Seit vier Jahren gilt die DSGVO, seit dem 25. Mai 2018. In dieser Zeit hat sich gezeigt: Datenschutz ist heute im E-Mail-Marketing eines der wichtigsten Themen. Die Reputation von E-Mail-Massenversendern leidet, wenn diese sich nachweislich nicht an Datenschutzregeln halten – ihre Nachrichten werden von Providern dann eher als Spam deklariert und nicht zugestellt. Bei Verletzung der Vorschriften drohen außerdem finanzielle Risiken. Die nationalen Datenschutzbehörden innerhalb der EU haben zunächst verhalten, dann aber immer stärker mittels Bußgelder die Einhaltung der Regeln durchgesetzt. Diese können laut Gesetz bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.

Von 2020 auf 2021 hat sich die Gesamtsumme der Bußgelder auf 1,22 Milliarden Euro versiebenfacht, Luxemburg verhängte das mit Abstand höchste Einzelbußgeld in Höhe von 746 Millionen EUR gegen Amazon. Deutschland belegte im Jahr 2021 den 7. Platz bei der Höhe der Gesamtvolumina der Bußgelder. Was viele nicht beachten: Nicht nur gegen Unternehmen, sondern auch gegen Verantwortungsträger in Unternehmen wie Vorstände, Geschäftsführer oder externe Datenschutzbeauftragte können Bußgelder verhängt werden. Bei Angestellten ist dies in sehr eingeschränktem Maße möglich.

Den vierten Geburtstag der DSGVO sollten Verantwortliche daher nutzen, um Datenschutzregelungen im Unternehmen auf den Prüfstand zu stellen. Hilfestellung bieten dabei die folgenden sechs Punkte.

Wer ist genau für welche Daten verantwortlich und behält den Datenschutz im Blick? Laut Art. 30 EU-DSGVO sind Unternehmen dazu verpflichtet, eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. Hier stehen wesentliche Angaben zur Datenverarbeitung, beispielsweise die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Aktualisieren Sie dieses Verzeichnis fortlaufend, beispielsweise wenn neue Mitarbeiter:innen ins Unternehmen eintreten.

Damit alle im Unternehmen wissen, wie sie mit Daten der E-Mail-Empfänger und -Empfängerinnen rechtssicher umgehen, braucht es regelmäßige Schulungen. Dürfen externe Dienstleister die Daten hosten? Wann sind diese unwiederbringlich zu löschen? Die DSGVO schreibt die regelmäßige Schulung von Mitarbeitenden vor. Mitarbeiter und Mitarbeiterinnen, die mit personenbezogenen Daten arbeiten, sind nach der Datenschutz-Grundverordnung (DSGVO) mit den Regeln des Datenschutzes „vertraut zu machen“.

Keine Werbemail ohne Einwilligung. Die DSGVO verpflichtet Versender nachweisen zu können, dass eine Einwilligung vorliegt, bevor eine Werbemail gesendet wird. Geregelt ist das in Artikel 7 Absatz 1 DSGVO. Dieser Nachweis wird von der Rechtsprechung bislang ausschließlich über ein Double-Opt-in (DOI) anerkannt. Das heißt, tragen sich Empfänger:innen mit ihren Mailadresse in eine Mailing-Liste ein, wird eine zweite, bestätigende Mail mit einem Bestätigungslink an die Mailadresse geschickt. Diese Mail darf nicht werblich sein. Die Methode gewährleistet, dass Empfänger persönlich die Bestätigung erbringen. Der Versender hinterlegt die entsprechende Bestätigung als Nachweis in seinen Daten.

Rein rechtlich muss einen oder eine DSB bestellen, wenn mindestens 20 Mitarbeiter oder Mitarbeiterinnen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Alternativ, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten liegt. Zeigen Sie, dass Sie den Datenschutz ernst nehmen und bestellen Sie auch dann eine oder einen Verantwortliche:n für Datenschutz, wenn Sie nicht darunter fallen. DSB können intern bestellt werden, sprich aus der eigenen Mitarbeiterschaft oder extern. Unterstützung bieten hier externe Dienstleister.

Die eigentlich für das Jahr 2018 avisierte E-Privacy-Verordnung ist immer noch nicht beschlossen. Die weitere Entwicklung sollten Datenschutz-Verantwortliche auf jeden Fall im Blick behalten. Sie soll die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), auch Cookie-Richtlinie genannt, ersetzen. Unter anderem soll hier das Thema Tracking neu geregelt werden. Bis die Auseinandersetzungen zwischen den EU-Mitgliedstaaten beigelegt sind, muss auf die alte Richtlinie zurückgegriffen werden und die Frage zum Verhältnis der Regelungen der DSGVO und der geplanten E-Privacy-Verordnung weiterhin aufgeschoben werden.

Das ehemalige bilaterale Abkommen zum Datenaustausch zwischen der EU und den USA hat der Europäische Gerichtshof (EuGH) 2020 gekippt. Die aktuellen Regelungen über Standardvertrags- bzw. Standardschutzklauseln sehen vor, dass Unternehmen im Einzelfall abwägen, ob beim Datenaustausch mit Partnern in den USA diese Daten im Sinne der DSGVO verarbeiten. Das sorgt für Unsicherheiten, da europäische Unternehmen das nur schwer überprüfen können. Ende März stellten nun Kommissionspräsidentin von der Leyen und US-Präsident Biden ein neues Datenschutzabkommen vor. Mit dem sogenannten „Trans-Atlantic Data Privacy Framework“ („TADAP-Framework“) soll die Weitergabe persönlicher Daten an US-Digitalkonzerne neu geregelt werden. Bislang liegt mit dem jetzigen Papier lediglich eine politische Absichtserklärung vor.