How-to

DSGVO: Newsletter-Anmeldung rechtssicher umsetzen

newsletter-anmeldung dsgvo

In wenigen Wochen ist es soweit: Die DSGVO wird europaweit rechtsverbindlich. Ganz wesentlich nimmt die neue Gesetzgebung auch Versender von E-Mail-Newsletter in die Pflicht. Das ist nachvollziehbar, denn E-Mail-Adressen zählen zu personenbezogenen Daten. Faktisch wurde das bisher oft anders gesehen und daher eher fahrlässig mit Adresslisten umgegangen.

Ein besonders sensibler Punkt ist die Newsletter-Anmeldung. Hier entscheidet sich, welche Daten ein User unter welcher Prämisse preisgibt. Der gesamte Anmeldeprozess ist mit Fallstricken für den Werbetreibenden durchzogen. Aber keine Sorge: Wir zeigen Ihnen, wie Sie Ihre Newsletter-Anmeldeprozesse sauber umsetzen können.

1. Allgemeines

1.1 SSL-Verschlüsselung

Der Einsatz von SSL wird zwar in der DSGVO nicht ausdrücklich vorgeschrieben, jedoch ist in Artikel 32 Absatz 1 von der Verschlüsselung von Daten die Rede:

„[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […]“

Maßnahme: Achten Sie darauf, dass das Formular sowie der verarbeitende Server SSL nutzen. Fehlermeldungen wie diese sollten Sie stutzig machen:

newsletter-anmeldung dsgvo

1.2 Kopplungsverbot

Grundsätzlich darf die Newsletter-Anmeldung nicht an Bedingungen gebunden sein, die für den Versand des Newsletters eigentlich unnötig sind. Beispiele sind Gewinnspiele, Werbung über andere Kanäle, Käufe, aber auch personenbezogenes Tracking. Wenn Sie entsprechende Leistungen und Maßnahmen anbieten wollen, müssen Sie dem User stets die Wahl lassen.

Näheres geht aus Artikel 7 Absatz 4 der EU-DSGVO hervor:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.”

Maßnahme: Verzichten Sie nach Möglichkeit darauf, im Rahmen der Newsletter-Anmeldung weitere Leistungen anzubieten. Das Opt-in für personenbezogenes Tracking sollte eher im Rahmen von Lead-Formularen eingeholt werden. Dort lässt sich dessen Sinnhaftigkeit gegenüber dem Gesetzgeber deutlich besser begründen.

1.3 Protokollierung

Falls es doch mal zu Streitigkeiten kommt, sind Sie als Versender oft in der Beweispflicht. Wappnen Sie sich dafür im Voraus, in dem Sie folgende Maßnahmen ergreifen:

  1. Protokollierung des Anmeldeprozesses: Es sollte sich jederzeit darlegen lassen, wann genau sich ein User auf welcher Website angemeldet hat. Speichern Sie ruhig auch den verwendeten Client. Achtung: Die IP-Nummer darf allenfalls gekürzt gespeichert werden, weil sie zu den personenbezogenen Daten gezählt wird.
    Auch betreffende Protokolleinträge müssen selbstverständlich gelöscht werden, wenn ein User die Löschung seines Profils fordert.
  2. Erstellen Sie Screenshots vom gesamten Anmeldeprozess und beschriften Sie diese mit Zeitpunkt und dem entsprechendem Client. Wiederholen Sie den Schritt jährlich bzw. spätestens nach jeder Änderung der Website bzw. des Prozesses.
    Tipp: Auch Screenshots von der Anmeldung per Smartphone sind sinnvoll.
  3. Verfahrensverzeichnis
    Im Bezug auf die EU-DSGVO gilt: Lieber ein Verarbeitungsverzeichnis zu viel, als zu wenig anlegen. In diesem Sinne empfehlen Wir, insbesondere für die Newsletter-Anmeldung ein eigenes Verzeichnis zu erstellen. Es muss gewährleistet sein, dass sich die Aufsichtsbehörde im Bedarfsfall schnell ein genaues Bild von der Verarbeitung der personenbezogenen Daten inkl. den zugehörigen Prozessen machen kann.
    Hier ist ein geeignetes Muster-Verfahrensverzeichnis kostenlos erhältlich.

  4. 2. Aufbau des Formulars

    Double-Opt-in DSGVO

    2.1 Weniger ist mehr

    Datensammelwut ist schon länger verschrieb. Im Rahmen der EU-DSGVO wird nun ein rechtlicher Rahmen vor unsinnigen Abfragen geschoben. Und mal ehrlich: Was für einen Sinn macht die Steuernummer oder die Firma bei einer Newsletter-Anmeldung? Gar keinen – außer Sie verfolgen noch einen anderen Zweck mit der Datengewinnung. Aber auch das ist nicht erlaubt.
    Gemäß Artikel 5 müssen personenbezogene Daten

    “für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […] „

    sowie

    “ […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‘Datenminimierung’)”

    2.2 Informationspflicht

    Im Sinne der Transparenz müssen nach bisheriger Rechtslage Newsletter-Abonnenten bereits über den Umfang und Zweck der Datenerhebung informiert werden. Diese Verpflichtung wird mit Inkrafttreten der EU-DSGVO noch einmal ausgeweitet. Zu den Informationen zählen unter anderem:

    1. die Kontaktdaten des Versenders und dessen Datenschutzbeauftragten
    2. der Verarbeitungszweck und deren Rechtsgrundlage
    3. die Speicherdauer bzw. die Kriterien dafür
    4. das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch
    5. das Recht auf Widerruf der Einwilligung
    6. das Beschwerderecht bei der Aufsichtsbehörde

    Aufgrund des großen Umfangs der bereitzustellenden Informationen empfehlen Wir, die Inhalte auf einer gesonderten Seite zusammenzufassen. Das erleichtert deren Pflege deutlich.

    Die Einwilligung bzw. Kenntnisnahme der Datenschutzerklärung sowie der Widerrufserklärung etc. muss aktiv vom Nutzer vorgenommen werden. Eine Möglichkeit wäre die Erweiterung der Formulare um entsprechende Kontrollkästchen (Checkbox). Dann darf die Anmeldung nur dann ausgeführt werden, sofern der User die Checkbox tatsächlich ausgewählt hat. Vorselektiert darf diese also nicht sein.

    3. Double-Opt-in

    Als Newsletter-Versender müssen Sie nachweisen, wer wann seine ausdrückliche Einwilligung für eine Newsletter-Anmeldung erteilt hat. Ohne Double-Opt-in (DOI) ist kaum nachweisbar, ob die Anmeldung tatsächlich vom Inhaber der Adresse stammt (Art. 7 Abs. 1 DSGVO). Stellen Sie daher spätestens jetzt Ihre Anmeldeverfahren auf DOI um.

    Ganz wichtig: Die Bestätigungs-E-Mail darf keinerlei Werbung beinhalten. Es gab sogar schon Fälle, bei dem von einem abmahnenden Anwalt die persönliche Anrede in der E-Mail beanstandet wurde.

    newsletter-anmeldung dsgvo Vorteile

    Fazit

    Newsletter gehören nach wie vor zu den erfolgreichsten Vehikeln im Digital Marketing. Daran wird sich auch nach dem 25. Mai 2018 nichts ändern. Die DSGVO sorgt in der Tat für Unsicherheit im E-Mail-Marketing. Wer einige Regeln beachtet, muss sich jedoch keinerlei Sorgen machen:
    Prüfen Sie unbedingt alle Ihre Newsletter-Anmeldeprozesse. Hier droht sehr viel schneller Abmahn-Ärger als durch irgendwelche Uralt-Kontakte, von denen Sie noch keine rechtsgültige Permission haben. Schöner Nebeneffekt eines sauberer aufgesetzten Double-Opt-in-Prozesses: Sie profitieren von einer besseren E-Mail-Zustellbarkeit und von einer größeren Datenhygiene.

    Achtung: Für eine individuelle Rechtsberatung kontaktieren Sie bitte einen Fachanwalt. Irrtümer vorbehalten.

Ebenfalls interessant
Reaktivierung von Newsletter-Abonnenten: 4 Tricks für Re-Engagement.
Tipps für kürzere Newsletter-Betreffzeilen
7 Tipps für schlanke Headlines und E-Mail-Betreffzeilen

Bitte kommentieren

Ihr Kommentar*

Ihr Name*
Ihre Website