Interview mit Nico Zorn: Was man im Zuge der DSGVO im E-Mail-Marketing unbedingt beachten sollte

Neben der Auswahl eines datenschutzkonformen Versandsystems, ist das vor allem ein juristisch geprüfter Anmeldeprozess, bei dem vom Interessenten ein Werbeeinverständnis (Opt-In) eingeholt werden muss. Doch auch der Abmeldeprozess sollte regelmäßig überprüft werden.

Die DSGVO ist in aller Munde – was genau bedeutet die neue Datenschutzgrundverordnung für das E-Mail-Marketing? Was verändert sich dadurch?

Mit Blick auf die juristischen Aspekte hat sich im Zuge der DSGVO tatsächlich nicht besonders viel verändert: Wie zuvor wird ein Werbeeinverständnis (Opt-In) für den Versand von Marketing E-Mails benötigt, das entsprechend dokumentiert werden muss und von den Empfängern jederzeit widerrufen werden kann (Opt-Out). Was sich verändert hat sind die möglichen Bußgelder, die bei Verstößen gegen die DSGVO verhängt werden können. Ob und wenn ja in welchen Szenarien der Gesetzgeber den Rahmen voll ausschöpft („bis zu 20 Millionen Euro“) bleibt abzuwarten, dennoch sind die Risiken natürlich größer geworden.

Andererseits, und das ist aus Sicht des Online-Marketing die positive Perspektive, sehen wir, dass sich Unternehmen aufgrund der DSGVO intensiver Gedanken um die Themen CRM und E-Mail-Marketing machen. Plötzlich werden signifikante Budgets für Strategie, Technik und die operative Umsetzung bereitgestellt, weil Unternehmen erkannt haben, dass technische „Bastellösungen“ auch datenschutzrechtlich zu Problemen führen – beispielsweise dann, wenn niemand mehr nachvollziehen kann, wann und wie Daten erhoben wurden, weil sie ständig manuell von einem System zum anderen importiert und exportiert werden.

Insofern findet gerade eine zunehmende Professionalisierung des E-Mail-Marketing statt, die auf der operativen Ebene neue Möglichkeiten eröffnen wird, etwa weil sich die Datenqualität verbessert.

Worauf muss ich achten, damit mein E-Mail-Marketing datenschutzkonform ist?

Im ersten Schritt sollte geprüft werden, ob das eingesetzte Versandsystem den datenschutzrechtlichen Anforderungen genügt. E-Mail-Marketing-Systeme aus den USA können in diesem Zusammenhang beispielsweise problematisch sein, wenn sie die Daten außerhalb der EU speichern. Darüber hinaus muss ich mit dem System beispielsweise in der Lage sein, die vorgeschriebenen Dokumentationspflichten zu erfüllen:

• Wann wurde ein Opt-In generiert? Auf welchem Weg?
• Welche Version der Datenschutzerklärung kam zum Einsatz?
• Wann wurde die Opt-In Mail verschickt und wann wurde sie bestätigt?
• Und werden Daten vollumfänglich gelöscht, wenn sich ein Abonnent abmeldet?

Einige E-Mail-Systeme haben hier leider noch gewaltigen Nachholbedarf.

Im nächsten Schritt sollten sämtliche Anmeldeprozesse juristisch geprüft werden. Wichtig ist hier beispielsweise, dass bei einem Newsletteranmeldeformular lediglich die E-Mail-Adresse als Pflichtfeld abgefragt wird. Darüber hinaus muss der Interessent über sein Widerrufsrecht, die Datenschutzerklärung und eine etwaige personenbezogene Auswertung des Reaktionsverhalten informiert werden. Hierfür würde ich nach Möglichkeit einen Juristen hinzuziehen, da falsche oder fehlende „Opt-In Klauseln“ zu Problemen führen können.

Nicht zuletzt muss natürlich vor einem Versand sichergestellt werden, dass tatsächlich von jedem Empfänger ein eindeutiges Einverständnis vorliegt und dieses Opt-In auch entsprechend dokumentiert ist. Das hört sich nach viel Arbeit an, aber letztendlich führt kein Weg daran vorbei, die Prozesse einmal sauber aufzubauen – anschließend kann man sich dann aber größtenteils auf das operative Marketing konzentrieren.

Hier findest Du eine Anleitung für rechtssicheres E-Mail-Marketing 

Bei aller Rücksicht auf die DSGVO bleibt bei vielen Unternehmen die Angst davor, versehentlich einen Fehler zu machen: Was darf ich, im Hinblick auf die DSGVO, auf keinen Fall tun?

Ich kann nur dringend davon abraten, E-Mails an Empfänger zu schicken, von denen kein eindeutiges Werbeeinverständnis vorliegt. In diesem Zusammenhang sollte auch der Abmeldeprozess (Opt-Out) regelmäßig, beispielsweise einmal im Quartal, mit einer Testadresse geprüft werden.

Im Rahmen unserer Arbeit stoßen wir immer wieder auf nicht funktionierende Abmeldelinks oder fehlerhaft aufgebaute Prozesse: Der Empfänger hat sich längst abgemeldet und wird dennoch erneut beschickt, beispielsweise weil Daten in unterschiedlichen Systemen vorgehalten und nicht zuverlässig abgeglichen werden.

Auch mit Blick auf die DSGVO sollte zudem der Versanddienstleister sehr sorgfältig ausgewählt werden. Hier würde ich mir unbedingt Zeit für eine ausführliche Evaluierung nehmen und anhand der im Vorfeld definierten Kriterien ein für mich passendes System auswählen. Ein wichtiges Kriterium muss dabei natürlich auch der Datenschutz sein: Welche Anstrengungen unternimmt der Dienstleister um die Daten zu schützen? Werden die Mitarbeiter regelmäßig geschult? Mit welchen Maßnahmen wird der Zugang zu dem System vor unberechtigten Zugriffen geschützt (z.B. Zwei-Faktor-Authentifizierung, Session-Cookie oder definierte IP-Bereiche)? Letztendlich muss man sich darüber im Klaren sein, dass man dem Versanddienstleister zahlreiche Kundendaten anvertraut – ein Hack kann hier natürlich fatale Konsequenzen haben.

Ein absolutes „No Go“ ist natürlich auch der Ankauf von E-Mail-Adressen, da ein Werbeeinverständnis nicht veräußert werden kann. Von entsprechenden Angeboten sollte Abstand genommen werden, auch wenn sie auf den ersten Blick attraktiv wirken.

Wie kann ich datenschutzkonform Adressen für meinen E-Mail-Newsletter gewinnen? Hast Du neue Ideen?

Wir empfehlen, sämtliche Touchpoints für die Adressgewinnung zu erschließen. Neben der Website bieten sich beispielsweise Kanäle wie das Telefon, Kundenmagazine, der Außendienst oder Veranstaltungen an. Wichtig ist, dass jeder neue Abonnent – unabhängig von dem Kanal – über sein Widerrufsrecht informiert wird und den Double Opt-In Prozess durchläuft, seine Adresse also mit der Zusendung einer Bestätigungsmail verifiziert wird.

Rufe ich beispielsweise bei meiner Versicherung an, um meine Postanschrift ändern zu lassen, könnte mich die Versicherung bei der Gelegenheit fragen, ob ich künftig Informationen per E-Mail erhalten möchte und mir unmittelbar nach dem Telefonat die Opt-In Mail schicken, die ich dann nur noch mit einem Klick auf den entsprechenden Link bestätigen muss. Gute Erfahrungen haben wir auch mit der Adressgewinnung über den Außendienst gemacht. Die Kolleginnen und Kollegen können hierfür beispielsweise mit einem Tablet PC ausgestattet werden, um das Werbeeinverständnis unkompliziert direkt im Kundengespräch zu erheben und entsprechend zu dokumentieren.

Übergeordnet muss natürlich zunächst die Frage beantwortet werden, warum die Kunden und Interessenten das Werbeeinverständnis überhaupt erteilen sollten. Abonnenten erhalten möglicherweise Zugang zu exklusiven Informationen. Diese Vorteile müssen eindeutig kommuniziert werden – die einfache Aufforderung „Fordern Sie unseren Newsletter an“ reicht nicht mehr aus, schließlich erhält jeder von uns schon genug E-Mails.

Über Nico Zorn

Nico Zorn ist Mitgründer und Partner bei saphiron digital strategy consultants. Zorn ist seit 1999 in der digitalen Wirtschaft tätig und beschäftigt sich schwerpunktmäßig mit den Themen E-Mail-Marketing, CRM und Customer Loyalty. Vor der Gründung der Saphiron GmbH verantwortete Nico Zorn von 2004 bis 2008 das Online-Marketing bei einem mittelständischen Softwarehersteller in Bonn. In dieser Funktion war er maßgeblich an dem Aufbau des Geschäftsbereichs E-Mail-Marketing und der Vermarktung einer E-Mail-Marketing-Software beteiligt. Seit 2003 veröffentlicht er den Branchendienst EmailMarketingBlog.de und publiziert regelmäßig Fachartikel und Gastkommentare.