Ein praktischer Leitfaden zu Direktmarketing unter GDPR

Dieser Leitfaden erklärt Direktmarketing unter GDPR praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen. Direktmarketing unter GDPR ist erlaubt, aber es ist kein Freibrief, jemandem eine Nachricht zu senden, dessen E-Mail-Adresse Sie finden können. Marketingteams benötigen zwei Analyseebenen: die GDPR-Rechtsgrundlage für die Verarbeitung personenbezogener Daten und die separaten ePrivacy- oder nationalen Regeln für elektronisches Marketing, die entscheiden, ob Sie für die Nachricht selbst eine vorherige Zustimmung benötigen.

Bei dieser Unterscheidung passieren viele Fehler. Ein Unternehmen hat möglicherweise ein berechtigtes Marketinginteresse, benötigt aber dennoch eine Einwilligung zum Versenden von E-Mails, SMS, Push-Benachrichtigungen oder zur Verwendung von Tracking-Cookies für Werbung.

GDPR Rechtsgrundlage für Marketing

Der GDPR erfordert eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten. Beim Direktmarketing sind die beiden häufigsten Kandidaten Einwilligung und berechtigte Interessen.

Die Einwilligung muss freiwillig, konkret, informiert und eindeutig erfolgen. Der EDPB erklärt, dass die Menschen eine echte freie Wahl, genügend Informationen, Granularität und eine klare positive Maßnahme ohne vorab angekreuzte Kästchen benötigen (Erklärung zur Einwilligung des EDPB).

Berechtigte Interessen können für einige Marketingmaßnahmen gelten, jedoch nur nach einer ordnungsgemäßen Abwägungsprüfung. Sie müssen das Interesse ermitteln, nachweisen, dass die Verarbeitung erforderlich ist, und sicherstellen, dass die Rechte und Erwartungen der Person nicht Vorrang haben. In Erwägungsgrund 47 des GDPR heißt es, dass Direktmarketing ein berechtigtes Interesse sein kann, aber „kann“ bedeutet nicht „immer“.

ePrivacy schränkt die Möglichkeiten ein

Für elektronisches Marketing ist GDPR nur ein Teil des Bildes. Die ePrivacy-Richtlinie, die durch nationale Gesetze umgesetzt wird, erfordert häufig eine vorherige Zustimmung für unerwünschte elektronische Kommunikation. Im UK erklärt das ICO die gleiche praktische Beziehung unter PECR: Einwilligung und berechtigte Interessen sind die wahrscheinlichen GDPR Rechtsgrundlagen, aber PECR kann eine Einwilligung für den Kanal erfordern; Wenn PECR eine Einwilligung erfordert, können berechtigte Interessen nicht dazu genutzt werden, diese Anforderung zu umgehen (ICO-Leitfaden für Direktmarketing).

EU Mitgliedsstaaten implementieren ePrivacy unterschiedlich, daher variieren die Details. Die operative Regel ist einfach: Überprüfen Sie die kanalspezifischen Marketingregeln, bevor Sie sich auf berechtigte Interessen verlassen.

Das Soft-Opt-In

Viele europäische Regelungen beinhalten eine Version des „Soft Opt-In“ für bestehende Kunden. Die Details variieren, aber das Muster ist in der Regel so, dass Sie die Kontaktdaten direkt während eines Verkaufs oder einer Verhandlung erhalten haben, Ihre eigenen ähnlichen Produkte oder Dienstleistungen vermarkten, bei der Erfassung der Daten eine eindeutige Möglichkeit zur Abmeldung gegeben haben, in jede Nachricht eine einfache Abmeldemöglichkeit aufgenommen haben und frühere Abmeldungen respektiert haben.

Das Soft-Opt-In ist nicht dasselbe wie der Kauf einer Liste. Dies gilt normalerweise nicht für Kaltakquise unter Verwendung von Daten Dritter. Es rechtfertigt auch nicht das Hinzufügen von Tracking-Pixeln oder ein Profiling ohne gesonderte Prüfung.

B2B Marketing ist nicht automatisch ausgenommen

B2B-Marketing kann in einigen Gerichtsbarkeiten flexibler sein, insbesondere für Unternehmens-E-Mail-Adressen, ist aber dennoch reguliert. Die geschäftliche E-Mail-Adresse einer Person ist immer noch ein personenbezogenes Datum, wenn sie sie identifizierbar macht. Sie benötigen weiterhin Transparenz, eine Rechtsgrundlage, Unterdrückungslisten und einen einfachen Einspruchsmechanismus.

Kalte B2B-Einsätze sollten zielgerichtet und verhältnismäßig sein. „Jeder Gründer in Europa“ ist kein aufmerksames Publikum. „Sicherheitsverantwortliche in Unternehmen, die einen veralteten Standard verwenden, werden wegen eines relevanten Migrationsleitfadens kontaktiert“ lässt sich leichter verteidigen.

Profilierung und Segmentierung

Bei der Marketingsegmentierung werden personenbezogene Daten verarbeitet. Eine einfache Segmentierung, wie z. B. Kunden vs. Interessenten oder Tarifstufe, birgt möglicherweise ein geringes Risiko. Verhaltensprofilierung, Lead-Scoring, Cross-Site-Tracking und sensible Schlussfolgerungen stellen ein viel höheres Risiko dar.

Gemäß GDPR haben Einzelpersonen das uneingeschränkte Recht, der Verarbeitung für Direktmarketing, einschließlich der damit verbundenen Profilerstellung, zu widersprechen. Sobald sie Widerspruch einlegen, müssen Sie die Verarbeitung ihrer Daten zu diesem Zweck einstellen. Führen Sie Unterdrückungslisten, damit Sie später nicht versehentlich erneut Personen hinzufügen.

Wenn Ihr Marketing-Stack Cookies, Werbepixel oder Datenanreicherung verwendet, bewerten Sie jeden Teil separat. Eine Newsletter-Plattform, CRM, ein Ad-Retargeting-Pixel, ein Website-Analysetool und ein Anreicherungsanbieter können jeweils unterschiedliche Rechtsgrundlagen, Hinweise, Verträge und Übertragungsprobleme einführen.

Praktische Compliance-Checkliste

Vergewissern Sie sich vor dem Versenden einer Kampagne, dass die Quelle der Kontaktdaten dokumentiert ist, die Rechtsgrundlage erfasst ist, kanalspezifische Einwilligungs- oder Soft-Opt-in-Regeln erfüllt sind, die Datenschutzerklärung Marketing und Profiling klar erklärt, die Abmeldung schnell funktioniert, Unterdrückungslisten in allen Tools berücksichtigt werden, Tracking-Pixel und Link-Tracking offengelegt und bei Bedarf genehmigt werden, Aufbewahrungsregeln inaktive Kontakte entfernen und Auftragsverarbeiter durch Verträge abgedeckt sind.

Vermeiden Sie bei Analysen im Zusammenhang mit Marketing die Übermittlung personenbezogener Daten an Analyseveranstaltungen. Geben Sie keine E-Mail-Adressen in die Parameter URLs, UTM, Ereignisbezeichnungen oder benutzerdefinierte Dimensionen ein. Wenn Sie eine Kampagnenzuordnung benötigen, verwenden Sie Kampagnen-IDs und Erstanbieter-Conversion-Ereignisse anstelle persönlicher Kennungen.

Beispiele

Eine konforme Newsletter-Anmeldung besagt deutlich, dass der Benutzer Produktaktualisierungen und Links zu einer Datenschutzerklärung erhält und in der E-Mail auch die Option „Abmelden“ enthalten ist. Ein riskantes Webinar-Follow-up sendet Sponsorenmarketing über eine Drittanbieterplattform an die Teilnehmer, ohne zu überprüfen, was den Teilnehmern mitgeteilt wurde. Ein riskantes Analyse-Setup fügt E-Mail-Adressen zu UTM-Parametern hinzu, damit der Vertrieb Besucher in Google Analytics identifizieren kann. Eine bessere Einrichtung speichert die Lead-Identität im CRM und sendet nur Analyse-Kampagnen- und Ereignismetadaten.

Das Privacy-First-Marketingprinzip

Direktmarketing funktioniert am besten, wenn es erwartet wird, relevant ist und leicht abzulehnen ist. Privacy-First-Analysen unterstützen diesen Ansatz, indem sie Kampagnenergebnisse messen, ohne versteckte Profile zu erstellen. Sie können immer noch wissen, welche Kampagnen zu Anmeldungen, Demoanfragen, Downloads und Upgrades führen. Sie müssen einfach nicht jeden Empfänger zum Überwachungsziel machen.

Marketing ist nicht grundsätzlich rechtswidrig. Das Problem ist schlampiges Marketing: unklare Einwilligung, verstecktes Tracking, gekaufte Listen, zu weit gefasste Profilerstellung und fehlerhafte Opt-outs. Wenn Sie diese beheben, können Sie wachsen, ohne die Privatsphäre als Hindernis zu betrachten.

Beweise aufbewahren

Führen Sie Aufzeichnungen über den Einwilligungstext, die Erhebungsquelle, den Zeitstempel, die Version der Datenschutzerklärung, den Opt-out-Status und die Kampagnenunterdrückungslogik. Wenn Sie sich auf berechtigte Interessen berufen, behalten Sie die Bewertung der berechtigten Interessen bei. Wenn Sie sich auf Soft-Opt-in verlassen, dokumentieren Sie, wie die Kontaktaufnahme erfolgt ist und wo das Opt-out angeboten wurde. Compliance ist viel einfacher, wenn Beweise vorliegen, bevor eine Beschwerde eingeht.

Checkliste für die Veröffentlichung der Kampagne

Bestätigen Sie vor dem Start einer Kampagne die Kontaktquelle, die Kanalberechtigung, die Rechtsgrundlage, den Abmeldepfad, die Handhabung von Unterdrückungslisten, die Aufbewahrung und die Auftragsverarbeiterverträge. Wenn die Kampagne Tracking-Pixel, Link-Tracking, Anreicherung, Retargeting oder CRM-Synchronisierung verwendet, überprüfen Sie diese getrennt vom E-Mail-Versand.

Verwenden Sie für die Attribution Kampagnen-IDs und Erstanbieter-Conversion-Ereignisse anstelle personenbezogener Daten in URLs oder Analyseereignissen. Behalten Sie die Identität im CRM bei und senden Sie Website-Analysen nur die minimierten Metadaten, die zum Verständnis der Kanalleistung erforderlich sind.