Jeder, der sich mit dem Datenschutz im Marketing beschäftigt, stolpert irgendwann über den eigenen Newsletter. Sind sie überhaupt noch erlaubt und wenn ja, wie werden sie DSGVO-konform?
Um es gleich vorwegzunehmen: Natürlich sind Newsletter und auch andere Formen von E-Mail-Marketing erlaubt.
Gemeinsam wollen wir Dir in diesem Artikel einen Weg zeigen, wie Du Deinen Newsletter ganz ohne Datenschutzbeauftragte nach aktueller Rechtsprechung rechtssicher erstellen kannst.
Die wichtigsten Fragen (FAQ) zu den Hintergründen datenschutzkonformer Newsletter haben wir am Ende des Artikels beantwortet.
7 Schritte zum DSGVO-konformen Newsletter
Damit Du gleich loslegen kannst und Du zukünftig einen datenschutzkonformen Newsletter versendest, wollen wir uns gar nicht lange mit Vorworten aufhalten. Arbeite die folgenden sieben Schritte gewissenhaft durch und der sorgenfreien Versendung Deines Newsletters steht nichts mehr im Wege.
Schritt 1: Vorbereitungen treffen
Schritt 2: Newsletter-Tool auswählen
Schritt 3: Datenschutzerklärung anpassen
Schritt 4: Anmeldeformular gestalten
Schritt 5: Double Opt-In Verfahren einrichten
Schritt 6: Newsletter versenden
Schritt 7: Newsletter optimieren
Schritt 1: Vorbereitungen treffen
Du wirst Dir Gedanken darüber gemacht haben, warum Du zukünftig einen Newsletter oder auch andere Formen von E-Mail-Werbung verschicken möchtest. Wenn nicht, raten wir Dir, dies dringend nachzuholen.
Lege fest, wen Du mit Deinem Newsletter erreichen und welche Inhalte Du veröffentlichen möchtest, auch um das Risiko von Abmahnungen zu reduzieren. Wie immer – nicht nur im Marketing – gilt es, die passenden Ziele zu setzen.
Das sind eigentlich die üblichen Überlegungen, die wir im Marketing vor jeder Maßnahme machen sollten. Doch wir brauchen sie auch im Datenschutz.
Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass wir nur die Daten verarbeiten, die wir auch wirklich für den festgelegten Zweck benötigen. Dies ist der sogenannte Grundsatz der “Zweckbindung” gemäß Art. 5 Abs. 1 lit. b DSGVO.
Für den Newsletter an sich ist dies regelmäßig nur die E-Mail-Adresse. Für die Verarbeitung aller weiterer Daten Deiner Abonnenten benötigst Du somit einen anderen, weiteren Zweck und eine entsprechende Rechtsgrundlage.
Dafür wiederum brauchst Du unter Umständen auch eine ausdrückliche Einwilligung. Zu einer solchen “Verarbeitung” gehört auch die Messung und Auswertung von Kennzahlen wie die Zustell- und Öffnungsrate, auf die wir im siebten Schritt eingehen werden.
Überlege Dir auch, wie Du neue Abonnenten für Deinen Newsletter gewinnen möchtest.
Wie soll Dein Anmeldeformular eingebunden sein und wie machst Du darauf aufmerksam, um neue Interessenten für Deine Werbemails zu gewinnen?
Dir stehen dazu viele Möglichkeiten offen, die wir uns nachfolgend genauer anschauen werden.
Meine Empfehlung: Schreibe Dir diese Überlegungen auf. Denn zum einen bist Du aufgrund der DSGVO, aber auch anderen Gesetzen, rechenschaftspflichtig, d.h. Du musst Entscheidungen dokumentieren und diese auch belegen können.
Zum anderen hilft es Dir aber auch, wenn Du Dich in 6 Monaten über die Gründe Deiner Entscheidung wunderst.
Ziele bestimmen den Zweck, der wiederum den Umfang der notwendigen und ausreichenden Daten festlegt. Anders gesagt: Das reine Sammeln von Daten erfüllt weder einen Zweck, noch zahlt es auf Deine Ziele ein!
Schritt 2: Newsletter-Tool auswählen
Nun folgt der Schritt, der besonders den Unerfahrenen am Anfang die meiste Zeit kostet:
Welches Tool ist das richtige?
Die Auswahl von Newsletter Tools ist immens groß – der OMT hilft Dir dabei: 60 Newsletter-Tools im Vergleich
An dieser Stelle möchten wir mit einem Gerücht – man könnte auch sagen Mythos – aufräumen: Auch US-amerikanische Anbieter sind DSGVO-konform einsetzbar.
Du wirst sogar gleich noch sehen, dass auch die europäischen Anbieter nur scheinbar mehr Rechtssicherheit bieten.
Zunächst solltest Du Dir Gedanken darüber machen, was Dein zukünftiges Werkzeug leisten muss: Klar, den Versand von E-Mails beziehungsweise von Newslettern sollte das Tool können.
Möchtest Du ein fertiges Anmeldeformular einbinden? Wie viele Versandlisten brauchst Du? Wie viele Empfänger:innen strebst Du an? Und wie sieht der Support für A/B-Testing und Trackingmethoden aus?
Doch Vorsicht, hier lauern erneut Fallstricke für den Datenschutz.
Wenn Du Dich zum ersten Mal mit einem Newsletter beschäftigst, dann solltest Du klein anfangen: wenige Empfänger:innen, eine Versandliste, kaum Zusatzfunktionen.
Hierdurch kannst Du Dich erst einmal auf den Versand Deines Newsletters konzentrieren, Erfahrungen sammeln und eine Adressliste aufbauen. Die meisten Tools können mit Deinen Anforderungen wachsen und bieten dazu verschiedene Tarife an.
Wenn Du Dich für einen Anbieter entschieden hast, musst Du direkt, nachdem Du Deinen Account angelegt hast, einen Auftragsverarbeitungsvertrag mit diesem abschließen.
Die Anbieter stellen diesen in der Regel zur Verfügung und Du kannst ihn meistens online abschließen. Teilweise ist er auch in den Nutzungsbedingungen integriert. Du solltest diesen Vertrag für Deine Dokumentation sichern.
Der Auftragsverarbeitungsvertrag, abgekürzt als “AVV”, legt fest, wie und von wem die personenbezogenen Daten Deiner Empfänger:innen in Deinem Auftrag verarbeitet werden. Hierbei geht es vor allem darum, dass Du als Verantwortliche:r über die Datenverarbeitung entscheidest.
Insbesondere musst Du die Rechte der Betroffenen auf Löschung, Korrektur, etc. auch bei Deinen Auftragsverarbeitenden durchsetzen können. Auftragsverarbeitende sind alle Unternehmen, die für Dich personenbezogene Daten verarbeiten.
In diesem Vertrag steht in der Regel auch, dass weitere Dienstleistende als Subunternehmen beauftragt werden können. Hierzu wird oftmals auf einen Anhang zum AVV verwiesen, der die eingesetzten Dienstleistenden auflistet.
Tatsächlich ist es Deine Pflicht, diese Liste zu kontrollieren, ob sich hieraus besondere Bedingungen für den Datenschutz ergeben. Dies ist leider sehr oft der Fall – nicht nur beim Einsatz von Newsletter-Tools.
So wie Du als Verantwortliche:r verschiedene Auftragsverarbeiter einsetzen kannst, setzen diese wiederum oftmals Subunternehmen ein. Gegenüber einer betroffenen Person haftest Du auch für deren Einhaltung des Datenschutzes.
Gerade bei Newsletter-Tools, aber auch in vielen anderen Angeboten im Online-Marketing wirst Du immer wieder zwei Namen auf dieser Liste lesen: “Google Cloud” und “Amazon AWS”.
Beide sind Anbieter mit Hauptsitz in den USA und somit gilt es im Hinblick auf die DSGVO genauer hinzuschauen. Denn die Übermittlung von personenbezogenen Daten in Drittländer ist nur unter bestimmten, sehr engen Bedingungen erlaubt.
Selbst wenn die Server des amerikanischen Dienstleistenden in der EU stehen – für die DSGVO stellt dies bereits eine Übermittlung in ein Drittland dar, mit der Folge, dass die damit verbundenen Vorgaben einzuhalten sind.
Und genau deswegen macht es nur auf den ersten Blick einen Unterschied, ob Du einen Anbieter mit Sitz in der EU oder gar in Deutschland nimmst, oder einen Anbieter z.B. aus den USA. Aus Sicht der DSGVO ist zu prüfen, ob personenbezogene Daten, insbesondere über die eingesetzten Subunternehmen, in ein Drittland übertragen werden können.
Was genau das bedeutet, darauf kommen wir in Schritt 3 zu sprechen.
Schritt 3: Datenschutzerklärung anpassen
Der Sinn Deiner Datenschutzerklärung ist es, die Nutzer:innen Deiner Angebote über Deinen Umgang mit personenbezogenen Daten zu informieren oder besser gesagt: darüber aufzuklären. Die DSGVO spricht hier von dem Grundsatz der “Transparenz”.
Nun ist auch Dein Newsletter eine von Dir zu verantwortende Verarbeitung von personenbezogenen Daten und muss somit in Deiner Datenschutzerklärung zutreffend beschrieben werden. Ob dies im Rahmen Deiner “allgemeinen” Datenschutzerklärung Deiner Webseite, Deiner Social Media Auftritte oder auch komplett losgelöst geschieht, kannst Du selbst entscheiden.
Um zum Beispiel bei notwendigen Anpassungen wegen einer Änderung der Dienstleistenden nicht den Überblick zu verlieren, empfehlen wir jedoch, möglichst wenige Datenschutzerklärungen zu nutzen, die zudem gut strukturiert und hilfreich verlinkt sind.
Aus Haftungsgründen dürfen an dieser Stelle weder wir noch der OMT Dir ein Muster zur Verfügung stellen; aber es gibt genügend Generatoren, die Du nutzen kannst.
Für die Zulässigkeit der Verarbeitung der Daten Deiner Kundschaft zum Zwecke der Werbung benötigst Du eine Rechtsgrundlage. Aufgrund der Versendung mittels E-Mail wird dies regelmäßig eine Einwilligung sein.
Somit brauchst Du von den Empfänger:innen Deines Newsletters also eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Hierzu nimmst Du einen entsprechenden Hinweis in Deine Datenschutzerklärung auf Deiner Webseite auf und verlinkst diese im Formular für die Anmeldung. Wie genau, das zeigen wir Dir in Schritt 4.
Es gibt jedoch noch einen wichtigen Punkt zu beachten, den wir Dir im zweiten Schritt bereits aufgezeigt haben: Die Übermittlung personenbezogener Daten in ein Drittland.
In diesem Artikel möchten wir Dir eine möglichst einfache Anleitung für einen DSGVO-konformen Newsletter liefern. Daher haben wir die Hintergrundinformationen am Ende des Artikels zusammengefasst.
Um das von Dir ausgewählte Newsletter-Tool im Falle der Übermittlung von Daten Deiner Kundschaft in ein Drittland DSGVO-konform einsetzen zu können, bietet die DSGVO zwei Möglichkeiten:
- Die Verwendung von Standardvertragsklauseln
- Die ausdrückliche Einwilligung durch den Nutzer bzw. die Nutzerin
Die DSGVO bietet verschiedene Möglichkeiten, um mit Anbietern aus Drittländern zusammenarbeiten zu können. Einige, wie der Angemessenheitsbeschluss, sind einfacher umzusetzen als andere.
Newsletterversand mit Standardvertragsklausel
Die Standardvertragsklauseln, oftmals als SCC („Standard Contractual Clauses“) abgekürzt, sollen den Einsatz von Anbietern außerhalb des Geltungsraums der DSGVO vereinfachen.
Der Grundgedanke ist, dass durch einen standardisierten Vertrag zwischen Dir und dem von Dir eingesetzten Dienstleistenden als Auftragsverarbeitender ein Datenschutzniveau entsprechend der DSGVO erreicht wird, die wegen des Auslandsbezugs nicht mehr per se gilt.
Gerade bei dem Einsatz von Dienstleistenden in den USA besteht aber das Problem, dass der CLOUD Act und der PATRIOT Act, die im Mittelpunkt der Kritik von Datenschützern stehen, umfassende Rechte für Ermittlungsbehörden vorsehen, die danach weltweit auf Daten amerikanischer Unternehmensserver zugreifen dürfen.
Diese Regelungen unterlaufen damit den eigentlich in den SCC vorgesehenen Schutz der Daten der betroffenen Personen.
Viele berufen sich dennoch auf die Standardvertragsklauseln, die auch vom Europäischen Gerichtshof (EuGH) ausdrücklich als wirksame Rechtsgrundlage für die Datenverarbeitung im Drittland bestätigt wurden.
Allerdings hat der EuGH in seiner entsprechenden Entscheidung (Schrems II-Entscheidung) auch ausgeführt, dass der EU-Versender von Daten nicht ohne weiteres auf die Einhaltung der SCC vertrauen darf.
Welche Konsequenzen daraus zu ziehen sein sollen, hat der EuGH leider nicht festgelegt. Deswegen bleibt ein Restrisiko, dass eine betroffene Person oder eine Aufsichtsbehörde mit diesem Vorgehen nicht einverstanden ist.
Wie groß dieses Risiko ist, musst Du selbst einschätzen.
Der Aufwand, Deinen Newsletter auf Basis der Standardvertragsklauseln umzusetzen, ist vergleichsweise gering: Die SCC sind in der Regel Bestandteil des Auftragsverarbeitungsvertrags, den Du bereits vereinbart haben solltest.
In der Datenschutzerklärung ist dabei darauf hinzuweisen, dass personenbezogene Daten in einem Drittland verarbeitet werden. Dieser Hinweis muss auf die damit verbundenen Risiken hinweisen.
Wichtig ist auch, dass Du aufnehmen musst, dass die Verarbeitung auf Basis der Standardvertragsklauseln passiert und wie man eine Kopie erhalten kann bzw. wo diese verfügbar sind.
Häufig ist genau dieser Passus bereits in den Datenschutzerklärungen der Generatoren enthalten, sodass Du nur noch überprüfen musst, ob die entsprechenden Absätze hinterlegt sind.
Newsletterversand mit ausdrücklicher Einwilligung
Die Alternative zu den Standardvertragsklauseln ist die “ausdrückliche Einwilligung” für die Übermittlung der Daten in das Drittland. Diese Möglichkeit sieht die DSGVO in Art. 49 Abs. 1 vor. Hierbei gilt es jedoch einige Aspekte zu beachten:
Die ausdrückliche Einwilligung kann nur wirksam erteilt werden, nachdem die betroffene Person über die bestehenden, möglichen Risiken der Datenübermittlung unterrichtet wurde. Dies bedeutet, dass Du die Interessierten für Deinen Newsletter vor dem Anmeldebutton vollständig informieren musst.
Sinnvoll ist hier eine Information in zwei Schritten: im 1. Schritt zunächst im Consent-Tool eine allgemeine, grundsätzliche Aufklärung über die Verarbeitung. Im 2. Schritt sollte dann über einen Link auf die detaillierten Informationen, z.B. in der Datenschutzerklärung, zugegriffen werden können.
Eine einfache Verlinkung der Datenschutzerklärung reicht nach Meinung vieler Datenschützenden alleine nicht aus.
Der Landesbeauftragte für den Datenschutz in Bayern geht sogar noch einen Schritt weiter: “Ausdrücklich” soll eine Einwilligung danach nur dann sein, wenn diese “explizit” getroffen wird (Quelle: Die Einwilligung nach der Datenschutz-Grundverordnung, Seite 27 f.).
In der Umsetzung bedeutet dies, dass im Anmeldevorgang zunächst ein Haken in einer Checkbox gesetzt werden muss. Eine sogenannte “konkludente Handlung”, also eine schlüssige Handlung, durch das bloße Anklicken des Buttons würde dabei nicht ausreichen.
Nun muss das Ganze natürlich auch noch in der Datenschutzerklärung berücksichtigt werden. Wie auch im Fall der Standardvertragsklauseln braucht es hier einen entsprechenden Hinweis auf die Verarbeitung in dem jeweiligen Drittland, insbesondere auf die damit verbundenen Risiken.
Als Rechtsgrundlage für die Verarbeitung nennst Du dann jedoch nicht die “Standardvertragsklausel”, sondern die “ausdrückliche Einwilligung”.
Doch auch bei diesem Weg bleibt ein Restrisiko: Eine Einwilligung ist nur wirksam, wenn der Betroffene zuvor ausreichend informiert wurde. Auch gilt die ausdrückliche Einwilligung nach Art. 49 Abs. 1 DSGVO eigentlich als “Regelung für die Ausnahme” und sollte im Einzelfall abgewogen werden.
Nun wird Deine Liste der Empfänger:innen jedoch hoffentlich bald anwachsen und die Anmeldung keine Ausnahme mehr sein. Wir empfehlen dennoch diesen Weg zu gehen und die Abonnenten über die ausdrückliche Einwilligung aufzunehmen.
Unserer Meinung nach ist er rechtlich sicherer als die Verwendung der Standardvertragsklauseln. Wichtig ist dabei, dass die Einwilligung belegt werden kann.
Zudem sollte die Entscheidung für die Rechtsgrundlage “ausdrückliche Einwilligung” dokumentiert werden, idealerweise im Rahmen einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO.
Damit wägst Du in strukturierter Form die Risiken und den Nutzen für die Verarbeitung personenbezogener Daten ab und dokumentierst damit Deine Entscheidungen.
Dabei solltest Du auch darauf achten, dass das sog. „Koppelungsverbot“ gemäß Art. 7 Abs. 4 DSGVO eingehalten wird.
Damit soll der „Freiwilligkeit“ bei der Erteilung der Einwilligung besonders Rechnung getragen werden, zum Beispiel soll sich der oder die Verantwortliche nicht durch “kostenlose“ E-Books eine Einwilligung der betroffenen Person „erschleichen“.
Schritt 4: Anmeldeformular gestalten
Nun kommen wir endlich zu dem Element, mit dem sich Deine Abonnenten bei Deinem Newsletter registrieren können: Das Anmeldeformular.
Das einfachste Anmeldeformular besteht zunächst erst einmal aus 2 Elementen: Dem Eingabefeld für die E-Mail-Adresse und einem Button zum Bestätigen.
Doch damit ist es leider nicht getan, denn für eine DSGVO-konforme Anmeldung brauchst Du noch die Einwilligung Deiner Empfänger:innen.
Wegen des Versands per E-Mail ist eine “ausdrückliche Einwilligung” gemäß § 7 Abs. 2 Nr. 2 UWG (Gesetz gegen unlauteren Wettbewerb) notwendig. Diese Regelung legt fest, wann eine Werbung eine “unzumutbare Belästigung” darstellt, wie es bei E-Mails der Regelfall ist.
Oft geschieht dies durch den bloßen Hinweis, dass die Einwilligung mit einem Klick auf einen Button erteilt wird. Ob dies ausreicht – darauf gehen wir gleich ein.
Neben der wettbewerbsrechtlichen “ausdrücklichen Einwilligung” nach § 7 UWG brauchst Du auch noch die datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Hierfür würde tatsächlich der bloße Hinweis auf die Einwilligung durch einen Klick auf den Button reichen.
Natürlich nur, wenn Du auch die Datenschutzerklärung mit den hinreichenden Informationen zu der konkreten Verarbeitung verlinkst. Wir schreiben „würde“, weil wir im Schritt 3 bereits ein Problem in diesem Zusammenhang beschrieben haben: die Übermittlung in ein Drittland.
Hast Du Dich im dritten Schritt für die Möglichkeit entschieden, die Standardvertragsklauseln als Grundlage zu wählen, reicht der Hinweis auf die Datenschutzerklärung, wie beschrieben.
Dabei weist Du sinnvollerweise darauf hin, dass mit einem Klick auf den Button der oder die Nutzende der Verarbeitung der Daten im Rahmen des Newsletterversands entsprechend der Datenschutzerklärung zustimmt.
Hast Du Dich hingegen für den Weg entschieden, die ausdrückliche Einwilligung Deiner Abonnenten einzuholen, musst Du dies mit aktiv zu setzenden Haken in Checkboxen realisieren. Nur das Setzen des Hakens gewährleistet, dass der Nutzende aktiv der Verarbeitung zustimmt.
Vielleicht hast Du es schon gemerkt: Auch § 7 Abs. 2 Nr. 2 UWG schreibt die „ausdrückliche Einwilligung“ vor. Richtig: Auch hier brauchst Du deshalb eine Checkbox mit einem aktiv durch den Nutzenden zu setzenden Haken.
Eine konkludente Handlung – also der Klick auf einen Bestätigungs-Button mit einem vorgesetzten Hacken alleine – reicht hierfür nicht aus.
Meiner Meinung nach reicht es jedoch, beide Einwilligungen – die datenschutzrechtliche und die wettbewerbsrechtliche – in einer Checkbox abzufragen. Das Ganze könnte dann beispielsweise wie folgt aussehen:
Es gibt viele Anmeldeformulare für Newsletter. In unserem Beispiel zeigen wir Dir, wie es unserer Meinung nach rechtssicher aussehen kann.
Wie Du im Bild siehst, haben wir bei diesem Beispiel noch weitere Informationen angegeben. Wir empfehlen, diese Informationen für ein sicher datenschutzkonformes Anmeldeformular zu hinterlegen, um Missverständnisse zu vermeiden.
Sinnvoll ist es zudem, ergänzende Informationen zu verlinken, z.B. über einen Link auf die Datenschutzerklärung.
Viele Newsletter-Anbieter bieten auch vorformulierte Muster für Anmeldeformulare zum Einbinden an.
Doch an dieser Stelle ist Vorsicht geboten: Nicht erst seit den Abmahnungen des Einsatzes von Google Fonts sollte jeder von uns die Probleme mit der Einbindung von fremden Inhalten kennen.
Läuft das Formular Deines Newsletter-Tools auf einem Server eines Anbieters in einem Drittland, brauchst Du auch für diesen Zugriff vorher die ausdrückliche Einwilligung. Das gleiche gilt übrigens auch, wenn Dein Anbieter externe Inhalte wie Google ReCaptcha lädt.
In solchen Fällen empfehlen wir, selbst ein Formular zu erstellen und die entsprechende API zu verwenden. Auch solltest Du darüber nachdenken, gleich noch die Einwilligung für ein E-Mail-Tracking Deiner Werbemails mitzuberücksichtigen.
Das alles ist leider mit einem höheren technischen Aufwand verbunden und sollte daher als Entscheidungskriterium für oder gegen einen Anbieter mit berücksichtigt werden.
Schritt 5: Double-Opt-In-Verfahren einrichten
Du wirst es auch schon erlebt haben: Du meldest Dich zu einem Newsletter an und erhältst zunächst eine E-Mail, mit der Bitte um Bestätigung Deiner E-Mail-Adresse. Das ist das sogenannte “Double-Opt-In-Verfahren”.
Beim Double-Opt-In-Verfahren geht es um drei Aspekte:
- Sicherstellung, dass Dein bzw. Deine Abonnent bzw. Abonnentin berechtigte:r Inhaber:in der angegebenen Adresse ist
- Einhaltung der Nachweispflicht, dass er oder sie sich eingetragen hat
- Die Erteilung der ausdrücklichen Einwilligung zum Erhalt von E-Mail-Werbung
Ein:e Anmelder:in kann jede E-Mail-Adresse in das Anmeldeformular eintragen, egal ob sie der Person gehört oder nicht. Durch den Bestätigungslink soll gewährleistet werden, dass der oder die Anmelder:in in, den wir nicht kennen, als der Zugriffsberechtigte des E-Mail-Accounts identifiziert wird.
Die Anmeldung allein sagt nichts darüber aus, ob der oder die Empfänger:in bzw. Anmelder:in auch wirklich Deinen Newsletter erhalten möchte. Mit dem Double-Opt-In kannst Du, zumindest zu einem gewissen Grad, sicherstellen, dass der Inhaber der E-Mail-Adresse wirklich Deinen Newsletter abonnieren möchte.
Leider sehen einige Stimmen die alleinige Zugriffsmöglichkeit nicht als ausreichenden Nachweis, dass die E-Mail-Adresse auch wirklich der Person des oder der Anmelders oder Anmelderin gehört. Eine andere, bessere Lösung als der Double-Opt-In ist heute jedoch noch nicht möglich.
Dabei solltest Du auch diese Bestätigungen des Double-Opt-In dokumentieren. Die meisten Tools machen das automatisch, sodass Du nichts weiter tun musst.
Diese Dokumentation dient für Dich als Nachweis, dass der oder die Inhaber:in der E-Mail-Adresse sich auch wirklich eingetragen hat und mit dem Versand einverstanden ist. Auch der nach Art. 7 Abs. 1 DSGVO notwendige Nachweis der datenschutzrechtlichen Einwilligung kann damit unterstützt werden.
Oftmals wird der Klick auf den Bestätigungslink auch als ausdrückliche wettbewerbsrechtliche Einwilligung für den Erhalt der E-Mails nach § 7 UWG gewertet. Es ist dafür geboten, dies in den Hinweistext der Bestätigungsmail aufzunehmen.Ein Urteil, welches uns hierzu letztlich Sicherheit bietet, ist uns bisher nicht bekannt.
Durch mehrere Gerichtsurteile ist aber geklärt, wonach in den Bestätigungsmails selbst keine Werbung enthalten sein darf. Denn dies wäre bereits eine werbliche E-Mail. Im Fall, dass ein Dritter die E-Mail-Adresse eingetragen hat, läge noch keine wirksame Einwilligung vor und Du würdest unerlaubt eine werbliche E-Mail verschicken.
Auch wenn es verlockend ist: Verzichte darauf, Deine Bestätigungsmail auszuschmücken. Verweise einfach darauf, dass die E-Mail-Adresse eingetragen wurde und für die ausdrückliche Einwilligung zum Erhalt des Newsletters noch der Klick auf den Link notwendig ist.
Auch für die Gestaltung der Double-Opt-In E-Mails gibt es Vorschriften: Halte es möglichst einfach und verzichte auf werbliche Elemente, wie in diesem Beispiel.
Schritt 6: Newsletter versenden
Wenn Du bis hierhin gekommen bist, dürfen wir Dir schon einmal gratulieren: Du hast alle notwendigen Schritte unternommen, um Deinen ersten Newsletter DSGVO-konform zu versenden. Glückwunsch!
Damit das aber auch weiterhin so bleibt, noch ein paar Hinweise, wie Dein Newsletter gestaltet sein sollte:
- Der Absendende muss immer klar erkennbar sein.
Dies sorgt nicht nur für ein stimmiges Bild bei den Empfänger:innen und das notwendige Vertrauen, sondern ist auch gesetzlich vorgeschrieben. - Die Betreffzeile muss auf den werbenden Inhalt schließen lassen.
Bekanntlich wird viel Energie darauf investiert, dass der Newsletter überhaupt geöffnet wird. Berücksichtige aber trotzdem bitte diesen Punkt. - Der Inhalt des Newsletters muss der Einwilligung entsprechen.
Alles andere wäre nicht nur frustrierend, sondern würde sogar einen Verstoß gegen die DSGVO darstellen. - Deinen Abonnenten musst Du eine einfache Möglichkeit geben, Deinen Newsletter wieder abzubestellen.
Am einfachsten geht dies über einen Abmeldelink im Newsletter selbst. - Neben der DSGVO und dem UWG gibt es auch noch das TMG, das Telemediengesetz.
Dieses schreibt vor, dass Du ein Impressum in Deinem Newsletter hinterlegen musst. Eine Verlinkung auf Deine Webseite reicht dabei in der Regel.
Schritt 7: Newsletters optimieren
Bevor Du jetzt denkst: Wie, dafür auch noch?
Nein, für die Optimierung selbst brauchst Du natürlich keine gesetzlichen Vorgaben einhalten. Aber sehr wohl für mögliche Tests und Trackingmethoden, die die (Rechts-)Grundlage für Deine Optimierung bilden.
Wie auch in der Webanalyse ist bisher nicht abschließend geregelt, was erlaubt ist und was nicht. Aus Deiner Sicht besteht immer ein beachtliches Interesse an möglichst detaillierten Zahlen: Zustellrate, Öffnungsrate, Klickrate – Doch wie sieht das Deine Kundschaft?
Die Prüfung der Zustellrate an sich sehen wir derzeit noch als unkritisch, schließlich werden hierbei die Rückläufer betrachtet und es ist Dein berechtigtes Interesse, dass Du keine unnötigen E-Mails verschickst. Der Eingriff in die Rechte Deiner Abonnenten ist dabei gering, werden doch lediglich die jeweiligen, bereits bekannten, E-Mail-Adressen verarbeitet.
Bei der Öffnungsrate und erst recht bei der Klickrate sieht es jedoch anders aus, da dabei das individuelle Verhalten Deiner Abonnenten analysiert und damit stärker in deren Rechte eingegriffen wird.
Entsprechend empfehlen wir hierfür immer die Einwilligung Deiner Abonnenten einzuholen. Wie oben dargestellt, kann dies auch schon bei der initialen Einwilligungsabfrage erfolgen und in der Datenschutzerklärung hinterlegt werden.
Je nachdem, wie und welche Daten Du analysieren möchtest, gilt es auch noch andere Gesetze und Vorschriften zu beachten.
Beispielsweise regelt § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) den Zugriff auf die in der Endeinrichtung gespeicherten Daten. Im Verhältnis zur Datenschutz-Grundverordnung regelt das TTDSG den Zugriff auf alle Daten, nicht nur auf personenbezogene Daten. Hierfür ist im Allgemeinen immer eine Einwilligung notwendig.
Dein DSGVO-konformer Newsletter
Herzlichen Glückwunsch, Du hast es geschafft! Wenn Du alle 7 Schritte durchgearbeitet hast und alles berücksichtigt hast, ist Dein Newsletter DSGVO-konform und hält die Vorgaben im Datenschutz ein.
Wir empfehlen Dir jedoch, Dich immer wieder auf dem Laufenden zu halten, denn gerade im Hinblick auf die DSGVO gibt es immer wieder neue Gerichtsurteile, die auch den Newsletterversand betreffen können.
Wenn Du Dich für die Hintergründe interessierst, haben wir im folgenden Abschnitt noch weitere Informationen für Dich zu den häufigsten Fragen gesammelt.
FAQ: Datenschutz bei Newslettern
Warum sollte ich keine E-Mail-Adressen für den Newsletter einkaufen?
Warum ist der Datenschutz für Newsletter relevant?
Welche Gesetze gelten für den Versand von Newslettern?
Wozu brauche ich einen Datenschutzbeauftragten oder eine Datenschutzbeauftragten?
Warum brauche ich einen Auftragsverarbeitungsvertrag mit dem Newsletter-Tool?
Wann brauche ich eine Einwilligung für einen Newsletter?
Welches Newsletter-Tool ist DSGVO-konform?
Was ist ein Drittland im Sinne der DSGVO?
Warum sollte ich keine E-Mail-Adressen für den Newsletter einkaufen?
Dagegen sprechen sowohl Gründe aus Marketingsicht als auch aus rechtlichen Überlegungen.
Eingekaufte E-Mail-Adressen erhöhen zwar die Reichweite Deines Newsletters – aber an wen schickst Du denn die E-Mails?
Ziel sollte es immer sein, Deine E-Mail-Werbung an qualifizierte Leads, also an Interessenten, zu schicken. In den Listen gekaufter E-Mail-Adressen befindet sich in der Regel jedoch keine potenzielle Kundschaft, die sich für Dich und Dein Angebot interessieren. Es ist Zeit- und Geldverschwendung.
Und auch aus rechtlicher Sicht ist es durchaus problematisch, E-Mail-Adressen zu kaufen. Es ist nicht verboten, jedoch solltest Du Dir im Klaren darüber sein, woher die E-Mail-Adressen stammen.
Sowohl nach der DSGVO als auch dem UWG bist Du rechenschaftspflichtig, d.h. Du musst nachweisen, dass die Empfänger:innen wirksam in den Newsletterempfang eingewilligt haben.
Eine Erklärung des oder der Händlers oder Händlerin reicht hierbei oftmals nicht aus, insbesondere da eine gegenüber einem Adresshändler abgegebene Einwilligung nur wirksam sein kann, wenn der Adresskäufer schon genannt wurde. Andernfalls kann die Einwilligung nicht “informiert” erklärt werden.
Fazit: Lass es lieber bleiben und investiere das Geld und die Zeit in andere Marketingaktivitäten, die Dir “echte” Interessierte bringen.
Warum ist der Datenschutz für Newsletter relevant?
Ganz einfach: Deine Kundschaft gibt ihre Daten an, um Deinen Newsletter zu erhalten.
Du verarbeitest also personenbezogene Daten und somit gilt auch für Deinen Newsletter die DSGVO.
Welche Gesetze gelten für den Versand von Newslettern?
Neben der Datenschutzgrundverordnung – wir kennen sie eher unter dem Kürzel DSGVO – gilt es vor allem noch § 7 UWG – dem Gesetz gegen den unlauteren Wettbewerb zu beachten. Aber auch das TMG, das Telemediengesetz, und insbesondere das TTDSG, das Telekommunikations-Telemedien-Datenschutz-Gesetz, spielen eine Rolle.
Die DSGVO enthält Vorgaben zur Verarbeitung personenbezogener Daten. Diese schreibt uns insbesondere vor, dass wir unsere Nutzer:innen umfassend informieren müssen.
Deswegen musst Du auch eine Datenschutzerklärung haben. Die DSGVO gibt aber auch weitere Maßgaben vor, die wir beachten müssen, wenn wir ein Newsletter Tool auswählen.
Im UWG ist für den Newsletterversand vor allem § 7 relevant, der unzumutbare Belästigungen, insbesondere in Form von Werbung, untersagt.
Dieser definiert beispielsweise, dass die Zusendung von E-Mail-Werbung ohne die ausdrückliche Zustimmung des Empfängers oder der Empfängerin nicht erlaubt ist. Es gibt zwar auch Ausnahmen, deren Vorliegen aber sorgfältig geprüft werden muss und die Nachweispflichten mit sich bringen.
Wer sich hier rechtssicher aufstellen möchte, sollte eine konkrete Beratung in Anspruch nehmen.
Die relevantesten Pflichten aus dem TMG sind den meisten wegen ihrer eigenen Webseite bekannt: Das Vorhalten eines Impressums.
Je nach Rechtsform gehören hierzu verschiedene Pflichtangaben. Da diese sowohl für die Webseite als auch für den Newsletter in der Regel gleich sind, hat sich durchgesetzt, das Impressum der Webseite einfach im Newsletter zu verlinken.
Je nach Inhalt Deines Newsletters oder auch Form Deines Unternehmens können noch weitere Gesetze gelten. Diese würden aber den Rahmen eines Artikels sprengen.
Wozu brauche ich einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte?
Ein oder eine Datenschutzbeauftragter oder Datenschutzbeauftragte hat vor allem die Aufgabe, ein Unternehmen im Bereich des Datenschutzes zu beraten. Hierzu hat er oder sie verschiedene Rechte und Pflichten, um im Unternehmen Prozesse zu analysieren.
Es gibt Unternehmen, für die die Benennung eines oder einer Datenschutzbeauftragten Pflicht ist. Hier ergibt sich bereits aus den gesetzlichen Bestimmungen, dass ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte bestellt wird.
Bei den übrigen Unternehmen ist die Benennung in der Regel zu aufwändig und kostenintensiv, jedoch solltest Du in Erwägung ziehen, einen Datenschutzberater bzw. eine Datenschutzberaterin zu beauftragen, Dich bei der Planung und Durchführung der Einhaltung der DSGVO zu unterstützen.
Warum brauche ich einen Auftragsverarbeitungsvertrag mit dem Newsletter-Tool?
Der Auftragsverarbeitungsvertrag – kurz AVV – ist die vertragliche Grundlage im Datenschutz, mit der ein Anbieter die personenbezogenen Daten Deiner Abonnenten verarbeiten darf.
Er regelt, u.a. welche Daten wie verarbeitet werden müssen, welche Sicherheitsmaßnahmen eingerichtet werden müssen und vor allem Deine Rechte, damit Du die Betroffenenrechte der DSGVO durchsetzen kannst.
Hiermit behält sich der oder die Verantwortliche, der über die Verarbeitung seiner Daten entscheidet, das Recht vor, alle verarbeitungsrelevanten Entscheidungen zu treffen, die dann der Anbieter bzw. Auftragsverarbeitende umzusetzen hat.
Wann brauche ich eine Einwilligung für einen Newsletter?
Kurz gesagt: Immer.
Für den werblichen Versand von E-Mails benötigst Du im Allgemeinen stets eine Einwilligung des bzw. der Empfängers bzw. Empfängerin.
Es gibt nur sehr wenige Ausnahmen für Bestandskunden, deren vollständiges Vorliegen der oder die Verantwortliche laufend nachweisen können muss.
Geh lieber auf Nummer sicher und bitte immer um die Einwilligung Deiner Newsletter Abonnenten.
Welches Newsletter-Tool ist DSGVO-konform?
Ohne jedes einzelne Tool im Detail zu überprüfen ist es schwer, eine Empfehlung auszusprechen.
Da wir im Marketing allgemein jedoch fast immer mit Einwilligungen für die Verarbeitung der personenbezogenen Daten arbeiten müssen, sollten alle Anbieter den Anforderungen genügen
Aber Achtung: Du bist als Verantwortliche:r im Sinne des Datenschutzes in der Verantwortung für die Daten Deiner Kundschaft.
Achte also darauf, einen seriösen Anbieter auszuwählen, der hinreichende Erfahrungen und Garantien mitbringt.
Was ist ein Drittland im Sinne der DSGVO?
Zu den Drittländern im Sinne der DSGVO zählen alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR), in denen die DSGVO nicht direkt anwendbar ist.
Durch einen Angemessenheitsbeschluss kann solchen Ländern bescheinigt werden, dass das Datenschutzniveau, dem der EU entspricht und daher keine gesonderten Garantien für die Sicherheit der Daten benötigt werden. Hierzu zählen zum Beispiel Kanada und Israel.
Es gibt jedoch auch Länder, für die das nicht gilt. Das bekannteste Beispiel sind die USA. Für solche Länder müssen die Verantwortlichen auf andere Weise die Sicherheit der Daten für die betroffenen Personen gewährleisten, z.B. durch Standardvertragsklauseln der EU-Kommission.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
