Zurück zum hauptmenü

E-Mail

E-Mail-Konformitätsprüfung: DSGVO, CAN-SPAM und CCPA

Es ist wichtig, nicht unvorsichtig zu sein und die von uns gespeicherten Daten regelmäßig zu überprüfen, um sicherzustellen, dass sie mit der DSGVO und anderen Datenschutzgesetzen übereinstimmen.

Hermes verteidigt das private Zeichen

Sollten Historiker jemals auf die Idee kommen, die Geschichte des E-Mail-Marketings niederzuschreiben, gehen wir davon aus, dass sie sie in die Zeit vor und nach Einführung der DSGVO einteilen würden. Die DSGVO war zwar nicht die erste Richtlinie, die Ordnung im E-Mail-Marketing schaffen sollte. Doch es war die erste, die tatsächlich aufräumte und die erste, bei deren Nichteinhaltung Marketer echte Konsequenzen zu tragen haben. Vor Einführung der DSGVO befand sich das E-Mail-Marketing noch im Wilden Westen. Nach der Einführung wurde es zu einem viel geregelteren Umfeld und Posteingänge somit zu viel produktiveren und freundlicheren Orten.

Der Erfolg der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) ist auch in der restlichen Welt nicht unbemerkt geblieben und wird vielerorts nachgeahmt. So richten sich beispielsweise der California Consumer Privacy Act (CCPA) und der neuere California Privacy Rights Act (CPRA) an der DSGVO aus. Beide Richtlinien ermächtigen ebenfalls Aufsichtsbehörden, gegen weniger gewissenhafte E-Mail-Marketer vorzugehen, die laxere Gesetze wie den CAN-SPAM Act ignoriert hatten.

Im Gegensatz zum CAN-SPAM Act unterscheidet die DSGVO nicht zwischen privaten und geschäftlichen Kontakten. Laut DSGVO müssen Sie also die Erlaubnis einer Person einholen, um ihr E-Mails senden zu dürfen, egal ob es sich um eine Privatperson handelt oder sie ein Unternehmen vertritt.  

Wie stellen Sie also sicher, so viele Richtlinien und Gesetze einzuhalten? In diesem Artikel geben wir Ihnen alle wichtigen Informationen mit, die Sie zur Konformitätsprüfung Ihres E-Mail-Versands benötigen.

Was ist eine E-Mail-Konformitätsprüfung?

Einfach gesagt wird bei einer E-Mail-Konformitätsprüfung untersucht, ob Marketer die Anforderungen aller Datenschutzgesetze einhalten, denen sie unterliegen. 

Konkret sollten E-Mail-Teams dabei sicherstellen, dass sie alle in ihrem MarTech-Stack gespeicherten Kontaktinformationen rechtmäßig erlangt haben und über entsprechende Aufzeichnungen verfügen, aus denen eine explizite Zustimmung aller Abonnenten zum Erhalt von Marketingnachrichten ersichtlich ist. Marketer sollten durch das Auditing auch lernen, wo die Kontaktinformationen der Abonnenten gespeichert werden. So können sie Daten schnell aus ihrem System entfernen, sollten sie eine Anfrage diesbezüglich erhalten. Zudem sollte festgelegt werden, wie lange Marketer die Kontaktdaten inaktiver Abonnenten aufbewahren sollten. 

Falls Sie bereits vor der Einführung der DSGVO im E-Mail-Marketing tätig waren, ist der 25. Mai 2018 Ihnen wahrscheinlich ins Gedächtnis eingebrannt, und Sie wissen sicher, wie eine Compliance-Prüfung abläuft.

E-Mail-Marketer befragten an diesem Tag verzweifelt ihre Rechtsabteilung, um herauszufinden, ob sie DSGVO-konform arbeiteten, und suchten dann wieder in ihren Aufzeichnungen nach der Erlaubnis ihrer Abonnenten, um die Beziehung zu ihnen aufrechtzuerhalten. In vielen Fällen fehlte diese Erlaubnis und Marketer mussten Abonnenten nachträglich darum bitten. Die meisten dieser Anfragen wurden jedoch ignoriert, und so wurde es eine Zeit lang sehr still in vielen Posteingängen. Ein Segen für rücksichtsvollere, regelkonforme Marketer.

Welche Datenschutzrichtlinien gelten für Sie: DSGVO, CCPA oder andere?

Der erste Schritt vor der Prüfung Ihrer E-Mail-Compliance besteht darin, herauszufinden, welche Richtlinien Sie überhaupt einhalten müssen. Das Wissen, wo sich Ihre Nutzer befinden, gibt Ihnen Aufschluss darüber, welche Gesetze für Sie gelten. Marketer, die E-Mails an EU-Bürger versenden, müssen die DSGVO einhalten, während für solche, die Kampagnen an Menschen in Kalifornien versenden, der CCPA ausschlaggebend ist.

Die gute Nachricht? Falls Sie DSGVO-konform arbeiten, tun Sie wahrscheinlich ohnehin alles Nötige, um auch CCPA, CPRA und all den anderen Richtlinien zu entsprechen, die möglicherweise für Ihre Kampagnen gelten. Denn die DSGVO gibt bereits einen ziemlich hohen Standard vor. Und es gibt noch eine gute Nachricht: Die DSGVO einzuhalten ist nicht sehr viel anders, als den Best Practices des E-Mail-Marketings zu folgen.

Was die DSGVO, CCPA und CPRA fordern:

  • E-Mail-Marketer setzen Abonnenten nur mit ihrer expliziten Erlaubnis auf eine Kontaktliste.

  • E-Mail-Marketer versenden nur relevante Nachrichten, die auf vorhergehenden Interaktionen basieren.

  • E-Mail-Marketer geben keine Daten von Abonnenten ohne deren Erlaubnis an Dritte weiter.

  • E-Mail-Marketer geben sich in jeder Nachricht eindeutig zu erkennen.

  • E-Mail-Marketer ermöglichen es Abonnenten, sich schnell und einfach von Mailinglisten abzumelden.  

Theoretisch sollte das Einhalten jeglicher Richtlinien also ein Kinderspiel sein, falls Sie der Meinung sind, gutes E-Mail-Marketing zu betreiben. Wenn nur das ganze Leben so einfach wäre.

Wann sollte eine E-Mail-Konformitätsprüfung durchgeführt werden?

Wie jedes E-Mail-Audit sollten Sie auch die Prüfung auf Compliance regelmäßig durchführen, damit Sie auch sicher alle Datenschutzregeln und -gesetze einhalten, die für Ihr Unternehmen gelten könnten. Besonders wichtig ist dies bei neuen Richtlinien. 

Sie sollten auch dann ein E-Mail-Compliance-Audit durchführen, wenn Sie eine E-Mail-Liste geerbt haben und nicht genau wissen, woher die Kontaktdaten der Abonnenten stammen. Im besten Fall wurden die Daten rechtmäßig erhoben, aber befinden sich nicht mehr am gleichen Ort wie die Dokumentation, die belegt, dass geltende Richtlinien eingehalten wurden. Im schlimmsten Fall wurden die Kontaktdaten auf einem weniger gewissenhaften Weg eingeholt. Es ist im Endeffekt jedoch irrelevant, ob sie erworben, gestohlen oder von den Einverständniserklärungen getrennt wurden: In einem E-Mail-Marketing, das den neuesten Richtlinien folgt, haben diese Kontakte nichts verloren.

Daher sollten Sie auch in diesem Fall eine Compliance-Prüfung Ihrer E-Mail-Listen durchführen, um die Spreu vom Weizen zu trennen, und zu wissen, welche Daten sie nutzen dürfen und welche nicht.

Wonach sollten Sie bei einer E-Mail-Konformitätsprüfung Ausschau halten?

Wenn Sie sich dazu entschließen, Ihr E-Mail-Programm einer Compliance-Prüfung zu unterziehen, sollten Sie ein paar Elemente berücksichtigen. Diese Elemente hängen damit zusammen, welche Daten Sie von Ihren Abonnenten erheben und auf welche Weise Sie das tun.

Einverständniserklärung

Das Erste, was Sie sich bei einer Konformitätsprüfung Ihres E-Mail-Marketings ansehen sollten, ist die Einverständniserklärung Ihrer Abonnenten bei der Anmeldung zum Empfang Ihrer E-Mails. 

Diese Zustimmung kann auf verschiedene Arten eingeholt und gespeichert werden. Idealerweise wurde dazu in einem Online-Anmeldeformular ein Kästchen mit einer entsprechenden Erklärung angekreuzt, und Sie können über Ihren E-Mail-Marketinganbieter auf die Einwilligung zugreifen. Die Zustimmung kann jedoch auch von einem E-Commerce-System, Zahlungsgateway, einer App oder einem anderen Onlinedienst stammen. Es ist nicht immer einfach, den Überblick über diese Einverständniserklärungen zu behalten, vor allem, wenn Daten über verschiedene Plattformen weitergegeben werden. Zudem besteht beim Umstieg auf eine neue Plattform das Risiko ihres Verlusts. 

Das Problem wird noch verstärkt, wenn Sie E-Mail-Adressen offline einsammeln, wie beispielsweise in einem Einzelhandelsgeschäft, am einem Messestand oder bei einer Veranstaltung. Laut Best Practices müssen E-Mail-Adressen immer elektronisch eingesammelt werden. Dies ist über ein einfaches Anmeldeformular mit einer Einwilligungserklärung über ein Tablet oder Smartphone möglich. Wenn Sie es sich aber lieber schwer machen, können Sie die Einwilligung auch in Papierform einholen; ein noch schlimmerer Alptraum, als es scheint.

Herkunft der Registrierungen

Was Sie als Zweites überprüfen sollten: Woher die Registrierungen kommen. Rechtmäßige E-Mails sollten immer mit dem ursprünglichen Registrierungsgrund zusammenhängen. Nur weil Ihr Unternehmen mehrere Services anbietet, bedeutet das nicht, dass Sie sie alle an Ihre Abonnenten vermarkten sollten.

Die echte Herausforderung für E-Mail-Marketer besteht darin, weit und breit zu suchen, um Abonnenten mit Einverständniserklärungen und Quellen auf verschiedenen Technologie-Plattformen zu verbinden, auf die sie möglicherweise keinen Zugriff und mit denen sie eventuell keine Erfahrung haben. Und denken Sie daran: Die Einhaltung der Datenvorschriften ist gesetzlich vorgeschrieben. Als verantwortungsbewusster E-Mail-Marketer sollten Sie daher Ihr Wissen und Ihre Erfahrung mit Ihrer Rechtsabteilung teilen, damit diese Ihr Audit bewilligt. 

Erfasste Datenmenge

Der dritte Untersuchungsgegenstand bei einem E-Mail-Compliance-Audit sind die Daten, die Sie von Ihren Kontakten sammeln. Welchen Daten fragen Sie bei der Registrierung ab?

 Bei der Datenerfassung sollten Sie immer den Grundsatz der Datensparsamkeit beachten, d. h. immer nur so wenig Daten zu sammeln wie Sie für einen bestimmten Zweck benötigen. Fragen Sie nicht nach Daten, für die Sie keinen Bedarf haben oder die Sie nicht nutzen werden. Denken Sie einmal darüber nach: Warum fragen Sie nach dem Geburtsdatum oder der Telefonnummer der Person, wenn Sie nichts damit tun werden? Falls sie nicht relevant sind, fragen Sie nicht danach.

Vor- und Nachteile einer E-Mail-Konformitätsprüfung

Ok, diese Überschrift könnte Sie auf falsche Gedanken bringen. Eine Konformitätsprüfung Ihres E-Mail-Marketing bringt nur Vorteile mit sich. Es besteht das Risiko, dass Sie eventuell E-Mail-Adressen von Ihrer Liste entfernen müssen, doch das Risiko, nicht mit den Datenschutzgesetzen konforme E-Mails zu versenden, ist noch viel größer.

Verstöße gegen die DSGVO können mit hohen Geldstrafen geahndet werden: bis zu 20 Millionen Euro oder 4 % des gesamten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die EU ist ein zahnloser Tiger? Denken Sie an die Geldstrafe von 8,5 Millionen Euro, die Vodafone in Spanien für unerwünschte Marketingaktivitäten auferlegt wurde. 

Ein Neustart mit Mailjet

Die Nutzung eines DSGVO-konformen E-Mail-Marketingdienstleisters wie Mailjet ist ein guter Anfang für den Aufbau eines datenschutzkonformen E-Mail-Programms. Mit dem Mailjet-Registrierungs-Widget können Sie sicher sein, dass Sie die erforderlichen Informationen von Ihren neuen Kontakten ordnungsgemäß erfassen. Bei so einem wichtigen Vermögenswert sollten Sie besonders vorsichtig sein, dass Sie Ihre Liste nicht mit unrechtmäßigen Datenerfassungsmethoden kompromittieren.

Niemand führt gerne eine E-Mail-Konformitätsprüfung durch, es sei denn, Sie lieben Recht, aber wenn Sie die Qualität Ihrer Listen nicht zu 100 % garantieren können, kommen Sie nicht darum herum. Aber keine Sorge, wir haben ein DSGVO-SOS-Kit für Marketer in Not vorbereitet.

DSGVO-Kit für Marketer

Sie sind immer noch nicht sicher, ob Ihr Unternehmen DSGVO-konform ist? Wir haben mehrere Ressourcen für Sie zusammengestellt, die Ihnen dabei helfen, Ihre Datenerfassungsprozesse und Drittanbieter zu überprüfen. Sofortigen Zugang erhalten. Kein Ausfüllen von Formularen erforderlich.

Sie möchten noch mehr Tipps und Tricks zum Thema erhalten? Abonnieren Sie unseren Newsletter und Sie bekommen wöchentliche E-Mail-Updates vom Mailjet-Team!

Beliebte Beiträge

Hermes dancing on a laptop next to a mug

Deliverability

17 min

How to avoid email spam filters

Mehr lesen

Hermes and Hera in front of the mailboxes

Deliverability

7 min

Noreply email address: Best practices for your email strategy

Mehr lesen

God watching woman with computer wires

Email best practices

6 min

What is an SMTP relay and why do we use it?

Mehr lesen

Der Aufbau von Beziehungen war noch nie so einfach. Starten Sie jetzt mit Mailjet durch.Starten Sie Ihr Abenteuer
CTA icon