E-Mail-Marketing

DSGVO: Newsletter-Anmeldung rechtssicher umsetzen

Newsletter-Anmeldung DSGVO

Seit Mai 2018 ist die DSGVO europaweit rechtsverbindlich. Ganz wesentlich nimmt die Gesetzgebung auch Versender von E-Mail-Newsletter in die Pflicht. Das ist nachvollziehbar, denn E-Mail-Adressen zählen zu personenbezogenen Daten. Faktisch wurde das bisher oft anders gesehen und daher eher fahrlässig mit Adresslisten umgegangen.

Ein besonders sensibler Punkt ist die Newsletter-Anmeldung. Hier entscheidet sich, welche Daten ein User unter welcher Prämisse preisgibt. Der gesamte Anmeldeprozess ist mit Fallstricken für den Werbetreibenden durchzogen. Aber keine Sorge: Wir zeigen Dir, wie Du Deine Newsletter-Anmeldeprozesse konform zur DSGVO umsetzen kannst.

1. Allgemeines

1.1 SSL-Verschlüsselung

Der Einsatz von SSL wird zwar in der DSGVO nicht ausdrücklich vorgeschrieben, jedoch ist in Artikel 32 Absatz 1 von der Verschlüsselung von Daten die Rede:

„[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […]“

Maßnahme: Achte darauf, dass das Formular sowie der verarbeitende Server SSL nutzt. Fehlermeldungen wie diese sollten Dich stutzig machen:

newsletter-anmeldung dsgvo

1.2 Kopplungsverbot

Grundsätzlich darf die Newsletter-Anmeldung nicht an Bedingungen gebunden sein, die für den Versand des Newsletters eigentlich unnötig sind. Beispiele sind Gewinnspiele, Werbung über andere Kanäle, Käufe, aber auch personenbezogenes Tracking. Wenn Du entsprechende Leistungen und Maßnahmen anbieten willst, musst Du dem User stets die Wahl lassen.

Näheres geht aus Artikel 7 Absatz 4 der EU-DSGVO hervor:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.”

Maßnahme: Verzichte nach Möglichkeit darauf, im Rahmen der Newsletter-Anmeldung weitere Leistungen anzubieten. Das Opt-in für personenbezogenes Tracking sollte eher im Rahmen von Lead-Formularen eingeholt werden. Dort lässt sich dessen Sinnhaftigkeit gegenüber dem Gesetzgeber deutlich besser begründen.

1.3 Protokollierung

Falls es doch mal zu Streitigkeiten kommt, bist Du als Versender oft in der Beweispflicht. Wappne Dich dafür im Voraus, in dem Du folgende Maßnahmen ergreifst:

  1. Protokollierung des Anmeldeprozesses: Es sollte sich jederzeit darlegen lassen, wann genau sich ein User auf welcher Website angemeldet hat. Speicher ruhig auch den verwendeten Client. Achtung: Die IP-Nummer darf allenfalls gekürzt gespeichert werden, weil sie zu den personenbezogenen Daten gezählt wird.
    Auch betreffende Protokolleinträge müssen selbstverständlich gelöscht werden, wenn ein User die Löschung seines Profils fordert.
  2. Erstelle Screenshots vom gesamten Anmeldeprozess und beschrifte diese mit Zeitpunkt und dem entsprechendem Client. Wiederhole diesen Schritt jährlich bzw. spätestens nach jeder Änderung der Website bzw. des Prozesses.
    Tipp: Auch Screenshots von der Anmeldung per Smartphone sind sinnvoll.
  3. Verfahrensverzeichnis
    Im Bezug auf die EU-DSGVO gilt: Lieber ein Verarbeitungsverzeichnis zu viel, als zu wenig anlegen. In diesem Sinne empfehlen wir, insbesondere für die Newsletter-Anmeldung ein eigenes Verzeichnis zu erstellen. Es muss gewährleistet sein, dass sich die Aufsichtsbehörde im Bedarfsfall schnell ein genaues Bild von der Verarbeitung der personenbezogenen Daten inkl. den zugehörigen Prozessen machen kann.
    Hier ist ein geeignetes Muster-Verfahrensverzeichnis kostenlos erhältlich.

2. Aufbau des Formulars

rechtskonformes-newsletter-anmeldeformular

2.1 Weniger ist mehr

Datensammelwut ist schon länger verschrieb. Im Rahmen der EU-DSGVO wird nun ein rechtlicher Rahmen vor unsinnigen Abfragen geschoben. Und mal ehrlich: Was für einen Sinn macht die Steuernummer oder die Firma bei einer Newsletter-Anmeldung? Gar keinen – außer Du verfolgst noch einen anderen Zweck mit der Datengewinnung. Aber auch das ist nicht erlaubt.
Gemäß Artikel 5 müssen personenbezogene Daten

“für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […] „

sowie

“ […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‘Datenminimierung’)”

2.2 Informationspflicht

Im Sinne der Transparenz müssen nach bisheriger Rechtslage Newsletter-Abonnenten bereits über den Umfang und Zweck der Datenerhebung informiert werden. Diese Verpflichtung wird mit Inkrafttreten der EU-DSGVO noch einmal ausgeweitet. Zu den Informationen zählen unter anderem:

  1. die Kontaktdaten des Versenders und dessen Datenschutzbeauftragten
  2. der Verarbeitungszweck und deren Rechtsgrundlage
  3. die Speicherdauer bzw. die Kriterien dafür
  4. das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch
  5. das Recht auf Widerruf der Einwilligung
  6. das Beschwerderecht bei der Aufsichtsbehörde

Aufgrund des großen Umfangs der bereitzustellenden Informationen empfehlen wir, die Inhalte auf einer gesonderten Seite zusammenzufassen. Das erleichtert deren Pflege deutlich.

Die Einwilligung bzw. Kenntnisnahme der Datenschutzerklärung sowie der Widerrufserklärung etc. muss aktiv vom Nutzer vorgenommen werden. Eine Möglichkeit wäre die Erweiterung der Formulare um entsprechende Kontrollkästchen (Checkbox). Dann darf die Anmeldung nur dann ausgeführt werden, sofern der User die Checkbox tatsächlich ausgewählt hat. Vorselektiert darf diese also nicht sein.

3. Double-Opt-in

Als Newsletter-Versender musst Du nachweisen, wer wann seine ausdrückliche Einwilligung für eine Newsletter-Anmeldung erteilt hat. Ohne Double-Opt-in (DOI) ist kaum nachweisbar, ob die Anmeldung tatsächlich vom Inhaber der Adresse stammt (Art. 7 Abs. 1 DSGVO). Stelle daher spätestens jetzt Deine Anmeldeverfahren auf DOI um.

Mehr zum Thema Double-Opt-in erfährst Du in unserem Beitrag: Double-Opt-In-Verfahren in Zeiten von DSGVO und E-Privacy-Verordnung.

Ganz wichtig: Die Bestätigungs-E-Mail darf keinerlei Werbung beinhalten. Es gab sogar schon Fälle, bei dem von einem abmahnenden Anwalt die persönliche Anrede in der E-Mail beanstandet wurde.

double-opt-in

Fazit

Newsletter gehören nach wie vor zu den erfolgreichsten Vehikeln im Digital Marketing. Daran wird sich auch nach dem 25. Mai 2018 nichts ändern. Die DSGVO sorgt in der Tat für Unsicherheit im E-Mail-Marketing. Wer einige Regeln beachtet, muss sich jedoch keinerlei Sorgen machen.

Prüfe unbedingt alle Deine Newsletter-Anmeldeprozesse. Hier droht sehr viel schneller Abmahn-Ärger als durch irgendwelche Uralt-Kontakte, von denen Du noch keine rechtsgültige Permission hast. Schöner Nebeneffekt eines sauberer aufgesetzten Double-Opt-in-Prozesses: Du profitierst von einer besseren E-Mail-Zustellbarkeit und von einer größeren Datenhygiene.

Achtung: Für eine individuelle Rechtsberatung kontaktiere bitte einen Fachanwalt. Irrtümer vorbehalten.

Ebenfalls interessant
GIF Animationen Marketing
GIF-Animationen im Marketing: 8 Beispiele
Marketing zur Adventszeit
Marketing zur Adventszeit: 6 wertvolle Tipps.
1 Kommentar

Bitte kommentieren

Ihr Kommentar*

Ihr Name*
Ihre Website