Blog

«DSGVO, DSG, UWG, FMG im E-Mail-Marketing – alles klar?» Das gibt’s beim Datenschutz zu beachten

Auch wenn es so klingt, es handelt sich hier nicht um eine Zeile aus dem bekannten Song «MfG» der Fantastischen Vier. Thema ist viel mehr das kommende neue Schweizer Datenschutzgesetz, die Abgrenzung gegenüber dem Gesetz gegen den unlauteren Wettbewerb und die Auswirkung von beiden auf das E-Mail-Marketing und die Kaltakquise per E-Mail. Das gibt’s beim Datenschutz zu beachten:

Wie grenzen sich DSGVO, DSG, UWG und FMG gegeneinander ab?

Vielen Unternehmen ist die Abgrenzung zwischen den verschiedenen Gesetzen unklar. Dabei ist sie im Grunde genommen einfach: Die EU-Datenschutz-Grundverordnung (DSGVO) und das Schweizerischen Bundesgesetz über den Datenschutz (DSG) regeln den Schutz der Daten, die Datenhaltung und die Datenverarbeitung.

Im Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und im Fernmeldegesetz (FMG) geht es darum, mit wem und wie ich mit jemandem in Dialog treten darf.

Wie ich E-Mail-Adressen speichere, verarbeite und vor Missbrauch schütze, fällt unter das DSG. Ob ich damit spamme, ist dem DSG egal. Ganz im Gegensatz zum UWG und FMG. Diese regeln, ob ich mit der Person hinter der E-Mail-Adresse überhaupt in Kontakt treten darf. Und was die Konsequenzen sind, wenn ich das ohne Einverständnis der betroffenen Personen tue.

Das DSG wird verschärft: Was bedeutet das für Unternehmen?

Diese Punkte hier aufzulisten und zu kommentieren, sprengt den Rahmen des Beitrags. Gute Zusammenfassungen finden sich in Blogbeiträgen oder auf Websites von spezialisierten Anwaltskanzleien.

Doch zurück zur Frage. Auch unter dem aktuellen DSG gibt es bereits viele Voraussetzungen, die Unternehmen im Grundsatz erfüllen müssen. Abgesehen von grossen Betrieben mit eigenen Rechtsabteilungen haben sich Firmen jedoch kaum damit auseinandergesetzt. Erst die Einführung der DSGVO und die kommende Verschärfung des DSG haben zu einer Sensibilisierung für das Thema geführt.

Zu den wichtigsten Fragen, die hinsichtlich des aktuellen und künftigen DSG zu beantworten sind, gehören: 

  • Was muss mein Unternehmen im Datenschutz von Gesetzes wegen erfüllen?
  • Verarbeite ich Personendaten von oder durch Dritte?
  • Verarbeite ich besonders schützenswerte Personendaten?
  • Welchen Rechtsgrundlagen unterstehen mein Unternehmen und seine Datenbestände?
  • Unterstehe ich dem DSG, einzelnen kantonalen Datenschutzgesetzen, der DSGVO oder weiteren internationalen Bestimmungen?
  • Habe ich mich vertraglich mit Auftragsverarbeitungsverträgen abgesichert?
  • Benötige ich für bestimmte Daten eine Datenschutzfolgeabschätzung?
  • Welche Betroffenenrechte sind wie zu gewährleisten?
  • Welche Dokumentationen sind gesetzlich vorgeschrieben?
  • Sind die Mitarbeiterverträge und Geheimhaltungsvereinbarungen auf dem neuesten Stand?

Fit fürs DSG zu sein, heisst also, sich mit rechtlichen, organisatorischen und technischen Aspekten auseinanderzusetzen. Das gilt für KMU wie den Bäcker von nebenan genauso wie für Grossunternehmen. Wobei es selbstverständlich Unterschiede gibt: Der Bäckermeister muss einige wenige grundlegende Massnahmen ergreifen, aber zum Beispiel kein Datenverzeichnis erstellen. Der kleine Adressdienstleister mit drei Mitarbeitenden jedoch schon. Grossunternehmen hingegen müssen sich sehr ausführlich um die «Compliance» kümmern und diese lückenlos dokumentieren.

Qualität der E-Mail-Adressen

Wann dürfen Unternehmen jemandem Werbung per E-Mail senden? Selbstverständlich, wenn die ausdrückliche Einwilligung des Empfängers vorliegt. Es empfiehlt sich, zum Einholen dieser Einwilligung auch in der Schweiz das Double-Opt-in (DOI) zu verwenden, obwohl es nicht vorgeschrieben ist.

Das DOI hilft Unternehmen dabei, die Qualität der E-Mail-Adressen zu erhöhen. Zudem dient es als sicherer Nachweis, dass der Empfänger dazu eingewilligt hat, werbliche E-Mails zu erhalten. Im Anmeldeprozess bestätigt dieser ausdrücklich, dass er Informationen per E-Mail erhalten will.

Das DOI ist auch deshalb sinnvoll, weil es im EU-Raum Pflicht ist. Rein anhand der Domäne, E-Mail-Adresse oder IP-Adresse zu verhindern, dass jemand aus der EU sich für einen Newsletter anmeldet, ist nicht möglich. Wichtig ist auf jeden Fall, dass das Opt-in zurückverfolgbar ist. Bereits beim einfachen Opt-in gehört dazu die E-Mail-Adresse, die Quelle, wo ich mich angemeldet habe, das Anmeldedatum und die IP-Adresse.

In diesem Punkt schliesst sich der Kreis zum Anfang dieses Beitrags über das Datenschutzgesetz: Das DSG sieht vor, dass jede Person bei jedem Unternehmen darüber Auskunft verlangen kann, welche Daten über sie gespeichert sind, woher diese stammen und wozu sie verwendet werden. Es geht also um die Dokumentierung der Datenherkunft, deren Haltung und Verwendung.

Das Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und das Fernmeldegesetz (FMG) kommen dann ins Spiel, wenn eine Person sich durch Werbung per E-Mail belästigt fühlt und rechtliche Schritte unternimmt. Dann kann das betroffene Unternehmen anhand der oben erwähnten Daten beweisen, dass es rechtens gehandelt hat.

Spielregeln für Werbe-Newsletter

Ein Spezialfall sind aktive Bestandskunden. Vorausgesetzt, der Kunde hat dem Erhalt von Newslettern nicht widersprochen, darf man ihn auch ohne ausdrückliches Opt-in per E-Mail bewerben. Darüber hinaus müssen Newsletter im Zusammenhang mit dem gekauften Produkt stehen. Wenn ich ein Fahrrad kaufe, ist es in Ordnung, wenn ich danach Werbung für Satteltaschen oder Fahrradhelme erhalte. Für Kosmetik nicht.

Wichtig sind auch folgende Punkte: 

  • Der Absender des Newsletters muss klar ersichtlich sein. 
  • Der Empfänger des Newsletters muss darauf hingewiesen werden, dass er sich vom Newsletter abmelden kann. Und er muss sich einfach abmelden können. Zum Beispiel per Klick auf einen Link ohne erneute Eingabe der E-Mail-Adresse.
  • Idealerweise beinhaltet der Newsletter zudem ein Impressum oder einen Link darauf und die vollständige Adresse des Absenders inklusive der Möglichkeit, mit diesem in Kontakt zu treten.

Ebenfalls empfehlenswert ist ein Hinweis auf die Datenschutzerklärung. Da ist es sinnvoll, transparent zu sein: Welche Daten werden erhoben? Wozu werden die Daten verwendet? Wo werden die Daten gespeichert? Welche Tools werden verwendet?

Dürfen Unternehmen Daten über einen Server, der ausserhalb der EU steht, versenden? Oder sie dort speichern? Hier gilt idealerweise: Switzerland first, danach EU-Raum, wegen der strengen EU-Datenschutz-Grundverordnung (DSGVO). Datenhaltung und Versand über Server, die irgendwo stehen, ist zwar erlaubt, aber datenschutzrechtlich nicht unbedenklich. Denn ohne entsprechendes Gesetz oder Datenverarbeitungsverträge weiss man schlicht nicht, wozu die Daten allenfalls genutzt werden.

Damit es nicht (zu) heikel wird

E-Mail-Marketing richtet sich an Interessenten und Bestandskunden. Es beginnt zum Beispiel mit Willkommensstrecken, wenn jemand ein Produkt kauft oder sich für einen Newsletter anmeldet. Danach geht es darum, den Empfängern individuellen, auf ihre Interessen und Bedürfnisse zugeschnittenen Content auszuspielen. Dieser basiert darauf, was jemand bisher bestellt hat, was auf der Website angeschaut wurde oder im Newsletter angeklickt wird und so weiter.

Was ist mit info@-Adressen?

Im B2B-Bereich ist es möglich, selbst neutrale E-Mail-Adressen, wie info@-Adressen im Internet zusammenzusuchen und an diese eine E-Mail zu senden. Aber da geraten Unternehmen schnell in eine Grauzone. Weshalb?

Im Grundsatz sind info@-Adressen eher firmen- und nicht personenbezogen. Bei kleinen KMU mit wenigen Mitarbeitenden kann die neutrale Adresse trotzdem als personenbezogen betrachtet werden. Weil man mit hoher Wahrscheinlichkeit genau die Person anschreibt, die man im Fokus hat. Beim Anschreiben von kleinen KMU, muss man deshalb auch mit harschen Reaktionen rechnen.

Bei grossen Unternehmen hingegen stellt sich die Sinnfrage: Erreiche ich den jeweiligen Entscheidungsträger eines Betriebs mit mehr als 1000 Mitarbeitenden wirklich über die info@-Adresse?

Darüber hinaus gut zu wissen

Gänzlich tabu für Massenversände sind im Internet zusammengesuchte geschäftliche E-Mail-Adressen, die einen Namen beinhalten, zum Beispiel joanna.doe@mustermann.ch. Diese gelten als personenbezogen und dürfen deshalb nicht angeschrieben werden.

Last but not least: E-Mail-Adressen für die Kaltakquise gehören nicht in ein E-Mail-Marketing-Tool. Besser man sendet eine normale, persönliche, sympathische E-Mail, in der man umreisst, weshalb sich beispielsweise das Abonnieren des Newsletters lohnt. Das hat den Vorteil, dass sich kaum jemand brüskiert fühlt und man so Leads gewinnt, die sich wirklich für die Leistungen des Unternehmens interessieren.

Dieser Blog-Artikel fasst ein Fachgespräch über die Gesetzgebung im E-Mail-Marketing zusammen. Teilgenommen haben Heinz Schopfer, Mitgründer der datenschutzhilfe GmbH, Oliver Weinstock, Managing Partner bei der Nemuk AG und Tina Frey, stellvertretende Geschäftsführerin bei Swiss Newsletter und der mailxpert GmbH.

Zurück
«DSGVO, DSG, UWG, FMG im E-Mail-Marketing – alles klar?» Das gibt’s beim Datenschutz zu beachten
Swiss Newsletter
unverbindlich testen
arrow