Datenschutz-Fallstudie – Was Sie beim Versand von Newslettern beachten sollten

Datenschutz-Fallbeispiel

Ein Mitarbeiter der XY GmbH, Kunde von Brands Consulting, berichtet im Termin, dass die XY GmbH den Versand von Newslettern an seine Kunden, Ansprechpartner, Interessenten etc. plant. Weiterhin berichtet er Ihnen, dass die E-Mail-Adressen von den zahlreichen Visitenkarten stammen, die die Außendienstmitarbeiter erhalten. Zudem stammen viele E-Mail-Adressen von vergangenen Bestellungen im Online-Shop der XY GmbH.

Sie erklären dem Mitarbeiter der XY GmbH, dass dies nicht so einfach möglich ist, da grundsätzlich informierte und ausdrückliche Einwilligungen der Betroffenen erforderlich sind.

Der Mitarbeiter versteht das Problem nicht. Schließlich haben die betroffenen Personen die Visitenkarten persönlich ausgehändigt und auch im Rahmen der Bestellung erfolgte die Angabe der E-Mail-Adresse freiwillig. Sie berichten, dass es sich hierbei um eine Zweckentfremdung handelt und auch Daten auf Visitenkarten geschützt werden sollen. Der Kunde ist verwirrt und möchte wissen, wieso Daten auf den Visitenkarten geschützt werden müssen, da es überwiegend dienstliche Angaben seien und möchte wissen, was beim Versand von Newslettern beachtet werden muss.

Ihre Aufgabe als externer Datenschutzbeauftragte liegt zunächst darin, dem Mitarbeiter der XY GmbH zu erklären, was personenbezogene Daten sind und wieso diese nicht nach Belieben erhoben, verarbeitet und genutzt werden dürfen.

Datenschutz-FallbeispielPersonenbezogene Daten sind Angaben, die einer natürlichen Personen direkt (bestimmte personenbezogene Daten) und indirekt unter Zuhilfenahme weiterer Informationen (bestimmbare personenbezogene Daten), zugeordnet werden können. Zu den personenbezogenen Daten zählen der Name, das Geburtsdatum, die Kontonummer sowie die Telefonnummer und E-Mail-Adresse, unabhängig, ob es sich um die private oder dienstliche Telefonnummer/E-Mail-Adresse handelt. Ebenso gilt der, auf der Visitenkarte aufgeführte, akademische Grad sowie der Beruf als personenbezogenes Datum.

Im Datenschutz gilt das Verbot mit Erlaubnisvorbehalt, weswegen zunächst jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten, außer sie basiert auf einer Rechtsgrundlage oder einer freiwilligen und informierten Einwilligung, verboten ist.

Der Mitarbeiter der XY GmbH kann Ihnen soweit folgen und möchte wissen, wieso er die Daten nicht für die Newsletter verwenden darf, wenn er die E-Mail-Adressen bereits im Rahmen der zuvor getätigten Geschäfte erhalten hat.

Im Datenschutz gilt der gesetzesübergreifende Grundsatz der Zweckbindung. Personenbezogene Daten, die für einen Zweck erhoben werden dürfen, weil eine Rechtsgrundlage vorliegt oder der Betroffene eingewilligt hat, dürfen ausschließlich für diesen Zweck verwendet werden. Sollen die Daten für einen anderen Zweck verarbeitet werden, so sollte die verantwortliche Stelle, in diesem Fall die XY GmbH, prüfen, ob eine Rechtsgrundlage oder informierte Einwilligungen vorliegen.

Im Business-to-Business-Bereich (B2B-Geschäft) sollte der Versand von Newslettern i. d. R. ebenfalls erst erfolgen, wenn eine Rechtsgrundlage vorliegt oder informierte Einwilligungen eingeholt wurden. Zwar genügt im B2B-Geschäft, dass ein Interesse des Geschäftskunden geäußert wurde (gilt nicht für Privatkunden!!!) und dieser die Kontaktdaten hinterlassen hat (Visitenkarte ausgehändigt), allerdings sollte beachtet werden, dass das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt.

Der Mitarbeiter der XY GmbH versteht die Problematik und möchte auch im B2B-Geschäft sichergehen, allerdings fragt er sich, ob eine Rechtsgrundlage vorliegt, die den Versand von Newslettern erlaubt.

Newsletter DatenschutzEine Rechtsgrundlage, die den Versand von Newslettern erlaubt, ist § 7 Abs. 3 UWG (Gesetz der unlauteren Werbung), wobei vier Voraussetzungen zu erfüllen wären.

  1. Die XY GmbH sollte die E-Mail-Adresse im Zusammenhang mit dem Verkauf der Ware oder Dienstleistung erhalten haben.
  2. Zunächst darf die XY GmbH ausschließlich für eigene Produkte werben, die dem bereits verkauften Produkt ähneln.
  3. Der Betroffene sollte vor der Erhebung und in jedem Newsletter über sein Widerspruchsrecht informiert werden.
  4. Der Betroffene sollte nicht bereits widersprochen haben.

Werden die vier Voraussetzungen nicht erfüllt, so sollte das Unternehmen informierte und ausdrückliche Einwilligungen der Betroffenen einholen.

Der Mitarbeiter versteht Sie noch nicht richtig und hakt nach: „Wir haben zwar nicht alle E-Mail-Adressen im Zusammenhang mit dem Verkauf erhalten, allerdings weisen wir die Kunden auf Ihr Widerspruchsrecht hin und wenn die nicht widersprechen, so empfinden sie die Newsletter nicht als störend. Also können wir Newsletter verschicken, bis jemand widerspricht oder verstehe ich das falsch?“

Über diese Frage wird in der Praxis regelmäßig gestritten. Verantwortliche Stellen, wie Unternehmen, Vereine oder Behörden, versenden aus diesem Grund oftmals Newsletter, ohne vorher eine Einwilligung erhalten zu haben und nehmen Betroffene erst aus dem Newsletter-Verteiler, wenn diese widersprochen haben. Diese Methode wird auch Opt-out-Verfahren genannt, wobei zwischen der einfachen Opt-out- und der Double-Opt-out-Methode unterschieden wird.

  • Bei der einfachen Opt-out-Methode reicht es aus, wenn der Betroffene widerspricht,
  • wobei beim Double-Opt-out-Verfahren neben dem Widerspruch ein zweiter Schritt, das Bestätigen einer Verifizierungs-E-Mail, seitens des Betroffenen notwendig ist.

Die Verwendung des Opt-out- bzw. des Double-Opt-out-Verfahrens ist allerdings nicht zu empfehlen, da sich der Bundesgerichtshof in einigen Fällen gegen dieses Verfahren entschieden hat. Aus diesem Grund sollte vom Double-Opt-in-Verfahren Gebrauch machen.

Nun bittet Sie der Mitarbeiter das Double-Opt-in-Verfahren zu erläutern.

Newsletter-AnmeldungBeim Double-Opt-in Verfahren erhält der Betroffene erst Newsletter, wenn er hierzu eine Einwilligung abgibt, allerdings unterscheidet man auch hier zwischen dem einfachen und dem Double-Verfahren.

  • Beim Opt-in Verfahren muss der Betroffene nur einwilligen und schon wird er in den Newsletter-Verteiler genommen,
  • wobei beim Double-Opt-in-Verfahren, zumeist mittels einer Verifizierungs-E-Mail sichergestellt wird, dass die angegebene E-Mail-Adresse tatsächlich von der Person ist, die sich angemeldet hat. Verifikation der E-Mail-Adresse

Beim Einholen der informierten und ausdrücklichen Einwilligung sollte der Betroffene informiert werden,

  • wer die verantwortliche Stelle ist,
  • welche Daten erhoben werden,
  • zu welchem Zweck
  • und dass der Betroffene jederzeit widersprechen kann.

Zudem ist es anzuraten, dass das Häkchen nicht vorher gesetzt wird, sondern durch den Betroffenen erfolgen muss. Des Weiteren sollte die Einwilligung nicht mit anderen Erklärungen gekoppelt werden und es sollte sichergestellt werden, dass die Einwilligung freiwillig erfolgt. Zum Beispiel sollte die XY GmbH keine Bestellung von der Einwilligung der Newsletter abhängig machen. Nach dem Motto „Sie können nur bestellen, wenn Sie zu dem Newsletter einwilligen“.

Der Mitarbeiter der XY GmbH versichert Ihnen, dass die Einwilligungen auf dem erläuterten Weg eingeholt werden sollen und fragt, ob die XY GmbH beim Versenden von Newslettern noch etwas beachten muss?

Grundsätzlich wäre zu beachten, dass der Betroffene in jedem Newsletter über sein Widerspruchsrecht informiert wird und sobald er von diesem Gebrauch macht, auch keine Newsletter mehr erhält.

Zudem wären weitere Schritte erforderlich, wenn ein Dienstleister nach Weisung der XY GmbH Newsletter versendet.

Er fragt, ob der Widerspruch über das Double-Opt-out-Verfahren erfolgen sollte? Zudem möchte der Mitarbeiter wissen, was zu beachten wäre, wenn ein Dienstleister nach Weisung der XY GmbH Newsletter versendet?

Möchte ein Betroffener keine Newsletter erhalten, so muss er jederzeit die Möglichkeit haben zu widersprechen. Aus diesem Grund ist, wie bereits erläutert, der Hinweis in jedem Newsletter und auch auf der Webseite wichtig.

Meldet sich der Betroffene ab, so kann die Verifizierung der E-Mail-Adresse erfolgen. Nach der Abmeldung darf der Betroffene allerdings unter keinen Umständen weitere Newsletter erhalten, da ansonsten hohe Bußgelder drohen könnten.

Wenn ein Dienstleister beauftragt wird und, Newsletter im Namen der XY GmbH verschickt, dann sollte zunächst geprüft werden, wo der Dienstleister seinen Sitz hat. Bei einem Dienstleister innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) ist die Sachlage etwas einfacher als bei einem Dienstleister in einem Drittland (außerhalb der EU/EWR).

Dienstleister innerhalb der EU/EWR:

Verschickt ein Dienstleister nach Weisung der XY GmbH Newsletter, so handelt es sich um eine klassische Auftragsdatenverarbeitung (ADV), die das Abschließen eines ADV-Vertrages zwischen Auftraggeber (XY GmbH) und Auftragnehmer (Dienstleister) erfordert. Schließen Auftraggeber und Auftragnehmer einen ADV-Vertrag ab, so wird die eigentliche Datenübermittlung nicht als solche eingestuft (Fiktion der Nicht-Übermittlung), weshalb keine Einwilligungen der Betroffenen notwendig sind.

Dienstleister außerhalb der EU/EWR

Bei einem Dienstleister in einem Drittland ist es um ein Vielfaches komplizierter. Die Abwicklung über einen ADV-Vertrag ist nicht möglich. Die Datenübermittlung wird auch als solche eingestuft. Sollen personenbezogene Daten übermittelt werden, so darf dies nur auf Basis einer Rechtsgrundlage oder einer informierten Einwilligung erfolgen.

Zudem wird den meisten Ländern außerhalb der EU/EWR unterstellt, dass kein angemessenes Datenschutzniveau herrscht, was vor der Übermittlung mittels EU-Standardvertragsklauseln oder anderen vertraglichen Grundlagen hergestellt werden soll.

Es ist stets ein Dienstleister innerhalb der EU/der EWR zu empfehlen, allerdings sollten auch diese vor Auftragsvergabe durch den Datenschutzbeauftragten geprüft werden.

Haben auch Sie Fragen zum Versand von Newslettern oder zu sonstigen Datenschutz relevanten Themen, dann nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

  • fachkundige und zuverlässige Unterstützung im Datenschutz ✓
  • Beratung zur Datensicherheit ✓
  • externer Datenschutzbeauftragter ✓
  • Data Protection Officer ✓
  • Datenschutzberater (Datenschutzberatung) ✓
  • Auditierung als Datenschutzauditor z. B. bei der Vergabe von Verträgen zur Auftragsdatenverarbeitung gemäß § 11 BDSG ✓
  • Durchführung von Datenschutzschulungen (Grundlagen- oder Spezialschulungen) ✓
  • diverse TÜV-Zertifizierungen (z. B.: Datenschutzbeauftragter & Datenschutzauditor) ✓
  • akademisch fundierte Beratung (relevanter Studienabschluss des Beraters bzw. Beauftragten für den Datenschutz) ✓

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.