Tipps zur datenschutzkonformen E-Mail Kommunikation mit Kunden

06.10.2016

1hand-1248053_1280

Die Art und Weise, wie Unternehmen mit ihren Kunden kommunizieren, hat sich verändert. Es gab Zeiten, in denen primär Briefe versendet oder Kunden angerufen wurden. Heute dominiert hingegen die E-Mail. Überraschend ist das nicht, schließlich bietet sie großen Komfort und ist außerdem kostengünstig.

Allerdings ist die E-Mail Kommunikation mit Kunden an mehrere datenschutzrechtliche Hürden gekoppelt. Unternehmen, die E-Mails an ihre Kunden versenden möchten, sollten genau prüfen, ob sämtliche Prozesse den Anforderungen im Datenschutz gerecht werden. Zumal es nicht nur um den eigentlichen E-Mail Versand geht. Bereits das Speichern von E-Mail Adressen (die immerhin als personenbezogene Daten zu erachten sind) erfordert ein hohes Maß an Sorgfalt.

Zweck der Verarbeitung von Daten mit Personenbezug

Eine der wichtigsten Fragen ist die, ob das Unternehmen überhaupt dazu berechtigt ist, einen Kunden - insbesondere wenn es sich um einen Verbraucher handelt - anzuschreiben. Datenschützer sprechen auch vom sogenannten Zweck der Datenerhebung und Datenverarbeitung. Im Hinblick auf den vorgesehenen Zweck muss ein berechtigtes Interesse bestehen und je nach Sachverhalt wird häufig auch die Einwilligung durch den Empfänger vorausgesetzt.

Dieses Interesse besteht nicht in jedem Fall. Selbst wenn ein Kunde angeschrieben werden soll, der schon einmal gekauft hat, ist der Fall zunächst zu prüfen. So ist z.B. der Versand von E-Mails mit Angeboten nur gestattet, wenn der Kunde dem explizit zugestimmt hat oder es sich um ein Angebot handelt, das hinsichtlich des vorherigen Kaufs von Relevanz ist. Weitere Informationen hierzu haben wir in unserem Beitrag über den Datenschutz im Newsletter und E-Mail Marketing zusammengetragen.

Beim Versand von Newslettern ist die Situation ähnlich, auch hier muss ein berechtigtes Interesse bestehen. Zudem ist die vorherige Einwilligung des Kunden entscheidend. Weil Newsletter Verteiler sehr groß sein können, wird die Zustimmung in der Praxis meist per Double Opt-in eingeholt. Mehr datenschutzrechtliche Informationen dazu sind im Double Opt-in Bereich unserer Newsletter FAQ zu finden.

E-Mail Adressen auf keinen Fall preisgeben

Ein ebenfalls wichtiger Aspekt ist der Schutz von Daten mit Personenbezug. Wenn ein Kunde dem Unternehmen seine E-Mail Adresse mitteilt, gilt es diesen Datensatz angemessen zu schützen. Gemeint ist keineswegs nur die IT Sicherheit.

Es kann ebenso passieren, dass Kunden E-Mail Adressen unabsichtlich der Öffentlichkeit zugänglich gemacht werden. So gab es schon Fälle, in denen Newsletter falsch aufgesetzt wurden. Ein typischer Fehler ist das Einfügen sämtlicher Empfänger E-Mail Adressen in die CC-Zeile des E-Mail Programms. Nach erfolgtem Versand ist es so, dass sämtliche Empfänger die E-Mail Adressen der anderen Empfänger einsehen können.

Derartige Fehler beim Versand von E-Mails sind unbedingt zu vermeiden. Hierfür bedarf es der Schaffung klar definierter Prozesse sowie einer Einweisung sämtlicher Mitarbeiter, die E-Mails an Kunden versenden.

Übermittlung personenbezogener Daten in Drittländer

Zunehmend häufiger werden E-Mail Adressen mithilfe von Cloud Lösungen gesichert und verwaltet. Ein ganz typisches Beispiel ist die Nutzung von Newsletter Diensten. Solche Dienste (z.B. Mailchimp) können ungemein praktisch sein, weil sie einen komfortablen Newsletter Versand versprechen. Allerdings birgt die Speicherung personenbezogener Daten in der Cloud auch Risiken.

So kann es leicht passieren, dass eine Übermittlung von Daten mit Personenbezug in Drittländer erfolgt. Gemeint sind Länder, die außerhalb der EU liegen. Mit der kommenden EU Datenschutz-Grundverordnung wird dieses Thema im Datenschutz verschärft. Die Übermittlung von E-Mail Adressen und anderen personenbezogenen Daten ist nur bei Erfüllung strenger Voraussetzungen gestattet. So genügt es nicht einmal, wenn die explizite Einwilligung des Kunden vorliegt. Im Falle einer Übertragung von Daten in die USA (wo sich u.a. die Server von Mailchimp befinden) wird eine Privacy Shield Zertifizierung vorausgesetzt. Andernfalls wäre ein datenschutzkonformer Versand der E-Mails über den Anbieter nicht möglich.

Eine der einfacheren Lösungen besteht darin, E-Mail Adressen sowie andere Daten mit Personenbezug gar nicht erst zu Anbietern in Drittländern zu übertragen. Dann lässt sich ein datenschutzkonformer E-Mail Versand meist leichter realisieren.

Beim Thema E-Mail kein Risiko eingehen

Insgesamt ist das Thema „datenschutzkonforme E-Mail Kommunikation“ äußerst weit reichend. Es bestehen Schnittstellen zu den unterschiedlichsten Feldern im Datenschutz, was für die Verantwortlichen im Unternehmen bedeutet, zahlreiche Aspekte berücksichtigen zu müssen. Das Spektrum reicht von der Einwilligung des Empfängers über technische Dinge (z.B. Double Opt-in) bis hin zu Inhalten der E-Mails.

Als externer Datenschutzbeauftragter haben wir bereits zahlreiche Unternehmen dabei unterstützt, eine durchgehend datenschutzkonforme E-Mail Kommunikation einzuführen. Gerne stehen wir auch Ihrem Unternehmen zur Seite. Für weitere Informationen sind wir unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular erreichbar. Wir freuen uns auf Ihre Anfrage.