Die Art und Weise, wie Sie auf Ihrer Website E-Mail-Adressen erfassen, unterliegt einem immer dichter werdenden Netz von Datenschutzbestimmungen. Wenn Sie diese nicht einhalten, verlieren Sie das Vertrauen Ihrer Abonnenten und müssen unter Umständen sogar mit hohen Geldstrafen rechnen.
Hier sind 8 einfache Schritte, mit denen Sie bei der Erfassung von E-Mail-Adressen auf Ihrer Website die gesetzlichen Vorschriften einhalten und die Wirkung Ihres E-Mail-Marketings steigern können.
- Was versteht man unter Compliance im E-Mail-Marketing?
- Warum sollten Sie der Einhaltung von Vorschriften Priorität einräumen?
- Welche wichtigen Datenschutzbestimmungen sollten Sie beachten?
- Schritte zur Einhaltung der Vorschriften bei der Erfassung von E-Mail-Adressen
- Was passiert, wenn Sie sich nicht daran halten?
- Mit den richtigen Schritten ist die Einhaltung der Vorschriften ganz einfach
Was versteht man unter Compliance im E-Mail-Marketing?
Unter Compliance im E-Mail-Marketing versteht man die rechtlichen Vorschriften, die regeln, wie Unternehmen E-Mail-Adressen erfassen, mit Abonnenten kommunizieren und personenbezogene Daten verwalten.
Compliance umfasst drei Hauptbereiche:
- Einwilligung: Hat die Person tatsächlich zugestimmt, E-Mails von Ihnen zu erhalten?
- Transparenz: Wissen sie, welche Daten Sie erheben und warum?
- Kontrolle: Können sie problemlos auf ihre Daten zugreifen, diese aktualisieren oder löschen?
Sobald Sie diese drei Bereiche verstanden haben, werden Sie im Handumdrehen vorschriftsmäßige E-Mails versenden.
Warum sollten Sie der Einhaltung von Vorschriften Priorität einräumen?
Sie sollten der Einhaltung von Vorschriften im E-Mail-Marketing Priorität einräumen, um Bußgelder wegen Verstößen zu vermeiden und Ihre Marketingmaßnahmen zu verbessern.
Die Nichteinhaltung von Compliance-Standards kann zu erheblichen Geldstrafen führen und Ihrem Ruf schaden, was wiederum einen Vertrauensverlust bei Ihren Abonnenten zur Folge haben kann.
Vorschriftenwidrige Versandpraktiken führen zudem häufiger zu Spam-Beschwerden und einer geringen Interaktion, was sich auf die Zustellbarkeit Ihrer gesamten E-Mail-Liste auswirkt – das heißt, die Empfänger sehen Ihre E-Mails mit geringerer Wahrscheinlichkeit.
Welche wichtigen Datenschutzbestimmungen sollten Sie beachten?
Es gibt verschiedene Vorschriften auf regionaler und nationaler Ebene, die Sie beachten sollten.
Dies kann auf Sie zutreffen, wenn Sie Abonnenten in dem betreffenden Gebiet haben, auch wenn Ihr Unternehmen nicht dort ansässig ist.
Allgemeine Datenschutzverordnung (DSGVO)
Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern erhebt oder verarbeitet, unabhängig davon, wo das Unternehmen seinen Sitz hat.
Gemäß der DSGVO gelten als personenbezogene Daten E-Mail-Adressen, Namen, IP-Adressen, Standortdaten und sogar Verhaltensdaten wie beispielsweise der Klickverlauf.
Praktisch jeder Aspekt des E-Mail-Marketings fällt in den Anwendungsbereich der DSGVO.
Zu DSGVO wichtigsten DSGVO für E-Mail-Vermarkter gehören:
- Einholung einer ausdrücklichen, aktiven Einwilligung vor dem Versand von Marketing-E-Mails
- Eine klare Erläuterung darüber, wie die Daten der Abonnenten verwendet werden
- Den Abonnenten das Recht einräumen, auf Anfrage auf ihre Daten zuzugreifen
- Erfüllung von Anträgen auf Ausübung des Rechts auf Löschung (auch als „Recht auf Vergessenwerden“ bezeichnet) durch die dauerhafte Löschung aller Daten
- Betroffene Personen innerhalb von 72 Stunden über eine Datenpanne informieren
- Abonnenten die Möglichkeit geben, eine Kopie ihrer Daten in einem übertragbaren Format anzufordern
Die Strafen für Verstöße gegen die Verordnung können bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes betragen.
CAN-SPAM-Gesetz (Vereinigte Staaten)
Der CAN-SPAM Act ist das wichtigste Gesetz der Vereinigten Staaten zur Regelung kommerzieller E-Mails.
Im Gegensatz zur DSGVO verfolgt CAN-SPAM einen Opt-out-Ansatz, was bedeutet, dass Sie E-Mail-Marketingkampagnen in der Regel ohne vorherige Einwilligung versenden dürfen, sofern Sie bestimmte Anforderungen erfüllen.
Zu diesen Anforderungen gehören:
- Verwendung korrekter Absenderangaben
- Verwende keine irreführenden Betreffzeilen
- Relevante Nachrichten eindeutig als Werbung kennzeichnen
- In jeder E-Mail eine gültige Postanschrift angeben
- Eine klare und einfache Möglichkeit bieten, sich von zukünftigen E-Mails abzumelden
- Bearbeitung von Abmeldeanfragen innerhalb von 10 Werktagen
Die Nichteinhaltung des CAN-SPAM-Gesetzes kann zu Geldstrafen von bis zu 53.088 US-Dollar pro E-Mail führen.
CASL (kanadisches Gesetz gegen Spam)
Das kanadische Anti-Spam-Gesetz (CASL) schreibt vor, dass vor dem Versand kommerzieller elektronischer Nachrichten an Empfänger in Kanada eine ausdrückliche oder stillschweigende Einwilligung eingeholt werden muss.
- Eine ausdrückliche Einwilligung bedeutet, dass der Empfänger klar und eindeutig zugestimmt hat, Nachrichten von Ihnen zu erhalten.
- Eine stillschweigende Einwilligung kann vorliegen, wenn eine bestehende Geschäftsbeziehung besteht, erlischt jedoch nach Ablauf einer bestimmten Frist (in der Regel zwei Jahre).
Das CASL schreibt außerdem vor:
- Eindeutige Identifizierung des Absenders
- Ein funktionierender Abmeldemechanismus in jeder Nachricht
- Anträge auf Abmeldung sind innerhalb von 10 Werktagen zu bearbeiten
Die Strafen nach dem CASL können für Unternehmen bis zu 10 Millionen CAD pro Verstoß betragen.
Weitere internationale Vorschriften
In vielen anderen Regionen gibt es bereits Rahmenregelungen zum Schutz vor Spam oder zum Datenschutz, zum Beispiel:
- Das australische Spam-Gesetz von 2003: Schreibt für alle kommerziellen Nachrichten eine Einwilligung sowie einen funktionierenden Mechanismus zum Abbestellen vor
- Das brasilianische Datenschutzgesetz (LGPD – Lei Geral de Proteção de Dados): Das brasilianische Datenschutzgesetz entspricht DSGVO vielerlei Hinsicht weitgehend DSGVO
- Indiens DPDP-Gesetz (Digital Personal Data Protection Act, 2023): Indiens neuer Rechtsrahmen führt Einwilligungsanforderungen und Rechte der betroffenen Personen ein
8 Schritte zur Einhaltung der Vorschriften bei der Erfassung von E-Mail-Adressen
Wenn Sie diese 8 Schritte befolgen, können Sie E-Mail-Adressen sammeln und Nachrichten versenden, ohne gegen geltende gesetzliche Vorschriften zu verstoßen.
Ich werde Ihnen außerdem am Beispiel von MailerLite zeigen, wie Ihr E-Mail-Marketing-Anbieter Ihnen dank seiner umfassenden DSGVO helfen kann.
Rechtlicher Hinweis: Ob Sie die Datenschutzbestimmungen einhalten, hängt letztlich davon ab, wie Sie Daten verarbeiten und E-Mails versenden, sowie von den spezifischen Vorschriften, denen Sie unterliegen. Diese bewährten Vorgehensweisen können Ihnen zwar eine Orientierungshilfe bieten, doch sollten Sie zur absoluten Sicherheit einen Rechtsbeistand hinzuziehen.
1. Holen Sie eine klare und ausdrückliche Einwilligung ein
Die Einwilligung ist die Grundlage für konformes E-Mail-Marketing.
Erstellen Sie DSGVO E-Mail-Anmeldeformulare mit Einwilligungsmechanismen, die sicherstellen, dass Sie von den Nutzern eine informierte, spezifische und freiwillige Einwilligung einholen.
Stellen Sie sicher, dass klar ist, wofür sich jemand anmeldet, wenn er seine E-Mail-Adresse eingibt. Wenn Sie jemandem einen Newsletter und zusätzlich Partnerangebote zusenden möchten, stellen Sie sicher, dass dies deutlich erkennbar ist.
Das im folgenden Screenshot gezeigte MailerLite-Formular macht beispielsweise deutlich, dass der Nutzer bei der Anmeldung einen Newsletter sowie die „Ultimate Guide“-Reihe erhält.
Sie können die Einwilligung einholen, indem Sie sicherstellen, dass aus dem Formulartext klar hervorgeht, wofür sich der Nutzer anmeldet, wie im obigen Beispiel.
Opt-in-Kontrollkästchen können Ihnen dabei helfen, eine ausdrückliche, aktive Einwilligung einzuholen. Vermeiden Sie jedoch unbedingt vorab angekreuzte Kontrollkästchen, da diese gemäß DSGVO ausdrücklich verboten sind.
2. Sorgen Sie mit einer Datenschutzerklärung für Transparenz
Das Auskunftsrecht DSGVObedeutet, dass Abonnenten Sie jederzeit auffordern können, genau darzulegen, wie Sie ihre Daten verwenden.
Am einfachsten ist es, wenn Sie dies im Voraus in Ihrer Datenschutzerklärung angeben und dann in Ihrem Anmeldeformular einen Link dorthin einfügen.
Mit MailerLite können Sie ganz einfach einen Link zu Ihrer Datenschutzerklärung in jedes Formular einfügen.
Falls Sie noch keine solche Richtlinie haben, können Sie mit Termly eine auf Ihr Unternehmen zugeschnittene Richtlinie erstellen.
3. Opt-Ins im Blick behalten
Es ist sinnvoll, Aufzeichnungen darüber zu führen, wann und wie sich Personen in Ihre Liste eingetragen haben.
Sehen Sie sich zum Beispiel im folgenden Screenshot an, wie MailerLite wichtige Details wie IP-Adresse, Standort, Datum, Uhrzeit und Quelle der Anmeldung erfasst.
Sie können auch das Double-Opt-in aktivieren, ein Verfahren, bei dem der Nutzer auf einen Link in einer E-Mail klicken muss, um sich in Ihre Liste einzutragen.
Dadurch wird sichergestellt, dass tatsächlich der Inhaber der E-Mail-Adresse seine Einwilligung erteilt hat, und gleichzeitig wird die Nachweiskette hinsichtlich der Einhaltung der Vorschriften weiter gefestigt.
Diese Funktionen können zwar hilfreich sein, garantieren jedoch keine Einhaltung der Vorschriften. Letztendlich kommt es darauf an, wie Sie die Daten der Personen nutzen, die sich dafür angemeldet haben.
4. Ermöglichen Sie den Nutzern, ihre Daten zu löschen
Eine wichtige Compliance-Anforderung ist, dass Sie über ein Verfahren verfügen, mit dem Personen die Daten löschen können, die Sie über sie gespeichert haben.
Es reicht nicht aus, Ihre Abonnenten einfach abzumelden. Auch wenn der Nutzer dadurch keine E-Mails mehr von Ihnen erhält, bleiben seine Daten weiterhin in Ihrem System gespeichert.
Die „Löschen“-Funktion von MailerLite löscht alle Daten des Nutzers – von der E-Mail-Adresse über das Profil bis hin zu Klicks und Berichten – und erleichtert so die Bearbeitung von Löschanfragen.
Ein Beispiel finden Sie im folgenden Screenshot.
5. Den Menschen Zugang zu ihren Daten gewähren
Sie müssen den Betroffenen außerdem Zugang zu den Daten gewähren, die Sie über sie gespeichert haben.
Mit der Datenexportfunktion von MailerLite können Sie beispielsweise die Daten eines Abonnenten im PDF- oder JSON-Format herunterladen, wenn dieser einen Antrag auf Datenübertragbarkeit stellt.
Sie können die Daten einfach aus dem Profil des Abonnenten exportieren und ihm den Bericht zusenden.
6. Abonnenten nach Standort filtern
Eine weitere Möglichkeit, die Vorschriften einzuhalten, besteht darin, den Inhalt der E-Mails je nach Standort des Nutzers anzupassen.
Der Abonnentenfilter von MailerLite enthält beispielsweise eine Standortregel, mit der Sie Abonnenten je nach ihrem Land identifizieren und segmentieren können.
Mehr dazu im folgenden Screenshot.
Verwenden Sie diese Funktion, um für bestimmte geografische Gruppen unterschiedliche Einwilligungsstandards anzuwenden.
7. Nutzen Sie vertrauenswürdige Dienstleister und Software
Gemäß Vorschriften wie der DSGVO sind Sie nicht nur für Ihre eigenen Praktiken verantwortlich, sondern auch für die Praktiken aller Dritten, die die Daten Ihrer Abonnenten verarbeiten, einschließlich Ihrer E-Mail-Marketing-Plattform.
Achten Sie bei der Auswahl eines Tools auf folgende Funktionen:
- ISO 27001-Zertifizierung: Diese bestätigt, dass das Tool über ein umfassendes System zur Verwaltung und zum Schutz sensibler Daten verfügt
- Ein formeller Zusatz zur Datenverarbeitung (DPA): Hierbei handelt es sich um einen gemäß DSGVO vorgeschriebenen Vertrag DSGVO die Beziehung zwischen der Marke und dem ESP regelt
- Transparenz bei der Beauftragung von Unterauftragsverarbeitern: Die Datenschutzvereinbarung (DPA) von MailerLite regelt auch den Einsatz von Unterauftragsverarbeitern (anderen Anbietern, mit denen das Unternehmen zusammenarbeitet) und gewährt Ihnen so vollständigen Einblick in die Datenverarbeitungskette.
Diese Standards gelten nicht nur für Ihren E-Mail-Anbieter.
Achten Sie bei Ihrem CRM, Ihren Analysetools, Ihrer E-Commerce-Plattform oder jedem anderen Tool, das Kundendaten speichert, auf die oben genannten Funktionen.
8. Bieten Sie eine klare Möglichkeit zum Abmelden an
Jede Marketing-E-Mail, die Sie versenden, muss eine klare und leicht auffindbare Abmeldeoption enthalten.
Die Möglichkeit, sich von der Kommunikation abzumelden, ist gemäß CAN-SPAM, CASL, DSGVO und praktisch allen anderen E-Mail-Vorschriften weltweit vorgeschrieben.
Beispielsweise fügt MailerLite automatisch einen Abmeldelink in jede E-Mail ein, die über die Plattform versendet wird.
Das schützt sowohl Sie als auch Ihre Abonnenten.
Neben der einfachen Abmeldung bietet MailerLite auch ein „Subscriber Preference Center“ an, in dem Abonnenten ihre Einstellungen selbst verwalten können, anstatt sich einfach komplett abzumelden.
Dies ist ein wirksames Mittel, um die Zahl der Abmeldungen zu verringern.
Abonnenten können wählen, ob sie weniger E-Mails erhalten, bestimmte Arten von Inhalten abbestellen oder ihre Daten aktualisieren möchten, anstatt sich von allem abzumelden.
Mehr Kontrolle bedeutet, dass Ihre Abonnenten nach ihren eigenen Vorstellungen auf Ihrer Liste bleiben und Sie einen Abonnenten behalten, den Sie andernfalls vielleicht verloren hätten.
Was passiert, wenn Sie sich nicht daran halten?
Die Nichteinhaltung von Datenschutzbestimmungen und Anti-Spam-Gesetzen kann sowohl rechtliche als auch rufschädigende Folgen haben.
Mögliche Bußgelder und Strafen
Die finanziellen Folgen einer Nichteinhaltung können erheblich sein:
- DSGVO: Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
- CCPA/CPRA: Bis zu 7.988 US-Dollar pro vorsätzlichem Verstoß
- CAN-SPAM: Bis zu 53.088 US-Dollar pro E-Mail bei Verstößen
- CASL: Bis zu 10 Millionen CAD pro Verstoß für Unternehmen und 1 Million CAD für Einzelpersonen
Aufsichtsbehörden in der gesamten EU haben hohe Geldbußen gegen Unternehmen jeder Größe verhängt, von KMU bis hin zu multinationalen Konzernen.
Zu den Gründen zählen Mängel beim Einwilligungsmanagement, beim Umgang mit Daten und bei der Meldung von Datenschutzverletzungen.
Rufschädigung und Vertrauensverlust
Von einer Geldstrafe kann man sich vielleicht erholen. Aber der Schaden für den Ruf der Marke lässt sich schwerer wieder gutmachen.
Wenn bekannt wird, dass ein Unternehmen Kundendaten unsachgemäß behandelt hat, verbreitet sich diese Nachricht schnell. Es kann Jahre dauern, das Vertrauen der Öffentlichkeit wiederherzustellen.
Dies ist besonders wichtig für Unternehmen in Branchen, in denen Daten besonders sensibel sind oder in denen die Kundenbeziehung stark vom Vertrauen abhängt.
Rechtsstreitigkeiten und Gerichtsverfahren
Abgesehen von behördlichen Geldbußen können Unternehmen, die Gesetzen wie dem CCPA/CPRA unterliegen, mit Zivilklagen von Personen konfrontiert werden, deren Rechte verletzt wurden.
In diesen Rechtsordnungen ermöglicht es das Datenschutzrecht Einzelpersonen, Schadenersatz für materielle und immaterielle Schäden zu verlangen, die durch eine rechtswidrige Datenverarbeitung entstanden sind.
Die Kosten eines Rechtsstreits können selbst bei einem erfolgreichen Ausgang erheblich sein.
Mit den richtigen Schritten ist die Einhaltung der Vorschriften ganz einfach
Dieser Artikel mag alarmierend klingen, aber die Einhaltung der Vorschriften bedeutet lediglich, dass Sie die aufgeführten bewährten Verfahren befolgen und einen vertrauenswürdigen E-Mail-Marketing-Anbieter wählen, der Ihnen einen Großteil der Arbeit abnimmt.
Beginnen Sie mit diesen vier Grundlagen:
- Holen Sie die ausdrückliche Zustimmung ein,
- Seien Sie offen und ehrlich darüber, wie Sie Daten nutzen,
- Machen Sie es einfach, sich abzumelden, und
- Arbeiten Sie nur mit Dienstleistern zusammen, die Compliance genauso ernst nehmen wie Sie.
Wenn Sie das konsequent tun, halten Sie nicht nur die Vorschriften ein, sondern bauen im Laufe der Zeit auch eine E-Mail-Liste auf, deren Empfänger engagierter, treuer und wertvoller sind.
Verfasst von Duncan Elder
Ich bin Duncan, Content-Autor bei MailerLite. Ich liebe es, Websites mit No-Code-Tools zu erstellen und über das zu schreiben, was ich dabei lerne. Meine erste Website habe ich 2011 mit Blogger erstellt – man kann mit Fug und Recht sagen, dass sich Website-Baukästen seitdem erheblich verbessert haben!
Alle Beiträge von Duncan Elder lesen
Überprüft von Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic ist Rechtsberaterin und Director of Global Privacy Termly. Sie hat einen Abschluss in Rechtswissenschaften der Universität Belgrad. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzbestimmungen (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD) durch Unternehmen.
Alle Beiträge lesen, die von Masha Komnenic CIPP/E, CIPM, CIPT, FIP geprüft wurden
