Das sollte beim Anmeldeprozess zu einem E-Mail-Newsletter laut DSGVO beachtet werden

Wenn es um den Datenschutz geht, lautet die prinzipielle Antwort auf diese Frage: Ja. Doch sind auch Gesetze und Verordnungen wie das UWG (zuletzt 2026 an europäisches Recht angepasst) sowie das DDG und das TDDDG relevant.

In der DSGVO ist zwar seit 2018 nachzulesen, dass die Durchführung von Direktmarketing-Maßnahmen zum Teil auch „nur“ auf berechtigte Interessen gestützt werden kann. Doch dies hebelt das UWG nicht aus. Hieraus wird klar, dass für die meisten Fälle von Werbung auf elektronischen Wege (E-Mail, Fax, SMS) eine ausdrückliche Einwilligung des Empfängers vorliegen muss.

Fazit: Die Datenschutzgrundverordnung regelt datenschutzrelevante Aspekte, wie den Umgang mit personenbezogenen Daten. Das UWG regelt wettbewerbsrechtliche Aspekte, wie die nötigen Einwilligungen beim Versand von elektronisch übermittelten Werbebotschaften. Beide Regelwerke sind gleichermaßen wichtig.

In der Regel beginnt der Einwilligungsprozess auf Ihrer Website. Anmeldeformulare für den Newsletter, Download-Angebote mit Abgabe persönlicher Daten und ähnliches sind bereits auf die DSGVO hin zu gestalten. Die Datenschutzhinweise auf der Website müssen für den Einwilligungsprozess und den Umgang mit den dabei erhobenen personenbezogenen Daten, Auskunft erteilen. Dazu weiter unten mehr.

Jeder Einwilligungsprozess muss ein Double-OptIn-Prozess (DOI-Prozess) sein. Dieser DOI-Prozess besteht aus mindestens einer Bestätigungsmail, idealerweise gefolgt von einer weiteren Begrüßungs-Mail mit unmittelbarer Abmeldemöglichkeit. Diese soll Anmeldungen „abfangen“, die versehentlich zustande kamen.

Beide E-Mails des DOI-Prozesses müssen den Anforderungen der DSGVO genügen. Entscheidend ist dabei eine weitere Vorgabe der Datenschutz-Grundverordnung: Der Einwilligungsprozess muss so gestaltet sein, dass die Einwilligung nachweisbar ist.

Zunächst sollten Sie Ihr Augenmerk auf das Formular auf Ihrer Website lenken.

Schon bei der Gestaltung des Formulars gehen die Interpretationen auseinander. Strenge Datenschützer lesen aus der DSGVO die Notwendigkeit zweier zusätzlicher Checkboxen. Andere Stimmen blicken mehr auf die Aussagen in Erwägungsgrund 47 der DSGVO und führen die berechtigten Interessen ins Feld.

Unstrittig ist, dass bereits das Anmeldeformular einer Widerrufsbelehrung bedarf und dass die E-Mail-Adresse das einzige Pflichtfeld sein sollte.

Der auf Internetrecht spezialisierte Rechtsanwalt Martin Schirmbacher dazu in einem Interview: „Wer auf die Einwilligung setzt, muss datenschutzrechtlich die Voraussetzungen von Art. 7 DSGVO einhalten. Dazu zählt vor allem, dass es nun stets einer ausdrücklichen Widerrufsbelehrung bedarf. Ansonsten ändert sich nicht viel.

Quatsch ist, dass es nun einer Checkbox bedürfen soll, mit der die Datenschutzerklärung akzeptiert wird. Die Datenschutzerklärung ist – wie der Name schon sagt – eine Erklärung des Unternehmens über den Umgang mit den personenbezogenen Daten der Nutzer. Um eine Zustimmung der Nutzer geht es hier nicht. Es reicht – wie schon bisher – der Hinweis auf die Datenschutzinformationen.“

Ebenso wesentlich ist, dass schon im Anmeldeformular neben der Widerrufsbelehrung, klare Aussagen zum Inhalt des Newsletters und wie häufig er erscheint, gemacht werden. Schwenke zeigte in einem Vortrag die beiden Extreme eines Formulars für eine Anmeldung auf. Einmal könnte das Formular so aussehen, wie es eher von strengen Datenschützern favorisiert wird:

Beachten Sie bei dieser Lösung: Eine Einwilligung mit bereits vorausgefüllten Checkboxen wäre nicht rechtskonform. Im Erwägungsgrund 32 der EU-DSGVO ist deutlich gemacht, dass die Einwilligung anhand einer eindeutig bestätigenden Handlung erfolgen muss und Stillschweigen sowie Untätigkeit nicht ausreichen. Jede Checkbox muss demnach aktiv angeklickt werden. Nach Artikel 7 EU-DSGVO muss die Einwilligung ohne Zwang, also freiwillig erfolgen.

Hier das Anmeldeformular, wie es in der Praxis aber auch aussehen könnte:

Dieses oder ein ähnliches Formular dieser Art, ermöglicht keine Einwilligung zur Erstellung eines Nutzungsprofils. Hinsichtlich des Kopplungsverbots (Art. 7 Abs. 4 DSGVO) ist es wichtig, dass das Anmeldeformular für einen Download, z. B. eines E-Books oder Whitepapers, der den Newsletter-Empfang zur Folge hat, dieser als Gegenleistung ausgewiesen ist. Es muss deutlich werden, dass der Interessent mit seiner Einwilligung und seinen Daten für den Service „bezahlt“.

Beispielhaft könnte das wie im folgenden Formular gestaltet werden:

Der Vollständigkeit halber sei erwähnt, dass die beispielhaften Formulare um das Widerspruchsrecht, einen Link zur Datenschutzerklärung und einer Angabe zu Inhalt und Häufigkeit des Newsletters, ergänzt werden müssen.

Ganz unabhängig davon, für welche Variante Sie sich entscheiden … in den Datenschutzhinweisen auf Ihrer Website zeigen Sie, wie Sie in punkto Erhebung und Verarbeitung personenbezogener Daten vorgehen. Dies ist natürlich nur ein ganz kleiner Teil Ihrer Datenschutzerklärung, aber eben wichtig und nicht vernachlässigbar, ohne sich der Gefahr von Abmahnungen auszusetzen.

Übrigens: Für die Erstellung einer Datenschutzerklärung gibt es Generatoren im Netz, die Ihnen viel Arbeit abnehmen … zum Beispiel der Datenschutzerklärung-Generator bei WBS Legal oder der Generator von RA Dr. Schwenke.

Dreh- und Angelpunkt im DOI-Prozess sind die Bestätigungs-Mails.

Hat der Newsletter-Interessent das Formular abgesendet, heißt es ihn über die Hürde „Klick auf den Bestätigungs-Link“ zu heben. Diese E-Mails dürfen sich zwar im CI der Firma zeigen, müssen sich aber auf jegliche werbliche Aussagen verzichten.

Sie sollten demnach keine Links zu Produktseiten einbinden. In den E-Mails müssen neben dem Bestätigungs-Link, der durchaus prominent gestaltet sein darf, die Aussagen zu Inhalt und Frequenz der Zusendung, die Widerrufsbelehrung und der Hinweis und Link auf die Datenschutzerklärung zu finden sein.

Dies ist entscheidend wichtig, da diese E-Mails als Nachweis der Anmeldung archiviert werden müssen. Der Inhalt dieser E-Mails muss im Ernstfall alle Vorgaben der DSGVO enthalten, um einem Nachweis der rechtskonformen Einwilligung stand zu halten. Das Formular liegt ja auf Ihrer Website, ist nicht auf einen Abonnenten bezogen, nicht archivierbar und deshalb als Nachweis nicht tauglich.

Die Begrüßungs-Mail im DOI-Prozess.

Nach erfolgreich abgeschlossener Anmeldung begrüßen Sie neue Abonnenten. In dieser ersten werblichen Nachricht steht vor allem das „Willkommen“ und der „Dank für die Anmeldung“ im Mittelpunkt.

War zu Beginn der Anmeldung ein Incentive als Gegenleistung versprochen, so ist jetzt der Zeitpunkt, dieses bereit zu stellen. Es können Links zu Produktseiten und weitere werbliche Aussagen enthalten sein. Fallen Sie jedoch nicht gleich „mit der Tür ins Haus“.

ACHTUNG – das Folgende dürfen Sie bereits in dieser E-Mail und in der Zukunft nicht mehr unterlassen: Das Einfügen eines Abmelde-Links für den Widerruf der Newsletter-Zusendung. Wenn Sie eine Erlaubnis für die Erstellung von personenbezogenen Profilen und deren Verarbeitung erhalten haben, muss auch hierfür immer eine Widerspruchsmöglichkeit enthalten sein.

Nach Art. 7, Abs 1 der DSGVO muss der Einwillgungsprozess nachweisbar sein. Vielerorts wird das schlicht vergessen. Es ist also ein wesentlicher Bestandteil des DOI-Prozesses, dass die mit dem Abonnenten eines Newsletters ausgetauschten Einwilligungs-Mails archiviert werden oder durch einen gleichwertigen Nachweis eine eindeutige Beweisführung möglich ist.

Viele E-Mail-Marketing-Systeme, die den DOI-Prozess automatisiert unterstützen, bieten die Möglichkeit die ausgetauschten E-Mails als Duplikate zu erhalten und somit können diese archiviert werden. Eine weitere wichtige Funktion ist, dass die Anmeldeinformationen, wie IP-Adresse, Uhrzeit und Datum gesondert bei der Anmelde-E-Mail-Adresse hinterlegt werden.

• Ohne Double-OptIn-Einwilligungsprozess kein DSGVO-konformer Newsletterversand.
• Hinweise auf Inhalt des Newsletters und Erscheinungsfrequenz bereits im Anmeldeformular und in den DOI-Mails zwingend erforderlich.
• Hinweis auf Widerrufsmöglichkeit des Newsletter-Empfangs und der Erhebung von personenbezogenen Daten bereits im Anmeldeformular und in den DOI-Mails zwingend nötig. Bereits in der DOI-Begrüßungs-Mail dürfen die Widerspruchs- / Abmeldemöglichkeiten nicht fehlen.
• Nachweisbarkeit des Anmeldeprozesses unbedingt sicherstellen.
• Beim Download von E-Books, Whitepapern oder Lead-Magneten, also „kostenlosen“ Service-Angeboten, die richtige Formulierung wählen, um Konflikte mit dem Kopplungsverbot zu vermeiden.

• Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung
• DSGVO inkl. Erwägungsgründe: https://dsgvo-gesetz.de
• Thomas Schwenke LL.M.: https://drschwenke.de
• Datenschutzerklärung-Generator von WBS Legal
• Datenschutzerklärung-Generator von Dr. Schwenke

Alle in diesem Artikel gemachten Aussagen sind keine rechtsverbindlichen Aussagen. Im Bedarfsfall ist eine rechtsverbindliche Auskunft bei einem Vertreter des Berufsstandes der Rechtsanwälte einzuholen.

Ja, die Einwilligung des Empfängers muss nachweisbar sein!

In vielen Gesprächen mit Kunden und Interessenten zeigt sich viel Unsicherheit, wenn es um die Einwilligung der Empfänger von E-Mailings geht. Deshalb hier noch einmal diese Kernaussage:

E-Mail-Newsletter, Fax-Versand, SMS-Versand – jeglicher elektronische Mitteilungsversand unterliegt den Anfordernissen des UWG (Gesetz gegen den unlauteren Wettbewerb) in seiner jeweils aktuellen Fassung.

Seit dem 25. Mai 2018 ist hinsichtlich des Datenschutzes auch die DSGVO mit ihren einschlägigen Paragrafen zu beachten.

Der § 7 Abs. 2 Nr. 3 UWG verbietet Werbung ohne Einwilligung des Empfängers. Der BGH hat bereits im Jahr 2004 festgestellt, dass das Verbot aus dem UWG ausdrücklich auch auf Newsletter von Unternehmen anzuwenden ist.

Newsletter, E-Mails, Faxe, SMS, RCS und WhatsApp sind demnach Werbung und deshalb eine unzumutbare Belästigung, wenn sie ohne Einwilligung zugestellt werden.

Es gibt eine Ausnahme laut UWG: In einer bestehenden Kundenbeziehung darf ein Unternehmen die erhaltene elektronische Adresse zur Direktwerbung für eigene (ähnliche) Waren und Dienstleistungen verwenden, ohne die ausdrückliche Einwilligung einholen zu müssen. Obiges gilt, wenn folgende Punkte zutreffen:

• das der Versender im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung die elektronische Adresse erhalten hat,
• der Verwendung durch den Kunden nicht widersprochen wurde und
• vor der Erhebung und bei jeder Aussendung an diese Adresse, der Empfänger auf die Widerspruchsmöglichkeit hingewiesen wurde.

Diese drei Punkte sollten Sie unbedingt beachten!

Im richtigen Leben geht es nicht selten um vorhandene Adressbestände für E-Mail-Aktionen, Fax-Aussendungen und SMS-Newsletter. Solche Bestände, die neu in eine Versandliste aufgenommen werden sollen, gilt es gründlich auf die o.a. Punkte zu prüfen:

• Handelt es sich um „Interessenten“, die in der Datenbank registriert sind.
• Oder es handelt sich um Kunden, mit denen eine aktive Geschäftsbeziehung besteht?
• Oder sind es Adressen von ehemaligen Kunden, zu denen schon lange Zeit keine Verkaufsbeziehung mehr besteht?

Nur der zweite Fall würde die Voraussetzungen für einen rechtskonformen Versand ohne explizite Einwilligung der Empfänger erfüllen.

Grundsätzlich gilt hier das eingangs Gesagte, eben die Notwendigkeit der expliziten Einwilligung. Diese Einwilligung fordert die DSGVO in § 6, 1 (a).

Man muss akzeptieren, dass einmal erteilte Einwilligungen durchaus eine „Halbwertszeit“ haben. Gerichte sprechen von einer Gültigkeitsdauer von 12 bis 24 Monaten, teils auch von geringeren Zeiten.

Deshalb an dieser Stelle unser Rat: Halten Sie Ihre Adressen immer aktiv – nutzen Sie diese also regelmäßig – und halten Sie die Adressen permanent aktuell.

• Hierzu sind vor allem der § 7 und § 8 der DSGVO zu beachten. Hilfreich ist, die Erwägungsgründe zu diesen Paragrafen zu studieren.
• Für elektronische Post (E-Mail, Fax, SMS, WhatsApp) kann diese Einwilligung elektronisch eingeholt werden, muss aber dann den Anforderungen des TMG entsprechen, das heißt
  
  1. der Nutzer hat seine Einwilligung bewusst und eindeutig erteilt,
  2. die Einwilligung muss gesondert und nur bezogen auf die Zusendung von E-Mails bzw. SMS erteilt werden,
  3. die Einwilligung muss protokolliert werden,
  4. der Nutzer kann den Inhalt der Einwilligung jederzeit abrufen und
  5. der Nutzer kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Nach DSGVO Art. 5 (1) c) ist zudem auf Datenminimierung zu achten. Deshalb sollte es bei der Einwilligung zum Empfang elektronischer Post keine Pflichtfelder (außer dem der E-Mail-Adresse) geben.

Sind E-Mail-Adressen aus irgendwelchen Publikationen entnommen worden, z. B. aus

• Visitenkarten,
• Briefköpfen,
• öffentlichen Verzeichnissen oder
• Websites,

so fehlt für diese Empfänger die nötige Einwilligung. Deshalb ist prinzipiell auch von gekauften Adressen abzuraten. Eine möglicherweise beim Adressanbieter vorliegende Einwilligung bezieht sich immer nur auf diesen Anbieter. Der Anbieter kann diese Einwilligung nicht rechtskonform an Sie verkaufen.

Die obigen Erfordernisse für die Einwilligung bedeuten für Fax-Aussendungen die Schriftform und für die elektronische Post, also den E-Mail-Versand oder Newsletterversand, das Durchführen eines Double-Opt-in-Verfahrens bzw. die Schriftform. Für den SMS-Versand kann man annehmen, dass ebenfalls die Schriftform angeraten ist, da es ein Verfahren wie Double-Opt-In hierfür nicht gibt.

Das gilt immer: Der künftige Empfänger von Mailings muss auf die Möglichkeit des Widerspruchs bereits bei der Erhebung der Adress-Informationen hingewiesen werden. Dies gilt auch bei jeder neuen Versendung eines Mailings an den Empfänger.

DSGVO: https://dsgvo-gesetz.de/

UWG: https://www.juraforum.de/gesetze/uwg

DDG: https://www.gesetze-im-internet.de/ddg/BJNR0950B0024.html

TDDDG: https://dsgvo-gesetz.de/tdddg/

Alle in diesem Artikel gemachten Aussagen sind keine rechtsverbindlichen Aussagen. Im Bedarfsfall ist eine rechtsverbindliche Auskunft bei einem Vertreter des Berufsstandes der Rechtsanwälte einzuholen.