Datenschutz bei Newsletter und Postversand

Die DSGVO ist seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten anzuwenden. Geschützt werden natürliche Personen bei der Verarbeitung personenbezogener und der freie Verkehr solcher Daten, vgl. Art. 1 Abs. 1 DSGVO. Gem. Art. 1 Abs. 2 DSGVO schützt die DSGVO auch die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Insgesamt wird der Datenschutz durch die neue DSGVO signifikant verstärkt. Dies erstreckt sich auch auf weitere Bereiche, wie z.B. die Datensicherheit.

Zudem haben die neuen Bußgeldvorschriften in der DSGVO im Vergleich zum alten Bundesdatenschutzgesetz neue Dimensionen erreicht: Bußgelder von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des global erwirtschafteten Jahresumsatzes, je nachdem, welcher Betrag höher ist, drohen den verantwortlichen Stellen nach der DSGVO, vgl. Art. 83 Abs. 5 DSGVO. Nach dem alten Bundesdatenschutzgesetz war das maximal drohende Bußgeld auf 300.000 € beschränkt. Die neuen Bußgeldvorschriften betreffen auch Marketingmaßnahmen via einem E-Mail Newsletter oder Postversand, wenn die datenschutzrechtlichen Vorgaben nicht eingehalten werden. 

Gem. § 42 BDSG-neu droht sogar eine Freiheitsstrafe, wenn Personen einen bestimmten Straftatbestand erfüllen, der den Schutz von personenbezogenen Daten bezweckt. Auch die Stellung des Datenschutzbeauftragten wird in der DSGVO näher geregelt, Art. 37 ff. DSGVO. Aufgrund von Öffnungsklauseln finden sich detaillierte Vorschriften im BDSG-neu, so z.B., wann ein Datenschutzbeauftragter zu benennen bzw. zu bestellen ist, vgl. § 38 BDSG-neu. Der Datenschutzbeauftragte sollte in geplante Marketingmaßnahmen involviert werden, um eine datenschutzkonforme Durchführung zu gewährleisten.

Auch die Transparenz- und Dokumentationspflichten nach der DSGVO spielen im Datenschutz eine große Rolle, vgl. Art. 12 ff. DSGVO, 5 Abs. 2 DSGVO. Informationen und Angaben, die betroffenen Personen nach den Art. 13 und 14 DSGVO mitgeteilt werden müssen, präzise, transparent, verständlich und in einer leicht zugänglicher Form in einer klaren und einfachen Sprache mitgeteilt werden. Dies gilt insbesondere für E-Mail Newsletter, da betroffene Personen vorab nach der Maßgabe der Art. 12 ff. DSGVO informiert werden müssen.

Ferner sind wegen Art. 95 DSGVO auch Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) und der Richtlinie Richtlinie 2002/58/EG zu berücksichtigen.

Datenschutz bei Newslettern

Bei einem Newsletter handelt es sich um ein Rundschreiben, welches in regelmäßigen Abständen an einen bestimmten Adressatenkreis gesendet wird. Dies kann dabei auf unterschiedliche Arten erfolgen, wie z.B. via Post oder E-Mail. Newsletter via E-Mail-Versand sind im heutigen Marketing ein sehr beliebtes Marketinginstrument. Für einen Newsletter Versand via E-Mail müssen allerdings einige datenschutzrechtliche Vorgaben, wie z.B. aus der DSGVO, berücksichtigt werden. In der Regel wird mit einem E-Mail-Newsletter Werbung an Interessenten oder Bestandskunden versendet. Hierdurch sollen diese Zielgruppen auf bestimmte Produkte oder Dienstleistungen aufmerksam gemacht werden, damit sie diese käuflich erwerben können.

In der Praxis gibt es oft viele Verstöße gegen datenschutzrechtliche Vorgaben. So wird der Grundsatz der Rechtmäßigkeit gem. Art. 5 Abs. 1 lit. a) DSGVO oft verletzt, weil nicht die richtige Rechtsgrundlage für das E-Mail-Marketing via Newsletter verwendet wird. Auch die Grundsätze der Zweckbindung gem. Art. 5 Abs. 1 lit. b) DSGVO und Speicherbegrenzung gem. Art. 5 Abs. 1 lit. d) DSGVO werden von verantwortlichen Stellen für das Newsletter-Marketing oft nicht eingehalten.

Auch die Transparenz- und Informationspflichten aus den Art. 12 ff. DSGVO sind oft Gegenstand von typischen Datenschutzverletzungen. Technisch-organisatorische Maßnahmen entsprechen oft nicht den Anforderungen von Art. 32, 25 Abs. 2 DSGVO.  Eine erforderliche Einwilligungserklärung wird zudem oft nicht auf die nach der DSGVO erforderliche Art und Weise von den betroffenen Personen eingeholt.  

Rechtliche Grundsätze für Newsletter gemäß DSGVO

Für E-Mail-Newsletter werden in der Regel personenbezogene Daten i.S.d. DSGVO wie der Vor- und Nachname und die E-Mail-Adresse der betroffenen Person erhoben und verarbeitet. Vor Beginn der Verarbeitung muss zunächst eine informierte Einwilligungserklärung gem. Art. 6 Abs. 1 lit. a), 7 und 8 DSGVO von der betroffenen Person via Double-Opt-In eingeholt werden. 

Bei der Verarbeitung von personenbezogenen Daten sind außerdem alle nach Art. 32, 25 DSGVO erforderlichen technischen und organisatorischen Maßnahmen einzuhalten. Bei der Wahl eines Dienstleisters für den Versand eines Newsletters via E-Mail sind die Regelungen in Art. 28 DSGVO zu berücksichtigen: Falls es sich bei dem einschlägigen E-Mail-Dienstleister um einen Auftragsverarbeiter handelt, was regelmäßig der Fall ist, liegt ein Auftragsverarbeitungsverhältnis vor. Daher ist nach der Maßgabe von Art. 28 DSGVO ein Auftragsverarbeitungsvertrag mit diesem Dienstleister abzuschließen. Vorher ist allerdings zu prüfen, ob auch die technisch-organisatorischen Maßnahmen dieses Dienstleisters den Anforderungen von Art. 32, 25 und Art. 28 Abs. 3 lit. c) DSGVO genügen.

Darüber hinaus muss die Datenschutzerklärung alle Modalitäten bezüglich der Verarbeitung von personenbezogenen Daten durch den Einsatz eines Newsletters via E-Mail-Versand gem. Art. 12 ff. DSGVO enthalten. Insbesondere die Vorgaben aus Art. 13 und Art. 14 DSGVO spielen in diesem Zusammenhang eine große Rolle. In der Datenschutzerklärung sollte angegeben werden, was genau mit den Daten passiert und wie genau der Double-Opt-In Prozess für den E-Mail-Newsletter ausgestaltet ist. Auch bezüglich des eingesetzten Dienstleisters sollten Sie die nach Art. 12 ff. DSGVO erforderlichen Informationen angeben und auf die Datenschutzerklärung des Dienstleisters verlinken. Ihr Datenschutzbeauftragter unterstützt Sie bei der Erstellung der erforderlichen textlichen Angaben.

• §13 des Telekommunikationsgesetzes (TMG) soll laut einer Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 26. April 2018 seit Anwendbarkeit der DSGVO nicht mehr anwendbar sein.

Die Empfänger der personenbezogenen Daten, wie z.B. der Dienstleister für den E-Mail-Newsletter Versand, müssen nach Maßgabe des Art. 13 oder art. 14 DSGVO ebenfalls angegeben werden. 

Berücksichtigt werden sollte darüber hinaus die Angabe eines Impressums für den Newsletter. Die Pflicht für die Angabe des Impressums ergibt sich aus dem Telemediengesetz.  § 5 TMG regelt diese erforderliche Pflichtangabe. In der Regel eignet sich Footer-Bereich eines Newsletters für die erforderlichen Angaben, wie z.B. wer der Absender des Newsletters ist. Neben der Anschrift sollte auch ein Abmeldelink angegeben werden.

Nicht zuletzt sollten Sie auch darauf achten, dass Ihr Newsletter ein Impressum enthält. Diese Notwendigkeit der Impressumspflicht im Newsletter sieht das Telemediengesetz (TMG) im § 5 vor. Klären Sie also darüber auf, wer der Absender des Newsletters ist (inkl. Anschrift und natürlich Abmeldelink). Der Footer des Newsletters ist für diese Informationen besonders gut geeignet.

Eine wichtige Rolle finden zudem wettbewerbsrechtliche Regelungen. Das Gesetz gegen den unlauteren Wettbewerb (UWG) enthält in § 7 einige Vorgaben bezüglich des Versandes eines E-Mail-Newsletters für Werbezwecke. Diese Vorgaben müssen aufgrund der Regelung in Art. 95 DSGVO i.V.m. Richtlinie 2002/58/EG auch im Rahmen der Anwendung der DSGVO berücksichtigt werden. 

E-Mail-Newsletter nur nach Einwilligung durch Double-Opt-In

Nach den Regelungen der DSGVO ist eine Einwilligungserklärung gem. Art. 6 Abs. 1 lit. a) DSGVO für den Versand eines E-Mail-Newsletters erforderlich. Auch wenn in Erwägungsgrund 47 S.7 zur DSGVO beschrieben wird, dass die die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVOdienende Verarbeitung betrachtet werden, ist darüber hinaus wegen Art. 95 DSGVO i.V.m. Richtlinie 2002/58/EG die Regelung § 7 Abs. 1 S.1 UWG zu berücksichtigen: Hiernach ist eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, unzulässig. Nach § 7 Abs. 1 S.2 UWG gilt dies insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht. Laut § 7 Abs. 2 Nr. 3 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt.

Somit reicht das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO nicht aus, um Werbung mit einem E-Mail-Newsletter an betroffene Personen zu senden. Es ist stets eine informierte Einwilligung von der betroffenen Person via Double-Opt-In erforderlich, vgl. Art. 6 Abs. 1 lit. a), 7, 8, 95 DSGVO, Richtlinie 2002/58/EG und § 7 Abs. 2 Nr. 3 UWG.

Sonderfall Bestandskunden?

Es ist oft die Rede von einer Ausnahme der Einwilligungspflicht für einen E-Mail-Newsletter bei Bestandskunden. Das ist so pauschal formuliert allerdings nicht richtig. Vielmehr ist nach der Ausnahmeregelung in § 7 Abs. 3 UWG eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post erst dann nicht anzunehmen, wenn ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden die elektronische Postadresse erhalten hat, der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, der Kunde der Verwendung nicht widersprochen hat und der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Die Anwendbarkeit dieser Ausnahmeregelung ist in der Praxis nur in einigen Einzelfällen möglich, weshalb eine restriktive Handhabung erforderlich ist. Es ist daher ratsam, in diesem Zusammenhang eine Beratung bezüglich der Anwendbarkeit dieser Ausnahmeregelung zu beanspruchen.

Darauf muss bei Newslettern zusätzlich geachtet werden

Wichtig ist zunächst, dass in der Datenschutzerklärung ausführlich über das Verfahren bezüglich der Einwilligung und der Verarbeitung der personenbezogenen Daten nach Maßgabe der Art. 12 ff. DSGVO informiert wird. Außerdem muss die betroffene über das bestehende Widerrufsrecht informiert werden. Der Newsletter muss einen Abmeldelink enthalten, die Bestätigung der Abmeldung sollte dagegen nicht via E-Mail gegenüber der betroffenen Person erfolgen.

Über einen beabsichtigten Transfer in Drittländer sind betroffenen Personen vorab zu informieren. Ferner sind die Regelungen der DSGVO aus Art. 44 ff. DSGVO zu berücksichtigen. 

Bei der Auswahl der E-Mail-Dienstleister für einen Newsletter sollten Sie darauf achten, dass die technisch-organisatorischen Maßnahmen dieses Dienstleisters den Vorgaben der DSGVO entsprechen. Außerdem muss geprüft werden, ob es sich um einen Fall der Auftragsverarbeitung handelt. Falls dies bejaht wird, muss ein Auftragsverarbeitungsvertrag nach Maßgabe des Art. 28 DSGVO mit dem Dienstleister abgeschlossen werden. Auch der Ort der Datenverarbeitung bei Dienstleistern bzw. die von dem Dienstleister eingesetzten Subunternehmen sollten geprüft werden. 

Datensätze, die gekauft worden sind, sollten auf keinen Fall für das E-Mail-Marketing via Newsletter eingesetzt werden, da die hierfür erforderliche Einwilligung von den betroffenen Personen fehlen wird.

Welche Newsletter-Dienste sind geeignet?

Die nachfolgenden Dienstleister haben wir umfassend geprüft und können Ihnen somit die folgenden Dienstleister empfehlen. 

Um den US-amerikanischen Dienst Mailchimp als Betreiber sicher nutzen zu können, bedarf es einer gewissen Vorbereitung. Grundsätzlich benötigen Sie erst einmal, wie bei allen anderen Newsletter-Dienstleistern, ein Double-Opt-In-(DOI)-Verfahren. Ohne Double-Opt-In werden Sie nicht nachweisen können, dass die Webseiten-Besucher sich mit ihrer E-Mail-Adresse selbst in Ihren Newsletter eingetragen haben. Es besteht die sogenannte Nachweispflicht gemäß Art. 7 Abs. 1 , Art. 5 Abs. 2 DSGVO. Nur wenn der Inhaber der E-Mail-Adresse eine Bestätigungsmail erhalten hat und den darin enthaltenen Aktivierungslink bestätigt, haben Sie einen Nachweis der Einwilligung.

Sie müssen dabei allerdings beachten, dass Sie Ihre Einwilligung gleichzeitig für mehrere Zwecke ausgestalten, welche zum Beispiel die Erfolgsmessung mit umfassen. Der Vorteil ist, dass in dem Fall eine Abwägung mit den Schutzinteressen der Nutzer entfällt. Lediglich der Verwaltungsaufwand von Einwilligungen/Widerrufen fällt an, wobei dieser intelligent durch Mailchimp gesteuert wird.

Ebenfalls muss gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag geschlossen werden: Hierdurch verpflichtet sich MailChimp dazu, die personenbezogenen Daten Ihrer Empfänger nur entsprechend nach Ihren Weisungen zu verarbeiten. Des Weiteren werden die Mindestanforderungen der DSGVO in dem Vertrag zugesagt. Seit 2019 hat Mailchimp den Auftragsverarbeitungsvertrag in die eigene AGB integriert, sodass ein gesonderter Abschluss nicht erfolgen muss.

Zusätzlich ist Mailchimp unter dem EU/Schweiz-US-Privacy-Shield zertifiziert, wodurch geeignete Garantien geboten werden, um den Dienst Mailchimp als sicheren Dienst im EU-Drittland zu kategorisieren. 

Weitere Newsletter-Dienste, welche datenschutzkonforme Lösungen anbieten, sind nach unserer Ansicht u.a. Mailjet, CleverReach oder Newsletter2Go.

Datenschutz bei Werbung per Postversand

Da es bei Werbebriefen über einen postalischen Versand grundsätzlich um eine geringere Eingriffsintensität bei der betroffenen Person im Vergleich zu E-Mails handelt, wird oft angenommen, dass der Versand von Werbebriefen ohne Einwilligungserklärung der betroffenen Person möglich ist. Insbesondere Erwägungsgrund 47 S.7 zur DSGVO wird in diesem Zusammenhang genannt. Dies hängt allerdings stark von dem jeweiligen Einzelfall ab: Es ist genau zu untersuchen, ob das Interesse des Werbenden das Interesse der betroffenen Person, wie in Art. 6 Abs. 1 lit. f) DSGVO erläutert, überwiegt. Erst dann ist ein Werbebrief ohne vorherige Einwilligung zulässig. 

Natürlich muss die Erhebung der Daten als solche auf einer entsprechenden Rechtsgrundlage nach Art. 6 DSGVO basieren. Ansonsten liegt bereits zu diesem Zeitpunkt ein Verstoß gegen die DSGVO vor.

Darüber hinaus sind stets die Informationspflichten nach Art. 12 ff., insbesondere nach Art. 13 und Art. 14 DSGVO, zu berücksichtigen und gegenüber den betroffenen Personen zu erfüllen. Bei dem Einsatz von Dienstleistern, z.B. eines Lettershops, ist ferner auch hier die Konstellation der Auftragsverarbeitung zu prüfen. Bei Einschlägigkeit ist ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO mit dem jeweiligen Dienstleister abzuschließen. Auch die technisch-organisatorischen Maßnahmen dieses Dienstleisters müssen vorab vor der Beauftragung auf Konformität mit Art. 32, 25 DSGVO geprüft werden. Zudem müssen auch bei Werbebriefen die Regelungen der §§ 5, 5a, 3 Abs. 1, 7 Abs. 1 , Abs. 2 Nr. 1 UWG berücksichtigt und eingehalten werden.

Strafen bei Verstößen gegen die DSGVO

Bei Verstößen gegen die genannten gesetzlichen Vorgaben der DSGVO drohen Bußgelder Wesentliche höhere Bußgelder drohen dagegen nach der DSGVO: Gem Art. 83 Abs. 4 und Abs. 5 DSGVO drohen Bußgelder von bis zu 10 bzw. 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Darüber hinaus drohen Abmahnungen, wenn z.B. die E-Mail Werbung trotz Abmeldung von dem jeweiligen Newsletter weiter versendet wird.

Wie können Ihnen externe Datenschutzbeauftragte helfen?

Ihr Datenschutzbeauftragter berät Sie bei der datenschutzkonformen Erstellung einer Einwilligungserklärung und erarbeitet mit Ihnen ein Verfahren, um die Einwilligung via Double-Opt-In und informiert einzuholen. Darüber hinaus werden Sie bezüglich der Einhaltung weiterer datenschutzrechtlicher Vorgaben für den Newsletter-Versand via E-Mail und Post beraten. Setzen Sie sich jetzt mit den Experten von Keyed in Verbindung, um Ihre nächsten Marketing-Kampagnen datenschutzkonform durchzuführen. Zu berücksichtigen ist nämlich, dass jede geplante Marketing-Aktivität individuell von einem Datenschutzbeauftragten begutachtet werden sollte, um eine datenschutzkonforme Handhabung zu garantieren.