You are currently viewing Rechtskonform eine SMS-Datenbank mit Handynummern von Kunden aufbauen

Rechtskonform eine SMS-Datenbank mit Handynummern von Kunden aufbauen

Es gibt viele Gründe, warum sich Unternehmen für den Einsatz von SMS entscheiden: Sei es, um Buchungsbestätigungen, Terminerinnerungen oder Abholbenachrichtigungen an Kunden zu versenden, um interne Prozesse zu verbessern oder den persönlichen Charakter der SMS nutzen und Direktmarketing ausprobieren.

Der Aufbau einer SMS-Datenbank mit echten, interessierten Kunden ist entscheidend für den Erfolg einer SMS-Kampagne.

Wie baut man also eine SMS-Datenbank richtig auf? Unternehmen müssen für Kunden einen Anreiz schaffen, bevor sie sich an den Aufbau einer Kontaktliste machen können. Der einfachste Weg ist, ihnen einen Mehrwert zu bieten mit Inhalten, die Sie interessieren wie Sonderangebote, regelmäßige Produktupdates, Rabattcodes, Einladungen, tägliche Tipps usw. Durch wertvolle Informationen, die bei den Kunden echtes Interesse wecken, wird die Liste mit den Handynummern organisch wachsen.

Doch es gibt vorher einiges zu beachten: Wie sieht es mit dem Datenschutz aus, wenn es um SMS geht? Hier ist ein Überblick mit den wichtigsten Informationen zu Einwilligung, Double-Opt-In und der Vereinbarung zur Auftragsdatenverarbeitung in Bezug auf den Versand von SMS an Kunden.

Gilt die DSGVO auch für SMS?

Grundsätzlich muss an dieser Stelle zwischen zwei Formen des SMS-Versands unterschieden werden: SMS können zu Werbezwecken genutzt werden oder um Kunden einen entscheidenden Service anzubieten. Wenn Unternehmen (oder ein Dritter) personenbezogene Daten Ihrer Kunden verarbeiten oder speichern, gilt die DSGVO. Einige Gesetze zum Datenschutz beim Versand von SMS stammen auch aus dem BDSG-neu, einer Erweiterung der DSGVO, die in der Bundesrepublik Deutschland gilt.

Die Einwilligung muss frei­willig er­fol­gen

Unternehmen benötigen eine gesetzliche Grundlage, wenn sie personenbezogene Daten ihrer Kunden nutzen wollen. Dies gilt, wie oben erwähnt, auch, wenn Daten im Zusammenhang mit SMS-Nachrichten gespeichert werden. In den meisten Fällen ist die Einholung einer Einwilligung hier die sinnvollste Lösung. Damit kann physisch nachgewiesen werden, dass SMS an eine einzelne Person versendet werden dürfen.

Obligatorisch ist dabei, dass Kunden diese Einwilligung freiwillig erteilen müssen.

Außerdem müssen Unternehmen ihre Kunden darüber informieren, wofür genau sie ihre Nummer verwenden werden — und zwar BEVOR sie ihre Einwilligung geben.

Im Wesentlichen bedeutet dies: Wenn nach der Nummer gefragt wird, um Buchungsbestätigungen zu versenden, darf ohne ausdrückliche Einwilligung keine Marketing-SMS und schon gar keine E-Mails versendet werden. Obwohl es gewisse Ausnahmen von dieser Regel gibt, kann sie als grundlegende Richtlinie dienen.

Außerdem sollten Unternehmen sich darüber im Klaren sein, dass eine Einwilligung nicht unbedingt für immer gültig ist. Wenn sie die Empfänger über einen längeren Zeitraum nicht auf die angegebene Weise kontaktieren, kann die Einwilligung auslaufen. Außerdem müssen sie jederzeit Auskunft über die Einwilligung geben und nachweisen können, dass sie sie haben.

sms marketing endkunde

Wie erhalte ich die Nummer meiner Kunden?

Es gibt verschiedene Möglichkeiten, die Handynummer eines Kunden zu erhalten:

Formular

In der Regel werden Nummern über ein (Anmelde-)Formular abgefragt, wie es z. B. in Restaurants, Einzelhandel oder in Fitnessstudios verwendet wird, nicht selten auch über ein Online-Formular auf der eigenen Webseite. Wenn ein Online-Formular verwendet wird, kann die Zustimmung zur Nutzung der Daten mit einer Checkbox abgefragt werden. Wichtig dabei ist, dass diese Box NICHT vorselektiert ist, da die Kunden ihre Einwilligung explizit und eigenständig geben müssen. Die vorselektierte Einwilligung ist nicht zulässig.

E-Mail

Wenn Unternehmen regelmäßig E-Mails bzw. Newsletter versenden, ist schon einmal ein großer Schritt getan. Dieser Kanal bietet die perfekte Gelegenheit, um an die Handynummer der Kunden für die SMS-Datenbank zu kommen. Dies kann z. B. mit einem speziellen Keyword wie „RABATT“ für einen Online-Shop und einem Shortcode oder einer speziellen Handynummer in der E-Mail-Signatur passieren. Alternativ kann eine E-Mail-Kampagne erstellt werden, in der Kunden aufgefordert sind, sich für den Erhalt von SMS vom Unternehmen anzumelden.

Social Media

Auch über die sozialen Plattformen ist es möglich, eine SMS-Datenbank mit den Handynummern der Kunden aufzubauen. Mit regelmäßigen Posts und dem Hinweis z. B. über das oben genannte Keyword per SMS Rabattcodes für den Online-Shop zu erhalten und so keine Aktionen mehr zu verpassen, werden Kunden stärker animiert, sich in die Liste einzutragen.

Außerdem sollten Unternehmen darauf achten, dass sie ihre Empfänger darüber informieren, für welchen Zweck sie ihre Nummer verwenden. Nicht nur die falsche Nutzung ist verboten. Wenn die Nummer nicht für einen bestimmten Zweck benötigt wird, könnten Unternehmen gegen den Grundsatz der Datenminimierung verstoßen.

double opt in verfahren

Double Opt-In: Was ist das?

Folgendes passiert bei einem Double-Opt-In-Verfahren: Ein Kunde gibt seine Handynummer in ein Formular auf einer Website eines Unternehmens ein und erklärt sich damit einverstanden, eine SMS zu erhalten. Das Unternehmen sendet dann eine SMS an die erhaltene Nummer und bittet den Kunden zu bestätigen, dass dieser in Zukunft SMS erhalten möchte. Damit will das Unternehmen verhindern, dass jemand die Nummer vom Kunden missbraucht und er dadurch unerwünschte Nachrichten erhält.

Bedeutsam ist es, den Kunden darüber zu informieren, dass er die Einwilligung jederzeit widerrufen kann. Außerdem sollte das Unternehmen beachten, dass der Widerruf genauso einfach gehalten sein muss wie die Einwilligung. Das bedeutet: Wenn für die Anmeldung nur ein Klick erforderlich ist, muss es auch möglich sein, das Abonnement mit einem einzigen Klick zu widerrufen. Außerdem muss dieser für die Abonnenten leicht zugänglich sein.

Gerade für Unternehmen mit sehr jungen Zielgruppen gibt es einen weiteren wichtigen Punkt zu beachten. Minderjährige unter 16 Jahren können ihre Einwilligung nur mit Zustimmung eines Erziehungsberechtigten geben. In diesem Fall ist es schwierig, das Alter des Empfängers rechtssicher zu überprüfen. Wenn Unternehmen auf Nummer sicher gehen wollen, sollten sie ihre Dienste nur Personen anbieten, die das 16. Lebensjahr bereits vollendet haben.

Brauchen Unternehmen ein Double-Opt-In?

Ein Double Opt-In ist derzeit nicht gesetzlich vorgeschrieben und auch nicht rechtssicher. Es ist aber auf jeden Fall ratsam, es trotzdem zu nutzen. Hierfür gibt es zwei Gründe: Erstens wurden Streitfälle in der Vergangenheit häufig zugunsten des Double-Opt-Ins entschieden. Zweitens ist das Double Opt-in die einzige Möglichkeit, um sicherzustellen, dass die erhaltene Nummer auch wirklich vom jeweiligen Empfänger angegeben wurde.

Double Opt-In per SMS?

Das Unternehmen hat sich für ein Double-Opt-In-Verfahren entschieden und fragt sich nun: Wie integriere ich ein Double Opt-In in eine SMS? Grundsätzlich gibt es zwei Möglichkeiten. Die Beantwortung per SMS über eine Inbound-Nummer (sie ermöglicht den Empfang von Nachrichten auf Plattformen des Unternehmens) oder die Einbindung eines Links. Beide Varianten haben Vor- und Nachteile. Unabdingbar ist, dass das Double Opt-In über den Kanal erfolgt, den das Unternehmen am Ende nutzen will. Wenn Kunden auf dem Handy kontaktiert werden, sollten diese das Double Opt-In auch auf dem Handy bestätigt haben. Außerdem ist es wichtig, den Empfängern explizit mitzuteilen, wer sie kontaktiert und in dieser ersten SMS darf ein deutlicher Hinweis auf die Möglichkeit zur Abmeldung nicht fehlen.

Egal, für welche Variante das Unternehmen sich entscheidet: Es liegt in seiner Verantwortung, dass die Zustimmung des Kunden korrekt verarbeitet wird. Das bedeutet, dass er keine weiteren SMS erhalten kann, wenn er sein Einverständnis nicht gegeben hat oder widersprochen hat. Außerdem darf die Bestätigungsnachricht für das Double Opt-in noch keine Werbung oder andere Angebote enthalten. Stattdessen ist es ratsam, Angaben zu den zu versendenden SMS zu machen, z. B. wie oft SMS verschickt werden und dass die Beantwortung der SMS Geld kostet (dieser letzte Hinweis ist in einigen Ländern zwingend erforderlich).

sms messaging datenschutz

Berechtigtes Interesse

Es gibt noch weitere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die genauso gültig sind wie die Einholung einer Einwilligung. Eine davon ist das sogenannte berechtigte Interesse. In diesem Fall müssen die (wirtschaftlichen) Interessen des Unternehmens mit dem Interesse des Empfängers (z. B. Datenschutz) abgewogen werden. Besteht bereits eine Geschäftsbeziehung, kann davon ausgegangen werden, dass die Kunden erwarten, dass ihre Daten in einem gewissen Umfang verarbeitet werden. Dies gilt jedoch nur dann, wenn das Unternehmen die Kunden im Vorfeld darüber informiert hat, dass ihre Daten verarbeitet werden. Dies geschieht z. B. in der Datenschutzerklärung. Außerdem müssen diese Fragen berücksichtigt werden: Ist der Eingriff in die Privatsphäre akzeptabel? Muss das Unternehmen die entsprechende SMS versenden, um sein berechtigtes Interesse zu verfolgen? Wenn beide Fragen mit „Ja“ beantwortet werden können, steht dem SMS-Versand nichts im Wege. Allerdings muss beachtet werden, dass auch hier, wenn es sich bei den Empfängern um Minderjährige (jünger als 16 Jahre) handelt, vor einem Gericht immer zugunsten der Interessen der Minderjährigen entschieden werden würde.

Vereinbarung zur Auftragsverarbeitung (AV)

Seit dem Inkrafttreten der DSGVO im Mai 2018 hat sich die Notwendigkeit einer Auftragsverarbeitung ergeben. Im deutschen Recht sind die Vorgaben im Vergleich zum bisherigen Recht umfangreicher geworden. Der wichtigste Fakt an dieser Stelle:

Für den Versand von SMS über ein SMS-Gateway ist in seltenen Fällen eine Vereinbarung zur Auftragsdatenverarbeitung nicht erforderlich, da die Verarbeitung der Daten zur Erbringung des Dienstes notwendig ist (§88 Abs. (3) TKG). Alles, was über den reinen Versand von SMS hinausgeht, bedarf jedoch immer zwingend einer Vereinbarung zur AV. Dazu gehört auch die Speicherung von Daten in einer Cloud. Wenn die SMS-Gateways von dimater genutzt werden, ist allerdings immer ein AV notwendig, da so rechtssicher die Daten Dritter verarbeitet werden können.

Was im AV-Vertrag mit dem jeweiligen Dienstleister enthalten sein muss, hängt von der Art der Weiterverwendung der Daten des Unternehmens und den externen Dienstleistern ab. Da kann jedoch der Datenschutzbeauftragte oder ein Rechtsberater helfen.

Als erfahrener Mobile Messaging Anbieter, der höchsten Wert auf Datenschutz und Sicherheit legt, erreichen alle SMS über die Messaging Gateways der dimater ohne Zeitverzögerung die Mobilfunkgeräte der Nutzer. Sicherheit und Zuverlässigkeit ermöglichen wir durch eine direkte Anbindung an die Messaging Gateways der Mobilfunknetzbetreiber als auch die Verwendung von Sicherheitsfeatures wie IPsec und HTTPS.