EU-DSGVO: Das schwarze Monster des E-Mail-Marketings?

Die Checkliste für E-Mail-Marketing und Leadgenerierung in Zeiten der DSGVO
MUUUH! DIGITAL — 24.05.2018

Thema: Insider

Die neue europäische Datenschutzgrundverordnung (DSGVO) sorgt schon seit einigen Monaten bei Online-Marketern für Nervosität. Können weiterhin Kunden mit E-Mail-Marketing erreicht werden, welche Informationen darf man nutzen und wie steht’s eigentlich um Google Analytics? Wir haben uns das mal angeschaut.

Das Tracken und Auswerten von personenbezogenen Kundendaten ist fester Bestandteil des Online-Marketings. Nur so können Anbieter von Dienstleistungen oder Produkten ihre Kunden kennenlernen und maßgeschneiderte Lösungen anbieten. In Zukunft prallen also zwei Interessen aufeinander: Die schützenswerte Privatsphäre der User auf der einen Seite, und das personalisierte Online-Erlebnis auf der anderen. Zurecht stellen sich Marketer daher die Frage: Wie kann man in Zeiten der DSGVO das Kaufverhalten studieren, das Angebot optimieren und dennoch die Privatsphäre der Nutzer respektieren?  

 

HIER GEHT`S ZUM QUANDOO CASE!

 

Hinweis: Dieser Artikel dient als Informations-Grundlage für kundenorientiertes Marketing in Zeiten der DSGVO und beruht auf unseren Einschätzungen. Er ersetzt dabei weder eine Rechtsberatung, noch ist er als Empfehlung für Ihre ganz individuelle Auslegung des geltenden Rechts. Bei komplexeren Fragen oder Anforderungen empfehlen wir, einen Fachmann aufzusuchen.

Die EU-DSGVO auf den Punkt gebracht

Bei der neuen DSGVO geht es im Kern darum, dem Nutzer mehr Bestimmungsgewalt darüber zu geben, was mit seinen Daten passiert. Personenbezogene Daten werden also besonders geschützt und auf das Nötigste minimiert. Der Schlüssel liegt in der Transparenz: User sollen wissen, warum ihre Daten gesammelt werden und wozu Unternehmen diese einsetzen. Mit einer ehrlichen Kommunikation erkennen Nutzer den Mehrwert der Datennutzung und willigen schneller in diese ein. Wie das geht? Wir zeigen es Ihnen.

Die Top 5 Fragen zur EU-DSGVO und E-Mail-Marketing

 

  1. Wen betrifft die europäische Datenschutzgrundverordnung?

Die neue DSGVO betrifft jedes Unternehmen, welches Daten seiner Kunden sammelt und damit arbeitet. Zwar können sich Betriebe unter 250 Mitarbeitern befreien lassen, allerdings nur unter bestimmten Auflagen: Sobald Sie einen Online-Shop betreiben, ein CRM-System oder Lohnabrechnungssysteme nutzen, sammeln Sie bereits personenbezogene Daten. Dabei geht es nicht nur um Leads oder Kunden – auch Mitarbeiter stellen Daten zur Verfügung. Egal ob Werbe-Newsletter oder Onsite-Banner wie individuelle Produktvorschläge: Als Unternehmen sind Sie verpflichtet, nach Einwilligung der Nutzer oder Arbeitnehmer deren Daten vor Cyberattacken zu schützen und vertrauensvoll mit ihnen umzugehen.

 

  1. Wann sind Daten personenbezogen?

Sobald gespeicherte Daten Rückschlüsse auf eine Person zulassen, gelten diese als personenbezogen und werden von der EU-DSGVO geschützt. Dabei reicht es schon, wenn die Daten theoretisch eine Person identifizieren könnten.

 

  • Klardaten: Name, Adresse, IP-Adresse, Kreditkartennummer, …
  • Demografische Daten: Geschlecht, Alter, Gehalt, sexuelle Orientierung, …
  • Verhaltensdaten: Kaufhistorie, Suchverlauf, gemerkte Produkte, …
  • Soziale Daten: Facebook, Instagram, Twitter, Blogs …
  • Daten aus Apps: z.B. Ernährungs- oder Fitness-Tracker
  • „User generated Content“: Vom Nutzer erstellte Bilder, Kommentare, Likes & Shares

 

Sogenannte Klardaten sind eindeutig personenbezogene Daten. Andere, wie zum Beispiel Verhaltensdaten, können auch anonymisiert verwendet werden. Allerdings können mehrere anonyme Daten in der Summe wieder als personenbezogen gelten.

Ein Beispiel: Ein Nutzer hat Ihnen für Ihren Premium-Content Name, Unternehmen und eine E-Mail-Adresse zur Verfügung gestellt, was ganz klar in die Kategorie der personenbezogenen Daten fällt. Aber auch wenn Sie nur das Unternehmen und die Position des Nutzers kennen, könnten Sie theoretisch erfahren, um wen es sich handelt. Diese Möglichkeit allein reicht aus, um den anonymen Status zu verlieren.

 

  1. Wann sind Daten anonym?

Erst, wenn Daten absolut keine Rückschlüsse auf den Nutzer zulassen, sind sie anonym und können problemlos genutzt werden. Anders ist es bei pseudonymisierten Daten: Durch die Verschlüsselung von IP-Adressen oder anderem können Daten losgelöst vom User genutzt werden. Da die Daten aber grundsätzlich zugeordnet werden könnten, gelten sie schon jetzt als personenbezogen. Empfehlenswerter ist es daher, sich auch bei einem berechtigten, unternehmerischen Interesse (mehr dazu in Punkt 4) die Einwilligung des Nutzers zu sichern.

Sie möchten weder mit anonymen, noch mit pseudonymisierten Daten arbeiten? Eine personalisierte Auswertung dürfen Sie nur dann vornehmen, wenn Sie den Nutzer ganz konkret vorher darauf hinweisen und dieser sein Einverständnis gibt. Dabei muss dem User genau gesagt werden, welche Daten zu welchem Zweck gesammelt werden. 

 

Speziell beim Arbeiten mit Google Analytics sollten Sie aufpassen: Verwenden Sie ausschließlich anonymisierte (nicht pseudonymisierte) Daten und schließen Sie einen Vertrag zur Auftragsdatenverarbeitung (ADV) ab. 

 

Blogpost_DSGVO_Grafik1

 

  1. Wann können Daten gespeichert und verarbeitet werden?

Grundsätzlich haben Sie zwei Möglichkeiten, um personenbezogene Daten zu nutzen: Bei der ersten holen Sie sich die ausdrückliche Erlaubnis des Users. Beim Newsletter-Versand wäre das die Double-Opt-In Lösung, welche wir weiter unten noch genauer beschreiben. Onsite könnten Sie über Banner die Einwilligung des Nutzers abfragen. (Achtung: Das Kästchen darf nicht vorangekreuzt sein.)

Bei der zweiten Option berufen Sie sich auf „berechtigte, unternehmerische Interessen“. Diese sind allerdings gesetzlich noch nicht klar definiert und damit mit Vorsicht zu behandeln.

Ein Beispiel: Ein Online-Händler benötigt die Adressdaten seiner Nutzer, um ihnen die bestellte Ware liefern zu können. Und nicht nur das: Er muss die Lieferadresse auch an den Spediteur weitergeben dürfen. Dies ist ein berechtigtes, unternehmerisches Interesse. Ebenso benötigt ein Telefonanbieter Ihre Anschrift, um den Telefonanschluss freizuschalten.

Nur wenn Sie absolut sicher sind, dass die Daten als anonym gelten, können Sie sie auch ohne Einwilligung verarbeiten. Wie und wann User Einwilligungen zur Speicherung Ihrer Daten geben, muss genau protokolliert werden. Überprüfen Sie hierzu Ihr CRM-System – moderne Tools können dies automatisiert erledigen.

 

  1. Wann sind Daten zweckgebunden?

Die Zweckbindung ist ein wichtiger Grundsatz der DSGVO. Es dürfen nur die Daten gesammelt werden, welche einem konkreten, dem Nutzer bekannten Zweck dienen. Wenn Sie beispielsweise im B2B-Bereich dem Kunden einen Rückruf anbieten, benötigen Sie Name und Telefonnummer – nicht aber eine Adresse. Die Speicherung auf Vorrat wird damit schwieriger.

 

Europäische Datenschutzgrundverordnung:
Tipps für Ihr E-Mail-Marketing

 

Für die meisten Unternehmen dürfte sich beim Thema E-Mail-Marketing und Newsletter-Versand nicht allzu viel ändern. Auf der sicheren Seite sind Sie in jedem Fall mit dem Double-Opt-In Prozess: Der Nutzer klickt zunächst auf der Website ein Häkchen zur Einwilligung des Newsletter-Empfangs und muss dann in einer separaten Bestätigungsmail sein Ok geben. Damit sind Sie nicht nur rechtlich abgesichert, Sie verhindern auch, dass sich Fake-Adressen in Ihr System einschleichen. Legen Sie vor Versand des Mailings genau fest, zu welchem Zweck Sie dies tun. Denn ein unzureichender oder nur vager Zweck Ihrer E-Mail kann unter Umständen gegen Sie verwendet werden.

Was Sie dabei beachten müssen:

 

  • Der Nutzer muss selbst aktiv werden: Die Checkbox für die Einverständniserklärung darf nicht vorausgefüllt sein.
  • Double-Opt-In: Die Anmeldung muss nochmals bestätigt werden. Hierfür nutzt man in der Regel eine Bestätigungs-Mail, in welcher ein Link geklickt werden muss
  • Opt-Out: Der Nutzer muss sich jederzeit vom Newsletter abmelden können. Diese Möglichkeit muss ebenso simpel gestaltet sein wie die Opt-In Lösung.
  • Kein Zwang: Die Anmeldung muss absolut freiwillig sein und darf nicht zwingend für eine Leistung erforderlich sein.
  • Inhalt: Informieren Sie genau darüber, welche Art Mailings die Kunden erhalten werden (z.B. regelmäßige Shop-Angebote, Branchennews, …)
  • Recht auf Vergessen: Auf Wunsch des Nutzers müssen Sie die gesammelten Daten löschen können.
  • Lauterkeitsrecht: Die Werbung muss immer in Einklang mit dem Produkt / der Dienstleistung stehen, für welche die Berechtigung gegeben wurde. Wenn Sie eine Berechtigung für Newsletter zu einem Mode-Onlinehändler haben, dürfen Sie nicht anschließend Werbung für Kfz-Versicherungen versenden.
  • Datenminimierung: Sammeln Sie nur jene Daten, welche für den speziellen Zweck, für den der User eingewilligt hat, relevant sind.

  

Wenn Sie verschiedene Themen-Buckets anbieten

Viele Unternehmen versenden Newsletter zu unterschiedlichen Themen.
Beispielsweise bietet ein Mode-Onlinehändler verschiedene Mailings zu Themen wie den persönlichen Merklisten, Sales und Angeboten oder aktuellen Trends an. Mit der neuen EU-DSGVO müssen Sie nun für jede Kategorie, in der Sie Mailings versenden, eine Einwilligung einholen. Einfach ausgedrückt wäre das ein Kästchen pro Themen-Bucket, welches der Kunde ankreuzen muss.

Herausforderungen für die Leadgewinnung

Jede Customer Journey hat das Ziel, den Kunden ohne Absprung-Hürden in die Conversion zu leiten. Das lange Abfragen nach Erlaubnissen stellt dabei ein von Marketern ungeliebtes Hindernis dar. Umso wichtiger ist es, dass Sie die Message, mit welcher Sie den Kunden um Einwilligung bitten, nicht stiefmütterlich behandeln. Schließlich wollen Sie auch mit diesem Element etwas erkaufen: nämlich Daten, mit denen Sie Ihre Analysen füttern können. Ein ansprechendes Design und ein überzeugender Text sind daher ein Muss.

Die Einwilligung attraktiv machen

Das Wörtchen „damit“ hat eine starke, psychologische Bedeutung. Wir kommen gerne dem Wunsch anderen nach, solange wir nur wissen, warum. Dieses Prinzip können Sie sich zunutze machen: Erklären Sie in wenigen, verständlichen Worten, warum Sie Daten sammeln und was Sie damit beabsichtigen. Ein paar Beispiele:

  • … damit wir Ihr Shopping-Erlebnis noch persönlicher gestalten können.
  • … damit wir Ihnen die neusten Insider- und Branchen-News per Mail zukommen lassen können.
  • … damit Sie Ihr Kundenkonto bequem online verwalten können.
  • … damit Ihre Lieferdaten vorgespeichert sind und Sie Zeit sparen.

 

Beispiel einer Bestätigungs-Mail:

Blog_DSGVO_Rose_Beispiel

 

Kein Kunde möchte seine Daten hergeben, ohne einen Mehrwert zu erhalten. Wenn Sie das begründen können, dem Nutzer also die Vorteile der Speicherung aufzeigen, dann werden Sie in der Regel eine Zustimmung erhalten. Versuchen Sie dabei, in der Message den firmeneigenen Stil beizubehalten. Rechtliche Angaben müssen natürlich standardgemäß formuliert sein – aber eine persönliche Ansprache oder eine Gestaltung im Corporate Design können die Nachricht aufwerten. Teasern Sie diesen Mehrwert auch schon mal an: Beim Newsletter können Sie erste Themen vorstellen oder beim Onsite-Erlebnis zeigen, wie eine personalisierte Darstellung aussieht.
Auch hier gilt: Alle Eintragungen müssen protokolliert werden und müssen auf Wunsch des Nutzers gelöscht werden können (Recht auf Vergessen). Der User muss dazu genau darüber belehrt werden, zu welchem Zweck seine Daten gesammelt werden.

Was geschieht mit bestehenden Kunden?

Die europäische Datenschutzgrundverordnung unterscheidet nicht zwischen neuen Leads und Bestandskunden. Die Grundregel ist daher simpel: Haben Ihre Kunden auch in der Vergangenheit ausdrücklich dem Erhalt von Newsletter und Mailings zugestimmt, und falls Ihr Prozess schon zuvor DSGVO-konform war, dann haben Sie nichts weiter zu tun. Sollte das jedoch nicht der Fall sein oder sollten Sie sich nicht ganz sicher sein, dann versenden Sie eine Mail an alle Kunden und bitten Sie um erneute Freigabe.
Haben Sie in der Vergangenheit Adresslisten eingekauft? Wenn Sie hier nicht handeln, drohen Abmahnungen und hohe Bußgelder. Allein die Speicherung dieser Daten stellt einen Verstoß dar, auch wenn Sie keinerlei Mails an diese Personen versenden.

Premium-Content: wenn Sie mehr zu bieten haben

Premium-Content wird oftmals mit einer Permission-Schranke versehen. Das heißt, um einen besonders attraktiven Artikel oder ein Whitepaper von Ihnen herunterzuladen, muss der Nutzer einige Daten von sich preisgeben. Aber ist das noch zulässig?

Im B2C-Bereich sollten Sie möglichst auf Permission-Schranken verzichten, denn grundsätzlich gilt die Regel: Die gesamte Website muss zugänglich sein, ohne dass der Kunde Daten von sich preisgeben muss. Die Frage nach einer Telefonnummer ist beispielsweise in den meisten Fällen unzulässig.

Im B2B-Bereich kann Premium-Content weiterhin genutzt werden. Fordern Sie allerdings nur jene Daten an, welche Sie im Sinne der Zweckmäßigkeit rechtfertigen können. Der Name und Position des Nutzers können zum Beispiel die nachfolgende Kommunikation für beide Seiten vereinfachen. Weitere Daten können Sie immer noch als optional anbieten.

Fazit

Der Leitsatz „Der Kunde ist König“ hat es nun auch in den Datenschutz geschafft und so gilt beim Thema E-Mail-Marketing und Leadgenerierung: Behalten Sie stets die Wünsche Ihrer User im Blick. Sofern Sie nicht aufgrund berechtigter, unternehmerischer Interessen handeln, müssen Sie eine klare Einwilligung Ihrer Nutzer einholen, bevor Sie mit deren Daten arbeiten.

Im B2C-Bereich sollten Kunden jeden Bereich der Website ohne die Eingabe von Kundendaten erreichen können, Newsletter per Double-Opt-In bestätigen und jederzeit ihre Daten löschen können. Im B2B-Bereich ist dies ähnlich, allerdings können hier schneller unternehmerische Interessen geltend gemacht werden.
Außerdem müssen alle Schritte protokolliert und dem User auf Wunsch zugänglich gemacht werden können. In Deutschland wurde das Thema Datenschutz auch zuvor streng geregelt. Wer den früheren Anforderungen gerecht wurde, für den ist die Umstellung auf die neue DSGVO kein großes Hindernis. Anders bei Unternehmen, welche sowohl zur Leadgenerierung wie auch zum Mitarbeiter-Management Daten sammeln oder welche mit sensiblen Daten wie Gesundheitsdaten umgehen: Hier kann die Umstellung durchaus zeitintensiv werden.  
In jedem Fall sollten Sie das Thema Datenschutz ernst nehmen und detailliert umsetzen – denn bei Missachtung können nach neuem Recht Strafen von bis zu 20 Millionen € oder 4% des weltweiten Jahresumsatzes betragen!

 

Welche Schritte Sie jetzt für ein erfolgreiches und DSGVO-konformes E-Mail-Marketing einleiten sollten? In unserer kostenfreien Checkliste zum Download zeigen wir es Ihnen!  

 

HIER GEHT`S ZUM QUANDOO CASE!

Frida Besser

Texter & Konzeptioner I MUUUH! Digital