problem and solution concept

Datenschutz und so

Erfolgsbrief, KMU-Marketing

poster-1568247-750×500

Wird dir angst und bange, wenn du das Wort «Datenschutz-Grundverordnung 2018 (DSGVO)» hörst? Jetzt kannst du sagen: Der kommt jetzt nicht auch noch mit dem Thema Datenschutz. Doch. Und weisst du warum? Ich habe von vielen Kunden Fragen zur neuen Datenschutzverordnung erhalten und habe nirgendwo alle wichtigen Antworten auf einen Schlag gefunden. Also habe ich ein Interview mit einem Profi geführt und dachte nun, ich sende die Antworten nicht nur meinen Kunden, sondern grad allen Newsletter-Lesern. Et voilà.

Mein Interviewpartner war Christoph S. Ackermann – Geschäftsführer des Berner Internetunternehmens cubetech.

Per wann und für wen wird ist die Datenschutz-Grundverordnung relevant?
Christoph S. Ackermann: Die Verordnung betrifft jedes Unternehmen, welches Privatpersonen aus dem EU-Raum per E-Mail anschreibt oder deren Kontakte abgespeichert hat. Es gilt auch für Firmen, auf deren Webseiten Personen aus dem EU-Raum Produktebestellung abschicken oder Formulare ausfüllen können. Es reicht schon, wenn Daten von Besuchern aus dem EU-Raum auf einer Webseite ausgewertet werden. De facto betrifft es also alle Webseitenbetreiber und Unternehmen, die Bestellungen sowie Newsletters an EU-Bürger senden. In der EU tritt die neue DSGVO am 25. Mai in Kraft.

Und was ist, wenn mein Unternehmen nur in der Schweiz tätig ist und keine Nicht-Schweizer in der Kontaktdatenbank hat?
Ackermann: Erstens ist es wie gesagt trotzdem möglich, dass beispielsweise eine Person aus Deutschland eine Schweizer Webseite besucht und dort vielleicht sogar einen Newsletter abonniert oder ein Formular ausfüllt. Zudem besteht eine sehr grosse Chance, dass die Kernpunkte der Verordnung auch in der Schweiz durchgesetzt werden. Das Thema wird momentan im Parlament diskutiert. Die Umsetzung ist auf Dezember diesen Jahres geplant. Wer also jetzt noch nicht auf die EU-Verordnung reagiert, bewegt sich einerseits auf dünnem Eis und gewinnt andererseits bestenfalls Zeit.

Darf ich Google Analytics noch betreiben?
Ackermann: Mit Cookiehinweis und einem Link auf eine korrekte Datenschutzerklärung, ja.

Brauche ich auch einen Cookiehinweis, wenn ich Google Analytics ausschalte – einige Webseitentools wie WordPress setzen Cookies auch ohne Analytics?
Ackermann: Ja, auch hier braucht es einen Cookiehinweis.

Was muss in dieser Datenschutzerklärung stehen und wo muss sie hin – etwa ins Impressum? Dieses ist in der Schweiz auch nicht obligatorisch, oder?
Ackermann: Wer richtig googelt findet gute Vorlagen für Datenschutzerklärungen. Es empfiehlt sich aber, diese auf das Unternehmen anzupassen und von einem Anwalt prüfen zu lassen. Und ja: Eine Webseite eines CH-Unternehmens muss ein Impressum haben – das gilt schon seit 2012. Vermischen mit Impressum oder AGB darf man das aber nicht. Die Datenschutzerklärung muss alleine stehen und ausschliesslich dieses Thema beinhalten.

Was muss ich tun, wenn ich einen Online-Shop betreibe?
Ackermann: Wie gesagt kommt es nicht darauf an, ob man nur in der Schweiz verkauft – auf jeden Fall nicht mehr lange. Wir empfehlen, dass der Kunde ein zusätzliches Kreuz setzen muss, dass er neben den AGB auch die Datenschutzerklärung (beides verlinken) gelesen und akzeptiert hat.

Und was ist mit Kontaktformularen sowie Anmeldeformularen für Events und Bestellformularen für  Kundenzeitung, Rückrufe, Offertanfragen, usw?
Ackermann: Im Prinzip ist es das gleiche wie bei einem Shop. Der Besucher soll ein Kreuz oder Häkchen setzen, dass er die Datenschutzerklärung gelesen und akzeptiert hat.

Muss bei Newsletteranmeldungen immer ein Double-Optin hinterlegt sein – das heisst, dass die Person nach der Anmeldung zuerst ein Mail mit einem Bestätigungslink erhält, bevor sie den ersten Newsletter erhält?
Ackermann: Ja, immer. Das gilt auch, wenn sich die Personen beispielsweise an einem Anlass oder einem Seminar für den Newsletter anmelden. Zudem muss auch im Double-Optin-Bestätigungsmail die Datenschutzerklärung verlinkt werden.

Was macht jemand, der das Formular nicht mit dem Newsletterprogramm verbunden hat, welches automatisch einen Double-Optin-Prozess machen kann? Oder wenn die Kontakte wie eben angesprochen gar nicht auf dem Internet zustande kommen?
Ackermann: In diesem Fall muss beim Import der Kontaktdaten ins Newsletterprogramm manuell ein Double-OptIn-Mail an den neuen Newsletterempfänger ausgelöst werden – das kann jedes gute Newsletterprogramm.

Muss ich die Kontakte in der Datenbank informieren, dass ich ihre Angaben gespeichert habe?
Ackermann: Die juristische Antwort lautet: Ja. Informieren und um Zustimmung zur weiteren Speicherung sowie Verarbeitung bitten. Pragmatische Antwort: Einfach beim nächsten Mailing informieren. Wenn diese Personen nicht angeschrieben werden, würde ich das eher nicht machen.

Das würde dann theoretisch auch alle Kontakte im E-Mailprogramm wie beispielsweise im Outlook betreffen, wo mal ein Mailverkehr stattgefunden hat?
Ackermann: Theoretisch ja.

Darf ich Personen, die seit Jahren meinen Newsletter erhalten und lesen weiterhin Letters senden, auch wenn ich nicht mehr weiss, wer sich über welchen Kanal angemeldet hat?
Ackermann: Theoretisch muss ich diese Personen auffordern, mit einem Klick auf einen Link zu bestätigen, dass sie den Newsletter weiterhin erhalten wollen. Das Mail mit dem Link sollte idealerweise aber noch vor dem 25. Mai raus – sonst ist ganz streng gesehen eigentlich schon der Versand des Mails mit dem Link nicht mehr zulässig. Ganz pragmatisch würde ich das aber nicht tun, sondern beim nächsten Newsletter gut sichtbar einen Hinweis auf die neue Datenschutzerklärung einbauen. Im diesem Text würde ich darauf hinweisen, dass du davon ausgehst, dass wenn sich die Person nicht meldet, sie die Erklärung gelesen sowie akzeptiert hat und dass sie deine Newsletters weiterhin erhalten möchte.

Und was ist, wenn jemand an einem Anlass ein Kärtchen ausfüllt und ich ihn nachher kontaktiere beziehungsweise in den Newsletter-Verteiler aufnehme – beispielsweise bei einer Anmeldung für eine Analyse oder einer Anmeldung für eine Veranstaltung oder ein Seminar?
Ackermann: Es empfiehlt sich, auf dem Anmeldekärtchen einen Hinweis und einen Link auf die Datenschutzerklärung aufzudrucken.

Was hat Facebook-Werbung mit dem neuen Datenschutz-Gesetz zu tun?
Ackermann: Wenn ich Facebookwerbung mit meiner Webseite verbinde – beispielsweise bei einem Conversion-Tracking oder bei Remarketing-Massnahmen muss auch dort der Hinweis auf die Datenschutzerklärung eingebaut werden. Dieser Fall geht aber technisch ziemlich tief und ist eher Thema für den Internetprofi – zum Bespiel für uns von cubetech. Klar ist aber auch, dass sobald ich ein Facebook-Profil betreibe, ich auch unter die DSGVO falle.

Und zum Schluss: An wen kann ich mich wenden, wenn ich nicht mehr weiterweiss?
Ackermann: Wenn ein Anbieter von Webseiten und Newsletters seine Hausaufgaben gemacht hat, kann er Fragen zur DSGVO beantworten. Wenn es um eine rechtliche Absicherung geht, empfiehlt sich immer der Austausch mit einem spezialisierten Anwalt – insbesondere Schweizer Unternehmen, die Umsatz im EU-Raum machen, empfehle ich einen Austausch mit einem Anwalt dringend. Frage aber nicht einfach irgendeinen Anwalt, sondern nehme einen Spezialisten zum Datenschutzrecht zur Hand. Davon gibt es in der Schweiz aktuell nur eine Hand voll – auch wenn jeder behauptet, ein Experte zu sein.

Datenschützende Grüsse
Martin Aue