Bis zum 25. Mai 2018 regelten bislang das Telemediengesetz (TMG), das Bundesdatenschutzgesetz (BDSG) und das Gesetz gegen den unlauteren Wettbewerb (UWG), ob und wie E-Mail-Newsletter verschickt werden dürfen. Seit dem Stichtag ist die EU Datenschutz-Grundverordnung (EU-DSGVO) zwingend anzuwenden, die deutlichen Einfluss auf das Datenschutzrecht nimmt.
Versender
Das beginnt mit der Frage, ob das versendende Unternehmen – meist ein Dienstleister – seinen Sitz innerhalb der EU hat. Werden die Daten der Abonnenten in einem „Drittland“ gehostet, bedarf es einer Garantie des Datenschutzniveaus, was dem in der EU entsprechen muss.
Zusätzlich muss mit allen Versendern ein Auftragsverarbeitungsvertrag geschlossen werden mit der Verpflichtung, dass die Daten der Abonnenten nur entsprechend ihren Weisungen verarbeitet werden.
Anmeldeformular
Bei der Erhebung gilt das Prinzip der Datensparsamkeit: Welche personenbezogenen Daten werden also wirklich für die Zusendung des Newsletters benötigt? Der Nachname beispielsweise ist nur erforderlich, wenn die Empfänger persönlich begrüßt werden. Außerdem sollte kein Feld außer der E-Mail-Adresse verpflichtend sein.
Um die Abonnenten ausreichend auf die Datenschutzerklärung hinzuweisen, sollte eine Pflicht-Checkbox mit Verlinkung auf die Erklärung enthalten sein. Wichtig: Die Checkbox darf in der Voreinstellung nicht aktiviert sein.
Eine zweite Checkbox wird erforderlich, wenn Daten wie Mail-Öffnungen und Link-Klicks personenbezogen erhoben werden sollen. Der Abonnent muss hier über sein Widerspruchsrecht informiert werden.
Außerdem empfiehlt es sich, eine kurze Inhaltsbeschreibung des Newsletters aufzunehmen.
Anmeldeverfahren
Da bei der Anmeldung personenbezogene Daten über das Internet übertragen werden, ist für die An- und Abmeldeseite, Profilseiten oder Preference Center eine Verschlüsselung – sprich Webseiten mit HTTPS-Protokoll – vorgeschrieben.
Für den Anmeldeprozess selber ist ein Double-Opt-In-Verfahren Pflicht. Zusätzlich sollten der Zeitpunkt der Anmeldung sowie die IP-Adresse des neuen Abonnenten aus Nachweisgründen mitgespeichert werden.
Newsletter
Im Newsletter selbst muss der Abonnent die Möglichkeit erhalten, das Tracking jederzeit wieder beenden zu können – wie übrigens auch das ganze Abonnement. Deshalb sollte ein Link, der zur Profilseite oder zum Preference Center des Lesers führt, integriert werden.
Außerdem ist im Newsletter ein vollständiges Impressum Pflicht. Enthalten sein müssen:
- Name beziehungsweise Firma des Absenders,
- bei juristischen Personen deren Rechtsform und Vertretungsberechtigte,
- eine Telefonnummer und E-Mail-Adresse,
- eventuelle Registereinträge des Absenders,
- die Umsatzsteueridentifikationsnummer,
- eventuelle Kammerzugehörigkeit und Angaben zu einer Aufsichtsbehörde,
- gesetzliche Berufsbezeichnung und der Staat der Verleihung,
- Hinweis auf besondere berufsrechtlichen Regeln
- sowie der Link auf die Datenschutzerklärung.
Hinweis: Diese Empfehlungen stellen keine rechtliche Beratung dar; im Zweifel und bei Detailfragen sollte ein Rechtsanwalt konsultiert werden.