DSGVO im B2B-Newsletter-Marketing – so schaffst du Rechtssicherheit
Der Nutzung und Analyse personenbezogener Daten kommt im Newsletter-Marketing eine zentrale Rolle zu. Datenschutz-Experte Dr. Stephan Gärtner erklärt, in welcher Form eine solche Datenverarbeitung für werbliche Zwecke zulässig ist.
Datenverarbeitung für Newsletter-Marketing nur auf bestehender Rechtsgrundlage
Für die Verarbeitung personenbezogener Daten, zum Beispiel beim Newsletter-Marketing, bilden das Datenschutzrecht mit der Datenschutz-Grundverordnung (DSGVO) und das Wettbewerbsrecht den gesetzlichen Rahmen. Sie regeln, wie Unternehmen mit den Daten – von der Erhebung über die Nutzung und Auswertung bis hin zur Löschung – umzugehen haben und sehen etwa im Falle einer Verletzung der Datenschutzrechte von EU-Bürgern teils empfindliche Sanktionen vor.
„Sowohl nach dem Datenschutzrecht als auch nach dem Wettbewerbsrecht besteht für den kompletten Prozess der Datenverarbeitung immer die Notwendigkeit einer Rechtsgrundlage“, erklärt der Rechtsanwalt und zertifizierte Datenschutzbeauftragte Dr. Stephan Gärtner, Mitbegründer und Partner der Berliner Kanzlei STANHOPE. Demnach können beispielsweise Unternehmen personenbezogene Daten für ihr Newsletter-Marketing nur dann speichern und nutzen, wenn es sich um qualifizierte Kontakte (Leads) handelt. „Die Qualifizierung von Leads bedeutet, dass man eine Rechtsgrundlage geschaffen hat, auf deren Basis man die Daten entsprechend verwenden kann. Dies erfolgt entweder über eine aktive Einwilligung für die werbliche Ansprache oder indem sich Unternehmen auf ein sogenanntes berechtigtes Interesse stützen“, so Gärtner.
Newsletter-Marketing & DSGVO: Unterscheidung zwischen B2B- und B2C-Kontakten
Welche Rechtsgrundlage für die Datenverarbeitung angewandt werden kann, hängt maßgeblich von der Art der zu qualifizierenden Leads ab. „Während bei B2C-Kontakten aufgrund des Datenschutzrechts in der Regel eine Einwilligung für die werbliche Ansprache benötigt wird, sind im B2B-Verkehr sehr viel mehr Fälle denkbar, in denen sich Unternehmen auf ein berechtigtes Interesse stützen können und keine Einwilligung einholen müssen“, macht Gärtner deutlich.
Wichtig: Sowohl nach dem Wettbewerbs- als auch nach dem Datenschutzrecht sind die betroffenen Personen bereits zum Zeitpunkt der Erhebung, etwa in Form einer Kundendatenschutz-Erklärung, transparent darüber zu informieren, welche Daten erhoben und wofür sie verwendet werden. Dieser Grundsatz gilt für die Einwilligung und das berechtigte Interesse gleichermaßen.
„Viele Unternehmen begehen in diesem Zusammenhang allerdings den Fehler, ihre Verwendungsmöglichkeiten für die gesammelten Daten unnötig einzuschränken“, weiß Gärtner. „Beschränkt sich die Datenschutzerklärung etwa nur auf den Versand von B2B-Newslettern, ist alles ausgeschlossen, was darüber hinaus geht, also eine Auswertung des Leseverhaltens, Follow-up-Mails und sogar der Einsatz externer Versandtools wie Mailchimp oder Hubspot. Zum Zeitpunkt der Erhebung sollten daher alle Möglichkeiten der geplanten Nutzung, auch über die reinen Newsletter-Kampagnen hinaus, transparent gemacht werden“, rät der Datenschutzexperte.
Grenzfall: Profiling
Für die Wahl der Rechtsgrundlage zur Datenverarbeitung ist zudem entscheidend, ob im Rahmen der personenbezogenen Datenanalyse ein sogenanntes Profiling zum Einsatz kommen soll. Nach Artikel 4 Nr. 4 DSGVO fällt unter Profiling jede Art der der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte zu analysieren, zu bewerten oder vorherzusagen. „Zwar können sich Unternehmen auch beim Profiling auf ihr berechtigtes Interesse stützen, allerdings nur unter besonders strikten Voraussetzungen. Je weiter man die individualisierte Nutzungsauswertung vorantreiben will, desto schwieriger wird es, sich auf das berechtigte Interesse zu berufen“, betont Gärtner.
Auftrag zur Datenverarbeitung für die Zusammenarbeit mit externen Agenturen
Soll das Newsletter-Marketing über eine externe Agentur erfolgen, ist in der Regel der Abschluss eines Auftrags zur Datenverarbeitung (ADV) erforderlich, damit die Agentur ausführend tätig werden kann. Im Rahmen eines formalen Vertrags regeln die Parteien die Weitergabe und zweckbestimmte Verarbeitung der Daten unter Einhaltung der Datenschutzvorgaben und gesetzlichen Bestimmungen. „Hat die externe Agentur ihren Sitz außerhalb der Europäischen Union, muss der Auftraggeber eine Garantie einholen, dass sich der Dienstleister auch an europäisches Datenschutzrecht hält“, ergänzt der 36-jährige.
Welche Strafen drohen im Newsletter-Marketing bei Missachtung der gesetzlichen Bestimmungen?
Unternehmen, die sich nicht an die Vorgaben der DSGVO halten, müssen mit teils empfindlichen Sanktionen rechnen. Im Höchstfall drohen bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
„In der Praxis spielen bei der Festlegung von Sanktionen vor allem Verhältnismäßigkeitserwägungen der Aufsichtsbehörden eine wesentliche Rolle. Die Hürde, die man nehmen muss, um überhaupt eine Geldbuße zu zahlen, ist relativ hoch, insbesondere, wenn man sich bei einem Fehler kooperativ zeigt. Rekordbußgelder wie die 14,5 Millionen Euro gegen die Deutsche Wohnen oder die 50 Millionen Euro gegen Google in Frankreich sind bislang eher Einzelfälle“, weiß Gärtner zu berichten.
Neben möglichen Geldbußen kann es aber auch zu unangenehmen Abmahnungen kommen. Zwar fallen die einzelnen Beträge meist deutlich geringer aus, können sich je nach Abmahnhäufigkeit aber erheblich summieren. „Hinzu kommen mögliche Imageschäden durch Datenschutzverstöße, die sich negativ auf das Kundenvertrauen und die weitere geschäftliche Entwicklung auswirken“, so Gärtner.
Chancen der DSGVO für das Newsletter-Marketing nutzen
„Über die Herstellung von Transparenz direkt bei der Erhebung bietet die DSGVO Unternehmen die große Chance, ein enges Vertrauensverhältnis zu ihren Kunden aufzubauen“, ist Gärtner überzeugt. Im Ergebnis steigt auch die Qualität der erhobenen Daten. So lassen sich mit hochwertig qualifizierten Verteilern tatsächlich an Produkten oder Dienstleistungen interessierte Kunden zielgenau ansprechen und höhere Conversion-Rates erzielen.
„Viele vorteilhafte Instrumente der DSGVO werden bislang allerdings noch nicht oder nur unzureichend genutzt“, erläutert Gärtner. „So bietet die DSGVO sehr viele Chancen, mit einfachen Mitteln in Abstimmung mit den Aufsichtsbehörden umfassende Rechtssicherheit zu schaffen, etwa im Rahmen der grenzüberschreitenden Datenverarbeitung oder für die Zusammenarbeit mit Nicht-EU-Unternehmen.“