DSGVO: Korrekter Umgang mit Messe-Kontakten und E-Mail-Newsletter

In der inside-Ausgabe Nr. 1/2018 wurde auf die Folgen des Inkrafttretens der EU-Datenschutzgrundverordnung für Schweizer Firmen hingewiesen. Wie die Reaktionen darauf gezeigt haben, besteht in Bezug auf eine rechtlich korrekte Handhabung von Marketingaktivitäten wie E-Mail-Newsletter sowie generell die Abspeicherung von Kontaktdaten Verunsicherung. Grund genug, diese beiden Aspekte im vorliegenden Artikel zu beleuchten.

DSGVO: Korrekter Umgang mit Messe-Kontakten und E-Mail-Newsletter

Die Regelung in der DSG VO

Für wen die DSGVO anwendbar ist, kann der nebenstehenden Box entnommen werden. Die DSGVO schreibt vor, dass Personen «in präziser, transparenter, verständlicher und leicht zugänglicher Form» über die Bearbeitung ihrer Personendaten a) informiert werden und diese b) ihre ausdrückliche Einwilligung zur Datenspeicherung abgeben müssen. Die DSGVO geht im Grundsatz davon aus, dass nur eine «informierte» Person, welche von der Datenschutzerklärung der betroffenen Firma Kenntnis nehmen konnte, in der Lage ist, frei über das Einverständnis zur Abspeicherung der eigenen Personendaten zu entscheiden. Mit anderen Worten: Die Information müsste erfolgen, bevor Daten gespeichert werden. Diese Bestimmung bereitet Kopfzerbrechen, weil präzisere Angabe über die Art und Weise der Information und das Einholen der Einwilligung fehlen.

Beispiel Messekontakte («Leads»)

Kontaktdaten von natürlichen Personen können sich immer und überall ergeben. Wer als Firma z.B. an Messen teilnimmt, ist in aller Regel an der Generierung neuer Kundenkontakte, sogenannter «Leads», interessiert. Im Rahmen von unverbindlichen Gesprächen mit Messebesuchern wird nicht selten bei der Verabschiedung die Visitenkarte des Besuchers entgegengenommen. Es entspricht bis anhin gängiger Praxis, dass Kontaktdaten von Personen, welche freiwillig die Visitenkarte abgeben, zunächst im firmeneigenen CRM gespeichert werden und daraufhin auf die eine oder andere Weise Kontakt hergestellt oder der firmeneigene Newsletter zugestellt wird. Genügt dafür die Übergabe der Visitenkarte als Einverständniserklärung? Nach herrschender Rechtsauffassung in der EU ist dies nicht zwingend der Fall, weil sich die Person im Zeitpunkt der Abgabe der Visitenkarte gar nicht über die Datenschutzbestimmungen der jeweiligen Firma informieren konnte.

Da bei einer Messe kaum eine vernünftige Gelegenheit zur Aufklärung der Besucher über die eigene Datenschutzerklärung besteht, erweist sich der Gesetzeswortlaut als wenig praxistauglich. Um sich dennoch rechtlich korrekt zu verhalten, empfiehlt sich eine der folgenden Möglichkeiten:

  • Variante 1: Die Person direkt vor Ort fragen, ob sie nach dem Messebesuch kontaktiert werden darf und sie dies auf einem vorgefertigen Formular unterschriftlich bestätigt, wobei gleichzeitig auch ein Kreuz für den E-Mail-Newsletter sowie ggf. weitere Werbemassnahmen angeboten werden kann. Fortschrittlich handelt, wer ein elektronisches Tool für die Unterschrift und die Auswahl der Werbeaktionen bereithält.
  • Variante 2: Die Person nachträglich und unaufgefordert per E-Mail kontaktieren, auf das Gespräch am Messestand hinweisen und mittels eines personalisierten E-Mail-Links auf die bereits gespeicherten Kontaktdaten um das Einverständnis für weitere Kontaktaufnahmen bitten, wobei auf dem Formular natürlich auch ein Nein möglich sein muss. Ebenso muss die Person die Möglichkeit haben, die eigenen Daten wieder vollständig zu löschen. Reagiert die Person nicht innert nützlicher Frist, liegt keine ausdrückliche Einwilligung vor, was zu einer Löschung der Person aus der Datenbank führen muss. Das unaufgeforderte Kontaktmail zwecks Einholung der Einwilligung gilt nicht als unzulässig. Solange dieses Mail ausschliesslich dem Zweck dient, die Einwilligung einzuholen, ohne gleichzeitig damit Werbung zu betreiben, ist es die einzig mögliche Weise, überhaupt eine Einwilligung zu erhalten.

E-Mail-Newsletter: Double-Opt-In

Wie ausgeführt darf ein E-Mail Newsletter nur an Personen geschickt werden, welche ihr ausdrückliches Einverständnis dazu erteilt haben (das Vorliegen einer Vertragsbeziehung mit einem Kunden genügt dafür nicht zwingend). Unproblematisch sind all jene Adressaten, welche sich in der Vergangenheit freiwillig angemeldet haben, allerdings mit folgender Einschränkung: Bei Bestandesabonnenten fehlt oftmals das von DSGVO geforderte Element der vorherigen Information. Aus diesem Grund empfiehlt es sich, den Bestandesabonnenten eine E-Mail mit dem Hinweis auf das Newsletter-Abonnement und mit Link auf die firmeneigene Datenschutzerklärung zu senden. Diese müssen die Abonnenten lediglich zur Kenntnis nehmen können, sie müssen diese weder lesen noch dieser zustimmen, da es sich nicht um einen Vertrag handelt. Durch dieses Informations-Mail werden die Abonnenten in die Lage versetzt, in informierter Weise über den weiteren Erhalt des Newsletters zu entscheiden. Auf diese Weise können alle Bestandesabonnenten in das neue Zeitalter der DSGVO überführt werden.

Bei Neuabonnenten gehört das sog. «Double-Opt-In»-Verfahren heutzutage zum Standard. Zunächst ist auf dem entsprechenden Webformular ein Kreuz für die Bestellung des Newsletters sowie ein Kreuz betreffend Kenntnisnahme der Datenschutzerklärung zu machen, anschliessend wird der Person ein automatisiertes E-Mail mit einem Bestätigungslink zugestellt. Klickt sie den Link an, hat sie die Bestätigung erteilt. Auf diese Weise wird sichergestellt, dass es sich bei der anmeldenden Person wirklich um die richtige Person handelt. Dieses Verfahren ist grundsätzlich für jede Marketingaktivität einzeln zu durchlaufen. D. h. wenn es mehrere unterschiedliche Newsletter gibt, ist das Einverständnis für jeden einzeln zu erteilen.

Die Einwilligungserklärung muss zu Beweiszwecken im CRM elektronisch (oder auf Papier) abgelegt werden.

Erfahrungsbericht von der SINDEX

An der SINDEX 2018 habe ich einige Firmen bewusst auf das Thema angesprochen und gefragt, wie neue Kundenkontakte datenschutzrechtlich behandelt werden. Dabei zeigte sich ein sehr unterschiedliches Bild. Eine Firma operierte mit einem Gerät, in das eine Person die Einverständniserklärung direkt mittels Unterschrift auf das Display eingeben konnte. Mehrere Firmen benutzten vorbereitete Formulare auf Papier, auf die sie die Unterschriften der Personen erbaten. Eine weitere Firma verknüpfte die Kontaktgenerierung mit einem Wettbewerb, wobei auf dem Wettbewerbsformular neben der Adressangabe auch mehrere Kreuze betreffend Einverständnis gemacht werden konnten (nicht mussten, d.h. man konnte auch ohne Einwilligung am Wettbewerb teilnehmen). Schliesslich stiess ich auch auf Firmen, welche mit dem Thema locker umgehen und die Kontakte auch ohne Vorliegen einer ausdrücklichen Einwilligung verwendeten. Und für welches Vorgehen haben Sie sich entschieden?

Welches Gesetz gilt aktuell?

Das Schweizer Datenschutzgesetz befindet sich in Revision. Es wird an den EU-Standard angepasst werden. Mit einem Inkrafttreten ist kaum vor Ende 2019 zu rechnen. Bis dahin gilt für die Bearbeitung von Daten von Personen mit Wohnsitz in der Schweiz das bestehende Schweizer Datenschutzgesetz. Für Firmen mit Sitz in der Schweiz, welche heute schon Daten von Personen mit Wohnsitz in der EU bearbeiten, gilt für diese Personen zugleich die DSGVO (vgl. Artikel zum Thema im inside Nr. 1/2018).

Das Schweizer Datenschutzgesetz befindet sich in Revision

Die swissT.net Rechtsberatung

swissT.net bietet seinen Mitgliedsfirmen seit Jahren eine kostenlose Erstberatung in rechtlichen Fragen. Seit dem Jahr 2012 wird die Rechtsberatung im Mandatsverhältnis durch den branchenkundigen Rechtsanwalt lic.iur.HSG Urs Freytag, St. Gallen, erbracht. Sinn und Zweck der kostenlosen Erstberatung ist es, eine rechtliche Orientierungshilfe zu geben. Die Erstberatung beinhaltet im Wesentlichen:

  • die Entgegennahme von Anfragen per Telefon oder E-Mail
  • die Einordnung des Rechtsproblems in den Kontext der rechtssuchenden Person oder Firma
  • die Beantwortung der Fragen per Telefon oder E-Mail, inkl. Aufzeigen möglicher Risiken und Handlungsalternativen.

Unkompliziert und diskret

Die Stärke der swissT.net Rechtsberatung liegt darin, dass Mitgliedsfirmen ohne Terminabsprache anrufen können und in der Regel schnell und unkompliziert erste Antworten erhalten. Als Rechtsanwalt untersteht Urs Freytag den anwaltlichen Berufsregeln. Das Anwaltsgeheimnis gegenüber Mitgliedsfirmen ist vollumfänglich und auch gegenüber sämtlichen Mitarbeitern von swissT.net gewahrt.

Kostenlos

Die Erstberatung entspricht etwa einer rund 30-minütige Beratung. Stellen sich bei einer Problemstellung komplexere Rechtsfragen, welche zeitlich umfangreichere Abklärungen erfordern, weist Rechtsanwalt Urs Freytag auf diesen Umstand hin und die Mitgliedsfirmen entscheiden frei, ob sie mit ihm ein über die Erstberatung hinausgehendes Mandat schliessen wollen.

factum advocatur

 
Davidstrasse 1
Postfach 635
9001 St. Gallen

Tel. 071 421 41 41, Fax. 071 421 41 40
freytag@factum.pro, www.factum.pro