Next step DSGVO: Das sollten Sie künftig beim Anmeldeprozess zu Ihrem Newsletter beachten!
Schließlich will man bei neuen Anmeldungen ab jetzt alles richtig machen. Nicht nur die „Alt“-Einwilligungen sind ein Thema. Es gilt jetzt darauf zu achten wie künftige Einwilligungsprozesse DSGVO-konform zu gestalten sind! Sind auf den aktuellen Webseiten verwendete Anmelde- und Einwilligungsprozesse für Newsletteranmeldungen DSGVO-konform? Wie sieht es bei Downloads von kostenlosen E-Books, WhitePapers, etc. und dem Wunsch im Gegenzug weiterführende Informationen senden zu dürfen, mit der DSGVO-Konformität aus?
Ist nur die DSGVO zu beachten?
Wenn es um den Datenschutz geht, ja! Jedoch sind die weiter bestehenden Gesetze, wie UWG und TMG ebenso relevant. Vielfach übersehen wird übrigens eine positive Änderung durch die DSGVO. Zum Teil wird man in Zukunft Direktmarketing auf berechtigte Interessen stützen können und auch ohne nachgewiesenen Opt-In datenschutzkonform werben können. Aber Achtung! Ein etwaiger Verstoß gegen § 7 Abs. 2 Nr. 3 UWG wird davon unberührt bleiben. Für die Praxis ist nur dann etwas gewonnen, wenn eine ausdrückliche Einwilligung entsprechend des UWG vorliegt. Von Vorteil ist, dass eben das UWG regelt, unter welchen Gegebenheiten elektronische Post keiner Einwilligung bedarf. Jedoch Vorsicht, die Datenschutzregelungen der DSGVO, also alles datenschutzrelevante, ist dennoch zu beachten.
Der Einwilligungsprozess und DSGVO-Relevanz
In der Regel beginnt der Einwilligungsprozess auf Ihrer Webseite. Anmeldeformular für den Newsletter, Downloadangebot mit Abgabe persönlicher Daten, etc. sind bereits auf die DSGVO hin zu gestalten. Die Datenschutzerklärung auf Ihrer Website muss auch für den Einwilligungsprozess und den Umgang mit den dabei erhobenen personenbezogenen Daten, Auskunft erteilen. Dazu aber weiter unten mehr. Jeder Einwilligungsprozess muss ein Double-OptIn-Prozess (DOI-Prozess) sein. Dieser DOI-Prozess besteht aus mindestens einer Bestätigungsmail, besser aus einer weiteren Begrüßungs-Mail mit Abmeldemöglichkeit, wenn versehentlich angemeldet wurde. Beide Mails des DOI-Prozesses müssen den Anforderungen der DSGVO entsprechen. Entscheidend im DOI-Prozess ist eine weitere Vorgabe der DSGVO. Der Einwilligungsprozess muss so gestaltet sein, dass die Einwilligung nachweisbar ist.
Was ist in der Praxis, der konkreten Gestaltung des Einwilligungsprozesses, zu beachten?
Zunächst sollten Sie Ihr Augenmerk auf das Formular auf Ihrer Website legen. Schon bei der Gestaltung des Formulars gehen die Interpretationen auseinander. Datenschützer lesen aus der DSGVO die Notwendigkeit zweier zusätzlicher Checkboxen heraus. Andere Stimmen blicken mehr auf die Aussagen in Erwägungsgrund 47 der DSGVO und führen die berechtigten Interessen ins Feld. Unstrittig ist, dass bereits das Anmeldeformular einer Widerrufsbelehrung bedarf und dass die E-Mail-Adresse das einzige Pflichtfeld, hinsichtlich der erhobenen Daten, sein darf. RA Martin Schirmbacher in einem Interview: „Wer auf die Einwilligung setzt, muss datenschutzrechtlich die Voraussetzungen von Art. 7 DSGVO einhalten. Dazu zählt vor allem, dass es nun stets einer ausdrücklichen Widerrufsbelehrung bedarf. Ansonsten ändert sich nicht viel. Quatsch ist, dass es nun einer Checkbox bedürfen soll, mit der die Datenschutzerklärung akzeptiert wird. Die Datenschutzerklärung ist – wie der Name schon sagt – eine Erklärung des Unternehmens über den Umgang mit den personenbezogenen Daten der Nutzer. Um eine Zustimmung der Nutzer geht es hier nicht. Es reicht – wie schon bisher – der Hinweis auf die Datenschutzinformationen.“ Ebenso wesentlich ist, dass schon im Anmeldeformular neben der Widerrufsbelehrung, klare Aussagen zum Inhalt des Newsletters und wie häufig er erscheint, gemacht werden. RA Dr. Schwenke zeigt in einem Vortrag die beiden Extreme eines Formulars für eine Anmeldung auf. Einmal könnte das Formular so aussehen wie es eher von Datenschützern vorgezogen wird: Quelle: LCOM Hier das Anmeldeformular, wie es in der Praxis auch noch aussehen könnte: Quelle: LCOM Hinsichtlich des Kopplungsverbotes (Art. 7 Abs. 4 DSGVO) ist es wichtig, dass das Anmeldeformular für den Download, z.B. eines E-Books oder WhitePapers, der den Newsletter-Empfang zur Folge hat, dieser als Gegenleistung ausgewiesen ist. Beispielhaft könnte das wie im folgenden Formular gestaltet werden: Quelle: LCOM
Die Datenschutzerklärung
Ganz unabhängig für welche Variante Sie sich entscheiden, in der Datenschutzerklärung zeigen Sie auf, wie Sie in punkto Erhebung und Verarbeitung der personenbezogenen Daten vorgehen. Dies ist natürlich nur ein ganz kleiner Teil Ihrer Datenschutzerklärung, aber eben wichtig und nicht vernachlässigbar ohne sich der Gefahr von Abmahnungen auszusetzen. Übrigens: für die Erstellung einer Datenschutzerklärung stehen Generatoren im Netz zur Verfügung die Ihnen viel Arbeit abnehmen. Beispielsweise den Datenschutzerklärung-Generator der DGD Deutsche Gesellschaft für Datenschutz GmbH oder der von RA Dr. Schwenke.
Was ist bei der Gestaltung der DOI-Mails zu beachten?
Dreh- und Angelpunkt ist die Bestätigungs-Mail. Hat der Newsletter-Interessent das Formular abgesandt, heißt es Ihn über die Hürde „Klick auf den Bestätigungs-Link“ zu heben. Die E-Mail darf sich zwar im CI der Firma zeigen, muss sich aber jeglicher werblichen Aussage enthalten. Nach Auffassung des Autors sollte sie deshalb auch keine Links zu Produktseiten enthalten. In der Mail selbst, müssen neben dem Bestätigungs-Link, der durchaus prominent gestaltet sein kann, die Aussagen zu Inhalt und Frequenz der Zusendung, die Widerrufsbelehrung und der Hinweis und Link auf die Datenschutzerklärung wiederholt werden. Also nochmals alle Informationen aus dem Anmeldeformular. Dies ist entscheidend wichtig, da diese E-Mail als Nachweis der Anmeldung archiviert werden kann. Der Inhalt dieser E-Mail beinhaltet im Ernstfall alle Vorgaben der DSGVO um einem Nachweis der rechtskonformen Einwilligung stand zu halten. Das Formular selbst liegt ja auf Ihrer Website, ist nicht auf einen Abonnenten bezogen, nicht archivierbar und deshalb als Nachwies nicht tauglich. Die Begrüßungs-Mail des DOI-Prozesses. Die Begrüßungs-Mail die nach erfolgreich abgeschlossener Anmeldung versendet wird, steht vorallem im Zeichen von „Willkommen“ und „Dank für die Anmeldung“. War zu Beginn der Anmeldung ein Incentive als Gegenleistung versprochen, so ist jetzt der Zeitpunkt dieses bereit zu stellen. Es können Links zu Produktseiten und weitere werbliche Aussagen enthalten sein. Fallen Sie jedoch nicht gleich mit der Tür ins Haus. ACHTUNG! Das dürfen Sie bereits in dieser Mail und in der Zukunft nicht mehr unterlassen: Abmelde-Link für den Widerruf der Newsletter-Zusendung. Wenn Sie eine Erlaubnis für die Erstellung von personenbezogenen Profilen und deren Verarbeitung erhalten haben, muss auch hierfür eine Widerspruchsmöglichkeit enthalten sein.
Der Einwilligungsprozess muss nachweisbar sein!
Nach Art. 7, Abs 1 der DSGVO muss der Einwillgungsprozess nachweisbar sein. Vielerorts wird das schlicht vergessen. Es ist also ein wesentlicher Bestandteil des DOI-Prozesses (Double-OptIn), dass die mit dem Abonnenten eines Newsletters ausgetauschten Einwilligungs-Mails archiviert werden oder durch einen gleichwertigen Nachweis eine eindeutige Beweisführung möglich ist. Viele E-Mail-Marketing Systeme die den DOI-Prozess automatisiert unterstützen bieten die Möglichkeit die ausgetauschten Mails als Dublikate zu erhalten und somit können diese archviert werden. Eine weitere Möglichkeit ist, dass die Anmeldeinformationen, wie IP-Adressen, Uhrzeit, Datum etc., gesondert bei der Anmelde-E-Mail-Adresse hinterlegt werden können.
Learnings:
• Ohne DoubleOptIn-Einwilligungsprozess kein DSGVO-konformer Newsletterversand • Hinweis auf Inhalt des Newsletters und Erscheinungsfrequenz bereits im Anmeldeformular und in den DOI-Mails zwingend. • Hinweis auf Widerrufsmöglichkeit des Newsletter-Empfangs und der Erhebung von personenbezogenen Daten bereits im Anmeldeformular und in den DOI-Mails zwingend. Bereits in der DOI-Begrüßungs-Mail dürfen die Widerspruchs- / Abmeldemöglichkeiten nicht fehlen. • Nachweisbarkeit des Anmeldeprozesses ist zwingend zu beachten. • Bei Download von E-Books, WhitePapers, etc., also “kostenlosen” Dienstleistungsangeboten die richtige Formulierung wählen um Konflikte mit dem Kopplungsverbot zu vermeiden.
Literatur:
• Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung. • DSGVO inkl. Erwägungsgründe. • Thomas Schwenke LL.M. • Datenschutzerklärung-Generator der DGD • Datenschutzerklärung-Generator Dr. Schwenke
BEACHTEN SIE BITTE:
Alle in diesem Artikel gemachten Aussagen sind keine rechtsverbindlichen Aussagen. Im Bedarfsfall ist eine rechtsverbindliche Auskunft bei einem Vertreter des Berufsstandes der Rechtsanwälte einzuholen.