Wie gestaltet man eine korrekte (Datenschutz) Einwilligung?
Um Verhaltensdaten der Newsletter-Leser (wie Öffnungen oder Klicks) auf Empfänger-Ebene sammeln und analysieren zu dürfen, benötigt man laut DSGVO eine Rechtsgrundlage. Dafür gibt es mehrere Möglichkeiten (vertragliche Verpflichtung, gesetzliche Verpflichtung, berechtigtes Interesse usw.), jedoch wird in vielen Fällen die Einwilligung der Betroffenen das wichtigste Instrument sein.
Die Einwilligung muss jedoch mehrere Kriterien erfüllen, damit sie auch gültig ist. Anders formuliert: Eine Einwilligung, die nicht den folgenden Kriterien entspricht, ist wertlos!
Hinweis: Es wird oft übersehen, dass für eine Newsletter-Anmeldung zwei (!) – voneinander unabhängige – Zustimmungen notwendig sind: Einerseits eine zum Erhalt des Newsletters (in Österreich geregelt im TKG), andererseits eine datenschutzrechtliche für die Speicherung von personenbezogenen Verhaltensdaten (DSGVO). Tipp: Das müssen jedoch nicht zwingend auch zwei separate Checkboxen sein.
Die Anforderungen an eine gültige Einwilligung
Eine gültige Einwilligung muss mehrere Kriterien erfüllen:
Die Einwilligung muss konkret sein.
Eine Einwilligung muss immer für einen konkreten Zweck erfolgen (in diesem Fall also die Zusendung eines Newsletters samt einer Beschreibung des zu erwartenden Inhalts). Für den Betroffenen muss daher der Zweck klar erkennbar sein und er muss auch wissen, von wem die Daten verarbeitet werden.
Bei einer reinen Newsletter-Anmeldung ist das normalerweise eher trivial, doch sollte auf eine klare Kommunikation geachtet werden, wenn die Anmeldung an anderer Stelle erfolgt (zum Beispiel im Zuge einer Shop-Bestellung).
Die Einwilligung muss freiwillig sein.
Für die Einwilligung dürfen dem Betroffenen keine Nachteile entstehen, sie muss also freiwillig erfolgen. Der Betroffene muss also die Möglichkeit haben, die Einwilligung zu verweigern, ohne dadurch einen Nachteil zu erleiden.
Die Einwilligung muss informiert geschehen.
Die Einwilligung bzw. die Rahmenbedingungen dafür müssen in verständlicher Sprache erfolgen. Sie darf auch nicht "versteckt" werden (zum Beispiel in AGB) und es muss auf die jederzeitige Widerrufsmöglichkeit hingewiesen werden.
Die Einwilligung muss unmissverständlich sein.
Die Einwilligung des Betroffenen muss eindeutig sein. In der Praxis bedeutet das zum Beispiel, dass eine Checkbox beim Aufruf der Seite nicht bereits vor-angehakt sein darf.
Die Einwilligung muss dokumentiert werden.
Die Beweispflicht für den Nachweis der Einwilligung liegt beim Verantwortlichen. Daher muss die Einwilligung im Detail protokolliert und gespeichert werden (mit Datum, Uhrzeit und dem genauen Wortlaut der Einwilligung).
Die Einwilligung muss widerrufen werden können.
Der Betroffene muss eine Einwilligung jederzeit widerrufen können (ohne dadurch Nachteile zu erleiden). Falls eine (datenschutzrechtliche) Einwilligung widerrufen wird, dürfen diese Daten nicht weiter gespeichert werden.
In manchen Fällen müssen die entsprechenden Daten sogar gelöscht werden, da die Grundlage für die Speicherung mit dem Widerruf weggefallen ist (es sei denn, es gibt andere Verpflichtungen für die weitere Speicherung).
Die Einwilligung gilt nicht für Minderjährige.
Laut DSGVO können Minderjährige keine gültige Einwilligung abgeben. Das erforderliche Alter wurde mit 16 festgesetzt, jedes Land kann das notwendige Alter jedoch auf bis zu 13 Jahre herabsenken. In Österreich beträgt das Mindestalter 14 Jahre, in Deutschland 16. Darunter ist eine Einwilligung nur mit Zustimmung der Eltern möglich.
Ein Vorschlag für eine Formulierung
Solange sich der Zweck samt Inhalt aus der Beschreibung auf der Anmeldeseite ergibt, können Sie folgenden Textvorschlag als Grundlage heranziehen (bitte natürlich mit Ihrem Datenschutz-Experten abklären):
Newsletter-Anmeldung:
[ ] Ich stimme zu, dass meine personenbezogenen Daten - wie in unserer Datenschutz-Richtlinie beschrieben - zur Zusendung und Analyse der E-Mailings verarbeitet werden. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen.
In der Datenschutz-Richtlinie selber müssen dann natürlich die notwendigen Details zu finden sein.
Hinweis für Dialog-Mail Kunden: Einen konkreten Text-Vorschlag für Ihre Datenschutz-Erklärung finden Sie im Handbuch!
Tipp: Beachten Sie unbedingt, dass für "besondere Kategorien von personenbezogenen Daten" (darunter versteht man "sensible" Daten wie Angaben zu Gesundheit, Sexualität oder Religionsbekenntnis) auch die Rechtsgrundlagen nach Art. 9 DSGVO beachtet werden müssen.
Was sind die Konsequenzen?
Wenn die Voraussetzungen für die (gültige) Einwilligung nicht gegeben waren, dann sind die Konsequenzen eindeutig: Die Daten wurden in einem solchen Fall unzulässig erhoben, da die erforderliche Rechtsgrundlage fehlt. De Daten müssen daher sofort gelöscht werden.
Abgesehen davon steigt natürlich auch das Risiko für einen Vertrauensverlust bei Kunden oder in der Öffentlichkeit und es ermöglicht Betroffenen, eine Beschwerde bei einer Datenschutzbehörde einzureichen.
Fazit: Ein kleiner Aufwand zahlt sich aus
Alles in allem sollte klar sein: Es sind nur wenige Minuten Zeitaufwand, um den Anmeldeprozess datenschutzrechtlich einwandfrei zu gestalten. Daher sollte man diesen überschaubaren Aufwand unbedingt investieren – denn der mögliche Schaden wäre ungleich größer.
Möchten Sie mehr?
In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.