Im Nachgang zu einem unserer Webinare, haben wir Herrn Rechtsanwalt Martin Erlewein (Kanzlei Erlewein; Email: info@kanzlei-erlewein.de) gebeten, die gestellten Fragen der Teilnehmer kurz zu beantwortet.
Die Antworten gehen auf keine Eventualitäten eine, stellen keine Rechtsberatung dar und können eine solche auch nicht ersetzen.
1. DSGVO und Google Fonts - ist es erlaubt, Google Fonts auf einer Landing Page oder Newsletter zu verwenden?
Beim Laden von Schriften wird u.a. die Beim Laden von Schriften wird u.a. die IP-Adresse des Nutzers übermittelt und verarbeitet. IP-Adresse des Nutzers übermittelt und verarbeitet. Jedoch bestehen Zweifel an einer zulässigen Verarbeitung ohne Einwilligung. Die Zweifel werden dadurch begründet, dass es andere Möglichkeiten gibt, Schriften ohne eine Übermittlung von personenbezogenen Daten an Dritte einzubinden (milderes Mittel).
Google bietet die Möglichkeit, Google Fonts herunterzuladen, auf dem Webserver zu hosten und diese von dort nachzuladen. So kommt es zu keiner Datenübermittlung an Google beim Laden der Schriftarten. Es empfiehlt sich, diese datenschutzfreundliche Variante der Einbindung der Google Fonts zu verwenden.
Anmerkung von GetResponse:
Der neue Editor für E-Mails bietet zwar Google Fonts an, aber auch die Möglichkeit, eine Ersatz-Systemschriftart zu wählen, falls der Kunde nicht sicher ist, ob die Google Fonts richtig geladen werden, er aber weiterhin ein perfektes Layout seiner Nachricht sicherstellen will. Um einzelne Elemente der Seite mit den Google Fonts „zu verschönern“, gibt es die Möglichkeit, diese ggf. als Grafik abzuspeichern und einzubinden.
2. Lead Magnet und Kopplungsverbot – darf man die Kunden dazu bringen, sich für eine Liste anzumelden und einen Download im Gegenzug anzubieten? Wie kann man hier DSGVO konform agieren, ohne gegen das sog. Kopplungsverbot zu verstoßen?
Das ist kein einfaches Thema, aber die aktuelle Rechtsprechung lässt Tendenzen erkennen.
Sie sollten unmissverständlich und transparent zum Ausdruck bringen, dass die angebotene Leistung, beispielsweise der Download eines Whitepapers, nur im Tausch mit den personenbezogenen Daten und der Einwilligung zu deren Verarbeitung zu Werbezwecken erbracht wird. Ein solcher Tausch würde nicht gegen das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO verstoßen.
Ein Verstoß gegen das sog. Kopplungsverbot ist als Indiz anzusehen, dass eine Einwilligung für die Verarbeitung personenbezogener Daten gerade nicht freiwillig erteilt wurde.
Das OLG Frankfurt hat jedoch am 27. Juni 2019 (OLG Frankfurt a.M. v. 27.06.2019 - Az.: 6 U 6/19) für einen Fall der Teilnahme an einem Gewinnspiel unter der Voraussetzung der Einwilligung zum Erhalt von E-Mail-Werbung geurteilt, dass hier kein derartig großer Zwang vorlag, dass der Betroffene keine Wahl mehr gehabt hätte, ob er seine Einwilligung erteilt oder nicht. Vielmehr habe er frei entscheiden können, ob ihm die Teilnahme an dem Gewinnspiel die Preisgabe seiner Daten wert war. Auch wenn dieses Urteil zu begrüßen ist, sollte man auch weiterhin jeden Einzelfall daraufhin überprüfen, ob die konkrete Ausgestaltung der Einwilligung ausreichend ist.
3. Muss jedes Webformular einen DSGVO Hinweis enthalten? Gibt es Ausnahmen?
Der Verantwortliche für personenbezogenen Daten muss im Zweifelsfall nachweisen können, dass der Kunde seine Einwilligung unter anderem in informierter Weise für den konkreten Einzelfall erteilt hat. Deshalb sollte dem Nutzer an den Stellen, an denen er seine datenschutzrechtlich relevante Einwilligung erteilen soll, noch einmal ausdrücklich klargemacht werden, welche datenschutzrechtlichen Konsequenzen diese konkrete Einwilligung für ihn hat.
Für den Nutzer muss es möglich sein, alle für seine Entscheidung relevanten Informationen leicht zu erlangen. Ein Link zur Datenschutzerklärung im Footer der Webseite reicht hier im Zweifel meist nicht aus. Um sicher nachweisen zu können, dass der Nutzer vor Abgabe der Einwilligung, die in der Datenschutzerklärung oder Cookie-Privacy enthaltenen Informationen zur Kenntnis nehmen konnte, sollte das Webformular selbst zusätzlich einen Link zur Datenschutzerklärung des Verantwortlichen haben.
4. Wie sind Empfehlungen bzgl. des Double-Opt-In?
Ein Double-Opt-In dient dazu - insbesondere im Fall eines Gerichtsverfahrens - nachweisen zu können, dass die Person, die sich auf der Webseite z.B. für einen Newsletter angemeldet hat, auch tatsächlich Inhaberin des E-Mail Accounts ist, an den dann später Newsletter mit werbendem Inhalt geschickt wurden
Beim Double-Opt-In trägt der Interessent seine E-Mail-Adresse in ein Anmeldeformular ein und klickt zur Bestätigung seiner Anmeldung zum Erhalt des Newsletters auf einen Button. Daraufhin erhält er eine Bestätigungs-E-Mail an die von ihm angegebene E-Mail-Adresse. Mit dem Klick auf den entsprechenden Link in der Bestätigungs-E-Mail bestätigt der Interessent dann noch einmal, dass er zukünftig die von ihm bestellten E-Mails erhalten möchte. Erst nach dieser Bestätigung wird seine E-Mail-Adresse in den Verteiler aufgenommen.
Die Bestätigung-E-Mail sollte noch einmal die gesamte Einwilligungserklärung beinhalten. Sie darf keine Werbung für Waren oder Angebote beinhalten. Der Bestätigungslink sollte nur wenige Tage gültig sein. Weitere E-Mails, um nachzufragen, ob der Empfänger nicht doch noch seine Anmeldung bestätigen möchte, sollten nicht verschickt werden.
Ein Double-Opt-In ohne die entsprechende, ausführliche Dokumentation ist allerdings im Gerichtsverfahren wertlos. Die Dokumentation sollte enthalten
den konkreten Einwilligungstext und das Layout der Seite,
Datum und Uhrzeit der Anmeldung, IP-Adresse des Anmeldenden,
Datum, Uhrzeit, Empfangsadresse und Inhalt der Bestätigungs-E-Mail,
Datum und Uhrzeit des Klicks auf den Bestätigungs-Link sowie die IP-Adresse des Bestätigenden.
Sinnvoll ist zudem noch die Dokumentation aller an den Kunden versendeten Werbe-E-Mails mit Datum, Uhrzeit und Inhalt.
Anmerkung von GetResponse:
Bei GetResponse kann die Einstellung des Opt-In für jede Liste individuell eingestellt werden. In Fällen, in denen der Kunde beispielsweise eine bereits bestehende Liste mit Adressen, zu denen eine Double-Opt-In Bestätigung bereits besteht, in sein Konto hoch lädt, empfiehlt es sich, die Opt-In Einstellung auf Single umzustellen, damit keine unnötigen automatischen Bestätigungsmails an die Adressen rausgeschickt werden.
5. Info, wie ein DSGVO Checkboxtext richtig aufgebaut sein sollte.
Der richtige Aufbau und Inhalt des Textes zu einer Checkbox hängt natürlich davon ab, für was genau mit der Checkbox eine Einwilligung erteilt werden soll. Der Text sollte stets auf den Einzelfall abgestimmt werden. Anforderung an den Text muss es sein, dem Nutzer die Konsequenz seiner mit der konkreten Checkbox abzugebenden Einwilligung vor Augen zu führen.
Im Fall der Anmeldung für einen Newsletter-Verteiler sollte der Nutzer z.B. darüber informiert werden, was der Inhalt der Newsletters und wer der verantwortliche Versender ist. Im Fall der geplanten Weitergabe an Dritte muss ausdrücklich auf diese Weitergabe hingewiesen und die Dritten sollten auch – zumindest erreichbar über einen Link - genannt werden.
Es ist ein Hinweis aufzunehmen, mit dem erklärt wird, wie der Nutzer den Newsletter wieder abbestellen kann. Der Text bzw. die Einwilligungserklärung zur Checkbox sollte vom restlichen Inhalt in der Gestaltung der Seite immer erkennbar abgehoben sein.
Insgesamt unterliegt so ein Text der Inhaltskontrolle, der auch Allgemeine Geschäftsbedingungen unterliegen. Dinge, mit denen der Nutzer an dieser Stelle nicht rechnen muss (z.B. Weitergabe der Daten an 100 Werbepartner), dürften in der Regel hier auch nicht wirksam vereinbart werden können.
Anmerkung von GetResponse:
In ihrem Konto finden die Kunden von GetResponse die Möglichkeit, die sog. Einwilligungsfelder zu erstellen, die dann anschließend in sämtlichen Formularen verwendet werden können. Es empfiehlt sich, eine Version nach Vorgaben von Herrn Erlewein zu erstellen und diese fortan einzusetzen, um DSGVO konform neue Leads für die eigenen Listen zu gewinnen.
6. Kann man einen E-Mail-Marketing-Dienst nutzen, dessen Server nicht in Europa stehen, welcher aber alle notwendigen Zertifikate/Richtlinien befolgt?
Beauftragt man einen E-Mail-Marketingdienst als Auftragsdatenverarbeiter, ist man als Verantwortlicher verpflichtet, sich zu vergewissern, dass dieser Dienstleister geeignete technische und organisatorische Maßnahmen ergriffen hat und insgesamt die Verarbeitung von personenbezogenen Daten entsprechend der Vorgaben der DSGVO gewährleisten kann. Grundsätzlich sind anerkannte Zertifizierungen geeignet, um diesen Nachweis zu führen. Es ist aber auch zu beachten, in welchem Land der Server steht.
Die europäische Kommission kann sogenannte Angemessenheitsbeschlüsse fassen, nach denen der Datentransfer in verschiedene Länder ohne weitere Genehmigungen zulässig ist. So wäre das Speichern auf einem in der Schweiz stehenden Server kein Problem, wenn die sonstigen Voraussetzungen der DSGVO ebenfalls vorliegen. Für die USA gilt der entsprechende Beschluss jedoch z.B. nur eingeschränkt für die US-Unternehmen, die nach den Regeln des EU-US Privacy Shield lizenziert sind.
Aber auch eine Lizenz entbindet den Verantwortlichen nicht davon, sich im Fall von Zweifeln detailliert nachweisen zu lassen, dass sich der Bearbeiter an die anzuwendenden Regeln hält.
7. Welche rechtlichen Infos muss ein E-Mail und Landing Page Footer enthalten?
Wie auf jeder anderen Webseite auch, müssen sich auch auf der Landing Page ein Impressum und eine Datenschutzerklärung befinden, die den Nutzer alle nach der DSGVO erforderlichen Informationen zugänglich macht. Im Fall der Verwendung von Cookies auf der Seite ist zudem zu prüfen, ob eine Einwilligung vor dem Schreiben oder Auslesen der Cookies eingeholt werden muss und ein entsprechender Banner mit den zugehörigen Informationen erforderlich ist.
Gewerbliche E-Mails, also z.B. ein Newsletter, müssen ebenfalls einen Link zur Datenschutzerklärung und zum Impressum haben. Der Inhalt des Impressums ergibt sich auch für eine E-Mail aus § 5 TMG. Neben Namen/Firma, Anschrift, gesetzlichem Vertreter und weiteren zwingenden Angaben des Verantwortlichen muss dieser insbesondere eine E-Mail-Adresse angeben, über die eine schnelle und unmittelbare Kommunikation mit ihm möglich ist.
In dem Fall, dass die personenbezogenen Daten eines E-Mail-Empfängers nicht vom Verantwortlichen selbst erhoben wurden, sondern von einem Dritten stammen (Adresshandel, Werbepartner usw.), muss dem Empfänger neben den in der Datenschutzerklärung für gewöhnlich enthaltenen Informationen auch mitgeteilt werden, woher der Verantwortliche seine Daten hat.
Wichtiges Element einer E-Mail zu Werbezwecken ist der Hinweis auf das bestehende Widerrufsrecht gegen den Erhalt weiterer Werbe-E-Mails. Dieser Hinweis muss mit dem entsprechenden Link versehen sein, der zu einem Opt-Out führt. Das Opt-Out sollte so einfach gestaltet sein, wie das ursprüngliche Opt-In.
Anmerkung von GetResponse:
Die meisten Vorlagen, die bei GetResponse für Newsletter bzw. für die Landing Pages verwendet werden können, enthalten bereits Footer, die mit wenigen Handgriffen den gesetzlichen Vorschriften angepasst werden können.
Zudem sind die GetResponse-Kunden bei den Newslettern auf der sicheren Seite, da die Links zum Opt-Out stets automatisch mit verschickt werden und es besteht keine Möglichkeit, sie zu verbergen oder gar komplett zu löschen, was glücklicherweise Standard in der heutigen Newsletter Marketing-Branche ist.
8. Welche Kommunikation darf ohne DSGVO Einverständniserklärung dem Kunden zugeschickt werden?
Bei Werbung mit Newsletters ist nicht nur die Verarbeitung der personenbezogenen Daten nach den Grundsätzen der DSGVO zu bewerten, sondern auch das Gesetz gegen den unlauteren Wettbewerb (UWG) zu beachten. Dieses fordert in § 7 Abs. 2 Nr. 3 UWG für jegliche Werbung per E-Mail eine Einwilligung. Für die Wirksamkeit einer Einwilligung nach dem UWG sind die Maßstäbe der DSGVO für eine Einwilligung heranzuziehen.
Auch E-Mails mit reiner Imagewerbung, Spendenaufrufe eines Vereins oder z.B. der Bitte um Feedback zur Kundenzufriedenheit sind von den Gerichten schon zu Werbung und unzulässig erklärt worden. Bestätigungs-E-Mails im Rahmen eines Double-Opt-In dürfen danach auch noch keine Werbeelemente enthalten, da sie ja noch Teil des Prozesses sind, um die Voraussetzungen für eine wirksame Einwilligung zu schaffen.
Von dem Erfordernis der Einwilligung gibt es lediglich eine sehr begrenzte Ausnahme im UWG. Ein Verantwortlicher kann einem Kunden, von dem er im Zusammenhang mit dem Verkauf von Ware dessen E-Mail-Adresse erhalten hat, Werbung für eigene ähnliche Waren oder Dienstleistungen per E-Mail ohne ausdrückliche Einwilligung zusenden. Hier sollte man jedoch sehr zurückhaltend bei der Beurteilung sein, was als ähnliche Ware oder Dienstleistung anzusehen ist. Auch hier haben die Gerichte sehr enge Grenzen gezogen. Ob eine solche Ausnahme vorliegt, muss im Einzelfall geprüft werden.
“Für GetResponse spricht hier sicherlich, dass sie ein europäisches Unternehmen mit Schwerpunkt in Europa sind.”
Die Anforderungen an die Erteilung dieser Einwilligung werden durch die europäische DSGVO definiert, die nun schon seit dem 25. Mai 2018 in Kraft ist.
Ich rate jedem, der im Bereich des E-Mail Marketings verantwortlich tätig ist, den potentiellen Kunden gegenüber so transparent wie möglich zu sein, was seinen Umgang mit personenbezogenen Daten angeht. Die einzelnen Verarbeitungsschritte sollten auf ihre Zulässigkeit und Notwendigkeit hin überprüft werden. Welche Daten werden wirklich gebraucht? Umfasst die erteilte Einwilligung die Weitergabe von Daten an Dritte?
Wer hier selbstkritisch vorgeht, fördert zum einen das Vertrauen in die angebotene Dienstleistung und vermeidet zum anderen Ärger in der Zukunft. Da das Business vielfältig ist, können wenige pauschale Vorgaben gemacht werden. Nicht alles, was da an Checklisten und Generatoren im Internet angeboten wird, passt auf jeden. Im Zweifel sollte man doch Rücksprache mit dem Fachanwalt halten. Natürlich kann es auch hilfreich sein, wenn man mit einem Partner zusammenarbeitet, der sich denselben Problemen stellen muss.
Für GetResponse spricht hier sicherlich, dass sie ein europäisches Unternehmen mit Schwerpunkt in Europa sind.
Alle Hinweise können Sie jetzt in die Tat umsetzen