Auch im E-Mail-Marketing sind die Vorgaben der DSGVO nicht außer Acht zu lassen. Aber: Wie sieht DSGVO-konformes E-Mail-Marketing wirklich aus? Was muss ich wann beachten? Wo lauern Fallstricke? Wir geben Ihnen die Antworten – anhand von drei konkreten Schritten:

Lea Kaumanns

Schritt 1: Der Anmeldeprozess
Datensparsamkeit
Als E-Mail-Versender sind Sie laut DSGVO zur Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) verpflichtet. Daher sollten Sie im Rahmen des Anmeldeprozesses nur die Daten erheben, welche Sie für den Newsletter-Versand benötigen. Ermöglichen Sie es Ihren Kunden daher, Ihren Newsletter allein durch Eingabe einer E-Mail-Adresse zu erhalten. Diese sollte auch die einzige Pflichtangabe in Ihrem Anmeldeformular sein.
Im Einzelfall kann es erforderlich sein, weitere Daten zu erheben. Dabei kann es sich zum Beispiel um die Anrede oder den Vor- und Nachnamen handeln. Während diese Daten durchaus erhoben werden dürfen, sieht es beispielsweise bei einem Geburtsdatum oder dem Herkunftsort kritischer aus. Der Umfang der erhobenen Daten sollte daher stets mit dem Datenschutzbeauftragten besprochen werden.
Pflicht-Checkbox integrieren
Gemäß Art. 7, ErwGr. 32 S. 1 DSGVO muss eine Einwilligung freiwillig und informiert erteilt werden. Für Sie bedeutet dies, dass Sie auf Ihrer Anmeldeseite eine Pflicht-Checkbox benötigen, die nicht in ihrer Voreinstellung aktiviert sein darf. Jeder Neuanmelder muss diese Box selbst aktivieren, damit seine Newsletter-Anmeldung erfolgreich abgeschlossen werden kann.
Zudem sieht Art. 13 Abs. 1, 2 DSGVO vor, dass Sie Interessenten bereits bei der Erhebung ihrer personenbezogenen Daten umfassend informieren müssen. Diese Informationspflichten sollten ferner leicht zugänglich im Rahmen der Newsletter-Anmeldung verlinkt werden, sodass es dem Interessenten ermöglicht wird, sich im Vorhinein über die Verarbeitung seiner Daten zu informieren.
Tracking und Personalisierung
Ein Tracking der Newsletter-Empfänger ist grundsätzlich nur dann möglich, wenn der Empfänger in das Tracking eingewilligt hat. Diesbezüglich gibt es jedoch unterschiedliche Ansätze, Vorgaben und Empfehlungen, die den Rahmen dieses Artikels sprengen würden. Wir freuen uns daher, dass wir Ihnen im Februar 2021 einen Spezial-Artikel zu diesem Thema anbieten können.
HTTPS-Protokoll verwenden
Nach Art. 32 Abs. 1 DSGVO muss die Verantwortliche Stelle angemessene technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten ergreifen. Eine unverschlüsselte Übertragung von personenbezogenen Daten über das Internet birgt ein großes Risiko für einen Missbrauch der Daten. Daher sollten Sie die Abgabe einer Einwilligung sowie das Preference Center nur auf Webseiten mit HTTPS-Protokoll anbieten. Daten, die von diesen Seiten übertragen werden, sind damit bei ihrer Übertragung verschlüsselt.
Archivieren von Screenshots und E-Mail-Kopien
Als Verantwortliche Stelle trifft Sie die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Danach sind Sie verpflichtet nachzuweisen, dass die rechtlichen Rahmenbedingungen eingehalten wurden. Daher ist zu empfehlen bei jeder Änderung Ihrer Anmeldeseite, Ihrer Datenschutzerklärung, Ihrer Double-Opt-in-Mails sowie der Anmeldelogik hinter den Formularen, einen Screenshot mit Zeitstempel zu erstellen oder elektronische Kopien zu sichern. Archivieren Sie diese Screenshots und Kopien. Immer dann, wenn sich an der Anmeldung etwas ändert, archivieren Sie die geänderten Versionen erneut.
Double-Opt-in (DOI)
Bereits vor Inkrafttreten der DSGVO war das Double-Opt-in-Verfahren in Deutschland aus wettbewerbsrechtlicher Sicht verpflichtend. Dies hat sich durch die DSGVO nicht geändert. Setzen daher auch Sie auf dieses Verfahren, bei dem ein Interessent seine Anmeldung zu Ihrem Newsletter durch einen Klick auf einen Link in einer DOI-Mail bestätigen muss. Denken Sie auch daran, diese Bestätigung für den Fall der Fälle genau zu protokollieren, denn im Zweifel müssen Sie gemäß Art. 7 Abs. 1 DSGVO nachweisen, dass Ihnen die Einwilligung rechtskonform erteilt wurde.
Schritt 2: Der Versand
Auftragsverarbeitung
Sobald Sie Ihre Newsletter über ein professionelles Versandtool eines Drittanbieters versenden, schreibt Art. 28 DSGVO vor, mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung abzuschließen. Gleiches gilt, wenn Sie bspw. eine Agentur mit der Erstellung und dem Versand Ihrer Newsletter beauftragen und diese unter Ihrer Weisung Ihre personenbezogenen Daten verarbeiten.
Impressumpflicht
Wie Ihre Webseite ist auch eine E-Mail von Ihnen oder Ihr Newsletter eine geschäftsmäßige Veröffentlichung von Inhalten im Internet. Daher besteht auch für Ihre elektronische Post gemäß § 5 TMG die Pflicht zur Nennung bestimmter Informationen. Damit Sie als Absender erkennbar sind, müssen Sie also im Rahmen der Impressumpflicht innerhalb Ihrer E-Mails den Unternehmensnamen, Ihre Anschrift und eine E-Mail-Adresse zur schnellen Kontaktaufnahme im Impressum Ihrer E-Mails angeben. Laut eines Urteils des OLG München reicht es dabei auch aus, wenn Ihr Impressum über zwei Klicks erreicht werden kann. Damit genügt auch ein Link zu Ihrem Impressum auf der Internetseite Ihres Unternehmens den gesetzlichen Anforderungen.
Schritt 3: Die Abmeldung
Abmeldelink in Newsletter
Eine Einwilligung ist nach Art. 7 Abs. 3 S. 1 DSGVO jederzeit widerrufbar. Der Hinweis auf dieses Recht bereits im Kontext der Anmeldung ist ebenso verpflichtend, wie ein Abmeldelink in jedem Newsletter. Wir empfehlen Ihnen außerdem in diesem Zusammenhang eine einfache 1-Klick-Abmeldung zu nutzen. Diese für den Nutzer einfache und bequeme Art des Widerspruchs wird von Nutzern positiv wahrgenommen.
Außerdem sollten Sie Abonnenten eine einfache Möglichkeit bieten, sich auch per E-Mail oder auf anderen Wegen (telefonisch, postalisch etc.) an Sie wenden zu können, um sich aus Ihrem Verteiler wieder austragen zu lassen.
Datenlöschung
Nach Art. 17 DSGVO hat die betroffene Person ein Recht auf Löschung ihrer personenbezogenen Daten. Kunden können daher von Ihnen verlangen, ihre personenbezogenen Daten in bestimmten Fällen zu löschen.
Weiterhin sind Daten nach Art. 5 Abs. 1 lit. e DSGVO zu löschen, wenn der Zweck der Verarbeitung, beispielsweise durch einen Widerruf der Einwilligung, erloschen ist und dem keine sonstigen gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bitte beachten Sie: Als Agentur geben wir Ihnen in diesem Artikel lediglich Hinweise und erteilen ausdrücklich keine Rechtsberatung. Für eine Rechtsberatung wenden Sie sich bitte an einen fachkundigen Anwalt.