DSGVO im Newsletter Marketing: 11 Datenschutz-Tipps

Datenschutz ist für Newsletter Versender ein absolutes Muss! Und immerhin nutzen mittlerweile 88 Prozent der Unternehmen ein rechtssicheres Anmeldeverfahren. Doch die DSGVO hat im Newsletter und Email Marketing eine viel weitreichendere Bedeutung. Unsere Tipps helfen Ihnen dabei, Ihre(n) Newsletter datenschutzkonform zu erstellen und zu versenden.

Laut Email Marketing Benchmarks 2021 gestalten rund 9 von 10 Unternehmen die Newsletter Anmeldung DSGVO-konform und übertragen ihre Kundendaten sicher gemäß der aktuellen Datenschutzvorgaben. Dennoch gibt es weiterhin Nachholbedarf im Bereich Newsletter-Datenschutz – insbesondere hinsichtlich Transparenz der Datenverarbeitung gegenüber dem Abonnenten und der Möglichkeit zum Tracking-Widerruf.

Warum ist die DSGVO bei Newslettern relevant?

Die EU-Datenschutzgrundverordnung (DSGVO) hat in vielen Bereichen Einzug gehalten. Auch im Newsletter ist Datenschutz von Bedeutung, weil er sich nur unter Verwendung personenbezogener Daten versenden und personalisieren lässt. Dies gilt darüber hinaus für jedwede Marketing-Mailings, die an einen vorliegenden Datenbestand – sprich einem Verteiler aus Email Adressen – versendet werden. Schließlich dient die DSGVO dem Schutz personenbezogener Daten der Nutzer, der Website-Besucher und Abonnenten. Darunter zählen Namen und Email Adressen ebenso wie Angaben zu Interessen oder automatisch erfasste Daten zum Nutzerverhalten. Folglich ist es unumgänglich, DSGVO, Newsletter und Mailing Versand in Einklang zu bringen.

Info: DSGVO wichtig für Newsletter – und was ist mit der ePrivacy-Verordnung?

Neben der vielzitierten DSGVO kam auch immer wieder die sogenannte ePrivacy-Verordnung von 2009 zur Sprache – insbesondere wenn es um die Handhabung von Cookies ging, daher auch der Name EU-Cookie-Richtlinie. Als eigentlich zeitgleich mit der DSGVO angedacht, konnten sich die EU-Mitgliedsstaaten aber nie final auf die Verordnung einigen. Stattdessen ist in Deutschland zum 1. Dezember 2021 das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft getreten. Dieses bringt nun nicht nur das Cookie-Urteil des Europäischen Gerichtshofs (EuGH), sondern auch zahlreiche Vorgaben der ePrivacy-Richtlinie endlich in Gesetzesform. Aber für Email Marketer besteht kein Grund zur Sorge: Wer sich bereits an der aktuellen Rechtsprechung orientiert, wird mit dem TTDSG keine Überraschungen erleben.

Hier ein Überblick über die wichtigsten Fragen, die beim Datenschutz im Newsletter und Email Marketing eine Rolle spielen. Unsere DSGVO Checkliste rund um die neue EU-Datenschutzgrundverordnung beinhaltet 11 Tipps, damit Sie Ihren Newsletter DGSVO-konform erstellen können.

11 Tipps für optimalen Datenschutz im Newsletter – Das ist konkret für Unternehmen wichtig

Die EU-Datenschutzgrundverordnung (EU-DSGVO) hat mit ihrem Inkrafttreten 2018 die Prozesse, die mit der Erhebung und Verarbeitung personenbezogener Daten zusammenhängen, reformiert und vereinheitlicht. Nichtsdestotrotz gab es seither immer wieder ergänzende Urteile des Europäischen Gerichtshofs (EuGH) und Einschätzungen der Datenschutzbehörden, die aus den theoretischen Vorgaben praktikable Richtlinien und Maßnahmen abgeleitet haben. Damit Sie Ihren Newsletter datenschutz-konform realisieren und die DSGVO fest in Ihrem Email Marketing verankern können, helfen Ihnen die folgenden Tipps.

1.     Einwilligung für Verarbeitung und Nutzung personenbezogener Daten

Ihr Verteiler ist die Basis für ein DSGVO-konformes Newsletter Marketing. Oberstes Ziel muss es daher sein, schon Ihre Newsletter-Abonnenten absolut rechtssicher zu gewinnen. Laut DSGVO ist die Datenverarbeitung grundsätzlich verboten – außer, es greift ein Erlaubnistatbestand wie die Einwilligung der betroffenen Person. Für den Versand von Mailings und Newslettern gemäß DSGVO müssen Sie in jedem Fall eine ausdrückliche Einwilligung des Betroffenen einholen. Nutzen Sie dafür ein Online-Formular mit einer ausformulierten Einwilligungserklärung sowie Hinweisen zum Datenschutz und zum Widerrufsrecht und lassen Sie sich dies durch Klicken einer nicht vorab angeklickten Checkbox aktiv bestätigen.

Landingpage mit Einwilligung zum Newsletter gemäß DSGVO – ein Muster

2.     Nutzung personenbezogener Daten für Marketingzwecke

Die DSGVO hat die Nutzung personenbezogener Daten im Marketingbereich deutlich vereinfacht. Kommerzielle Interessen stehen mehr im Fokus. Laut DSGVO gelten auch für Newsletter spezifische Erwägungsgründe. Das Versenden von Werbe Emails ist jedoch weiterhin nur mit Werbe-Einwilligung des Empfängers zulässig. Zudem gilt es, bei der Datenabfrage die Grundsätze der Transparenz, Zweckbindung, Datensparsamkeit und der begrenzten Speicherung zu beachten. Kennzeichnen Sie also nur Datenfelder als Pflichtangaben, wenn diese wirklich notwendig sind. Für den Versand eines Newsletters reicht nach DSGVO beispielsweise die Email Adresse. Alle weiteren Informationen zur Person sollten daher optional sein und deren Zweck – etwa die Personalisierung der Inhalte und Angebot – zuvor transparent erläutert werden.

Info: Newsletter-Altdaten DSGVO-konform handhaben

Einwilligungen vor Inkrafttreten der DSGVO verlieren für das Newsletter Marketing nicht ihre Gültigkeit, sofern sie gemäß der EU-Datenschutzrichtlinie 95/46/EG eingeholt wurden und den Mindestanforderungen der DSGVO entsprechen. Sie dürfen solche Altdaten bzw. bestehende CRM-Daten, die auf gültigen Einwilligungen beruhen, DSGVO-konform für Ihr Email Marketing nutzen. Wurden Ihre Altdaten nicht gemäß den Vorgaben der DSGVO erhoben, sind diese tatsächlich zu löschen.

3.     Tracking im Newsletter DSGVO-konform umsetzen

Auch beim Email Tracking und Anlegen von Nutzerprofilen spielen personenbezogene Daten eine Rolle – selbst wenn diese pseudonymisiert erhoben und verarbeitet werden, denn auch dann bleiben sie grundsätzlich personenbeziehbar. Folglich ist für das Tracking und die Profilerstellung durch Newsletter laut DSGVO eine Einwilligung erforderlich. Dies gilt für jede Form der Datenerhebung – ob das Tracking nun durch Zählpixel, Cookies oder andere Tracking Technologien erfolgt. Wer beim Einhalten der EU-DSGVO ganz sichergehen will, holt sowohl für das Anlegen und Führen von Nutzerprofilen als auch für das Tracking die Einwilligung seiner Nutzer ein. Um diese zu erhalten, empfiehlt es sich, dem potenziellen Newsletter Abonnenten die Vorteile seiner Zustimmung aufzuzeigen, wie zum Beispiel personalisierte Inhalte und relevantere News.

4.     Newsletter Anmeldung DSGVO-konform via Double Opt in

Dass die Einwilligung in die Verarbeitung personenbezogener Daten laut DSGVO für den Newsletter-Erhalt nachweisbar sein muss, ist vielen Unternehmen noch nicht bewusst. Daher setzt ein großer Teil auch noch auf einen einfachen Anmeldeprozess. Dabei sind Sie als „für die Datenverarbeitung“ Verantwortlicher zum Nachweis verpflichtet. Folglich ist es besser, die Anmeldung zum Newsletter DSGVO-konform mithilfe einer Email Marketing Software über ein rechtssicheres Double Opt in Verfahren abzubilden. So protokollieren Sie jeden Schritt des Double Opt in Prozesses automatisch in Ihrem System und können dies jederzeit belegen.

5.     Transparenz nach DSGVO durch Newsletter Impressum

Damit ein Website-Besucher und potenzieller Newsletter Abonnent bei der Eingabe seiner persönlichen Daten weiß, mit wem er es zu tun hat und wer gemäß DSGVO für die Datenverarbeitung verantwortlich ist, müssen Sie ein Impressum in Ihre Website integrieren. Laut §5 Telemediengesetz (TMG) ist ein Newsletter Impressum ebenfalls Pflicht. Wichtig ist außerdem, bei Newslettern unbedingt einen Verantwortlichen nach §18 Medienstaatsvertrag (MStV) anzugeben.

6.     Widerrufsrecht der Betroffenen im Rahmen der DSGVO

Der Newsletter Abonnent hat laut DSGVO jederzeit das Recht, der Nutzung seiner Daten zu Zwecken der Email Werbung zu widersprechen. Der Hinweis auf das jederzeitige Widerrufsrecht in Bezug auf die Nutzung persönlicher Daten muss sich in dem Online-Formular befinden, mit dem die Einwilligung eingeholt wird. Zudem sollte im Rahmen eines DSGVO-konformen Newsletter Marketings jede versendete Email einen Link zur Datenschutzinformation sowie eine Abmeldemöglichkeit beinhalten. Integrieren Sie diese Informationen und Links einfach in den Footer Ihrer Mailings und Newsletter.

7.     Eine DSGVO-konforme Newsletter Software wählen

Laut Email Marketing Benchmarks 2021 nutzen rund 71 Prozent der Unternehmen für den Versand Ihrer Newsletter eine professionelle Software. Rund 55 Prozent setzen sogar auf einen CSA-zertifizierten Provider. Zudem ist bei der Auswahl des Anbieters auch darauf zu achten, ob die Datenverarbeitung beim Newsletter gemäß DSGVO erfolgt und nicht – wie etwa im Fall Mailchimp Anfang 2021 – unter Nicht-Einhaltung datenschutzrechtlicher Bestimmungen.

Info: Newsletter DSGVO-konform versenden – auch mit US-Tools?

Für eine Datenverarbeitung im Newsletter Marketing muss nach DSGVO ein ausreichendes Datenschutzniveau wie in der EU und dem Europäischen Wirtschaftsraum gegeben sein. In die USA konnten Daten aus Europa einst auf Grundlage von EU-Standardvertragsklauseln oder im Rahmen bilateraler Abkommen übermittelt werden. Seit dem Urteil des Europäischen Gerichtshofs zum Privacy Shield im Juli 2020 gilt dies nicht mehr für die USA und somit nicht für US-Anbieter, die ihre Daten auf US-Servern vorhalten. Grund dafür sind dortige Gesetze, die US-Behörden Zugriff zu personenbezogenen Daten verschaffen, die sich in Besitz, Obhut oder Kontrolle eines US-Unternehmens befinden. Dazu zählen auch US-Anbieter, die einen Standort und Server innerhalb der EU besitzen.

Selbst unter Verwendung von EU-Standardvertragsklauseln gilt es im Sinne des EuGH-Urteils den Datenschutz im Newsletter Marketing durch zusätzliche Maßnahmen zu gewährleisten.

8.     Auftragsverarbeitungsvertrag mit einem Software-Anbieter schließen

Wer eine Software für den Newsletter Versand einsetzt, muss mit dem Anbieter einen Auftragsverarbeitungsvertrag schließen. Denn jegliche Art von externer Verarbeitung personenbezogener Daten im Auftrag eines Unternehmens fällt unter die Auftragsverarbeitung. Anbieter von Software as a Service-Lösungen für Newsletter Marketing müssen gemäß DSGVO außerdem garantieren, dass geeignete technische und organisatorische Maßnahmen vorliegen, um den Anforderungen des Datenschutzes und der Datensicherheit zu entsprechen. Dieser Nachweis kann auch über Zertifikate wie etwa die Norm ISO/IEC 27001 erbracht werden.

9.     Dokumentations- und Meldepflicht bei Datenschutzverletzungen

Auch mit dem Auftragsverarbeitungsvertrag (AVV) sieht die DSGVO vor, dass künftig anstelle des Datenschutzbeauftragten der für die Datenverarbeitung Verantwortliche selbst – also die Unternehmensführung –, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen hat. Um die Einhaltung der Datenschutzgrundsätze nachweisen zu können, müssen Unternehmen umfassende Dokumentationen mit den Inhalten des Verzeichnisses aus Artikel 30 DSGVO führen. Im Falle von Datenschutzverletzungen ist die zuständige Behörde binnen 72 Stunden nach Bekanntwerden zu unterrichten.

10.     Privacy by Design und Privacy by Default

Auch für Newsletter gelten nach DSGVO die Grundsätze der Datensicherheit und Datensparsamkeit. Privacy by Design meint, dass eine Software – etwa für DSGVO-konformes Newsletter Marketing – von Grund auf datenschutzgerecht arbeiten sowie eingesetzt und entwickelt werden soll. Im Rahmen der Privacy by Default sind alle Voreinstellungen so vorzunehmen, dass möglichst wenige – und nur für den jeweiligen Zweck erforderliche – personenbezogene Daten verarbeitet werden. Das bedeutet zum Beispiel wenige Pflicht-Datenfelder und keine vorab angeklickten Checkboxen. Konfigurationen sind hier nicht erforderlich. Jedoch kann ein Endnutzer individuelle Anpassungen an diesen Einstellungen vornehmen, indem er z. B. in ein Tracking zur Personalisierung einwilligt.

11.     Recht auf Vergessenwerden oder Löschung

Betroffene – also auch Newsletter Abonnenten – haben das Recht, ihre Daten löschen zu lassen. Als Unternehmen müssen Sie dafür Sorge tragen, dass dieses Verlangen umgesetzt wird und zum Beispiel andere Unternehmen wie Auftragsverarbeiter, die von Ihnen Adressen erhalten haben, von einem Löschungsbegehren zu informieren. Richten Sie Prozesse und Zuständigkeiten ein, um den Wünschen der Betroffenen unverzüglich entsprechen zu können. Zudem gilt, dass Email Adressen bei Widerruf einer Einwilligung sowie auch unbestätigte Anmeldung (also bei fehlendem Double Opt in) deaktiviert und gelöscht werden.

Fazit: DSGVO-konform Newsletter an Bestandskunden und Interessenten senden

Bei Verstößen gegen den Datenschutz durch Newsletter drohen empfindliche Geldstrafen sowie Schadensersatzforderungen betroffener Personen. Das und die zunehmende Sensibilität der Internet-Nutzer, was den Schutz ihrer Daten anbelangt, sollte Unternehmen ausreichend motivieren, um sich datenschutzkonform aufzustellen. Denn dadurch präsentieren Sie sich als respektvoll und vertrauenswürdig – ein nicht zu unterschätzender Wettbewerbsvorteil gegenüber Leads und Bestandskunden. Mit den oben genannten Tipps sind Sie auf der sicheren Seite, wenn es darum geht, Ihren Newsletter gemäß DSGVO zu erstellen und zu versenden. So senden Sie einfach und DSGVO-konform Newsletter an Bestandskunden und Interessenten!

Jetzt gratis E-Book zum Thema Datenschutz herunterladen!

Alles, was Sie wissen müssen, damit Sie im Email Marketing und Lead Management sowie bei Marketing Automation Kampagnen rechtlich auf der sicheren Seite sind, erfahren Sie in unserem aktualisierten E-Book (Stand 2021) „Email Marketing und Lead Management rechtskonform gestalten“ – mit spannenden Info-Boxen und praktischen Checklisten:

  • Datenschutz nach DSGVO
  • Rechte und Pflichten von Unternehmen
  • außereuropäischen Datentransfer
  • Datenverarbeitung durch US-Anbieter
  • Privacy by Design und Privacy by Default
  • Double Opt In und Tracking-Einwilligung
  • u.v.m.

Jetzt herunterladen

Disclaimer: Dieser Text ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Richtigkeit, Vollständigkeit und Aktualität.

Sie wollen sich bezüglich wichtiger rechtlicher Themen erkundigen? Dann können wir Ihnen folgende Seite empfehlen: www.datenschutz.org.

nach oben