Richtlinie für E-Mail Marketing

Die in dieser Richtlinie für zulässiges E-Mail Marketing zusammengestellten Informationen sollen Sie beim Setup und Betrieb der E-Mail-Marketing-Lösung „EMMA“ unterstützen. Wir geben Hinweise wie eine gute Datenstrategie auszusehen hat und welche Vorgehensweisen und Konfigurationen Sie idealerweise in Ihrer Sparkasse umsetzen sollten.

Die Informationen wurden mit bestem Wissen und Gewissen niedergeschrieben, jedoch kann diese Richtlinie keine Rechtsberatung im Einzelfall ersetzen. Sie kann jedoch dazu beitragen, dass EMMA-Nutzer mehr Sicherheit erlangen, wenn sie im Kontakt mit Interessenten und Kunden das Medium E-Mail einsetzen.

Inhaltsverzeichnis

EMMA Datenfluss

Schaubilder

Beim Einsatz von EMMA werden je nach Kommunikationstyp (z.B. Newsletter oder OSPlus-Versand) unterschiedliche, nicht synchronisierte Datenquellen herangezogen. Grundsätzlich kann man sagen, dass OSPlus (OSP) homogen nur Kunden beherbergt und Emma die heterogene Gruppe der Newsletterempfänger speichert, welche sich aus Interessenten und Kunden zusammensetzt und deren Zusammenstellung je nach Newsletterliste (Privatkunden (PK), Firmenkunden (FK), Immobilien, Private Banking, …) unterschiedlich sein kann.

Newsletter

 

Die Newsletterlisten werden direkt in EMMA gepflegt und durch die Emma-Anmeldemaske aus der Internet-Filiale (IF) gespeist. Sie können sowohl in einer Anmeldemaske mehrere Newsletterlisten zur Auswahl anbieten, zu denen sich ein Nutzer individuell an- als auch abmelden kann, als auch mehrere Anmeldemasken auf unterschiedlichen Seiten in der IF einbinden. Es findet keine Synchronisation mit OSP statt.

  • Die Anmeldung zu einer Newsletterliste erfolgt via EMMA-Maske in der IF.
  • Die Verwaltung des eigenen Datensatzes (z.B. Änderung des Nachnamens, Änderung Profiling-Einstellung, Änderung Newsletterselektion) können Newsletterempfänger jederzeit über den Reiter „Verwalten“ in der EMMA-Maske der IF oder über einen Verwalten-Link in jedem Newsletter vornehmen.
  • Die Abmeldung kann nach Erhalt des jeweiligen Newsletters durch einen Klick auf den Abmeldelink im Footer erfolgen oder über den Reiter „Verwalten“ in der EMMA-Maske der IF.

Meldet sich ein Nutzer zu einem Newsletter an, erhält er zunächst eine DOI-Mail (Double-Optin-Mail) mit einem Link an sein Postfach gesendet, um seine E-Mail-Adresse zu verifizieren. Nach Bestätigung des Links befindet sich der Nutzer in der jeweiligen Newsletterliste in Emma (Abonnenten >> Abonnentenlisten). Meldet sich ein Nutzer ab, so wird er von der jeweiligen Newsletterliste entfernt und auf die Abmeldeliste des jew. Newsletters gesetzt.

OSPlus-Versand

 

Überblick

 

Kunden werden zentral im OSP der Sparkasse gespeichert und können mittels…

  • manuellem Export aus OSP + manuellem Import in EMMA
  • EMMA-OSP-Schnittstelle (KMM, ReKu,IAM) vollautomatisiert

…an EMMA übertragen werden.

Wir raten dringend zum Einsatz der automatisierten EMMA-OSP-Schnittstellen, welche es in zwei Ausprägungen gibt:

  • KMM (kostenlos): Zur Übertragung von Abonnentenlisten für einmalige KMM-Kampagnen. Inkl. Rückkanal für Abmelder, Bouncer, Zurückgehaltene, Öffner, Klicker.
  • ReKu / IAM (Zusatzvertrag): Zur Übertragung von Abonnentenlisten im Rahmen von einmaligen (iam.e) und wiederkehrenden Maßnahmen (iam.w und reku). Inkl. Rückkanal für Abmelder, Bouncer, Zurückgehaltene, Öffner, Klicker.

 Versandarten aus OSP

 

Aus OSP können folgende Versandarten über die Schnittstellen übertragen werden:

  • KMM / IAM.e – einmalig (IAM.e ist noch nicht von der FI freigeschaltet)

Möchte man also eine Kampagnen-E-Mail (z.B. aus der GSK oder im Rahmen einer vom Verbundpartner bereitgestellten Kampagne) versenden, benötigt man zunächst einen Select aus OSP. Dieser Select wird als KMM-Abonnentenliste (zukünftig als IAM.e – Abonnentenliste) in EMMA hinterlegt und kann dann normal über EMMA ausgesteuert werden. Jeder neue KMM-Select (oder zukünftig auch IAM.e-Select) erzeugt eine neue Abonnentenliste in EMMA, so dass auch mehrere Kampagnen parallel laufen können.

  • ReKu / IAM.w – wiederkehrend

Im Falle einer ReKu- oder IAM.w – Datenlieferung ist der Prozess etwas anders:
Wird erstmals eine ReKu- oder IAM.w – Ansprache aktiviert, sendet die FI eine Steuerungsdatei (viam / vreku) an EMMA. Mit Hilfe dieser Steuerungsdatei wird eine leere Abonnentenliste samt passendem Namen (ReKu Auftragsname / IAM Content-ID) angelegt. Fortlaufende Datenlieferungen werden immer in diese initial angelegte Abonnentenliste übertragen.
Es gibt also eine feste Verknüpfung zwischen einem ReKu-Anlass (z.B. Geburtstag) bzw. einem IAM.w-Anlass und einer Abonnentenliste in EMMA. Daher erzeugt nicht jede neue Datenlieferung eine neue Liste in EMMA, sondern die vorhandene Abonnentenliste wird in EMMA ergänzt. Dieses Vorgehen (Ergänzen anstatt Ersetzen) ist nötig, da sonst unter bestimmten Konfigurationsumständen nicht alle User die für sie geplante Kommunikation erhalten würden. Bei der Verarbeitung im Rahmen einer automatisierten Kampagne (Extras -> Kampagnen), greift EMMA aber immer nur die neu hinzugekommen Datensätze und versendet die Kommunikation.
Die ReKu- bzw. IAM.w-Abonnentenlisten in EMMA, stellen also eine komplette Versandhistorie aller Empfänger der jeweiligen Ansprache dar.

Weitere Details zu ReKu und IAM sind hier verlinkt.

Import-Bereinigung                                  

Um die Trennung der Datentöpfe von OSP-Kampagnen und Newslettern zu vervollständigen, findet bereits seit 2021 weder ein Abmeldeabgleich, noch ein Dublettenabgleich beim Import aus OSP statt. Die OSP-Daten werden 1:1 in die Abonnentenliste importiert. 

Q: Warum findet kein Abmeldeabgleich statt?
A: Ein globaler Abmeldeabgleich in EMMA (für ankommende OSP-Abonnentenlisten) macht keinen Sinn, da EMMA auch Abmelder von Newsletterlisten vorhält. Bei einem globalen Abmeldeabgleich würden sonst auch Kunden, die zwar dem Newsletter in EMMA wiedersprochen haben, aber trotzdem in OSP eine gültige Werbeeinwilligung haben, ausgeschlossen werden. Die zu berücksichtigen Abmeldungen von vergangenen Kundenkommunikationen auf Basis von OSP-Abonnentenlisten, werden wiederum bei jeder Versendung auf dem Rückkanal als Export zur Verfügung gestellt und sind zwingend in OSP zu verarbeiten. Ist dieser Closed-Loop vorhanden, ist der Abmeldeabgleich beim Import überflüssig. Weitere Details dazu unter Punkt 5.2.

Q: Warum findet kein Dublettenabgleich statt?
A: Dublettenabgleiche werden nicht durchgeführt, da die FI die unverfälschte Verarbeitung der gelieferten Abonnentenlisten voraussetzt. Werden Dubletten im Rahmen einer Ansprache geliefert, so ist dies gewollt (z.B. Ansprache einer natürlichen Person + Ansprache eines Personenverbundes mit jeweils der selben E-Mail-Adresse.)

Daher ist es umso wichtiger, dass Sie die Reaktionen aus EMMA, welche bei jedem E-Mail-Versand entstehen, automatisiert von OSP verarbeiten lassen.
Nähere Infos zur hierfür benötigten OSP-Konfiguration finden Sie hier (unter Punkt 4: Administrative Voraussetzungen).

Rückkanal / Reaktionen

Folgende Reaktionen werden beim OSP-Versand von EMMA erfasst und müssen bzw. können von Ihnen in OSP weiterverarbeitet werden. (in unserem Glossar finden Sie die einzelnen Begriffe detailliert erläutert):

  • Bounces
  • Zurückgehaltene E-Mail-Adressen
  • Abmelder
  • Öffner
  • Klicker
  • Versendet
 

Schaubilder

 

Technisches Schaubild EMMA OSP-Schnittstelle:

Klicken zum Vergrößern

 

Vereinfachtes Schaubild EMMA OSP-Schnittstelle (KMM):

 

Löschprozess

 

Erfolgt die Übermittlung der Daten an EMMA via Schnittstelle, so werden ab dem 23.08.2021 die übermittelten Abonnentenlisten auch nach 180 Tagen wieder aus dem EMMA-Account entfernt. Dies hat datenschutzrechtliche Gründe und trägt außerdem dazu bei, Ihren Account „sauber“ zu halten. Der Zeitraum von 180 Tagen ist notwendig, um übermittelte Öffnungen + Klicks, Abmelder und Bounces verarbeiten zu können.

Aus technischen Gründen sind folgende Abonnentenlisten vom Löschprozess ausgenommen:

  • Alle Listen, die manuell hochgeladen wurden
  • ReKu-Listen
  • KMM-Listen, welche mittels Parameter APPEND oder UPD übertragen wurden
  • IAM-Listen

EMMA Konfiguration

Nachdem in Kapitel 2 der grundlegende Datenfluss zwischen IF, OSP und EMMA erläutert wurde, gehen wir in diesem Kapitel nun auf die Konfiguration der einzelnen beteiligten Elemente in EMMA, unter Nennung der datenschutzrechtlichen Rahmenbedingungen, ein.

1. EMMA-Maske in der IF

 

Die in der IF platzierte EMMA-Maske bildet die Schnittstelle zwischen Endkunden (Newsletter) und EMMA-Account.

Im Reiter „Anmelden“ sind folgende Punkte zu beachten:

  • Datensparsamkeit
    Im Rahmen der Einwilligung dürfen nicht mehr Daten vom Empfänger verlangt werden als für die Erbringung des Dienstes tatsächlich erforderlich sind. Für die Zusendung eines E-Mail-Newsletters ist im Regelfall nur die Abfrage der E-Mail-Adresse erforderlich. Die verpflichtende Abfrage des Vornamens oder Nachnamens zur Personalisierung des E-Mail-Newsletters wird nicht von allen Datenschutzaufsichtsbehörden als zulässig angesehen. Auf freiwilliger Basis können hingegen weitere Daten abgefragt werden.
  • Datenschutzerklärung
    Die Datenschutzerklärung muss von der Anmeldemaske aus direkt via Link aufrufbar sein.
  • Profiling-Checkbox
    Diese Checkbox ist dann nötig, wenn Sie Mail-Öffnungen und Link-Klicks standardmäßig personenbezogen messen und auswerten wollen.
    Mit dem „Arbeitskreis Datenschutz in der Sparkassenpraxis“ wurde folgende Formulierung abgestimmt:

„Ja, ich bin einverstanden, dass die Sparkasse meine Nutzung des Newsletters wie folgt auswertet: Ihre Sparkasse kann auswerten, wie Sie den Newsletter und die darin enthaltenen Angebote nutzen (z.B. Seitenaufrufe, Klick- und Besuchsfrequenzen, Verweilzeiten, Formularnutzungen, Downloads und vergleichbare Daten). Damit ist es der Sparkasse möglich, Sie zu einem für Sie günstigen Zeitpunkt über für Sie geeignete Produkte und Aktionen zu informieren und zu beraten.  Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO wertet die Sparkasse nicht aus. Sie können diese Einwilligung jederzeit über den Reiter „Verwalten“ oder den “Daten ändern”-Link im Newsletter widerrufen. Weitere Hinweise finden Sie in der Datenschutzerklärung.“

Der Gesetzgeber schreibt außerdem vor, dass der Dienstanbieter dem Nutzer die Möglichkeit gibt, seine Einwilligung zur Verwendung seiner Daten bzw. seines Opt-In jederzeit zu widerrufen. Außerdem verlangt der Gesetzgeber explizit, dass der Hinweis auf dieses Recht dem Nutzer zwingend vor der Erklärung der Einwilligung gegeben werden muss. Es reicht daher nicht aus, den Hinweis in einem Newsletter mit Abmeldelink unterzubringen. Schon bei der Registrierung fordert der Gesetzgeber einen entsprechenden Hinweis.

Im Reiter „Verwalten“ muss auch die Profiling-Checkbox eingebunden werden, damit User auch nachträglich Ihren aktuellen Profiling-Status einsehen und anpassen können. Außerdem empfehlen wir nicht das Feld „E-Mail“ zur Profilverwaltung anzubieten, da die Änderung ohne erneuten Double-Optin in EMMA gespeichert wird.

2. DOI-Mail

 

Die Bestätigungs-E-Mail muss stets absolut werbefrei sein und darf ausschließlich dem Zweck dienen, die E-Mail-Adresse zu verifizieren. Die Bestätigungs-E-Mail muss nicht, wie man es häufig sieht, als reine Text-E-Mail versendet werden. Sie darf durchaus der Corporate Identity des Unternehmens entsprechen und beispielsweise ein Logo enthalten. Alle darüberhinausgehenden werblichen Elemente sind jedoch unbedingt zu vermeiden. Eine mit Werbung versehene Bestätigungs-E-Mail würde vor Gericht als unzulässige Werbe-E-Mail durchfallen.

Bei der Gestaltung einer DOI-Mail sind daher folgende Aspekte zu berücksichtigen (muss/ soll):

  • Werbefreier Inhalt
  • Kurze Erläuterung welche Handlung vom Kunden gefordert ist
  • Klar formulierter Bestätigungslink
  • Impressum
  • Auffordernde Betreffzeile („Bitte bestätigen Sie….“ oder „Jetzt Newsletteranmeldung bestätigen…\“)
  • Gestaltung in HTML in Sparkassen-CI zur Erhöhung des Wiedererkennungswertes

3. Datenbestand

 

Wie bereits in Kapitel 2 erläutert, ergeben sich bei der vollumfänglichen Nutzung von EMMA (Newsletter, Kampagnen und/oder ReKu) zwei unabhängige Datentöpfe:

Werbung per E-Mail bedarf zum Schutz des Verbrauchers im B2C-Bereich aber auch aus wettbewerbsrechtlichen Gründen im B2B-Bereich grundsätzlich der Einwilligung des Empfängers.

Für den Newsletterversand via EMMA bedeutet dies, dass Sie vor allem für die Gruppe der Interessenten (beliebige Nicht-Kunden, welche den Newsletter erhalten möchten) den Double-Optin-Prozess anwenden müssen. Hierzu nutzen Sie am besten die EMMA-Maske in der IF, welche an ein entsprechendes Anmeldesetup inkl. DOI-Mail in EMMA geknüpft ist. Damit erfüllen Sie die Anforderungen einer nachweisbaren Einwilligung und detaillierten Protokollierung.

Für E-Mail-Werbung im Rahmen bestehender Kundenbeziehungen sieht das Gesetz bestimmte Erleichterungen vor, so dass keine Einwilligung erforderlich wird (z.B. Legitimation § 7 Abs. 3 UWG). Bitte prüfen Sie eigenständig, inwiefern dies für Ihre Bestandskunden gilt.

4. E-Mail Inhalt

 

Der Versand von Newslettern und Kampagnen stellt gewisse Anforderungen an den Inhalt und die Absenderkennzeichnung. Dies beginnt schon mit der Absenderadresse. Bei der Auswahl der
Absenderadresse sollte darauf geachtet werden, dass diese einen vertrauenswürdigen Eindruck macht. Vermeiden Sie sowohl kryptische Abkürzungen, als auch unbedingt no-reply@-Postfächer, da Sie damit nicht nur den Eindruck erwecken, Kommunikation mit Ihren Kunden zu meiden, vielmehr verstoßen Sie dann auch gegen wettbewerbsrechtliche Bestimmungen (§7 Abs. 1, 2 Ziffer 4 UWG).

Die E-Mail muss außerdem das komplette Impressum des Absenders und einen Link zum Datenschutz enthalten.

Der Empfänger muss darüber hinaus in jeder verschickten E-Mail die Möglichkeit haben, sich abzumelden. Dies ist mittels Abmeldelink sicherzustellen, der den User ohne erneute Verifikation (z.B. manuelle Eingabe seiner E-Mail-Adresse), nach einem Klick von der Abonnentenliste austrägt.

Werden in E-Mails urheberrechtlich geschützte Inhalte verwendet, ist darauf zu achten, dass die hierfür erforderlichen Nutzungsrechte eingeholt wurden. Dies gilt sowohl für Fotos oder Grafiken als auch für Texte.

5. Abmeldeprozess

 

Es ist rechtlich vorgeschrieben, dass in jeder Werbe-E-Mail eine Abmeldemöglichkeit zur Verfügung gestellt und auf diese hingewiesen wird. Der beste und nutzerfreundlichste Weg ist ein Abbestell-Link in jeder versendeten E-Mail. Nach dem Klick auf den Link sollte der Nutzer auf eine Seite gelangen, auf der die Austragung aus dem Verteiler bestätigt wird.
Es ist nicht nötig, dem Nutzer die Abmeldung per E-Mail zu bestätigen. Vielmehr ist es so, dass diese weitere E-Mail vom Nutzer schon als unzumutbare Belästigung verstanden werden kann, da er dem werbetreibenden Unternehmen gerade die Erlaubnis zur Zusendung weiterer E-Mails entzogen hat.

Keinesfalls zum Einsatz kommen sollten Prozesse, die dem Nutzer die Abmeldung erschweren, wie z.B. eine erforderliche Bestätigung per E-Mail oder die manuelle Eingabe der E-Mailadresse zur Bestätigung.
EMMA bietet bereits in der Standardkonfiguration eine rechtssichere Abmeldefunktion.

Konzeptionell wird ein solcher Prozess aufwändiger, wenn…

  • ein User mehrere Newsletter abonniert hat.
  • E-Mails aus mehreren Datenquellen verschickt werden
    (EMMA ist Datenquelle für Newsletter und OSP ist Datenquelle für KMM / ReKu / IAM Versendungen).
  • eine E-Mailadresse von mehreren natürlichen Personen genutzt wird.

5.1 Szenario „ein User hat mehrere Newsletter abonniert“

 

Die Verwaltung der unterschiedlichen Newsletter-Abonnentenlisten (z.B. PK und FK) geschieht in EMMA und ist unabhängig von OSP. In EMMA kann ein User mehrere Newsletter abonniert haben. Der Klick auf den Abmeldelink in einem Newsletter hat aber immer nur Auswirkung auf das Abonnement dieses einen Newsletters. Das heißt, wenn sich ein User vom PK-Newsletter abmeldet, wird er von der PK-Abonnentenliste entfernt. Der User kann aber theoretisch weiterhin andere Newsletter (z.B. FK) abonniert haben.
Wenn sich ein User also von allen Newslettern abmelden möchte, muss er sich von jedem Newsletter separat abmelden, den er abonniert hat.
Der „Arbeitskreis Datenschutz in der Sparkassenpraxis“ hat eine Abmeldung vom Newsletter nicht als allgemeinen Werbewiderspruch i.S.d. Art. 21 DSGVO bewertet, so dass kein Abgleich mit E-Mail-Einwilligungen in OSP stattfinden muss.

Ebenfalls rät der o.g. Arbeitskreis zu folgender Formulierung auf der Abmelde-Bestätigungsseite von Newslettern:
„Sie haben sich erfolgreich von diesem Newsletter abgemeldet. Bitte beachten Sie: Sofern Sie weitere Newsletter zu anderen Themengebieten bei uns abonniert haben, erhalten Sie diese weiterhin.“

5.2 Szenario „E-Mails werden aus mehreren Datenquellen verschickt“

 
  • Abmeldungen von Newslettern werden in EMMA verarbeitet und haben direkte Auswirkung auf die führende Datenbank (EMMA). Es erfolgt keine Weitergabe der Abmeldung an OSP.
  • Abmeldungen von KMM / ReKu / IAM E-Mails, deren Abonnentenliste zuvor über die OSP-Schnittstelle an EMMA übertragen wurden, werden ebenfalls in EMMA verarbeitet und haben direkte Auswirkung auf die führende Datenbank (OSP), sofern die automatische Responseverarbeitung in OSP aktiviert ist. Es ist sicherzustellen, dass die Rückmeldungen von EMMA an OSP zeitnah verarbeitet werden!

Wie ist aber eine Abmeldung vom Newsletter zu werten? Müsste diese Abmeldung nicht auch den möglicherweise vorhandenen Kundendatensatz in OSP beeinflussen?
Nein, denn im „Arbeitskreis Datenschutz in der Sparkassenpraxis“ wurde die Feststellung getroffen, dass die Abmeldung vom Newsletter nicht als allgemeiner Werbewiderspruch i.S.d. Art. 21 DSGVO zu werten ist. Damit ist ein Abgleich mit OSP-Kampagnen-Listen nicht erforderlich. Melden sich Kunden vom Newsletter ab, kann damit nicht zugleich der Wille übertragen werden, dass der Kunde gar keine Werbung oder Information der Sparkasse mehr erhalten möchte. Sollte dies der Kunde wünschen, ist ihm dies über den Widerspruch, auf den in den Datenschutzerklärungen hingewiesen wird, möglich. Oder er meldet sich dann beim Empfang der nächsten E-Mail welche aus dem OSP-Kampagnenmanagement kommt ab.

Abmeldungen und Werbewiderrufe über andere Kanäle (Brief, Fax, Telefon, Beratergespräch) müssen auch in EMMA berücksichtigt werden und manuell verarbeitet werden!

5.3 Szenario „Eine E-Mail Adresse wird von mehreren natürlichen Personen genutzt“

 

Beispiel: Herr und Frau Müller nutzen gemeinsam die E-Mail-Adresse mueller@email.de.

  • Meldet sich eine der beiden o.g. Personen vom Newsletter ab, so wird die E-Mail-Adresse mueller@email.de auf die Abmeldeliste des jeweiligen Newsletters geschrieben. Zukünftig wird der Empfang des Newsletters an die E-Mailadresse mueller@email.de verhindert, auch wenn sich nur einer der beiden Personen abgemeldet hat.
    Im Falle des Newsletters ist die Abmeldung also „E-Mail-Adress-bezogen“
  • Meldet sich einer der beiden o.g. Personen von einer KMM / ReKu / IAM E-Mail ab, deren Abonnentenliste zuvor über die OSP-Schnittstelle an EMMA übertragen wurden, hat die Abmeldung direkte Auswirkung auf die führende Datenbank (OSP), sofern die automatische Responseverarbeitung in OSP aktiviert ist.
    Die andere Person kann aber weiterhin KMM / ReKu / IAM E-Mails auf der E-Mailadresse mueller@email.de empfangen, da die Abmeldung personenbezogen an OSP zurückgespielt wird und anhand der Personennummer direkt einer natürlichen Person zugeordnet werden kann. Im Falle von Kampagnen / ReKus ist die Abmeldung also „Personenbezogen“.

    Daher wurde mittlerweile auch der Bestätigungstext auf der Kampagnenabmeldeseite in EMMA um einen Hinweis ergänzt:
    „Wir haben Ihre Abmeldung verarbeitet. Bitte beachten Sie: Soweit diese E-Mail-Adresse von weiteren Personen genutzt wird, können an diese E-Mail-Adresse weiterhin Angebote erfolgen, die sich jedoch nicht an Sie richten.“

Wie ist aber eine Abmeldung vom Newsletter zu werten? Müsste diese Abmeldung nicht auch den möglicherweise vorhandenen Kundendatensatz in OSP beeinflussen?
Nein, denn im „Arbeitskreis Datenschutz in der Sparkassenpraxis“ wurde die Feststellung getroffen, dass die Abmeldung vom Newsletter nicht als allgemeiner Werbewiderspruch i.S.d. Art. 21 DSGVO zu werten ist. Damit ist ein Abgleich mit OSP-Listen nicht erforderlich. Melden sich Kunden vom Newsletter ab, kann damit nicht zugleich der Wille übertragen werden, dass der Kunde gar keine Werbung oder Information der Sparkasse mehr erhalten möchte. Sollte dies der Kunde wünschen, ist ihm dies über den Widerspruch, auf den in den Datenschutzerklärungen hingewiesen wird, möglich. Oder er meldet sich dann beim Empfang der nächsten E-Mail welche aus dem OSP-Kampagnenmanagement kommt ab.

Abmeldungen und Werbewiderrufe über andere Kanäle (Brief, Fax, Telefon, Beratergespräch) müssen auch in EMMA berücksichtigt werden und manuell verarbeitet werden! Hierzu gibt es aktuell Abstimmungen zw. Arbeitskreis Datenschutz, Regionalverbänden, FI und SFP, wie dies zukünftig automatisiert werden könnte.

 

6. Abmeldelisten

 

Meldet sich ein Nutzer von einer aus EMMA verschickten E-Mail ab, so wird er von der angeschriebenen Abonnentenliste entfernt und in einer separaten Abmeldeliste geführt. Der Datensatz wird nach 7 Tagen anonymisiert und es verbleibt nur noch die E-Mailadresse in der Abmeldeliste zurück.

Man kann aktuell der Auffassung sein, dass das Vorhalten einer Abmeldeliste über den Rechtfertigungsgrund Art. 6 Abs. 1 S. 1c DSGVO gerechtfertigt ist, da die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die rechtliche Verpflichtung des Verantwortlichen könnte insofern in der Sicherstellung, den Abgemeldeten auch tatsächlich nicht mehr mit Inhalten zu bespielen, bestehen, um so dem Widerspruchsrecht des Betroffenen gerecht zu werden.

Bitte schätzen Sie dieses Szenario eigenständig in Ihrem Hause ein. Sollte Ihr Datenschützer eine andere Auffassung vertreten, können Sie z.B. auch die Abmeldelisten regelmäßig komplett löschen.

 

7. Blacklist

 

Das Führen von Blacklisten ist datenschutzrechtlich ähnlich wie das Führen von Abmeldelisten einzuordnen. Man kann der Auffassung sein, dass ein solches Vorgehen (Führen von Blacklisten) als Schutzmaßnahme des Instituts notwendig ist.

Das Vorhalten einer Blacklist und die damit verbundene Datenverarbeitung kann über Art. 6 Abs. 1 S. 1 f DSGVO gerechtfertigt sein, da eine Interessenabwägung zu Gunsten des Verantwortlichen (des Instituts) ausfällt. Im Erwägungsgrund 47 zur DSGVO ist in Satz 7 hierzu Folgendes ausgeführt:

„Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.“

Bitte schätzen Sie dieses Szenario eigenständig in Ihrem Hause ein. Sollte Ihr Datenschützer eine andere Auffassung vertreten, handeln Sie bitte entsprechend.

 

8. Profiling

 

Mittels Trackingpixel und Linkredirects können in EMMA Öffnungen und Klicks von E-Mailings nachvollzogen werden, um allgemein die Performance der Marketingmaßnahmen zu bewerten oder um mittels Zielgruppen bspw. Follow-Up-E-Mailings an bestimmte Empfänger auszusteuern. Soll die Auswertung und Nutzung der KPIs auf Einzelpersonenbasis erfolgen, muss eine Einwilligung des Users hierzu vorliegen.

EMMA bietet umfangreiche Konfigurationsmöglichkeiten zum Profiling an.

8.1 Szenario Neukunden

 

Neukunden werden über die EMMA-Maske in der IF generiert (für Newsletter) und durch Kundenkontakt in der Sparkasse (in OSP für Kampagnen).

8.1.1 Szenario Neukunden für den Newsletter

 

Melden sich Interessenten zum Newsletter über die EMMA-Maske in der IF an, muss über eine Checkbox die Einwilligung dazu eingeholt werden, auch das Verhalten bei Nutzung des Newsletters verfolgen zu können, sodass eine Profilbildung möglich ist.

Der Checkbox-Text könnte wie folgt ausgestaltet sein:

„Ja, ich bin einverstanden, dass die Sparkasse meine Nutzung des Newsletters wie folgt auswertet: Ihre Sparkasse kann auswerten, wie Sie den Newsletter und die darin enthaltenen Angebote nutzen (z.B. Seitenaufrufe, Klick- und Besuchsfrequenzen, Verweilzeiten, Formularnutzungen, Downloads und vergleichbare Daten). Damit ist es der Sparkasse möglich, Sie zu einem für Sie günstigen Zeitpunkt über für Sie geeignete Produkte und Aktionen zu informieren und zu beraten.  Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO wertet die Sparkasse nicht aus. Sie können diese Einwilligung jederzeit über den Reiter „Verwalten“ oder den “Daten ändern”-Link im Newsletter widerrufen. Weitere Hinweise finden Sie in der Datenschutzerklärung.“

Siehe dazu auch Abschnitt „3.1 EMMA-Maske in der IF“

8.1.2 Szenario Neukunden in OSP

 

Neukunden geben über den neuen Baustein in der EWE ihre Einwilligung zum Tracking bei Nutzung digitaler Angebote ihrer Sparkasse.

Hier heißt es:

„Ich bin einverstanden, dass die Sparkasse in die Analyse auch die folgenden Daten über meine Nutzung von digitalen Angeboten der Sparkassen und deren Verbundpartnern (Liste der Verbundpartner siehe Anlage „Verbundpartner aus der Sparkassen-Finanz gruppe zu den Einwilligungen“)  einbezieht: Daten über meine Nutzung ausschließlich von digitalen Angeboten, die mir die Sparkasse und deren Verbundpartner in der Internet-Filiale und in ihren Apps jeweils anbieten, wie Seitenaufrufe, Klick- und Besuchsfrequenzen, Verweilzeiten, Formularnutzungen, Downloads und vergleichbare Daten. Daten über mein sonstiges Surfverhalten und die Nutzung digitaler Angebote, die nicht von der Sparkasse oder deren Verbundpartnern stammen, werden durch die Sparkasse nicht verarbeitet. Besondere Kategorien personenbezogener Daten nach Art. 9 DS-GVO werten wir nicht aus.

Zweck der Analyse meiner Daten bei Nutzung von digitalen Angeboten der Sparkasse und deren Verbundpartnern: Die Sparkasse berät, betreut und informiert mich möglichst passgenau, z. B. zu einem für mich günstigen Zeitpunkt, über für mich geeignete Produkte und Aktionen. Die Sparkasse nutzt die Analysedaten zur Verbesserung der digitalen Angebote von sich und ihren Verbundpartnern.“

Gibt ein Sparkassenkunde hierzu seine Einwilligung, wird dies als sog. „Personenkennzeichen“ im OSP vermerkt. Seit OSP-Release 21.0 wird dieses Merkmal („Analyse der Nutzungsdaten unserer digitalen Angebote“) für Selektionen in KMM / ReKu / IAM über die Emma-OSP-Schnittstelle übertragen und auf das Feld „Profiling“ in EMMA gematcht.

8.2 Szenario Bestandskunden

 

Bestandskunden sind häufig schon recht lange in den Datenbanken der Institute hinterlegt. Hier ist eine andere Herangehensweise zu empfehlen.

8.2.1 Szenario Bestandskunden für den Newsletter

 

Institute, die schon sehr lange EMMA zum Versand von Newslettern nutzen, haben bei Anmeldung keine Einwilligung zum Tracking einholen können, da eine solche Checkbox vor 2018 noch nicht zur Verfügung gestellt worden ist. Für diese Fälle wurde die Datenverarbeitung häufig auf eine Interessenabwägung gem. Art. 6 Abs. 1 S. 1 f) DGSVO gestützt.
Mit dem BGH-Urteil im Planet49-Verfahren ist jedoch herausgestellt worden, dass im Rahmen von Telekommunikations- und Telemediendiensten zum Schutz der Privatsphäre des Nutzers die Regelungen der DSGVO zurücktreten und die Regelungen des ePrivacy-Rechts vorrangig gelten. Beim Zugriff auf oder das Speichern von Informationen auf dem Endgerät eines Nutzers insbesondere für vertriebliche Zwecke ist eine Einwilligung des Nutzers erforderlich.

Exkurs: Über den EMMA-Account werden sowohl OSPlus-Kampagnen als auch eigene Newsletter (unabhängig von OSPlus-Kampagnen) ausgespielt. Seit OSPlus-Release 21.0 wird der Einwilligungsstatus des Wertes „Analyse der Nutzungsdaten unserer digitalen Angebote“ bei allen KMM und ReKu-Transfers an EMMA datensatzspezifisch übermittelt. Selektieren Sie also Datensätze in OSPlus zur Weiterleitung an EMMA, so wird seit 21.0 der korrekte Profiling-Wert pro Datensatz gesetzt.

Bei eigenen Newslettern hingegen (z.B. PK u. FK) kann leider keine Rückkopplung mit OSPlus erfolgen, so dass nicht erkannt werden kann, ob die Empfänger dieser Newsletter die Einwilligung zur „Analyse der Nutzungsdaten unserer digitalen Angebote“ erteilt („neuer“ Baustein in EWE 182.600.000) oder ob sie diese nicht erteilt haben. Es kann nicht einmal erkannt werden, ob es ein Kunde der Sparkasse ist oder ein Nichtkunde, der lediglich den Newsletter dieser Sparkasse abonniert hat.

Ihr EMMA-Account muss daher hinsichtlich des Trackings dieser Newsletter eigenständig verwaltet werden (unabhängig von OSPlus) und daher auch die hierfür erforderlichen Einwilligungen dokumentieren können.

Um Datenverarbeitungen auf Basis legitimer Gründe vornehmen zu können, hat die S-Com im Sommer 2021 in Absprache mit den Sparkassen:

  1. zentral allen in EMMA vorhandenen Abonnenten den Profiling-Status = 0 zugeordnet.
  2. Eine neue EMMA-Anmeldemaske zur Verfügung gestellt, mit der Bestands-Newsletter-Empfänger Ihren Profiling-Status eigenständig verwalten können.

8.2.2 Szenario Bestandskunden in OSP

 

Analog zum o.g. Szenario „3.8.1.2 Szenario Neukunden in OSP“ wird auch für Bestandskunden in OSP seit OSP-Release 21.0 das Merkmal („Analyse der Nutzungsdaten unserer digitalen Angebote“) für Selektionen in KMM / ReKu / IAM über die Emma-OSP-Schnittstelle übertragen und auf das Feld „Profiling“ in Emma gematcht.

 

8.3 Grundkonfiguration Profiling

 

Die unter 3.8.1 und 3.8.2 skizzierten Szenarien decken die üblichen Datenflüsse in den Instituten ab. Wenn weitere Schnittstellen für den Zufluss von Usern in Ihren EMMA-Account genutzt werden (z.B. manuelle Anlage, manuelle Importe, API, etc.), müssen diese um das zusätzliche Abonnentenfeld „Profiling“ (1=Ja, 0=Nein) pro Datensatz ergänzt werden.

Geben Sie keinen datensatzspezifischen Profilingwert mit, so wird der Datensatz mit dem in Ihrem EMMA-Account hinterlegten Standardwert angelegt.

Der Standardwert kann direkt in EMMA über Abonnenten > Abonnentenfelder > Abonnentenfeld „Profiling“ und der Eingabe einer „1“ (= dem Profiling zugestimmt) oder „0“ (= Profiling nicht zugestimmt) im Eingabefeld „Standardwert“ bestimmt werden. Der Standardwert greift immer dann, wenn keine explizite Information für das Profiling am Datensatz mitgegeben wird.

9. Konfigurations-Checkliste

 

Die Konfigurations-Checkliste für zulässiges E-Mail Marketing können Sie hier herunterladen.

Nach oben scrollen