Die größten Datenschutz-Fehler bei Newslettern

email g48005b58b 640Nicht nur Onlinehändler haben beim Angebot eines Newsletters datenschutzkonform vorzugehen. Generell müssen alle Anbieter eines Online-Newsletters die rechtlichen Erfordernisse erfüllen.
Um den Adressaten zu erreichen bzw. einen E-Mail Newsletter an diesen zu versenden, ist es zunächst aus technischer Sicht notwendig, seine E-Mail-Adresse zu erheben. Hierbei handelt es sich bereits um die Verarbeitung von personenbezogenen Daten, welche laut DSGVO geschützt stattfinden muss. Zudem unterfallen Newsletter dem Wettbewerbsrecht.

Was ist genau zu beachten?

Bereits vor der DSGVO entschied der BGH (Beschluss vom 20. Mai 2009 - Az.: I ZR 218/07), dass bei der Nutzung von Werbemails ein so genanntes Double-Opt-In Verfahren notwendig ist. Unter diesem Begriff versteht man das Einholen einer Einwilligung zum Newsletter auf zwei Ebenen. Die vom Kunden im Rahmen der Bestelung des Newsletters eingegebene E-Mail Adresse erhält dabei vom Anbieter eine so genannte „Opt-In“ Mail, also eine E-Mail, mit der der Kunde z.B. durch anklicken eines Links bestätigt, dass die angegebene E-Mail Adresse tatsächlich den Newsletter erhalten möchte.
Erst nach der Bestätigung darf dann der Newsletter versendet werden. Auch nach dem in Kraft treten der DSGVO hat sich hieran nichts geändert.
Unzulässig ist das heute immer noch anzutreffende „einfache“ Opt-In-Verfahren, bei dem der Nutzer bei der Eingabe der E-Mail Adresse z.B. mit einer Checkbox bestätigt, dass er den Newsletter erhalten möchte. Der Hintergrund der BGH Entscheidung macht klar, dass die einfache Verifikation keinen ausreichenden Schutz bietet, da man z.B. als Dritter unendlich viele E-Mail Adressen eintragen kann, die dann im Nachgang ungefragt Werbung erhalten.

Bei der Einwilligung muss klar und deutlich für den Empfänger erkennbar sein, welche personenbezogenen Daten erhoben werden, welchem Zweck sie dienen und wie genau diese Daten verarbeitet werden. Auf der Seite, auf der durch den Kunden der Newsletter bestellt werden kann sollte der Versender des Newsletters einen Hinweis zu seiner Datenschutzerklärung verlinken, in dem er über den Newsletter korrekt aufklärt.

Benötige ich immer ein Double-Opt-In Verfahren?

Auf ein Double-Opt-In Verfahren kann nur in wenigen Ausnahmefällen verzichtet werden. Ein Fall hiervon ist der Versand von Newslettern an Bestandskunden. Dieser ist jedoch an einige enge Voraussetzungen geknüpft und sollte im jeweiligen Einzelfall noch einmal genauer geprüft werden.
Zu den Bestandskunden zählen zum einen nur Kunden, die innerhalb der letzten 12 Monate einen Kauf beim Anbieter abgeschlossen haben. Für den Inhalt des Newsletters gelten dann die Vorschriften des UWG um einen Fall des unlauteren Wettbewerb auszuschließen. Folgendes ist dabei zu beachten:

  • die E-Mail-Adresse wurde bei Abschluss des Kaufes hinterlegt,
  • der Newsletter bewirbt ähnliche Produkte oder Service, wie die, der vorher abgeschlossenen Käufe (eine „allgemeine“ Werbung oder die Bewerbung anderer Produkte ist nicht möglich)
  • der Kunde hat dem Newsletter nicht explizit widersprochen, obwohl eine Möglichkeit hierfür besteht
  • eine Austrittsmöglichkeit wurde dem Kunden beim Kauf offenbart.

Nur wenn all diese Voraussetzungen erfüllt sind, ist eine Einwilligung abdingbar.Wir empfehlen daher ausdrücklich auch bei Bestandskunden eine Einwilligung einzuholen.

Gewinnspielproblematik

Ein weiteres Problem offenbart sich, sofern der Versender des Newsletters die Einwilligung in den Newsletter durch die Teilnahme an einem Gewinnspiel oder durch einen kostenlosen Downloadeinholen möchte. Dies widerspricht in seinem Grundsatz dem Koppelungsverbot gemäß Art. 7 Abs. 4 DSGVO. Unter bestimmten Voraussetzungen sind auch hier Ausnahmen möglich.
Eine Möglichkeit ist dies implizit über die Gewinnspielvoraussetzungen zu lösen. Diese sollte jedoch in keinem Falle eine Standardklausel enthalten, sondern von einem individuellen Rechtstextanbieter, geschrieben werden.
Am einfachsten ist hier die Möglichkeit einer freiwillige Einwilligung im Zuge der Anmeldung für das Gewinnspiel. Letztendlich ist es auch wenig zielführend Nutzer an einen Newsletter zu binden, wenn diese kein Interesse am angebotenen Produkt haben und nach kurzer Zeit die Austrittsmöglichkeit nutzen. Hierzu später mehr.

Weiter Voraussetzungen

Mit der Einwilligung allein ist es in vielen Fällen noch nicht getan. Wichtig istebenfalls, dass die Verarbeitung der erhobenen Daten auf keinen Servernstatt findet, welche außerhalb der EU oder in Ländern ohne Datenschutzabkommen stehen. Dies begründet sich aus dem Privacy Shield Urteil (Urteil vom 16.07.2020 - Az. C-311/18)(Link zu Privacy Shield Artikel).
Ergänzend ist für den Newsletter-Versender notwendig, dass sofern er mit anderen Newsletter-Anbietern oder Softwaresarbeitet,den Empfänger darüber unterrichtet. Newsletter-Versender müssen nicht nur sicherstellen, dass auch diese die erhobenen Daten auf Servern innerhalb der EU oder einem Land mit Datenschutzabkommen verarbeiten; zusätzlich sindsie dazu verpflichtet mit jenem Anbieter einen sogenannten Auftragsverarbeitungsvertrag zu schließen, welchen den Ansprüchen aus Art. 28 DSGVO entspricht.
Ein weiterer Punkt der zu beachten ist, ist das alle erhobenen Daten dem Grundsatz der Datenvermeidung und Datensparsamkeit aus § 3 BDSG unterliegen. Folglich ist nur die Erhebung der E-Mail-Adresse aus technischer Sicht zur Anmeldung tatsächlich notwendig. Alle weiteren Informationen, wie beispielswiese Name oder Geburtsdatum, welche oftmals zur Personalisierung des Newsletters genutzt werden sollten in ihrer Angabe dem Nutzer freiwillig überlassen.
Enthält der Newsletter Bilder unterliegen diesen den selben Voraussetzungen, wie anders kommerziell genutzte Grafiken. Dementsprechend ist ein Nutzungsrecht gem. § 31 UrhG notwendig.
Etwas ähnliches gilt für möglicherweise ausgezeichnete Preise.Auch diese unterliegen den üblichen Voraussetzungen aus § 1 II PAngV und müssen den tatsächlichen Preis, Hinweise auf Versandkosten, Hinweise auf MwSt., Grundpreise pro Liter/Kilo und womöglich Grundpreise, wenn die Ware reduziert beworben wird, enthalten.

Widerruf der Einwilligung

Neben der der Einwilligung selbst ist auch die Widerrufsmöglichkeit dringend notwendig. Gemäß Art. 7 DSGVO muss dem Empfänger eine genau so einfach zugängliche Abmeldung, wie Anmeldung zum Newsletter angeboten werden. Deshalb empfiehlt sich ein Link am Ende jeder Newsletter Mail, welcher den Nutzer zu einer Abmeldemöglichkeit weiterleitet.
Falls der Versender externe Newsletter Software nutzt, muss er sicherstellendass diese häufig nach einem solchen Einwilligungsrückruf alle personenbezogenen Daten löschen. Hierbei lassen die Newsletter-Software-Anbieter jedoch oft die E-Mail Adresse aus, um ein versehentliches erneutes Zusenden per Mail an jede E-Mail-Adresse zu vermeiden. Die DSGVO bietet jedem Nutzer ein vollständiges Recht auf Vergessenwerden, welches, sofern nicht für weitere rechtliche Verarbeitungen notwendig, auch die E-Mail-Adresse betreffen kann. Ist dies von dem Empfänger gewünscht muss der Versender den externen Software-Anbieter hierrüber informieren und eine vollständige Löschungveranslassen.

No-Reply-Problematik

Im Zuge des Widerrufs der oder bei der Abfrage über die gespeicherten Daten kann sich ein Problem offenbaren, wenn sogenannte „No-Reply“-Absender-Adressen genutzt werden, deren Posteingang nicht durch einen Mitarbeiter des Anbieters bearbeitet wird. Dies ist insoweit problematisch, dass es sich hierbei um eine rechtliche Grauzone handelt, denn der Newsletter-Empfänger hat keine Möglichkeit einer direkte Zugangsmöglichkeit zu seinen hinterlegten Daten. Dies ist jedoch nach Art. 15 ff. DSGVO notwendig, insbesondere in einer Art und Weise in der es dem Nutzer nicht erschwert wird. Muss dieser jedoch erst auf die Website des Anbieters und dort nach einer entsprechenden Support-Mail-Adresse suchen, könnte ein Gericht bereits unter Umständen eine Erschwerung bejahen. Es empfiehlt sich eine Mail Adresse zu nutzen, die auch durch Mitarbeiter aktiv bearbeitet wird.

Fazit

Wir raten ausdrücklich dazu, den Versand des Newsletters entsprechend der rechtlichen Grundlagen auszugestalten. Insbesondere die Einwilligungs- und Abmeldemöglichkeit sollte durch den Anbieter ordnunsgemäß ausgeführt werde, da diese das höchste Risiko aufweisen.


Die wichtigsten Punkte noch einmal zusammengefasst:

  • Rechtskonforme Einwilligung (Double-Opt-In-Verfahren)
  • Datenminimierung – Fragen Sie nur die Daten ab, die tatsächlich technisch notwendig sind.
  • Genderneutrale Anrede bzw. Auswahl „Mann, Frau, Divers“
  • Datenübermittlung nur innerhalb der EU
  • Bei der Nutzung von Drittanbietern: Auftragsverarbeitungsvertrag abschließen und dokumentieren
  • Berechtigung zur Nutzung der Grafiken im Newsletter; Einhaltung der rechtlichen Vorgaben bei der Preisangabe von Produkten oder Services und Beachtung etwaiger Markenrechte.
  • Möglichkeit des Widerrufs der Einwilligung in jeder E-Mail (Abmeldelink)
  • Hinweis unmittelbar am Newsletter, dass eine Abmeldung jederzeit möglich ist.

Co-Autor: Wissenschaftliche Mitarbeiterin – stud. jur. Lea Fröhlich

Bildquelle: Bild von Gerd Altmann auf Pixabay

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de