AZ Direct Blog | Tipps und Wissen rund um Cross Channel Marketing

Gastbeitrag: DSGVO, DSG, UWG, FMG im E‑Mail-Marketing – alles klar? Das gibt’s beim Datenschutz zu beachten.

Obwohl die Einführung sich immer wieder verschiebt: Das neue Schweizerische Datenschutzgesetz wird kommen. Vermutlich im September 2023. Zeit für ein paar Streiflichter zum DSG, DSGVO, UWG und FMG, wie sich die Gesetze gegeneinander abgrenzen und wie du rechtssicheres E-Mail-Marketing betreibst.

Trotzdem der Titel passt: Es geht nicht um eine Zeile aus dem bekannten Song «MfG» der Fantastischen Vier. Viel mehr haben sich Tina Frey von mailXpert, Heinz Schopfer von der datenschutzhilfe und Oliver Weinstock von Nemuk zu einem Gespräch getroffen. Thema war das kommende neue DSG und dessen Auswirkung auf das E‑Mail-Marketing.

Das war zumindest für fünf Minuten der Plan. Dann grätschte bereits das erste Mal das Gesetz gegen den unlauteren Wettbewerb dazwischen und gab der Diskussion eine neue spannende Wende. So entstand ein Abriss über Dos and Don’ts in der rechtlichen Ecke des E‑Mail-Marketings.

Wie grenzen sich DSGVO, DSG, UWG und FMG gegeneinander ab?

Heinz: Was ich immer wieder feststelle: Die Abgrenzung zwischen den verschiedenen Gesetzen ist vielen unklar. Die Datenschutz-Grundverordnung (DSGVO) und das Schweizerische Datenschutzgesetz (DSG) regeln einfach gesagt den Schutz der Daten, die Datenhaltung und die Datenverarbeitung. Im Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und im Fernmeldegesetz (FMG) geht es darum, mit wem und wie ich mit jemandem in Dialog treten darf.

Wie ich E‑Mail-Adressen speichere, verarbeite und vor Missbrauch schütze, fällt unter das DSG. Ob ich damit spamme, ist dem DSG egal. Ganz im Gegensatz zum UWG und FMG. Diese regeln, ob ich mit der Person hinter der E‑Mail-Adresse überhaupt in Kontakt treten darf. Und was die Konsequenzen sind, wenn ich das ohne Einverständnis der betroffenen Personen tue.

Das DSG wird verschärft. Was bedeutet das für Unternehmen?

Heinz: Diese Punkte hier aufzulisten und zu kommentieren sprengt den Rahmen des Gesprächs. Gute Zusammenfassungen finden sich in Blogbeiträgen oder auf Websites von spezialisierten Anwaltskanzleien.

Zurück zur Frage. Auch unter dem aktuellen DSG gibt es bereits viele Voraussetzungen, die Unternehmen im Grundsatz erfüllen müssen. Abgesehen von grossen Unternehmen mit eigenen Rechtsabteilungen haben sich Firmen jedoch kaum damit auseinandergesetzt. Erst die Einführung der DSGVO und die kommende Verschärfung des DSG hat zu einer Sensibilisierung für das Thema geführt. 

Item. Aus Sicht der datenschutzhilfe sind dies die wichtigsten Fragen, die hinsichtlich des aktuellen und künftigen DSG zu beantworten sind: 

  • Was muss mein Unternehmen im Datenschutz von Gesetzes wegen erfüllen?
  • Verarbeite ich Personendaten von oder durch Dritte?
  • Verarbeite ich besonders schützenswerte Personendaten?
  • Welchen Rechtsgrundlagen untersteht mein Unternehmen und seine Datenbestände?
  • Unterstehe ich dem Schweizerischen Bundesgesetz über den Datenschutz (DSG), einzelnen kantonalen Datenschutzgesetzen (IDG), der EU-Datenschutz-Grundverordnung (DSGVO) oder weiteren internationalen Bestimmungen?
  • Habe ich mich vertraglich mit Auftragsverarbeitungsverträgen abgesichert?
  • Benötige ich für bestimmte Daten eine Datenschutzfolgeabschätzung?
  • Welche Betroffenenrechte sind wie zu gewährleisten?
  • Welche Dokumentationen sind gesetzlich vorgeschrieben?
  • Sind die Mitarbeiterverträge und Geheimhaltungsvereinbarungen auf dem neuesten Stand?

Fit fürs DSG zu sein, heisst also, sich mit rechtlichen, organisatorischen und technischen Aspekten auseinanderzusetzen. Das gilt für den Bäcker von nebenan genauso wie für Grossunternehmen. Wobei es selbstverständlich Unterschiede gibt: Der Bäckermeister muss einige wenige grundlegende Massnahmen ergreifen aber zum Beispiel kein Datenverzeichnis erstellen. Der kleine Adressdienstleister mit drei Mitarbeitenden hingegen schon. Grossunternehmen hingegen müssen sich sehr ausführlich um die «Compliance» kümmern und diese lückenlos dokumentieren. 

Wann darf ich jemandem eine Werbung per E‑Mail senden?

Oliver: Selbstverständlich, wenn wir die ausdrückliche Einwilligung des Empfängers haben. In der Schweiz empfehlen wir zum Einholen dieser Einwilligung das Double-Opt-in (DOI), obwohl es nicht vorgeschrieben ist. Wer sich nun fragt, weshalb es das überhaupt benötigt: Das DOI hilft Unternehmen dabei, die Qualität der E‑Mail-Adressen zu erhöhen. Zudem dient es als sicherer Nachweis, dass der Empfänger darin eingewilligt hat, werbliche E‑Mails zu erhalten. 

Tina: Dazu kommt, dass im EU-Raum das DOI verpflichtend ist. Auch deshalb empfehlen wir unseren Kunden immer, das DOI zu nutzen. Denn rein anhand der E‑Mail-Adresse zu verhindern, dass jemand aus der EU sich für einen Newsletter anmeldet, ist nicht möglich. 

Wichtig ist auf jeden Fall, dass das Opt-in zurückverfolgbar ist. Bereits beim einfachen Opt-in gehört dazu die E‑Mail-Adresse, die Quelle, wo ich mich angemeldet habe, das Anmeldedatum und die IP-Adresse. 

Heinz: Das ist eines dieser gesetzübergreifenden Themen. Das DSG sieht vor, dass jede Person bei jedem Unternehmen Auskunft verlangen kann, welche Daten über sie gespeichert sind, woher sie stammen und wozu sie verwendet werden. Da geht es also um die Dokumentierung der Datenherkunft, deren Haltung und Verwendung. 

UWG und FMG kommen dann ins Spiel, wenn eine Person sich durch Werbung per E‑Mail belästigt fühlt und rechtliche Schritte unternimmt. Dann kann das betroffene Unternehmen anhand der oben erwähnten Daten beweisen, dass es rechtens gehandelt hat. Genau deshalb bietet das Double-Opt-in eine höhere Sicherheit als das Single-Opt-in.

Oliver: Oder man muss beweisen, dass eine Kundenbeziehung besteht. An Bestandskunden darf ich auch ohne ausdrückliches Opt-in Newsletter senden. 

Heinz: Richtig. Immer vorausgesetzt, der Kunde hat dem Erhalt von Newsletters nicht widersprochen. Zudem müssen die Newsletter in Zusammenhang mit dem gekauften Produkt stehen. Wenn ich ein Fahrrad kaufe, ist es in Ordnung, wenn ich danach Werbung für Satteltaschen oder Fahrradhelme erhalte. Für Kosmetik weniger. 

Wichtig sind auch folgende Punkte: 

  • Der Absender des Newsletters muss klar ersichtlich sein.
  • Der Empfänger des Newsletters muss darauf hingewiesen werden, dass er sich vom Newsletter abmelden kann. Und er muss sich einfach abmelden können. Zum Beispiel per Klick auf einen Link ohne erneute Eingabe der E‑Mail-Adresse.
  • Idealerweise beinhaltet der Newsletter zudem ein Impressum oder einen Link darauf und die vollständige Adresse des Absenders inklusive der Möglichkeit, mit diesem in Kontakt zu treten.

Tina: Aus meiner Sicht ebenfalls wichtig, ist der Hinweis auf die Datenschutzerklärung. Spätestens dann, wenn das Öffnungs- und Klickverhalten analysiert wird, um die weitere Ausspielung von Newslettern zu optimieren. 

Oliver: Sinnvoll ist auch, transparent offenzulegen: Welche Daten erheben wir? Was machen wir mit den Daten? Wo speichern wir die Daten? Welche Tools verwenden wir?

Darf ich überhaupt über einen Server, der ausserhalb der EU steht Daten versenden? Oder sie dort speichern?

Tina: Ich empfehle: Switzerland first, danach EU-Raum, wegen der strengen DSGVO. Dann ist man im E‑Mail-Marketing gut unterwegs. Der Versand über Server, die irgendwo stehen, ist zwar erlaubt, aber datenschutzrechtlich nicht unbedenklich. Denn ohne entsprechendes Gesetz oder Datenverarbeitungsverträge weiss man schlicht nicht, wozu die Daten allenfalls genutzt werden. 

Wie grenzt sich E-Mail-Marketing von der Kaltakquise per E‑Mail ab?

Oliver: E‑Mail-Marketing richtet sich an Interessenten und Bestandskunden – und beginnt zum Beispiel mit Willkommensstrecken, wenn jemand ein Produkt kauft oder sich für einen Newsletter anmeldet. Danach geht es darum, den Empfängern individuellen, auf ihre Interessen und Bedürfnisse zugeschnittenen Content auszuspielen. Dieser basiert darauf, was jemand bisher bestellt hat, was auf der Website angeschaut und im Newsletter angeklickt wird und so weiter. 

Beim Customer-Lifecycle vorgelagert ist die Kaltakquise per E‑Mail. Die ist allerdings recht heikel. Bei Adressen von Privaten benötigt es das Einverständnis, Werbung zu erhalten. Da kommt man an Anbietern von E‑Mail-Listen, die über dieses Werbeeinverständnis verfügen, nicht vorbei. Der Versand einer Kampagne an kalte Adressen erfolgt über den jeweiligen Listeigner. Die E‑Mail-Adressen selbst kriegt man nicht. So oder so gilt: Unbedingt die Seriosität von Listeignern prüfen, sonst landet man schnell in Teufels Küche.

Im B2B-Bereich ist es möglich, selbst neutrale E‑Mail-Adressen, wie info@-Adressen im Internet zusammenzusuchen und an diese eine E‑Mail zu senden. Adressen, die einen Namen beinhalten, also joanna.doe@mustermann.ch gelten jedoch als personenbezogen und dürfen deshalb nicht angeschrieben werden. 

Heinz: Den Punkt mit den info@-Adressen möchte ich gerne differenzieren, weil wir uns da in einer Grauzone bewegen. Im Grundsatz sind info@-Adressen eher firmen- und nicht personenbezogen. Bei kleinen KMU, sagen wir mal bis fünf Mitarbeitende, kann die neutrale Adresse trotzdem als personenbezogen betrachtet werden, da man mit hoher Wahrscheinlichkeit genau die Person anschreibt, die man im Fokus hat. Beim Anschreiben von kleinen Unternehmen, muss man auch mal mit harschen Reaktionen rechnen. 

Bei grossen Unternehmen hingegen stellt sich die Sinnfrage: Erreiche ich den Geschäftsführer eines Unternehmens mit 1’000 Mitarbeitenden wirklich über die info@-Adresse?

Tina: Adressen für die Kaltakquise gehören aus meiner Sicht sowieso nicht in ein E‑Mail-Marketing-Tool. Bezogen auf den B2B-Bereich empfehlen wir unseren Kunden, eine normale, sympathische E‑Mail als Türöffner zu senden. So im Sinne von: «Wir haben Angebote, die für Ihr Unternehmen von Interesse sind und würden uns deshalb freuen, wenn Sie unseren Newsletter abonnieren». Das Ganze selbstverständlich angereichert mit ein paar guten Argumenten. 

Das hat den Vorteil, dass sich kaum jemand brüskiert fühlt und man so Leads gewinnt, die sich wirklich für die Leistungen des Unternehmens interessieren. 

Apropos: Wie verhindert Ihr, dass eure Kunden über euch SPAM versenden?

Tina: Selbstverständlich ist das Thema Bestandteil unseres Zusammenarbeitsvertrages mit Unternehmen. Bei jedem Upload von Adresslisten muss zudem eine Checkbox angeklickt werden, dass zu den hochgeladenen E‑Mail-Adressen ein Opt-in besteht. Und wenn besonders hohe Mengen an Adressen ins System geladen werden, schauen wir uns das kritisch an und fragen nach. 

Letztendlich geht es darum, sowohl die Konsumenten als auch unsere Kunden und uns zu schützen. Einerseits will niemand ohne Einverständnis E‑Mails erhalten. Andererseits leidet unsere Serverreputation, wenn Empfänger von unverlangten Botschaften sich nicht nur abmelden, sondern zusätzlich die E‑Mail als SPAM melden. Das wiederum hat eine direkte negative Auswirkung auf uns und die anderen Kunden. Damit ist niemandem gedient.

Die Fantastischen Drei – die Fachexpert:innen und ihre Unternehmen kurz vorgestellt.

Tina Frey ist Stellvertretende Geschäftsführerin bei mailXpert. 2004 entwickelte mailXpert die erste Version einer rein schweizerischen Newsletter-Software. Heute ist mailXpert die führende Schweizer E‑Mail-Marketing-Lösung. Auf mailXpert vertrauen mehrere hundert Schweizer Unternehmen aller Branchen und Grössen.

Heinz Schopfer ist Mitgründer der datenschutzhilfe GmbH. Das Unternehmen fokussiert sich auf die Beratung von kleineren und mittleren Unternehmen. Dort wo das Aufwand/Ertrag- und Kosten/Nutzen-Verhältnis besonders wichtig ist. Die datenschutzhilfe versteht die spezielle Situation für KMUs und bietet Lösungen als Prozess- und Projektmanagement auf Zeit.

Oliver Weinstock ist Managing Partner bei der Nemuk AG. Seit 20 Jahren ist er im digitalen Dialog mit Schwerpunkt E‑Mail-Marketing und Marketing Automation tätig. Nemuk steht seit 2001 für «neue elektronische Medien und Kommunikation». Das Unternehmen bietet Lösungen und Services für digitales Dialogmarketing entlang der Customer Journey. Im Fokus stehen dabei die Themen Neukundengewinnung und Bestandskundenpflege. Dazu setzt Nemuk auf Instrumente wie E‑Mail-Marketing, Marketing Automation oder Multi-Channel-Marketing.

Dieser Beitrag wurde mit freundlicher Genehmigung von Nemuk AG veröffentlicht, wo er zuerst erschienen ist.