Datenschutz in Deutschland: Warum der Datenschutz wichtig ist
Die Datenschutzgesetze in Deutschland sind kompliziert. Hier finden Sie, was Sie über diese und die Europäische Datenschutz-Grundverordnung (DSGVO) wissen müssen, damit Ihre Marketingstrategie konform ist.
Der Datenschutz ist eine sich ständig weiterentwickelnde Landschaft, in der neue Regeln und Vorschriften regelmäßig aktualisiert werden, um festzulegen, was Unternehmen mit unseren persönlichen Daten tun dürfen und was nicht.
Aber während wir als Nutzer wertschätzen, dass Technologiegiganten mit unseren Daten nicht machen können, was sie wollen, gibt es für Marketer eine Reihe von Regeln und Empfehlungen, die sie einhalten sollten.
In diesem Beitrag gehen wir auf den Datenschutz und die Datenschutzgesetze in Deutschland ein und zeigen, wie diese sich auf Ihre Marketingaktivitäten auswirken können. Zudem haben wir einen Compliance-Audit eingefügt, damit Sie die wichtigsten Datenschutzbestimmungen für Deutschland selbst prüfen können.
Inhaltsverzeichnis
Warum ist der Datenschutz so wichtig?
Was Datenschutzgesetze sind und welche Rolle sie spielen
Das erste Datenschutzgesetz
Besondere Regeln für Werbeanfragen im B2B-Umfeld in Deutschland
Österreich
Die Schweiz
Der Datenschutz – was ist er genau?
Beim Datenschutz handelt es sich um den Schutz von personenbezogenen Daten. Diese dürfen nicht unangemessen verarbeitet oder missbraucht werden. Hinzu kommt der Schutz auf informationelle Selbstbestimmung (Informationsfreiheit) – alle haben also das Recht zu bestimmen, was mit ihren Daten geschieht.
Personenbezogene Daten sind Informationen, die sich auf eine natürliche Person beziehen und zur Identifizierung dieser Person verwendet werden können. Dazu zählen beispielsweise Kontaktdaten wie E-Mail-Adressen, Adresse, IP-Adresse, Telefonnummern und andere sensible Daten (z. B. Religion oder Sexualität). Diese Daten müssen geschützt werden, damit sie nicht missbraucht werden können.
Gefahren lauern vor allem im digitalen Zeitalter, da persönliche Daten im Internet etwa auf Social Media verwendet werden. Dies kann zu Datenmissbrauch (z.B. Identitätsdiebstahl) und anderen Problemen führen.
Insbesondere im heutigen digitalen Zeitalter wollen Kunden genau wissen, wohin ihre Online-Daten gehen und wie die Verarbeitung von Daten erfolgt. Deshalb müssen insbesondere globale Unternehmen den richtigen Standard setzen, um einen positiven gesellschaftlichen Einfluss auf künftige Internetgenerationen zu hinterlassen.
Warum ist der Datenschutz so wichtig?
Niemand würde es gut finden, wenn private Chatverläufe, persönliche Krankengeschichten und intime Details ungeschützt für jedermann zugänglich wären und diese persönlichen Daten missbraucht werden würden.
Spinnt man den Gedanken weiter, so stellt sich auch die Frage, wo wir ohne den Datenschutz wären? Ein Beispiel: Gäbe es den Datenschutz nicht in der heutigen Form, so würde beispielsweise beim Onlinekauf einer Ausrüstung zum Bergsteigen sofort die Krankenkasse darüber informiert und die Beiträge wegen dieser Risikosportart erhöht. Diese persönlichen Daten wären demnach ungeschützt und für alle verfügbar.
Der Datenschutz bezieht sich aber nicht nur auf das Internet. Ohne ihn gäbe es eventuell keine Anwalts-, Brief-, und Bankgeheimnisse. Oder wir hätten nicht automatisch die Rechte an den eigenen Bildern und die ärztliche Schweigepflicht wäre auch nicht garantiert. Auch für zukünftige Generationen ist dies, laut unserer Datenschutzbeauftragten, sehr wichtig.
Das Internet könnte für uns und unsere Kinder zu einem dunklen und gefährlichen Ort werden, wenn wir nicht für einen angemessenen Datenschutz und entsprechende Kontrollen sorgen.
Darine Fayed, VP Head of Legal EMEA bei Sinch
Der Datenschutz widmet sich dieser Problematik und beinhaltet den Schutz der personenbezogenen Daten und stellt sicher, dass angemessen mit diesen Daten umgegangen wird.
Was Datenschutzgesetze sind und welche Rolle sie spielen
Um den Datenschutz zu gewährleisten, benötigt es ein eindeutiges Gesetz, welches festlegt, wie der Datenschutz umgesetzt wird – zusammen mit der Durchsetzung dieses Gesetzes. Dabei haben unterschiedliche Länder verschiedene Datenschutzvorschriften und Gesetze, die festlegen, wie Datenübertragungen gehandhabt und personenbezogene Daten geschützt werden, und jedes Gesetz wurde von verschiedenen staatlichen oder Bundesinstitutionen durchgesetzt.
In der Europäischen Union gilt beispielsweise seit dem 25. Mai 2018 für alle EU-Mitgliedstaaten die DSGVO. In den USA hingegen gibt es derzeit kein bundesweites nationales Datenschutzgesetz. Stattdessen haben die einzelnen Bundesstaaten ihre eigenen Bundes- und Lokalgesetze entwickelt. Ein bekanntes Beispiel ist der California Consumer Privacy Act (CCPA) in Kalifornien, der mit der DSGVO vergleichbar ist.
Die DSGVO wurde erlassen, um das Datenschutzrecht grenzüberschreitend zu vereinheitlichen. Wie Sie sich vorstellen können, machen unterschiedliche Vorschriften in verschiedenen Rechtsordnungen den Datenschutz komplex und verwirrend. Was ist bei internationalen Datenübertragungen zu tun? Ein Bundesgesetz in den USA könnte die Dinge für Unternehmen, die Verbraucherdaten sammeln, speichern und verarbeiten, vereinfachen - und schließlich Übertragungen in Drittländer ermöglichen, um so digitale Handelsgeschäfte zu erleichtern.
Datenschutz in Deutschland: Eine Retroperspektive
Geschichtlich bedingt gab es in Deutschland verschiedene Zeiten in denen private Daten für unpassende Zwecke genutzt wurden. Ein Beispiel hierfür ist die Nationalsozialistische Zeit, in der Daten erhoben wurden, um Personen zu kategorisieren. Auch danach während der DDR-Zeit zwischen 1949 und 1990 wurden Menschen überwacht und die Privatsph äre permanent missachtet.
Als eine der Folgen wird heutzutage in kaum einem anderen Land der Schutz personenbezogener Daten so genommen wie in Deutschland. Dies bedeutet auch, dass der Schutz der Privatsphäre und die Sorge um diese in Deutschland ein wichtiges Thema sind. In einer Grafik von Statista aus dem Jahr 2022 geben 43,4 % der Befragten an, bewusst auf Angebote zu verzichten, wenn diese ihnen nicht sicher genug wirken.
Der Datenschutz wird zudem in einem der deutschen Grundrechte erwähnt: Dem Recht auf informationelle Selbstbestimmung. Hier wird festgelegt, dass jede Person das Recht hat, frei zu darüber zu entscheiden, welche persönlichen Informationen offenbart werden.
Das erste Datenschutzgesetz
Von Hessen in die Welt. Die ersten Anfänge wurden im Bundesland Hessen gemacht. Hier wurde das weltweit erste Datenschutzgesetz im Jahr 1970 verabschiedete und darauf folgte das deutsche Bundesdatenschutzgesetz (BDSG, 1977). Damals war das Internet noch in den Kinderschuhen und die Inhalte des ersten Datenschutzgesetzes bezogen sich auf personenbezogene Daten und wann die öffentliche Verwaltung von Hessen diese verarbeiten darf und unter welchen Vorgaben dies geschehen muss.
Der Verfasser dieses Datenschutzgesetzes, Spiros Simitis, wird auch als “Vater des Datenschutzes” bezeichnet.
1995 folgte die Europäische Datenschutzrichtlinie 1995/46/EG als nächster Schritt. Diese Datenschutzrechtlinie wurde mehrmals über die Jahre ergänzt und abgeändert und erst 2018 durch die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt.
Die Grundsätze der Einhaltung der DSGVO
Die DSGVO gilt heutzutage als Standard und im Bereich E-Mail-Marketing ist sie nicht mehr wegzudenken. Durch sie gibt es nun schwerwiegende Konsequenzen für einen nicht fachgerechten Umgang mit personenbezogenen Daten.
Zusätzlich gibt es noch das Datenschutzgesetz (BDSG-neu). Es hält Datenschutz-Bestimmungen für Unternehmen und legt beispielsweise fest wann ein Datenschutzbeauftragter (DSB) benannt werden muss und wie personenbezogene Daten verarbeitet werden müssen. Diese beiden Gesetze bestimmen hauptsächlich den Datenschutz in Deutschland.
Der wichtigste Grundsatz, wenn es um die Einhaltung des Datenschutzes in Deutschland geht, ist es, immer den Anforderungen der DSGVO zu entsprechen - und sich über die neuesten EDPB-Richtlinien auf dem Laufenden zu halten. Gerade im Bereich des E-Mail-Marketings gibt es einige Punkte, die Sie beachten müssen, um die Datenschutzbestimmungen einzuhalten:
Einwilligung: Sie benötigen eine Einwilligungserklärung, die eine notwendige Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist. Denn Sie müssen jederzeit beweisen können, dass Sie die Zustimmung Ihrer Kontakte haben.
Führen Sie eine Überprüfung der Registrierungen durch: Woher kommen Ihre Registrierungen? Stellen Sie sicher, dass Sie Ihren Kunden nur die Informationen zur Verfügung stellen, die sie angefordert haben. Selbst wenn Sie mehrere Dienste anbieten, können Sie nicht allen Abonnenten Informationen über diese Dienste zukommen lassen. Dies ist der Grundsatz der Zweckbindung der Datenschutz-Grundverordnung.
Datensparsamkeit – sammeln Sie nur die Daten, die Sie wirklich brauchen und nicht gedankenlos alles, was sie sammeln können. Sie dürfen nur Daten verarbeiten, die Sie für eine spezielle Aufgabe eingeholt haben und wirklich benötigen.
Respektieren Sie die Rechte Ihrer Kunden (Art. 12-23 der DSGVO). Kunden haben das Recht, dass ihre Daten auf Anfrage gelöscht werden. Zudem sollten Sie selbst immer transparent bleiben und sich an das Auskunftsrecht, WiderspruchsrechtWiderspruchsrecht, dass Recht auf Löschung und beispielsweise das Recht auf Einschränkung der Verarbeitung.
Manchmal muss ein Unternehmen personenbezogene Daten verarbeiten, um bestimmte Prozesse auszuführen (etwa eine Beschwerde beim Kundencenter oder zur Verhinderung eines Betrugs).
Solche Fälle der persönlichen Datenverarbeitung sind nur dann gerechtfertigt, wenn es dafür ein „berechtigtes Interesse“ gibt, wie in den Beispielen oben (wenn die Rechte und Freiheiten dieser Person nicht gefährdet sind). Ihr Unternehmen muss die betroffene Person in solchen Fällen über die Verarbeitung der Daten unterrichten.
Wenn Sie darüber hinaus personenbezogene Daten verarbeiten möchten, etwa um personalisierte Werbung auszuspielen, Newsletter zu individualisieren oder das Nutzerverhalten über Tracking-Tools wie Google Analytics zu verfolgen, müssen Sie sich vorher dafür die explizite und aktive Zustimmung (Opt-in) der Verbraucher einholen.
Bei Datenschutzverstößen müssen Unternehmen mit harten Strafen rechnen. So können in gravierenden Fällen Bußgelder in Höhe von bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Wert höher ist.
Wir empfehlen, auch wenn etwas nicht zu 100 % durch die DSGVO geregelt ist, proaktiv zu handeln, um spätere Probleme zu vermeiden. Folgen Sie am besten den von unserem Experten-Team empfohlenen bewährten Praktiken. Wir empfehlen Ihnen beispielsweise das Double-Opt-In-Verfahren für Ihre E-Mails, um zu garantieren, dass Ihre E-Mails wirklich erwünscht sind und um einen Nachweis dafür für die DSGVO zu haben. Anmelde- und Kontaktformulare helfen Ihnen zudem bei der Generierung von Newsletter-Abonnenten.
Unser Experten-Team rät zudem vom Kauf von E-Mail-Listen ab. Verwenden Sie stattdessen DSGVO-konforme Anmeldeformulare. Auch Noreply-E-Mails gehören in diese Rubrik. Hier empfehlen wir Ihnen lieber auf Nummer sicher zu gehen und Datensicherheit sowie Datenschutz zu priorisieren und sogenannte “Grauzonen” zu vermeiden.
Damit Sie effizient überprüfen können, ob Sie alle Datenschutzregeln und -gesetze einhalten, die für Ihr Unternehmen gelten könnten, haben wir einen E-Mail-Audit für Sie zusammengestellt. Hierbei werden insbesondere die wichtigsten Anforderungen überprüft. Wir empfehlen eine Prüfung auf Compliance regelmäßig durchführen.
Besondere Regeln für Werbeanfragen im B2B-Umfeld in Deutschland
Das Oberlandesgericht Dresden stellte im September 2024 in einem Urteil klar: Bei unerwünschten Werbeanfragen per E-Mail ist Vorsicht geboten, auch im B2B-Umfeld!
Im Fall ging es um eine Getränkefirma, die von einer Veranstalterin kontaktiert wurde. Sie bot der Firma an, für ein Event in Leipzig kostenlos Getränke zu stellen, um im Gegenzug als unentgeltlicher Sponsor aufzutreten. Die Getränkefirma empfand dies als störende Werbung und verlangte eine Unterlassung – was das Gericht unterstützte. „Jede Werbung unter Verwendung elektronischer Post ohne vorherige ausdrückliche Einwilligung des Adressaten [stellt] stets eine unzumutbare Belästigung dar“, so das Urteil.
Das Gericht nannte drei zentrale Gründe für seine Entscheidung:
Die Nachricht wurde als Werbemaßnahme eingestuft, da sie auf die „Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen“ abzielte, ohne dabei eine angemessene Gegenleistung zu bieten.
Solche Anfragen stören den Betriebsablauf, da bereits das Prüfen der E-Mail wertvolle Ressourcen beansprucht.
Die Veranstalterin nutzte eine öffentlich zugängliche allgemeine E-Mail-Adresse. Es hatte zuvor keinen Kontakt gegeben, der hätte vermuten lassen, dass das Unternehmen Interesse an solchen Anfragen hätte. Eine öffentlich zugängliche Adresse gilt daher nicht als stillschweigende Zustimmung zu Werbeanfragen. Dieses „Cold-Mailing“ ist somit ohne vorherige Einwilligung unzulässig.
Interessant: Selbst die Tatsache, dass die Getränkefirma in der Vergangenheit bereits ein Event gesponsert hatte, wurde vom Gericht nicht als stillschweigende Zustimmung für Werbeanfragen gewertet.
Auch das Argument, dass die E-Mail eine gezielte und einmalige Nachricht und keine Massenmail war, wurde vom Gericht als irrelevant angesehen. Solche Anfragen könnten, wenn erfolgreich, zu weiteren Massenmails führen, weshalb es dem Gericht auch darum ging, Unternehmen vor unnötigen Störungen künftig zu schützen.
Für E-Mail-Marketer bedeutet das konkret:
Versenden Sie keine unerbetenen Werbeanfragen an Unternehmen, ohne vorher eine Zustimmung eingeholt zu haben.
Um sicherzugehen, sollten Sie zuerst eine allgemeine Anfrage stellen, um das Interesse zu prüfen und gegebenenfalls eine explizite Einwilligung zu erhalten.
Verwenden Sie keine allgemeinen Kontaktadressen (z.B. kontakt@firma.de) für zufällige Werbeanfragen.
Zusammengefasst: Genauso wie im B2C-Marketing sollten Sie auch im B2B-Bereich bewährte Praktiken einhalten, um rechtlich auf der sicheren Seite zu sein.
Hinweis: Verwenden Sie professionelle E-Mail-Marketing-Lösungen wie Sinch Mailjet, die bereits eine DSGVO-konforme Checkbox für die Einwilligung anbieten. Dadurch werden relevante Daten wie Datum, Widget-Name, Zustimmungstext und IP-Adresse automatisch gespeichert, sodass die Einwilligung jederzeit nachweisbar bleibt.
Andere Datenschutzgesetze in deutschsprachigen Ländern
Österreich
Die DSGVO gilt seit dem 25. Mai 2018 auch in Österreich. Darüber hinaus ist das revidierte Datenschutzgesetz (DSG) das anwendbare Datenschutzrecht. Beide Gesetze regeln den Schutz von personenbezogenen Daten.
Zuständig für diesen Bereich ist seit 2014 die Datenschutzbehörde (DSB) und zuvor war die Datenschutzkommission (DSK) verantwortlich. Die DSB ist eine aktive Behörde und gibt zusammen mit der Wirtschaftskammer Österreich (WKO) regelmäßig Leitlinien zu Datenschutzfragen heraus, unter anderem zu Auskunftsersuchen von Betroffenen, Cookies, Direktmarketing und dem Recht auf Vergessenwerden.
Neben der Datenschutz-Grundverordnung und dem DSG hat Österreich auch das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)
Zusätzlich existiert der Datenschutzrat, der dem Bundeskanzleramt zugehörig ist. Dieser berät die Landesregierung und die Bundesregierung bei rechtspolitischen Fragen rund um den Datenschutz.
In Deutschland gelten alle Daten, mit denen eine Person identifiziert werden kann, als personenbezogene Daten und schützen natürliche Personen. In Österreich werden hierbei juristische Personen bis zu einem gewissen Grad einbezogen. Das bedeutet, dass z.B. auch Unternehmen in den Schutzbereich fallen.
Die Schweiz
Momentan gilt in der Schweiz das Bundesgesetz über den Datenschutz (DSG) und die Verordnung zum Bundesgesetz über den Datenschutz (VDSG). Wie auch in Österreich erstreckt sich der Datenschutz in der Schweiz sowohl auf personenbezogene Daten von natürlichen als auch von juristischen Personen, was einen zusätzlichen Schutz für Unternehmen bedeutet.
Allerdings gibt es dazu Neuigkeiten aus der Schweiz. Das DSG wird derzeit revidiert und soll am 1. September 2023 in Kraft treten. Insbesondere wird die Selbstbestimmung des Einzelnen über eigene Daten gestärkt und das neue Schweizer Bundesdatenschutzgesetz (nDSG) insgesamt an die DSGVO angeglichen.
Möchten Sie über die Datenschutzvorschriften in der ganzen Welt auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter, um unsere Artikel in Ihrem Posteingang zu erhalten!
Das Wichtigste in Kürze
Wir wissen, dass Datenschutz kompliziert ist und dass es sich für uns als Marketer oft so anfühlt, als würde er unsere Arbeit einschränken oder zusätzliche Herausforderungen schaffen. Datenschutz ist jedoch unumgänglich und Unternehmen in Deutschland müssen sich ausnahmslos an die DSGVO und das BDSG-neu halten.
Zum einen wird so die Verarbeitung von personenbezogenen Daten von natürlichen Personen geschützt. Zum anderen setzt sich die EU-DSGVO, oder einfach DSGVO, für den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen ein und stellt zudem sicher, dass Unternehmen, die sich außerhalb der EU befinden, dennoch den EU-Datenschutzregeln folgeleisten müssen, wenn Daten von EU ansässigen Personen bearbeitet werden.
Wenn Sie mehr über das Thema Datenschutz erfahren wollen und sicherstellen möchten, dass auch Sie DSGVO-konform sind, lohnt sich ein Besuch in unserer Wissensbibliothek. Wir haben die Fragen, die unsere Kunden und Kundinnen am meisten interessieren hier zusammengefasst. Sie können so das Wichtigste auf einen Blick über die DSGVO nachlesen.
Suchen Sie eine DSGVO-konforme E-Mail-Lösung, die den Datenschutz in den Vordergrund stellt? Mailjet ist ISO-27001-zertifiziert und war das erste Unternehmen, das von AFNOR für die Einhaltung der wichtigsten Grundsätze der DSGVO zertifiziert wurde.
Verwandte Lektüre
Beliebte Beiträge
Deliverability
17 min
How to avoid email spam filters
Mehr lesen
Deliverability
7 min
Noreply email address: Best practices for your email strategy
Mehr lesen
Email best practices
6 min
What is an SMTP relay and why do we use it?
Mehr lesen