Bildnachweis: Screenshot von Gesetze im Internet/BDSG

MailChimp, CleverReach & Co.

Die Fallen beim Newsletter-Versenden

Newsletter-Dienstleister werden gerne genutzt, um damit den Kontakt zu den eigenen Kunden und Interessenten zu halten. Aber kaum einer schafft das, ohne dabei mit dem Gesetz in Konflikt zu kommen.

Sie nutzen einen Cloud-basierten E-Mail- oder Newsletter-Dienstleister.

Dann habe ich eine Bitte vorab!

Ich habe zum Inhalt dieses Artikels eine kleine Umfrage vorbereitet. Ich freue mich, wenn Sie vor dem Lesen des Artikels 3 Fragen beantworten.

Die Umfrage öffnet in einem neuen Fenster, so dass Sie danach einfach durch Schließen des Browser-Fensters der Umfrage wieder hierhin zurückkommen.

Vielen Dank!
Richard Schieferdecker

Sorry!

Erst mal bitte ich um Entschuldigung!

Und zwar alle, denen ich in den letzten Wochen und Monaten mit – durchaus auch als unfreundlich wahrnehmbaren – Fragen nach ihrem Umgang mit dem Datenschutz und meiner Forderung nach einem öffentlichen Verfahrensverzeichnis auf die Füße getreten bin.

Sorry dafür, aber ich wollte meine Anfragen so „echt“ wie möglich aussehen lassen.

Die Reaktionen auf meine Anfragen waren – mit drei Ausnahmen – absolut professionell.

Worum geht es mir und worum nicht

Manch einem mögen meine Anfrage als die eines sehr datenschutzbesorgten Menschen vorgekommen sein.

Dem ist nur bedingt so.

Ich bin mir sehr wohl darüber bewußt, was ich mit meinen Daten im Internet mache.

Und mir ist auch klar, was passiert, wenn ich meinen Namen und meine Mailadresse in einen Newsletter-Verteiler eintrage.

Mir ist dabei auch egal, ob ich mich auf die Aussagen der Anbieter verlassen kann. Zum Beispiel, dass sie meine Daten nicht an Dritte weitergeben. Die Spamfilter funktionieren inzwischen relativ gut und einen Newsletter filtere ich im Zweifel lieber serverseitig in den vituellen Papierkorb, als dass ich mich aus dem Verteiler austrage.

Mir geht es um die Frage, was der Datenschutz eigentlich für Konsequenzen für den Anbieter des Newsletters hat.

Also für uns alle, die wir heute dafür i. d. R. die Dienste von MailChimp, CleverReach & Co. in Anspruch nehmen.

Was dieser Artikel ganz bestimmt nicht ist

Bei einem Thema, das auch etwas mit juristischen Problemen zu tun hat, erkläre ich hiermit ausdrücklich: Bei meinem Beitrag handelt es sich nicht um eine rechtliche Beratung. Wenn Sie diese Fragen genau geklärt haben wollen, fragen Sie bitte den Anwalt Ihres Vertrauens.

Die Herausforderungen beim Umgang mit Newsletter-Dienstleistern

Wenn ich in meinem Unternehmen einen Newsletter-Dienstleister einsetze, geht es um die Verarbeitung von personenbezogenen Daten. Und damit kommt für Unternehmen in Deutschland – und nur für die sind die Ausführungen in diesem Blogartikel relevant – das Bundesdatenschutzgesetz (BDSG) in Spiel.

Was sind personenbezogene Daten?

Personenbezogene Daten definiert das Gesetz in § 3, Abs. 1 als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

In unserem Zusammenhang sind das z. B. der Name, die Mailadresse oder die IP-Adresse, von der aus ich auf eine Webseite zugreife.

Dazu gehören aber auch alle Informationen, mit denen sich ein Profil über eine Person erstellen lassen. Dazu gehört z. B., wer wann in einem personalisierten E-Mail-Newsletter auf welchen Link geklickt hat.

Was ist bei der Arbeit mit personenbezogenen Daten zu beachten?

Wer bei uns personenbezogene Daten erheben, verarbeiten oder nutzen will, braucht dafür i. d. R. die Einwilligung des Betroffenen (BDSG § 4, Abs. 1).

Und er muss „einen Sack voll“ weiterer Regeln beachten!

Das gilt insbesondere, wenn ich die Daten nicht in Eigenregie verarbeite – mich dafür also eines Dienstleisters bediene.

Ja, es gibt auch entsprechende Software, die man auf eigenen Rechnern einsetzen kann. In der Regel ist das aber nicht ganz so einfach.

Hier kommen dann die diversen Cloud-basierten E-Mail-Marketing- und Newsletter-Dienstleister ins Spiel. Nachfolgend nenne ich mal exemplarisch Vertreter aus verschiedenen geographischen Kontexten – warum das relevant ist, erkläre ich später.

Was ist das Problem?

Ich sehe hier insbesondere drei Aspekte, bei denen mir aus unternehmerischer Sicht Ungemach drohen kann:

  1. Habe ich alles getan, damit ich die Daten meiner Interessenten und Kunden bei einem Newsletter-Dienstleister verarbeiten darf?
  2. Habe ich bei den Einstellungen des Newsletter-Dienstleisters dafür gesorgt, dass ich mich gesetzeskonform verhalte?
  3. Kann ich meinen Informationspflichten gegenüber den Betroffenen, der Öffentlichkeit und den Behörden nachkommen?

Das Risiko, das ich dabei eingehe, ist zweierlei:

  1. Ein Betroffener beschwert sich beim zuständigen Landesbeauftragten für Datenschutz darüber, dass ich nicht alle gesetzlichen Regelungen eingehalten habe. Stimmt das, drohen Bußgelder bis zu 50.000 €.
  2. Ein Mitbewerber versteht meinen unzureichenden Umgang mit dem BDSG als unlauteren Wettbewerbsvorteil und mahnt mich ab wegen Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG), hier insbesondere § 4, Abs. 11.

Für beide Risiken gibt es inzwischen eine ausreichende Zahl von Beispielen.

Falle 1: Die Vereinbarung zur Auftragsdatenverarbeitung

Wenn ich personenbezogene Daten automatisiert – also durch den Einsatz von IT – durch Dritte verarbeiten lasse, bin ich dafür verantwortlich, dass der Dritte das Bundesdatenschutzgesetz einhält (BDSG § 11, Abs. 1).

Für große Unternehmen ist das schon nicht einfach. Für kleine Anbieter von Newslettern ist es schlicht unmöglich.

Daher sieht das Gesetz für die Zusammenarbeit mit Datenverarbeitern, die ihren Hauptsitz in Deutschland bzw. der EU haben, eine Vereinfachung vor: Die sogenannte Vereinbarung zur Auftragsdatenverarbeitung (BDSG § 11, Abs. 2).

Dabei handelt es sich um einen schriftlich zu schließenden Vertrag, in dem sich der Auftragnehmer (der Datenverarbeiter) verpflichtet, die Daten des Auftraggebers (Sie) gemäß den Regelungen des BDSG zu verarbeiten.

Mit den deutschen bzw. europäischen Newsletter-Dienstleistern lassen sich solche Verträge ohne größere Probleme schließen.

Mit CleverReach habe ich es selbst gemacht. Da reicht eine entsprechende Mail mit der Bitte um die Vertragsvorlage an support@cleverreach.de. Dann füllt man auf einer der hinteren Seiten aus, welche Informationen man in CleverReach verarbeiten will (Name, Vorname, Titel, E-Mail, Geschlecht, etc.) und mailt das Dokument zurück. Einige Tage späte hat man zwei unterschriebene Exemplare in der Post, von denen man eines mit eigener Unterschrift zurückschickt.

Bei Klick-Tipp hatte ich das ebenfalls angefragt. Dort kann (Stand Anfang August 2015) die Vereinbarung zur Auftragsdatenverarbeitung als optionales Feature zum einmaligen Preis von 49,95 € dazugebucht werden. Das hat mich dann doch etwas amüsiert. Aber so kann man das halt machen, wenn man seinen Sitz außerhalb von Deutschland hat. Dann ist ein für ein deutsches Unternehmen notwendiger Vertrag ein kostenpflichtiges optionales Feature.

Safe Harbor

Schwieriger wird es, wenn der Newsletter-Dienstleister seinen Hauptsitz außerhalb der EU in einem sogenannten unsicheren Drittstaat hat. Und die USA zählen da grundätzlich dazu.

Hier geht der vereinfachte Weg über die Vereinbarung zur Auftrgsdatenverarbeitung nicht. Ich muss selber dafür Sorge tragen, dass der Anbieter das gleiche Datenschutzniveau sicherstellt, wie es das Bundesdatenschutzgesetz fordert.

Um es den IT-Unternehmen in der EU und den USA einfacher zu machen und den Datenverkehr nicht komplett zu unterbinden, hat die Europäische Kommission im Jahr 2000 mit den USA die Safe-Harbor-Vereinbarung getroffen. Die soll US-Unternehmen den Nachweis eines vergleichbaren Datenschutzniveaus wie in der EU ermöglichen – was seit einiger Zeit massiv angezweifelt wird.

So wie ich es verstanden habe, werden amerikanische IT-Unternehmen wie europäische behandelt, wenn sie die Bedingungen des Safe-Harbor-Abkommens erfüllen. Mit ihnen kann man dann also auch eine Vereinbarung zur Auftragsdatenverarbeitung abschließen.

MailChimp soll diese Anforderungen erfüllen, wenigstens beschreibt es Tobias Kollewe in seinem Beitrag MailChimp und der Datenschutz vom 2. März 2015 so.

Fazit zur Falle 1

Wenn ich personenbezogene Daten automatisiert durch Dritte verarbeiten lasse, habe ich zwei Möglichkeiten:

  • Ich hole mir eine explizite Einverständniserklärung des Betroffenen. Das kann geschehen, indem man vor dem Eintragen in den Newsletter-Verteiler darüber aufgeklärt wird, wie die Daten verarbeitet werden und man sein Einverständnis z. B. duch das Setzen eines Häckchens erklärt.
  • Ich stelle sicher und prüfe regelmäßig, dass der Datenschutz des Dienstleisters dem des Bundesdatenschutzgesetzes entspricht. Für Dienstleister in Deutschland, der EU oder soweit sie das Safe-Harbor-Abkommen erfüllen, reicht eine schriftlich abgeschlossene Vereinbarung zur Auftragsdatenverarbeitung.

Kleine Ergänzung noch dazu:

Google Analytics ist auch eine Verarbeitung von personenbezogenen Daten, in diesem Fall der IP-Adresse. Auch hier muss – so verstehe ich wenigstens die verschiedenen Quellen im Netz – eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abgeschlossen werden.

Ich habe das vor kurzem gemacht. Google stellt den Vertrag zur Auftragsdatenverarbeitung für Google Analytics im Netz zur Verfügung. Den füllt man aus, druckt ihn 2x aus, unterschreibt ihn und schickt ihn per Post nach Irland. Etwa zwei Wochen später hatte ich ein Exemplar von Google unterschrieben zurück.

Anders als bei Klick-Tipp ist das kostenlos.

Falle 2: Die Datenschutz-Einstellungen des Newsletter-Dienstleisters

In seinem § 3a fordert das Bundesdatenschutzgesetz unter dem Titel Datenvermeidung und Datensparsamkeit „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, […]“.

Das Stichwort heißt Tracking.

Für viele im Online-Marketing ist es die wichtige Information: Wer hat welchen Link in meinem Newsletter angeklickt? Wer ist an welcher Stelle in meinem Verkaufstrichter abgesprungen? Diejenigen muss ich noch mal mit besonderen Mails kontaktieren, damit ich vielleicht doch noch mal eine Chance bekomme, sie zu Kunden zu machen.

Wenn ich das Bundesdatenschutzgesetz richtig verstehe, ist das grundsätzlich nicht zulässig.

Es sei denn, ich habe die explizite Einverständniserklärung des Betroffenen.

Ich habe das letzten Samstag beim Business-Podcast-Barcamp in Köln diskutiert. Die Aussage war, das zusätzliche Häkchen zu setzen, sei der Conversion-Killer schlechthin. Also lässt man es lieber sein.

Ich selbst kann hier wieder nur für CleverReach sprechen. Dort habe ich unter Account > Einstellungen > Allgemeines den Schalter Datenschutzkonformität auf Ein gestellt. Damit werden die Daten der öffnenden und klickenden Empfänger anonymisiert und die IP-Adressen verkürzt.

Eine ausführliche Beschreibung der Tracking-Problematik und der entsprechenden Lösungsansätze findet sich bei Rechtsanwalt Dr. Thomas Helbing in seinem Beitrag E-Mail und Newsletter-Tracking Datenschutz-konform umsetzen.

Auch hier wieder die Ergänzungen zu Google Analytics:

Für den Google-Analytics-Code gibt es eine Erweiterung, die die IP-Adressen verkürzt. Google findet dazu verschiedene Anleitungen.

Falle 3: Infomationspflichten

Auch in Bezug auf die Informationspflichten wird einiges von den Unternehmen verlangt.

Angaben in der Datenschutzerklärung

Hinlänglich bekannt sein dürften inzwischen die Angaben in der Datenschutzerklärung. Da es hier unzählige Beispiele und Anbieter von Impressum- und Datenschutzerklärungsgeneratoren gibt, erspare ich mir weitere Ausführungen.

Interessanterweise findet man aber nicht bei allen dann auch den Hinweis auf die Zusammenarbeit mit dem Newsletter-Dienstleister und welche Daten hier wie verarbeitet werden.

Das öffentliche Verfahrensverzeichnis

Jedes Unternehmen, das personenbezogene Daten automatisiert verarbeitet, muss ein Verfahrensverzeichnis erstellen (BDSG § 4g, Abs. 2).

Einen Teil der Informationen – das sogenannte öffentliche Verfahrensverzeichnis – muss das Unternehmen jedem Interessierten auf Anfrage zur Verfügung stellen.

Dabei geht es im Wesentlichen um die folgenden Punkte:

  1. Name des Unternehmens bzw. der Organisation
  2. Verantwortlicher Leiter
  3. Verantwortlicher für die Datenverarbeitung
  4. Wozu werden die Daten erhoben, verarbeitet und genutzt
  5. Welche Daten werden erhoben, verarbeitet und genutzt
  6. Wer außerhalb des Unternehmens bekommt diese Daten
  7. Wann werden die Daten gelöscht
  8. Werden die Daten auch in Drittstaaten übermittelt

Für kleine Unternehmen umfasst das öffentliche Verfahrensverzeichnis selten mehr als eine DIN-A4-Seite.

Viele Unternehmen veröffentlichen ihre öffentlichen Verfahrensverzeichnisse auch auf ihren Webseiten.

Die interne Verarbeitungsübersicht

Die eben gannnten Punkte 4 bis 8 des öffentlichen Verfahrensverzeichnisses muss jedes Unternehmen dann noch weiter detaillieren. Diese Beschreibung ist auf Anfrage den Aufsichtsbehörden vorzulegen.

Hier geht es z. B. darum, die getroffenen Sicherheitsvorkehrungen oder die zugriffsberechtigten Personen zu beschreiben. Aus der Beschreibung muss deutlich werden, dass die Datenverarbeitung im Unternehmen rechtmäßig ist.

Eine gute Beschreibung des öffentlichen und internen Verfahrensverzeichnisses findet sich in der Broschüre Verfahrensverzeichnis und Verarbeitungsübersicht des Bayerischen Landesamtes für Datenschutzaufsicht.

Meine kleine Mini-Studie

Am Anfang hatte ich um Entschuldigung gebeten. Was war der Grund dafür?

Ich habe mich in der letzten Zeit häufiger in Newsletter eingetragen. Bei der Gelegenheit habe ich immer auch mehr oder weniger genau darauf geachtet, wie die Anbieter es denn mit dem Datenschutz halten.

Dank eines praktischen kleinen Tools, der „kleinen Petze“, bekomme ich jedem Mal eine Nachricht, wenn ein Programm oder in diesem Fall eine Mail „nach Hause telefonieren“ will.

Damit sind die Newsletter-Dienstleister i. d. R. eindeutig zu identifizieren.

In der Folge habe ich dann bei den Anbietern des Newsletters nachgefragt. Zugegeben, das wird für den einen oder anderen teilweise bedrohlich geklungen haben.

Die Reaktionen waren aber i. d. R. sehr professionell.

Ich habe dabei allerdings keinen Anbieter gefunden, der nach meiner Einschätzung alles richtig gemacht hat. Meistens kam am Ende keine Antwort zu meiner Frage nach der Vereinbarung über die Auftragsdatenverarbeitung.

Ich stelle mir schon die Frage, warum das kaum einer richtig macht.

Sind die Anforderungen zu hoch? Sind sie möglicherweise sogar ein Wettbewerbsnachteil?

Ja, ich weiß. Natürlich sind die Unternehmer in der Pflicht. Aber warum bietet kein mir bekannter deutscher oder europäischer Newsletter-Dienstleister einem Unternehmenskunden den Vertrag über die Auftragsdatenverarbeitung automatisch mit an?

Die Antwort kann ich mir selber geben: Weil es Aufwand ist und die Newsletter-Dienstleister nicht verantwortlich sind.

Das wäre aber doch mal ein Alleinstellungsmerkmal.

Zu den wenig professionellen Rückmeldungen will ich nur soviel sagen: Die selbst formulierten teilweise hohen Ansprüche an die eigene Kommunikation haben sie nicht erfüllt und mein Vertrauen verspielt. Insbesondere, wenn – wie in einem Fall geschehen – meine Mails mit meinem Namen auch noch bei Facebook veröffentlicht wurden.

Fazit

Ich habe mich für einen deutschen Newsletterdienstleister entschieden und verzichte zunächst mal darauf, die Adressaten meines Newsletter-Verteilers auf individueller Ebene zu tracken.

Das Abschließen einer Vereinbarung zur Auftragsdatenverarbeitung tut nicht weh und ist in relativ kurzer Zeit erledigt.

Und auch das öffentliche Verfahrensverzeichnis ist nach den Vorlagen im Netz schnell erstellt.

Abgesehen davom stellt sich mir folgende Frage: Wo lauern eigentlich noch alles solche rechtlichen Fallen, die üblicherweise keiner auf dem Schirm hat?

Adieda

Richard Schieferdecker

10 Kommentare
  1. Richard Schieferdecker
    Richard Schieferdecker says:

    Eine Ergänzung noch zu Safe Harbor:

    Wer einen der Newsletter-Dienstleister verwendet, der seine Leistung unter dem Safe-Harbor-Abkommen anbietet – also z. B. MailChimp – und jetzt noch eine Vereinbarung zur Auftragsdatenverarbeitung abschließen muss, wartet damit vielleicht noch bis zum 6. Oktober 2015.

    Für diesen Dienstag ist beim Europäischen Gerichtshof (EuGH) eine Urteilsverkündung angesetzt im Rechtsstreit zwischen dem Österreicher Maximilian Schrems und dem irischen Data Protection Commissioner.

    Nachdem der Generalanwalt des Europäischen Gerichtshofs am 23. September 2015 in seinem Schlussantrag zu dem Ergebnis gekommen ist, das Safe-Harbor-Abkommen sei ungültig, wird das Urteil spannend. Ob der EuGH der Empfehlung seines Generalanwalts folgt, ist natürlich offen. In der Vergangenheit hat er es in vier von fünf Fällen getan.

    Wenn Safe Harbor kippt, sind die Konsequenzen für die Nutzung außereuropäischer Newsletter-Dienstleister für uns erheblich.

    Antworten
  2. Newsletter2Go
    Newsletter2Go says:

    Danke für diesen aufschlussreichen Artikel, Herr Schieferdecker.
    Der Abschluss eines ADV ist für deutsche Unternehmen (eigentlich) Pflicht. Hoffentlich rückt der Datenschutz in diesem Zuge mehr ins Zentrum der Aufmerksamkeit.
    Für weitere Informationen zum Safe Harbor Urteil vom 06.10.2015 insbesondere in Bezug auf das E-Mail Marketing deutscher Firmen haben wir einen Artikel auf unserem Blog verfasst: https://www.newsletter2go.de/blog/safe-harbor-ungueltig-konsequenzen-deutsche-unternehmen/

    Antworten
    • Richard Schieferdecker
      Richard Schieferdecker says:

      Ich bin mal gespannt, ob das wirklich größere Konsequenzen zur Folge hat. Wenn man dem oben zitierten Thomas Schwenke glauben mag, waren auch vor Dienstag dieser Woche fast alle Datentransfers in die USA rechtswidrig. Ganz so schlimm würde ich es nicht einschätzen. Auf die am Anfang dieses Artikels platzierte Umfrage haben aber bislang auch mehr als die Hälfte bei Frage 3 die Antwort „Was ist eine Vereinbarung zur Auftragsdatenverarbeitung“ angekreuzt.

      Antworten
  3. Elisa
    Elisa says:

    Hallo, ich bin neu in der Blogging-Szene und versuche, irgendwie in allen Bereichen den Durchblick zu bekommen. Mit diesen Datenschutzgeschichten bin ich sehr verwirrt. Also kann ein Mensch, der sich in meine MailChimp-Newsletter-Liste einträgt, mich wegen mangelnden Datenschutzes verklagen, obwohl seine E-Mail-Adresse bei Gmail, Hotmail, Yahoo oder einem anderen Anbieter von außerhalb der EU ist und er seine Daten eh schon den Behörden dort zugänglich gemacht hat? Oder er sogar bei Facebook ist? Muss ich als kleiner Blogger mir da tatsächlich Sorgen machen? (Wo ist die Selbstverantwortung der Menschen?)

    Noch eine Frage: Ich lebe in Spanien und bin natürlich auch hier gemeldet. Gilt das deutsche Datenschutzgesetz auch für mich, da mein Blog in deutscher Sprache ist? Oder geht es nur um den Sitz des Blog-Anbieters?

    Danke für die Infos. Da vergeht einem schnell die Freude am Bloggen … Schade.

    Antworten
    • Richard Schieferdecker
      Richard Schieferdecker says:

      Hallo Elisa,

      wie ich schon im Artikel geschrieben habe mache ich keine Rechtsberatung. Aber grundsätzlich gilt für einen Webauftritt das Recht des Landes, in dem der Anbieter seinen Sitz hat. In Deinem Fall also wohl spanisches Recht, wenn ich das richtig verstanden habe. Und da habe ich gar keine Ahnung, was man beachten muss. Aber vielleicht unterhältst Du Dich mal mit einem Webentwickler oder einer Agentur. Die müssten das ja eigentlich wissen.

      Auch wenn Du Deine Texte auf deutsch schreibst: Ich würde trotzdem ein Impressum auch auf spanisch anbieten. Wobei ich aber gar nicht weiß, ob das nach spanischem Recht überhaupt nötig ist.

      Viele Grüße
      Richard

      Antworten
  4. Lonesome Walker
    Lonesome Walker says:

    So, wir haben 2017, und noch immer hat sich in dieser Sache nicht wirklich was Positives getan 🙁

    Auch ich mußte mich für einen Kunden damit rumärgern und bin, gelinde gesagt, sehr enttäuscht.
    Also doch lieber eigene Domain und eigenes Newsletter-Script aufgesetzt, Serverstandort garantiert Deutschland, Daten bleiben beim Kunden, ist halt nur jedes Mal etwas nervig wegen dem Newsletter anlegen und so…
    (schnieke Design-Editoren für DAU’s wären mal was :P)

    Antworten
    • Richard Schieferdecker
      Richard Schieferdecker says:

      Ja, die Anbieter sind da nicht wirklich proaktiv. Wie gesagt, ich bin da kein Experte, nur interessierter Anwender. Aber vielleicht bringt ja die kommende Datenschutz-Grundverordnung etwas Besserung. Wenn ich richtig informiert bin, werden die Anbieter da mit in die Pflicht genommen.

      Antworten

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.