Was sollten Newsletter-Anbieter beachten?
Der folgende Artikel ist Teil der Service-Reihe Datenschutz auf Webseiten in Zusammenarbeit mit Seitenstark. Seitenstark e.V. ist eine Arbeitsgemeinschaft von Webseiten für Kinder und betreibt unter anderem die Info-Plattform wir-machen-kinderseiten.de. Das Angebot wird vom Bundesministerium für Familie, Senioren, Frauen und Jugend gefördert, die Service-Reihe wird von der EU-Initiative klicksafe.de unterstützt.
Bislang erschienen:
- Reihe „Datenschutz auf Webseiten“: Updates zur Datenschutz-Grundverordnung
- Hintergrund 1: Sieben goldene Regeln des Datenschutzes
- DSGVO-Update
- Hintergrund 2: Datenschutz- und Einwilligungserklärungen, AGB und Impressumspflicht
- Muster: Impressum für einen Verein
- Hintergrund 3: Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung
- DSGVO-Update: Auftragsverarbeitung, Embedding
- Aufbau einer einfachen Datenschutzerklärung
- Muster: einfache Datenschutzerklärung
- DSGVO-Update: Datenschutzerklärungen
- Chats, Foren und Gästebücher
- Muster: Gästebuch, anonymes Posting
- Muster: Forum und Chat mit Registrierung
- Muster in kindgerechter Sprache
- DSGVO-Update: Chats, Foren und Gästebücher
- Was muss bei Online-Umfragen beachtet werden?
- Muster: Einwilligung bei ausführlicher Umfrage
- Webanalyse-Werkzeuge und Datenschutz
- Muster: Datenschutz-Erklärung bei Einsatz von Piwik
- Muster in kindgerechter Sprache
- DSGVO-Update: Webanalyse-Werkzeuge und Datenschutz
- Was sollten Newsletter-Anbieter beachten?
- Muster: Einwilligungserklärung Newsletter in kindgerechter Sprache
- Einwilligungserklärungen bei Kontaktformularen, Mitmach-Aktionen und Gewinnspielen
- Mustertext für die Datenschutzerklärung
- Mustertext in kindgerechter Sprache
- Datenschutz bei Spenden- und Empfehlungsfunktionen
Viele Webseiten bieten die Möglichkeit an, einen Newsletter zu bestellen. Nutzerinnen und Nutzer können sich so regelmäßig per E-Mail über Neuigkeiten informieren lassen. Auch hierbei werden personenbezogene Daten erhoben. Zunächst muss die E-Mail-Adresse des Newsletter-Empfängers verarbeitet werden, darüber hinaus fallen IP-Adressen und weitere Informationen an. Das ist zumeist – auch für Kinderseitenbetreibende – relativ unproblematisch, sofern ein paar Grundregeln beachtet werden.
8.6.2018
Aktueller Hinweis zur neuen EU-Datenschutz-Grundverordnung (DSGVO)
Durch die DSGVO ändert sich bei Newslettern gegenüber den bisherigen, im folgenden beschriebenen Empfehlungen nicht viel. Allerdings sollten die Hinweise zu Einwilligungserklärungen und Transparenzpflichten beachtet werden, die in den Beiträgen „DSGVO-Update: Datenschutzerklärungen“ und „DSGVO-Update: Chats, Foren und Gästebücher“ dargestellt werden.
Zweifache Bestellbestätigung verwenden
Wenn auf der Webseite ein Newsletter bestellt werden kann, ist darauf zu achten, das sogenannte Double-opt-in-Verfahren zu verwenden. Der Newsletter-Interessent gibt zunächst auf der Webseite seine E-Mail-Adresse an. Um Missbrauch der Funktion zu verhindern, erhält der Empfänger nach dem Eintragen auf der Webseite zunächst eine E-Mail, mit der er die Bestellung noch einmal bestätigen muss. So ist ausreichend sichergestellt, dass die Zustimmung auch wirklich vom Interessenten kommt und ihn Dritte nicht ungefragt eintragen können.
Die Mail, die dem Seitenbetreiber zur Bestätigung verschickt wird, sollte von ihm nicht dauerhaft gespeichert werden, ebenso wenig die ursprüngliche Eingabe auf der Webseite. Beides ist aus Datenschutzsicht nicht erforderlich. Lediglich aus Gründen der IT-Sicherheit erscheint eine Speicherung für sieben Tage vertretbar.
Sieht man sich mit einer großen Zahl missbräuchlicher Bestellungen konfrontiert, ist auch eine längere Speicherung möglich, wenn und solange man dies zur Aufklärung des Sachverhaltes benötigt.
Zustimmungserklärungen protokollieren
Um im Zweifel nachweisen zu können, dass die Zustimmung erteilt wurde, muss dagegen die zweite Bestätigung des Newsletter-Empfängers protokolliert werden. Stimmt der Interessent etwa durch eine vorausgefüllte Antwort-E-Mail zu, sollte diese archiviert werden. Bei einer Bestätigung durch einen Link, sollte dieser Zugriff getrennt von den übrigen Protokolldateien der Webseite gespeichert werden.
Zweckbindung beachten
Für die Verwendung der E-Mail-Adresse und der Protokolldaten gilt ebenfalls der Grundsatz der Zweckbindung. Eine Verwendung darüber hinaus ist nicht zulässig. Damit ist insbesondere auch eine Weitergabe an Dritte nicht ohne Weiteres gestattet. Ein Seitenbetreiber, der weitere Angebote an die jeweilige E-Mail-Adresse schicken will, muss dies entweder gleich bei der Einwilligung berücksichtigen oder eine neue Einwilligung einholen.
Möglichkeit zur Abbestellung anbieten
Ebenfalls muss die Möglichkeit bestehen, den Newsletter wieder abzubestellen. Das sollte den Nutzern so einfach wie möglich gemacht werden. Wer die Abbestellung zu kompliziert macht, wird sich in der Regel unbeliebt machen. Manche Nutzer könnten den Newsletter zudem als unerwünschte Werbung markieren. Zum Teil kann das dazu führen, dass der Seitenbetreiber auf verbreiteten Spam-Listen geführt wird, sodass sein Newsletter generell ausgefiltert wird.
Häufig wird am Ende des Newsletters ein Link zum Abbestellen angeboten. Oft muss auf der Webseite, die sich mit diesem Link öffnet, die Abbestellung noch einmal bestätigt werden. Seitenbetreiber können auch den umgekehrten Weg gehen und am selben Ort die Kündigung unmittelbar bestätigen und deren Widerruf anbieten. Das macht das Abbestellen noch einfacher.
Von der Abfrage von Gründen für die Kündigung sollte man absehen. Die Ergebnisse sind ohnehin nur selten aussagekräftig. Keinesfalls darf die Angabe von Gründen verpflichtend sein. Niemand sollte sich dafür rechtfertigen müssen, bestimmte Informationen nicht mehr erhalten zu wollen.
Tipp: Wer in der Einwilligungserklärung zu Beginn des Abonnements gleich auf die einfachen Kündigungsmöglichkeiten hinweist, schafft zusätzliches Vertrauen.
Exkurs: Tracking bei E-Mails
Auch durch E-Mail-Newsletter ist es in gewissem Umfang möglich, die Nutzung durch die Empfänger zu beobachten und auszuwerten. Technisch sind zwei Verfahren besonders verbreitet: Tracking-Pixel und Tracking-Links.
- Tracking-Pixel
Oft werden in E-Mails Bilder eingebunden, die erst beim Öffnen der E-Mail aus dem Web geladen werden. Ähnlich wie beim Web-Tracking kann hier auch für jeden Nutzer eine individuelle Adresse angelegt werden, von der das Bildelement geladen wird. Je nach technischer Umsetzung kann der Anbieter mit dem Aufruf des Bildes zuordnen, von wem die E-Mail geöffnet wurde oder zumindest erkennen, ob eine E-Mail geöffnet wurde. Nutzerinnen und Nutzer können im E-Mail-Programm oder auf der Webseite ihres E-Mail-Anbieters meist das Laden von Bildern deaktivieren. - Tracking-Links
Werden im Newsletter Adressen im Web verlinkt, kann über eine Individualisierung des Links ebenfalls eine Zuordnung mit einem Newsletter-Abonnenten erfolgen. Anbieter können so Profile darüber erstellen, welche Abonnenten sich für welche Informationen besonders interessiert haben und welche Links von wem angeklickt wurden.
Rechtliche Einordnung des Trackings
Wer als Seitenbetreiber auswerten will, welche Nutzer welche Inhalte wahrnehmen, also weitere Daten mit der E-Mail-Adresse verknüpft, benötigt eine aktive Einwilligung durch die Empfänger. Diese muss getrennt von der Einwilligung in den Empfang abgegeben werden, etwa durch ein zusätzliches Häkchen bei der Bestellung.
Zahlreiche Newsletter-Dienste bieten aber auch an, entsprechende Tracking-Funktionen abzuschalten, sofern sie angeboten werden. Das ist aus Datenschutz-Sicht ohnehin die empfehlenswerte Variante.
Impressumspflicht beachten
Wer einen Newsletter verschickt, für den gilt ebenso wie für Webseiten-Betreiber die Impressumspflicht. Die Hinweise aus dem Beitrag zum Thema gelten auch hier. Es empfiehlt sich, die Angaben direkt in den Newsletter am unteren Ende aufzunehmen.
Mustertext in kindgerechter Sprache: Einwilligungserklärung zur Zusendung eines Newsletters in einer E-Mail
Hallo,
auf unserer Internetseite xyz.de hast du (oder jemand anders) deine E-Mail-Adresse angegeben, um unseren Newsletter zu bestellen. Gerne wollen wir dir regelmäßig Informationen zukommen lassen. Weil wir aber nicht wissen können, ob du wirklich einverstanden bist, oder dich jemand anders angemeldet hast, brauchen wir noch deine Bestätigung.
Wenn du unseren Newsletter bestellen möchtest und deine Eltern damit einverstanden sind, klicke bitte hier.
Wenn du unseren Newsletter nicht haben möchtest, brauchst du nichts zu tun. Deine E-Mail-Adresse wird dann nicht dauerhaft bei uns gespeichert.
Die E-Mail-Adresse wird von uns nur für den Versand des Newsletters verwendet und zu keinem anderen Zweck weiter gegeben.
Du kannst den Newsletter später jederzeit wieder abbestellen. Dazu findest du am Ende von jedem Newsletter einen Link, den du anklicken kannst. Du wirst dann auf eine Seite geleitet, die bestätigt, dass du dich erfolgreich abgemeldet hast.
Der Mustertext kann natürlich angepasst werden. Wichtig ist, dass auch hier am Ende die Impressumsangaben gemacht werden.
Checkliste für Newsletter-Anbieter
- Zweifache Bestellbestätigung (Double Opt-in) vorgesehen? Erste Bestätigung bei der Abgabe der E-Mail-Adresse, zweite Bestätigung durch einen Klick in der ersten E-Mail oder Antwort darauf.
- Wird den Empfängern beschrieben, für welche Zwecke die E-Mail-Adresse verwendet wird und wie sie der Nutzung für die Zukunft widersprechen können?
- Wird die Einwilligung in das Abonnement protokolliert?
- Besteht eine einfache Kündigungsmöglichkeit?
Der Artikel steht unter der Creative-Commons-Lizenz Namensnennung 4.0 (CC BY).
Was sagen Sie dazu?