Die DSGVO-konforme E-Mail-Newsletter-AnmeldungDas Thema E-Mail-Newsletter haben wir ja bereits schon einmal mit der Frage „Wie wird mein E-Mail-Newsletter DSGVO-konform?“ in einem anderen Artikel beleuchtet. Heute soll es in einem knackigen Best Practice-Artikel darum gehen, wie Sie Ihre Anmeldeseite für den Newsletter DSGVO-konform gestalten können und somit nach Inkrafttreten der DSGVO am 25. Mai 2018 keine Probleme bekommen. Also los geht’s: Die 7 wichtigsten Schritte zur DSGVO-konformen E-Mail-Newsletter-Anmeldung.

1. Einwilligungserklärung der Empfänger

Sie wollen Ihre E-Mail-Newsletter-Anmeldung jetzt DSGVO-konform gestalten, das ist gut. Dennoch sei vorab und ergänzend der Hinweis gestattet, dass Sie auch für die bisherigen Empfänger Ihrer Newsletter-Listen eine wirksame Einwilligungserklärung benötigen. Liegt diese nicht oder nicht vollumfänglich vor, so dürfen Sie keinen Newsletter (mehr) versenden. Bedenken Sie auch, dass Sie in der Nachweispflicht für das Vorliegen der Einwilligungserklärungen sind (Art. 7 Absatz 1 DSGVO).

2. Integration einer Pflicht-Checkbox

Es wird grundsätzlich eine Pflicht-Checkbox benötigt, mit deren Aktivierung der Empfänger den Willen zum Erhalt des Newsletters sowie die Kenntnisnahme der Datenschutzhinweise bekundet. Die Box darf dabei keinesfalls standardmäßig aktiviert sein, sondern diese muss vom Nutzer selbständig aktiviert werden. Unsere Empfehlung: Entwerfen Sie einen „geschmeidigen“ Text, was der Nutzer mit dem Anklicken erhält, was mit den Daten passiert und das eine jederzeitige Abmeldung möglich ist – und natürlich den Link zu den Datenschutzhinweisen nicht vergessen ;-). Unsere Empfehlung: Separieren Sie die Datenschutzhinweise zum Newsletter von den allgemeinen Datenschutzhinweisen, so dass der Interessent direkt die releavnten Hinweise angezeigt bekommt. Rechtsgrundlage: Art. 4 Punkt 11 DSGVO sowie Art. 13 DSGVO.

3. Integration eine Checkbox zum Tracking

Führen Sie ein personenbezogenes Tracking von E-Mail-Öffnungen und Click-Raten durch, so ist dafür die Einwilligung vom Empfänger einzuholen. Über die Checkbox kann der Interessent mitteilen, dass er getrackt werden möchte. Im Falle einer anonymen bzw. einer aggregierten Auswertung von Öffnungs- und Click-Raten kommt die DSGVO nicht zur Anwendung. Zu empfehlen ist in diesem Zusammenhang, dem Interessenten zu erläutern, welche Vorteile ein Tracking hat, z.B. individualisierte Inhalte.

Rechtsgrundlage kann ein „berechtigtes Interesse“ (Art. 6 Absatz 1 f DSGVO) sein, welche keine Einwilligung des Empfängers benötigen würde. Da hier der Aspekt des Profiling mehr als nur berührt wird, ist eine Einwilligung mit Informationen zum Widerspruchsrecht (Art. 21 DSGVO) dringend zu empfehlen.

4. Kopplungsverbot beachten

Das sogenannte Kopplungsverbot beschreibt, dass Sie eine Vertragserfüllung bzw. Dienstleistungserbringung nicht von der Einwilligung zur Verarbeitung personenbezogener Daten abhängig machen dürfen, die nicht zur Erfüllung bzw. Erbringung notwendig sind. Das heißt: Zur Erbringung der Dienstleistung, hier dem Newsletter-Versand, ist es nicht zwingend notwendig, Öffnungs- und Click-Raten zu erfassen, so dass der Versand nicht an die Zustimmung zum Tracking geknüpft werden darf (Art. 7 Absatz 4 DSGVO).

5. Nur zwingend benötigte Daten abfragen

Es dürfen lediglich die Informationen in Form eines Pflichtfeldes abgefragt werden, die für den Zweck des E-Mail-Newsletter-Versands notwendig sind, das ist zweifelsfrei lediglich die E-Mail-Adresse. Sie können weitere Daten abfragen, dies jedoch keinesfalls als Pflichtfeld. Empfehlung: Es ist durchaus sinnvoll neben der E-Mail-Adresse auch die Anrede sowie den Namen und Vornamen abzufragen. Erklären Sie den Grund für die Abfrage dieser Daten (z.B. die personalisierte Anrede oder für unterschiedliche Inhalte für Frauen und Männer), diese müssen jedoch immer freiwillig bleiben (Art. 5 Absatz 1 c DSGVO).

6. HTTPS-Protokoll verwenden

Verwenden Sie zum Schutz der im Internet im An- und Abmeldeformular übertragenen personenbezogenen Daten immer eine Verschlüsselung (https-Protokoll). Art. 32 Absatz 1 a der DSGVO fordert zur Gewährleistung eines „angemessenen Schutzniveaus“ ausdrücklich die „Verschlüsselung personenbezogener Daten“.

7. Dokumentieren und Archivieren

Mit dem letzten Schritt schließt sich der Kreis zum Schritt 1: Dokumentieren Sie Ihre Maßnahmen zur E-Mail-Newsletter-Anmeldung. Das heißt: Ihre Anmeldeseite, Ihre Datenschutzerklärung sowie das gesamte Verfahren der Datenerfassung und des Newsletter-Versands. Erstellen Sie Screenshots mit Zeitstempel und archivieren Sie die Double-opt-in E-Mails als Nachweis der Einwilligungserklärungen (Art. 7 Absatz 1 DSGVO). Bei Änderungen am Verfahren aktualisieren Sie die Dokumentation.

Wie immer gilt: Bei Fragen, bitte immer fragen – wir stehen Ihnen gerne zur Verfügung.