Dein Newsletter und die DSGVO

Was du vor dem Newsletter-Versand beachten solltest

Der Newsletter ist nach wie vor eines der beliebtesten, weil effektivsten Kommunikationskanäle im Online Marketing. Er hilft dir dabei, deine Werbebotschaft gezielt an deine Interessenten zu kommunizieren.

Doch wie in so vielen anderen Marketingdisziplinen, musst du auch bei der Newsletter-Erstellung und dessen Versand wichtige Grundsätze einhalten. Vor allem seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO), solltest du Abmahnrisiken vermeiden.

Zur Info vorab:

Wir können dir als Agentur nur Hinweise aber keine Rechtsberatung liefern. Eine Haftung kann nicht übernommen werden. Lass dich daher bitte von einem spezialisierten Rechtsanwalt oder Datenschutzbeauftragten beraten!

Was du für die Erstellung eines erfolgreichen Newsletters im besten Falle beachten solltest, haben wir dir bereits in einem anderen Beitrag gezeigt. Dieses Mal soll es aber um die rechtlichen Aspekte gehen, die du beim Erstellen und dem Versand deines Newsletters sowie dem Umgang mit den dabei erhobenen Kundendaten beachten solltest. Dabei geht es um die DSGVO und weitere rechtliche Kriterien.

Die Newsletter-Anmeldung

Das muss ins Anmeldeformular

Damit sich deine Kunden für deinen Newsletter anmelden können, stellst du ihnen im Normalfall ein entsprechendes Formular auf deiner Website zur Verfügung. So kannst du nachweisen, dass sich der Empfänger selbst und aus eigenem Interesse für deinen Newsletter angemeldet hat und welche Daten er dir dabei übergeben hat.

Über das Anmeldeformular kannst du verschiedene Daten des Nutzers abfragen. Dabei gilt wie immer bei der DSGVO: So viel wie nötig, so wenig wie möglich. Zu viele Felder können abschreckend wirken oder Nutzer hat keine Zeit/Lust diese auszufüllen. Pflichtfeld darf nur die E-Mail-Adresse sein. 

Innerhalb des Formulars kannst du bereits wesentliche Informationen liefern, die für die Einwilligung des Nutzers entscheidend sein können. Dazu gehören zum Beispiel Antworten auf die Fragen,

• Warum fragst du bestimmte Nutzerdaten ab (Personalisierung o.ä.)?
• Was wirst du mit den Nutzerdaten machen?
• Wie häufig wird der Nutzer deinen Newsletter bekommen?
• Was wird der Newsletter beinhalten (Informationen zu … von …)?
• Wird eine Erfolgsmessung nach dem Versand vorgenommen?
• Mit welcher Software wird dein Newsletter versendet (z.B. Newsletter2Go, CleverReach etc.)?
• Wo ist die Widerrufsmöglichkeit zu finden? 
• Wer ist der Verantwortliche für den Newsletter?

Ein Link zu deiner vollständigen Datenschutzerklärung darf innerhalb des Anmeldeformulars in jedem Fall nicht fehlen.

Wenn du diese Infos nicht im Anmedleformular unterbringen möchtest, solltest du sie in jedem Fall in der ersten Opt In-Mail angeben.

Beispiel Newsletter Anmeldeformular

Double Opt In ist Pflicht

Schon bevor die DSGVO im Jahr 2018 zum Thema wurde, war das Double Opt In-(DOI)Verfahren kein Fremdwort für Marketer. Hintergrund: Ob eine konkrete Kontaktaufnahme mittels eines Newsletters zulässig ist, ist nicht Gegenstand der DSGVO, sondern des Wettbewerbrechts (§§ 823, 1004 BGB § 7 Abs. 2 UWG).

Auch als Endverbraucher kennst du das Prozedere einer Newsletter-Anmeldung: Man hinterlegt seine E-Mail-Adresse über ein Formular (erstes Opt In) und bekommt daraufhin zunächst eine E-Mail mit einem Bestätigungslink.

Aufpassen: Spätestens hier führst du dann die zuvor angesprochenen Informationen auf. Besonders wichtig ist der Hinweis zur Widerrufsmöglichkeit!

Erst wenn der Bestätigungslink der ersten Mail aufgerufen wurde (zweites Opt In), ist die rechtssichere Einwilligung nach UWG offiziell gegeben und die entsprechende E-Mail-Adresse darf in den Verteiler aufgenommen werden. Bis dahin darf man noch keine werblichen Inhalte zugespielt bekommen.

Das DOI inkl. Zeitpunkt der Einwilligung und die vom Nutzer angegebenen personenbezogenen Daten müssen für jeden einzelnen Abonnenten protokolliert sein. Ansonsten wird es für dich im Abmahnfall schwer zu beweisen, seit wann und mit welchen Angaben der Nutzer in deinem Verteiler ist (Nachweispflicht, s. Art. 7 Abs. 1 DSGVO). Ansonsten könnte die Anmeldung auch über eine dritte Person erfolgt sein. Aus dem gleichen Grund reicht es auch nicht, anstatt des DOI-Verfahrens, einfach nur einen Opt Out-Link in der Datenschutzerklärung bereitzustellen.
Stelle im besten Falle sicher, dass du für deinen Newsletter-Versand eine Software verwendest, die all dies protokollieren kann.

Du hast in deinem Verteiler Kontakte ohne protokollierten Double Opt In? Diese nachträglich um eine Einwilligung zu bitten, kann aus rechtlicher Sicht als Spam angesehen werden. Ob du sie daher in deinem Verteiler lässt oder nicht, musst du selbst abwägen; am besten mithilfe einer Rechtsberatung.

Foto von PIX1861 auf Pixabay

Einwilligung löschen: Newsletter abbestellen

Wenn ein Nutzer nach dem Double Opt In offiziell dein Newsletter-Abonnent ist, kannst du dich freuen! Du hast nun eine weitere Person, die sich für deine Inhalte, Produkte oder Dienstleistungen interessiert und darüber auf dem neuesten Stand gehalten werden möchte.

Doch ebenso gibt es bestimmt auch den ein oder anderen Abonennten, der aus irgendeinem Grund nicht mehr mit deinen E-Mails beglückt werden mag. Aus diesem Grund solltest du jederzeit eine Möglichkeit zur Austragung aus deinem Verteiler bereitstellen. Das verlangt auch die DSGVO von dir.

Einen sogenannten Opt Out-Link sollte es am Ende (Footer-Bereich) eines jeden Newsletters von dir geben. Selbstverständlich ist auch eine schriftliche Abmeldung des Nutzers (per E-Mail oder postalisch) sowie telefonisch wirksam.

Auch empfehlenswert: Biete dem Nutzer ebenfalls die Option an, seine Einwilligung zu verwalten. Vielleicht möchte er sich nicht direkt gänzlich abmelden, sondern lediglich seine E-Mail-Adresse anpassen oder andere Daten (z.B. Nachname) ändern.

Beispiel Newsletter abbestellen

Impressumspflicht

An das Ende deines Newsletters gehört allerdings nicht nur ein Abmeldelink, sondern ebenso ein Impressum. So sieht es das Telemediengesetz (§5 TMG) für jeden vor, der gewerblich in Informations- und Kommunikationsmedien tätig ist.

Je nach Gesellschaftsform deines Unternehmens solltest du die folgenden Informationen angeben:

• Name deines Unternehmens inkl. Rechtsform (GmbH, AG, GbR etc.),
• Anschrift der Niederlassung,
• Vertretungsberechtigte,
• Kontaktdaten, die eine unmittelbare Kontaktaufnahme ermöglichen wie Telefonnummer, E-Mail-Adresse etc.,
• Falls vorhanden: Das zuständige Register inkl. Nummer
• Falls vorhanden: Umsatzsteuer- oder Wirtschaftsidentifikationsnummer.

Das Fehlen von Pflichtangaben im Impressum ist übrigens ein besonders beliebter Grund zur Abmahnung.

Beispiel: Newsletter Footer von Onlinemarketing.de

Nutzung der Daten zur Erfolgsmessung

Wo liegen die Daten deiner Kunden?

Sei wählerisch bei der Auswahl deiner Newsletter-Software. Du musst dir bewusst sein, dass du dem Software-Anbieter die Daten deiner Kunden anvertraust. Schließe daher nicht nur einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit dem Anbieter ab, sondern informiere dich auch ausführlich und beantworte und bewerte vor deiner Wahl die folgenden Fragen (wenn möglich auch mit juristischer Hilfe):

• Wo ist der Firmensitz (EU oder nicht)?
• Falls nicht: Sind die Daten in dem Land ebenso sicher, wie in der EU (Gewährleistung des Datenschutzniveaus nach EU/Schweiz-US-Privacy-Shield)?
• Mit welchen Mechanismen wird der Server geschützt (Session-Cookie, IP-Bereiche, Authentifizierungsverfahren)?

Ist die Erfolgsmessung erlaubt?

Einige Anwälte sind der Meinung, dass für die Erfolgsmessung ein weiterer Opt In der Kunden notwendig sei. Andere wiederum gehen davon aus, dass der Hinweis bei der Anmeldung ausreicht. Setzt der Nutzer bei der Anmeldung den Haken beim Einverständnis zur Nutzung seiner personenbezogenen Daten, so umfasst die Einwilligung beim Double Opt In auch die Erfolgsmessung.

Löschung der Daten

Zweckbindung

Angenommen, du hast bei der Newsletter-Anmeldung personenbezogene Daten zur Personalisierung des Newsletters (z.B. Vor- und/oder Nachname) erhoben. Dann ist der Zweck die Personalisierung. Entscheidest du dich nun aus irgendeinem Grund gegen den Versand eines personalisierten Newsletters und versendest nur noch einen allgemeinen, so verfällt der Zweck (Zweckbindung, Art. 5 f, 6 DSGVO). Somit sind alle für den Zweck erhobenen personenbezogenen Daten durch dich zu löschen. 

Widerspruch

Ein Kunde hat sich per Opt Out-Link von deinem Newsletter abgemeldet oder macht generell von seinem Widerspruchsrecht Gebrauch? Achte auch diesbezüglich auf die Wahl deiner Newsletter-Software. Es ist wichtig, dass die Nutzerdaten beim Opt Out vollumfänglich gelöscht werden. Weitere Werbe-Mails trotz Opt out zu bekommen, ist nämlich nicht nur in Sachen DSGVO riskant, sondern auch einfach nur nervig für den Nutzer und außerdem nicht gut für deinen Ruf.

Foto von Anne-Onyme auf Pixabay

Ausnahme: Newsletter an Bestandskunden

Häufig kommt die Frage auf, ob man seinen ohnehin bereits bestehenden Kunden laut DSGVO seinen Newsletter schicken darf.

Die Antwort dafür lautet: Man darf, aber nur unter bestimmten Voraussetzungen (§ 7 Abs.3 UWG). Um deinen Bestandskunden auch ohne DOI deinen Newsletter zukommen zu lassen, sollten alle folgenden Punkte zutreffen:

• Du hast einen Vertrag mit dem Kunden abgeschlossen und darüber seine E-Mail-Adresse erhalten,
• du hast den Kunden beim erstmaligen Vertragsabschluss darüber in Kenntnis gesetzt, dass er mit dem Vertragsabschluss einwilligt, Werbe-Mails von dir zu bekommen und dem jederzeit widersprechen kann,
• dein Kunde hat beim Vertragsabschluss der Verwendung seiner E-Mail-Adresse für Werbezwecke nicht widersprochen,
• die in deinem Newsletter enthaltenen Dienstleistungen oder Produkte müssen den bei Vertragsabschluss bereits erworbenen Dienstleistungen oder Produkten ähneln. Beispiel: Wenn du dem Kunden beim ersten Mal Möbel verkauft hast, darfst du ihm in deinem Newsletter keine Fahrräder anbieten,
• du informierst deinen Kunden in jedem Newsletter über sein Widerrufsrecht

und

• leider bisher von den Gerichten unterschiedlich formuliert und daher nicht eindeutig: Dein Kunde muss innerhalb der letzten zwei Jahre etwas bei dir erworben oder in Auftrag gegeben haben. Ansonsten ist seine E-Mail-Adresse aus dem Verteiler zu löschen.

Tipp: Alles mehrmals durchtesten

Wir hoffen, wir konnten ein wenig mehr Klarheit in die Welt von Newsletter-Versand und DSGVO bringen.

Zum Abschluss noch ein Tipp: Teste die Funktionen deines Newsletters von der Anmeldung bis zur Löschung regelmäßig mit mehreren deiner eigenen Mail-Adressen durch (oder bitte deine Kollegen dabei zu helfen). Mach dir vorab Termine im Kalender für Löschfristen und regelmäßige Testläufe. So behältst du alles im Auge und gehst rechtlichen Risiken so gut wie möglich aus dem Weg.

Wir wünschen dir viel Erfolg mit deinem Newsletter-Versand!

Hast du auch noch ein paar Tipps oder Fragen zu diesem Thema? Wir freuen uns auf deine Kommentare!