Nutzung des Consent Management-Moduls
Mit dem Consent Management-Modul sind mehrere Standardprozesse nutzbar, die verschiedene Szenarien bei der Einholung von OptIns und der Dokumentation von OptOuts abbilden können. Diese Szenarien sind in den folgenden Abschnitten kurz erläutert.
Single OptIn Abfrage für verifizierte Anmeldungen
Die Einholung von Zustimmungen für Werbemaßnahmen via E-Mail ist im Standard des Moduls mittels Single OptIn-Verfahren umgesetzt. Die Anfrage wird an den E-Mail-Empfänger versendet, sodass nur die Person die Anfrage beantworten kann, die auch tatächlich Zugriff auf diese E-Mail hat. Insofern ist ein Double OptIn an dieser Stelle im Normalfall nicht notwendig.
Die Nutzung der SOI-Prozesse sollte mit dem Datenschutzbeauftragten des Unternehmens abgestimmt sein.
Single OptIn-Abfrage bei der Neuanlage eines Geschäfts- bzw. Ansprechpartners
Um eine Zustimmung für Werbemaßnahmen möglichst frühzeitig einzuholen, kann nach dem Speichern eines neuen Geschäfts- bzw. Ansprechpartners eine automatische Abfrage an den Anwender erfolgen, ob ein OptIn angefragt werden soll. Die Abfrage erfolgt im Standard bei der Neuanlage von natürlichen Personen (Herr, Frau, Divers und Eheleute), wenn eine E-Mail-Adresse vorhanden ist. Die Beurteilung, ob die OptIn-Anfrage angemessen ist, obliegt in diesem Fall dem Anwender.
Die Abfrage bei der Neuanlage wird durch eine Anwendungsvariable gesteuert und muss explizit aktiviert werden.
Abfrage bei der Neuanlage einer natürlichen Person
Bei einer Verneinung der Abfrage wird der OptIn-Prozess nicht gestartet. Bei einer Bestätigung wird der OptIn-Prozess gestartet und der Anwender erhält eine Auswahl der Informationsarten (z.B. Newsletter, Veranstaltungseinladungen), die angefragt werden können. Besteht bereits ein Consent-Datensatz zu einer Informationsart, steht diese Informationsart in der Auswahl nicht mehr zur Verfügung.
Auswahl der Informationsarten im Prozess
Beim Fortfahren des Prozesses startet der Mailversand. Sobald die E-Mail versendet wurde, werden im CRM für die angefragten Informationsarten Consent-Datensätze mit dem Status "Angefragt" angelegt. Die Einwilligung (Zustimmung oder Ablehnung) ist nicht befüllt, da dies durch den Empfänger der E-Mail definiert wird.
Automatisch angelegte Consent-Datensätze nach Versand der OptIn-Mail
Klickt der Empfänger in der E-Mail auf den Bestätigungslink, wird er auf eine Webseite weitergeleitet, auf der die vom Anwender ausgewählten Informationsarten angeboten werden. Je nach Auswahl werden die Kontaktpräferenzen über die Schnittstelle an das CRM übertragen und darin mit "Zustimmung" bzw. "Ablehnung" aktualisiert. Die Consent-Datensätze erhalten außerdem den Status "Aktuell". Der Empfänger erhält im Anschluss eine bestätigende E-Mail über die Aktualisierung seiner Präferenzen.
Klickt der Empfänger in der E-Mail nicht auf den Bestätigungslink, werden die Consent-Datensätze im Status "Angefragt" nach Ablauf der Gültigkeit automatisch auf “Ablehnung” gesetzt, da es sich um eine passive Ablehnung handelt. In diesem Fall wird keine bestätigende E-Mail versendet.
Manueller Start des Single OptIn-Prozesses durch den Anwender
Neben der Einholung von OptIns bei der Neuanlage von Geschäfts- oder Ansprechpartnern gibt es die Möglichkeit, auch bei bereits angelegten natürlichen Personen gezielt Zustimmungen für Werbemaßnahmen einzuholen.
Hierfür steht in der Aktionsbox des Geschäfts- und Ansprechpartners der Prozess “OptIn per E-Mail anfordern” zur Verfügung, der bei Bedarf gestartet werden kann. Dieser Prozess kann in der Detailansicht für einen einzelnen Datensatz gestartet werden, aber auch in der Listenansicht für mehrere Geschäfts- bzw. Ansprechpartner gleichzeitig.
Da der Versand von Serienmails aus dem CRM nicht in Tranchen erfolgt, sollte kein Massenversand von OptIn-Anfragen über das CRM erfolgen. In diesem Fall ist zu empfehlen, ein entsprechendes Mailing-Tool zu nutzen, wie z.B. Evalanche.
Start des OptIn-Prozesses
Startet der Anwender den OptIn-Prozess entweder als Einzelabfrage vom Geschäfts- bzw. Ansprechpartner ausgehend oder über die Mehrfachauswahl in einer Suchergebnisliste, wird CRM-seitig zuerst geprüft, ob bei dem/den ausgewählten Geschäfts-/Ansprechpartner(n) bereits Consent-Datensätze existieren.
Besteht bereits bei einem oder mehreren Geschäfts- bzw. Ansprechpartnern ein Consent-Datensatz zu einer Informationsart, steht diese Informationsart in der Auswahl nicht mehr zur Verfügung. Bei der Mehrfachauswahl wird somit nur die Schnittmenge der Informationsarten angeboten, zu denen bei allen ausgewählten Geschäfts-/Ansprechpartnern noch kein Consent-Datensatz besteht. Eine entsprechende Meldung weist beim Start des Prozesses den Anwender auf diesen Umstand hin.
Hinweismeldung bei Einschränkung der Auswahl der Informationsarten
Beim Fortfahren des Prozesses startet der Mailversand. Sobald die E-Mail versendet wurde, werden im CRM für die angefragten Informationsarten Consent-Datensätze mit dem Status "Angefragt" angelegt. Die Einwilligung (Zustimmung oder Ablehnung) ist nicht befüllt, da dies durch den Empfänger der E-Mail definiert wird.
Klickt der Empfänger in der E-Mail auf den Bestätigungslink, wird er auf eine Webseite weitergeleitet, auf der die vom Anwender ausgewählten Informationsarten angeboten werden. Je nach Auswahl werden die Kontaktpräferenzen über die Schnittstelle an das CRM übertragen und darin mit "Zustimmung" bzw. "Ablehnung" aktualisiert. Die Consent-Datensätze erhalten außerdem den Status "Aktuell". Der Empfänger erhält im Anschluss eine bestätigende E-Mail über die Aktualisierung seiner Präferenzen.
Klickt der Empfänger in der E-Mail nicht auf den Bestätigungslink, werden die Consent-Datensätze im Status "Angefragt" nach Ablauf der Gültigkeit automatisch auf “Ablehnung” gesetzt, da es sich um eine passive Ablehnung handelt. In diesem Fall wird keine bestätigende E-Mail versendet.
Manueller Abbruch der OptIn-Abfrage durch den Anwender
Sollte es notwendig sein, eine bereits gesendete OptIn-Abfrage abzubrechen, ist dies über einen dedizierten Prozess möglich. In diesem Fall muss der Anwender textlich begründen, warum die OptIn-Abfrage abgebrochen werden soll. Dies ist insbesondere notwendig, wenn die Anfrage danach nochmals versendet werden soll und dient als Nachweis im Fall von Rückfragen in Bezug auf den Datenschutz. Im Anschluss wird im Prozess die Möglichkeit geboten, die OptIn-Anfrage erneut zu versenden.
Prozess zum Abbruch einer Abfrage
Ist beim jeweiligen Geschäfts- oder Ansprechpartner keine offene OptIn-Anfrage vorhanden, erscheint eine entsprechende Meldung und der Prozess kann naturgemäß nicht durchgeführt werden.
Double OptIn Abfrage für nicht-verifizierte Anmeldungen
Während bei der Einholung der OptIns in den vorab genannten Fällen der Besitzer der E-Mailadresse das OptIn (aktiv) genehmigt oder (passiv oder aktiv) ablehnt, ist dies bei öffentlich zugänglichen Formularen mit einer OptIn-Abfrage nicht sichergestellt. In diesem Fall ist die Nutzung von Double OptIn-Abfragen im Sinne des Datenschutzes zu empfehlen.
Daher ist im Rahmen des OptIn-Moduls ein Prozess vorgesehen, der einen Double OptIn-Vorgang abbildet. Wird über die Schnittstelle (zum Beispiel aus einem Online-Formular auf einer Webseite) ein OptIn übertragen, wird der Consent-Datensatz mit dem Status "Bestätigung ausstehend" angelegt und löst den Versand einer Bestätigungsabfrage an die genannte E-Mail-Adresse aus.
Erst wenn die Anmeldung durch einen Klick in der E-Mail auf den Bestätigungslink aktiv durch den Besitzer der E-Mail-Adresse bestätigt wird, wird im Consent-Datensatz das OptIn mit den gesetzten Präferenzen als "Aktuell” hinterlegt. Der Empfänger erhält im Anschluss eine Aktualisierungsbenachrichtigung per Mail über die aktualisierten Präferenzen.
Reagiert der Besitzer der E-Mail-Adresse nicht auf die Bestätigungsmail, wird im Consent-Datensatz nach Ablauf der Gültigkeit die Zustimmung auf "Ablehnung" gesetzt.
Aktualisierung von Präferenzen aus Schnittstellen
Im Falle, dass OptIn-Präferenzen in einem Drittsystem (wie z.B. einem Kundenportal) gesetzt werden können, können diese Präferenzen über eine Schnittstelle übertragen werden und legen entsprechende Consent-Datensätze im CRM-System an. Nach der Anlage wird dem Besitzer der E-Mail-Adresse eine Aktualisierungsbenachrichtigung versendet.
Als Ausgangssituation wird hierbei angenommen, dass die Übertragung der Präferenzen aus der Schnittstelle zu einer bereits verifizierten E-Mail-Adresse gehören (z.B. einem Kundenkonto) und daher kein Double OptIn notwendig ist. Sollte die Übertragung einen nicht-verifizierten Ursprung haben (z.B. ein öffentlich zugängliches Formular auf der Webseite), ist die Abbildung über den Double OptIn-Prozess empfohlen.
Setzen von OptOuts und Werbesperren
Grundsätzlich werden neben Zustimmungen (OptIns) über die vorab genannten Wege bzw. Schnittstellen auch Ablehnungen (OptOuts) dokumentiert, beispielsweise wenn ein E-Mail-Empfänger die verfügbaren OptIn-Optionen nur teilweise zustimmend bestätigt.
Zusätzlich gibt es einen dedizierten OptOut-Prozess, der durch Anwender (z.B. im Kundenservice oder Datenschutz) manuell gestartet werden kann. In diesem können OptOuts gesetzt werden.
Auswahl der OptOuts für einen Geschäfts- oder Ansprechpartner
Beispielfall 1:
Ein Kunde widerruft in einem telefonischen Gespräch mit dem Kundenservice sein Einverständnis, Newsletter zu erhalten. In diesem Fall startet der Kundenservice-Mitarbeiter den OptOut-Prozess und aktualisiert das OptIn des entsprechenden Ansprechpartners. Im Anschluss erhält der Kunde eine Bestätigungsmail über die Aktualisierung seiner Präferenzen.
Über das Feld “Werbesperre” kann auf dem Ansprechpartner außerdem festgehalten werden, dass diese Person überhaupt nicht kontaktiert werden möchte.
Beispielfall 2:
Ein Kunde schreibt eine Mail an den Datenschutz-Beauftragten und möchte zukünftig nicht mehr kontaktiert werden. In diesem Fall gilt diese Ablehnung als Werbesperre (auch für postalische Werbung) und wird deswegen gesondert auf dem Ansprechpartner vermerkt. Zusätzlich werden alle eventuell vorhandenen Consent-Datensätze auf "Ablehnung" gesetzt.