14. September 2019 Wolfgang Fiala und Peter Gelber*

Newsletter versenden: So sind Sie auf der sicheren Seite

Newsletter bleiben ein Dauerthema. Wann dürfen Sie Kunden anschreiben? Was müssen Sie beachten? Unsere Datenschutz-Experten geben konkrete Antworten. [...]

Was bei Newslettern beachtet werden muss (c) Pixabay
Was bei Newslettern beachtet werden muss (c) Pixabay

Bestandskunden sind Kunden mit aufrechter Geschäftsbeziehung. Die Mailadressen dieser Kunden können auch ohne separate Einwilligung für den Newsletter-Versand verwendet werden. Kunden sollten jedoch in der Datenschutz-Erklärung darüber informiert werden.

Die Eintragung in die „Robinsonliste“ nach § 7 Abs 2 ECG ist nicht nur von ausländischen, sondern auch von inländischen Diensteanbietern zu beachten. Der vorangegangene Absatz gilt daher nur, wenn der Kunde nicht in der Robinsonliste eingetragen ist.

Für alle, die keine Bestandskunden sind, benötigt man für den DSGVO-konformen Newsletter-Versand eine Einwilligung. Das gilt nicht nur für Kunden, sondern auch für Interessenten oder andere, unabhängig davon, ob man die Mailadresse aus einem Kontaktformular oder anderwertig erhalten hat. Die Einwilligung hat einen Hinweis zu enthalten, dass sie jederzeit wieder zurückgezogen werden kann.

Wenn sich jemand für einen Newsletter anmeldet – unabhängig davon ob mittels Mail, Kontaktformular, telefonisch oder sonst wie – muss sichergestellt werden, dass der, der sich anmeldet auch tatsächlich der Inhaber dieser Mailadresse ist. Sonst könnte Jeder sich für irgendeine Mailadresse anmelden. Nicht zu vergessen: Die Datenschutzbehörde kann jederzeit verlangen, dass die Einwilligung eines Nutzers nachgewiesen wird. Genau aus diesem Gund wurde das Double-Opt-In-Verfahren für Newsletter entwickelt. 

Erstes Opt-In

Der User gibt auf einem der Kommunikationswege (Kontaktformular, Webseite, Mail etc) seine Mailadresse aktiv an und bestätigt (z.B. in einer Checkbox), dass er den Newsletter erhalten will. Der User sollte in kurzen Zügen darüber informiert werden, welche Inhalte mit dem Newsletter transportiert werden und mit welcher Periodizität der Newsletter erscheint. Nach dem Einlangen der Newsletter-Anmeldung wird dem Interessenten ein Bestätigungsmail gesendet. 

Zweites Opt-In

Dieses Bestätigungsmail enthält einen personalisierten Link (im Regelfall in Form eines Buttons), den der User anklicken muss, wenn er die Newsletter-Anmeldung bestätigen möchte. Das Anklicken des Links entspricht explizit einer Einwilligung. Erst danach, darf der User auf die Verteilerliste gesetzt werden.

Dokumentation

Fest steht: Die Datenschutzbehörde kann jederzeit den Nachweis verlangen, dass für Verarbeitungstätigkeiten für die Einwilligungen erforderlich sind, diese auch existieren. Dies kann sowohl global, als auch in Einzelfällen (z.B. bei Beschwerden Betroffener).

Es ist somit erforderlich eine ausreichende Dokumentation zu führen. Dazu gehören die Formulierung der Einwilligung und des Bestätigungs-Mails. Pro User, der sich für einen Newsletter anmeldet sind z.B. folgende Informationen erforderlich:

  • E-Mail-Adresse
  • Datum und Uhrzeit der Eintragung in ein Formular (erstes Op-In)
  • IP-Adresse des Website-Besuchers, der die Mailadresse eingegeben hat
  • Datum und Uhrzeit des Klicks in der Bestätigungs-Mail (zweites Opt-In)

Newsletter-Dienstleister

Newsletter Dienstleister sind Auftragsverarbeiter, mit ihnen ist ein Auftragsverarbeitungsvertrag abzuschließen. Was ist zu tun, wenn der Firmensitz des Dienstleisters in USA ist – wie z.B. bei MailChimp? Was ist in diesem Fall zu tun? MailChimp ist auf der offiziellen Liste der Unternehmen zu finden, die eine EU-US-Privacy Shield Zertifizierung besitzen. Somit sind keine weiteren Schritte erforderlich.

Unabhängig davon ist natürlich das Double-Opt-In-Verfahren anzuwenden. Weiters muss die Datenschutzerklärung einen Hinweis enthalten, dass MailChimp eingesetzt wird und dass dabei Daten in die USA als Drittland übermittelt werden.

Unsubscribe

In jedem Newsletter muss der Hinweis enthalten sein, dass die Einwilligung jederzeit zurückgezogen werden kann. Üblicherweise enthält ein Newsletter eine „Unsubscribe-Funktion“, die im Regelfall auf einer separaten Seite die Eingabe der Mailadresse ermöglicht. Auf professionellen Seiten wird die Mailadresse bereits vorausgefüllt und die Abmeldung vom Newsletter wird bestätigt.

Es versteht sich von selbst, dass die Abmeldung wie unter „Dokumentation“ beschrieben, dokumentiert wird.

Schlussbemerkung 

Obwohl ein Kontaktformular im Regelfall sehr einfach gehalten ist, darf nicht vergessen werden, dass es sich um die Übertragen Personen-bezogener Daten handelt. Aus Sicht der DSGVO sind doch eine Reihe von Vorgaben einzuhalten insbesondere die Transport- und Inhalts-Verschlüsselung. Mitunter kann die Sache doch komplizierter werden, als es auf den ersten Blick scheint.

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*