestellten ist dies in sehr eingeschränktem Maße möglich.

Den vierten Geburtstag der DSGVO sollten Verantwortliche daher nutzen, um Datenschutzregelungen im Unternehmen auf den Prüfstand zu stellen. Hilfestellung bieten dabei diese sieben Punkte:

1. Halten Sie Ihr Verzeichnis für Verarbeitertätigkeiten aktuell

Wer ist genau für welche Daten verantwortlich und behält den Datenschutz im Blick? Laut Art. 30 EU-DSGVO sind Unternehmen dazu verpflichtet, eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. Hier stehen wesentliche Angaben zur Datenverarbeitung, beispielsweise die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Aktualisieren Sie dieses Verzeichnis fortlaufend, beispielsweise wenn neue Mitarbeiter ins Unternehmen eintreten.

2. Schulen Sie Ihre Mitarbeiter kontinuierlich hinsichtlich neuer Datenschutzanforderungen

Damit alle wissen, wie sie mit Daten der E-Mail-Empfänger rechtssicher umgehen, brauchen sie regelmäßige Schulungen. Dürfen externe Dienstleister die Daten hosten? Wann sind diese unwiederbringlich zu löschen? Die DSGVO schreibt die regelmäßige Schulung von Mitarbeitenden vor. Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind nach der Datenschutz-Grundverordnung (DSGVO) mit den Regeln des Datenschutzes „vertraut zu machen“.

3. Nutzen Sie nur Daten von Personen, deren Einwilligung Sie haben und das auch nachweisen können

Keine Werbemail ohne Einwilligung. Die DSGVO verpflichtet Versender nachweisen zu können, dass eine Einwilligung vorliegt, bevor eine Werbemail gesendet wird. Geregelt ist das in Artikel 7 Absatz 1 DSGVO. Dieser Nachweis wird von der Rechtsprechung bislang ausschließlich über ein Double Opt In (DOI) anerkannt. Das heißt, tragen sich Empfänger mit ihren Mailadresse in eine Mailing-Liste ein, wird eine zweite, bestätigende Mail mit einem Bestätigungslink an die Mailadresse geschickt. Diese Mail darf nicht werblich sein. Die Methode gewährleistet, dass Empfänger persönlich die Bestätigung erbringen. Der Versender hinterlegt die entsprechende Bestätigung als Nachweis in seinen Daten. Das DOI-Verfahren hat die Certified-Senders-Alliance daher auch in die Liste ihrer Zertifizierungs-Kriterien aufgenommen.

4. Bestellen Sie einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte (DSB)

Rein rechtlich muss man einen DSB bestellen, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Alternativ, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten liegt. Zeigen Sie, dass Sie den Datenschutz ernst nehmen und bestellen Sie auch dann einen Verantwortlichen für Datenschutz, wenn Sie nicht darunter fallen. DSB können intern bestellt werden, sprich aus der eigenen Mitarbeiterschaft oder extern. Unterstützung bieten hier externe Dienstleister, beispielsweise der Service Externer Datenschutzbeauftragter des eco Verbands.

5. Behalten Sie die E-Privacy-Verordnung im Blick

Die eigentlich für das Jahr 2018 avisierte E-Privacy-Verordnung ist immer noch nicht beschlossen. Die weitere Entwicklung sollten Datenschutz-Verantwortliche auf jeden Fall im Blick behalten. Sie soll die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), auch Cookie-Richtlinie genannt, ersetzen. Unter anderem soll hier das Thema Tracking neu geregelt werden. Bis die Auseinandersetzungen zwischen den EU-Mitgliedstaaten beigelegt sind, muss auf die alte Richtlinie zurückgegriffen werden und die Frage zum Verhältnis der Regelungen der DSGVO und der geplanten E-Privacy-Verordnung weiterhin aufgeschoben werden.

6. Beachten Sie aktuelle Rechtsvorschriften zum Datenaustausch mit den USA

Das ehemalige bilaterale Abkommen zum Datenaustauch zwischen der EU und den USA hat der Europäische Gerichtshof (EuGH) 2020 gekippt. Die aktuellen Regelungen über Standardvertrags- bzw. Standardschutzklauseln sehen vor, dass Unternehmen im Einzelfall abwägen, ob beim Datenaustausch mit Partnern in den USA diese Daten im Sinne der DSGVO verarbeiten. Das sorgt für Unsicherheiten, da europäische Unternehmen das nur schwer überprüfen können. Ende März stellten nun Kommissionspräsidentin von der Leyen und US-Präsident Biden ein neues Datenschutzabkommen vor. Mit dem sogenannten „Trans-Atlantic Data Privacy Framework“ („TADAP-Framework“) soll die Weitergabe persönlicher Daten an US-Digitalkonzerne neu geregelt werden. Bislang liegt mit dem jetzigen Papier lediglich eine politische Absichtserklärung vor.

7. Setzen Sie auf zertifizierte Partner

Viele Unternehmen arbeiten mit Partnern, beispielsweise E-Mail-Service Providern zusammen, um Newsletter zu versenden. Ob diese den Datenschutz einhalten, lässt sich für Sie nur indirekt überprüfen. Mit einer Zertifizierung beispielsweise haben Unternehmen nachgewiesen, dass sie mit personenbezogenen Daten verantwortungsvoll umgehen und hohe Datenschutz-Qualitätsstandards erfüllen. Das honorieren Internet-Service Provider und stellen deren E-Mails bevorzugt in den Posteingang der Empfänger zu.

*Astrid Braken ist Datenschutz-Expertin und Syndikus-Rechtsanwältin der Certified Senders Alliance (CSA)

(ID:48411218)