DSGVO-konforme Newsletter? Geht auch mit IBM Notes/Domino.

von Filip Meyer,
assono GmbH, Standort Kiel,

Wenn Sie vereinzelt oder auch regelmäßig Newsletter o.ä. an beispielsweise Ihre Kunden, Interessenten, Lieferanten usw. senden, dann ist die am 25.05. in Kraft getretende DSGVO (Datenschutzgrundverordnung) sicherlich auch diesbezüglich ein Thema für Sie, das Sie adressieren möchten. Da Notes/Domino nicht immer die benötigten Bordmittel liefert, ist es u.U. notwendig, eigene Lösungen zu finden. Wir unterstützen Sie dabei diese Herausforderungen zu meistern.

Warum eigentlich das Ganze?

Im Allgemeinen regelt die DSGVO, wie mit personenbezogenen Daten umgegangen werden muss. Da die E-Mail-Adresse ein personenbezogenes Datum ist, fällt die Verarbeitung dieser unter die DSGVO und damit den Datenschutz. Die nachfolgenden Anforderungen sind speziell auf den Versand von Newsletter fokussiert und müssen zusätzlich zu den allgemeinen Datenschutzrichtlinien erfüllt sein (Löschung, Portabilität, ...).

Verarbeiten Sie die Daten selbst oder beauftragen Sie Dritte?

Im ersten Schritt ist zu schauen, wer die personenbezogenen Daten verarbeitet.

Wenn Sie einen Domino-Server einsetzen und die Kontaktdaten im Domino-Verzeichnis bzw. einer spezifischen CRM-Anwendung speichern und verarbeiten, müssen Sie selbst für die Einhaltung der Grundprinzipien im Datenschutz (Zweckbindung, Datensicherheit, -konfomität, -verfügbarkeit, -integrität, -transparenz und -sparsamkeit) sorgen.

Wenn Sie einen externen Dienstleister bzw. Auftragsverarbeiter beauftragen, dann muss dieser sorgfältig nach diesen Datenschutzkriterien (vgl. Art. 28ff. DSGVO) ausgewählt und ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.

Zusätzlich sollte die Verwendung der Daten, auch in Verbindung mit dem Newsletter, in die Datenschutzerklärung aufgenommen werden.

Wo kommen die Daten überhaupt her?

Als nächstes stellt sich die Frage, wie Sie an die personenbezogenen Daten gekommen sind und wo diese erhoben wurden bzw. werden. Generell sieht die Rechtslage in Deutschland das sogenannte Double-Opt-In (DOI) Verfahren vor. Ziel hiervon ist die ausdrückliche Einwilligung durch eine aktive doppelte Bestätigung:

  1. Beim Eintragen der Daten bzw. bei der Anmeldung zum Newsletter auf z. B. der Webseite.
    Nach Art. 13 DSGVO muss die betroffene Person bei Erhebung von personenbezogenen Daten umfassend informiert werden (Wer erhebt? Welche Daten? Wie? Wie lange? Zu welchem Zweck? Widerspruchsrecht usw.). Dies steht normalerweise in der beigefügten Datenschutzerklärung und kann durch eine Pflicht-Checkbox, die aktiv angehakt werden muss, eingewilligt werden.
  2. In einer personenbezogenen Bestätigung.
    Nach Klick auf den Bestätigungslink in einer versandten Bestätigungsmail (natürlich ohne Werbung o.ä.) ist das DOI-Verfahren abgeschlossen. So können keine fremden Personen ohne deren Einwilligung für einen Newsletter angemeldet werden.

Hierbei ist es wichtig, die Nachweisbarkeit des DOI-Verfahrens mit Datum, Uhrzeit IP-Adresse usw. zu speichern und für eventuelle Nachfragen zur Verfügung zu haben. Natürlich muss auch diese Speicherung in der Datenschutzerklärung enthalten sein. ;-)

Im Anmeldeformular sollte das Prinzip der Datensparsamkeit verfolgt und nur die E-Mail-Adresse als Pflichtfeld erfasst werden.

Haben Sie bereits Daten, die vor dem in Kraft treten der DSGVO erfasst wurden? Dann sollte nur geprüft werden, ob das damals durchgeführte DOI-Verfahren nachweisbar ist. Falls nicht, dann kann eine Bestätigungsmail mit entsprechendem Link an diese Personen gesendet werden, wodurch eine erneute ausdrückliche Einwilligung erhalten werden kann.

Was muss ein Newsletter enthalten?

Neben dem eigentlichen Inhalt des Newletters muss natürlich ein Impressum enthalten sein, das nach §5 TMG (Telemediengesetz) Pflicht ist.

Außerdem muss sichergestellt werden, dass sich die betroffene Person auf Grund des Widerspruchsrechts nach Art. 21 DSGVO schnell und einfach vom Erhalt des Newsletters abmelden kann. Dies ist normalerweise über einen Abmeldelink möglich.

Zusammen meistern wir die Herausforderungen

Ihre CRM-Notes-Anwendung erlaubt es nicht, Empfängern Auskünfte über die verarbeiteten Daten zu geben? Nach der Abmeldung vom Newsletter können die Daten nicht automatisch entfernt werden? Können sich die Empfänger überhaupt mit wenigen Klicks abmelden z. B. über einen Link im entsprechenden Newsletter?

Ob Anpassung Ihrer Notes-Anwendung, Entwicklung eines Abmeldeprozesses über beispielsweise eine kleine Webanwendung oder weiteres. Wir unterstützen Sie beim Meistern der Herausforderungen, die im Zuge der DSGVO auftreten.

Keine Rechtsberatung

Unser unverbindliches Angebot dient dem Informationszweck und ist keine Rechtsberatung. Der Inhalt dieses Angebots kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.

Nächster Artikel in dieser Reihe:

Wir unterstützen Sie, die Herausforderungen der DSGVO zu meistern

Das könnte Sie auch interessieren:

Quellen:

Fachbeitrag IBM Notes IBM Domino Web-Entwicklung Sicherheit Tipp Administration Kommunikation

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen? Wir sind für Sie da.

Wir verwenden Ihre Daten, um Sie einmalig per E-Mail zu kontaktieren. Wir geben Ihre Daten nicht an Dritte weiter. Siehe: Datenschutzhinweise
assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de