Die größten Datenschutz-Fehler bei Newslettern

Datenschutzrecht-Blog

email g48005b58b 640Nicht nur Onlinehändler haben beim Angebot eines Newsletters datenschutzkonform vorzugehen. Generell müssen alle Anbieter eines Online-Newsletters die rechtlichen Erfordernisse erfüllen.
Um den Adressaten zu erreichen bzw. einen E-Mail Newsletter an diesen zu versenden, ist es zunächst aus technischer Sicht notwendig, seine E-Mail-Adresse zu erheben. Hierbei handelt es sich bereits um die Verarbeitung von personenbezogenen Daten, welche laut DSGVO geschützt stattfinden muss. Zudem unterfallen Newsletter dem Wettbewerbsrecht.

Was ist genau zu beachten?

Bereits vor der DSGVO entschied der BGH (Beschluss vom 20. Mai 2009 - Az.: I ZR 218/07), dass bei der Nutzung von Werbemails ein so genanntes Double-Opt-In Verfahren notwendig ist. Unter diesem Begriff versteht man das Einholen einer Einwilligung zum Newsletter auf zwei Ebenen. Die vom Kunden im Rahmen der Bestelung des Newsletters eingegebene E-Mail Adresse erhält dabei vom Anbieter eine so genannte „Opt-In“ Mail, also eine E-Mail, mit der der Kunde z.B. durch Anklicken eines Links bestätigt, dass er tatsächlich an die angegebene E-Mail Adresse den Newsletter erhalten möchte.
Erst nach der Bestätigung darf dann der Newsletter versendet werden. Auch nach dem Inkrafttreten der DSGVO hat sich hieran nichts geändert.
Unzulässig ist das heute immer noch anzutreffende „einfache“ Opt-In-Verfahren, bei dem der Nutzer bei der Eingabe der E-Mail Adresse z.B. mit einer Checkbox bestätigt, dass er den Newsletter erhalten möchte. Der Hintergrund der BGH Entscheidung macht klar, dass die einfache Verifikation keinen ausreichenden Schutz bietet, da man z.B. als Dritter unendlich viele E-Mail Adressen eintragen kann, die dann im Nachgang ungefragt Werbung erhalten.

Bei der Einwilligung muss für den Empfänger klar und deutlich erkennbar sein, welche personenbezogenen Daten erhoben werden, welchem Zweck sie dienen und wie genau diese Daten verarbeitet werden. Auf der Seite, auf der durch den Kunden der Newsletter bestellt werden kann sollte der Versender des Newsletters einen Hinweis zu seiner Datenschutzerklärung verlinken, in welcher er über den Newsletter korrekt aufklärt.

Benötige ich immer ein Double-Opt-In Verfahren?

Auf ein Double-Opt-In Verfahren kann nur in wenigen Ausnahmefällen verzichtet werden. Ein Fall ist der Versand von Newslettern an Bestandskunden. Dieser ist jedoch an einige enge Voraussetzungen geknüpft und sollte im jeweiligen Einzelfall noch einmal genauer geprüft werden.
Zu den Bestandskunden zählen zum einen nur Kunden, die innerhalb der letzten 12 Monate einen Kauf beim Anbieter abgeschlossen haben. Für den Inhalt des Newsletters gelten dann die Vorschriften des UWG um einen Fall des unlauteren Wettbewerb auszuschließen. Folgendes ist dabei zu beachten:

  • Die E-Mail-Adresse wurde bei Abschluss des Kaufes hinterlegt.
  • Der Newsletter bewirbt Produkte oder Service, die den vorher abgeschlossenen Geschäften ähneln (eine „allgemeine“ Werbung oder die Bewerbung anderer Produkte ist nicht möglich).
  • Der Kunde hat dem Newsletter nicht explizit widersprochen, obwohl eine Möglichkeit dazu besteht.
  • Eine Austrittsmöglichkeit wurde dem Kunden beim Kauf offenbart.

Nur wenn all diese Voraussetzungen erfüllt sind, ist eine Einwilligung abdingbar.Wir empfehlen daher ausdrücklich auch bei Bestandskunden eine Einwilligung einzuholen.

Gewinnspielproblematik

Ein weiteres Problem offenbart sich, wenn der Versender des Newsletters die Einwilligung in den Newsletter durch die Teilnahme an einem Gewinnspiel oder durch einen kostenlosen Downloadeinholen möchte. Dies widerspricht in seinem Grundsatz dem Koppelungsverbot gemäß Art. 7 Abs. 4 DSGVO. Unter bestimmten Voraussetzungen sind auch hier Ausnahmen möglich.
Eine Möglichkeit ist dies implizit über die Gewinnspielvoraussetzungen zu lösen. Diese sollte jedoch in keinem Falle eine Standardklausel enthalten, sondern von einem individuellen Rechtstextanbieter, geschrieben werden.
Am einfachsten ist hier die Möglichkeit einer freiwillige Einwilligung im Zuge der Anmeldung für das Gewinnspiel. Letztendlich ist es auch wenig zielführend Nutzer an einen Newsletter zu binden, wenn diese kein Interesse am angebotenen Produkt haben und nach kurzer Zeit die Austrittsmöglichkeit nutzen. Hierzu später mehr.

Weiter Voraussetzungen

Mit der Einwilligung allein ist es in vielen Fällen noch nicht getan. Wichtig istebenfalls, dass die Verarbeitung der erhobenen Daten nicht auf Servernstatt findet, welche außerhalb der EU oder in Ländern ohne Datenschutzabkommen stehen. Dies begründet sich aus dem Privacy Shield Urteil (Urteil vom 16.07.2020 - Az. C-311/18)(Link zu Privacy Shield Artikel).
Ergänzend muss der Newsletter-Versender notwendig, sofern er mit anderen Newsletter- oder Software-Anbietern arbeitet,den Empfänger darüber unterrichten. Newsletter-Versender müssen nicht nur sicherstellen, dass auch diese Dritten die erhobenen Daten auf Servern innerhalb der EU oder einem Land mit Datenschutzabkommen verarbeiten; sondern sie sind dazu verpflichtet, mit den dritten Anbietern einen sogenannten Auftragsverarbeitungsvertrag zu schließen, der den Anforderungen des Art. 28 DSGVO entspricht.
Ein weiterer Punkt  zu beachtender Punkt ist, dass alle erhobenen Daten dem Grundsatz der Datenvermeidung und Datensparsamkeit aus Art. 5 Abs 1 lit. c) DSGVO unterliegen. Folglich ist nur die Erhebung der E-Mail-Adresse aus technischer Sicht zur Anmeldung tatsächlich notwendig. Die Angabe weiterer Informationen, wie beispielswiese Name oder Geburtsdatum, welche oftmals zur Personalisierung des Newsletters genutzt werden, sollte dem Nutzer freiwillig überlassen werden.
Enthält der Newsletter Bilder unterliegen diesen den selben Voraussetzungen, wie anders kommerziell genutzte Grafiken. Dementsprechend ist ein Nutzungsrecht gem. § 31 UrhG notwendig.
Etwas ähnliches gilt für möglicherweise ausgezeichnete Preise.Auch diese unterliegen den üblichen Voraussetzungen aus § 1 II PAngV und müssen den tatsächlichen Preis, Hinweise auf Versandkosten, Hinweise auf MwSt., Grundpreise pro Liter/Kilo und womöglich Grundpreise, wenn die Ware reduziert beworben wird, enthalten.

Widerruf der Einwilligung

Neben der der Einwilligung selbst ist auch eine Widerrufsmöglichkeit dringend notwendig. Gemäß Art. 7 DSGVO muss dem Empfänger eine genau so einfach zugängliche Abmeldung, wie Anmeldung zum Newsletter angeboten werden. Deshalb empfiehlt es sich, einen Link am Ende jeder Newsletter Mail einzufügen, welcher den Nutzer zu einer Abmeldemöglichkeit weiterleitet.
Falls der Versender externe Newsletter Software nutzt, muss er sicherstellen, dass diese nach einem solchen Einwilligungsrückruf alle personenbezogenen Daten löscht. Hierbei lassen die Newsletter-Software-Anbieter jedoch oft die E-Mail Adresse aus, um ein versehentliches erneutes Zusenden per Mail an jede E-Mail-Adresse zu vermeiden. Die DSGVO bietet jedem Nutzer ein vollständiges Recht auf Vergessenwerden, welches, sofern nicht für weitere rechtliche Verarbeitungen notwendig, auch die E-Mail-Adresse betreffen kann. Ist dies von dem Empfänger gewünscht muss der Versender den externen Software-Anbieter darüber informieren und eine vollständige Löschungveranslassen.

No-Reply-Problematik

Im Zuge des Widerrufs der oder bei der Abfrage über die gespeicherten Daten kann sich ein Problem offenbaren, wenn sogenannte „No-Reply“-Absender-Adressen genutzt werden, deren Posteingang nicht durch einen Mitarbeiter des Anbieters bearbeitet wird. Dies ist insoweit problematisch, als es sich hier um eine rechtliche Grauzone handelt, denn der Newsletter-Empfänger hat keine direkte Zugangsmöglichkeit zu seinen hinterlegten Daten. Dies ist jedoch nach Art. 15 ff. DSGVO notwendig, insbesondere in einer Art und Weise, in der der Zugang dem Nutzer nicht erschwert wird. Muss der Nutzer jedoch erst auf die Website des Anbieters gehen und dort nach einer entsprechenden Support-Mail-Adresse suchen, könnte ein Gericht unter Umständen bereits deshalb eine Erschwerung bejahen. Es empfiehlt sich eine Mail Adresse zu nutzen, die durch Mitarbeiter aktiv bearbeitet wird.

Fazit

Wir raten ausdrücklich dazu, den Versand des Newsletters entsprechend der rechtlichen Grundlagen auszugestalten. Insbesondere die Einwilligungs- und Abmeldemöglichkeit sollten durch den Anbieter ordnunsgemäßs ausgeführt werden, da diese das höchste Risiko aufweisen.


Die wichtigsten Punkte noch einmal zusammengefasst:

  • Rechtskonforme Einwilligung (Double-Opt-In-Verfahren)
  • Datenminimierung – Fragen Sie nur die Daten ab, die tatsächlich technisch notwendig sind.
  • Genderneutrale Anrede bzw. Auswahl „Mann, Frau, Divers“
  • Datenübermittlung nur innerhalb der EU
  • Bei der Nutzung von Drittanbietern: Auftragsverarbeitungsvertrag abschließen und dokumentieren
  • Berechtigung zur Nutzung der Grafiken im Newsletter; Einhaltung der rechtlichen Vorgaben bei der Preisangabe von Produkten oder Services und Beachtung etwaiger Markenrechte.
  • Möglichkeit des Widerrufs der Einwilligung in jeder E-Mail (Abmeldelink)
  • Hinweis unmittelbar am Newsletter, dass eine Abmeldung jederzeit möglich ist.

Co-Autor: Wissenschaftliche Mitarbeiterin – stud. jur. Lea Fröhlich

Bildquelle: Bild von Gerd Altmann auf Pixabay