Checkliste für Newsletter und DSGVO
24.04.2018: Rund um die Datenschutz-Grundverordnung gibt es für die meisten Unternehmen einige Hausaufgaben zu erledigen (Stichwort: Verfahrensverzeichnis usw.).
Doch was sollten Sie zeitnah und konkret tun, um Ihr E-Mail-Marketing fit für die DSGVO zu machen?
Wir haben die wichtigsten Schritte in einer Checkliste zusammengestellt, damit Sie überprüfen können, bei welchen Punkten Sie vielleicht noch einen Handlungsbedarf haben.
1) Erstellen Sie eine Datenschutz-Erklärung.
Wenn Sie auf Ihrer Website noch keine Datenschutz-Erklärung haben, werden Sie eine benötigen (sehen Sie dazu auch unseren Artikel "Häufige Fragen & Antworten"). Denn bereits mit dem Newsletter-Anmeldeformular auf Ihrer Website sammeln Sie personenbezogene Daten.
In der Datenschutz-Erklärung müssen Sie darüber aufklären, auf Basis welcher Grundlagen Sie die Daten verarbeiten, zu welchem Zweck, welche Daten Sie erheben und ob diese weitergegeben werden. Der Umfang und Inhalt der Erklärung hängt stark mit den Tools, die Sie auf bzw. für Ihre Website einsetzen, zusammen – und welche Daten Sie konkret erheben und verarbeiten.
Tipp: Diese Datenschutz-Erklärung sollte auf Ihrer Website leicht auffindbar sein, idealerweise als eigener Menüpunkt oder erreichbar über Ihr Impressum.
2) Weisen Sie auf Ihr Newsletter-System hin.
In der Datenschutz-Erklärung sollten Sie auch auf die Verwendung Ihrer E-Mail-Marketing Software hinweisen. Denn auch hier werden natürlich personenbezogene Daten verarbeitet.
Ein solcher Hinweis auf die Newsletter-Software kann in manchen Fällen auch unterbleiben, z.B. wenn Sie sich die Zustimmung bereits auf einem anderen Weg (z.B. in einem schriftlichen Vertrag) gesichert haben.
Tipp für Dialog-Mail Kunden: Wir haben dazu für unsere Kunden einen Formulierungs-Vorschlag entwickelt, den Sie gerne in Ihre Datenschutz-Erklärung einfügen können (selbstverständlich können Sie den Text nach Ihren Wünschen anpassen).
Tipp für Dialog-Mail Kunden: Sie können eine Datenschutz-Erklärung auch direkt in Dialog-Mail anlegen, z.B. eine spezielle für Ihren Newsletter! Die entsprechende Verwaltung finden Sie im Bereich Datenschutz»Legitimationen!
3) Gestalten Sie Ihre Anmeldeformulare rechtskonform.
Auch bei den Anmelde-Formularen müssen einige Punkte beachtet werden – wir haben dazu einen Artikel "Das ideale Anmeldeformular" geschrieben.
Ein wichtiger Punkt, der in der Praxis oft übersehen wird, ist das "Prinzip der Datensparsamkeit". Vereinfacht gesagt dürfen Sie nur jene Daten in einem Formular abfragen, die Sie auch tatsächlich für die Abwicklung der Anfrage benötigen. Bei einem Newsletter-Anmeldeformular ist das natürlich die E-Mail-Adresse und wohl auch Vor- und Nachname – auf die Abfrage einer postalischen Adresse sollten Sie aber besser verzichten.
4) Holen Sie bei den Anmeldeformularen die Datenschutz-Einwilligung ein.
Ein wichtiger Bestandteil des Anmeldeformulars ist die datenschutzrechtliche Einwilligung – d.h. die Erlaubnis, dass Sie die Daten auch verarbeiten dürfen.
Typischerweise erfolgt diese Einwilligung über eine Checkbox und einen Hinweis, mit der ein Newsletter-Interessent auf die Datenschutz-Erklärung hingewiesen wird und dieser zustimmen muss (d.h. die Checkbox ist als Pflichtfeld definiert).
Beachten Sie dabei, dass diese Checkbox nicht vor-angehakt sein sollte!
Tipp für Dialog-Mail Kunden: Eine solche Einwilligung können Sie in Dialog-Mail in den Formular-Einstellungen ganz einfach definieren, es gibt dafür eine eigene Option; es wird dann eine Checkbox eingefügt, mit einem Hinweis auf die Verarbeitung der Daten und einem Link auf Ihre Datenschutz-Erklärung (entweder eine, die Sie in Dialog-Mail angelegt haben oder jene auf Ihrer Website). Weitere Details dazu finden Sie in dieser Produkt-News.
5) Stellen Sie auf double Opt-in um.
Seit der DSGVO ist es notwendig, für viele Anmeldesituationen (z.B. eine Newsletter-Anmeldung) das double Opt-in Verfahren einzusetzen. Dabei wird nach dem Abschicken des Formulars automatisch ein Bestätigungs-Mail verschickt – erst nach dieser Bestätigung (normalerweise ein Klick auf einen Link) wird der Empfänger in die Mailing-Liste aufgenommen.
Tipp für Dialog-Mail Kunden: Sie können für jede Gruppe getrennt jederzeit das Anmeldeverfahren ändern. Klicken Sie dazu einfach im Bereich "Empfänger" auf die "Gruppen" und bearbeiten Sie diese.
6) Dokumentieren Sie sämtliche Zustimmungen.
Nicht immer erfolgt eine Zustimmung (z.B. für die Zusendung eines Newsletters) über eine Website. Manchmal erfolgt diese auch "offline", z.B. im Rahmen einer Messe, eines Verkaufsgespräches oder über die Teilnahme an einem Gewinnspiel.
Für solche Fälle sollten Sie einen klaren Prozess definieren, damit diese Zustimmungen ebenfalls protokolliert werden und später nachweisbar sind. Denn im Zweifelsfall liegt die Beweislast bei Ihnen!
Das bedeutet, dass Sie beispielsweise die Gewinnspiel-Teilnahmekarten sorgfältig aufbewahren sollten. Oder dass Sie solche Anmeldungen in Ihre Newsletter-Software eintragen, wobei Sie dabei die notwendigen Informationen in entsprechenden Datenbank-Feldern eintragen (z.B. "Zustimmung für Newsletter über Messebesuch am xxx durch Teilnahme am Gewinnspiel xxx.").
Tipp für Dialog-Mail Kunden: Sie können in auch "offline"-Datenschutz-Erklärungen verwalten! Sie können also z.B. für ein Gewinnspiel eine eigene Datenschutz-Erklärung anlegen und bei den betreffenden Empfängern dann diese Zustimmung (samt Zeitpunkt) eintragen. So können Sie jederzeit sämtliche Datenschutz-Einwilligungen, egal auf welchen Kanälen diese erfolgt sind, an einem zentralen Ort verwalten und abrufen!
7) Nehmen Sie Auskunftsbegehren ernst.
Jeder Betroffene hat das Recht, ein Mal im Jahr kostenfrei Auskunft zu den Daten zu erhalten, die Sie über ihn/sie gespeichert haben. Mit der DSGVO muss einem solchen Auskunftsbegehren innerhalb von vier Wochen Folge geleistet werden.
Tipp für Dialog-Mail Kunden: Sie können alle Daten, die Sie für ein Auskunftsbegehren benötigen, über einen einzigen Klick generieren: Suchen Sie nach dem Empfänger, klicken Sie auf "Empfänger Aktivitäten ansehen" und bei der Liste auf "Export".
8) Sorgen Sie für eine Dienstleister-Vereinbarung.
Da ein Newsletter-System Ihre Daten in Ihrem Auftrag verarbeitet, benötigen Sie eine entsprechende Auftragsdaten-Vereinbarung. Laut DSGVO ist es Ihre Aufgabe als Verantwortlicher sicher zu stellen, dass sich ein Dienstleister bei der Verarbeitung Ihrer Daten an alle Vorgaben der DSGVO (und Ihre Vorgaben) hält. Eine solche Vereinbarung sollten Sie deshalb unbedingt mit Ihrem Dienstleister treffen!
Tipp für Dialog-Mail Kunden: Sie können eine solche Vereinbarung im Bereich Datenschutz»Legitimationen jederzeit kostenfrei herunterladen!
9) Bonus: Beachten Sie auch andere rechtliche Vorgaben für Ihre Mailings.
Neben den Vorgaben der DSGVO gelten natürlich auch weiterhin andere rechtliche Rahmenbedingungen (z.B. aus dem MedG). Hier die wichtigsten Punkte:
- Gibt es im Newsletter einen direkten Link auf das Impressum auf der Website?
- Sind die UGB-Angaben im Mailing selbst korrekt und vollständig?
- Wird eventuelle Werbung im Newsletter entsprechend gekennzeichnet oder ist sie klar als solche erkennbar?
- Ist ein gültiger Abmeldelink vorhanden?
- Wird das Mail von einer gültigen Absender-Adresse aus verschickt (kein "no-reply@...")?
- Ist der Absender erkennbar und wird nicht verschleiert?
- Ist die Betreffzeile aussagekräftig und nicht irreführend?
Möchten Sie mehr?
In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.