Es ist soweit: Sie haben sich entschieden, SMS in Ihrem Unternehmen zu nutzen. Sie möchten Buchungsbestätigungen, Terminerinnerungen oder Abholbescheide an Ihre Kunden senden, um ihre internen Abläufe effektiver zu gestalten. Oder wollen Sie den persönlichen Charakter der SMS nutzen und direktes Marketing betreiben? Eine gute Idee! Nur ein Umstand lässt Sie zögern: Wie verhält es sich denn eigentlich mit dem Datenschutz beim SMS-Versand? Wir möchten Ihnen die Unsicherheit nehmen, indem wir Ihnen das Wichtigste auf einen Blick zeigen. Es erwarten Sie: Die wichtigsten Informationen über die Einwilligung, das Double Opt-In und den AV- Vertrag in Bezug auf den SMS-Versand an Ihre Kundinnen und Kunden.
Rechtsgrundlagen beim SMS-Versand und Double Opt-In
Gilt die DSGVO für SMS?
Grundsätzlich sollten wir an dieser Stelle zwischen zwei Formen des SMS-Versands unterscheiden. Sie können SMS zu werblichen Zwecken nutzen oder um Ihren Kunden einen entscheidenden Service anzubieten (transaktionale SMS). Verarbeiten oder speichern Sie (oder Dritte) personenbezogene Daten Ihrer Kunden, so greift die DSGVO. Einige Gesetze die den Datenschutz im SMS-Versand betreffen, stammen außerdem aus dem BDSG-neu, einer Erweiterung der DSGVO, die in der Bundesrepublik Deutschland gültig ist.
Die Einwilligung
Wie Ihnen sicher bekannt ist, benötigen Sie eine Rechtsgrundlage, wenn Sie Daten Ihrer Kunden nutzen möchten. Dies gilt, wie oben schon erwähnt, auch dann, wenn Sie Daten im SMS-Versand speichern, beispielsweise in einem Logbuch. Das Einholen einer Einwilligung ist hier in den meisten Fällen die sinnvollste Lösung, denn diese können Sie im Zweifelsfall vorzeigen. Wichtig ist: Ihre Kunden müssen Ihnen diese Einwilligung freiwillig geben und Sie müssen Ihre Kunden VOR der Einwilligung darüber informieren, für welchen genauen Zweck Sie die Nummer nutzen werden. Im Klartext bedeutet das: Wenn Sie die Nummer abfragen, um den Empfängern Buchungsbestätigungen zuzuschicken, dürfen Sie ohne explizite Einwilligung keine Marketing-SMS schicken und schon gar keine E-Mails. Zwar gibt es gewisse Ausnahmen zu dieser Regel, als grundlegende Richtlinie ist sie aber in jedem Fall zu empfehlen.
Darüber hinaus sollte Ihnen bewusst sein, dass Einwilligungen nicht zwingend unbegrenzt gültig sind – wenn Sie die Empfängern sehr lange nicht auf die angegebene Weise kontaktieren kann die Einwilligung verfallen. Außerdem müssen Sie jederzeit in der Lage sein, Auskunft über die Einwilligung zu erteilen, beziehungsweise diese nachzuweisen.
Wie frage ich die Nummer meiner Kunden ab?
Sie haben unterschiedliche Möglichkeiten, die Handynummer Ihrer Kunden zu erhalten. In der Regel werden Sie die Nummer vermutlich über ein Formular abfragen, möglicherweise auch über ein Online-Formular. Wenn Sie Online-Formulare nutzen, können Sie die Einwilligung in die Nutzung der Daten mit einer Checkbox abfragen. Wichtig ist hier, dass diese Box NICHT vorausgewählt ist, denn die Kunden müssen ihr Einverständnis explizit und eigenständig geben. Die voreingestellte Einwilligung ist nicht zulässig (es gilt: Privacy by Default).
Außerdem sollten Sie beachten, dass Sie Ihre Empfänger darüber aufklären, zu welchem Zweck Sie die abgefragte Nummer verwenden werden. Denn nicht nur die inhaltlich falsche Nutzung ist untersagt, wenn Sie die Nummer nicht für einen ganz bestimmten Zweck benötigen, könnten Sie damit gegen das Prinzip der Datenminimierung verstoßen.
Was ist ein Double Opt-In?
Unter einem Double Opt-In versteht man beispielsweise den folgenden Ablauf:
Kundin Anna gibt in einem Formular auf Ihrer Website ihre Handynummer an und willigt ein von Ihnen SMS zu erhalten. Daraufhin senden Sie eine SMS an die erhaltene Nummer und bitten sie um Bestätigung, dass sie in Zukunft von Ihnen SMS erhalten möchte. Auf diese Weise kann verhindert werden, dass jemand Annas Nummer missbräuchlich verwendet und sie infolgedessen unerwünschte Nachrichten erhält.
Besonders wichtig ist es, Ihre Kunden darauf hinweisen, dass sie ihre Einwilligung jederzeit widerrufen können. Hierbei sollten Sie auch beachten, dass der Widerruf genauso einfach sein muss, wie die Einwilligung. Heißt: Wenn nur ein Klick auf einen Button zur Anmeldung nötig ist, muss auch die Abmeldung mit einem einzigen Klick möglich sein. Und zwar ganz einfach, ohne lange suchen zu müssen.
Gerade für Firmen mit sehr jungen Zielgruppen gibt es eine weitere Besonderheit zu beachten. Minderjährige unter 16 Jahren können ihre Einwilligung nur mit Zustimmung einer erziehungsberechtigten Person erteilen. Hier gestaltet es sich schwierig, das Alter der Empfänger rechtssicher zu prüfen. Wenn Sie auf der sicheren Seite sein wollen, bieten Sie Ihre Dienste nur für Personen an, die das 16. Lebensjahr bereits vollendet haben.
Brauchen Sie ein Double Opt-In?
Aktuell ist ein Double Opt-In nicht gesetzlich vorgeschrieben und auch nicht vollkommen rechtssicher. Allerdings ist es durchaus ratsam, trotzdem davon Gebrauch zu machen. Das hat gleich drei Gründe: Erstens wurde in der Vergangenheit in Streitfällen oft zugunsten des Double Opt-In entschieden. Denn zweitens können Sie nur so annähernd sicherstellen, dass die Nummer die Sie erhalten haben auch wirklich vom jeweiligen Empfänger angegeben wurde. Drittens könnte es unter Umständen in Zukunft durch Erweiterungen der Datenschutzgesetze dazu kommen, dass ein Double Opt-In verpflichtend wird – in diesem Fall wären Sie bereits bestens vorbereitet.
Double Opt-In via SMS – aber wie?
Sie haben sich dafür entschieden, ein Double-Opt-In-Verfahren zu nutzen und fragen sich nun: Wie binde ich ein Double Opt-In in SMS ein? Grundsätzlich bieten sich hier zwei Möglichkeiten besonders an: Die Rückantwort via SMS durch eine Inbound-Nummer oder die Einbindung eines Links. Beide Varianten haben Vor- und Nachteile. Sie sollten aber sichergehen, dass das Double Opt-In auch über den Kanal geschieht, den Sie am Ende nutzen möchten. Wenn Sie ihre Kunden also auf ihrem Handy kontaktieren möchten, sollten diese auch über ihre Mobiltelefone das Double Opt-In bestätigt haben. Außerdem ist es wichtig, den Empfängern explizit mitzuteilen, wer sie kontaktiert. Auch ein deutlicher Hinweis auf die Möglichkeit zu Abmeldung sollte in dieser ersten SMS nicht fehlen.
Egal für welche Variante Sie sich entscheiden: Es liegt in Ihrer Verantwortung, dass die Einwilligung der Kunden korrekt verarbeitet wird, sie also keine weiteren SMS erhalten, wenn sie nicht eingewilligt oder widersprochen haben. Beachten Sie außerdem, dass die Bestätigungsnachricht für das Double Opt-In noch keine Werbung oder andere Angebote enthalten darf. Stattdessen ist es ratsam an dieser Stelle Details zu den SMS mitzuteilen, die versendet werden sollen, beispielsweise wie oft Sie SMS verschicken werden und dass die Beantwortung der SMS Geld kostet (dieser letzte Hinweis ist in einigen Ländern verpflichtend).
Die flexible Rechtsgrundlage: Berechtigtes Interesse
Wie Sie ganz am Anfang schon erahnen konnten: Es gibt auch noch andere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die prinzipiell gleichwertig mit dem Einholen von Einwilligungen sind. Unter anderem gehört das sogenannte berechtigte Interesse dazu. Hier ist das (u.a. wirtschaftliche) Interesse Ihres Unternehmens gegen das Interesse der betroffenen Person (bspw. Privatsphäre) abzuwägen. Wenn bereits eine Geschäftsbeziehung besteht, kann man hier davon ausgehen, dass Ihre Kunden erwarten, dass ihre Daten zu einem bestimmten Grad verarbeitet werden. Dies gilt allerdings nur dann, wenn Sie die Kunden auch im Vorfeld darüber informiert haben, dass ihre Daten verarbeitet werden. Dies geschieht beispielsweise in der Datenschutzerklärung. Wenn der Eingriff in die Privatsphäre noch sehr gering bleibt und Sie die jeweilige Nachricht schicken müssen, um Ihr berechtigtes Interesse zu verfolgen, steht einem SMS-Versand nichts mehr im Wege. Auch hier sollten Sie jedoch beachten, dass bei minderjährigen Empfängern im Zweifelsfall immer zum Interesse der Minderjährigen entschieden werden würde. Sie sollten die Abwägung also sehr gründlich treffen.
Vereinbarung zur AV (Auftragsverarbeitung, ehem. Auftragsdatenverarbeitung, ADV)
Seit die DSGVO im Mai 2018 in Kraft getreten ist, heißt der ADV-Vertrag nur noch AV-Vertrag. Die Kürzung bezieht sich aber nicht auf den Inhalt: Die Vorgaben sind umfassender geworden. Daher an dieser Stelle das Wichtigste:
In seltenen Fällen muss für den Versand von SMS über ein SMS-Gateway keine Vereinbarung zur AV mit dem Anbieter vorliegen, weil die Verarbeitung von Daten notwenig zum Erbringen der Dienstleistung ist (§88 Abs.3 TKG). Alles was aber über den reinen SMS-Versand hinaus geht, benötigt zwingend eine Vereinbarung zur AV. Dazu gehören auch die Speicherung von Daten in einer Cloud.
Was in Ihrem AV-Vetrag mit dem jeweiligen Dienstleister enthalten sein muss, ist abhängig von der Art der Weiterverwendung der Daten, Ihrem Unternehmen und den externen Dienstleistern. Halten Sie Rücksprache mit Ihrem Datenschutzbeauftragten oder mit einem Rechtsberater.
Informationen zur Einhaltung der DSGVO bei seven.io und unseren AV-Vertrag finden Sie hier:
Unsere Übersicht für Sie
Damit Sie den Überblick behalten, haben wir die wichtigsten Fakten aus diesem Artikel in einer praktischen Übersicht für Sie zusammengefasst. Ein Klick auf das Bild öffnet das PDF.
Sie möchten noch mehr über das Thema erfahren? Hier finden Sie nützliche Links rund um das Thema Datenschutz:
DSGVO: www.dsgvo-gesetz.de
Datenschutz: www.datenschutz.org
DSGVO Online: www.e-recht24.de
Achtung! Der Artikel, den Sie gerade gelesen haben, ist rein informativ. Dieser Beitrag stellt keine Rechtsberatung dar und kann in keinem Fall eine individuelle Rechtsberatung ersetzen. Wir übernehmen keine Gewähr für Aktualität, Vollständigkeit und Richtigkeit der Angaben. Des Weiteren beschäftigt sich dieser Beitrag mit gesetzlichen Regelungen in Deutschland. Während die DSGVO in der EU gültig ist, können in anderen Ländern andere Gesetze greifen. Dies gilt auch in den Fällen, in denen die DSGVO nicht zur Anwendung kommt.
Mit besten Grüßen
Headerbild von iStock.com/marchmeena29