Newsletter versenden: So sind Sie auf der sicheren Seite

Newsletter bleiben ein Dauerthema. Wann dürfen Sie Kunden anschreiben? Was müssen Sie beachten? Unsere Datenschutz-Experten geben konkrete Antworten. [...]

Was bei Newslettern beachtet werden muss (c) Pixabay
Was bei Newslettern beachtet werden muss (c) Pixabay

Bestandskunden sind Kunden mit aufrechter Geschäftsbeziehung. Die Mailadressen dieser Kunden können auch ohne separate Einwilligung für den Newsletter-Versand verwendet werden. Kunden sollten jedoch in der Datenschutz-Erklärung darüber informiert werden.

Die Eintragung in die „Robinsonliste“ nach § 7 Abs 2 ECG ist nicht nur von ausländischen, sondern auch von inländischen Diensteanbietern zu beachten. Der vorangegangene Absatz gilt daher nur, wenn der Kunde nicht in der Robinsonliste eingetragen ist.

Für alle, die keine Bestandskunden sind, benötigt man für den DSGVO-konformen Newsletter-Versand eine Einwilligung. Das gilt nicht nur für Kunden, sondern auch für Interessenten oder andere, unabhängig davon, ob man die Mailadresse aus einem Kontaktformular oder anderwertig erhalten hat. Die Einwilligung hat einen Hinweis zu enthalten, dass sie jederzeit wieder zurückgezogen werden kann.

Wenn sich jemand für einen Newsletter anmeldet – unabhängig davon ob mittels Mail, Kontaktformular, telefonisch oder sonst wie – muss sichergestellt werden, dass der, der sich anmeldet auch tatsächlich der Inhaber dieser Mailadresse ist. Sonst könnte Jeder sich für irgendeine Mailadresse anmelden. Nicht zu vergessen: Die Datenschutzbehörde kann jederzeit verlangen, dass die Einwilligung eines Nutzers nachgewiesen wird. Genau aus diesem Gund wurde das Double-Opt-In-Verfahren für Newsletter entwickelt. 

Erstes Opt-In

Der User gibt auf einem der Kommunikationswege (Kontaktformular, Webseite, Mail etc) seine Mailadresse aktiv an und bestätigt (z.B. in einer Checkbox), dass er den Newsletter erhalten will. Der User sollte in kurzen Zügen darüber informiert werden, welche Inhalte mit dem Newsletter transportiert werden und mit welcher Periodizität der Newsletter erscheint. Nach dem Einlangen der Newsletter-Anmeldung wird dem Interessenten ein Bestätigungsmail gesendet. 

Zweites Opt-In

Dieses Bestätigungsmail enthält einen personalisierten Link (im Regelfall in Form eines Buttons), den der User anklicken muss, wenn er die Newsletter-Anmeldung bestätigen möchte. Das Anklicken des Links entspricht explizit einer Einwilligung. Erst danach, darf der User auf die Verteilerliste gesetzt werden.

Dokumentation

Fest steht: Die Datenschutzbehörde kann jederzeit den Nachweis verlangen, dass für Verarbeitungstätigkeiten für die Einwilligungen erforderlich sind, diese auch existieren. Dies kann sowohl global, als auch in Einzelfällen (z.B. bei Beschwerden Betroffener).

Es ist somit erforderlich eine ausreichende Dokumentation zu führen. Dazu gehören die Formulierung der Einwilligung und des Bestätigungs-Mails. Pro User, der sich für einen Newsletter anmeldet sind z.B. folgende Informationen erforderlich:

  • E-Mail-Adresse
  • Datum und Uhrzeit der Eintragung in ein Formular (erstes Op-In)
  • IP-Adresse des Website-Besuchers, der die Mailadresse eingegeben hat
  • Datum und Uhrzeit des Klicks in der Bestätigungs-Mail (zweites Opt-In)

Newsletter-Dienstleister

Newsletter Dienstleister sind Auftragsverarbeiter, mit ihnen ist ein Auftragsverarbeitungsvertrag abzuschließen. Was ist zu tun, wenn der Firmensitz des Dienstleisters in USA ist – wie z.B. bei MailChimp? Was ist in diesem Fall zu tun? MailChimp ist auf der offiziellen Liste der Unternehmen zu finden, die eine EU-US-Privacy Shield Zertifizierung besitzen. Somit sind keine weiteren Schritte erforderlich.

Unabhängig davon ist natürlich das Double-Opt-In-Verfahren anzuwenden. Weiters muss die Datenschutzerklärung einen Hinweis enthalten, dass MailChimp eingesetzt wird und dass dabei Daten in die USA als Drittland übermittelt werden.

Unsubscribe

In jedem Newsletter muss der Hinweis enthalten sein, dass die Einwilligung jederzeit zurückgezogen werden kann. Üblicherweise enthält ein Newsletter eine „Unsubscribe-Funktion“, die im Regelfall auf einer separaten Seite die Eingabe der Mailadresse ermöglicht. Auf professionellen Seiten wird die Mailadresse bereits vorausgefüllt und die Abmeldung vom Newsletter wird bestätigt.

Es versteht sich von selbst, dass die Abmeldung wie unter „Dokumentation“ beschrieben, dokumentiert wird.

Schlussbemerkung 

Obwohl ein Kontaktformular im Regelfall sehr einfach gehalten ist, darf nicht vergessen werden, dass es sich um die Übertragen Personen-bezogener Daten handelt. Aus Sicht der DSGVO sind doch eine Reihe von Vorgaben einzuhalten insbesondere die Transport- und Inhalts-Verschlüsselung. Mitunter kann die Sache doch komplizierter werden, als es auf den ersten Blick scheint.

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*