Checkliste

Sechs Punkte, die Sie für eine EU-DSGVO-konforme Newsletter-Anmeldung beachten müssen

ONEtoONE-Autor Martin Aschoff ist Geschäftsführer von EMail-Dienstleister Agnitas AG.

Hier die sechs Punkte, die Sie künftig unbedingt beachten sollten, zusammen mit der Begründung und Verweisen auf die entsprechenden Textstellen der EU-DSGVO für diejenigen, die es ganz genau wissen wollen:

1. Pflicht-Checkbox
Integrieren Sie in Ihre Anmeldeseite eine Pflicht-Checkbox, die auf Ihre Datenschutzerklärung verlinkt. Diese Checkbox darf in der Voreinstellung nicht aktiviert sein. Nur wenn der Interessent sie aktiviert, sollte die Newsletter-Anmeldung erfolgreich abgeschlossen werden können.

Begründung: Artikel 13 der EU-DSGVO fordert, dass betroffene Personen schon bei der Erhebung von personenbezogenen Daten (also z.B. die Daten im Newsletter-Anmeldeformular) umfassend informiert werden müssen. Zu den geforderten Informationen zählen unter anderem die Kontaktdaten des Versenders und dessen Datenschutzbeauftragten, der Verarbeitungszweck und deren Rechtsgrundlage, die Speicherdauer bzw. die Kriterien dafür, das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, das Recht auf Widerruf der Einwilligung sowie das Beschwerderecht bei der Aufsichtsbehörde.

Aufgrund des Umfangs dieser Informationspflichten empfiehlt sich die Auslagerung in eine gesonderte Datenschutzerklärung.

2. Tracking-Checkbox
Nehmen Sie in Ihre Anmeldeseite eine Checkbox auf, über die der Interessent angeben kann, ob er getrackt werden möchte. Dies gilt zumindest dann, wenn Sie Mail-Öffnungen und Link-Klicks standardmäßig personenbezogen messen, und/oder wenn Sie über Ihre E-Mails individuelle Cookies verteilen und darüber Aufrufe auf Webseiten personenbezogen messen. (Wenn das Messen nicht personenbezogen erfolgt, ist keine Einwilligung erforderlich, denn in diesem Fall werden keine personenbezogenen Daten erhoben und die EU-DSGVO findet daher keine Anwendung.)

Begründung: Generell ist das Tracking möglich, denn Erwägungsgrund 47 der EU-DSGVO, der auf das "berechtigte Interesse" des Versenders eingeht (siehe auch Artikel 6 Absatz 1 f), erlaubt die Verarbeitung personenbezogener Daten, wenn der Versender daran ein berechtigtes Interesse hat. Dies gilt selbst für Werbung, denn im Erwägungsgrund heißt es abschließend wortwörtlich: "Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden."

Und ein berechtigtes Interesse des E-Mail-Versenders am personenbezogenen Tracking ist vorhanden, denn er möchte seine Empfänger besser kennenlernen, um ihnen individuelle Inhalte anbieten zu können und damit die Kommunikation relevanter zu machen.

Allerdings gilt in diesem Zusammenhang auch Artikel 21 der EU-DSGVO, der hier gekürzt wiedergegeben wird:

"(1) Die betroffene Person hat das Recht, [...] jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 (1) [...] f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. [...]"
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht."
(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen."

Das bedeutet, der Interessent muss bereits bei der Anmeldung über sein Widerspruchsrecht informiert werden. Um dieses auszuüben, bietet sich die oben empfohlene Checkbox an.

3. Kopplungsverbot
Sie dürfen den Versand Ihres Newsletter nicht an die Zustimmung des Empfängers zum Tracking knüpfen, denn Artikel 7 Absatz 4 der EU-DSGVO definiert ein Kopplungsverbot für die Einwilligung: "Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Da es für die Erfüllung der Dienstleistung, d.h. den Versand des Newsletters, nicht erforderlich ist, Mail-Öffnungen und Klicks personenbezogen zu messen, dürfen Sie auch nicht dessen Versand an die Zustimmung zum Tracking knüpfen.

Man könnte damit argumentieren, dass nur das personenbezogene Tracking personalisierte und individualisierte Inhalte erlaubt, doch da es jedem Versender gelingt, auch Newsletter an Empfänger zu versenden, die (noch) nie geöffnet oder geklickt hat, steht diese Argumentation auf wackeligen Füßen.

4. Link zum Tracking
Integrieren Sie in jeder E-Mail einen Link auf eine Profilseite bzw. ein Preference Center, wo der Newsletter-Empfänger das Tracking über eine Checkbox abwählen kann.

Begründung: Der bereits in Punkt 1 erwähnte Artikel 13 fordert das Recht auf Widerruf der Einwilligung. Bei einem Widerruf der Einwilligung dürfen übrigens auch die vorhandenen Tracking-Daten gemäß Artikel 21 Absatz 3 nicht mehr genutzt werden: "Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personen­bezogenen Daten nicht mehr für diese Zwecke verarbeitet."

Auch der sicheren Seite ist, wer Tracking-Daten bei einem Widerruf auch rückwirkend löscht.

5. Nur HTTPS
Bieten Sie An- und Abmeldeformulare sowie ein Preference Center nur über Webseiten mit HTTPS-Protokoll an.

Begründung: Das HTTPS-Protokoll stellt sicher, dass personenbezogenen Daten, die über das Internet übertragen werden, verschlüsselt sind, denn Artikel 32 Absatz 1 der EU-DSGVO fordert "[...] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten [...]"

Die unverschlüsselte Übertragung von personenbezogenen Daten über das Internet ist damit nicht zulässig, weil ein angemessenes Schutzniveau fehlt.

6. Screenshot archivieren
Archivieren Sie einen Screenshot Ihrer Anmeldeseite, Ihrer Datenschutzerklärung, Ihrer Double-opt-in-Mails sowie die Anmeldelogik hinter den Formularen mit Zeitstempel. Immer dann, wenn sich an der Anmeldung etwas ändert, archivieren Sie die geänderten Version erneut.

Begründung: Artikel 7 Absatz 1 der EU-DSGVO fordert: "Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat." Je besser Sie für diesen Nachweis vorbereitet sind, desto höher sind Ihre Chancen im Streitfall.