Das sollte beim Anmeldeprozess zu einem E-Mail-Newsletter laut DSGVO beachtet werden

Wenn es um den Datenschutz geht, ja. Jedoch sind auch Gesetze und Verordnunhen wie das UWG und das TMG relevant. Vielfach übersehen wird übrigens eine positive Änderung durch die DSGVO im Vergleich zu den Jahren vor 2018: Zum Teil wird man in Zukunft Direktmarketing auf berechtigte Interessen stützen können und auch ohne nachgewiesenen Opt-In datenschutzkonform werben können.

Aber Achtung! Ein etwaiger Verstoß gegen § 7 Abs. 2 Nr. 3 UWG wird davon unberührt bleiben. Für die Praxis ist nur dann etwas gewonnen, wenn eine ausdrückliche Einwilligung entsprechend des UWG vorliegt. Von Vorteil ist, dass eben das UWG regelt, unter welchen Gegebenheiten elektronische Post keine Einwilligung bedarf. Jedoch Vorsicht, die Datenschutzregelungen der DSGVO, also alles datenschutzrelevante, ist dennoch zu beachten.

In der Regel beginnt der Einwilligungsprozess auf Ihrer Website. Anmeldeformulare für den Newsletter, Download-Angebote mit Abgabe persönlicher Daten und ähnliches sind bereits auf die DSGVO hin zu gestalten. Die Datenschutzerklärung auf der Website muss für den Einwilligungsprozess und den Umgang mit den dabei erhobenen personenbezogenen Daten, Auskunft erteilen. Dazu weiter unten mehr.

Jeder Einwilligungsprozess muss ein Double-OptIn-Prozess (DOI-Prozess) sein. Dieser DOI-Prozess besteht aus mindestens einer Bestätigungsmail, besser aus einer weiteren Begrüßungs-Mail mit Abmeldemöglichkeit, wenn versehentlich angemeldet wurde. Beide Mails des DOI-Prozesses müssen den Anforderungen der DSGVO genügen. Entscheidend im DOI-Prozess ist eine weitere Vorgabe der DSGVO: der Einwilligungsprozess muss so gestaltet sein, dass die Einwilligung nachweisbar ist.

Zunächst sollten Sie Ihr Augenmerk auf das Formular auf Ihrer Website legen.

Schon bei der Gestaltung des Formulars gehen die Interpretationen auseinander. Datenschützer lesen aus der DSGVO die Notwendigkeit zweier zusätzlicher Checkboxen heraus. Andere Stimmen blicken mehr auf die Aussagen in Erwägungsgrund 47 der DSGVO und führen die berechtigten Interessen ins Feld. Unstrittig ist, dass bereits das Anmeldeformular einer Widerrufsbelehrung bedarf und dass die E-Mail-Adresse das einzige Pflichtfeld, hinsichtlich der erhobenen Daten, sein darf.

RA Martin Schirmbacher in einem Interview: „Wer auf die Einwilligung setzt, muss datenschutzrechtlich die Voraussetzungen von Art. 7 DSGVO einhalten. Dazu zählt vor allem, dass es nun stets einer ausdrücklichen Widerrufsbelehrung bedarf. Ansonsten ändert sich nicht viel. Quatsch ist, dass es nun einer Checkbox bedürfen soll, mit der die Datenschutzerklärung akzeptiert wird. Die Datenschutzerklärung ist – wie der Name schon sagt – eine Erklärung des Unternehmens über den Umgang mit den personenbezogenen Daten der Nutzer. Um eine Zustimmung der Nutzer geht es hier nicht. Es reicht – wie schon bisher – der Hinweis auf die Datenschutzinformationen.“

Ebenso wesentlich ist, dass schon im Anmeldeformular neben der Widerrufsbelehrung, klare Aussagen zum Inhalt des Newsletters und wie häufig er erscheint, gemacht werden.

RA Dr. Schwenke zeigt in einem Vortrag die beiden Extreme eines Formulars für eine Anmeldung auf. Einmal könnte das Formular so aussehen, wie es eher von Datenschützern vorgezogen wird:

Beachten Sie: Eine Einwilligung mit bereits vorausgefüllten Checkboxen ist nicht rechtskonform! Im Erwägungsgrund 32 der EU-DSGVO ist deutlich gemacht, dass die Einwilligung anhand einer eindeutig bestätigenden Handlung erfolgen muss und Stillschweigen sowie Untätigkeit nicht ausreichen. Die Checkbox muss demnach aktiv angeklickt werden. Nach Artikel 7 EU-DSGVO muss die Einwilligung ohne Zwang, also freiwillig erfolgen.

Hier das Anmeldeformular, wie es in der Praxis auch noch aussehen könnte:

Dieses oder ein ähnliches Formular dieser Art, ermöglicht keine Einwilligung zur Erstellung eines Nutzungsprofils. Hinsichtlich des Kopplungsverbotes (Art. 7 Abs. 4 DSGVO) ist es wichtig, dass das Anmeldeformular für einen Download, z.B. eines E-Books oder Whitepapers, der den Newsletter-Empfang zur Folge hat, dieser als Gegenleistung ausgewiesen ist. Es muss deutlich werden, dass der Interessent mit seiner Einwilligung und seinen Daten für den Service „bezahlt“.

Beispielhaft könnte das wie im folgenden Formular gestaltet werden:

Der Vollständigkeit halber sei erwähnt, dass die beispielhaften Formulare um das Widerspruchsrecht, einen Link zur Datenschutzerklärung und einer Angabe zu Inhalt und Häufigkeit des Newsletters, ergänzt werden müssen.

Ganz unabhängig für welche Variante Sie sich entscheiden, in der Datenschutzerklärung zeigen Sie auf, wie Sie in punkto Erhebung und Verarbeitung der personenbezogenen Daten vorgehen. Dies ist natürlich nur ein ganz kleiner Teil Ihrer Datenschutzerklärung, aber eben wichtig und nicht vernachlässigbar, ohne sich der Gefahr von Abmahnungen auszusetzen.

Übrigens: Für die Erstellung einer Datenschutzerklärung stehen Generatoren im Netz zur Verfügung, die Ihnen viel Arbeit abnehmen … beispielsweise den Datenschutzerklärung-Generator der DGD Deutsche Gesellschaft für Datenschutz GmbH oder der von RA Dr. Schwenke.

Dreh- und Angelpunkt ist die Bestätigungs-Mail. Hat der Newsletter-Interessent das Formular abgesandt, heißt es ihn über die Hürde „Klick auf den Bestätigungs-Link“ zu heben. Die E-Mail darf sich zwar im CI der Firma zeigen, muss sich aber jeglicher werblicher Aussagen enthalten. Nach Auffassung des Autors sollte sie deshalb auch keine Links zu Produktseiten enthalten. In der Mail selbst müssen neben dem Bestätigungs-Link, der durchaus prominent gestaltet sein kann, die Aussagen zu Inhalt und Frequenz der Zusendung, die Widerrufsbelehrung und der Hinweis und Link auf die Datenschutzerklärung wiederholen. Also nochmals alle Informationen aus dem Anmeldeformular hier einfügen.

Dies ist entscheidend wichtig, da diese E-Mail als Nachweis der Anmeldung archiviert werden muss. Der Inhalt dieser E-Mail muss im Ernstfall alle Vorgaben der DSGVO enthalten, um einem Nachweis der rechtskonformen Einwilligung stand zu halten. Das Formular liegt ja auf Ihrer Website, ist nicht auf einen Abonnenten bezogen, nicht archivierbar und deshalb als Nachweis nicht tauglich.

Hier finden Sie eine mögliche Bestätigungs-Mail.

Die Begrüßungs-Mail des DOI-Prozesses nach erfolgreich abgeschlossener Anmeldung, steht vor allem im Zeichen von „Willkommen“ und „Dank für die Anmeldung“. War zu Beginn der Anmeldung ein Incentive als Gegenleistung versprochen, so ist jetzt der Zeitpunkt, dieses bereit zu stellen. Es können Links zu Produktseiten und weitere werbliche Aussagen enthalten sein. Fallen Sie jedoch nicht gleich mit der Tür ins Haus.

ACHTUNG – das Folgende dürfen Sie bereits in dieser Mail und in der Zukunft nicht mehr unterlassen: das Einfügen eines Abmelde-Links für den Widerruf der Newsletter-Zusendung. Wenn Sie eine Erlaubnis für die Erstellung von personenbezogenen Profilen und deren Verarbeitung erhalten haben, muss auch hierfür eine Widerspruchsmöglichkeit enthalten sein.

Hier finden Sie eine mögliche Begrüßungs-Mail.

Hier ein Beispiel eines Formulars mit Profildaten und der Möglichkeit, durch Abhaken der weiteren Verarbeitung und Erhebung von Profildaten zu widersprechen.

Nach Art. 7, Abs 1 der DSGVO muss der Einwillgungsprozess nachweisbar sein. Vielerorts wird das schlicht vergessen. Es ist also ein wesentlicher Bestandteil des DOI-Prozesses (Double-OptIn), dass die mit dem Abonnenten eines Newsletters ausgetauschten Einwilligungs-Mails archiviert werden oder durch einen gleichwertigen Nachweis eine eindeutige Beweisführung möglich ist. Viele E-Mail-Marketing-Systeme die den DOI-Prozess automatisiert unterstützen, bieten die Möglichkeit die ausgetauschten Mails als Duplikate zu erhalten und somit können diese archviert werden. Eine weitere wichtige Funktion ist, dass die Anmeldeinformationen, wie IP-Adresse, Uhrzeit und Datum gesondert bei der Anmelde-E-Mail-Adresse hinterlegt werden.

• Ohne Double-OptIn-Einwilligungsprozess kein DSGVO-konformer Newsletterversand.
• Hinweis auf Inhalt des Newsletters und Erscheinungsfrequenz bereits im Anmeldeformular und in den DOI-Mails zwingend.
• Hinweis auf Widerrufsmöglichkeit des Newsletter-Empfangs und der Erhebung von personenbezogenen Daten bereits im Anmeldeformular und in den DOI-Mails zwingend. Bereits in der DOI-Begrüßungs-Mail dürfen die Widerspruchs- / Abmeldemöglichkeiten nicht fehlen.
• Nachweisbarkeit des Anmeldeprozesses ist zwingend zu beachten.
• Bei Download von E-Books oder Whitepapers, also „kostenlosen“ Dienstleistungsangeboten, die richtige Formulierung wählen, um Konflikte mit dem Kopplungsverbot zu vermeiden.

• Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung
• DSGVO inkl. Erwägungsgründe: https://dsgvo-gesetz.de
• Thomas Schwenke LL.M.: https://drschwenke.de
• Datenschutzerklärung-Generator der DGD
• Datenschutzerklärung-Generator Dr. Schwenke

Alle in diesem Artikel gemachten Aussagen sind keine rechtsverbindlichen Aussagen. Im Bedarfsfall ist eine rechtsverbindliche Auskunft bei einem Vertreter des Berufsstandes der Rechtsanwälte einzuholen.

Es gilt ein eindeutiges „Ja“: Die Einwilligung des Empfängers muss nachweisbar sein!

In vielen Gesprächen mit Kunden und Interessenten zeigt sich viel Unsicherheit, wenn es um die Einwilligung oder Permission der Empfänger von Mailings geht. Dieser Beitrag soll helfen, mehr Sicherheit im Umgang mit diesem Thema zu schaffen.

E-Mail-Newsletter, Fax-Versand, SMS-Versand – jeglicher elektronische Mitteilungsversand unterliegt den Anfordernissen des UWG (Gesetz gegen den unlauteren Wettbewerb) in seiner jeweils aktuellen Fassung. Seit dem 25.05.2018 ist hinsichtlich des Datenschutzes auch die DSGVO mit ihren einschlägigen Paragrafen zu beachten. Der § 7 Abs. 2 Nr. 3 UWG verbietet Werbung ohne Einwilligung des Empfängers. Das BGH hat bereits im Jahr 2004 festgestellt, dass das Verbot aus dem UWG § 7 Abs. 2 Nr. 3 ausdrücklich auch auf Newsletter von Unternehmen anzuwenden ist. Newsletter, E-Mails, Faxe oder SMS sind demnach Werbung und deshalb eine unzumutbare Belästigung, wenn sie ohne Einwilligung zugestellt werden.

Es gibt eine Ausnahme laut §7 Abs. 3 des UWG – jedoch nur für elektronische Post, also E-Mails und SMS: In einer bestehenden Kundenbeziehung darf ein Unternehmen die erhaltene elektronische Postadresse zur Direktwerbung für eigene, ähnliche Waren oder Dienstleistungen verwenden, ohne die ausdrückliche Einwilligung einholen zu müssen. Obiges gilt, wenn folgende Punkte zutreffen:

• das Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung die elektronische Postadresse erhalten hat,
• der Verwendung durch den Kunden nicht widersprochen wurde,
• vor der Erhebung und bei jeder Aussendung an die Adresse, der Empfänger auf die Wiederspruchsmöglichkeit hingewiesen wurde.

Diese drei „wenn’s“ sollten Sie unbedingt beachten!

Im richtigen Leben geht es nicht selten um vorhandene Adressbestände für E-Mail-Versand, Fax-Versand und SMS-Versand. Bestände, die neu in eine Versendeliste aufgenommen werden sollen. Beispielsweise handelt es sich um Interessenten, die in der Datenbank registriert sind. Oder es handelt sich um Kunden, mit denen schon lange Zeit keine Verkaufsaktivitäten mehr stattgefunden haben.

Grundsätzlich gilt hier das eingangs Gesagte, eben die Notwendigkeit der expliziten Einwilligung. Die Einwilligung fordert auch die DSGVO in § 6, 1 (a). Zu beachten ist auch, dass einmal erteilte Einwilligungen durchaus eine „Halbwertszeit“ haben. Gerichte sprechen von einer Gültigkeitsdauer von 12 bis 24 Monaten, teils auch von geringeren Zeiten.

Deshalb an dieser Stelle unser Rat: Halten Sie Ihre Adressen immer aktiv (regelmäßige Nutzung) und pflegen Sie die Adressen permanent.

• Zu diesem Punkt sind vor allem der § 7 und § 8 der DSGVO zu beachten. Hilfreich ist, die Erwägungsgründe zu diesen Parargrafen zu studieren.
• Für elektronische Post (E-Mail) kann sie auch elektronisch eingeholt werden, muss aber dann den Anforderungen des TMG § 13 Abs. 2 entsprechen, das heißt
  1. der Nutzer hat seine Einwilligung bewusst und eindeutig erteilt,
  2. die Einwilligung muss gesondert und nur bezogen auf die Zusendung von E-Mails bzw. SMS erteilt werden,
  3. die Einwilligung muss protokolliert werden,
  4. der Nutzer kann den Inhalt der Einwilligung jederzeit abrufen und
  5. der Nutzer kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Nach DSGVO Art. 5 (1) c) ist zudem auf Datenminimierung zu achten. Deshalb sollte es bei der Einwilligung zum Empfang elektronischer Post keine Pflichtfelder (außer dem der E-Mail-Adresse) geben.

Aus dem Schriftformerfordernis leitet sich ab: Es muss derjenige einwilligen, d.h. z.B. ein Schriftstück unterzeichnen, der später auch den E-Mail-Newsletter erhält, nicht irgendwer!! Bei E-Mail-Versand gilt jedoch auch das unter „Gibt es Ausnahmen?“ Gesagte! Die Einwilligung muss bewusst und konkret erfolgen und darf nicht mit anderen Erklärungen verbunden werden oder gar Teil der AGBs sein. Auch vorangeklickte Kästchen sind nicht zulässig. Die gegebene Einwilligung ist grundsätzlich nur dem Eigner / Versender des Newsletters gegeben und ist keine Einwilligung gegenüber jedermann.

Sind E-Mail-Adressen aus Publikationen entnommen, z.B. aus

• Visitenkarten,
• Briefköpfen,
• öffentlichen Verzeichnissen,
• der Homepage usw.,

so ist das keine Einwilligung. Auch von gekauften Adressen ist dringend abzuraten. Eine möglxqicherweise beim Adressanbieter vorliegende Einwilligung bezieht sich in keiner Weise auf den eigenen Firmen-Newsletter.

Die obigen Erfordernisse für die Einwilligung bedeuten für Faxmailings die Schriftform und für die elektronische Post, also E-Mail-Versand oder Newsletterversand, das Double-Opt-in-Verfahren bzw. die Schriftform. Schriftform bei E-Mail eben dann, wenn die Anzahl von über Double-Opt-in gewonnenen Adressen zu spärlich ist. Für SMS-Versand kann man annehmen, dass ebenfalls die Schriftform angeraten ist, da ein Verfahren wie Double-Opt-In hier nicht bekannt ist.

Das gilt immer: Der künftige Empfänger von Mailings muss auf die Widerspruchsmöglichkeit bereits bei der Erhebung der E-Mail-Adresse, Faxnummer oder Handynummer hingewiesen werden. Dies gilt auch bei jeder neuen Versendung eines Mailings. Dies wird in gleicher Weise von der DSGVO in § 21 eingefordert. Bei SMS durchaus problematisch, da 160 Zeichen wenig Raum bieten. Die Einwilligung muss so geschehen, dass sie vor Gericht beweisbar ist.

UWG: http://www.juraforum.de/gesetze

Telemediengesetz (TMG): http://www.buzer.de/gesetz/7616/a149122.htm

DSGVO:
https://dsgvo-gesetz.de/

Alle in diesem Artikel gemachten Aussagen sind keine rechtsverbindlichen Aussagen! Im Bedarfsfall ist eine rechtsverbindliche Auskunft bei einem Vertreter des Berufsstandes der Rechtsanwälte einzuholen.