Datenschutzbeauftragter und Sachverständiger für Datenschutz

Der Datenschutz im Internet betrifft nicht nur das Surfverhalten auf Webseiten, sondern gerade auch den Empfang von E-Mails. Besonders das E-Mail-Marketing hat daher mit der Umsetzung des europäischen Datenschutzgesetzes neue Vorgaben zu beachten – der Versand von Newslettern unterfällt jetzt nämlich dem Regelungsbereich der DSGVO und ist aus datenschutzrechtlichen Überlegungen heraus häufig gar nicht mehr in der bisher gewohnten Form zulässig.

Worum geht es beim E-Mail-Marketing?

Newsletter und E-Mail-Marketing haben sich als zuverlässige Werbemaßnahmen im Online-Bereich schon lange bewährt: Sie ähneln entfernt kleinen Werbezetteln, die Unternehmer auf die virtuellen Postfächer von Kunden und Abonnenten verteilen. Newsletter können dabei ganz unterschiedliche Formen annehmen – von reinen Informationsmails bis hin zu Umfragen, Gutscheinen und Gewinnspielen nutzen Unternehmen Inhalte und Angebote rund um die eigenen Produkte, um wie per Kundenbroschüre Bestandskunden zu binden und potenzielle Kunden zu überzeugen.

Bis zur Datenschutzgrundverordnung fielen Newsletter und die rechtliche Beurteilung von E-Mail-Marketing in den Bereich des Bundesdatenschutzgesetzes (kurz: BDSG) und in den Bereich des Gesetzes gegen den Unlauteren Wettbewerb (kurz: UWG). Nach dem Inkrafttreten der DSGVO änderte sich dabei für Newsletter-Versender recht wenig: Denn auch angesichts der seit Mai 2018 geltenden Datenschutzgrundverordnung entspricht die europäische Regelung weitgehend der bisherigen nationalen Gesetzeslage.

DSGVO und E-Mail-Marketing

Wie bei allen anderen E-Mails ist auch beim E-Mail-Marketing der Schutz von personenbezogenen Daten oberstes Ziel jeder rechtlichen Bestimmung. Daher sind auch die Rechtsvorschriften danach ausgerichtet. Folgende Regelungen gelten nun für den Versand von Newslettern und werbenden E-Mails:

  1. Kein Newsletter ohne Einwilligung!
    Newsletter dürfen nicht ohne entsprechende Zustimmung des Empfängers verschickt werden. Die Einwilligung zum Newsletter-Versand müssen Webseitenbetreiber bzw. Unternehmen daher vorher einholen. Wichtig dabei: Die Einwilligung muss explizit die Zustimmung beinhalten, einen Newsletter zu erhalten – diese sollten Newsletter-Versender auch nachweisen können, eine schriftliche Zustimmung per double opt-in ist daher unumgänglich.
  1. Das Anmeldeformular für den Newsletter muss DSGVO-konform sein!
    Die Einwilligung zum Newsletter-Versand erfolgt in der Regel über ein Anmeldeformular auf der Webseite. Auch das Formular selbst muss den Ansprüchen der DSGVO genügen und datenschutzrechtlich auf dem neuesten Stand sein. Dazu gehört zum einen die Aufklärung über den Verwendungszweck und zum anderen die Aufklärung darüber, dass sich User auch jederzeit wieder von dem Newsletter abmelden können.
  1. Der Newsletter selbst muss DSGVO-konform sein!
    Der Newsletter selbst muss ebenfalls den gesetzlichen Anforderungen aus der Datenschutzgrundverordnung entsprechen: Das bedeutet, dass er sowohl einen Link zur Abmeldung enthält als auch das Impressum oder einen Link zum Impressum sowie einen Link zur Datenschutzerklärung enthalten muss sowie einen Profillink, der Änderungen am eigenen Profil zulässt.

  2. Fragen Sie nur Daten ab, die Sie wirklich benötigen!
    Für eine Newsletter-Anmeldung benötigen Sie nur wenige Daten. Das Prinzip der Datensparsamkeit ist einer der wichtigsten Grundsätze der DSGVO: Demnach dürfen Sie nur die Daten erheben, die Sie auch tatsächlich brauchen. Newsletter-Anmeldungen, die nach der Telefonnummer oder Adresse fragen, sind nicht zulässig!

Die Datenschutzgrundverordnung hat für Unternehmer auch im Bereich des E-Mail Marketings neue Anforderungen gestellt: Auch hier ist die DSGVO nun direkt geltendes Recht und fordert von Unternehmen jeder Größe die Beachtung der datenschutzrechtlichen Vorschriften.

Als Unternehmer sollten Sie Ihre Marketing-Maßnahmen auf ihre DSGVO-Konformität hin überprüfen. Aus der Erfahrung weiß ich, dass es hier oft in Punkto Datenschutz einiges zu verbessern gibt. Das gilt gerade auch deshalb, da Sie beim E-Mail Marketing auf die bereits erwähnten personenbezogenen Daten zugreifen: Jede Mail, die Sie empfangen oder versenden, nutzt die nach Art. 4 DSGVO geschützten persönlichen Daten und erfordert somit eine besondere Sorgfalt im Umgang.

Wie kann ich Mailings und Newsletter DSGVO-konform einsetzen?

Wenn Sie auch weiterhin auf E-Mail Marketing setzen, dann sollten Sie folgende rechtliche Bedingungen beachten:

  1. Die Verarbeitung von personenbezogenen Daten ist nach der Datenschutzgrundverordnung nur dann zulässig, wenn sie durch eine gesetzliche Vorschrift explizit zulässig ist oder wenn der Betroffene in die Verarbeitung eingewilligt hat. Eine Verarbeitung fällt somit unter einen sogenannten Erlaubnisvorbehalt: Sie ist solange verboten, bis nicht eine der beiden Voraussetzungen gegeben ist. Damit fällt das E-Mail Marketing weg, wenn Sie weder eine gesetzliche Erlaubnis noch eine Einwilligung des Newsletter-Adressaten vorweisen können.
  2. Eine Einwilligung des Betroffenen ist nur dann anzunehmen, wenn dieser im Vorfeld umfassend über die Verarbeitung seiner Daten informiert wurde. Das ist als Unternehmer Ihre Aufgabe: Beim Sammeln von E-Mail Adressen ist es Ihre Pflicht, zukünftige Newsletter-Empfänger darüber aufzuklären, wofür die E-Mail Adresse benutzt wird und welche Daten dabei noch abgefragt werden.
  3. Betroffene können jederzeit ihre Einwilligung widerrufen: Sie sind dann verpflichtet, diesem Widerruf nachzukommen und den Newsletter- bzw. Mailingversand einzustellen. Der Widerruf der Einwilligung muss dabei genau so einfach sein wie die Zustimmung zur Verarbeitung der personenbezogenen Daten: Technische Hürden sind damit unzulässig und stellen einen Verbot gegen das sogenannte Simplizitätsgebot dar.

Ich habe eine lange Liste an E-Mail Adressen aus der Zeit vor der DSGVO – kann ich diese weiterhin nutzen?

Viele Unternehmen haben schon lange vor dem Inkrafttreten der DSGVO aktives E-Mail Marketing betrieben. Dementsprechend groß ist in diesen Fällen auch regelmäßig der Altbestand an Kontaktdaten, die sich dabei ergeben haben. Fraglich ist daher häufig, ob dieser Altbestand auch mit der DSGVO weiter genutzt werden darf – oder ob es hier womöglich notwendig ist, neue Einwilligungen für die vorhandenen E-Mail Adressen einzuholen.

Tatsächlich hat sich der europäische Gesetzgeber hier dafür entschieden, dass Einwilligungen, die auch vor der DSGVO rechtskonform erteilt wurden, auch nach dem Inkrafttreten der Datenschutzgrundverordnung rechtswirksam fortgelten sollen. Das ergibt sich aus dem Erwägungsgrund 171 zur DSGVO[1]. Wichtig zu wissen: Rechtskonform sind die ursprünglich erteilten Einwilligungen dann, wenn sie den Ansprüchen des Bundesdatenschutzgesetzes (kurz: BDSG) und dem Telemediengesetz (kurz: TMG) genügen und auch unter DSGVO-Gesichtspunkten nicht gegen geltendes Gesetz verstoßen.

Meine Empfehlung

Wenn Sie in Ihrem Unternehmen Marketingmaßnahmen in Form von Mailings und Newslettern aktiv einsetzen, dann können Sie dies auch mit der DSGVO weiterhin rechtssicher tun. Um rechtlich abgesichert zu sein, empfehle ich aber dennoch die Hinzuziehung eines Experten: Hier hilft oft der Blick von außen, um Schwachstellen zu erkennen und Verbesserungen auf den Weg zu bringen!

 

[1] https://dsgvo-gesetz.de/erwaegungsgruende/nr-171/

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau