Die Rechtslage ist eindeutig: Der Europäische Gesetzgeber hat in der sogenannten “ePrivacy-Richtlinie” festgelegt, dass Nutzer grundsätzlich eine Einwilligung geben müssen, bevor auf deren Endgeräten Informationen gespeichert werden oder auf Informationen auf deren Endgeräten zugegriffen wird (Art. 5 Abs. 3 S.1 Richtlinie 2002/58/EG, bekannt als “Cookie-Richtlinie”). Die UIMC berichtete.
Was besagt die DSGVO zur Verarbeitung der Daten über das Kundenverhalten?
Die rechtssicherste Variante ist die Einwilligung des Nutzers, wenn ein Unternehmen denn E-Mail-Tracking betreiben möchte. Voraussetzung: Jeder einzelne Nutzer wird vor der Verarbeitung in konkreter Weise darüber informiert, welche Daten in welcher Form verarbeitet werden. „Leider ist zu beobachten, dass sich hierüber viele Firmen hinwegsetzen und die Einholung der Einwilligung als zu aufwändig erachten“, berichtet Dr. Jörn Voßbein aus dem Datenschutzalltag und rät zu einer umfassenden Analyse mit Hilfe externer Dritter. „Problematisch ist dies auch dann, wenn man erst zu einem späteren Zeitpunkt das Newsletter-Tracking einführen möchte, nachdem man die Einwilligung vom Empfänger schon erhalten hat.“
Viele Unternehmen setzen einfach ein berechtigtes Interesse voraus, die Daten verwerten zu dürfen. Dies birgt erhebliche Gefahren, denn rechtlich muss eine Abwägung zwischen dem berechtigten Interesse des Unternehmens gegen das Schutzbedürfnis des E-Mail-Empfängers vorgenommen werden. Eine solche Abwägung ist juristisch nicht einfach, da Grundrechte und der jeweilige Einzelfall betrachtet werden müssen. Pauschale Feststellungen, dass eine Datenverarbeitung auf einem berechtigten Interesse basiert, erfüllen ganz sicher nicht die rechtlichen Vorgaben. Im Streitfall entscheiden die Datenschutzbehörden oder Gerichte. Strafzahlungen sind dann keine Seltenheit.
„Die von vielen Unternehmen gewünschte Rechtssicherheit bietet nur die Einholung einer Einwilligung beim Mailempfänger, wenn Öffnungs- und Klickraten gemessen werden sollen. Im Vorfeld von Mailingkampagnen ist eben nicht nur über Layout und Angebote zu sprechen, sondern auch die richtigen datenschutzrechtlichen Handlungsempfehlungen zu erörtern“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein, um böse und teure Überraschungen zu vermeiden.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de