Versendest auch du gerne Newsletter? Wenn ja: bist du DSGVO-konform? Falls nicht empfehle ich dir den nachfolgenden Beitrag zum Thema DSGVO-konforme Einwilligung in Newsletter.
Warum brauche ich für Newsletter-Versand eine Einwilligung?
Sobald du E-Mail-Adressen von Kunden oder Interessenten einsammelst, verarbeitest du personenbezogene Daten zu Werbezwecken. Kein Zweifel.
Denn eine E-Mail-Adresse ist potenziell dazu geeignet, Rückschlüsse auf eine identifizierbare natürliche Person zu führen (vgl. Art. 4 Nr. 1 DSGVO).
Das Versenden von Newslettern an diese Person stellt naturgemäß auch eine Verarbeitung dar, weil du ja die Adresse zumindest in deinem System speicherst.
Darf ich das?
Immer dann, wenn du personenbezogene Daten einer anderen Person verarbeitest, benötigst du eine Rechtsgrundlage, Art. 6 I DSGVO.
Die DSGVO bietet mehrere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten an. Diese sind alle in Art. 6 II DSGVO aufgezählt. Bei der Versendung von Newslettern geht die Praxis aber davon aus, dass eine Einwilligung erforderlich ist.
Umstritten ist nun, ob in der DSGVO die in Art. 6 I 1 a geregelte Einwilligung oder das in Art. 6 I 1 f DSGVO geregelte berechtigte Interesse an Direktwerbung als Rechtsgrundlage dient. Denn der Erwägungsgrund 47 der DSGVO sieht sich die Direktwerbung ausdrücklich als ein berechtigtes Interesse des Verantwortlichen vor.
Die Diskussion kann aber eigentlich dahinstehen, denn eine Einwilligung benötigst du so oder so. Denn zumindest das Wettbewerbsrecht zwingt dich nach § 7 II Nr. 2 UWG doch wieder dazu, eine Einwilligung in die E-Mail Werbung einzuholen.
Zwischenergebnis: in jedem Fall muss dein Adressat in den Erhalt eines Newsletters einwilligen.
Die Voraussetzungen einer Einwilligung
Egal ob die Einwilligung nun wegen § 7 II Nr. 2 UWG oder wegen Art. 6 I 1 a DSGVO notwendig ist: in jedem Falle muss eine Einwilligung gemäß Art. 4 Nr. 11 DSGVO u. a.
- freiwillig und
- informiert
sein.
Freiwilligkeit
Freiwillig ist eine Einwilligung dann, wenn sie aus freiem Willen erfolgt. Insbesondere darfst du nicht den Vertragsschluss oder die Erfüllung des Vertrags von der Abgabe einer Einwilligung abhängig machen.
Daher sind übrigens sämtliche Formulare im Zusammenhang mit Vertragsschlüssen totaler Quatsch, wenn du dort in die Verarbeitung deiner personenbezogenen Daten einwilligen musst (“ sonst können wir keinen Vertrag schließen“).
Eine enge Ausnahme stellt der Fall dar, dass dein Adressat seine Einwilligung in den Erhalt von E-Mail Newslettern im Austausch für eine geldwerte Leistung abgibt, zum Beispiel ein E-Book.
Dann aber dient das Einverständnis in den Erhalt von Newslettern der Erfüllung eines Austauschvertrags. Die richtige Rechtsgrundlage ist dann Art. 6 I 1 b DSGVO. Die Zustimmung ist dann notwendig zur Erfüllung eines Vertrags. Das Koppelungsverbot gilt für diesen Fall nicht.
Informiertheit
Eine Einwilligung muss zudem informiert erfolgen. Das bedeutet, dass du den künftigen Adressaten deines Newsletters zumindest in wenigen Worten darüber aufklären musst, in was er/sie überhaupt einwilligt. Möglich ist zum Beispiel eine Klausel wie:
„Ich willige in den Erhalt des Newsletters zu rechtlichen Themen im Abstand von 1-3x pro Woche ein. Diese Einwilligung kann ich jederzeit widerrufen. Mehr Informationen finde ich in den Datenschutzhinweisen“
Dokumentation
Wiederum aus Art. 7 I DSGVO ergibt sich die zusätzliche Pflicht, dass du die Einwilligung deines Adressaten nachweisen können musst. Hierzu solltest du den Zeitpunkt der Einwilligung und auch die IP-Adresse deines Adressaten dokumentieren und zusätzlich auch zumindest über einen Screenshot festhalten, wie dein Einwilligungsformular (insbesondere der Text der Einwilligung) gestaltet ist.
Verständliche und leicht zugängliche Form
Eine Einwilligung ist wertlos, wenn du sie irgendwo in deine allgemeinen Datenschutzhinweise einfügst und dann unter einem Anmeldeformular für einen Newsletter nur auf die Datenschutzhinweise verlinkt ist. Die Einwilligung muss vielmehr dort stehen, wo sie erfolgt.
Zudem musst du die Einwilligung verständlich und in klarer und einfacher Sprache formulieren. Sie darf nicht nur von Juristen verstanden werden können (vgl. Art. 7 II DSGVO).
Müheloser Widerruf
Zudem erfordert die DSGVO, dass dein Adressat seine Einwilligung so einfach widerrufen können muss, wie er auch einwilligen konnte. Hierzu empfehle ich in jeder E-Mail einen Abmelden-Link. Der Adressat soll durch den einmaligen Klick auf den Link sofort aus der Liste ausgetragen sein (vgl. Art. 7 III DSGVO)
Was passiert nach einem Widerruf der Einwilligung?
Wenn dein Adressat die Einwilligung widerruft, bleiben die bis dato versendeten Newsletter natürlich rechtmäßig (Art. 7 III DSGVO). Darauf hast du deinen Adressaten im Rahmen deiner Datenschutzhinweise auch zu belehren.
In welcher Form muss dein Adressat die Einwilligung abgeben?
Die DSGVO setzt keine bestimmte Form voraus. So sind auch mündliche Einwilligungen theoretisch möglich. Da hast du aber dann das Problem des Nachweises (Art. 7 I DSGVO).
In der Praxis stellt sich dieses Problem aber eigentlich nicht. Da willigt dein Adressat ja in der Regel elektronisch über ein Anmeldeformular ein.
Double-Opt in
An sich ist ja eine Einwilligung ein einmaliger Vorgang, eine einmalige Erklärung.
Nun kann es aber passieren (und passiert es), dass eine fremde Person einen Adressaten – unberechtigt – zu deinem Newsletter anmeldet. Um dies zu verhindern, hat die Rechtsprechung schon seit langem das Double Opt-in Verfahren etabliert.
Eine Einwilligung gilt erst dann als erteilt, wenn die Person nach ihrer Anmeldung eine Bestätigungs E-Mail von dir erhält und dort noch einmal auf einen Link aktiv klickt. Erst mit dieser zweiten Willensbekundung liegt dann die Einwilligung vor.
(Natürlich musst du eine solche Double Opt-in Einwilligung nicht einholen, wenn die Person direkt vor dir sitzt und in deinem Beisein ein Formular ausfüllt.)
Besonderheit: Übermittlung personenbezogener Daten in ein Drittland
gerade in jüngerer Zeit mehren sich datenschutzrechtliche Ansprüche Betroffener, wenn Ihre personenbezogenen Daten in die USA oder ein anderes Drittland übermittelt werden. Dann gelten nämlich nach den Art. 44 DS GVO besondere Voraussetzungen.
eine Möglichkeit, die Übertragung personenbezogener Daten in ein Drittland zu legitimieren, liegt in einer besonderen Einwilligung nach Art. 49 DS GVO. Diese hat aber besondere Voraussetzungen.
Unter anderem musst du den Betroffenen über die besonderen Risiken in dem jeweiligen Drittland und fehlende Rechtsschutzmöglichkeiten aufklären, wenn nicht ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS GVO oder Standardvertragsklauseln nach Art. 46 DS GVO vorliegen.
Wenn du Fragen zu diesem Thema hast, insbesondere deinen Anmeldeprozess DSGVO-konform machen möchtest, kann ich dich da gerne unterstützen. Melde dich doch gerne für ein kostenfreies Kennenlerngespräch:
– oder Anfrage über das Kontaktformular senden –