Zustimmung ist Zustimmung - oder?
25.06.2018: Es gibt rund um die Zustimmung (im Zuge einer Newsletter-Anmeldung) immer wieder ein großes Missverständnis: Es gibt nämlich zwei (voneinander getrennte!) Zustimmungen - und beide (!) benötigt man in vielen Fällen, um rechtskonform E-Mailings verschicken zu können.
Zustimmung für den Newsletter-Erhalt
Erstens gibt es die Zustimmung zum Erhalt eines Newsletters. Diese ist in Österreich im TKG (Telekommunikations-Gesetz) geregelt, das eine generelle Opt-in Regelung vorschreibt - man benötigt also eine vorherige Zustimmung des Empfängers, um ihm/ihr E-Mailings schicken zu dürfen.
Einzige Ausnahme ist der Versand an bestehende Kunden, hier ist keine vorherige Zustimmung erforderlich, allerdings ist die Ausnahme an mehrere Voraussetzungen geknüpft (z.B. muss der Kunde beim Erheben der E-Mail-Adresse auf seine (spätere) Widerrufsmöglichkeit hingewiesen worden sein).
Diese Zustimmung nach TKG muss übrigens nicht unbedingt schriftlich sein und sie kann auch durch eine schlüssige Handlung erfolgen. Allerdings liegt die Beweislast beim Versender, daher empfiehlt es sich in der Regel, die Zustimmung zu protokollieren.
Datenschutz-rechtliche Einwilligung
Zweitens benötigt man in vielen Fällen noch eine weitere Zustimmung: Nämlich jene nach der DSGVO (Datenschutz-Grundverordnung). Denn mit den meisten professionellen E-Mail-Marketing Systemen ist es möglich, Verhaltensdaten (z.B. Öffnungs- und Klickverhalten) auf individueller Empfänger-Ebene zu analysieren. Da es sich hierbei um personenbezogene Daten handelt, muss der Betroffene darüber aufgeklärt werden - und er muss in diese Verarbeitung einwilligen. Denn die Analyse der Verhaltensdaten gehört nicht zu dem Umfang, den ein Empfänger bei einer Newsletter-Anmeldung erwarten würde.
Andernfalls wäre zwar ein Newsletter-Versand legitim, jedoch dürfte man keine individuellen Analysen vornehmen und z.B. Funktionen wie personalisierte Inhalte nicht nutzen.
Für die datenschutz-rechtliche Einwilligung ist eine schlüssige Handlung normalerweise nicht ausreichend; d.h. hier sollten Sie in Ihrem Anmeldeformular eine eigene Checkbox vorsehen, die nicht vor-angehakt sein sollte.
Exkurs: Anforderung an eine Einwilligung
Die DSGVO stellt an eine datenschutzrechtliche Einwilligung eine Reihe von Anforderungen, damit sie gültig ist. Die wichtigsten Punkte sind:
- Freiwilligkeit: Die Einwilligung muss ohne Zwang erfolgen (Stichwort Koppelungsverbot).
- Form-Vorgabe: Die Einwilligung kann schriftlich, mündlich, elektronisch oder auch konkludent erfolgen; reines Stillschweigen stellt jedoch keine gültige Einwilligung dar. (Für die Verarbeitung "sensibler Daten" ist übrigens in jedem Fall eine ausdrückliche Einwilligungserklärung erforderlich).
- Aktive Erklärung: Checkboxen für die Einwilligung dürfen z.B. nicht vor-angehakt sein.
- Umfassende Information: Eine gültige Einwilligung geht mit einer entsprechenden Information einher. Das ist natürlich Auslegungssache, aber umfasst wohl jedenfalls Zweck und Umfang der Datenverarbeitung, Weitergabe an Dritte und Hinweis auf das Widerrufsrecht.
- Verständlichkeit: Die Einwilligung muss in klarer und einfacher Sprache verfolgen (natürlich abhängig von Kontext und Zielgruppe).
- Dokumentation: Im Zweifelsfall müssen Sie die Einwilligung auch nachweisen, daher sollten Sie sämtliche Elemente davon protokollieren.
Es gibt (wie immer) Ausnahmen
In manchen Fällen ist eine datenschutz-rechtliche Einwilligung nicht erforderlich. Nämlich dann, wenn eine andere Ausnahmebestimmung der DSGVO angewendet werden kann. Ein Beispiel ist die vertragliche Verpflichtung: Wenn Sie die Verhaltensdaten aufgrund einer vertraglichen Regelung analysieren, dann ist eine Einwilligung nicht notwendig.
Eine weitere Möglichkeit ist, mit einem "berechtigten Interesse" zu argumentieren, das in der DSGVO als eigener Punkt genannt wird. Wenn das wirtschaftliche Interesse (Direktmarketing gehört hier explizit dazu) höher zu bewerten ist als das Datenschutz-Bedürfnis des Betroffenen, dann dürfen die Verhaltensdaten auch ohne Einwilligung verarbeitet und analysiert werden.
Fazit: Besser eine zu viel als zu wenig
Wenn man rechtlich auf der sicheren Seite sein will, dann empfiehlt es sich, beide Zustimmungen im Anmeldeprozess vorzusehen: Also einerseits eindeutig zu machen, dass es sich bei der Anmeldung um eine Newsletter-Registrierung handelt und andererseits auf eine Datenschutz-Erklärung zu verweisen, der im Zuge der Anmeldung zugestimmt werden muss.
Tipp: Ein Beispiel finden Sie in dem Artikel "Das ideale Anmelde-Formular".
Dann weiß der Empfänger, worauf er sich einlässt und es gibt keine unangenehmen Überraschungen - für keine Seite.
Möchten Sie mehr?
In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.