DSGVO und E-Mail Marketing: Interview mit Rechtsanwalt Stephan Hansen-Oest
Was ändert sich im E-Mail Marketing unter der neuen DSGVO? Rechtsanwalt und Fachanwalt für IT-Recht Stephan Hansen-Oest gibt Antworten.
Seit der letzten Aktualisierung des europäischen Datenschutzes im Jahr 1995 hat sich die Marketing-Landschaft stark verändert. Mit der neuen Datenschutz-Grundverordnung (DSGVO) kommen neue zahlreiche Änderungen hinzu, die direkte Auswirkungen auf das E-Mail Marketing haben werden.
Wir sprachen hierzu mit dem Rechtsanwalt und Fachanwalt für IT-Recht Stephan Hansen-Oest.
In diesem Interview erfahren Sie welche konkreten Tipps Herr Hansen-Oest für die Umsetzungen der neuen Regelungen hat und welche Missverständnisse es im Zusammenhang mit der DSGVO oft gibt. Um kein Interview mehr zu verpassen, abonnieren Sie unseren Newsletter.
Stephan Hansen-Oest ist Rechtsanwalt & Fachanwalt für IT-Recht, bei diversen Zertifizierungsstellen als rechtlicher Sachverständiger für Datenschutzrecht akkreditiert und Lehrbeauftragter für IT-Recht an der Hochschule Flensburg. Er berät seit 2002 Unternehmen und öffentliche Stellen im Bereich des Datenschutzrechts und der IT-Sicherheit. Mehr über ihn findet man auf seiner Internetseite
https://www.datenschutz-guru.de
Sehr geehrter Herr Hansen-Oest, wir freuen uns sehr, dass Sie für dieses Interview Zeit gefunden haben. Sie sind Fachanwalt für IT-Recht mit dem Schwerpunkt Datenschutz und waren jahrelang als externer Datenschutzbeauftragter tätig. Was reizt Sie persönlich an diesem Thema?
Ich beschäftige mich schon seit über 15 Jahren als Anwalt mit dem Thema.
Ich bin schon immer ein „Geek“ gewesen, habe als Jugendlicher auch ganz passabel Assembler programmieren können. „Daten“ und „Datenverarbeitung“ fand ich schon immer interessant. Und zwar immer aus zwei Perspektiven: Die Perspektive, was mit den Daten (gutes) möglich wird. Und die Perspektive, welche Risiken aus Datenverarbeitung entstehen können.
Daher lag das Datenschutzrecht als Arbeitsschwerpunkt sozusagen auf der Hand.
Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Inwiefern hat dies Auswirkungen auf Ihre Arbeit?
Wegen der DSGVO habe ich schon seit Monaten Mandatsannahmestopp. Wir Datenschutzanwälte dürften momentan alle auf Monate „vollbeschäftigt“ sein. Ich denke sogar eher Jahre...
Und natürlich müssen auch wir Anwälte uns auf die DSGVO vorbereiten. Ich betreibe zudem eine Website zum Datenschutz. Und auch ich muss natürlich die Vorgaben der DSGVO einhalten.
Und was bedeutet dies für Unternehmen?
Eine Menge Arbeit... ;-)
Im Ernst. Es ist bei jedem Unternehmen anders. Wichtig ist m.E. vor allem, dass die Geschäftsleitung verstanden hat, worum es geht. Mich stören insoweit ein wenig die „Angstmacher“ da draußen, die nur von Bußgeldern sprechen. Ja, die Risiken werden beträchtlich höher. Und es gibt einiges zu tun. Das sollte aber besonnen erfolgen.
Die Unternehmensleitung sollte verstehen, dass das Thema DSGVO tatsächlich „Chefsache“ ist. Denn die Änderungen müssen von oben kommen. Im Ergebnis werden die Unternehmen bei der DSGVO gewinnen, die schon jetzt stark prozessorientiert arbeiten. Denn dann ist die Implementierung von Datenschutzfeatures in jeden Prozess tatsächlich meist ganz charmant möglich.
Voraussetzung dafür ist, dass es neben einer Leitlinie zum Datenschutz im Unternehmen auch feste Vorgaben, z.B. in Form von Richtlinien gibt, die stets bei Prozessen der Datenverarbeitung zu berücksichtigen sind, und die Vorgaben der DSGVO abbilden.
Wenn dieses Gerüst steht, dann können auch bestehende Prozesse im Hinblick auf Compliance mit der DSGVO bewertet und ggf. angepasst werden. Wer dann noch verstanden hat, dass Datenschutzmanagement ein „Prozess“ der kontinuierlichen Verbesserung ist, kann sich hoffentlich zu den Gewinnern zählen.
Und dann gibt es noch einiges an Fleißarbeit zu bewältigen:
Verarbeitungsverzeichnis
Überarbeitungen von Datenschutzhinweisen, Formularen, Verträgen
Prüfung von Dienstleistern und Anpassung von Auftragsverarbeitungsverträgen
ggf. Datenschutz-Folgenabschätzungen
Es gibt viel zu tun. Wer jetzt noch nicht angefangen hat, sollte schleunigst anfangen. Es gibt aber auch hier keinen Grund, den Kopf in den Sand zu stecken. Denn „kontinuierlicher Verbesserungsprozess“ kann auch bedeuten, mit einer „dreckigen“ Version von Datenschutzmanagement anzufangen. Was jedoch natürlich nicht geht, sind unzulässige Datenverarbeitungen. Da sollte also schon ein besonderes Augenmerk auf die Prüfung der Verarbeitungsprozesse im Unternehmen gelegt werden.
Wie gut sind Unternehmen auf die DSGVO bereits vorbereitet? Wo sehen Sie hier die größten Herausforderungen?
Sehr unterschiedlich. Viele meiner Mandanten sind inzwischen „fertig“. Mit einigen habe ich aber auch über zwei Jahre mit verschiedenen Methoden eine Umsetzung ausprobiert, bis wir einen Weg gefunden haben, der nicht nur zur DSGVO, sondern vor allem auch zur Unternehmenskultur passt.
Einigen Unternehmen ist das Thema egal. Tenor: „Da passiert schon nichts.“ Oder: „Dagegen bin ich versichert.“ Das ist natürlich beides Unfug. Es gibt aber auch viele Unternehmen, die sich von vermeintlichen „Beratern“ haben verunsichern lassen. Die Wahrheit liegt wie so häufig wohl in der Mitte.
Für die Unternehmen, die jetzt noch nicht angefangen haben, wird es allerdings schon kritisch. Denn meiner Erfahrung nach, ist es nur noch schwer möglich, kompetente und vor allem erfahrene Berater für die Umsetzung zu bekommen. Und die Stunden- und Tagessätze sind hier deutlich gestiegen. Das ist dann ggf. das Lehrgeld, das man als „Spätzünder“ jetzt zahlen muss.
Was gilt es speziell beim E-Mail Marketing zu beachten? Was ändert sich hier konkret?
Besonders wichtig beim E-Mail Marketing sind zunächst die Informationspflichten. So müssen Unternehmen noch viel besser und vor allem verständlicher als früher über die Datenverarbeitung im Zusammenhang mit dem E-Mail Marketing informieren.
Insbesondere sollte hier darauf geachtet werden, dass über Open- und Click-Rate-Tracking informiert wird und auch gleich auf das Widerspruchsrecht (ggf. durch Abmelden von der Liste) hingewiesen wird.
Ich würde auch bei den Pflichtfeldern genau überlegen, ob z.B. ein Formularfeld bei der Anmeldung wirklich ein Pflichtfeld sein muss. Wir können jetzt zwar nicht sagen, dass die DSGVO insoweit strenger wird als z.B. das deutsche Telemediengesetz bislang. Die DGSVO regt aber zum Nachdenken an.
Unternehmen sollten weg vom stupiden „das haben wir schon immer so gemacht“ hin zu einer intelligenten, einzelfallbezogenen Denkweise im Umgang mit E-Mail Marketing kommen. Während ich für eine E-Mail-Liste vielleicht nur die E-Mail-Adresse brauche, möchte ich für eine kundenspezifische Liste vielleicht doch persönlicher kommunizieren und nehme dafür Felder wie Anrede, Vorname und Nachname hinzu.
Und wichtig ist natürlich ganz generell der Vertrauensaspekt. Hier kann es im E-Mail Marketing schon hilfreich sein, wenn die Datenverarbeitung in der EU erfolgt.
Was ist Ihrer Meinung nach das größte Missverständnis in Bezug auf das E-Mail Marketing unter der DSGVO?
Das größte Missverständnis ist meiner Meinung nach, dass die DSGVO weniger E-Mail Marketing als zuvor zulässt.
Das Gegenteil ist der Fall. Genau genommen ändert sich für das Aussenden von E-Mails nur wenig. Denn die insoweit schon bislang maßgeblichen Regelungen der sog. ePrivacy-Richtlinie bleiben von der DSGVO unberührt.
Soweit die ePrivacy-Richtlinie oder die jeweilige Umsetzung der Richtlinie in den EU-Mitgliedsstaaten eine Einwilligung vorsieht, werden die Anforderungen an das Einholen einer Einwilligung sogar einfacher. Denn künftig reicht insoweit die „zweifelsfreie“ Einwilligung. Natürlich muss man aber diese Einwilligung jederzeit nachweisen können.
In den meisten Fällen nutzen Unternehmen für das E-Mail Marketing eine Drittlösung. Was gibt es hier zukünftig zu beachten?
Bei Inanspruchnahme eines Dienstleisters für das E-Mail Marketing liegt in aller Regel eine sog. Verarbeitung von Daten im Auftrag vor (Auftragsverarbeitung).
Der Dienstleister muss dabei im Hinblick auf seine Eignung für eine DSGVO-konforme Datenverarbeitung ausgewählt werden. Dazu gehört natürlich vor allem, dass die recht umfangreichen Datensicherheitsvorgaben der DSGVO vom Dienstleister umgesetzt und auch nachgewiesen werden. Und dann muss auch Auftragsve
rarbeitungsvertrag („Data Processing Agreement“) mit dem Dienstleister geschlossen werden.
Einige Anbieter von E-Mail Marketing Lösungen bieten bereits jetzt schon an die DSGVO angepasste Auftragsverarbeitungsverträge an.
Welche drei Tipps möchten Sie Unternehmen mit auf den Weg geben?
Erstens: Datenschutz als Chance und nicht als Last begreifen: Die DGSVO ist juristisch sehr komplex. Unternehmen sollten selbst oder durch geeignete Berater verstehen, wie eine Umsetzung „in richtig“ geht. Häufig zeigt sich, dass eine gute Lösung „einfach“ sein darf.
Zweitens: Die Extra-Meile-gehen: Ein schönes Sprichwort sagt: „If you go the extra mile, you will find, that the extra mile is seldom crowded.“
Was meine ich damit? Ganz einfach: Sie können z.B. Datenschutzhinweise auf die Website „packen“, die sich anhören wie eine Aneinandereihung von „Leerfloskeln“. Denken Sie an Formulierungen wie: „Der Schutz Ihrer personenbezogenen Daten hat für uns einen hohen Stellenwert...“. Formulierungen wie diese sind – mit Verlaub – „Bullshit“. Wer die Extra-Meile geht, wird sich mit den Texten, die ihn nach außen repräsentieren, Mühe geben.
Sie werden sich anhören wie der Rest der Unternehmenskommunikation. Es wird eine Sprache verwendet. Die für jeden Kunden oder Besucher der Internetseite hoffentlich auch als authentische Sprache des Unternehmens wahrgenommen wird. Also Schluss mit 08/15-Formulierungen. Hin zu sprachlich eleganten, vielleicht auch unterhaltsamen Datenschutz-Texten, bei denen man nicht nach dem ersten Satz merkt, dass irgendeinem „Datenschutzhinweis-Generator“ entsprungen sind.
Drittens: Datenschutzmanagement ist ein Prozess! Unternehmen, die die DSGVO umsetzen, werden erkennen, dass es nur wirklich dauerhaft möglich sein wird, den Anforderungen zu entsprechen, wenn ein Datenschutzmanagementsystem implementiert wird. Und das darf am Anfang auch sehr klein und überschaubar sein. Denn auch Datenschutzmanagement ist ein Prozess. Mit dem Ziel, ständig besser zu werden.
Herr Hansen-Oest, wir bedanken uns recht herzlich für dieses Interview.
Verwandte Lektüre
Beliebte Beiträge
Deliverability
17 min
How to avoid email spam filters
Mehr lesen
Deliverability
7 min
Noreply email address: Best practices for your email strategy
Mehr lesen
Email best practices
6 min
What is an SMTP relay and why do we use it?
Mehr lesen