meldung datenschutzbeauftragter aufsichtsbehörde

Newsletter und der Datenschutz – einige Fallstricke

/von

Die meisten Unternehmen bieten Ihren Kunden die Möglichkeit, automatisiert in regelmäßigen Abständen über Neuigkeiten informiert zu werden. Meist geschieht dies durch einen Newsletter, der auf der Homepage abonniert und auch wieder abgestellt werden kann. So weit – so einfach. Schnell kann dieses gut gemeinte Angebot jedoch zu einer Abmahnung oder zu Ärger mit den Behören führen. Die datenschutzkonforme Ausgestaltung einer Newsletterverwaltung ist nämlich nicht ganz trivial.

Mit der Anmeldung fängt es an…

In zahlreichen Gerichtsverfahren wurde sich bereits mit der Frage beschäftigt, wie eine datenschutzkonforme Anmeldung auszusehen hat. Hält man sich hier nicht exakt an die Vorgaben, besteht die Gefahr, dass das Verfahren als Zustellung unerlaubter Werbung angesehen wird. Als zulässiges Verfahren hat sich dabei das sogenannte Double Opt-In etabliert. Die Betonung liegt hier auf dem Wort “Double”. Hierbei wird dem Abonennten zunächst nach der Anmeldung an die E-Mail Adresse eine Bestätigungsmail geschickt. Diese sollte rein sachlich und werbewirksamen Charakter das beauftragte Abonnement des Newsletters bestätigen und darauf hinweisen, dass eine endgültige Anmeldung erst erfolgen wird, wenn auf einen in der E-Mail enthaltenen Link geklickt wird. Dadurch soll verhindert werden, dass ein Dritter unberechtigt eine abschließende Anmeldung zu einem Newsletter vornehmen kann. Die endgültige Anmeldung kann dann durch Versand einer weiteren E-Mail noch mal bestätigt werden.

Möglichkeiten zur Abmeldung

Sowohl alle E-Mails zur Bestätigung als auch jeder versandte Newsletter sollte eine Möglichkeit zum Widerspruch bzw. zur Beendigung des Abonnements enthalten.

Ohne Anmeldung kann es auch gehen…

Das Gesetz zum unlauteren Wettbewerb (UWG) bietet in Einzelfällen die Möglichkeit, einen Newsletter zu verwenden ohne vorherige Einwilligung des Empfängers. Dies gilt jedoch nur für aktive Kundenbeziehungen und nur nach sehr engen Vorgaben, wenn

  • ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat und
  • der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Kunde der Verwendung nicht widersprochen hat und
  • der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Das sind wirklich sehr enge Vorgaben. Und der Übergang ist fließend. Hat ein Kunde ein Hemd gekauft, dürfte die Werbung für eine Jacke noch Ok sein. Für eine Hose oder gar Schuhe könnte es sein, dass hier bereits Gerichte entscheiden müssen und ich würde mich nicht im Vorfeld auf einen bestimmten Ausgang festlegen wollen. Spätestens wenn dem Kunden (der ein Hemd gekauft hat) aber z. B. ein Mixer angeboten wird, sind die o. g. Grenzen aber definitiv überschritten.

Der Newsletterversand

Für den Newsletterversand gibt es verschiedene Möglichkeiten. Prinzipiell können die E-Mails einfach mit dem bestehenden E-Mail Programm versandt werden. Hierbei ist jedoch darauf zu achten, dass die verschiedenen Empfänger keinesfalls erfahren, wer die weiteren Empfänger des Newsletters sind.

In Frage kommt daher entweder der getrennte Versand an jeden einzelnen Empfänger, was bei einem großen Verteiler zu einem enormen Zeitaufwand führen kann. Eine andere Möglichkeit ist die Verwendung der „bcc“ Funktion des E-Mail Programms. Werden Empfänger in dieses Feld eingetragen, können die weiteren Empfänger nicht sehen, wer ebenfalls Empfänger der erhaltenen E-Mail ist. Von diesem Verfahren – auch wenn aus Sicht des Datenschutzes grundsätzlich anwendbar – ist jedoch abzuraten. Die Gefahr, dass bei einem regelmäßig versandten Newsletter irgendwann einmal versehentlich das “An” oder das “cc” Feld genommen wird ist in der Praxis zu groß. Geschieht dies drohen Abmahnungen oder auch Bußgelder, wie dieses Beispiel zeigt.

Besser sind hier automatisierte Programme, die sowohl die Newsletterverwaltung (Anmeldung und Anmeldung mit Double Opt-In) als auch den Newsletterversand übernehmen. Mit diesen Anwendungen kann der Versand des Newsletters zeitgesteuert vorgenommen werden. Für jeden Empfänger wird eine eigene E-Mail generiert, sodass keine Gefahr besteht, dass der Verteiler offenbart wird.

Bei der Gelegenheit: Eine Info zu meinem Newsletter

Aus den oben genannten Gründen habe ich bereits vor weit über einem Jahr den Versand meines Newsletters umgestellt. Der Versand erfolgt vollautomatisch von meinem Server unter Nutzung meines E-Mail-Postfachs. Ich setze hier also keine Dienstleister ein.

Einsatz von Dienstleistern

Soll ein Dienstleister zum Einsatz kommen, so sind weitere Dinge zu beachten:

  • Es muss ein Vertrag zur Datenverarbeitung im Auftrag geschlossen werden
  • Soll ein Dienstleister im Ausland zum Einsatz kommen (viele Anbieter von Newslettern sitzen in den USA), so ist auf weitere rechtliche Fragestellungen zu achten, speziell bei Dienstleistern in Drittländern. Bitte beachten Sie hierzu auch meine Artikel zum gesamten Themenkomplex “Safe Harbor”.

Sprechen Sie mich an, gerne unterstütze ich Sie bei der Umsetzung einer datenschutzkonformen Verwaltung Ihrer Newsletter!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
bußgeld ermittlungen staatsanwaltschaft herausgabeWeitergabe personenbezogener Daten an Ermittlungsbehörden
usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpfDas “Trans-Atlantic Data Privacy Framework” – oder: Wann kommt “Schrems 3”?
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukePrivacy-Verordnung verzögert sich bis auf Weiteres
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertKeine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?
Privacy Shield – aktueller Sachstand (19.02.2016)
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Zertifizierungen nach der DS-GVO