Ja, ich will!

DSGVO-konforme Newsletter-Erlaubnis

Der neue europäische Datenschutz hat viele Newsletter-Versender zu hektischem Aktionismus verleitet – oftmals grundlos. Beachtet man einige Neuerungen, die die DSGVO gebracht hat, muss man sich keine Sorgen machen.

Von Nicolas Maekeler

Lass uns Freunde bleiben“, „Wir wollen Dich nicht verlieren!“ Die Betreffzeilen vieler Mails, die Ende Mai in Postfächern deutscher Nutzer landeten, lassen zunächst an massenhaft aufgetretene Beziehungsdramen denken. Tatsächlich handelt es sich aber um regelrechte Bettelbriefe von Unternehmen, Verbänden oder Vereinen. Sie forderten mit markigen Headlines dazu auf, eine datenschutzrechtlich saubere Einwilligung zum Empfang von Mails zu erteilen, beziehungsweise diese durch ein Re-Opt-in zu erneuern.

Ein viraler Effekt befeuerte offensichtlich die Bemühungen: Etliche Versender solcher Mails sind wohl überhaupt erst durch Kampagnen ihrer Mitbewerber darauf aufmerksam geworden, dass sich im Bereich des Datenschutzes gerade etwas ändert – die europäische Datenschutz-Grundverordnung (DSGVO) wurde am 25. Mai wirksam. Oft ohne zu prüfen, ob es rechtlich notwendig ist, schwammen viele aus Angst vor horrenden Bußgeldern und teuren Abmahnungen auf der Welle der DSGVO-Panik mit, versendeten ihrerseits Einwilligungsersuchen und ließen so die Postfächer von europäischen Bürgerinnen und Bürgern überquellen.

Ziel all dieser Aktionen war es, eine möglichst wasserdichte Rechtsgrundlage fürs Versenden von E-Mail-Reklame zu erhalten. Nur: Wer bereits in der Vergangenheit saubere Opt-ins eingesammelt hatte, hätte getrost die Hände in den Schoß legen können. Laut Erwägungsgrund 171 der DSGVO bleiben alte Einwilligungen wirksam, wenn sie bei ihrer Erteilung den Anforderungen der DSGVO entsprochen haben. Nach maßgeblicher Ansicht des „Düsseldorfer Kreises“ – dem Zusammenschluss der deutschen Datenschutzaufsichtsbehörden – ist dieser Umstand grundsätzlich erfüllt, wenn die Einwilligungen getreu des alten Bundesdatenschutzgesetzes (BDSG) eingeholt wurden.

Durch die DSGVO erfuhren Bürgerinnen und Bürger plötzlich, in welchen europäischen Broker-Datenbanken ihre Adresse gelandet ist.

Sechs Rechtsgrundlagen

Doch das ist offenbar in vielen Unternehmen und Organisationen nicht der Fall: Sie bestücken ihre Adressdatenbanken eben nicht nur aus der eigenen Kundenliste, sondern beispielsweise auch aus Gewinnspielen, zugesteckten Visitenkarten oder von Brokern zugekauften Daten. Bei den für den E-Mail-Versand erforderlichen Daten der Empfänger, wie E-Mail-Adressen oder Namen, handelt es sich um personenbezogene Daten. Und für die Verarbeitung dieser Daten benötigt der Versender eine in der DSGVO geregelte Rechtsgrundlage.

Die Einwilligung nach Art. 6 Abs. 1 DSGVO ist dabei nur eine von sechs möglichen Rechtsgrundlagen. Ob der Versender eine Einwilligung benötigt oder ob eine andere Rechtsgrundlage greift, hängt von der Art des Newsletters ab. Nimmt er ohne kommerzielles Interesse Kontakt zum Empfänger auf, wird sich der Versender auf sein sogenanntes „berechtigtes Interesse“ berufen können. Diese Rechtsgrundlage erlaubt laut DSGVO eine Datenverarbeitung, wenn keine überwiegenden entgegenstehenden Interessen des Betroffenen bestehen und dieser der Datenverarbeitung nicht bereits per Opt-out widersprochen hat.

Beispiele für „berechtigtes Interesse“ sind der Versand des Gemeindebriefs einer Kirche, die Einladung zur Veranstaltung einer gemeinnützigen Organisation und andere nicht werbliche Informationsbriefe. Auch Pressemitteilungen per Mail fallen darunter, weil man bei empfangenden Journalisten ein Interesse vermuten darf. Selbst für Werbesendungen benötigen Absender aus rein datenschutzrechtlicher Sicht nicht zwingend eine Einwilligung der Empfänger, denn gemäß Erwägungsgrund 47 DSGVO kann die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

Strenges Wettbewerbsrecht

Doch auch wenn das Versenden DSGVO-konform sein kann, kommt hier das Wettbewerbsrecht in die Quere: Nach Paragraf 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) gilt es als unzumutbare und damit unzulässige Belästigung, Werbe-Mails ohne vorherige ausdrückliche Einwilligung des Adressaten zu versenden. Diese Regelung hat nichts mit Datenschutz zu tun, sondern dient in erster Linie der Vermeidung von Spam. Mit der DSGVO hat sich diesbezüglich nichts geändert.

Zum Kasten: Beispiel für Erklärung der Ähnlichkeitswerbung

Eine Ausnahme vom generellen Einwilligungsvorbehalt sieht Paragraf 7 UWG nur im Rahmen sogenannter „Ähnlichkeitswerbung“ vor. Die Voraussetzungen dafür sind jedoch sehr streng geregelt: Der Versender muss die E-Mail-Adresse des Empfängers im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhalten haben, er darf nur ähnliche Produkte bewerben und der Kunde muss bei Erhebung der Daten sowie in jedem Mailing auf sein Widerspruchsrecht hingewiesen werden. Letzteres kann in der Datenschutzerklärung der Website geschehen (siehe Kasten oben). Dann muss der Versender bei der Erhebung der E-Mail-Adresse darauf hinweisen (das Bestätigen der Datenschutzerklärung über eine Checkbox ist dabei nicht erforderlich) und in jeder Mail einen Opt-out-Link platzieren.

Für alle anderen Fälle der werblichen Ansprache per E-Mail bedarf es einer zu dokumentierenden Einwilligung, die den Anforderungen des Artikels 7 DSGVO entspricht. Der Empfänger muss sie freiwillig, für einen konkreten Fall, in informierter Weise und unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgeben. Das heißt: Ein schlichtes „Ja, ich möchte einen Newsletter erhalten“ reicht nicht aus.

Wenn der Versender die Einwilligung während anderer Vorgänge – etwa beim Abschluss eines Kaufvertrags in einem Online-Shop – einholt, muss das mit einer nicht vorausgefüllten Checkbox erfolgen. Nur so erfüllt er das Kriterium der „eindeutigen Handlung“. Unzulässig ist es, den Kunden den gesamten Bestellprozess des Online-Shops durchlaufen zu lassen und ihm ohne abgegebene Werbeeinwilligung den Kauf zu verwehren – das wäre ein Verstoß gegen das Kopplungsverbot des Art. 7 Abs. 4 DSGVO. Die Einwilligung wäre in diesem Fall nicht freiwillig erteilt worden. Außerdem muss der Anbieter alle Daten zur Newsletter-Anmeldung transportverschlüsselt übertragen. HTTPS ist Pflicht, um das von der DSGVO geforderte angemessene Schutzniveau zu gewährleisten.

Informationsverpflichtet

Der Einwilligungstext muss alle datenschutzrechtlichen Pflichtinformationen enthalten, also Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, den Verarbeitungszweck und dessen Rechtsgrundlage, Informationen zu Auskunftsrechten und vieles mehr. Damit er dennoch einigermaßen kurz und verständlich bleibt, setzt man am besten einen Link zur ohnehin notwendigen Datenschutzerklärung der eigenen Website. Dort muss dann ein ausführlicher Passus zum Newsletter-Versand enthalten sein. Bei der Formulierung helfen Textgeneratoren, wie datenschutz-generator.de.

Im Einwilligungstext selbst muss erkennbar sein, welcher Inhalt zu erwarten ist. Der Versender sollte das nicht zu eng, aber auch nicht zu weit fassen. Zum Beispiel kann ein Newsletter für „Gewinnspiele“ nicht für Produktwerbung verwendet werden. Die Formulierung „Newsletter für Werbebotschaften“ wäre hingegen zu weitreichend und damit unzulässig. Wichtig ist der Hinweis auf die Widerrufsmöglichkeit. Ein Formulierungsbeispiel für einen Einwilligungstext finden Sie im Kasten unten.

Erfasst die Newsletter-Software nicht pseudonymisiert, wann der Empfänger die Mail öffnet und wann er welchen Link darin anklickt, muss der Versender auf dieses Tracking im Einwilligungstext hinweisen. Viele Datenschützer sind sogar der Ansicht, dass es dafür eine eigene Checkbox geben muss: Der Nutzer soll entscheiden dürfen, ob er den Newsletter mit oder ohne Tracking abonnieren möchte. Ansonsten läge – so die Rechtsmeinung – auch hier ein Verstoß gegen das erwähnte Kopplungsverbot vor.

Double-Opt-in

Zum Kasten: Beispiel für eine Newsletter-Einwilligung

Die DSGVO schreibt ausdrücklich vor, dass der sogenannte „Verantwortliche“ die Einwilligung in die Verarbeitung personenbezogener Daten nachweisen können muss. Das Double-Opt-in-Verfahren ist daher obligatorisch. Weil dabei der Newsletter-Versand erst startet, wenn der Link in einer Bestätigungs-Mail geklickt wurde, kann der Absender insbesondere verhindern, dass ein unbefugter Dritter die E-Mail-Adresse im Anmeldeformular angegeben hat.

Neben einem optimierten Einwilligungstext gilt es noch einige weitere DSGVO-Pflichten zu erfüllen, die c’t zuletzt ausführlich in Ausgabe 5/2018 beschrieben hat. Beispielsweise gilt: Der Newsletter-Versender muss den Prozess im Verzeichnis der Verarbeitungstätigkeiten dokumentieren. Nutzt er Dienstleister für den E-Mail-Versand, muss er mit diesen eine Vereinbarung über die Auftragsverarbeitung nach Artikel 28 DSGVO abgeschlossen haben. Auch sollte er sich auf Auskunftsersuchen der E-Mail-Empfänger einrichten. Für die Beantwortung hat er nämlich nur einen Monat Zeit. (hob@ct.de)

Beispiel für Erklärung der Ähnlichkeitswerbung

Wenn Sie bei uns Waren oder Dienstleistungen erwerben und hierbei Ihre E-Mail-Adresse angeben, behalten wir uns vor, diese für den Versand von Newslettern mit Direktwerbung für eigene ähnliche Waren oder Dienstleistungen zu verwenden. Dies dient der Wahrung unserer im Rahmen einer Interessensabwägung überwiegenden berechtigten Interessen an einer werblichen Ansprache unserer Kunden.

Sie können dieser Verwendung Ihrer Daten jederzeit durch eine Nachricht an [Adresse, E-Mail Adresse] oder über den Abmeldelink in der Werbe-Mail widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Soweit der Newsletter-Versand aufgrund des Verkaufs von Waren oder Dienstleistungen erfolgt, berufen wir uns auf § 7 Abs. 3 UWG.