Kennst du diese Angebote auf Webseiten, die dir kostenfreie Checklisten oder ganze E-Books anbieten und alles, was du dafür tun musst, ist deine E-Mail-Adresse eingeben? Ein guter Deal denkst du vielleicht, doch oftmals beinhaltet dieser auch das sogenannte Kleingedruckte, denn mit der Eingabe deiner E-Mail-Adresse wird diese automatisch einer Newsletter-Empfänger-Liste hinzugefügt.
So kann der Seitenbetreiber über seinen Newsletter jederzeit auf sich aufmerksam machen und mit dir in Kontakt bleiben. Diese scheinbare Win-Win-Situation wird mit Inkrafttreten der DSGVO nun ausgehebelt. Zukünftig ist die Thematik E-Mail-Marketing sehr viel strenger reglementiert.
Was bedeutet E-Mail-Marketing?
Das sogenannte E-Mail-Marketing ist eine Art des Direktmarketings, auf elektronischem Wege, hier per E-Mail. Dabei wird der E-Mail-Empfänger zum Beispiel gezielt auf neue Angebote im Sortiment oder eine Dienstleistung oder einen Service oder oder oder… aufmerksam gemacht. Zusätzlich fördert es durch den steten Kontakt mit dem Empfänger auch die Kundenbindung und dass man besser im Gedächtnis des Kunden bleibt.
Ein sehr gutes Beispiel für E-Mail-Marketing ist der Online-Händler Amazon. Dieser hat es über die Jahre geschafft, Platzhirsch unter den Online-Händlern zu werden, weil er sich permanent in das Gedächtnis des Verbrauchers drängt und dabei nicht nur auf TV- und Radio-Werbung zählt, sondern vor allem auch auf die täglichen E-Mails, die über diverse Angebote in Bereichen informieren, in denen man schon einmal gekauft hat. Überprüfe einmal selbst, an welchen Händler du zuerst denkst, wenn du z.B. ein Buch oder eine Software kaufen willst – ich bin sicher, Amazon schießt dir als einer der ersten Händler in den Kopf. 😉
Man unterscheidet beim E-Mail-Marketing 2 Arten: Zum einen gibt es die one-to-one-Kommunikation. Hierbei wird gezielt nur ein Kunde kontaktiert, um ihn auch ein spezielles Angebot hinzuweisen. Im Gegensatz dazu wird bei der sogenannten one-to-many-Kommunikation ein identischer Nachrichteninhalt an eine größere oder die gesamte Empfängergruppe gesendet. Der klassische Newsletter gehört zu dieser Kommunikationsform, läuft allerdings damit auch Gefahr, schneller mal als „Spam“, also unerwünschte Werbung angesehen zu werden.
Newsletter vor der DSGVO
Bisher war die Anmeldung zu einem Newsletter diversen rechtlichen Pflichten durch das BDSG (Bundesdatenschutzgesetz), das TMG (Telemediengesetz) sowie des UWG (Gesetz gegen unlauteren Wettbewerb) unterstellt. So musste zum Beispiel durch das sogenannte Double-OptIn-Verfahren sicher gestellt werden, dass der Nutzer sich auch wirklich selbst für den Newsletter angemeldet hat.
Dabei wird nach der Anmeldung in einem Formular eine E-Mail mit einem Bestätigungslink an die eingetragene Mailadresse versandt. Erst durch den Klick auf den Bestätigungslink, wird die Eintragung in die Empfängerliste bestätigt.
Sollte dein Newsletter-Anbieter das Double-OptIn-Verfahren nicht standardmäßig verwenden, musst du zwingend selbst dafür sorgen; es gibt aber auch genug Newsletter-Anbieter, die automatisch dieses Verfahren anwenden (wie z.B. CleverReach (->Affiliate Link), welchen auch ich für meinen Newsletter verwende).
Durch diese und einige weitere Regelungen ist der Newsletter-Versand in Deutschland (anders als in einigen anderen EU-Ländern) schon recht gut auf die Änderungen im DSGVO vorbereitet.
So bekommst du deinen Newsletter DSGVO-konform
Ein paar Dinge kommen aber schon noch auf dich zu:
Auftragsdatenvereinbarung
Sofern du die E-Mail-Adressen bei einem externen Anbieter und nicht direkt innerhalb deiner Homepage sammelst, musst du mit diesem Anbieter eine Auftragsdatenvereinbarung abschließen. Das ist nicht nur bei E-Mail-Diensten wie CleverReach, MailChimp, Newsletter2Go und GetResponse erforderlich, sondern beispielsweise auch dann, wenn du die Besucher deiner Homepage mit einem Analysetool wie GoogleAnalytics auswerten möchtest. Zur Auftragsdatenvereinbarung wird es noch einmal einen extra Artikel geben.
Jedenfalls solltest du mit deinem genutzten E-Mail-Dienst abklären, ob er eine DSGVO-konforme Auftragsdatenvereinbarung anbietet und diese ausfüllen. In den meisten Fällen müssen 2 Exemplare ausgefüllt und an den Anbieter gesandt werden, ein unterschriebenes Exemplar erhältst du nach einiger Zeit für deine Unterlagen zurück.
Gesetzliche Anforderungen an den Auftragsdatenverarbeiter
Der gewählte Newsletter-Anbieter muss nun einige gesetzliche Anforderungen erfüllen. Es ist deine Aufgabe, die Einhaltung zu prüfen. Einige Anbieter bieten zu diesem Zweck ein sogenanntes Datenschutz-Testat an. Die genauen Anforderungen sind in der DSGVO im Artikel 28ff zu finden und sehen beispielsweise auch vor, dass die übermittelten Daten nach aktuellem technischen Stand gesichert sind, nicht an weitere Auftragsdatenverarbeiter weitergegeben werden und jederzeit von dir geändert und auch gelöscht werden können (wenn das nämlich vom Endnutzer verlangt wird).
Eine Stufe strenger geht es noch einmal zu, wenn der Auftragsdatenverarbeiter seinen Sitz in einem Land außerhalb der EU bzw. in einem Land mit anerkanntem Datenschutzniveau (betrifft zum Beispiel die USA) hat. In den USA ansässige Auftragsdatenverarbeitern sollten auf der Liste der Privacy Shield stehen, überall sonst muss es einen Modal-Vertrag mit der EU geben.
Datensparsamkeit
Ein Grundsatz der DSGVO ist es, dass man als Anbieter nur die für die Erfüllung des Auftrages unbedingt notwendigen Daten sammeln und verarbeiten darf. Das heißt beim Newsletter-Anmeldeformular nichts anderes, als dass du lediglich die Angabe der E-Mail-Adresse verlangen darfst, da nur diese notwendig ist, um den Newsletter versenden zu können. Alle weiteren Angaben wie Name, Geburtsdatum oder Wohnort solltest du für den Newsletter-Versand nicht erheben.
Zweckgebundenheit
Stellt dir ein Nutzer seine E-Mail-Adresse für den Erhalt deines Newsletters zur Verfügung, so darfst du die Adresse auch nur genau dafür verwenden. Du darfst den Nutzer nicht abseits des Newsletters per E-Mail kontaktieren.
Transparenz
Um der DSGVO gerecht zu werden, musst du jederzeit nachweisen können, wann und über welchen Weg sich der Nutzer für deinen Newsletter eingetragen hat, gefragt sind E-Mail-Adresse, Eintragungsdatum und -Uhrzeit. Im besten Fall werden diese Daten bereits über deinen Anbieter protokolliert, zusätzlich sind diese Daten ggf. in das Verarbeitungsverzeichnis, welches im Rahmen der DSGVO verpflichtend sein wird einzuarbeiten; in jedem Fall müssen die Daten auf Verlangen der Aufsichtsbehörde zügig zur Hand sein.
Datenschutzerklärung
In deine Datenschutzerklärung gehört selbstverständlich auch ein Absatz zum Thema Newsletter-Anmeldung.
Ein neues Newsletter-Anmelde-Formular muss her
Bisher bestehen die meisten Newsletter-Anmelde-Formulare aus einem Feld für die E-Mail-Adresse und dem „Absenden“-Button. Zukünftig ist es ratsam direkt bei dem Anmeldeformular einen kleinen Beschreibungstext einzubauen, der den Nutzer auf die elektronische Speicherung der Daten zum Zwecke des Newsletterversandes hinweist. Ein solcher Text könnte zum Beispiel wie folgt aussehen:
Durch das Absenden des Formulares wird ihre E-Mail Adresse an den datenschutz-zertifizierten Newsletter-Software-Anbieter CleverReach zum technischen Versand unseres Newsletters übermittelt. Die Einwilligung kann jederzeit von Ihnen widerrufen werden. Weitere Informationen hierzu finden Sie in unserer Datenschutzerklärung.
Die Datenschutzerklärung muss hier am besten direkt verlinkt werden, wenn das technisch möglich ist. Alternativ kann es sinnvoll sein, in unmittelbarer Nähe noch einen Link zur Datenschutzerklärung einzubauen.
Und die bisher gesammelten Adressen?
Nun könnte man grundsätzlich sagen, man ändert das Anmeldeformular und behält die bisher gesammelten Adressen. Doch bei einem Vortrag auf dem IT for Business-Kongress vor wenigen Tagen wurde von einem Anwalt genau hiervon strikt abgeraten. Das Problem sei nämlich, dass man auf Verlangen der Behörde die o.g. Transparenz für alle eingetragenen Newsletter-Abonnenten nachweisen muss und zwar unabhängig davon, wie lange diese sich schon im Verteiler befinden.
Man wird kaum nachweisen können, dass die Empfänger schon vor dem Eintragen in den Newsletter explizit noch einmal in die diesbezüglichen Punkte der Datenschutzerklärung hineingesehen und aktiv darin eingewilligt haben. Der Anwalt riet dringend davon ab, die in nicht DSGVO-konformen Formularen gesammelten E-Mail-Adressen weiterhin zu nutzen. Im Klartext: Deine über die letzten Jahre gesammelten E-Mail-Adressen solltest du nicht mehr verwenden, die Empfänger müssen aktiv die Eintragung im neuen DSGVO-Formular vornehmen.
Achtung: Kopplungsverbot!
Als wäre das noch nicht problematisch genug, gibt es im Rahmen der DSGVO nun auch ein Kopplungsverbot. Das bedeutet, dass du zukünftig dein Freebie nicht mehr gegen Angabe der E-Mail-Adresse für deine Newsletter-Adressliste verwenden darfst. Genau das ist momentan aber bei sehr vielen Unternehmern noch Standard. Das Kopplungsverbot untersagt aber eine zwingend erforderliche Datenabgabe für ein Produkt, welches verschenkt wird.
Theoretisch kann es einem also negativ angekreidet werden, wenn man das Freebie nicht für jeden frei zugänglich als Download auf seiner Seite anbietet, sondern der Nutzer hierfür erst mit der Angabe seiner E-Mail-Adresse bezahlen muss. Beim Vortrag im Rahmen des Kongresses wurde davon abgeraten, beides zu koppeln, im Netz finden sich hierzu noch unterschiedliche Meinungen. Vom Bauchgefühl her würde ich aber erst einmal die Finger von einer solchen Kopplung lassen.
Du siehst, das Thema DSGVO-konformer Newsletter und E-Mail-Marketing stellt so einiges an rechtlichen Ansprüchen. Ich bin aber sicher, dass du es mit einem guten Plan umsetzen kannst. Daher hier noch einmal für dich in Kurzform als Liste:
- Bisherige Newsletter-Abonnenten deaktivieren bzw. auf Konformität prüfen
- Auftragsdatenverarbeitungsvertrag mit Newsletter-Anbieter abschließen, auf Datenschutzkonformität prüfen
- Anmeldeformular für den Newsletter mit Hinweistext und Link zur Datenschutzerklärung versehen
- Datenschutzerklärung anpassen
- Kopplungsverbot beachten!
Hast du spezifische Fragen zur DSGVO oder bewegt dich gerade ein anderes Thema deiner tierischen Selbstständigkeit besonders? Dann hinterlasse mir gern einen Kommentar oder schick mir eine E-Mail mit deinen Fragen und Sorgen.
Hier gelangst du direkt zu den anderen Artikeln meiner DSGVO-Blogreihe:
- Allgemeines zur DSGVO
- Die Datenschutzerklärung
- Newsletter, Freebies und Co.
- Auftragsdatenvereinbarung
- Verarbeitungsverzeichnis
- Kontaktformular
- „Kannst du nicht mal eine Schritt-für-Schritt-Anleitung für die DSGVO-Umsetzung schreiben?“
Sehr wertvolle und detaillierte Tipps! Vielen Dank Susann! Da gibt es ja einiges zu tun!
Vielen Dank für dein Lob.
Ja die DSGVO ist ein sehr umfassendes und breites Thema (wobei ich hier auf dem Blog ja tatsächlich nur über die Auswirkungen auf Homepage und Co. spreche, nicht über den Schutz der physischen Daten, die man daheim so ansammelt).
Praktisch ist es so gesehen, dass ganz vieles bereits schon durch das BDSG (Bundesdatenschutzgesetz) sehr ähnlich geregelt war; und vieles tatsächlich nur angepasst werden muss. Aber natürlich gerade für den, der sich bisher nicht mit den rechtlichen Themen beschäftigt hat, ein Riesen-Wust an Stolperfallen und Fallstricken.
Ich freue mich, wenn dir mein Beitrag schon ein wenig geholfen hat 🙂
Ich blogge, habe einen kleinen Shop & bin auf Social Media unterwegs und sehe tagtäglich, dass ganz viele nicht mal in der Lage sind Werbung richtig zu kennzeichnen oder immernoch irgendwelche Facebook-Like-Plugins auf ihrer Website haben. Ich versuche immer alles „richtig“ zu machen, aber mal ehrlich: bei dieser verrückten DSGVO blicke ich einfach nicht mehr durch – sorry. Ja, Datenschutz ist wichtig! Aber das verdirbt einem ja langsam echt den Spaß – vorallem wenn man so ein kleiner Blogger ist… Naja, ich bin sehr gespannt wie sich das entwickelt! Durch deinen Beitrag bin ich zumindest schonmal ein kleines wenig schlauer geworden. Danke 😉
Liebe Alina,
das sehe ich tatsächlich auch immer wieder, und nachher ist das Geschrei meistens sehr groß, wenn es zu Abmahnungen, Steuernachzahlungen oder anderen Sanktionen kommt. Der Punkt ist ja der, dass man in Deutschland als Gewerbetreibender nun einmal Verpflichtungen hat, seien es Steuerpflicht oder rechtliche Vorschriften.
Ich war bei Jahren mal bei einem Steuer-Workshop der IHK, dort hat der Dozent es sehr treffend formuliert:
„Ihr könnt über Steuern und Rechtliches meckern wie ihr wollt, ihr kommt nicht drum herum. Also nehmt das einfach in Kauf und konzentriert euch auf die Dinge, die Geld einbringen, statt darauf, wie ihr den Kram vermeiden könnt.“
Ich sehe das mittlerweile ähnlich. Natürlich empfinde ich Steuer-Vorauszahlungen oder Nachzahlungen auch als eine finanziell starke Belastung und verdrehe dabei so manches Mal die Augen. Aber diese Regelungen gibt es nun einmal und daran wird sich so schnell nichts ändern. Es ist schlichtweg Zeit- und Energie-Verschwendung, sich darüber zu ärgern.
Ich freue mich, wenn ich mit meinen Artikeln bei dir ein wenig Licht ins Dunkle bringen konnte 🙂
Wie lange benötigst du an Zeit für so einen Artikel?
Hallo Alex,
das ist sehr unterschiedlich, kommt darauf an, wie viel an Recherche noch anfällt und mit dem Schreiben des Artikels ist es ja nicht getan, man muss ihn auch verbreiten, ausgestalten etc.. Aber ich schätze 3-5 Stunden mit allem drum und dran ist schon realistisch.
Das heißt, dass das DS-GVO Existenzen vernichten kann. Einfach mal schnell 5000 NL-Abonennten in die Tonne treten, geht doch mit einem Klick. Fragt sich, wie man dann zu „neuen“ kommt, da man ja Freebee-Bestellungen nicht mehr mit einer Newsletter-Anmeldung verbinden darf.
Ich habe übrigens die 5000 OHNE Freebee gewonnen über viele viele viele Jahre. Dann fange ich jetzt mal wieder brav von vorne an? Ich bin für Datenschutz, wenn aber nicht über die Realität nachgedacht wird, wem nutzt es dann wirklich.
Zum Thema „Freebee“ und „Daten-Altbestand“ gibt es glücklicherweise noch andere anwaltliche Ansichten, so dass man hoffen kann, dass mal der eine oder andere Fall vor Gericht erscheint und man dann zu neuen Ansichten kommt.
ÜBrigens: Wenn ein es ein neues Ehegesetz gäbe, sind dann alle Ehen ungültig, die unter der alten gesetzlichen Regelung geschlossen wurden?
Ja das ist leider nicht so ganz geklärt. Man müsste halt im Zweifel bei allen NL-Abonennten nachweisen können, dass man sie DSGVO-konform generiert hat, selbst wenn die Eintragung vor dem Inkrafttreten der DSGVO erfolgt ist. So zumindest die Aussage, die ich im Rahmen der Messe von einem Anwalt erhalten habe.
Aber es gibt auch andere anwaltliche Meinungen, die Experten streiten (nicht nur über diesen Punkt der DSGVO) aufgrund der teilweise doch sehr nichtssagenden Gesetzestexte. Die Zeit wird es wohl zeigen, wie damit verfahren wird, aber man sollte hier schon unbedingt dran bleiben und sich weiter informieren.
Respekt! Viel Mühe mit dem Artikel gemacht!
Super informativer Artikel (bzw. die ganze Artikelreihe!).
Hab ich das jetzt richtig verstanden:
1. Das Freebie ist ab in Kraft treten des DSGVO dann nutzlos, wenn ich es zum Aufbau meiner E-Mail Liste verwendet habe? Was die meisten Online Marketing Experten ja empfehlen…
2. Meine bisherige E-Mail Liste kann ich in die Tonne treten, und muss noch mal neu anfangen, mit einem DSGVO konformen Formular?
Und dann hätte ich noch eine Frage:
Ich personalisiere meine Newsletter gerne, deshalb hab ich im Newsletter-Formular neben der E-Mail Adresse auch noch den Namen. Die Angabe des Namens ist eine freiwillige Eingabe. Das heißt ich „verlange“ tatsächlich nur die E-Mail Adresse, der Rest ist freiwillig. Darf ich das weiterhin in Bezug auf Datensparsamkeit?
Vielen Dank nochmal für die wertvolle Hilfe!
Hallo Rosina,
schön, dass dir die Reihe gute Informationen liefert! 🙂
Zu deinen Fragen:
1. Du kannst das Freebie natürlich dennoch anbieten, aber dann ohne den Zwang sich dafür in einen Newsletter eintragen zu lassen. Du musst ausserdem explizit beim Newsletter-Eintragungs-Formular darauf hinweisen, wenn die eingegebene E-Mail-Adresse an einen E-Mail-Anbieter wie CleverReach, Mail-Chimp, Klick-Tipp etc. weitergeleitet wird, und dass man jederzeit den Newsletter abbestellen kann. Natürlich sind die Online-Marketer damit vor ein massives Problem gestellt, es wird nicht wenige geben, die versuchen werden, das Kopplungsverbot zu umgehen. Hier sehe ich allerdings die Gefahr, dass das Gesetz dann zukünftig noch mal in die falsche Richtung nachgebessert wird…
2. So war zumindest die Empfehlung des Rechtsanwaltes, mit dem ich gesprochen habe. Denn du musst nach der neuen DSGVO nachweisen können, dass du die bisher bestehenden NL-Abonennten DSGVO-konform generiert hast, welche Daten du zu welchem Zwecke erhoben hast etc. Das wird aber in den meisten Fällen nicht mehr nachvollziehbar sein. Allerdings gibt es hier auch andere Ansichten, weil die entsprechenden Gesetzestexte zum Teil auch nicht wirklich klar ausformuliert sind. Ich habe für mich beschlossen, dass ich das Thema Newsletter (habe ich, versende ich derzeit aber nicht) erst einmal offen lasse, bis man hier genaueres weiß und sich einig wird. Es wird also von meiner Seite bis zur Klärung keinen Newsletter an die bestehende Empfängerliste geben, sondern ggf. eine extra Empfänger-Liste (falls ich den Newsletter schon wieder auf der Seite einbaue) die über ein DSGVO-konformes Eintragungsformular erstellt wurde.
3. Für den Empfang eines Newsletters ist lediglich die E-Mail-Adresse erforderlich, alle anderen Daten kannst du zwar abfragen, solltest dann aber dazu schreiben, warum du diese abfragst, und dass die Angabe freiwillig ist.
Auf den von mir auf meinen und Kundenseiten verbauten Eintragungsformularen habe ich es grundsätzlich schon so eingestellt, dass die Angabe des Namens optional ist, wenn ich ihn aber irgendwo abfragen würde, würde ich es klar dazuschreiben, dass ich diesen für die Personalisierung der Mails verwende. Gleiches gilt übrigens auch für Kontaktformulare.
Ich hoffe, das hilft dir weiter! Ich bleibe auf jeden Fall am Thema dran, auch wenn ich erstmal bei den Artikeln eine Mini-Pause einbauen musste 😉
Viele liebe Grüße!
Super, vielen Dank für Deine schnelle Antwort! Hab ein schönes Wochenende, Rosina
Irgendwie ist das ganze für mich auch noch nicht richtig greifbar.
Mir ist klar, dass Datenschutz etc. wichtig ist und der Nutzer Transparenz über seine Daten und deren Verarbeitung bekommen sollte. Jedoch wird hier Unternehmern gefühlt sehr viele Steine in den Weg gelegt.
Wir haben beispielsweise diverse kostenlose psychologische Tests auf unserer Seite, die durch fundierte Auswertung einen echten Mehrwert haben. Dafür haben wir natürlich gerne als Gegenwert die E-Mail Adresse der potenziellen Klienten. Denn das sind interessante Personen, die sich ja bereits offensichtlich mit Themen der Persönlichkeitsentwicklung etc. beschäftigen. Alles per Double-Opt-In und bisher rechtskonform.
Und nun geht das nicht mehr, weil ich die Test nicht allen Menschen zur Verfügung stelle?
In der analogen Welt wäre das ungefähr so, als gäbe es in meinem Laden gratis Kaffee für eine bessere Kundenbindung und nun kommt einer und sagt, ich muss den Kaffee nun auf der Straße anbieten – nicht nur den Leuten, die sich in meinem Laden aufhalten sondern allen Passanten… irgendwie lächerlich!