Bei zahlreichen Gesprächen mit unseren Kunden kamen regelmäßig Fragen zur DSGVO-Regulierung im E-Mail Marketing zur Sprache. Häufig wurden uns Fragen zu Praktiken gestellt, denen man im Internet regelmäßig begegnet oder zu geplanten Kampagnen unserer Kunden, bei denen sie nicht wussten, ob sich diese noch im gesetzlichen Rahmen oder bereits in einer Grauzone bewegen.
GetResponse nimmt die Verordnungen der DSGVO sehr ernst und hat deshalb in Zusammenarbeit mit dem Datenschutzexperten und Rechtsanwalt Martin Erlewein von der Kanzlei Erlewein die häufigsten Themen im Zusammenhang mit dem E-Mail-Marketing zusammengetragen und diese rechtlich genauer beleuchtet.
In diesem Ratgeber stellen wir dar, was jeder Marketer bei seinen E-Mail Marketing Kampagnen beachten sollte, damit diese gesetzes- und insbes. DSGVO-konform sind.
Die Hinweise entsprechen dem Rechtsstand im Juni 2021.
Der richtige Text zur Einwilligung
GetResponse-Kunden fragen: Welcher rechtliche Hinweis gehört in den Text in einem Anmeldeformular, über das sich Nutzer für einen Newsletter-Empfang anmelden?
Durch das Setzen des Hakens in der Checkbox unter dem Anmeldeformular zu deinem Newslsetter erteilt der – zukünftige – Empfänger dir seine Einwilligung zum Erhalt von Werbung per E-Mail. Erst danach Anschließend übermittelt er dir mit Klick auf den ‚Senden‘-Button seine Daten und erklärt dir gegenüber seine Einwilligung.
Die Voraussetzungen für eine wirksame Einwilligung ergeben sich auch bei der Einwilligung in den Erhalt von Werbung per E-Mail (z.B. dein Newsletter) aus der Datenschutzgrundverordnung (DSGVO) … und sind regelmäßig Gegenstand der Entscheidungen der Gerichte. Danach soll der Betroffene seine Einwilligung durch eine eindeutige Handlung abgeben (= Haken in der Checkbox), nachdem er ausreichend darüber informiert wurde, was er im konkreten Fall, für den er um seine Einwilligung gebeten wird, tatsächlich zu erwarten hat. Der Inhalt des Textes zur Checkbox muss also geeignet sein, um den Nutzer im geforderten Umfang über die zukünftig an ihn gesendeten E-Mails – und die damit zusammenhängende Verarbeitung seiner personenbezogenen Daten durch dich – zu informieren.
Das wichtigste Schlagwort lautet hier: Transparenz. Für den Empfänger sollte klar erkennbar sein, in was er genau einwilligt. Er muss hier bereits informiert werden, wen er zur Übersendung von E-Mails berechtigt und für was genau geworben werden soll. Die Beschreibung der beworbenen Produkte oder Dienstleistungen darf dabei nicht zu allgemein gehalten werden (z. B. „interessante Angebote“ oder „alle Produkte des genannten Unternehmens“), sondern einen möglichst klaren Rahmen setzen (z. B. „Fashiontrends“, „Finanzprodukte zur Altersvorsorge“). Natürlich darf der Hinweis darauf, dass der Empfänger seine Einwilligung jederzeit widerrufen kann, im Text nicht fehlen. Du solltest im Text auch dann noch einmal einen Link auf deine Datenschutzerklärung haben, selbst wenn du bereits einen Link darauf auf deiner Seite hast.
Beispiel für die Einwilligung zu einem Newsletter ohne Personalisierung:
‚Ich willige in den Erhalt des wöchentlichen Newsletters der X GmbH per E-Mail ein, der mich über ihre aktuellen Angebote im Bereich Fashion informiert. Diese Einwilligung kann ich jederzeit widerrufen. Weitere Informationen zur Datenverarbeitung durch die X GmbH finde ich HIER [LINK zu deiner Datenschutzerklärung].‘
Natürlich kannst du hier kreativer formulieren, aber die Kerninformationen müssen enthalten sein.
Die Einwilligungserklärung zur Checkbox sollte vom restlichen Inhalt in der Gestaltung der Seite immer erkennbar abgehoben sein. Dass mit bereits vorangekreuzten Checkboxen keine wirksame Einwilligung eingeholt werden kann, müsste sich eigentlich inzwischen herumgesprochen haben, ist aber immer noch einer der offensichtlichsten Fehler, die hier gemacht werden.
Der richtige Inhalt des Textes zur Checkbox hängt aber auch immer davon ab, welchen Zweck genau du mit den im Anmeldeformular erhobenen personenbezogenen Daten verfolgst. Wenn du deinen Newsletter entsprechend der Interessen des Nutzers personalisieren möchtest, muss dies auch in der Einwilligungserklärung genannt werden. Über die dahinterstehende Verarbeitung personenbezogener Daten, um den Newsletter personalisieren zu können (z.B. Aufbau eines Nutzungsprofils entsprechend Klick- und/oder Bestellhistorie), muss in der Einwilligungserklärung und/oder der Datenschutzerklärung offen informiert werden. Die Verfolgung der Interaktion des Nutzers durch Tracking zur Personalisierung des Newsletters ist gesondert einwilligungspflichtig (s. dazu Punkt “Email-Tracking”).
Wenn du auch oder sogar nur für Dritte die Einwilligung in Werbung per E-Mail einholen möchtest, muss dies schon im Einwilligungstext klar erkennbar sein. Die solltest in diesem Fall jeden Dritten, für den die Einwilligung gelten soll, mit dessen Kontaktdaten benennen und informieren, wofür er Werbung übersenden will. Mit einer Formulierung wie „Ich bin damit einverstanden, dass die Z GmbH und Dritte mir per E-Mail weitere interessante Angebote unterbreiten werden.“ kann keine wirksame Einwilligung eingeholt werden. Auch eine zu große Anzahl Dritter kann zu einer unwirksamen Einwilligung führen. Du solltest dich hier auf höchstens 10 Partner beschränken, für die du die Einwilligung einholst.
Double Opt-In bei Anmeldungen für Mailinglisten
GetResponse-Kunden fragen: Warum sollte ich eine zweite Bestätigung der Einwilligung zum Newsletter (das sog. Double-Opt-In) einholen und wie funktioniert das?
Du solltest jederzeit nachweisen können, dass dir die Einwilligung eines Empfängers zum Versand deines Newsletters an seine E-Mailadresse wirksam erteilt wurde. Wenn die Einwilligungen von dir online eingeholt werden, ist das Mittel der Wahl, um diesen Nachweis erbringen zu können, das Double-Opt-In – Verfahren (DOI).
Von den Gerichten wird anerkannt, dass ein korrekt durchgeführtes und dokumentiertes DOI dazu geeignet ist, um auch beweisen zu können, dass der Empfänger mit dem Besteller deines Newsletters identisch ist. Wenn du allein auf die Anmeldung vertraust (Single-Opt-In), kannst du dies nicht nachweisen. Einen solchen Beweis brauchst du z.B. immer dann, wenn der Empfänger behauptet, dass er dir keine Einwilligung für Werbung per E-Mail erteilt habe.
Das DOI besteht im ersten Schritt aus der Erklärung der Einwilligung und im zweiten aus der Bestätigung, dass die im Anmeldeformular angegebene E-Mail-Adresse tatsächlich dem Versand der E-Mails genutzt werden darf. Im ersten Schritt trägt der Empfänger seine Daten in das Anmeldeformular ein, setzt das Häkchen in der Checkbox zur Einwilligung und klickt auf den Senden-Button. Im zweiten Schritt erhält er dann aus dem System eine Bestätigungs-E-Mail an die von ihm im Anmeldeformular angegebene E-Mail-Adresse. Mit dem Klick auf den entsprechenden Link in der Bestätigungs-E-Mail bestätigt er also, dass die Einwilligung tatsächlich für die angegebene E-Mail-Adresse gelten soll. Erst nach dieser Bestätigung bzw. doppelten Einwilligung, wird seine E-Mail-Adresse in deinen E-Mail-Verteiler aufgenommen.
Da du erst nach erfolgreichem DOI sicher davon ausgehen kannst, dass du Werbung an die genannte E-Mail-Adresse schicken darfst, sollte die Bestätigungs-Mail insbesondere noch keine Werbung für Waren oder Angebote enthalten. Das System sollte so eingerichtet werden, dass eine wirksame Einwilligung über den Link in der Bestätigungs-E-Mail nur innerhalb weniger Tage erteilt werden kann. Wenn der Empfänger seine Anmeldung über den Link in der Bestätigungs-Mail nicht bestätigt, solltest du auch nicht mit einer weiteren E-Mail nachfragen, ob der Empfänger nicht doch noch bestätigen möchte.
Textbeispiel für eine Bestätigungs-Mail:
Sehr geehrte Nutzerin / Sehr geehrter Nutzer, auf unserer Seite http://www.example.com haben wir soeben (Datum, Uhrzeit) eine Bestellung für unseren Newsletter mit Angabe Ihrer E-Mail-Adresse erhalten. Wenn Sie von der X GmbH in wöchentlichen Abständen Informationen rund um das Thema E-Mail-Marketing per E-Mail erhalten möchten und hierzu unseren Newsletter bestellt haben, bestätigen Sie Ihre Bestellung bitte durch Klick auf den untenstehenden Link. Erst danach werden Sie in unseren Newsletter-Verteiler aufgenommen. Sie können sich jederzeit für die Zukunft von unserem Newsletter abmelden, indem Sie z.B. eine E-Mail an abmeldung@example.com senden oder den in jedem Newsletter enthaltenen Abmeldelink anklicken. Weitere Informationen zur Verarbeitung personenbezogener Daten durch uns erhalten Sie HIER [Link zur Datenschutzerklärung].
Bitte bestätigen Sie Ihre Newsletteranmeldung durch Klick auf den folgenden Link: http://www.example.com/bestätigungslink Sollte die genannte Bestellung unseres Newsletters nicht von Ihnen stammen, bitten wir Sie diese Mail zu ignorieren.
Das DOI ohne die entsprechende, ausführliche Dokumentation ist allerdings als Beweis wertlos. Die Dokumentation sollte enthalten
- den konkreten Einwilligungstext und das Layout der Seite, auf der die Einwilligung eingeholt wurde,
- Datum und Uhrzeit der Anmeldung, IP-Adresse des Anmeldenden,
- Datum, Uhrzeit, Empfangsadresse und Inhalt der Bestätigungs-E-Mail,
- Datum und Uhrzeit des Klicks auf den Bestätigungs-Link sowie die IP-Adresse des Bestätigenden.
Wenn du danach noch eine spätere Abmeldung von deinem Newsletter über den Abmeldelink, per E-Mail oder auf andere Weise in deine Versand- und Sperrlisten einpflegst, bist du auf der sicheren Seite, falls doch Beschwerden kommen sollten.
Das Kopplungsverbot – Leistung nur bei Anmeldung für eine Mailingliste
GetResponse-Kunden fragen: Kann ich von einer wirksamen Einwilligung sprechen, wenn ich die Anmeldung zum Newsletter zur zwingenden Voraussetzung für eine andere, von mir angebotene Leistung mache (beispielsweise, um über Rabattaktionen zu informieren)?
Häufig wird die Einwilligung zum Erhalt von E-Mails mit werbendem Inhalt, wie z.B. deinem Newsletter, im Zusammenhang mit dem Angebot anderer Leistungen im Netz eingeholt. Diese sind z.B. die Möglichkeit zur Teilnahme an einem Gewinnspiel, der Download eines Whitepapers oder anderer Dateien, ein Textgenerator usw.
Eine wirksame Einwilligung kann von einem Nutzer jedoch nur freiwillig erteilt werden, so dass sich hier die Frage stellt, ob eine Kopplung der Leistung an eine Einwilligung nicht gegen diese geforderte Freiwilligkeit spricht. Um eine freiwillige Einwilligung zu erhalten, dürfen entsprechend dem sog. Kopplungsverbot der DSGVO keine Verträge, einschließlich der Erbringung einer Dienstleistung, von der Abgabe einer Einwilligung in eine Verarbeitung abhängig gemacht werden, wenn es an der Erforderlichkeit dieser Einwilligung für eine Vertragserfüllung fehlt.
Generell besteht jedoch erst dann keine Freiwilligkeit, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gedrängt fühlt oder negative Auswirkungen erdulden muss, wenn sie nicht einwilligt. Von einer echten Zwangssituation wird man aber erst dann ausgehen können, wenn die betroffene Person echte Nachteile befürchten muss, falls sie eine Einwilligung nicht erteilt.
Ein bloßes Anlocken durch Versprechen einer Vergünstigung, etwa die Möglichkeit zur Teilnahme an einem Gewinnspiel, reicht dafür nicht aus. Hier muss man nicht von einem derartig großen Zwang ausgehen, dass der Betroffene keine Wahl mehr hat, ob er seine Einwilligung erteilt oder nicht. Vielmehr kann und muss er frei entscheiden, ob ihm die Teilnahme an dem Gewinnspiel die Preisgabe seiner Daten wert ist.
Anders kann es sein, wenn die Erteilung der Einwilligung Voraussetzung für eine echte Gegenleistung ist, also z.B. dem Download einer Datei. In diesem Fall kann eine Freiwilligkeit der Einwilligung angenommen werden, wenn die betroffene Person eine echte Wahl zwischen der gewünschten Leistung mit Einwilligung (‚Bezahlen mit Daten‘) und der Möglichkeit zum Zugang zu einer vergleichbaren Dienstleistung desselben Verantwortlichen ohne Einwilligung hat. In den meisten Fällen wird diese Möglichkeit dadurch geschaffen, dass der Nutzer, der seine Einwilligung nicht erteilen möchte, dieselbe Leistung des Anbieters auch gegen Entgelt kostenpflichtig in Anspruch nehmen kann. Kein Verstoß gegen das Kopplungsverbot wird auch dann gesehen, wenn klargestellt wird, gegenüber dem Nutzer klargestellt wird, dass seine Daten und Einwilligung seine vertragliche Gegenleistung für die angebotene Leistung darstellen. In diesen Fällen kann vertreten werden, dass keine Kopplung von Leistung und Einwilligung vorliegt, sondern die Übermittlung der Daten die vertragliche Gegenleistung für die angebotene Leistung ist.
Problem gekaufter Mailinglisten
GetResponse-Kunden fragen: Welche Risiken können gekaufte Mailing-Listen im E-Mail-Marketing haben?
E-Mail-Marketing ermöglichen es, seine Werbebotschaft mit geringen Kosten an eine große Zahl potentieller Kunden zu senden. Umfangreiche Versandlisten selbst aufzubauen, kann jedoch langwierig sein. Da erscheint es verlockend, Listen mit E-Mail-Adressen im Netz zu kaufen oder einfach frei im Netz verfügbare E-Mail-Adressen zu sammeln und der eigenen Mailingliste hinzuzufügen. Aber der mögliche Schaden aufgrund dieses unbekümmerten Vorgehens kann für alle Beteiligten hoch sein. Jede E-Mail mit werbendem Inhalt an einen Empfänger, der dem Versender nicht zuvor eine wirksame Einwilligung hierfür erteilt hat, ist SPAM und eine ‚unzumutbare Belästigung‘. Lediglich für Mails an Bestandskunden sieht das Gesetz eine Ausnahme vom Erfordernis der vorherigen Einwilligung vor. Für dich als Versender ergibt sich bei SPAM-Mails das Risiko von Abmahnungen durch Wettbewerber und Unterlassungsklagen der Empfänger. Rund 55% der täglichen E-Mails dürften SPAM sein, verstopfen den Posteingang von Unternehmen und Verbrauchern und verursachen Zeit- und Kostenaufwand beim Empfänger. Mit seriösem E-Mail-Marketing hat das nichts zu tun.
Der Handel mit Listen für das Direktmarketing ist grds. möglich. Die meisten Listen, die zum Kauf oder zur Nutzung angeboten werden, enthalten jedoch Adressen, für deren Weitergabe und Verwendung zum Versand von Werbe-E-Mails durch Dritte keine bzw. keine ausreichenden Einwilligungen eingeholt wurde. Eine Einwilligung ist nur wirksam erteilt, wenn der Empfänger in den Erhalt von Werbung per E-Mail im konkreten Fall eingewilligt hat, nachdem er insbesondere Informationen darüber erhalten hat, welche Werbepartner ihm Werbung senden werden und wofür diese werben möchten. Weiter müsste er der Weitergabe seiner Daten an diese Partner zugestimmt haben. Eine “Generaleinwilligung” für die Zusendung von Werbemitteilungen, die weder für einen konkreten Fall erteilt wurde noch auf einen eingegrenzten Kreis von Unternehmen bezogen ist, ist unwirksam. Dein Adresshändler müsste also schon in seinen Informationen bei Einholung der Einwilligung angeben, dass die Einwilligung -auch – für dich gelten sollen und wofür du in deinem Newsletter werben möchtest.
Wenn du eine Liste erwirbst, bei der die Einwilligungen wirksam eingeholt wurden, muss der Händler dir auch eine ausreichende Dokumentation des Double-OptIn-Verfahrens (DOI) vorweisen können, damit du nicht Gefahr läufst, doch Probleme wegen SPAM zu bekommen.
Auch für deinen Mail-Service-Provider ist SPAM ein Problem; denn wenn Google und Co. feststellen, dass über die IP-Adressen des Providers viel SPAM versandt wird, läuft er Gefahr, dass diese Adressen blockiert werde und eine Zustellung der über ihn versandten Mails nicht mehr erfolgt. Da die Hürden für zulässige, gekaufte Mailinglisten hoch sind, haben seriöse Provider in ihren Allgemeinen Geschäftsbedingungen oder einer gesonderten Anti-Spam Policy die Verpflichtung des Nutzers aufgenommen, generell keine gekauften, Listen zu verwenden. Dasselbe gilt für sonstige Listen, die ohne ausdrückliche und dokumentierte Einwilligung der Empfänger generiert wurden.
Um noch einen weit verbreiteten Irrtum auszuräumen … im E-Mail-Marketing gibt es keine mutmaßliche Einwilligung des Empfängers, sondern nur eine ausdrückliche. Allein die Tatsache, dass z.B. ein Gewerbetreibender eine Kontakt-E-Mail-Adresse auf seiner Website hat, heißt in keinem Fall, dass dies als Einwilligung in den Erhalt von Werbe-E-Mail zu verstehen ist, weil er ein naheliegendes Interesse an den von dir angebotenen Waren und Dienstleistungen haben dürfte.
Eine Liste mit aus dem Netz gefischten E-Mail-Adressen für Werbung per E-Mail zu verwenden, ist also aus rechtlicher Sicht und aufgrund des Vertrages mit deinem Provider untersagt und ist vor allem dazu geeignet Ärger zu bringen.
Betreff, OptOut, Impressum – Informationspflichten bei kommerziellen E-Mails
GetResponse-Kunden fragen: Welche Informationen muss ein E-Mail-Newsletter enthalten?
Kopf- und Betreffzeile
Für eine Werbe-E-Mail gelten genaue Vorgaben für ihre Kopf- und Betreffzeile. Diese müssen den Absender und dass es sich um eine kommerzielle Nachricht handelt, erkennen lassen. Als Absender ist der tatsächliche Veranlasser der jeweiligen Werbe-E-Mail anzugeben. Dieser kann je nach Gestaltung verschieden von dem in der E-Mail angegebenen Absender sein, wenn Werbung z.B. im Auftrag des tatsächlichen Veranlassers versendet wird.
Ein absichtliches Verschleiern oder Verheimlichen dieser Informationen stellt dagegen eine Ordnungswidrigkeit dar. Ein Verschleiern liegt vor, wenn die Kopf- und Betreffzeile absichtlich so gestaltet ist, dass dem Empfänger vor Öffnen der E-Mail eine irreführende Information über die tatsächliche Identität des Absenders oder den kommerziellen Charakter der Nachricht angezeigt wird. Das ist zum einen der Fall, wenn die Absenderangaben vortäuschen, die Nachricht stamme von einer offiziellen Stelle („Ordnungsamt Stuttgart“), von einem Geschäftspartner („Google“) oder aus dem Freundeskreis des Empfängers („Ulrike“). Und zum anderen in der Betreffzeile bewusst irreführende Aussagen (z.B. „Inkassoanfrage“, „Bitte um Rückruf“, „Danke für Ihre Buchung“) gemacht werden, um über den werbenden Charakter der Nachricht zu täuschen und den Empfänger dazu zu bewegen, die Mail zu öffnen.
Ein Verheimlichen liegt dagegen vor, wenn die Kopf- und Betreffzeile absichtlich so gestaltet sind, dass der Empfänger vor Einsichtnahme in den Inhalt der Kommunikation keine Informationen über die tatsächliche Identität des Absenders oder den kommerziellen Charakter der Nachricht erhält, weil der Versender z.B. die Absenderzeile im Header nicht ausgefüllt oder den Header komplett entfernt.
OptOut-Link
Um auf alle Fälle eine unzulässige Belästigung durch ungewollte E-Mails zu verhindern, sollte jede deiner E-Mails den deutlichen Hinweis darauf enthalten, dass der Empfänger seine erteilte Einwilligung jederzeit widerrufen bzw. sich jederzeit vom Newsletter abmelden kann. Dieser Hinweis sollte mit dem entsprechenden Link versehen sein, der zu einem Opt-Out führt. Das Opt-Out sollte so einfach gestaltet sein, wie das ursprüngliche Opt-In. Das heißt, die Abmeldung kann durch einfachen Klick auf den Link erfolgen und nicht erst nach – zwingender – Beantwortung von Fragen zum Grund der Abmeldung.
Im Text zum OptOut solltest Du klarstellen, dass der Link nur die Übersendung des Newsletters per E-Mail betrifft und kein genereller Widerspruch gegen die Verarbeitung der personenbezogenen Daten des Empfängers zu Werbezwecken bedeutet.
Textbeispiel zum OptOut-Link
„Sie erhalten diesen Newsletter aufgrund ihrer hierzu erteilten Einwilligung. Wenn Sie unseren Newsletter in Zukunft nicht mehr erhalten möchten, klicken Sie bitte HIER.“
Die Abmeldung muss von dir nicht zwingend durch eine E-Mail bestätigt werden. Es reicht, wenn die Bestätigung im Browserfenster erfolgt. Falls du die Abmeldung dennoch per E-Mail bestätigen möchtest, darf diese Mail keine Form der Werbung beinhalten, denn genau dafür wurde dir ja gerade die Einwilligung entzogen. Eine Formulierung wie: „Wir hoffen, Sie bald wieder zu unseren tollen Angeboten begrüßen zu dürfen.“ dürfte schon als unzulässige Werbung gelten.
Impressum
Werbung unter Verwendung von E-Mails zählt zur kommerziellen Kommunikation, für die sich Informationspflichten aus dem Telemediengesetz (TMG) ergeben. Ziel ist auch hier die Sicherstellung eines hohen Maßes an Transparenz und Entscheidungsfreiheit für den Empfänger. Danach muss eine geschäftsmäßige E-Mail – also auch dein Newsletter – ebenso wie eine Webseite ein Impressum entsprechend § 5 TMG haben. Das Impressum muss mindestens die folgenden Informationen beinhalten:
- Name und Anschrift des Absenders
- Bei juristischen Personen deren Rechtsform und Vertretungsberechtigten
- Ggf. Angaben zum Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister und der entsprechenden Registernummer
- E-Mail-Adresse und Telefonnummer, die eine schnelle Kontaktaufnahme ermöglichen … also keine Mailadresse zu einem Account, in den du nur selten schaust.
- Soweit eine Tätigkeit erbracht wird, für die eine Zulassung benötigt wird, die Nennung der Aufsichtsbehörde.
- Angabe der Umsatzsteueridentifikationsnummer falls vorhanden … deine ‚normale‘ Steuernummer solltest du dagegen im Impressum nicht angeben!
Ein Hinweis bzw. Link auf das europäische Verfahren zur Online-Streitbeilegung und die Erklärung, ob du bereit bist, daran teilzunehmen oder nicht.
Beispiel zum Inhalt eines Impressums
IMPRESSUM
Verantwortlich im Sinne des § 5 Telemediengesetz (TMG)
Rechtsanwalt Martin Erlewein
Alte Poststr. 28b
42555 Velbert
Telefon: +49 (0) 2052 8352343
Mobil: +49 (0) 176 85614332
E-Mail: info@kanzlei-erlewein.de
Internet: www.kanzlei-erlewein.de
USt-IdNr: DE317682608
Beteiligung an Streitbeilegungsverfahren
Die Plattform der EU zur außergerichtlichen Online-Streitbeilegung findest du hier.
Der Rechtsanwalt ist weder bereit noch verpflichtet, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
Das Impressum muss von jeder deiner Seiten leicht zugänglich sein. Dein Cookie-Banner sollte den Link auf das Impressum in keinem Fall verdecken.
Sperrlisten / Blacklists
GetResponse-Kunden fragen: Wie kann ich mit einer Sperrliste sicherstellen, dass keine E-Mails mit Werbung an Empfänger ohne wirksame Einwilligung gesendet werden?
Bei einer E-Mail mit werbendem Inhalt ohne wirksame Einwilligung des Empfängers droht u.a. die Forderung nach Unterlassungserklärung und Schadensersatz. Gerade bei SPAM-Mails an Gewerbetreibende kann da schon etwas an Kosten zusammenkommen.
Du musst daher sicherstellen können, dass du keine E-Mails mit werbendem Inhalt – z.B. deinen Newsletter – an Empfänger sendest, die sich von deinem Newsletter abgemeldet haben. Der Nutzer kann der Zusendung von Werbung per E-Mail nicht nur über den OptOut-Link in deiner E-Mail widersprechen, sondern auch auf jedem anderen Weg (E-Mail, Telefon, Fax, Brief usw.). An die Erklärung des Empfängers sind keine hohen Anforderungen zu stellen. Selbst ein ‚Ich will keine Mails mehr von Ihnen!‘ reicht für die Erklärung eines Widerrufs aus.
Um hier zusätzliche Sicherheit zu gewinnen, solltest Du dich daher nicht nur auf die Löschung der entsprechenden E-Mail-Adressen aus deiner Verteilerliste verlassen, sondern auch eine Sperr- oder Blacklist pflegen, mit der beim Versand deines Newsletters noch einmal abgeglichen wird, ob in deiner Verteilerliste nicht doch eine gesperrte Adresse hineingeraten ist.
Die Sperrliste stellt sicher, dass keine Empfänger von dir Werbung per E-Mail erhalten,
- die ihre dir erteilte Einwilligung widerrufen haben,
- die als deine Kunden, deren E-Mail-Adresse du im Rahmen eines Bestellvorgangs erhalten hast, der Nutzung dieser E-Mail-Adresse für Werbezwecke widersprochen haben oder
- die generell der Nutzung ihrer personenbezogenen Daten für Direktwerbung widersprochen haben.
Wenn ein Nutzer seine Einwilligung zur Versendung deines E-Mail-Newsletters und die damit zusammenhängende Verarbeitung seiner personenbezogenen Daten widerrufen hat, stellt sich die Frage, ob eine Verarbeitung der Daten durch Speicherung und Nutzung für die Sperrliste noch gerechtfertigt sein kann. Der Rechtfertigungsgrund hierfür ergibt sich aus deinem berechtigten Interesse (Art. 6 Abs. 1 lit. f) DSGVO), sicherzustellen, dass du dem Gesetz entsprechend niemanden mit unerwünschter Werbung per E-Mail belästigst. Du kennst vielleicht auch Listen, in die sich Verbraucher eintragen können, wenn sie keine unerwünschte Werbung erhalten möchten (vgl. www.robinsonliste.de). Wenn dir ein Empfänger, der sich in solch einer Liste eingetragen hat, jedoch korrekt im Double-Opt-In-Verfahren seine Einwilligung zum Versand deines Newsletters erteilt hat, geht seine Einwilligung dir gegenüber natürlich einer solchen Liste vor. Sie hat für Einwilligungen keine generell verbindliche Bedeutung.
Email-Tracking
GetResponse-Kunden fragen: Worüber muss ich meine Abonnenten informieren, um E-Mail-Tracking betreiben zu dürfen?
Wer mehr über den Umgang der Empfänger mit seinen per E-Mail versandten Newsletter herausfinden möchte, um den Newsletter verbessern und zielgerichteter werben zu können, benötigt die Analyse der Öffnungs- und Click-Through-Raten (CTRs) zu den von ihm versandten E-Mails und den darin enthaltenen Links.
Datenschutzrechtlich macht es natürlich einen Unterschied, ob du die Öffnungsrate lediglich anonym zählst, wenn Inhalte beim Öffnen einer Mail von deinem Server nachgeladen werden, oder ob du das Öffnen und die Klicks für die individuelle Personalisierung des Newsletters entsprechend der so ermittelten Interessen des Nutzers nutzen möchtest.
Auch hier muss das Thema Einholung von Einwilligung zur Verarbeitung personenbezogener Daten sorgfältig geprüft werden. Das rein statistische Zählen der Öffnung oder der Klicks auf Links in deiner E-Mail kann noch durch dein berechtigtes Interesse gerechtfertigt sein. Durch Verwendung z.B. einer individuellen Pixel-ID lässt sich nicht nur die Klickrate deiner E-Mail messen – also wie viele Empfänger auf einen Link geklickt haben – sondern es können auch Daten über das Verhalten des einzelnen Empfängers gesammelt werden. Personalisierte Werbung bzw. das hierfür erforderliche Tracken und die Erstellung eines individuellen Nutzungsprofils des Nutzers jedoch erfordert zwingend eine Einwilligung des Empfängers.
Der Nutzer rechnet mit dieser Form der Erhebung und Verarbeitung seiner Daten nicht. Er kann eine wirksame Einwilligung daher nur erteilen, wenn er vorher auch ausreichend hierüber von dir informiert wurde. Diese Information erfolgt im Einwilligungstext zur Bestellung des Newsletters und in deiner Datenschutzerklärung.
Beispiel für die Einwilligung zu einem Newsletter mit Personalisierung:
‚Ich willige in den Erhalt eines entsprechend meiner Interessen personalisierten wöchentlichen Newsletters der X GmbH per E-Mail ein, der mich über ihre aktuellen Angebote im Bereich Fashion informiert.
Für die Personalisierung werden z.B. meine Klicks auf Links im Newsletter und Warenbestellungen berücksichtigt.
Diese Einwilligung kann ich jederzeit widerrufen. Weitere Informationen zur Datenverarbeitung durch die X GmbH finde ich HIER [LINK zu deiner Datenschutzerklärung].‘
Wenn du einen entsprechend der Interessen eines Nutzers personalisierten Newsletter mit einer integrierten Trackingfunktion anbietest, sind grundsätzlich zwei Einwilligungen einzuholen – eine für die Versendung von Werbung per E-Mail und eine für die einwilligungspflichtige Verarbeitung personenbezogener Daten um den Newsletter mittels Tracking personalisieren zu können. Beide Einwilligungen können mit Checkboxen eingeholt werden. Idealerweise sollte der Empfänger die Auswahl haben, ob er von dir einen Standard-Newsletter oder einen entsprechend seiner Interessen personalisierten Newsletter erhält.
Die das Tracking genau abläuft und welche Daten hier erfasst und verarbeitet werden, kann entsprechend dem von Dir gewählten Vorgehen hierbei von Fall zu Fall unterschiedlich sein. Dieses individuelle Vorgehen beim Tracking und dem Aufbau der Nutzungsprofile muss in der Datenschutzerklärung verständlich dargestellt werden.
Impressum und Datenschutzerklärung der Landing Pages
GetResponse-Kunden fragen: Muss ich auf meiner Landing Page dieselben Informationen bereithalten, wie auf einer normalen Website und welche müssen dies sein?
Kurz und knapp … Ja, auch eine reine Landingpage benötigt ein Impressum und eine Datenschutzerklärung.
Alle Telemedien – dazu zählen Webseiten, E-Mails, Apps, die Fan-Page deines Unternehmens auf Facebook usw. – benötigen ein Impressum, wenn sie geschäftsmäßig sind. Es kommt also insbesondere nicht darauf an, welchen Umfang eine Website hat. Welchen Inhalt ein Impressum haben muss, findest Du hier.
Eine Datenschutzerklärung ist hier erforderlich, da selbst beim Betrieb einer schlichten Webseite ohne sonstige Funktionen personenbezogener Daten durch dich verarbeitet werden. Der Personenbezug wird bereits durch die vom Endgerät des Nutzers an deinen Server gesendete IP-Adresse hergestellt, über die man wiederum durch Abfrage beim Internetprovider des Nutzers auf dessen Internetanschluss und meistens auch den Nutzer selbst schließen kann. Und wenn deine Landingpage dazu dient, dass sich hier Nutzer zu deinem Newsletter anmelden, erhebst und verarbeitest du selbstverständlich weitere eindeutige personenbezogene Daten (E-Mailadresse, Name usw.).
Im Netz und in Büchern gibt es inzwischen die verschiedensten Muster für die Erstellung einer Datenschutzerklärung. Wenn du ein solches verwenden möchtest, erspart dir dies nicht die Arbeit, zu überprüfen, ob dieses auf die von dir tatsächlich vorgenommene Verarbeitung wirklich passt oder ob die Erklärung erforderlichenfalls angepasst oder ergänzt werden muss.
Die bereitzustellenden Informationen, im häufigeren Fall, dass Daten von dir direkt erhoben werden, ergeben sich aus Art. 13 DSGVO.
Checkliste zu den Informationspflichten nach Art. 13 DSGVO
- Name / Firmenname und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreter,
- Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten,
- Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen (z.B. Versand von Newslettern, Aufbau von Nutzungsprofilen für personalisierte Werbung usw.) und zusätzlich die Rechtsgrundlage (insbes. Einwilligung, Vertragserfüllung, berechtigtes Interesse), durch die die jeweilige Verarbeitung legitimiert wird,
- wenn du als Rechtsgrundlage ein berechtigtes Interesse von dir oder einem Dritten ansiehst, musst du dieses Interesse auch konkret nennen (z.B. Direktmarketing, Optimierung der Darstellung, Betrugsverhinderung usw.),
- Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- ob du die Absicht hast, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln und zugleich Informationen, warum dies nach Kapitel V der DSGVO möglich ist (Angemessenheitsbeschluss oder andere Garantien (s. auch Punkt “Sperrlisten”)
Weiter solltest du insbesondere informieren über
- die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer,
- die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit),
- das Recht zum jederzeitigen Widerruf einer Einwilligung und die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt und
- das Beschwerderecht bei einer Aufsichtsbehörde.
Die Informationspflichten in dem Fall, dass du Daten verarbeitest, die von Dritten erhoben wurden, finden sich in Art. 14 DSGVO. Dazu gehört die Information an den Nutzer, aus welcher Quelle seine Daten stammen. Wurden die Daten zur Kommunikation mit dem Nutzer erhoben, müssen die in Art. 14 genannten Informationen dem betroffenen Nutzer spätestens bei der ersten Mitteilung an ihn zu erteilt werden.
Auch über die von dir verwendeten Cookies musst du informieren. Welche Informationen zu Cookies in der Datenschutzerklärung oder einer Cookie Policy stehen müssen findest Du unter dem Punkt “Cookie Policy”.
Cookie Banner & Co.
GetResponse-Kunden fragen: Wofür benötige ich ein Cookie-Banner und wie muss es gestaltet sein?
Ende 2021 wird in Deutschland das neue Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien – kurz TTDSG – in Kraft treten. Danach findet sich im deutschen Recht endlich auch eine geschriebene Regelung zur Notwendigkeit einer Einwilligung für Cookies und ähnliches. Der Gedanke ist, dass das Schreiben und Auslesen von Informationen im Endgerät des Nutzers – z.B. mit Hilfe eines Cookies oder als local storage – grundsätzlich einen Eingriff in die geschützte Privatsphäre des Nutzers – zu der auch sein Endgerät gehört – darstellt und deshalb in der Regel nicht ohne Einwilligung des Nutzers erfolgen darf.
Die im Gesetz vorgesehenen Ausnahmen von der Regel der vorherigen ausdrücklichen Einwilligung gelten im Fall einer Website oder App vor allem für Cookies, die technisch unbedingt dafür erforderlich sind, dass dem Nutzer eine Funktion zur Verfügung gestellt werden kann, die dieser ausdrücklich wünscht. Unbedingt erforderlich für gewünschte Funktionen sind z.B. Cookies für den Warenkorb im Onlineshop, für das LogIn zum Account des Nutzers oder Cookies zur Anpassung der Benutzeroberfläche. Der Ausnahmebereich ist also sehr überschaubar. Ob ein Cookie ausnahmsweise ohne ausdrückliche Einwilligung verwendet werden darf, kann auch davon abhängen, die lang seine Laufzeit ist. Je kürzer die Laufzeit, desto besser. So sollte z.B. ein Cookies für die Sprachpräferenz auf einer Seite ein Session-Cookie sein. Und auch Third Party – Cookies, die nicht über deine Domain gesetzt werden, fallen in der Regel nicht unter die Ausnahme.
Doch nicht nur für Cookies sind Einwilligungen einzuholen, sondern für jede Verarbeitung personenbezogener Daten, für die du keinen anderen gesetzlichen Rechtfertigungsgrund hast, eine Einwilligung des Nutzers einzuholen. Wenn du z.B. die Aktivitäten eines Nutzers mit Hilfe eines Cookies auf deinen Seiten verfolgen möchtest, brauchst du eine Einwilligung für den Cookie als solchen und die einwilligungspflichtige Verarbeitung des Trackings. Auch wenn Daten an Dritte zu deren auch eigenen Zwecken übertragen werden sollen, geht dies i.d.R. nur mit Einwilligung des Nutzers. So ist z.B. bei der Einbindung von Google Analytics zum Zweck der Analyse der Nutzung deiner Seiten immer zuvor eine Einwilligung des Nutzers einzuholen, da die über deine Seite erhobenen Daten von Google auch für eigene Zwecke verarbeitet werden.
Die erforderlichen Einwilligungen holst Du über ein Cookie – Banner bzw. eine Consent Management Platform (CMP) ein. Auf Seiten im Netz finden sich die unterschiedlichsten Varianten von Bannern und CMPs, denn eine verbindliche Vorgabe für deren Ausgestaltung gibt es nicht. Wenigstens eine Handreichung zur datenschutzkonformen Einwilligung auf Webseiten findest du HIER. Allen Tools sollte aber gemeinsam sein, dass der Nutzer ausreichend über die einwilligungspflichtigen Cookies und/oder Verarbeitungen informiert wird und neben genereller Einwilligung die Möglichkeit zur Auswahl der unterschiedlichen Verarbeitungszwecke, für die er seine Einwilligung erteilen soll. Die verschiedenen Verarbeitungszwecke, für die die Einwilligung eingeholt werden (Statistik, Marketing usw.) und wie die dahinter stehende Verarbeitung konkret erfolgt, sollten eindeutig benannt bzw. beschrieben werden. Eine Zweckbeschreibung wie „um für Sie die Webseite optimal zu gestalten“ reicht hier sicher nicht aus. Der Nutzer soll seine Einwilligung genauso einfach verweigern können, wie er diese erteilen kann. Ganz sicher würdest du hier gehen, wenn der Nutzer schon auf der ersten Ebene (layer) des CMP einen Button hat, um die Erteilung der Einwilligung abzulehnen.
Wie schon erwähnt, brauchst du für deine technisch erforderlichen Cookies eigentlich keine Einwilligung und kein CMP, sie werden aber meistens dennoch auf der Auswahlebene des CMP genannt, ohne dass man sie dort ablehnen kann.
Einer der häufigsten Fehler, die bei CMPs immer noch gemacht werden, ist, dass auf einer der Ebenen des CMPs bereits vorangekreuzte Checkbox zu finden sind. Ist dies der Fall, ist die Einwilligung nicht wirksam erteilt. Daneben gibt es viele hübsch anzusehende CMPs, die ihren eigentlichen Zweck nicht erfüllen. Die Einwilligung des Nutzers muss vor dem Setzen des Cookies und/oder der einwilligungspflichtigen Verarbeitung eingeholt werden. Häufig werden die Cookies aber immer noch bereits beim Laden der Seite gesetzt, bevor das CMP überhaupt erscheint. In diesen Fällen fehlt es an einer tatsächlichen technischen Umsetzung des Consent Managements auf der Seite, das das Laden der Cookies vor Erteilung der Einwilligung gerade verhindern soll. Welche Cookies und Verarbeitungen nach Erteilung der Einwilligung auf der Seite dann tatsächlich folgen, muss sich natürlich dann zwingend an die vom Nutzer getroffene Auswahl der Verarbeitungszwecke halten.
Natürlich möchtest du eine möglichst hohe Einwilligungsrate deiner Nutzer zu deinen Cookies erhalten. Du kannst daher versuchen, die Oberfläche des Banners bzw. CMP so zu gestalten, dass der Nutzer eher bereit ist, seine Einwilligung zu erteilen. Hier sind aber Grenzen gesetzt. Sog. Nudging, mit dem der Nutzer die Auswahl der Verarbeitungszwecke und die Verweigerung der Einwilligung unnötig erschwert wird, kann die Freiwilligkeit der Einwilligung und damit deren Wirksamkeit in Frage stellen. In der Praxis sieht man hier Banner, die neben einem großen grünen Button zur generellen Einwilligung den Button oder Link zur Verweigerung oder der Auswahl der Verarbeitungszwecke kaum auffindbar und zum Teil im Fließtext verstecken. Dies dürfte die Grenze des rechtlich Möglichen schon weit überschreiten.
Cookie Policy auf Webseiten
GetResponse-Kunden fragen: Welche Informationen muss ich zu den von mir verwendeten Cookies bereitstellen?
Auch hier geht es wieder um eine möglichst große Transparenz für den Nutzer. Ob du eine gesonderte Cookie Policy auf einer Unterseite deiner Website pflegst oder ob die Angaben zu den Cookies als Teil Deiner Datenschutzerklärung machst, bleibt dir überlassen. Wichtig ist, dass der Nutzer alle für ihn relevanten Informationen im Zusammenhang mit den verwendeten Cookies und der Verarbeitung seiner personenbezogenen Daten rasch finden kann. Die Faustregel ist, dass er diese Informationen mit höchstens zwei Klicks erreichen können sollte.
Auf vielen Webseiten findet man in Cookie-Bannern oder Datenschutzerklärungen ziemlich nebulöse Beschreibungen, was der Zweck der verwendeten Cookies sei (z.B. ‚Ermöglichung eines einmaligen Nutzererlebnisses‘). Damit wird zum einen die Intelligenz der Nutzer unterschätzt, die in der Regel auch dazulernen, und zum anderen reicht dies nicht dafür aus, dass der Nutzer eine Einwilligung ‚in informierter Weise‘ erteilen könnte. Der Nutzer muss aufgrund der ihm erteilten Informationen ziemlich genau absehen können, welche Konsequenz seine Einwilligung für ihn hat. In seiner Entscheidung ‚Planet49‘ hat sich der Europäische Gerichtshof auch zu den notwendigen Informationen geäußert, die zu einem Cookie erteilt werden müssen. Diese müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.
Danach ist also grundsätzlich zu erläutern, was eigentlich Cookies sind, dass es technisch erforderliche Cookies ohne Einwilligung und sonstige mit Einwilligung gibt, für welche Zwecke diese verwendet werden und dass Cookies in den Browser – Einstellungen geblockt und gelöscht werden können.
Neben den generell nach Art. 13 DSGVO insbesondere in der Datenschutzerklärung [Link auf Punkt 8] zu erteilenden Informationen ist für Cookies insbesondere anzugeben:
- Zweck des Cookies (z.B. Sammlung von Informationen zu Werbezwecken)
- Funktionsdauer der Cookies (z.B. Session, 2 Tage usw.)
- Möglicher Zugriff Dritter auf die Cookies ( z.B. Partner im Werbenetzwerk)
In der Regel werden auch die Bezeichnungen der Cookies in der Cookie Policy genannt, so dass sich die Liste der Cookies z.B. so darstellen kann:
First-Party-Cookies | |||
Domain | Name | Speicherdauer | Zweck |
example.com | _cfduid | 30 Tage | technisch erforderlich; Identifikation vertrauenswürdigen Traffics |
example.com | _gid | 1 Tag | Statistic / Analyse; Zählen und Nachverfolgen der Seitenansichten (anonym) |
Third-Party-Cookies | |||
.doubleclick.net | IDE | 1 Jahr | Marketing / Tracking; Domainübergreifende Verfolgung und Wiedererkennung des Nutzers zum Ausspielen personalisierter Werbung |
Werbung per SMS
GetResponse-Kunden fragen: Welche Besonderheiten muss ich bei Werbung per SMS berücksichtigen?
Wenn du Benachrichtigungen mit werbendem Inhalt per SMS versenden möchtest, muss dir bewusst sein, dass auch diese Formen der Kommunikation – so wie E-Mails – als ‚elektronische Post‘ anzusehen sind. Es gelten daher dieselben gesetzlichen Vorgaben wie für den Versand von Werbung per E-Mail. Informationen zu den Anforderungen an die Einwilligungserklärung des Empfängers findest unter hier.
Grundsätzlich ist eine SMS mit werbendem Inhalt daher nur zulässig, wenn dir der Empfänger eine ausdrückliche Einwilligung für den Erhalt solcher Nachrichten per SMS erteilt hat. Eine Einwilligung in Werbe-Anrufe ist danach nicht gleichzeitig eine Einwilligung in die Versendung von SMS über dieselbe Telefonnummer. Eine SMS zur Abwicklung eines Auftrages- also z.B. die Mitteilung per SMS, dass die vom Kunden bestellte Ware versandt wurde – ist möglich, wenn sie keine weitere Werbung enthält. Eine nachfolgende Zufriedenheitsabfrage per SMS an den Kunden kann aber schon wieder als unzulässige Werbung ohne Einwilligung angesehen werden.
Web Push-Benachrichtigungen
GetResponse-Kunden fragen: Welche Besonderheiten zum Datenschutz muss ich bei Web-Push-Benachrichtigungen beachten?
Während man bei Werbung per SMS die Grundsätze zur Werbung per E-Mail unmittelbar anwenden kann, ist bei der Web-Push-Nachricht bereits fraglich, ob es sich hierbei um eine Form der elektronischen Post handelt. Im Gegensatz zu E-Mail und SMS landet die Push-Nachricht insbesondere nicht in einem Postfach des Empfängers, sondern stellt wie ein Chat eine Echtzeitkommunikation dar, da sie sofort auf dem Monitor oder Display angezeigt wird.
Das ändert aber nichts daran, dass du auch für diese Form der Kommunikation eine gültige Einwilligung des Nutzers für den Versand der Nachrichten benötigst. Die Einwilligung zum Empfang und der Anzeige von Web-Push-Nachrichten ist immer browsergebunden. Die Erteilung der Einwilligung im Chrome-Browser des Nutzers führt also nicht dazu, dass die Push-Nachrichten angezeigt werden, wenn der Nutzer nur seinen parallel installierten Firefox-Browser geöffnet hat. Der Nutzer muss auf der jeweiligen Website per Einwilligungsdialog dem Empfang zustimmen. Er wird dann mit einer zufällig generierten ID (User Agent IDentifier oder UAID) markiert, um ihm die Push-Nachricht ausliefern zu können. Für dich kann der Nutzer zwar anonym erscheinen, dennoch werden schon hier personenbezogene Daten verarbeitet, da der Nutzer z.B. über die ID und seine IP-Adresse identifiziert werden könnte. Wenn der Nutzer dann auch noch von dir über sein Klickverhalten auf die Web-Push-Nachrichten getrackt werden soll, um so z.B. personalisierte Werbung ausspielen zu können, dürfte klar sein, dass wir über personenbezogene Daten reden. Die von Personalisierung der Werbung muss auch in der Einwilligungserklärung zum Erhalt der Web-Push-Nachrichten und deiner Datenschutzerklärung für den Nutzers verständlich dargestellt werden. Fehlen hier wesentliche Informationen, so dass der Nutzer die Konsequenz seiner Einwilligung nicht vollständig überblicken kann, ist die Einwilligung durch den Nutzer nicht wirksam erteilt.
Der Nutzer muss zudem darauf hingewiesen werden, dass und wie er jederzeit seine Einwilligung widerrufen kann. Dein Text zur Einwilligung sollte daher einen Link auf Deine Datenschutzerklärung beinhalten, in der du auch weitere Informationen zu den Web-Push-Nachrichten gibst. Wichtig ist der Hinweis auf die Möglichkeit, dass er sich jederzeit in den Browser-Einstellungen den Empfang blockieren und so seine Einwilligung widerrufen kann.
Die Anforderungen an eine wirksame Einwilligung sollten z.B. durch folgenden Einwilligungstext erfüllt werden können.
Beispieltext zur Einwilligung des Nutzers
‚Wenn Sie immer aktuell über News und exklusive Angebote der X GmbH informiert werden möchten, klicken Sie auf „OK“, um Push-Nachrichten zu empfangen. Durch Ihre Zustimmung erhalten Sie auf Ihre Interessen abgestimmte, personalisierte News und exklusive Angebote zum Thema Fashion. Für die Personalisierung berücksichtigen wir u.a. Ihre Klicks auf unsere Push-Nachrichten. Die Push-Nachrichten können Sie jederzeit in den Einstellungen Ihres Browsers abbestellt werden. Weitere Informationen hierzu finden Sie in unserer Datenschutzerklärung.‘
In deiner Datenschutzerklärung ist der Nutzer dann detailiert über die Verarbeitung personenbezogener Daten bei Nutzung des Push-Dienstes und die Möglichkeit, wie er diesen im Browser wieder abbestellen kann, zu informieren. Am einfachsten verlinkt ihr hierzu auf die entsprechenden Seiten der Browser-Anbieter, auf denen erläutert wird, wie die Push-Nachrichten deaktiviert werden können. Mit dem folgenden Text in deiner Datenschutzerklärung kannst Du über den Nachrichtenversand selbst informieren. Über deine konkreten Trackingmaßnahmen und den Aufbau eines Nutzungsprofils des Nutzers musst du dann noch gesondert in der Erklärung informieren.
Beispieltext zu Push-Nachrichten in der Datenschutzerklärung
‚Web Push-Benachrichtigungen
Werden Web Push-Benachrichtigungen von Ihnen aktiviert, erfolgt die Bereitstellung dieser Funktion über einen Service des jeweiligen Browsers. Für den Versand von Push-Nachrichten werden ausschließlich anonyme bzw. pseudonyme Daten verarbeitet. Sie können den Empfang von Benachrichtigungen jederzeit über die Einstellungen Ihres Browsers deaktivieren und ihm so widersprechen. Informationen über die Abmeldung für Web Push-Benachrichtigungen des jeweiligen Browsers finden Sie hier:‘
– Chrome
– Safari
– Firefox
– Opera
Fazit:
Marketeers haben im E-Mail-Marketing einige Punkte zu beachten. Die Anforderungen an ein rechtlich einwandfreies E-Mail-Marketing – und natürlich auch sonstiges Online Marketing -, sind auch drei Jahre nach Inkrafttreten der DSGVO noch in Teilen nicht abschließend und verbindlich definiert. Neue Urteile der Gerichte und neue Stellungnahmen der Aufsichtsbehörden werden es erforderlich machen, dass wir unseren Ratgeber von Zeit zu Zeit aktualisieren. Bis dahin kannst du das gewonnene Wissen in deinem GetResponse-Konto in die Tat umsetzen, solltest aber ab und zu schauen, ob hier Neues gibt.
Bei speziellen Fragen zum rechtskonformen E-Mail Marketing kannst du dich auch mit unserem Autor, Rechtsanwalt Martin Erlewein, in Verbindung setzen, der dir gerade in Zweifelsfragen weiterhelfen kann.Du findest die Kanzlei Erlewein im Netz unter www.kanzlei-erlewein.de (Telefon: +49 (0) 2052 8352343, E-Mail: info@kanzlei-erlewein.de)