Die DSGVO fordert eine explizite Zustimmung und eine individuelle Information zur Speicherung von personenbezogenen Daten wie Name und E-Mail-Adresse (sofern es keine andere Rechtsgrundlage wie zB einen Vertrag gibt). Daraus ergibt sich implizit, dass die Anmeldung zu E-Mail-Newslettern im Allgemeinen mit einem Double-Opt-In-Verfahren erfolgen muss. Bei einem ungeschützten Webformular zur Eingabe von Name und E-Mail können diese durch jedermann eingetragen werden, sodass keine wirksame Zustimmung vorliegt. Daher macht auch eine Checkbox mit “Ich stimme zu” im Webformular keinen Sinn. Es sollte aber trotzdem mindestens einen Link auf den entsprechenden Teil der Datenschutzerklärung bezüglich des Newsletters geben.
Richtigerweise sendet man zunächst eine E-Mail an die eingegebene Adresse, in der man die nach DSGVO notwendigen Informationen gibt und den Empfänger auffordert, auf den Anmeldelink zu klicken. Dies stellt dann eine wirksame Zustimmung und damit Anmeldung dar, wenn der Link eine einmalige Id enthält, die auch nicht leicht zu erraten ist.
Ein entsprechender Zustimmungstext könnte so aussehen:
“Um den Newsletter versenden zu können speichern und verarbeiten wir Ihren Namen und Ihre E-Mail-Adresse so lange, bis Sie sich vom Newsletter durch Klicken auf den Abmelde-Link am Ende jedes Newsletters abmelden. Durch die Abmeldung wird die Löschung der Daten veranlasst. Eine Berichtigung der Daten ist durch Abmelden und neuerliches Anmelden mit den korrigierten Daten jederzeit möglich. Senden Sie dazu eine Mail an “newsletter-abmelden@company.com” oder klicken Sie auf diesen Link “https://newsletter-abmelden.company.com/<yourid>”. Zum neu Anmleden senden Sie bitte eine Mail an “newsletter-anmelden@company.com”. Jeder Newsletter enthält den Namen und die E-Mail-Adresse, sodass eine separate Auskunftsmöglichkeit nicht notwendig und nicht vorgesehen ist. Ihre Daten werden für keinen anderen Zweck als die Versendung des Newsletters verwendet und nicht an Dritte weitergegeben. Die für die Verarbeitung verantwortliche Person ist <name> und ist unter <kontaktdaten> zu erreichen; als Vertreter fungiert <name>, erreichbar unter <kontaktdaten>; Datenschutzbeauftragter ist <name>, erreichbar unter <kontaktdaten>.
Durch den Klick auf den folgenden Link willigen Sie in diese Speicherung ein. Dies stellt gemäß Art 6 Abs 1 lit a) EU-Verordnung 2016/679 (DSGVO, Datenschutz-Grundverordnung) die Rechtsgrundlage für die Speicherung dar.”
Vertreter und Datenschutzbeauftragter sind natürlich nur dann anzugeben, wenn solche vorgesehen sind. Es empfiehlt sich, den ersten Absatz des Texts bereits beim Eingabeformular für die Anmeldung zu platzieren, zB als Pop-Up oder Mouse-Over.
Alternativ – wenn die Aufnahme in die Newsletter-Liste nicht über eine Web-App erfolgt – kann man auch die Antwort per E-Mail als Zustimmung verwenden. In diesem Fall sollte man die Betroffene dazu auffordern, mit den Worten “Ich stimme zu” zu antworten.
Achtung: eine Kopplung zwischen einem anderen Service und dem Newsletter ist nicht erlaubt! Die Zustimmung muss vollkommen freiwillig erfolgen. Wird zB eine Dienstleistung gebucht, so ist es nicht zulässig, dies als automatische Zustimmung zum Empfang des Newsletters umzudeuten. Auch eine vorausgefüllte Checkbox “Ich will den Newsletter” bei der Buchung der Dienstleistung gilt nicht als freiwillige Zustimmung.
Weitere Diskussionen und Fragen gerne auch in unserem Forum zum Thema DSGVO.
- Über den Autor
- Artikel
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.
Danke für die Textvorlage – genau in dem Punkt war ich mir bisher unsicher. Ich hab den Vorschlag entsprechend angepasst und gleich in die Confirmation Nachricht eingebaut.
…..Sie in diese Speicherung ein. Dies stellt gemäß Art 6 Abs 1 lit a) “EU-Richtlinie 95/46/EG” ( ….
Hier wäre es besser einen Bezug zur aktuellen EU-DSGVO oder noch besser zum DS Anpassungsgesetz herzustellen. Statt auf eine konkrete Ansprechperson und dessen Vertreter hinzuweisen, empfehle ich einen Link oder eine Aliasadresse wie z.B. “Verantwortlicher@ domainname.at”, da sich Personen bzw. Verantwortliche in Firmen ja ändern und eine Aliasadresse auch an mehrere Personen weitergeleitet werden kann.
Norbert, versteh ich nicht, was meinst du mit dem Bezug auf die DSGVO? Die Referenz “Art 6 Abs 1 lit a) EU-Richtlinie 95/46/EG (DSGVO, Datenschutz-Grundverordnung)” bezieht sich eh auf die DSGVO.
Achtung, der Vertreter muss im Klarnamen genannt werden. Aber natürlich ist es gescheit, eine rollenbezogene E-Mail als Kontaktadresse anzugeben.
Roland, ich nehme Bezug auf die bald in Kraft tretende EU DSGVO (offizielle Bezeichnung: “Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG”) am 25. Mai 2018.
Ach so, ja, betriebsblind. 🙂 Da ist was beim Copy-Paste schiefgegangen, habs korrigiert, danke!
Vielen Dank für die Textvorlagen zu freien Verfügung! Für mich ist das Ganze fast wie chinesisch – so ein vorformulierter Text ist genau was ich brauche! 🙂