Die Panik hat sich inzwischen gelegt und pragmatische Ruhe scheint in den Unternehmen eingekehrt zu sein. Doch was hat sich in den zwölf Monaten seit der Einführung getan? War die ganze Panik berechtigt? Und ist jetzt Entwarnung angesagt?

Wir wagen ein Fazit nach einem Jahr DSGVO.

Der Haupt-Schaden: Die große Adressen-Vernichtung

Kurz vor dem Inkrafttreten der DSGVO wurden leider millionenfach Re-Permission-Mails verschickt. Mails, mit denen mehr oder weniger verzweifelt versucht wurde, eine nachträgliche Zustimmung (zum weiteren Erhalt der Newsletter) zu bekommen.

Diese Mails hatten alle zu einem ähnlichen Ergebnis geführt: Es wurden damit massenweise wertvolle E-Mail-Adressen quasi über Nacht vernichtet.

Tipp: Eine Analyse dazu samt Empfehlungen lesen Sie in unserem Beitrag "Die globale Wertevernichtung und der Segen für E-Mail-Marketing."

Das hatte übrigens konkrete und messbare Auswirkungen auf das Versandvolumen in den Monaten nach der DSGVO. Wir haben uns das Ende September 2018 genauer angesehen und die monatlichen Versandvolumina aller unserer Kunden des aktuellen Jahres mit dem Vorjahr verglichen. Hier das Ergebnis der Analyse.

Wenig Beschwerden und kaum Strafen

Was die befürchteten Strafen betrifft, hat sich seit der Einführung der DSGVO im Mai 2018 viel weniger getan, als viele Unkenrufer prophezeit haben.

Zum Beispiel hat die österreichische Datenschutzbehörde ihre Statistik per Mai 2019 veröffentlicht. In dem einen Jahr gab es in Österreich

• 1.969 Beschwerden,
• 600 Data Breach Notifications (also Unternehmen, die einen Datenmissbrauch angezeigt haben),
• 164 amtswegige Prüfverfahren,
• 189 Verwaltungsstrafverfahren,
• und nur 5 Strafen wurden bis jetzt ausgesprochen.

Die große Keule mit den riesigen Strafen, welche die DSGVO grundsätzlich vorsieht, ist also nicht zum Einsatz gekommen. Die höchste Strafe wurde gegen ein Wettbüro wegen illegaler Video-Überwachung verhängt und betrug gerade einmal EUR 5.280,-.

Das passt auch zum Grundsatz "verwarnen statt strafen", den die österreichische Bundesregierung im österreichischen Datenschutz-Anpassungsgesetz definiert hat.

Viele positive Auswirkungen der DSGVO

Die DSGVO hatte in Summe viele positive Auswirkungen. Die vermutlich wichtigste Änderung fand in den Köpfen der Unternehmer statt: Das Thema Datenschutz wird nun wesentlich professioneller gesehen und generell ernster genommen.

Das sieht man zum Beispiel daran, dass in vielen Unternehmen professionelle Prozesse für den Datenschutz eingeführt wurden, Betroffene wesentlich besser informiert werden und Daten nicht mehr "einfach so" mal gesammelt werden.

Auch das Thema "Dokumentation" hat heute bei vielen Unternehmen einen ungleich höheren Stellenwert.

Das Hauptproblem der DSGVO: Die Unsicherheit

Das grundsätzliche Problem der DSGVO sind nach wie vor die vielen offenen Fragen, die sich in der Praxis für Unternehmen ergeben. Nach noch immer gibt es viel Interpretationsspielraum bei wichtigen Fragen, unterschiedliche Aussagen, divergierende Auslegungen und wenig Klarheit.

Das macht es für Unternehmen natürlich schwierig, sich darauf einzustellen. Es wird wohl noch einige Zeit dauern, bis hier durch Gerichte und Behörden klare Verhältnisse geschaffen werden.

Es scheint deshalb bei vielen, vor allem klein- und mittelständischen Unternehmen, das Thema teilweise leider wieder etwas eingeschlafen zu sein. Da fehlt es an Risiko-Management und an einem Bewusstsein für die Wichtigkeit des Themas.

Eine große Panik ist weiterhin nicht angesagt, doch sind Unternehmen gut beraten, sich weiter um das Thema kümmern. Die Datenschutzbehörden haben weiterhin alle Hände voll zu tun, doch der Teufel schläft nicht; und wenn man als Unternehmen nicht nachweisen kann, dass man das Thema ernst genommen hat, sind auch in Österreich Strafen zu erwarten.

Der strategische Fehler mit der Einwilligung

Ein Fehler mit weitreichenden Konsequenzen ist, sich von den Betroffenen für fast alles eine Einwilligung zu holen – denn die ist in einigen Fällen gar nicht notwendig. Insbesondere dann, wenn man sich auf eine vertragliche Verpflichtung stützen kann oder man ein "berechtigtes Interesse" an der Datenverarbeitung argumentieren kann. Der Erwägungsgrund 47 der DSGVO sieht beispielsweise "Direktmarketing" explizit als potentiell berechtigtes Interesse vor!

Der Nachteil einer Einwilligung ist einfach erklärt: Eine solche Einwilligung kann durch den Betroffenen jederzeit widerrufen werden. Dann nützt aber auch ein berechtigtes Interesse nichts mehr! Man sollte sich also vorab gut überlegen, wofür und an welchen Stellen man sich eine Einwilligung der Betroffenen einholt.

Und: Wenn man eine Einwilligungen einholt, dann müssen diese auch dokumentiert und gegebenenfalls beauskunftet werden. Daher ist es empfehlenswert, sich vorher zu überlegen, welcher Rechtsgrund für eine bestimmte Aktion erforderlich ist.

Das Missverständnis mit der Einwilligung

Es gibt rund um die Zustimmung (im Zuge einer Newsletter-Anmeldung) immer wieder ein weiteres großes Missverständnis: Es gibt nämlich zwei (voneinander getrennte!) Zustimmungen - und beide (!) benötigt man in vielen Fällen, um rechtskonform E-Mailings verschicken zu können.

Eine Erklärung dazu samt Empfehlungen können Sie in unserem Artikel "Zustimmung ist Zustimmung - oder?" nachlesen.

Problematisches österreichisches Anpassungsgesetz

Die DSGVO sieht eine ganze Reihe von "Öffnungsklauseln" vor, das sind Punkte, die der lokale Gesetzgeber nutzen kann, um von der DSGVO abweichende (normalerweise verschärfende) Regelungen vorzusehen.

In aller Eile wurde von der österr. Regierung nun das "Datenschutz-Deregulierungsgesetz 2018" beschlossen. Es sieht wichtige Punkte vor, die für KMUs zwar eine Entlastung darstellen - doch einige Punkte sind leider problematisch.

Ein Fazit vom Fazit

In den meisten Unternehmen herrscht im Bereich E-Mail-Marketing wieder Normalbetrieb. Die DSGVO hat einerseits zu einer gewissen Bereinigung (z.B. der E-Mail-Adressen) geführt, andererseits auch zu einer höhen Sensibilität mit Umgang mit den Daten.

Auch legen viele Unternehmen deutlich mehr Wert auf Funktionen wie Anonymisierung von Verhaltensdaten oder der automatischen Löschung von veralteten Daten (z.B. Empfänger die sich abgemeldet haben).

All das führt zu einer erhöhten Professionalisierung – und die kommt schlussendlich dem Kanal E-Mail als Ganzes zugute.