Datenschutz: Worauf muss ich beim Versand von Newslettern achten?

Datenschutz beim Newsletter
Wiener Postbote, Wikimedia Commons unter CC BY-4.0 (Ausschnitt: iRights.info)

Newsletter sind ein beliebtes Tool, um andere auf eigene Produkte oder auf selbst erstellte Inhalte aufmerksam zu machen. Es geht ja auch ganz einfach: Per Email erhält eine Vielzahl von Adressaten in regelmäßigen Abständen alle wichtigen Informationen. Allerdings: Der Datenschutz spielt hier eine gewichtige Rolle. Worauf es dabei ankommt.

Grundlagen: Was und wie der Datenschutz schützt

Der Datenschutz zählt zu den Grundrechten. Die Idee dahinter ist, dass es für einen Menschen in modernen Gesellschaften sehr wichtig ist, was mit seinen personenbezogenen Daten passiert.

Genauer: Das Datenschutzrecht regelt die Verarbeitung von personenbezogenen Daten einer natürlichen Person. Es betrifft also Menschen als Privatpersonen. Insofern führt der Begriff „Datenschutz“ etwas in die Irre: Denn der Datenschutz soll genau genommen Personen schützen, nicht die Daten. Etwas lockerer könnte man auch sagen: Datenschutz ist das Recht, in Ruhe gelassen zu werden.

Was sind „personenbezogene Daten“?

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Also zum Beispiel Name, eMail-Adresse, Anschrift, aber auch die IP-Adresse, Profilbild und weiteres.

Nicht unter den Begriff „personenbezogene Daten“ fallen etwa Firmen, wie beispielsweise eine GmbH, oder andere Organisationen wie ein Verein, Verband oder eine Stiftung. Eine solche Organisation stellt keine natürliche, sondern eine sogenannte „juristische Person“ dar.

Was gilt als „Verarbeitung“?

Verarbeiten ist jedes Speichern, Abrufen, Ausdrucken, Lesen von Daten. Im Grunde findet immer dann eine Verarbeitung statt, wenn Daten prozessiert werden und etwas mit ihnen passiert. Darunter fällt – auch wenn es kontraintuitiv erscheint – das Löschen von Daten.

Auf das Beispiel des Newsletters angewandt bedeutet das: Eine Empfängerin ist über ihre eMail-Adresse als natürliche Person identifizierbar. Die Information, dass diese Person einen bestimmten Newsletter abonniert hat, wird durch die eMail-Adresse auf ihre Person bezogen, ist also ein persönliches Datum („Datum“ als Einzahl von „Daten“).

Wer ist verantwortlich?

Für die Speicherung und Nutzung personenbezogener Daten gibt es eine verantwortliche Stelle, also eine Person oder Einrichtung, bei der die Verantwortung im Sinne der Datenschutzgrundverordnung (DSGVO) liegt. Als verantwortlich gilt demnach, wer über die Zwecke und Mittel einer Datenverarbeitung entscheidet.

Der „Zweck“ der Datenverarbeitung entspricht hier dem Informieren über neue Artikel mithilfe eines Newsletter-Versands, das Mittel dem herangezogenen Newsletter-Tool, etwa das beliebte Angebot „Mail Chimp“ (dessen Nutzung allerdings datenschutzrechtlich von der bayerischen Aufsichtsbehörde 2021 in einem Fall als rechtswidrig eingestuft wurde). Im Beispiel stehen hinter dem Newsletter-Versand nicht rein private, sondern vordergründig berufliche oder wirtschaftliche Gründe, etwa weil der Versender über die eigenen Dienstleistungen informieren und sie bewerben will. Damit handelt es sich um einen Fall für die DSGVO und der Versender muss sich an eine ganze Reihe von gesetzlichen Pflichten halten.

Übrigens: Mit der Bestimmung einer verantwortlichen Stelle orientiert sich die DSGVO noch stark am deutschen Bundesdatenschutzgesetz, das für die Verwaltung in der Regel vorsieht, klare Verantwortlichkeiten zu benennen.

Einwilligung nötig: Wann personenbezogene Daten verarbeitet werden dürfen

Die DSGVO gestattet die Verarbeitung personenbezogener Daten grundsätzlich nur unter bestimmten Bedingungen. So braucht es für die Verarbeitung der Daten für Newsletter eine so genannte Rechtsgrundlage. Im Newsletter-Beispiel ist die Versendung von Newslettern an Betroffene grundsätzlich nicht erlaubt, es sei denn, es greift eine Ausnahmeregelung. Jurist*innen nennen diese Ausnahmeregelung auch „Rechtsgrundlage“. Eine solche Rechtsgrundlage kann zum Beispiel eine Einwilligung der Empfänger*innen sein, auf die sich die Datenverarbeitung stützen kann.

Allerdings ist die Einwilligung eine Rechtsgrundlage mit Besonderheiten: Eine Einwilligung muss freiwillig und jederzeit widerrufbar sein. Konkret auf den Newsletter bezogen: Die Möglichkeit zur Austragung muss jederzeit gegeben sein. Ein Versand eines Newsletters trotz Widerruf wäre demnach eine unerlaubte Datenverarbeitung und damit ein Verstoß gegen die DSGVO.

Datenschutz

Verständlich und transparent: Wie eine gültige Einwilligung aussieht

Eine gültige Einwilligung muss im Zweifel vom Verantwortlichen nachgewiesen werden. Daher ist hierbei größte Sorgfalt geboten.

Die Einwilligung muss in verständlicher Form erfolgen. Das heißt, sie muss in klarer und einfacher Sprache abgefragt und darf nicht in anderen Textabschnitten „versteckt“ sein. Klare Sprache bedeutet, die Einwilligung darf nicht verklausuliert geschrieben, sondern muss leicht verständlich sein. Damit scheidet auch die Möglichkeit aus, die Einwilligung in AGB, also im Kleingedruckten, zu verstecken.

Kleingedrucktes vermeiden, nichts „unterschieben“

Die betroffene Person muss – unter anderem – leicht erkennen können, worin sie genau einwilligt. Für verantwortliche Stellen bedeutet das: Sie müssen transparent machen, wofür konkret sie die Einwilligung abholen. Der bekannte Witz mit dem „versteckten Kauf einer Waschmaschine durch das Unterschreiben des Kleingedruckten“ dürfte an dieser Stelle durchaus passen. Genau solch ein „Unterschieben“ ist nach der DSGVO nämlich unzulässig.

Newsletter versenden: Wie die Daten für die Einwilligung abzufragen sind

Die Einwilligung ist vor dem Beginn der Verarbeitung einzuholen. Für einen Newsletter sollte man das sogenannte Double-Opt-inVerfahren nutzen. Das heißt: In einem ersten Schritt schickt die verantwortliche Stelle einen Bestätigungslink an die angegebene eMail-Adresse. Erst wenn die Empfängerin in einem zweiten Schritt mit Klick auf diesen Link diese eMail-Adresse bestätigt hat, darf der Newsletter verschickt werden. Ansonsten ist die unbestätigte eMail-Adresse innerhalb von vier Wochen wieder zu löschen. Dies stellt eine technische und organisatorische Maßnahme (TOM) dar, um Dritte vor ungewollten Eintragungen in fremde Newsletter zu schützen.

Tipp: Damit verantwortliche Stellen die Einwilligung später nachweisen können, empfiehlt es sich, die Einwilligung zu dokumentieren.

Weiterverkauf der Daten und andere No-Go‘s

Willigt die Empfängerin nur in den Versand des Newsletters ein, ist eine weitere Verwendung der eMail-Adresse für andere Zwecke nicht von der Einwilligung gedeckt (beispielsweise die direkte Rekrutierung von Personal über diese eMail-Adresse). Sofern keine weitere Rechtsgrundlage als Erlaubnis vorliegt, ist eine weitere Verwendung der Daten verboten.

Eine Weitergabe der Daten ist nur unter strengen Voraussetzungen möglich und sollte im Einzelfall geprüft werden. Werden Dienstleister zur Unterstützung eingesetzt, wie beispielsweise ein Newsletter-Service, so ist mit diesem ein Vertrag zur Auftragsverarbeitung (abgekürzt: AVV) abzuschließen.

Der Weiterverkauf personenbezogener Daten ist nur äußerst selten erlaubt. Ohne vorherige sorgfältige rechtliche Prüfung sollte also ein Weiterverkauf gar nicht erfolgen. Bei Verstößen gegen die DSGVO drohen empfindliche Bußgelder durch die Aufsichtsbehörden. Auch Schadensersatzforderungen der Betroffenen inklusive Anwalts- und gegebenenfalls Gerichtskosten sind möglich. Es kann also teuer werden.

Datenschutz

Newsletter-Abmeldung darf nicht komplizierter sein als Anmeldung

Vor Abgabe der Einwilligung müssen Empfänger*innen die Information erhalten, dass sie die Einwilligung jederzeit widerrufen können. Der Widerruf einer Einwilligung muss genauso einfach sein wie die Einwilligung selbst. Für die verantwortliche Stelle heißt das: Sie darf es dem Betroffenen nicht schwerer machen, sich aus einem Newsletter wieder abzumelden als sich dafür anzumelden. Für die Abmeldung aus einem Newsletter auf den Postbrief zu verweisen, wird dem wohl nicht gerecht. Vielmehr sollte die verantwortliche Stelle in jeder Mail einen Link zum Austragen platzieren.

Eine Einwilligung muss stets freiwillig erfolgen. Das dürfte im Rahmen von Arbeitsverhältnissen oder auch im schulischen Bereich aufgrund des Abhängigkeitsverhältnisses eher fraglich sein. Bei Minderjährigen unter 16 Jahren ist zudem die Einwilligung nur mit Zustimmung der Erziehungsberechtigten wirksam.

Wenn Du Hilfe bei der Umsetzung deines datenschutzkonformen Newsletters brauchst, nimm gerne mit mir Kontakt auf:


Dieser Beitrag ist als Gastbeitrag auf iRights.info erschienen und kann hier im Original gelesen werden:

https://irights.info/artikel/newsletter-datenschutz/31780
Datenschutz: Worauf muss ich beim Versand von Newslettern achten?

„Datenschutz macht Spaß.
Denn bei mir bekommst du Datenschutz mit Humor.
Praxisnah?
Na logo!“


Johannes Rauchfuss,
Rechtsanwalt für Datenschutz
Nach oben scrollen