EU- und UK-DSGVO: 5 Dinge, die Sie über die E-Mail-Einwilligung wissen müssen

Veröffentlicht: 2021-03-09

Das Datenschutzgesetz der Europäischen Union, die Datenschutz-Grundverordnung (DSGVO), trat am 25. Mai 2018 in Kraft. Damals fragten sich viele, was die DSGVO für E-Mail-Marketer bedeutet. Und glücklicherweise hat die DSGVO E-Mails nicht getötet, wie es die Weltuntergangssänger vorausgesagt haben. Aber eine Sache, die Ihnen immer noch Kopfschmerzen bereiten könnte? So sammeln und speichern Sie die E-Mail-Einwilligung.

Die DSGVO legt die Messlatte für einen höheren Zustimmungsstandard für Abonnenten mit Sitz in der Europäischen Union (EU) höher, was bedeutet, dass die Art und Weise, wie Sie die Zustimmung von EU-Abonnenten in der Vergangenheit eingeholt haben, möglicherweise nicht mehr konform ist.

Und auch nach dem formellen Austritt Großbritanniens aus der EU hat sich die DSGVO nach dem Brexit nicht allzu sehr verändert. Das Vereinigte Königreich hat seine eigene britische DSGVO erstellt, die im Wesentlichen der EU-DSGVO entspricht, außer dass sie nur für Einwohner des Vereinigten Königreichs gilt. Einzelheiten sind im Leitfaden zur britischen DSGVO des britischen Information Commissioner's Office (ICO) enthalten. Der Einfachheit halber bezeichne ich beide nur als DSGVO, es sei denn, ich verweise ausdrücklich auf eine.

Die eigentliche Frage lautet also: Was bedeutet das alles für die E-Mail-Einwilligung Ihrer EU- und UK-Abonnenten?

So halten Sie die E-Mail-Einwilligung DSGVO-konform

Die DSGVO verlangt, dass Marken eine „freiwillig erteilte, spezifische, informierte und eindeutige“ Zustimmung einholen, um konform zu sein. Das ICO hat auch einen umfassenden Leitfaden zur Einwilligung nach der DSGVO bereitgestellt. Wenn Sie noch nicht bereit sind, in den vollständigen 39-seitigen Leitfaden einzutauchen, finden Sie hier eine Aufschlüsselung der fünf wichtigsten Dinge, die Sie über die E-Mail-Einwilligung gemäß der DSGVO wissen müssen – mit vielen Beispielen, wie wir sie hier bei Litmus in die Tat umsetzen .

1. Erhalten Sie die Zustimmung durch ein positives Opt-In, nicht durch vorab angekreuzte Kästchen

Opt-in E-Mail DSGVO

Damit die Einwilligung gemäß der DSGVO gültig ist, muss ein Kunde seine Einwilligung aktiv bestätigen, z. Vorab angekreuzte Kästchen, die eine Zustimmung voraussetzen, wenn sie nicht deaktiviert werden, sind gemäß der DSGVO nicht gültig.

Erwägungsgrund 32:
„Schweigen, vorab angekreuzte Kästchen oder Inaktivität sollten keine Einwilligung darstellen.“

Beispiel

Im obigen Screenshot zeigen wir ein Beispiel dafür, wie wir bei Litmus nicht markierte Opt-in-Boxen verwenden, um eine Einwilligung einzuholen. Wenn das Kontrollkästchen vorab aktiviert wäre, wäre dies nicht GDPR-konform.

2. Halten Sie Einwilligungsanfragen von anderen Geschäftsbedingungen getrennt

Die Einwilligung per E-Mail muss freiwillig erteilt werden – und das ist nur dann der Fall, wenn eine Person wirklich die Wahl hat, ob sie Marketingnachrichten abonnieren möchte oder nicht. Ist zum Beispiel das Abonnieren eines Newsletters zum Herunterladen eines Whitepapers erforderlich, erfolgt diese Einwilligung nicht freiwillig.

Gemäß der DSGVO muss die E-Mail-Einwilligung separat erfolgen . Kombinieren Sie die Zustimmung niemals mit Ihren Allgemeinen Geschäftsbedingungen, Datenschutzhinweisen oder einem Ihrer Dienste (es sei denn, eine E-Mail-Zustimmung ist erforderlich, um diesen Dienst auszuführen).

Artikel 7(4):
„Bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wird, ist weitestgehend zu berücksichtigen, ob […] die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig ist, die für die Erfüllung der dieser Vertrag."

Beispiel

Im gleichen Screenshot oben: Wenn jemand ein E-Book oder andere Inhalte von Litmus herunterlädt, ist ein Kontrollkästchen deaktiviert, um in unsere E-Mail-Liste aufgenommen zu werden. Die Anmeldung für E-Mails ist jedoch optional – Sie können das E-Book jederzeit herunterladen, ohne unsere E-Mails zu abonnieren.

In diesem Beispiel unten haben wir jedoch ein E-Mail-Anmeldeformular in der Fußzeile der Litmus-Website. Das Kontrollkästchen ist noch nicht markiert, aber das rote Sternchen zeigt an, dass eine Zustimmung erforderlich ist .

E-Mail-Anmeldeformular DSGVO

Wieso den? Weil eine E-Mail-Zustimmung erforderlich ist, um den Dienst abzuschließen. Mit anderen Worten, dieser spezielle Service besteht darin, Ihnen unsere E-Mails zu senden, und wir können dies nicht tun, es sei denn, Sie stimmen zu.

3. Machen Sie es den Leuten leicht, ihre Einwilligung zu widerrufen – und erklären Sie ihnen, wie es geht

E-Mail-DSGVO Einwilligung zurückziehen

Artikel 7(3):​
„Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen […] Der Widerruf ist ebenso einfach wie die Einwilligung.“​

Alle wichtigen E-Mail-Gesetze, einschließlich CASL in Kanada und CAN-SPAM in den USA, verlangen von Marken, ihren Abonnenten die Möglichkeit zu geben, sich vom Empfang von E-Mails abzumelden. Jede von Ihnen gesendete Werbe-E-Mail muss eine Option zum Abbestellen enthalten.

Wenn Sie bereits die geltenden kanadischen, amerikanischen oder europäischen E-Mail-Gesetze einhalten, müssen Sie an dieser Anforderung zur Einhaltung der DSGVO möglicherweise nicht viel ändern. Dennoch ist dies ein perfekter Zeitpunkt, um Ihren aktuellen Abmeldeprozess zu überdenken, um sicherzustellen, dass Sie die Best Practices zur Abmeldung befolgen:

  • Erheben Sie keine Gebühr.
  • Benötigen Sie keine weiteren Informationen außer einer E-Mail-Adresse.
  • Erfordern Sie nicht, dass sich Abonnenten anmelden.
  • Bitten Sie Abonnenten nicht, mehr als eine Seite zu besuchen, um ihre Anfrage einzureichen.

Beispiel

In der Fußzeile jeder Werbe-E-Mail von Litmus haben wir die Möglichkeit, den Erhalt von E-Mails abzubestellen. Dies erleichtert die Abmeldung, sollte ein Abonnent jemals das Interesse verlieren.

Es ist auch erwähnenswert, dass eine unfreundliche Abmeldeerfahrung auch ein Hauptgrund für Spam-Beschwerden ist. Die Hälfte der US-Verbraucher gibt an, die E-Mails einer Marke als Spam gemeldet zu haben, weil sie sich nicht einfach abmelden konnten, so unser Bericht Anpassung an die neue Spam-Definition von Verbrauchern. Das Aufstellen von Opt-out-Barrieren gefährdet also nicht nur Ihre Rechtskonformität, sondern kann auch Ihre Zustellbarkeit beeinträchtigen.

4. Beweisen Sie, wer, wann und wie zugestimmt hat

Beispiel für eine DSGVO-konforme Einwilligung von Litmus

Die DSGVO legt die Regeln für die Einholung von Einwilligungen fest und verlangt von Unternehmen auch, diese Einwilligungen aufzuzeichnen.

Artikel 7(1):​
„Wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, sollte der Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung zugestimmt hat.“

In einigen Ländern lag die Beweislast für den Nachweis der Einwilligung immer bei dem Unternehmen, das das Opt-in eingeholt hat. Für viele andere Marketer ist diese Anforderung jedoch eine neue Herausforderung.

Die Aufbewahrung des Einwilligungsnachweises bedeutet, dass Sie folgende Nachweise erbringen können:

  • Wer hat zugestimmt?
  • Als sie zugestimmt haben
  • Was ihnen zum Zeitpunkt der Zustimmung gesagt wurde
  • Wie sie zugestimmt haben (z. B. an der Kasse oder per Facebook-Formular)
  • Ob sie die Einwilligung widerrufen haben

Beispiel

Wenn sich jemand anmeldet, um Updates von Litmus zu erhalten, erhält er eine E-Mail, in der er aufgefordert wird, sein Abonnement zu bestätigen (lesen Sie hier mehr über die Vor- und Nachteile von Double Opt-in). Wenn sie dann auf den Link in der E-Mail mit der Bestätigungsanfrage für das Opt-in klicken, zeichnet unser E-Mail-Dienstleister diese Aktion auf. Damit können wir uns jeden einzelnen Abonnenten ansehen, sehen, wann er sich angemeldet hat und in welcher Form er dies getan hat.

5. Überprüfen Sie Ihre Einwilligungspraktiken und bestehenden Opt-Ins

Überprüfen Sie Ihre Einwilligungspraxis

Es ist ein paar Jahre her, dass die DSGVO in Kraft getreten ist, aber wenn Ihre E-Mail-Liste gerade aus dem Ruhezustand kommt, müssen Sie Ihre Einwilligungspraktiken und vorhandenen Einwilligungsdaten überprüfen.

Erwägungsgrund 171:​
„Beruht die Verarbeitung auf einer Einwilligung gemäß Richtlinie 95/46/EG, ist es nicht erforderlich, dass die betroffene Person ihre Einwilligung erneut erteilt, wenn die Art und Weise der Einwilligung den Bedingungen dieser entspricht Regulierung.“​

Auch wenn Sie schon seit einiger Zeit konform sind, ist es immer gut, Ihren Prozess und die Zustimmung der Abonnenten regelmäßig zu überprüfen.

Die DSGVO gilt für alle bestehenden EU- und UK-Abonnenten auf Ihrer E-Mail-Liste, unabhängig davon, wann sie hinzugefügt wurden – selbst wenn es vor der DSGVO war. Wenn Ihre bestehenden Abonnenten Ihre Einwilligung bereits DSGVO-konform erteilt haben und Sie diese Opt-Ins aufgezeichnet haben, müssen Sie die Einwilligung dieser Abonnenten nicht erneut einholen.

Wenn Ihre vorhandenen Datensätze jedoch die Anforderungen der DSGVO nicht erfüllen, müssen Sie Maßnahmen ergreifen:

  1. Überwachen Sie Ihre vorhandene E-Mail-Liste. Finden Sie heraus, wer in Ihrer E-Mail-Liste bereits eine DSGVO-konforme Einwilligung erteilt hat, und stellen Sie sicher, dass Sie diese Einwilligungen eindeutig dokumentieren.
  2. Implementieren Sie ein Re-Permission-Programm. Für alle Ihre Kontakte, für die Sie keine DSGVO-sichere Einwilligung haben – oder wenn Sie sich nicht sicher sind, ob ihre Einwilligung konform ist oder nicht – müssen Sie eine erneute Genehmigungskampagne durchführen, um diese Einwilligung zu aktualisieren. Oder entfernen Sie diese Abonnenten aus Ihrer Mailingliste.

Und obwohl die Einwilligung nicht abläuft, wird sie sich im Laufe der Zeit wahrscheinlich verschlechtern. Es hängt auch vom Kontext ab: Wenn jemand beispielsweise dem Erhalt einer E-Mail mit Lagerbestand zustimmt, wird erwartet, dass die Zustimmung nach Erhalt dieser Benachrichtigung erlischt. Keine E-Mails mehr an diese Person.

Beispiel

Bei Litmus verwenden wir regelmäßig ein Programm zur erneuten Genehmigung, um unsere E-Mail-Listen sauber zu halten. Es enthält eine sehr explizite Sprache, in der der Abonnent aufgefordert wird, zu bestätigen, dass er unsere E-Mails weiterhin erhalten möchte, indem er auf einen Bestätigungslink in der E-Mail klickt.

Kampagnen zur erneuten Genehmigung sind eine leistungsstarke Möglichkeit, vorhandene Kontaktdatensätze zu aktualisieren, um eine DSGVO-konforme Zustimmung zu gewährleisten, erfordern jedoch eine detaillierte Planung und Ausführung. Denken Sie daran: Wenn Sie eine aktualisierte Zustimmung zur Einhaltung der DSGVO benötigen, Ihr Abonnent jedoch nicht an Ihrer Kampagne zur erneuten Zulassung teilnimmt, müssen Sie ihn aus Ihrer E-Mail-Liste entfernen.

Die Zustimmung Ihrer Abonnenten sollte immer geschätzt werden

Ihre E-Mail-Abonnenten sind Ihre wertvollste Zielgruppe – behandeln Sie sie so. Während diese DSGVO-Zustimmungsmaßnahmen für Ihre Abonnenten in der EU und im Vereinigten Königreich getroffen werden müssen, verdient jeder Abonnent respektvoll behandelt zu werden. Bauen Sie Vertrauen bei Ihren Abonnenten auf und bauen Sie es weiter auf. Und wenn sie jemals weg wollen? Lass sie gehen.

Haftungsausschluss

Dieser Beitrag bietet einen allgemeinen Überblick über die E-Mail-Einwilligung gemäß der DSGVO, ist jedoch nicht als Rechtsberatung gedacht und sollte nicht als solche verstanden werden. Bitte wenden Sie sich an Ihren Anwalt, um Ratschläge zu E-Mail-Marketingvorschriften oder spezifischen rechtlichen Problemen zu erhalten.

Ursprünglich veröffentlicht am 22. Januar 2018 von Bettina Specht. Zuletzt aktualisiert am 8. März 2021, aus Gründen der Übersichtlichkeit und mit neuen Informationen.