EU-DSGVO-konforme Newsletter-Anmeldung

Bei der Betrachtung der meisten Anmeldeseiten für Newsletter fällt auf, dass diese in ihrer jetzigen Form nicht den Anforderungen der EU-DSGVO entsprechen. Die EU-Datenschutzgrundverordnung tritt am 25. Mai in Kraft – und bis dahin müssen die Anforderungen fertig umgesetzt sein. Aber was muss jetzt eigentlich alles beachtet werden, damit Sie nach diesem Stichtag keine Probleme bekommen?

In diesem Blogbeitrag haben wir die wichtigsten sieben Punkte für Sie zusammengefasst. Die passende Begründung und die Verweise auf die entsprechenden Textstellen der EU-DSGVO, gibt es auch noch – für alle, die es ganz genau wissen wollen.

Sie brauchen grundsätzlich eine Pflicht-Checkbox, die auf Ihre Datenschutzerklärung verlinkt. Integrieren Sie diese auf Ihrer Anmeldeseite. Die Checkbox darf in der Voreinstellung aber nicht aktiviert sein. Der Interessent muss die Box selbst aktivieren, damit seine Newsletter-Anmeldung erfolgreich abgeschlossen werden kann.

Begründung: In Artikel 13 der EU-DSGVO wird gefordert, dass betroffene Personen schon bei der Erhebung von personenbezogenen Daten umfassend informiert werden müssen. Dies betrifft beispielsweise die Daten im Newsletter-Anmeldeformular.

In Artikel 4 Punkt 11 wird als Einwilligung definiert  eine “freiwillig für den bestimmten Fall, in informierter Weise und unmissver­ständlich abgegebene Willensbekundung in Form einer […] eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.”

Sie müssen für eine EU-DSGVO-konforme Anmeldung z.B. folgende Informationen angeben:

• die Kontaktdaten des Versenders
• die Kontaktdaten des Datenschutzbeauftragten
• den Verarbeitungszweck und die Rechtsgrundlage
• die Speicherdauer der personenbezogenen Daten bzw. die Kriterien dafür
• das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch der Datenerfassung
• das Recht auf Widerruf der Einwilligung
• das Beschwerderecht bei der Aufsichtsbehörde

Tipp: Ich empfehle die Auslagerung in eine gesonderte Datenschutzerklärung, da der Umfang der Informationspflichten sehr groß ist.

Unter Umständen ist eine weitere Checkbox auf der Anmeldeseite notwendig, über die der Interessent mitteilen kann, ob er getrackt werden möchte. Diese Checkbox ist dann nötig, wenn Sie Mail-Öffnungen und Link-Klicks standardmäßig personenbezogen messen sowie, wenn Sie über Ihre E-Mails individuelle Cookies verteilen. Auch beim personenbezogenen Messen von Aufrufen der eigenen Webseite ist diese Checkbox erforderlich.

Dies gilt nicht, wenn die Messung anonym erfolgt. Denn in diesem Fall werden keine personenbezogenen Daten erhoben. Die EU-DSGVO kommt dann nicht zur Anwendung.

Begründung: Generell ist das personenbezogene Tracking möglich, wenn ein “berechtigtes Interesse” des Versenders vorliegt (siehe auch Artikel 6 Absatz 1 f). Grundlage ist der Erwägungsgrund 47 der EU-DSGVO, welcher die Verarbeitung personenbezogener Daten erlaubt. Dies gilt selbst für Werbung, denn im Erwägungsgrund heißt es abschließend wortwörtlich: “Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.”

Natürlich ist ein berechtigtes Interesse des E-Mail-Versenders vorhanden, um dem Kunden bzw. Interessent individuelle Inhalte anbieten zu können und damit die Kommunikation relevanter und interessanter für diesen zu gestalten. Daher ist ein personenbezogenes Tracking notwendig, um die eigenen Empfänger besser kennenzulernen.

Allerdings muss in diesem Zusammenhang auch Artikel 21 der EU-DSGVO beachtet werden, der hier gekürzt wiedergegeben wird:

“(1) Die betroffene Person hat das Recht, […] jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 (1) […] f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. […]”

(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.”

(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.”

Das bedeutet, der Interessent muss bereits bei der Anmeldung über sein Widerspruchsrecht informiert werden. Um dies sicherzustellen, bietet sich die oben empfohlene Checkbox an. Am besten nennen Sie in diesem Zusammenhang auch die Vorteile, die das Tracking für den Interessenten bietet, wie z.B. auf ihn persönlich optimierte Inhalte.

Beachten Sie, dass der Versand Ihres Newsletter nicht an die Zustimmung des Empfängers zum Tracking geknüpft werden darf. In Artikel 7 Absatz 4 der EU-DSGVO, wird das Kopplungsverbot für die Einwilligung definiert:

“Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Das heißt: Es ist für die Erfüllung der Dienstleistung, in unserem Fall der Newsletter-Versand, nicht zwingend erforderlich, Mail-Öffnungen und Link-Klicks personenbezogen zu erfassen. Daher darf auch nicht der Versand an die Zustimmung zum Tracking geknüpft werden.

Theoretisch könnte damit argumentiert werden, dass nur ein personenbezogenes Tracking personalisierte und individualisierte Inhalte erlaubt. Doch bei dieser Argumentation ist Vorsicht geboten, da es jedem Versender möglich ist, auch Newsletter an Empfänger zu versenden, die (noch) nie geöffnet oder geklickt haben.

Fragen Sie in Ihrem Anmeldeformular nur solche personenbezogenen Daten ab, die Sie auch wirklich benötigen, denn Artikel 25 Absatz 2 Satz 1 der EU-DSGVO fordert:

“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.”

Was erforderlich ist, können natürlich Sie bestimmen. Ihr Newsletter begrüßt die Empfänger persönlich mit Namen? Dann benötigen Sie den Namen des Empfängers. Sie bieten unterschiedliche Inhalte für Männer und Frauen an? Dann ist die Angabe des Geschlechts wichtig. Sie möchten dem Empfänger eine Aufmerksamkeit zu dessen Geburtstag senden? Dafür benötigen Sie natürlich dessen Geburtsdatum.

Wichtig ist aber, dass diese Felder keine Pflichtfelder sind, sondern dass alle Angaben außer der E-Mail-Adresse freiwillig bleiben.

Erlauben Sie dem Empfänger, dass dieser das Tracking wieder beenden kann. Dies ist möglich, in dem Sie in jeden Newsletter einen Link zur Profilseite bzw. zum Preference Center mit Checkbox zum Abwählen integrieren.

Begründung: Der bereits in Punkt 1 erwähnte Artikel 13 fordert das Recht auf Widerruf der Einwilligung. Zu beachten ist zusätzlich, dass bei einem Widerruf der Einwilligung auch die vorhandenen Tracking-Daten gemäß Artikel 21 Absatz 3 nicht mehr für Werbung verwendet werden dürfen: “Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personen­bezogenen Daten nicht mehr für diese Zwecke verarbeitet.”

Empfehlung: Wenn Sie auf Nummer sicher gehen wollen, löschen Sie bei einem Widerruf zumindest die Tracking-Daten von Werbe-Newslettern rückwirkend, am besten automatisiert. Durch diesen Verzicht haben Sie kein Datenmaterial mehr, das später versehentlich doch für Direktwerbung verwendet werden könnte.

Um sicherzustellen, dass personenbezogene Daten, die über das Internet übertragen werden, sicher und damit verschlüsselt sind, sollten An- und Abmeldeformulare sowie das Preference Center nur auf Webseiten mit  HTTPS-Protokoll angeboten werden. Denn Artikel 32 Absatz 1 der EU-DSGVO fordert “[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […]”

Die unverschlüsselte Übertragung von personenbezogenen Daten über das Internet ist damit nicht länger zulässig, weil ein angemessenes Schutzniveau fehlt.

Um einen Nachweis bei rechtlichem Ärger zu haben, empfehle ich Ihnen bei jeder Änderung Ihrer Anmeldeseite, Ihrer Datenschutzerklärung, Ihrer Double-opt-in-Mails sowie der Anmeldelogik hinter den Formularen, einen Screenshot mit Zeitstempel zu erstellen bzw. elektronische Kopien zu sichern. Archivieren Sie diese Screenshots und Kopien. Immer dann, wenn sich an der Anmeldung etwas ändert, archivieren Sie die geänderten Versionen erneut.

Begründung: Artikel 7 Absatz 1 der EU-DSGVO fordert: “Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.”

Je besser Sie für diesen Nachweis vorbereitet sind, desto höher sind Ihre Chancen im Streitfall.

Wenn für Sie das Thema EU-DSGVO und Recht interessant ist, dann lesen Sie auch unsere weiteren Beiträge dazu:

Alles mit Rechten Dingen – Aktuelle Rechtslage im E-Mail-Marketing

Neue EU Datenschutzgrundverordnung (DSGVO)

Strengere Richtlinien für CSA-Whitelisting