In letzter Zeit erhalten wir viele Fragen von Woodpecker-Nutzern zur GDPR (General Data Protection Regulation). Dies scheint ein Thema zu sein, das noch einiger Klärung bedarf. Aus diesem Grund haben wir eine FAQ zur DSGVO zusammengestellt – eine Liste häufig gestellter Fragen zur Verordnung mit unseren Antworten. Wir hoffen, dass Sie hier einige nützliche Hinweise und praktische Tipps zur Verarbeitung von Daten und zur Verwaltung Ihrer E-Mail-Kampagnen gemäß den Grundsätzen der DSGVO finden.
Wenn Sie nicht sicher sind, was GDPR wirklich ist, lesen Sie bitte zuerst diesen Beitrag:
GDPR – General Data Protection Regulation Practical Guide for Email Senders >>
Haftungsausschluss: Sie sollten diesen Beitrag als Leitfaden betrachten, der Ihnen hilft, die GDPR zu verstehen. Bitte betrachten Sie ihn nicht als Rechtsberatung. Wenn Sie eine Rechtsberatung suchen, wenden Sie sich nach dem Lesen dieses Beitrags an einen Anwalt und bitten Sie ihn um Rat und Antworten auf spezifische Fragen zu Ihrem Fall.
GDPR FAQ
Checkliste zur Einhaltung der GDPR herunterladen
Q1: Ich bin in den USA ansässig, muss ich GDPR-konform sein?
Das kommt darauf an. Die Datenschutz-Grundverordnung dient dem Schutz von EU-Bürgern, es kommt also nicht wirklich auf den Standort Ihres Unternehmens an. Es geht darum, wessen personenbezogene Daten Sie verarbeiten. Wenn Ihr Unternehmen in den USA ansässig ist, aber einige Ihrer Kunden, Partner, Abonnenten, Perspektiven EU-Bürger sind, sollten Sie deren Daten in einer Weise verarbeiten, die mit der GDPR vereinbar ist. Das ist Ihre Pflicht als Datenverwalter.
Wenn Sie ein Unternehmen haben, das eine Software anbietet, und diese Software es anderen Datenverwaltern ermöglicht, Daten zu verarbeiten, kann man wohl davon ausgehen, dass zumindest ein Teil dieser Daten EU-Bürgern gehört. Die Datenschutz-Grundverordnung legt einige Verpflichtungen nicht nur für Datenverwalter, sondern auch für Datenverarbeiter fest.
Kurz gesagt, wenn die Möglichkeit besteht, dass Ihr in den USA ansässiges Unternehmen personenbezogene Daten von EU-Bürgern verwaltet oder verarbeitet, sollten Sie sich an die DSGVO halten.
Q2: Ich versende zahlreiche E-Mail-Kampagnen pro Jahr. Sollte ich damit aufhören, wenn GDPR rechtsverbindlich wird?
Nein. Zunächst einmal ist die DSGVO nicht dazu gedacht, E-Mail-Marketing oder Cold E-Mails zu unterbinden. Es ist nicht einmal eine Verordnung über E-Mails, oder Marketing, oder Geschäft. Es geht um den Schutz personenbezogener Daten.
Sie müssen jedoch bedenken, dass Sie beim Versenden Ihrer E-Mail-Kampagnen, beim Marketing, beim Betreiben eines Geschäfts wahrscheinlich personenbezogene Daten verarbeiten. Wenn Sie zu irgendeinem Zeitpunkt personenbezogene Daten von EU-Bürgern verarbeiten, sollte diese Verarbeitung GDPR-konform sein – das heißt, bestimmte Grundsätze befolgen. Lesen Sie mehr über die GDPR-Grundsätze hier.
Nein, Sie müssen Ihre E-Mail-Marketingkampagnen oder Ihre Cold E-Mail-Kampagnen nicht einstellen, wenn GDPR verbindlich wird. Sie sollten sicherstellen, dass die Daten, die in diesen Kampagnen verwendet werden, gemäß den Regeln der GDPR verarbeitet werden.
Q3: Kann ich im Rahmen der GDPR Cold Emails an Personen senden?
Ja, Sie können cold emails an Personen in Unternehmen senden, die unter die GDPR fallen. Diese müssen B2B E-Mails sein, die bestimmte Anforderungen erfüllen.
Erstens können Sie sie nicht an jeden schicken. Sie müssen Ihre Interessenten sehr sorgfältig ansprechen. Sie müssen einen triftigen Grund dafür haben, dass das Unternehmen, für das die Person arbeitet, von dem profitieren kann, was Ihr Unternehmen in der E-Mail anbietet. Außerdem sollte Ihre Geschäftstätigkeit logisch mit dem business Aktivität Ihres Projekts. Das ist eine Rechtsgrundlage, um jemandem eine E-Mail zu schicken, ohne dass dieser vorher seine Zustimmung zur Verarbeitung seiner Daten gegeben hat.
Zweitens müssen Sie in jeder Ihrer E-Mail Nachrichten Ihre Cold E-Mail Empfänger darüber informieren, welche personenbezogenen Daten Sie zu welchem Zweck verarbeiten und wie sie ihre Daten aus Ihrer Mailingliste entfernen oder ändern können. So erfüllen Sie die Informationspflicht, die in der GDPR beschrieben ist.
Drittens sollten Sie die personenbezogenen Daten Ihrer Cold Email-Empfänger nicht länger als nötig verarbeiten. Die Datenschutzgrundverordnung schreibt keinen bestimmten Zeitraum vor. Wir raten Ihnen, die Daten von Interessenten, die innerhalb von 30 Tagen nach dem Versand Ihrer ersten Nachricht nicht geantwortet haben, aus Ihren Listen zu entfernen. Auf diese Weise halten Sie den Grundsatz der Speicherbegrenzung beim Versand von Cold Emails ein.
In der Praxis bedeutet dies das Ende des “Spray and Pray”-Ansatzes.
Q4: Sind Follow-up-E-Mails ein Verstoß gegen die DSGVO?
Das Versenden von Follow-up-E-Mails verstößt nicht gegen die Datenschutz-Grundverordnung, solange es die drei in der obigen Antwort beschriebenen Anforderungen erfüllt.
Die Verarbeitung von Daten für den Versand von Follow-up-E-Mails unterscheidet sich nicht wesentlich von der Verarbeitung der gleichen Daten für den Versand der ersten Nachricht. Das Einzige, was sich ändert, ist die Zeit, die Sie für das Versenden von Follow-up-Nachrichten an nicht reagierende Interessenten in der EU haben. Auch hier legt die DSGVO keine Zeitspanne fest, aber wir raten Ihnen, die Daten von Interessenten, die innerhalb von 30 Tagen nach der ersten E-Mail, die Sie ihnen geschickt haben, nicht geantwortet haben, aus Ihren Listen zu entfernen.
Q5: Brauche ich immer eine Einwilligung, bevor ich jemandem eine E-Mail schicke?
Sie können B2B Cold Emails ohne vorherige Einwilligung Ihrer Adressaten zur Verarbeitung ihrer personenbezogenen Daten nur versenden, wenn die E-Mails die drei Voraussetzungen erfüllen, die in der Antwort auf Frage 3 ausführlich beschrieben sind:
- eine Rechtsgrundlage für die Datenverarbeitung
- Erfüllung der Informationspflicht
- Einhaltung der Speicherbegrenzung der Daten
Q6: Was ist mit meiner aktuellen Liste von E-Mail-Abonnenten? Sollte ich sie daran erinnern, warum sie auf meiner Liste stehen und sie erneut um Erlaubnis bitten, ihnen weiterhin E-Mails zu schicken?
Wenn Sie sie ganz am Anfang um Erlaubnis gefragt haben und sie Ihnen ihre Zustimmung zur Verarbeitung ihrer Daten für bestimmte Zwecke gegeben haben, müssen Sie sie nicht erneut um Erlaubnis bitten.
Wenn sich jedoch der Zweck der Datenverarbeitung geändert hat oder Sie planen, ihn bald zu ändern, sollten Sie sie über die Änderung informieren und ihnen die Möglichkeit geben, auf einfache Weise zu entscheiden, ob sie mit dem neuen Zweck der Datenverarbeitung einverstanden sind.
Oder sie wurden bei der Anmeldung zu Ihrem Newsletter darüber informiert, dass ihre Daten für einen bestimmten Zeitraum verarbeitet werden, und dieser Zeitraum ist bereits abgelaufen – in einem solchen Fall sollten Sie sie auch fragen, ob sie mit der weiteren Datenverarbeitung für bestimmte Zwecke einverstanden sind.
Q7: Sollten alle ausgehenden E-Mails (oder E-Mails im Allgemeinen) einen Abmeldelink enthalten, wie es die GDPR jetzt vorschreibt?
Die GDPR-Regel zur Abmeldung besagt, dass alle E-Mails: ausgehende Nachrichten und E-Mail-Marketingnachrichten eindeutig angeben sollten, wie der Empfänger seine Daten aus Ihrer Liste entfernen oder ändern kann. Die Datenschutz-Grundverordnung schreibt nicht vor, wie dies zu geschehen hat, d. h. sie sagt nicht, dass Sie den Link “Abmelden” verwenden sollen. Sie sagt nur, dass es ein einfacher Weg sein sollte, der für jede Person verständlich ist. Der Link zum Abbestellen ist eine gängige Praxis in E-Mail Marketingnachrichten, wir fügen einen solchen Link in jede unserer Marketingnachrichten ein. In Cold Emails ist er weder erforderlich noch sehr beliebt. Es gibt noch andere Möglichkeiten, wie Sie Ihren Empfängern von Cold E-Mail ein Opt-out gewähren können. Sie können hier mehr darüber lesen:
Sollte ich meinen Cold-E-Mail-Empfängern eine Möglichkeit zur Abmeldung geben? (Aktualisiert) >>
Q8: Was ist, wenn ich die Listenerstellung auslagere. Ich habe nichts mit dem Sammeln von persönlichen Daten zu tun. Muss ich mich dann mit der GDPR befassen?
Ja, wenn Sie die personenbezogenen Daten verwenden, die ein anderes Unternehmen für Sie gesammelt hat, und wenn die Dateninhaber EU-Bürger sind. Denken Sie daran, dass es bei der GDPR nicht nur um das Sammeln oder Speichern von Daten geht. Es geht um die Verarbeitung von Daten im Allgemeinen. In der Verordnung heißt es:
“Verarbeitung” ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten;
Wenn Sie also irgendwann die Daten erhalten, um sie zu nutzen, z.B. um E-Mails zu versenden, werden Sie sie auch verarbeiten. Denken Sie daran, dass Sie der Datenverwalter sind, wenn Sie über den Zweck der Datenerhebung und -nutzung entscheiden. Und als Datenverwalter sollten Sie sich auf jeden Fall mit der GDPR befassen. Sie sollten auch sicherstellen, dass das Unternehmen, an das Sie die Listenerstellung auslagern, die Daten auf legale, faire und transparente Weise erfasst. Mit anderen Worten, Sie sollten genau wissen, wie sie die Daten erhalten und in der Lage sein, den Dateneigentümern zu erklären, wie und warum Sie ihre Daten erhalten haben.
Q9: Was bedeutet “Privacy by Design”?
Privacy by Design” bedeutet, dass jeder Teil Ihrer Lösung so entwickelt wird, dass in jeder Phase ein Höchstmaß an Datenschutz gewährleistet ist. Mit anderen Worten, Sie müssen bei der Planung der Verarbeitung personenbezogener Daten Ihrer Nutzer/Abonnenten/Kunden stets an den Schutz ihrer Privatsphäre denken.
Q10: Ich möchte keinen GDPR-Spezialisten einstellen. Bedeutet das, dass ich keine Chance habe, die Vorschriften einzuhalten?
Ein Datenschutzspezialist muss keine neue Person sein, die Sie in Ihrem Unternehmen einstellen müssen. Sie können einen Ihrer derzeitigen Mitarbeiter zum Datenschutzbeauftragten ernennen, oder Sie können selbst einer werden. Beachten Sie, dass Datenschutzbeauftragter und Datenschutzspezialist zwei verschiedene Funktionen mit unterschiedlichen Kompetenzen sind. Wenn Sie ein kleines oder mittleres Unternehmen führen und keine sensiblen Daten verarbeiten und keine hohen Risiken bei der Datenverarbeitung in Ihrem Unternehmen bestehen, brauchen Sie keinen qualifizierten Datenschutzbeauftragten. Sie können einen Datenschutzbeauftragten ernennen, der die Datenverarbeitung analysiert und sich für Lösungen einsetzt, die das höchstmögliche Maß an Schutz für personenbezogene Daten bieten.
Q11: Wo kann ich ein GDPR-Zertifikat erhalten?
Ein offizielles GDPR-Zertifikat gibt es nicht, zumindest noch nicht. Verschiedene Sicherheitszertifizierungen, wie z. B. ISO, zielen ebenfalls auf eine bessere Datenorganisation, -verarbeitung und -sicherheit ab. Wenn Sie diese erhalten, ist das definitiv ein Schritt in Richtung GDPR-Konformität. Sie sind jedoch nicht verpflichtet, irgendeine Art von offizieller Zertifizierung zu erhalten, um GDPR-konform zu sein. Sie können einfach die in der Verordnung selbst beschriebenen Grundsätze befolgen. Wenn Sie noch an der Einhaltung der GDPR arbeiten, laden Sie die Checkliste zur Einhaltung der GDPR herunter
Q12: Ich habe eine Cold Email von jemandem erhalten, die meiner Meinung nach gegen die DSGVO verstößt. Wie kann ich ihm mitteilen, dass ich keine E-Mails von ihm erhalten möchte?
In einem solchen Fall können Sie antworten und mündlich um die Löschung Ihrer Daten aus den Verteilerlisten bitten. Wenn sie Ihrer Aufforderung immer noch nicht nachkommen, können Sie versuchen, herauszufinden, welchen Dienst sie für den Versand der E-Mails nutzen, und dieses Unternehmen als Verarbeiter Ihrer personenbezogenen Daten kontaktieren. Als Datenverarbeiter sind sie auch verpflichtet, Ihnen dabei zu helfen, Ihre Daten aus einer Liste zu entfernen, die Sie nicht haben wollen.
Q13: Wie bereitet sich Woodpecker auf die GDPR vor?
Wir haben einen separaten Abschnitt auf unserer Website, der beschreibt, was Woodpecker tut, um GDPR-konform zu sein. Sie können ihn hier finden:
GDPR Compliance >>
Nachdem wir unser zweites Webinar zum Umgang mit E-Mail-Outreach und E-Mail-Marketing unter GDPR veranstaltet haben, wollten wir noch ein paar Fragen hinzufügen.
Q14: Können Sie eine B2B Cold Email an eine persönliche E-Mail-Adresse (z. B. Gmail) senden, wenn die E-Mail immer noch auf die berufliche Position einer Person ausgerichtet ist?
Wenn Sie sicher sind, dass es sich um eine berufliche E-Mail-Adresse handelt, oder wenn die Person ihr Einverständnis gegeben hat, dass sie die Nachricht von Ihnen auf dieser E-Mail-Adresse erhalten möchte, dann können Sie das tun. Wie bei jeder Art von Kommunikation im Rahmen der Datenschutz-Grundverordnung muss Ihr Verfahren zur Beschaffung personenbezogener Daten legal und transparent sein. Sie müssen in der Lage sein, zurückzuverfolgen, wie Sie an die E-Mail-Adresse gelangt sind, und nachweisen, dass Ihre Nachricht für diese Person relevant ist. Lassen Sie die Person wissen, warum Sie sie kontaktieren, und geben Sie ihr eine klare Möglichkeit, sich von Ihren E-Mails abzumelden. Dazu müssen Sie nicht unbedingt einen Abmeldelink angeben. Die Person kann einfach schreiben, dass sie keine weiteren Nachrichten von Ihnen erhalten möchte. Sobald sie dies tun, respektieren Sie es und löschen Sie ihre E-Mail-Adresse. Das Wichtigste beim B2B-Cold-E-Mailing ist, dass Sie sicherstellen, dass Sie die richtigen Personen an der richtigen Stelle kontaktieren, die Unternehmen repräsentieren und zu Ihrem ICP passen. Ungezielte E-Mails können Sie in Schwierigkeiten bringen.
Q15: Macht mich das Führen einer Liste von Kontakten in Woodpecker zum Eigentümer/Verarbeiter der personenbezogenen Daten?
Wenn Sie eine Liste von Interessenten in Woodpecker hochladen, ist der Interessent, dessen personenbezogene Daten Sie verarbeiten, der Eigentümer. Sie sind in diesem Fall ein Datenverwalter. Sie entscheiden, wessen und welche Art von personenbezogenen Daten Sie verarbeiten wollen. Außerdem sind Sie für die Einhaltung des Grundsatzes der Speicherbegrenzung verantwortlich. Die Speicherbegrenzung ist ein Grundsatz, der durch die DSGVO eingeführt wurde. Es bedeutet, dass Sie die Daten nicht länger verarbeiten dürfen, als es für den Zweck der Verarbeitung erforderlich ist. Daraus ergibt sich auch, dass Sie den Wunsch der Inhaber personenbezogener Daten respektieren müssen, aus Ihrer Interessentenliste gelöscht zu werden und nie wieder kontaktiert zu werden. Sie werden zur Rechenschaft gezogen, wenn Sie den Grundsatz der Speicherbegrenzung oder andere Grundsätze der DSGVO missachten. Woodpecker hingegen wird zum Datenverwalter, wenn es Ihre personenbezogenen Daten als App-Nutzer oder Newsletter-Abonnent verarbeitet. Es sollte Ihre Daten mit der gebotenen Sorgfalt behandeln. Und sich an die GDPR halten.
Q16: Wie kann ich eine Datenbank mit Kontakten auf legale Weise erstellen?
Schnelle Antwort: Gehen Sie vorsichtig vor. Die Datenschutzgrundverordnung verbietet kein Cold-E-Mailing. Wenn Sie die Ratschläge befolgen, die ich Ihnen in diesem Blog gebe, ist alles in Ordnung. Sie müssen nur ein bisschen vorsichtiger sein. Die DSGVO betont, dass Sie einen triftigen Grund für die Kontaktaufnahme mit Ihren potenziellen Kunden haben sollten. Vergewissern Sie sich, dass beide Seiten von einer solchen potenziellen Geschäftsbeziehung profitieren können und dass das Angebot, das Sie in Ihrer Cold Emails unterbreiten, in einem logischen Zusammenhang mit dem Geschäftsstatut des Interessenten steht. Darüber hinaus sollten Sie personenbezogene Daten für die Listen Ihrer potenziellen Kunden auf legale und transparente Weise beschaffen und bereit sein zu erklären, wie und warum Sie sich entschieden haben, die personenbezogenen Daten bestimmter EU-Bürger zu verarbeiten. Wichtig ist, dass die DSGVO einen neuen Grundsatz der Datenspeicherungsbegrenzung einführt, der es Ihnen nicht erlaubt, personenbezogene Daten länger als nötig zu verarbeiten. Der genaue Zeitraum ist in dem Dokument nicht angegeben. Wir empfehlen, die Daten von Personen, die nicht auf Cold Emails reagieren, nach 30 Tagen ab dem ersten Kontakt zu löschen. Im Falle von Opt-in-Listen können Sie die Daten auf klar spezifizierte Art und Weise verarbeiten, der der Dateneigentümer zugestimmt hat, und zwar so lange, wie er Ihnen sein Einverständnis gegeben hat, oder bis er seinen Wunsch äußert, es zurückzuziehen. Jede Art von Daten, um die Sie bitten, sollte durch den Zweck, für den Sie sie verarbeiten wollen, gerechtfertigt sein. Fragen Sie nicht nach einer Telefonnummer, wenn Sie jemandem ein E-Book schicken wollen. Und wenn Sie doch die Telefonnummer erfragen wollen, sagen Sie ihnen direkt, dass Sie sie eventuell anrufen wollen. Geben Sie den Empfängern von Cold-E-Mails und den Abonnenten Ihrer Opt-in-Liste eine klare Möglichkeit, sich von weiterer Korrespondenz abzumelden, und eine Anleitung, wie sie ihre persönlichen Daten ändern oder ganz aus Ihrer Liste entfernen können. Der Link “Abmelden” ist ein beliebter Mechanismus, aber er ist nicht der einzige, den Sie dafür verwenden können. Wenn Sie mehr über GDPR wissen möchten, lesen Sie diesen Blogbeitrag:
GDPR Practical Guide for Email Senders >>
Und wenn Sie sich auf die GDPR vorbereiten, laden Sie unsere GDPR Compliance Checklist >> herunter, die Ihnen dabei helfen wird.