Newsletter bleiben ein Dauerthema. Wann dürfen Sie Kunden anschreiben? Was müssen Sie beachten? Unsere Datenschutz-Experten geben konkrete Antworten. [...]
Bestandskunden sind Kunden mit aufrechter Geschäftsbeziehung. Die Mailadressen dieser Kunden können auch ohne separate Einwilligung für den Newsletter-Versand verwendet werden. Kunden sollten jedoch in der Datenschutz-Erklärung darüber informiert werden.
Die Eintragung in die „Robinsonliste“ nach § 7 Abs 2 ECG ist nicht nur von ausländischen, sondern auch von inländischen Diensteanbietern zu beachten. Der vorangegangene Absatz gilt daher nur, wenn der Kunde nicht in der Robinsonliste eingetragen ist.
Für alle, die keine Bestandskunden sind, benötigt man für den DSGVO-konformen Newsletter-Versand eine Einwilligung. Das gilt nicht nur für Kunden, sondern auch für Interessenten oder andere, unabhängig davon, ob man die Mailadresse aus einem Kontaktformular oder anderwertig erhalten hat. Die Einwilligung hat einen Hinweis zu enthalten, dass sie jederzeit wieder zurückgezogen werden kann.
Wenn sich jemand für einen Newsletter anmeldet – unabhängig davon ob mittels Mail, Kontaktformular, telefonisch oder sonst wie – muss sichergestellt werden, dass der, der sich anmeldet auch tatsächlich der Inhaber dieser Mailadresse ist. Sonst könnte Jeder sich für irgendeine Mailadresse anmelden. Nicht zu vergessen: Die Datenschutzbehörde kann jederzeit verlangen, dass die Einwilligung eines Nutzers nachgewiesen wird. Genau aus diesem Gund wurde das Double-Opt-In-Verfahren für Newsletter entwickelt.
Erstes Opt-In
Der User gibt auf einem der Kommunikationswege (Kontaktformular, Webseite, Mail etc) seine Mailadresse aktiv an und bestätigt (z.B. in einer Checkbox), dass er den Newsletter erhalten will. Der User sollte in kurzen Zügen darüber informiert werden, welche Inhalte mit dem Newsletter transportiert werden und mit welcher Periodizität der Newsletter erscheint. Nach dem Einlangen der Newsletter-Anmeldung wird dem Interessenten ein Bestätigungsmail gesendet.
Zweites Opt-In
Dieses Bestätigungsmail enthält einen personalisierten Link (im Regelfall in Form eines Buttons), den der User anklicken muss, wenn er die Newsletter-Anmeldung bestätigen möchte. Das Anklicken des Links entspricht explizit einer Einwilligung. Erst danach, darf der User auf die Verteilerliste gesetzt werden.
Dokumentation
Fest steht: Die Datenschutzbehörde kann jederzeit den Nachweis verlangen, dass für Verarbeitungstätigkeiten für die Einwilligungen erforderlich sind, diese auch existieren. Dies kann sowohl global, als auch in Einzelfällen (z.B. bei Beschwerden Betroffener).
Es ist somit erforderlich eine ausreichende Dokumentation zu führen. Dazu gehören die Formulierung der Einwilligung und des Bestätigungs-Mails. Pro User, der sich für einen Newsletter anmeldet sind z.B. folgende Informationen erforderlich:
- E-Mail-Adresse
- Datum und Uhrzeit der Eintragung in ein Formular (erstes Op-In)
- IP-Adresse des Website-Besuchers, der die Mailadresse eingegeben hat
- Datum und Uhrzeit des Klicks in der Bestätigungs-Mail (zweites Opt-In)
Newsletter-Dienstleister
Newsletter Dienstleister sind Auftragsverarbeiter, mit ihnen ist ein Auftragsverarbeitungsvertrag abzuschließen. Was ist zu tun, wenn der Firmensitz des Dienstleisters in USA ist – wie z.B. bei MailChimp? Was ist in diesem Fall zu tun? MailChimp ist auf der offiziellen Liste der Unternehmen zu finden, die eine EU-US-Privacy Shield Zertifizierung besitzen. Somit sind keine weiteren Schritte erforderlich.
Unabhängig davon ist natürlich das Double-Opt-In-Verfahren anzuwenden. Weiters muss die Datenschutzerklärung einen Hinweis enthalten, dass MailChimp eingesetzt wird und dass dabei Daten in die USA als Drittland übermittelt werden.
Unsubscribe
In jedem Newsletter muss der Hinweis enthalten sein, dass die Einwilligung jederzeit zurückgezogen werden kann. Üblicherweise enthält ein Newsletter eine „Unsubscribe-Funktion“, die im Regelfall auf einer separaten Seite die Eingabe der Mailadresse ermöglicht. Auf professionellen Seiten wird die Mailadresse bereits vorausgefüllt und die Abmeldung vom Newsletter wird bestätigt.
Es versteht sich von selbst, dass die Abmeldung wie unter „Dokumentation“ beschrieben, dokumentiert wird.
Schlussbemerkung
Obwohl ein Kontaktformular im Regelfall sehr einfach gehalten ist, darf nicht vergessen werden, dass es sich um die Übertragen Personen-bezogener Daten handelt. Aus Sicht der DSGVO sind doch eine Reihe von Vorgaben einzuhalten insbesondere die Transport- und Inhalts-Verschlüsselung. Mitunter kann die Sache doch komplizierter werden, als es auf den ersten Blick scheint.
Das Tagebuch wird zur Verfügung gestellt von
DSGVO Datenschutz Ziviltechniker GmbH
Be the first to comment