Die DSGVO und Newsletter - Das gilt es zu beachten
In unserem letzten Blogartikel zum Thema DSGVO - hier zu lesen - gingen wir näher auf die neuesten EuGH Urteile und dessen Auswirkung auf Cookies ein. Dieses Mal beschäftigen wir uns mit einem weiteren Leid-Thema im Zusammenhang mit Datenschutz: Newslettern und Email Marketing.
Zur Wiederholung
- In Cookie-Bannern, Pop-ups und dergleichen ist ein vorab eingestelltes Häkchen unzulässig.
- Rechtliche Anforderungen gelten auch, wenn Sie Daten ohne Personenbezug sammeln.
- Detaillierte Cookie Informationen und eine Liste von verwendeten Diensten ist mindestens in der Datenschutzerklärung notwendig.
- Eine Widerrufsmöglichkeit muss für den Nutzer vorhanden sein
- …
Detaillierte Erklärungen zu den einzelnen Punkten und mehr Maßnahmen, die zu treffen sind, finden Sie hier. An dieser Stelle ist es wichtig zu erwähnen, dass für diese Maßnahmen keine Schon- oder Übergangsfrist gilt, sie müssen sofort implementiert werden, ansonsten drohen hohe Strafen!
Einwilligung erforderlich
Ein, mittlerweile, klassisches Cookie-Panel oder Pop-up muss sich auf jeder Seite befinden, welche Dienste von Drittanbietern verwendet, Cookies setzt oder Daten sammelt. Folglich ist es also möglich, eine Website ganz ohne Cookie-Panel oder Cookie-Hinweis zu betreiben, wenn diese nur technisch notwendige Cookies verwendet und/oder keine externen, dritten Dienste eingebunden sind. Banal ausgedrückt, wenn die gesamte Website “im Haus” liegt.
Bei Newslettern und Email Marketing sieht der Sachverhalt ein wenig anders aus.
Da zum Beispiel das Eintragen einer Email Adresse zum Registrieren bei einem Newsletter als aktive, bewusste Handlung zählt, muss ein Newsletter nicht im Cookie Panel deklariert werden. Dies gilt nicht, wenn ein iFrame Ihres Mailing Anbieters in der Website integriert wird oder per default gesetzte Häkchen gesetzt sind, es sei denn ein bestehender Auftragsverarbeitsungsvertrag liegt vor. Bevor der Besucher seine Daten in einem Registrierungsformular absendet, muss dieser jedoch über den Zweck der Datenverarbeitung informiert werden.
Nebst Double-Opt-In, Widerrufsrecht und anderen, grundliegenden Datenschutzkriterien, unterscheidet sich der Rechtsgrundsatz hier zweiseitig: Kann sich der User für einen herkömmlichen Newsletter anmelden, wodurch er Angebote, Informationen und dergleichen erhält, ohne das ein Benutzerprofil angelegt werden muss, ist die vorherige Einwilligung nach § 7 Abs. 2 UWG erforderlich. Wird jedoch zu beispielsweise Werbe- und Analysezwecken ein Benutzerprofil angelegt, durch das etwa das Klickverhalten des Lesers getracked werden kann, liegt die Einwilligung dem Art. 6 der DSGVO (Einwilligung zur Datenverarbeitung) zugrunde.
In beiden Fällen sind aufklärende Absätze über die Verwendungszwecke, jeweils mit Links zu Datenschutzerklärung, Cookie Richtlinie und Impressum versehen, mit einer nicht ausgewählten Checkbox zum Einstimmen im Registrierungsformular notwendig. Hier ist genauso wichtig zu erwähnen, dass es keine Übergangsfristen gibt, wie am Anfang der DSGVO. Diese Maßnahmen sollten sich theoretisch bereits heute auf Ihrer Website befinden.
Sonderproblem Übersee
Nachdem gerade erst vor kurzem (16.07.2020) das Privacy Shield Abkommen durch den österreichischen Datenschutzaktivisten Max Schrems zu Fall gebracht wurde, haben Datenübertragungen in die USA momentan keine Rechtsgrundlage. Email Marketing Dienste wie Mailchimp mit Sitz in Georgia, USA, oder SurveyMonkey mit Sitz in Kalifornien sind dementsprechend zurzeit ohne bestehende Rechtsgrundlage nicht zu verwenden.
Dieses Urteil zieht sich noch viel weiter in die Ränge der Web Analyse Tools wie Google Analytics, Cloudanbieter wie Google Drive oder Dropbox und generelle soziale Medien mit Serverstandort in den USA, welche strikt rechtlich gesehen ebenfalls nicht zu verwenden sind. Hier ist der einzige Umweg einen Alternativanbieter mit Serversitz in der EU zu verwenden, um zu gewährleisten, dass zumindest die DSGVO als Rechtsgrundlage für die Verwendung anzuwenden ist.
Wir bei Connetation verwenden seit Jahren EU-ansässige Email Marketing Anbieter, die ebenfalls hohen Wert auf die Einhaltung der DSGVO setzen und arbeiten ständig an konformen Web Lösungen. Wenn auch Sie dem Drang nach Konformität nachkommen wollen oder müssen, beraten wir Sie gerne unverbindlich und erarbeiten gemeinsam einen Lösungsweg.