Seit Einführung der neuen Vorschrift sind viele Monate vergangen. Es gibt zwar viele Materialien, die die Umsetzung vereinfachen, aber uns erreichen immer noch Fragen zur DSGVO im Zusammenhang mit SMS-Marketing. In dieser FAQ haben wir die am häufigsten angesprochenen Punkte gesammelt und beantwortet.

Wie können unsere Kunden sich aus der Empfänger-Datenbank abmelden? Von einem normalen E-Mail-Newsletter aus ist das ganz einfach, wie geht es bei einem SMS-Newsletter?

Denken Sie daran, eines der Rechte, die die DSGVO dem Verbraucher gibt, ist das Recht auf Vergessenwerden. Der Empfänger von Marketing-Botschaften, der einen SMS- oder E-Mail-Newsletter abonniert hat, sollte über (einfache) Möglichkeiten der Abbestellung informiert werden.

Deshalb haben wir eine neue Funktion entwickelt – Abmelde-SMS. Damit können Sie einen personalisierten Link hinzufügen, mit dem man sich von weiteren Nachrichten abmelden kann. Sie müssen nur die SMS im Posteingang finden und auf den Link klicken, um sich aus der Datenbank abzumelden. Alle Kontakte, die sich abgemeldet haben, werden automatisch von weiteren Kampagnen ausgenommen.

Der Kunde könnte sich auch mit dem Widget für die Newsletter-SMS registrieren. In diesem Fall sollte er die Marken-Website erneut aufrufen, das Widget heraussuchen und auf „Abmelden“ klicken. Unten finden Sie ein Beispiel.

Es gibt auch andere Möglichkeiten – jeder Empfänger von Mitteilungen kann sich über das Kontaktformular, E-Mail, Telefon oder die Fanseite melden und Löschungen oder Änderungen der Daten anfordern.

Der Absender der Nachricht muss diese Anforderung annehmen und (falls erforderlich) einen Datenschutzbeauftragten ernennen, der für den gesamten Prozess der Erfassung, Sicherung und Verarbeitung personenbezogener Daten im Unternehmen verantwortlich ist.

Muss jede Organisation einen Datenschutzbeauftragten ernennen?

1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
(a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
(b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
(c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Artikel 37 der EU-DSGVO, „Benennung des Datenschutzbeauftragten“

Kann ich meine Datenbank verwenden, wenn sie vor dem 25. Mai 2018 erfasst wurde?

Ja – vorausgesetzt, die Daten wurden im Einklang mit den zuvor geltenden örtlichen Vorschriften erfasst und nach folgenden Grundsätzen:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz,
• Zweckbindung,
• Datenminimierung,
• Richtigkeit,
• Speicherbegrenzung,
• Integrität und Vertraulichkeit,
• Rechenschaftspflicht.

Die zweite Bedingung besteht darin, die Informationsverpflichtungen zu erfüllen, die jeder Verwalter personenbezogener Daten hat – mehr dazu in der nächsten Frage.

Muss ich nach der Umsetzung der DSGVO die Zustimmung erneut einholen?

Wie bereits in der vorigen Frage erwähnt – es muss keine erneute Zustimmung eingeholt werden, wenn die Daten gemäß der zuvor gültigen Vorschriften erfasst wurden. Es ist jedoch erforderlich, die Informationsverpflichtungen einzuhalten, d. h. dem Empfänger in Form einer Klausel die folgenden Informationen mitzuteilen:

• Daten des Verwalters,
• Daten des Datenschutzbeauftragten (wenn die Benennung für das Unternehmen erforderlich ist),
• Zweck und Rechtsgrundlage der Datenverarbeitung,
• Informationen über das Recht zum Widerspruch bzw. zur Rücknahme der Zustimmung,
• Quelle der Daten, falls Sie sie von anderen Entitäten beziehen,
• mit wem Sie beabsichtigen, die Daten zu teilen, und Informationen darüber, ob Daten an Drittländer und internationale Organisationen übertragen werden,
• der geplante Zeitraum der Datenspeicherung,
• Informationen über die Rechte natürlicher Personen,
• das Recht zur Beschwerde bei einer Aufsichtsbehörde,
• Informationen darüber, ob die Daten in Form von Profiling verarbeitet werden,
• Informationen darüber, ob die Angabe von Daten freiwillig oder obligatorisch ist, ob sie Voraussetzung für den Vertragsabschluss ist und welche Konsequenzen bei Nichtangabe der Daten entstehen.

Könnten Sie ein korrektes Beispiel für eine Datenverarbeitungs-Zustimmung zu Marketingzwecken nennen?

Ich stimme der Verarbeitung meiner personenbezogenen Daten zu Marketingzwecken zu. Verwalter der personenbezogenen Daten ist LINK Mobility Poland Sp. z o.o. mit Geschäftssitz in Gliwice (44-100) ul. Toszecka 101. Die Daten werden zur Nutzung für Marketingzwecke per E-Mail und SMS gespeichert. Der Dienstleistungsempfänger ist berechtigt, seine Daten abzurufen und zu korrigieren, und kann verlangen, dass die Verarbeitung seiner Daten nicht fortgesetzt wird bzw. der Verarbeitung seiner Daten für die oben genannten Zwecke widersprechen.

Muster-Zustimmungserklärung für Marketingzwecke

Kann man mit einer SMS-Benachrichtigung, die zum Beispiel von einem Online-Shop versendet wurde, die Zustimmung für die Zusendung von Marketing-Inhalten einholen?

Ja, bei der Gelegenheit, wenn Sie Informationen über den Status eines Auftrags übermitteln, können Sie den Kunden fragen, ob er oder sie in Zukunft zum Empfang von Textnachrichten mit Marketinginhalten bereit ist.

Sie können einen Link einfügen, mit dem man den Newsletter abonnieren kann (der Kunde könnte auch eine E-Mail-Adresse und seine entsprechenden Vorlieben nennen) oder die virtuelle Mobilnummer (2-Wege-SMS) verwenden – der Kunde eines Online-Shops kann die Nachricht mit „JA“ beantworten und wird dann automatisch über den SMSAPI-Kundenbereich in der Kundendatenbank gespeichert. Dann sind Sie nur einen Schritt von SMS-Massenversand entfernt.

Beim E-Commerce gibt es viele Gelegenheiten, eine Datenbank aufzubauen: man kann das SMS-Newsletter-Widget im Bestellbereich neben das Ankreuzfeld setzen (diese Konfiguration ist in jeder E-Commerce-Software möglich) oder einfach über die virtuelle Mobilnummer mit dem Kunden interagieren.

Denken Sie daran, dass es sich lohnt, dem Kunden im Austausch für das Hinterlassen seiner Daten einen zusätzlichen Rabatt oder kostenlose Lieferung anzubieten.

Welchen SMS-Inhalt kann ich dem Kunden senden, um zu bestätigen, dass er weiterhin Nachrichten von uns empfangen wird?

– Vielen Dank für Ihre Anmeldung bei unserem Newsletter. Von nun an gehören Sie zu den ersten, die von uns über neue Werbeaktionen und Veranstaltungen informiert werden. Bleiben Sie dran!
– Toll, dass Sie bei uns sind! Wir möchten Sie auch in Zukunft über Gartenmöbel informieren. Wenn Sie Nachrichten von uns erhalten möchten, beantworten Sie diese SMS mit „JA“.
– Sie werden uns doch treu bleiben, nicht wahr? Lassen Sie sich von uns über bevorstehende Werbeaktionen informieren und melden Sie sich für den Newsletter an unter www.cut.li/newslettersmsxyz

Muster-SMS-Inhalt

Was wären Muster-Nachrichten, mit denen man über die Möglichkeit informiert, sich von SMS-Benachrichtigungen abzumelden?

– Nicht vergessen, Sie können sich jederzeit vom Empfang weiterer Nachrichten abmelden. Klicken Sie dazu auf: unsubsc.me/XY
– Um sich von unserem Newsletter abzumelden, besuchen Sie bitte: www.unsubc.me/XYZ
– Sie können sich jederzeit vom Erhalt weiterer Textnachrichten abmelden unter: unsubsc.me/XYZ. Wir werden Sie vermissen!
– Ich hoffe, Sie freuen sich über unsere Textnachrichten. Wir würden es bedauern, wenn Sie sie nicht mehr haben möchten. Sie können sich aber hier abmelden: unsubsc.me/XY

Muster-SMS-Inhalt

Welche Elemente gehören zu der Zustimmungserklärung des Benutzers?

Damit die Datenbank erstellt werden kann, muss der Betroffene nach Erhalt der Informationsklausel gemäß den Anforderungen der DSGVO um die Zustimmung zur Verarbeitung der Daten gebeten werden. Dafür gelten laut DSGVO bestimmte Anforderungen. Insbesondere hebt der Gesetzgeber hervor, dass die Zustimmung in folgender Form erfolgen muss:

• bewusst, auf den konkreten Fall bezogen, unzweideutig,
• in einfacher, verständlicher Sprache geschrieben,
• unter Bezugnahme auf die Informationsrichtlinien des Unternehmens,
• ausdrücklich, d. h. es darf keine Missverständnisse darüber geben, dass sie erteilt wurde,
• in Verbindung mit einem bestimmten Verarbeitungszweck – hierbei muss präzise definiert werden, was dazu gehört und wie der Zeitrahmen für die Gültigkeit der Zustimmung ist,
• freiwillig,
• widerrufbar – der Kunde kann jederzeit verlangen, dass seine Zustimmung aus der Datenbank gelöscht wird (und die Rücknahme der Zustimmung muss ebenso einfach sein wie die Erklärung)
• wenn die Aktivität Minderjährige betrifft, ist die Zustimmung des Erziehungsberechtigten erforderlich (bei Kindern unter 16 Jahren; Kinder ab 16 Jahre können ihre Zustimmung zur Verarbeitung personenbezogener Daten geben, die Mitgliedstaaten können diese Altersgrenze auf 13 Jahre senken).

Haben Sie weitere Fragen? Wenden Sie sich jederzeit gern an Ihren Kundenbetreuer.