Ganz gleich, ob du private E-Mails an Freund:innen, geschäftliche Mails an Kolleg:innen oder Newsletter an Kund:innen schickst: Am Datenschutz führt kein Weg vorbei. Vor allem Marketer müssen darauf achten, dass ihre E-Mail-Kommunikation datenschutztechnisch einwandfrei ist – spätestens seit Inkrafttreten der DSGVO.
Aber keine Sorge: Wir erklären dir ganz ohne Juristensprache, worauf du beim Thema E-Mails und Datenschutz achten solltest und wie du Mails im Einklang mit geltenden Datenschutzrichtlinien verschicken.
Inhaltsverzeichnis
Was haben E-Mails mit Datenschutz zu tun?
Mit dem Senden einer E-Mail werden allerhand Daten übermittelt. Das umfasst nicht nur den tatsächlichen Inhalt der E-Mail, sondern auch die E-Mail-Adresse von Absender:in und Empfänger:in. Deshalb ist sowohl bei der privaten, als auch der geschäftlichen E-Mail-Kommunikation Vorsicht geboten. Welche spezifischen Regeln in diesen Bereichen gelten, dazu gleich mehr.
Besonders achtsam sollten Personen und Institutionen sein, die personenbezogene Daten von EU-Bürger:innen erheben oder verarbeiten. Personenbezogene Daten sind Daten, die eine natürlich Person bestimmbar machen. Dazu zählen der Name, das Geburtsdatum und die Anschrift einer Person, aber auch deren E-Mail-Adresse – selbst, wenn der echte Name daraus nicht hervorgeht. Werden solche Daten erfasst, greift die Datenschutz-Grundverordnung (DSGVO).
Die DSGVO – das aktuell geltende europäische Datenschutzgesetz – gilt für Unternehmen, Behörden, Vereine und gemeinnützige Organisationen gleichermaßen. Bei Verstößen gegen die DSGVO drohen hohe Bußgelder von bis zu 20 Millionen Euro oder 4% des jährlichen weltweiten Umsatzes.
Seit wann gilt die DSGVO?
Seit dem 25. Mai 2018 gilt das Bundesdatenschutzgesetz (BDSG) nicht mehr, zumindest nicht in seiner alten Form. Das BDSG wurde dabei nicht vollständig von der Datenschutz-Grundverordnung abgelöst, auch, wenn das die vorherrschende Meinung ist. Stattdessen gibt es neben der EU-DSGVO nun auch das „BDSG neu”, eine aktuellere und ausführlichere Fassung des „alten” BDSG. Das „BDSG neu” spezifiziert in der DSGVO enthaltene Regeln zur Datensicherheit.
Datenschutz im E-Mail Marketing
Wenn du E-Mails zu Werbezwecken verschickst, verarbeitest du personenbezogene Daten und musst dich dementsprechend an die DSGVO halten. Wir zeigen dir, wie du sicherstellst, dass deine Mailings und das E-Mail Tracking zu 100% datenschutzkonform funktionieren.
Anmeldung
Zunächst einmal solltest du Folgendes wissen: Die sogenannte Kaltakquise, also das Versenden von Werbung an Personen, die dem Erhalt nicht ausdrücklich zugestimmt haben, ist verboten. Dementsprechend musst du immer die Einwilligung deiner Kund:innen einholen, wenn du ihnen beispielsweise Newsletter senden möchtest.
Dafür bietet sich die sogenannte Anmeldung per Double Opt-in an. Hierfür tragen sich Interessent:innen erst in ein Anmeldeformular ein und bekommen dann eine Mail mit einem Anmeldelink geschickt. Erst, wenn sie diesen anklicken, werden sie in den Newsletter-Verteiler aufgenommen. Als Werbetreibende:r darfst du hier nur solche Angaben als zwingend notwendig markieren, die du zur Datenverarbeitung zwingend benötigst – das ist in der Regel nur die E-Mail-Adresse. Außerdem muss ein DSGVO-konformes Anmeldeformular Folgendes enthalten:
- Name der Absenderin/des Absenders
- Link zu deiner Datenschutzerklärung
- Checkbox, die Empfänger:innen ankreuzen müssen, um zu bestätigen, dass sie die Datenschutzerklärung gelesen haben (keine vorangekreuzten Kästchen)
- Hinweis auf Abmeldemöglichkeit
- Erklärung zum Zweck der Datenerhebung und -verarbeitung
Lies auch, wie du ein DSGVO-konformes Anmeldeformular erstellst.
Darum solltest du keine E-Mail-Adressen kaufen
Mehr E-Mail-Adressen = mehr potentielle Kund:innen? Es kann durchaus verlockend sein, E-Mail-Adressen von Drittanbietern zu kaufen, um die Kontaktliste zu vergrößern. Der Kauf von E-Mail-Adressen ist in Deutschland zwar grundsätzlich nicht verboten. Allerdings kannst du dir nie sicher sein, ob Adressinhaber:innen tatsächlich ihre Zustimmung erteilt haben. Außerdem gilt die Zustimmung der Adressinhaber:innen nur für das Unternehmen, das sich ursprünglich das Einverständnis eingeholt hat. Deshalb gilt: Finger weg von gekauften E-Mail-Adressen. Mit unseren Tipps kannst du völlig legal E-Mail-Adressen sammeln.
Weiterleitung von E-Mails
Wenn du E-Mail Marketing betreibst, solltest du es unbedingt vermeiden, Kunden-Mails an Dritte weiterzuleiten – es sei denn, deine Kund:innen haben diesem Verwendungszweck ausdrücklich zugestimmt. Außerdem solltest du keine offenen E-Mail-Verteiler nutzen, also eine E-Mail schreiben und diverse Empfänger:innen in Cc setzen. Denn so kann deine gesamte Kontaktliste die E-Mail-Adressen aller Empfänger:innen einsehen – eine solche Datenpanne ist natürlich nicht datenschutzkonform. Setze relevante Personen daher prinzipiell nur in Bcc.
Wenn du eine professionelle Newsletter Software nutzt, brauchst du dir darüber jedoch keine Gedanken zu machen. Hier wählst du nämlich einfach eine von dir vorher erstellte Versandliste aus. Dein Mailing wird dann an alle Personen auf dieser Liste versandt – ohne, dass individuelle E-Mail-Adressen für die Empfänger:innen einsehbar sind.
Wie du mit Kundendaten DSGVO-konform umgehst, erfährst du in diesem Artikel.
Abmeldung
Niemand möchte das Gefühl haben, in eine Abo-Falle getappt zu sein, aus der man nicht mehr so einfach herauskommt. Das gilt auch für Abonnent:innen, die dem Erhalt deiner Mailings in der Vergangenheit zwar zugestimmt haben, jetzt jedoch keine Mails mehr von dir erhalten möchten. Deshalb solltest du es deinen Empfänger:innen ermöglichen, sich jederzeit und unkompliziert von Newslettern und anderen Mailings abzumelden. Dies ist nicht nur eine Best Practice, sondern gesetzlich vorgeschrieben.
Die DSGVO ist auch hier wieder eindeutig: Das sogenannte Simplizitätsgebot besagt nicht nur, dass es Abonnent:innen möglich sein muss, sich von einem Mailing abzumelden, sondern auch, dass dies genauso einfach gehen muss wie die Newsletter-Anmeldung selbst. Meist heißt das: Die Abmeldung muss per Klick auf einen in der E-Mail integrierten Abmeldelink funktionieren. Empfänger:innen dürfen nicht etwa dazu gezwungen werden, sich erst in ihr Benutzerkonto einzuloggen.
Du hast dich selbst zu einem Newsletter angemeldet, den du nun wieder loswerden willst? Hier erfährst du, wie du unliebsame Newsletter abbestellst.
Checklist: E-Mail Marketing nach den Richtlinien der DSGVO
Zugegeben, Datenschutz ist ein ziemlich komplexes Thema und kann auf den ersten Blick durchaus überfordern. Deshalb haben wir eine Checklist für dich zusammengestellt, anhand derer du prüfen kannst, ob dein E-Mail Marketing zu 100% DSGVO-konform ist oder ob du an der ein oder anderen Stelle nachbessern solltest.
- Hast du einen Vertrag zur Auftragsdatenverarbeitung mit deinem Dienstleister (Hoster, E-Mail Marketing Software, Tracking Software, usw.) geschlossen?
- Entspricht der Dienstleister den gesetzlichen Anforderungen? Kann er dies durch ein Datenschutz-Testat nachweisen?
- Kannst du den Nachweis der Einwilligung (E-Mail-Adresse, Datum, Uhrzeit) zu deinen Mailings von allen Empfänger:innen erbringen?
- Hast du die Empfänger:innen auf die Datenschutzerklärung hingewiesen?
- Ist deine Datenschutzerklärung aktuell?
- Wird dokumentiert, an welche Subunternehmer du personenbezogene Daten weitergibst?
- Weißt du, woher deine Kontaktdaten kommen?
Was musst du im Rahmen der DSGVO unbedingt beachten und was solltest du auf keinen Fall machen? In der folgenden Übersicht haben wir dir die jeweils 4 wichtigsten Punkte aufgezählt:
DSGVO-konformes Marketing mit einer Newsletter Software – geht das?
Du möchtest Werbe-E-Mails mit einer professionellen Software verschicken? Gute Entscheidung! Denn solche Tools sind Programmen wie Outlook, Thunderbird und Co. in vielem meilenweit voraus. Mit einer professionellen E-Mail Software erstellst du nicht nur leichter schönere Mails, sondern bist meist auch datenschutztechnisch auf der sicheren Seite. Ein guter E-Mail-Anbieter erlaubt es dir beispielsweise, DSGVO-konforme Anmeldeformulare zu erstellen und Impressums- sowie Abmeldelinks einzufügen. Wenn du Serienmails mit Outlook versendest, hast du diese Optionen nicht.
Natürlich solltest du einem Newsletter Tool nicht blind vertrauen, sondern genau hinschauen, ob es deinen Datenschutz-Ansprüchen gerecht wird. Viele beliebte Softwares – darunter der Branchen-Riese Mailchimp – haben ihren Server-Standort beispielsweise in den USA. Die Vereinigten Staaten gelten jedoch als unsicheres Drittland: Die Einhaltung von DSGVO-Normen ist somit nicht garantiert. Folgende Fragen solltest du deshalb vorab klären, wenn du ein DSGVO-konformes Tool suchst:
- Hat das Unternehmen seinen Server-Standort innerhalb der EU?
- Verfügt der Anbieter über einen internen Datenschutzbeauftragten?
- Schließt der Anbieter mit Kund:innen und Drittanbietern Verträge zur Auftragsverarbeitung ab?
- Ist das Unternehmen TÜV Rheinland geprüft und hat es eine ISO 27001 Zertifizierung?
In unserem Artikel stellen wir dir 8 DSGVO-konforme Newsletter Tools vor.
Bei Brevo (ehemals Sendinblue) lautet die Antwort auf alle Fragen: Ja! Hier erfährst du im Detail, wie Brevo mit dem Thema Datenschutz umgeht.
Datenschutz in der geschäftlichen E-Mail-Kommunikation
Wer kein E-Mail Marketing betreibt, muss sich nicht um Datenschutz kümmern? Das ist ein Trugschluss, denn auch in der unternehmensinternen E-Mail-Kommunikation werden Daten ausgetauscht. Wir erklären, worauf du achten musst, wenn du E-Mails im geschäftlichen Kontext schreibst.
Mitlesen von E-Mails – erlaubt oder verboten?
Wenn du von deiner geschäftlichen E-Mail-Adresse aus Nachrichten schreibst, dann geht es meist um Themen, die deine Arbeit betreffen. Trotzdem darf dein Arbeitgeber nicht nach Belieben deine E-Mails lesen. Nur in Ausnahmefällen, und nur dann, wenn es für das Fortführen der Geschäftsprozesse absolut notwendig ist, dürfen Arbeitgeber die E-Mails ihrer Angestellten einsehen.
Ähnlich streng ist das Datenschutzrecht beim Versand privater Mails über den E-Mail Account des Unternehmens. Auch diese Nachrichten dürfen Arbeitgeber nicht einsehen – es sei denn, in deinem Arbeitsvertrag steht, dass der private E-Mail-Versand über die geschäftliche Adresse grundsätzlich untersagt ist.
Vorsicht vor Weiterleitungen
Wie auch im E-Mail Marketing gilt beim Versenden von Mails an Kolleg:innen und Geschäftspartner:innen: Sei vorsichtig bei der E-Mail-Weiterleitung. Du möchtest einem externen Stakeholder per E-Mail wichtige Geschäftsdaten zukommen lassen? Bevor du das tust, solltest du lieber noch einmal in deinen Arbeitsvertrag schauen. Eventuell steht dort, dass das Weiterleiten geschäftlicher Informationen an private E-Mail-Adressen verboten ist. Denn in einem solchen Fall verlassen sensible Daten den Unternehmens-Server und liegen dann bei einem externen E-Mail Provider.
Besonders beliebt ist auch das Einrichten von Weiterleitungen bei Abwesenheit. So leiten viele Angestellte ihre E-Mails automatisch an Kolleg:innen weiter, wenn sie in den Urlaub fahren. Wenn du das tust, solltest du vorher unbedingt sicherstellen, dass die Mails nur innerhalb des Firmen-Servers und an vertrauensvolle Personen weitergeleitet werden.
Datenschutz im privaten E-Mail-Verkehr
Zwar läuft ein Großteil der privaten Kommunikation heutzutage über Messenger Apps ab, aber auch E-Mails werden durchaus noch für die Kommunikation mit Freund:innen und Verwandten genutzt. Auch hier solltest du einige grundlegende Dinge beachten, um den Schutz deiner eigenen Daten sowie der Daten deiner Empfänger:innen zu gewährleisten.
Wenn du E-Mails verschicken willst, dann benötigst du dafür ein Programm – einen sogenannten Provider. Zu den bekanntesten E-Mail Providern hierzulande zählen Outlook, Gmail und Freenet. Laut DSGVO dürfen diese deine Daten nur dann an Dritte weitergeben, wenn du dem ausdrücklich zustimmst. Doch Vorsicht: Viele kostenlose Provider nutzen deine Daten oft zu Werbezwecken. Dieser Nutzung stimmst du häufig unbemerkt zu, wenn du dich bei einem Anbieter registrierst. Hier lohnt sich ein Blick ins Kleingedruckte, denn in der Datenschutzerklärung muss festgehalten sein, ob und wie deine Daten verarbeitet werden.
Auch in der privaten E-Mail-Kommunikation gilt übrigens: Du darfst Nachrichten nur dann an Dritte weiterleiten, wenn der oder die ursprüngliche Absender:in damit einverstanden ist.
Eine Ausnahme dieser Regel liegt vor, wenn Ermittlungsbehörden Zugriff auf die E-Mail-Kommunikation der betroffenen Person anfordern. Dann dürfen – und müssen – E-Mail Provider die erforderlichen Daten zugänglich machen.
Fazit: E-Mail-Kommunikation und Datenschutz vereinbaren
DSGVO und Datenschutz – die Begriffe können anfangs ziemlich einschüchternd klingen. In Wirklichkeit ist es aber so: Wenn du dich an einige grundlegende Regeln hältst, steht einer datenschutzkonformen E-Mail-Nutzung nichts im Wege.
Das gilt auch für das E-Mail Marketing. Seriöse Anbieter von E-Mail Marketing Softwares wissen genau, worauf es beim Datenschutz ankommt und stellen dir meist DSGVO-konforme Anmeldeformulare und mehr zur Verfügung. Wenn du dennoch unsicher bist, ob deine E-Mails alle Datenschutzrichtlinien erfüllen, ziehst du am besten einen Experten oder eine Expertin zu Rate.
Noch mehr Datenschutz gefällig? Vielleicht sind folgende Artikel für dich ebenfalls relevant: