Im Folgenden wird kurz dargestellt, wie ein E-Mail-Newsletter konform zur DSGVO betrieben werden kann.

Die DSGVO fordert eine explizite Zustimmung und eine individuelle Information zur Speicherung von personenbezogenen Daten wie Name und E-Mail-Adresse (sofern es keine andere Rechtsgrundlage wie zB einen Vertrag gibt). Daraus ergibt sich implizit, dass die Anmeldung zu E-Mail-Newslettern im Allgemeinen mit einem Double-Opt-In-Verfahren erfolgen muss. Bei einem ungeschützten Webformular zur Eingabe von Name und E-Mail können diese durch jedermann eingetragen werden, sodass keine wirksame Zustimmung vorliegt. Daher macht auch eine Checkbox mit “Ich stimme zu” im Webformular keinen Sinn. Es sollte aber trotzdem mindestens einen Link auf den entsprechenden Teil der Datenschutzerklärung bezüglich des Newsletters geben.

Richtigerweise sendet man zunächst eine E-Mail an die eingegebene Adresse, in der man die nach DSGVO notwendigen Informationen gibt und den Empfänger auffordert, auf den Anmeldelink zu klicken. Dies stellt dann eine wirksame Zustimmung und damit Anmeldung dar, wenn der Link eine einmalige Id enthält, die auch nicht leicht zu erraten ist.

Ein entsprechender Zustimmungstext könnte so aussehen:

“Um den Newsletter versenden zu können speichern und verarbeiten wir Ihren Namen und Ihre E-Mail-Adresse so lange, bis Sie sich vom Newsletter durch Klicken auf den Abmelde-Link am Ende jedes Newsletters abmelden. Durch die Abmeldung wird die Löschung der Daten veranlasst. Eine Berichtigung der Daten ist durch Abmelden und neuerliches Anmelden mit den korrigierten Daten jederzeit möglich. Senden Sie dazu eine Mail an “newsletter-abmelden@company.com” oder klicken Sie auf diesen Link “https://newsletter-abmelden.company.com/<yourid>”. Zum neu Anmleden senden Sie bitte eine Mail an “newsletter-anmelden@company.com”. Jeder Newsletter enthält den Namen und die E-Mail-Adresse, sodass eine separate Auskunftsmöglichkeit nicht notwendig und nicht vorgesehen ist. Ihre Daten werden für keinen anderen Zweck als die Versendung des Newsletters verwendet und nicht an Dritte weitergegeben. Die für die Verarbeitung verantwortliche Person ist <name> und ist unter <kontaktdaten> zu erreichen; als Vertreter fungiert <name>, erreichbar unter <kontaktdaten>; Datenschutzbeauftragter ist <name>, erreichbar unter <kontaktdaten>.

Durch den Klick auf den folgenden Link willigen Sie in diese Speicherung ein. Dies stellt gemäß Art 6 Abs 1 lit a) EU-Verordnung 2016/679 (DSGVO, Datenschutz-Grundverordnung) die Rechtsgrundlage für die Speicherung dar.”

Vertreter und Datenschutzbeauftragter sind natürlich nur dann anzugeben, wenn solche vorgesehen sind. Es empfiehlt sich, den ersten Absatz des Texts bereits beim Eingabeformular für die Anmeldung zu platzieren, zB als Pop-Up oder Mouse-Over.

Alternativ – wenn die Aufnahme in die Newsletter-Liste nicht über eine Web-App erfolgt – kann man auch die Antwort per E-Mail als Zustimmung verwenden. In diesem Fall sollte man die Betroffene dazu auffordern, mit den Worten “Ich stimme zu” zu antworten.

Achtung: eine Kopplung zwischen einem anderen Service und dem Newsletter ist nicht erlaubt! Die Zustimmung muss vollkommen freiwillig erfolgen. Wird zB eine Dienstleistung gebucht, so ist es nicht zulässig,  dies als automatische Zustimmung zum Empfang des Newsletters umzudeuten. Auch eine vorausgefüllte Checkbox “Ich will den Newsletter” bei der Buchung der Dienstleistung gilt nicht als freiwillige Zustimmung.

Weitere Diskussionen und Fragen gerne auch in unserem Forum zum Thema DSGVO.

 

Follow me

Roland Giersig

Vizepräsident bei Digital Society
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.
Follow me
Zur Werkzeugleiste springen