Als die GDPR im Mai 2018 in Kraft trat, versetzte sie die E-Mail-Marketing-Welt in Aufruhr. Plötzlich war der lässige Umgang mit Verteilerlisten, der jahrzehntelang funktionierte, potenziell rechtswidrig. Unternehmen bemühten sich hektisch, Einwilligungen einzuholen, nicht konforme Adressen zu bereinigen und ihre E-Mail-Programme von Grund auf neu aufzubauen.
Fünf Jahre später bleibt die GDPR die bedeutendste Datenschutzregelung, die E-Mail-Marketer betrifft. Wenn Sie E-Mail an irgendjemanden in der Europäischen Union senden—unabhängig davon, wo Ihr Unternehmen sitzt—müssen Sie die Anforderungen der GDPR verstehen und einhalten.
Die Einwilligungspflicht
Die wirkungsvollste Anforderung der GDPR für E-Mail-Marketer ist die Einwilligung. Im Gegensatz zu CAN-SPAM, das unaufgeforderte kommerzielle E-Mails erlaubt, solange bestimmte Regeln eingehalten werden, verlangt die GDPR eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten—und bei Marketing-E-Mails ist diese Grundlage fast immer die Einwilligung.
GDPR-Einwilligungen müssen freiwillig, spezifisch, informiert und eindeutig sein. Die Person muss durch eine klare bestätigende Handlung aktiv ein Opt-in vornehmen. Vorab angekreuzte Kästchen zählen nicht. Gekoppelte Einwilligung (Marketing als Voraussetzung für die Nutzung eines Dienstes) zählt nicht. Schweigen oder Untätigkeit zählt nicht.
Sie müssen klar erklären, wozu sie einwilligen: wer ihnen E-Mail senden wird, welche Art von Inhalt, wie häufig. Vage Formulierungen wie 'Wir könnten Sie mit Angeboten kontaktieren' sind nicht spezifisch genug. 'Wir senden Ihnen wöchentliche Produkt-Updates und gelegentliche Werbeangebote' ist besser.
Einwilligungen müssen dokumentiert werden. Sie müssen nachweisen können, dass jede Person auf Ihrer Liste tatsächlich eingewilligt hat, wann sie eingewilligt hat und worin sie eingewilligt hat. Wenn Sie die Einwilligung nicht nachweisen können, haben Sie sie nicht.
Eine Einwilligung kann jederzeit widerrufen werden, und der Widerruf muss so einfach sein wie die Erteilung. Wenn sich jemand mit einem Klick anmelden kann, sollte er sich auch mit einem Klick abmelden können.
Berechtigtes Interesse: Die alternative Rechtsgrundlage
Es gibt eine Alternative zur Einwilligung, das 'berechtigte Interesse', aber sie ist enger, als viele Marketer hoffen.
Berechtigtes Interesse kann gelten, wenn Sie eine bestehende Kundenbeziehung haben und das Marketing mit Produkten oder Dienstleistungen zusammenhängt, die bereits gekauft wurden. Wenn jemand Laufschuhe bei Ihnen gekauft hat, könnten Sie ein berechtigtes Interesse haben, ihm E-Mail zu Laufausrüstung zu senden.
Berechtigtes Interesse erfordert jedoch eine Interessenabwägung. Ihr Interesse am Marketing darf die Rechte und Erwartungen der betroffenen Person nicht überwiegen. Wenn sie vernünftigerweise nicht damit rechnen würde, Ihre E-Mail zu erhalten, gilt berechtigtes Interesse wahrscheinlich nicht.
Auch beim berechtigten Interesse müssen Sie schon beim Erheben der Daten und in jeder E-Mail eine einfache Opt-out-Möglichkeit bereitstellen. Und Sie müssen Ihre Bewertung zum berechtigten Interesse dokumentieren—warum Sie glauben, dass es gilt, und wie Sie die Interessen abgewogen haben.
In der Praxis verlassen sich die meisten E-Mail-Marketer eher auf Einwilligungen als auf berechtigtes Interesse. Einwilligungen sind klarer, leichter zu dokumentieren und werden seltener angefochten. Berechtigtes Interesse ist eine Rückfalloption für spezifische Situationen, keine generelle Erlaubnis zum E-Mail-Versand.
Betroffenenrechte
Die GDPR gibt Einzelpersonen weitreichende Rechte über ihre personenbezogenen Daten, und diese Rechte beeinflussen, wie Sie Verteilerlisten verwalten.
Das Auskunftsrecht bedeutet, dass Menschen eine Kopie aller Daten anfordern können, die Sie über sie gespeichert haben, einschließlich ihrer E-Mail-Historie, Präferenzen und etwaiger Profiling-Daten. Sie müssen innerhalb eines Monats antworten.
Das Recht auf Berichtigung bedeutet, dass Menschen unzutreffende Daten korrigieren lassen können. Wenn die E-Mail-Adresse oder die Präferenzen einer Person falsch sind, kann sie verlangen, dass Sie das korrigieren.
Das Recht auf Löschung ('right to be forgotten') bedeutet, dass Menschen die Löschung ihrer Daten verlangen können. Wenn jemand die Löschung verlangt, müssen Sie seine E-Mail-Adresse und zugehörige Daten löschen, nicht nur ihn abmelden.
Das Recht auf Datenübertragbarkeit bedeutet, dass Menschen ihre Daten in einem maschinenlesbaren Format anfordern können, um sie zu einem anderen Dienst zu übertragen. Das ist beim E-Mail-Bereich weniger üblich, gilt aber dennoch.
Das Widerspruchsrecht bedeutet, dass Menschen der Verarbeitung auf Grundlage des berechtigten Interesses widersprechen können. Wenn sie widersprechen, müssen Sie die Verarbeitung einstellen, es sei denn, Sie können zwingende berechtigte Gründe nachweisen.
Sie brauchen Prozesse, um diese Anfragen zu bearbeiten. Jemand in Ihrem Team sollte verantwortlich dafür sein, innerhalb der vorgegebenen Fristen zu reagieren. Das Ignorieren von Betroffenenanfragen ist ein Compliance-Verstoß.
Technische und organisatorische Maßnahmen
Die GDPR verlangt 'angemessene technische und organisatorische Maßnahmen', um personenbezogene Daten zu schützen. Für E-Mail bedeutet das:
Sichere Speicherung von Verteilerlisten und Abonnentendaten. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsbewertungen. Ihre Verteilerliste ist personenbezogenes Datum; behandeln Sie sie entsprechend.
Datenminimierung—sammeln und speichern Sie nur Daten, die Sie tatsächlich benötigen. Wenn Sie das Geburtsdatum für Ihr E-Mail-Programm nicht brauchen, sammeln Sie es nicht. Wenn Sie keine fünf Jahre E-Mail-Historie brauchen, bewahren Sie sie nicht auf.
Anbieter-Management für alle Drittparteien, die Daten in Ihrem Auftrag verarbeiten. Ihr E-Mail-Service-Provider, Ihr CRM, Ihre Analysetools—alle müssen GDPR-konform sein, und Sie brauchen mit jedem Vereinbarungen zur Auftragsverarbeitung.
Verfahren zur Meldung von Datenschutzverletzungen. Wenn Abonnentendaten kompromittiert werden, müssen Sie Behörden möglicherweise innerhalb von 72 Stunden und betroffene Personen ohne unangemessene Verzögerung benachrichtigen. Haben Sie einen Plan, bevor Sie ihn brauchen.
Privacy by design—Datenschutzüberlegungen von Anfang an in Ihr E-Mail-Programm einbauen, nicht nachträglich anflanschen. Dazu gehören standardmäßige Datenschutzeinstellungen, klare Einwilligungsabläufe und einfache Präferenzverwaltung.
Durchsetzung und Sanktionen
Die GDPR-Sanktionen sind hart: bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Das ist nicht theoretisch—Aufsichtsbehörden haben erhebliche Bußgelder für E-Mail-bezogene Verstöße verhängt.
Über Bußgelder hinaus kann die Durchsetzung Anordnungen zur Einstellung der Verarbeitung umfassen, was Ihr gesamtes E-Mail-Programm lahmlegen könnte. Der Reputationsschaden durch eine öffentliche Durchsetzungsmaßnahme kann schlimmer sein als das Bußgeld selbst.
Die Durchsetzung unterscheidet sich je nach Land. Einige EU-Mitgliedstaaten sind aggressiver als andere. Aber mit dem One-Stop-Shop-Mechanismus kann eine Beschwerde in jedem EU-Land zu einer Durchsetzung in der gesamten Union führen.
Einzelbeschwerden treiben viele Untersuchungen an. Eine einzelne Person, die Ihre nicht konformen E-Mail-Praktiken meldet, kann regulatorische Aufmerksamkeit auslösen. Da Millionen von EU-Einwohnern ihre GDPR-Rechte kennen, ist das Risiko von Beschwerden real.
Das Vereinigte Königreich hat nach dem Brexit seine eigene Version der GDPR mit ähnlichen Anforderungen und Sanktionen. Wenn Sie an UK-Adressen senden, müssen Sie sowohl die UK GDPR als auch die EU GDPR einhalten.
Praktische Schritte zur Compliance
GDPR-Compliance ist kein einmaliges Projekt—sie ist eine laufende Praxis. Hier fangen Sie an:
Prüfen Sie Ihre aktuelle Liste. Können Sie für jeden Abonnenten die Einwilligung nachweisen? Wenn nicht, müssen Sie ihn entweder erneut um Einwilligung bitten oder ihn entfernen. Das ist schmerzhaft, aber notwendig.
Optimieren Sie Ihre Anmeldeformulare. Klare Einwilligungstexte, nicht vorausgewählte Opt-in-Kästchen, Links zu Ihrer Datenschutzerklärung. Zeichnen Sie die Einwilligung mit Zeitstempel und dem genauen Wortlaut auf, dem sie zugestimmt haben.
Implementieren Sie Preference Center. Lassen Sie Abonnenten steuern, was sie erhalten und wie oft. Granulare Präferenzen reduzieren Abmeldungen und zeigen Respekt für ihre Entscheidungen.
Überprüfen Sie Ihre Anbieter. Stellen Sie sicher, dass Ihr E-Mail-Service-Provider, Ihr CRM und andere Tools GDPR-konform sind. Schließen Sie mit jedem Auftragsverarbeitungsverträge.
Schulen Sie Ihr Team. Jeder, der mit E-Mail-Daten arbeitet, sollte die GDPR-Grundlagen verstehen. Compliance scheitert, wenn jemand, der die Regeln nicht kennt, einen Fehler macht.
Dokumentieren Sie alles. Ihre Einwilligungsnachweise, Ihre Bewertungen zum berechtigten Interesse, Ihre Auftragsverarbeitungsverträge, Ihre Sicherheitsmaßnahmen. Wenn Sie die Einhaltung nicht belegen können, sind Sie nicht compliant.
Frequently asked questions
Gilt die GDPR, wenn mein Unternehmen nicht in der EU ist?
Ja. Die GDPR gilt für die Verarbeitung von Daten von EU-Einwohnern, unabhängig davon, wo der Verarbeiter sitzt. Wenn Sie Menschen in der EU E-Mail senden, gilt die GDPR für Sie.
Kann ich bestehenden Kunden ohne neue Einwilligung E-Mail schicken?
Möglicherweise, unter berechtigtem Interesse, wenn das Marketing sich auf ähnliche Produkte bezieht, die sie gekauft haben. Aber Sie müssen Ihre Bewertung des berechtigten Interesses dokumentieren und einen einfachen Opt-out anbieten. Im Zweifel holen Sie eine Einwilligung ein.
Wie sieht es mit B2B-E-Mail aus?
Die GDPR gilt für personenbezogene Daten, wozu auch geschäftliche E-Mail-Adressen gehören, die Einzelpersonen identifizieren ([email protected]). Generische Adressen ([email protected]) sind möglicherweise keine personenbezogenen Daten, aber individuelle Geschäftskontakte sind abgedeckt.
Wie lange darf ich Daten von E-Mail-Abonnenten aufbewahren?
Nur so lange, wie es für den Zweck erforderlich ist. Wenn sich jemand seit Jahren nicht mehr beteiligt hat, haben Sie wahrscheinlich keinen berechtigten Grund, seine Daten zu behalten. Definieren Sie Aufbewahrungsfristen und setzen Sie sie durch.