Der 25. Mai kommt immer näher und mit ihm auch das Inkrafttreten der DSGVO. Ich muss ehrlich sagen, ich freue mich schon darauf, das ist mein absoluter Ernst. Denn ich kann die ganzen Warnhinweise bezüglich abmahngefährdeter Websites im Internet – vor allem auf Facebook – nicht mehr sehen.
Doch wahrscheinlich werde ich diese Werbung noch länger ertragen müssen, da am Stichtag noch längst nicht alle Internetseiten DSGVO-konform gestaltet sind.
Meine kleine Artikelreihe zu diesem leidigen Thema soll mit diesem Beitrag nun zu Ende gehen. Und der Schwerpunkt dreht sich dieses Mal um den Newsletter, das Anmelde-Lockmittel Freebie und das damit verbundene Kopplungsverbot.
Hinweis: Ich bin keine Anwältin, daher gebe ich in diesem Beitrag nur meine persönliche Meinung wieder. Es handelt sich NICHT um eine Rechtsberatung. Falls du konkrete Hilfe bei der Umsetzung der DSGVO auf deiner Website benötigst, solltest du einen Rechtsanwalt heranziehen.
Freebies bzw. Giveaways als Newslettergeschenk: Der Stand vor der DSGVO
Fast jede gewerbliche Website im Internet, die Newsletter als Marktingtool einsetzte, hat in den vergangenen Jahren ein Freebie bzw. Giveaway als Anreiz für das Newsletter-Abonnement angeboten. Meistens waren es kostenlose Ebooks, Checklisten oder Whitepaper als herunterladbare PDF-Datei.
Auch ich habe das so gehandhabt: Ich habe ein Ebook als Downloadgeschenk in diesem Blog für neue Newsletterabonnenten zur Verfügung gestellt.
Diese Geschenke oder Freebies haben sich wohl aus dem Grund inflationär vermehrt, weil es für die Websitebetreiber immer schwieriger wurde, ohne irgendeinen Anreiz Abonnenten zu gewinnen. Denn wie will man heute in dieser Flut von Newsletterangeboten überhaupt noch auffallen?
Diese Freebies haben aber auch einen Nachteil: In den meisten Fällen interessieren sich die neuen Newsletterabonnenten überhaupt nicht für diesen, sondern nur für den kostenlosen Download. Wahrscheinlich tragen sie sich recht schnell wieder aus dem Verteiler aus.
Dennoch waren die kleinen PDF-Geschenke bei vielen Websitebetreibern ein beliebtes “Lockmittel”, das regelmäßig neue Newslettereinträge generierte.
Diese schöne Herrlichkeit ist nun mit der neuen DSGVO vorbei. Auf diese Art und Weise lassen sich keine neuen Newslettereinträge gewinnen.
Nun kommt das Kopplungsverbot
Im Rahmen der DSGVO ist es nun untersagt, eine E-Mail-Adresse im Tausch gegen ein Freebie abzugreifen. Schließlich ist für den Download einer PDF-Datei generell keine E-Mail-Adresse notwendig. Denn für ein Produkt, das verschenkt wird, soll keine Herausgabe von personenbezogenen Daten notwendig sein.
Wie lässt sich dieses Problem nun für die Zukunft lösen?
Mit dem Kopplungsverbot dürfte nicht endgültig das Ende von Giveaways kommen, auch wenn es auf den ersten Blick so aussieht.
Man kann den Anreiz für eine Newsletteranmeldung nun folgendermaßen gestalten:
Informative Newsletter-Serie anbieten:
Einmal lässt sich aus dem kostenlosen PDF-Download möglicherweise eine informative E-Mail-Serie erstellen, die alle zwei oder drei Tage an die neuen Newsletter-Empfänger rausgeht. Und dafür benötigt man die E-Mail-Adresse des Interessenten.
Die Koppelung transparent kommunizieren:
Das Giveaway bzw. Freebie sollte nun nicht mehr als Gratis-Artikel oder als Geschenk angepriesen, sondern eher als Tauschgeschäft kommuniziert werden, also ungefähr so: Mit der Anmeldung zum Newsletter erhältst du als Tausch ein Ebook.
Die E-Mail-Adresse fungiert hier sozusagen als “Zahlung” für den Erhalt des Ebooks. Diesen neuen Kopplungsvorschlag habe ich in einem Beitrag bei Newsletter2Go gefunden. Es muss also für den User deutlich zu erkennen sein, dass er sich für einen Newsletter anmeldet, das Freebie sollte nicht im Vordergrund stehen, wie es bis jetzt bei vielen Newsletter-Anmeldeformularen gehandhabt wird.
Auch bei mir stand das kostenlose Ebook im Fokus, in meinem Anmeldeformular wurde der Newsletter überhaupt nicht erwähnt.
Also so in Zukunft nicht mehr vorgehen!
Was habe ich mit meinem Newsletter gemacht?
Da ich in den letzten Wochen keine Zeit hatte, eine interessante Newsletter-Serie zu konzipieren und ich mir nicht ganz sicher bin, ob die transparent kommunizierte Kopplung wie oben beschrieben wirklich zulässig ist, habe ich mein Newsletterformular auf diesem Blog entfernt und das Ebook direkt zum Download bereitgestellt, ohne Umwege einer Newsletter-Anmeldung.
Ich werde mir intensiv Gedanken darüber machen, wie mein zukünftiger Newsletter inhaltlich aufgebaut sein soll, welche Features ich anbieten kann, damit er gerne abonniert wird. Und ich überlege mir, ob ich eine Newsletter-Serie erstellen soll.
Aufgrund der neuen Datenschutzregelung ist es an der Zeit, den Newsletter als eigenes Contentformat zu betrachten und ihm einen höheren Stellenwert zuzuschreiben.
Was ist für den Newsletterversand nach der DSGVO noch zu beachten?
Das Kopplungsverbot ist nicht die einzige Neuerung, die die DSGVO für den Newsletterversand bringt. Es sind noch andere Regelungen zu beachten.
Double Opt-In
Dieses Verfahren ist schon länger Pflicht gemäß des BDSG, des TMG und des UWG. Durch dieses Verfahren wird sichergestellt, dass der User sich auch wirklich selbst für den Newsletter angemeldet hat.
Erst wenn er den Bestätigungslink in der Anmeldemail angeklickt hat, wird er als neuer Newsletterempfänger angenommen. Alle großen deutschen E-Mail-Marketing-Anbieter bieten das Double-Opt-In-Verfahren an.
Datensparsamkeit
Nach den Grundsätzen der DSGVO sollen nur die Daten gesammelt werden, die für die Auftragserfüllung unbedingt nötig sind. Für den Newsletter heißt das, dass die Angabe der E-Mail-Adresse reicht, um den Newsletter versenden zu können
Zwar kann man in das Formular noch weitere Felder für Vor- und Nachname, Wohnort und Geburtsdatum einfügen, doch diese dürfen keine Pflichtfelder sein.
Zweckgebundenheit
Die E-Mail-Adressen, die für den Versand des Newsletters vorliegen, dürfen nur für diesen Zweck verwendet werden. Die Adressen sollen nicht für Werbemails oder eine Kontaktaufnahme außerhalb des Newsletterversands genutzt werden.
Transparenz
Die DSGVO verlangt, dass man jederzeit belegen kann, wann sich der User in den Newsletterverteiler eingetragen hat. Nachgewiesen werden müssen E-Mail-Adresse, Eintragungsdatum und -Uhrzeit.
Diese Daten sollte der verwendete Newsletteranbieter standardmäßig protokollieren, sodass man sie schnell zur Hand hat, falls man diesen Prozess offiziell nachweisen muss.
Es ist auch sinnvoll, diese Daten in das Verzeichnis für Verarbeitungstätigkeiten aufzunehmen.
Was man auch belegen können sollte, ist, dass die Newslettereinträge über das Double-Opt-In-Verfahren zustande gekommen sind.
Deshalb sollte man bei der Integration eines Newsletterformulares in seine Website immer testen, ob das Double-Opt-In-Verfahren richtig funktioniert. Und dies immer wieder überprüfen, schließlich kann es auch mal zu Technikausfällen beim Anbieter kommen, auch wenn dies recht unwahrscheinlich ist.
Vertrag zur Auftragsverarbeitung
Mit dem Newsletter-Anbieter sollte man einen Vertrag zur Auftragsverarbeitung abschließen, da die Daten extern gesammelt und gespeichert werden.
Bei diesem Vertrag handelt es sich in den meisten Fällen um eine Vorlage, die entsprechend ausgefüllt wird und von beiden Seiten unterschrieben sein muss. Ein Exemplar behält der Newsletter-Versender, das zweite ist für den Newsletter-Anbieter.
Gesetzliche Anforderungen an den Auftragsdatenverarbeiter
Der Newsletter-Anbieter bzw. E-Mail-Marketing-Softwareanbieter muss nach Artikel 28ff DSGVO einige gesetzliche Anforderungen erfüllen. So sollen beispielsweise die übermittelten Daten nach dem neuesten technischen Stand gesichert werden, nicht an andere Auftragsdatenverarbeiter weitergereicht und jederzeit von dem Newsletter-Versender wie z. B. mir geändert bzw. gelöscht werden können.
Ich rate für den Newsletterversand einen deutschen Anbieter zu nutzen, da hier die Pflicht besteht, sich an die genauen Anforderungen der DSGVO zu halten. Aber viele Selbständige nutzen amerikanische Newsletter-Anbieter wie u. a. Mailchimp oder Aweber (die beiden stehen übrigens auf der Privacy-Shield-Liste).
Deshalb heißt es hier darauf zu achten, dass der Auftragsverarbeiter auf der Liste des Privacy-Shield-Abkommens steht. In diesem Abkommen verpflichten sich amerikanische Unternehmen, das Datenschutzniveau der Europäischen Union einzuhalten.
Hinweis in der Datenschutzerklärung
Wenn ein Newsletter eingesetzt wird, gehört dieser Hinweis auch in die Datenschutzerklärung. In dem Artikel “Weitere wichtige Informationspflichten der DSGVO” habe ich zwei DSGVO-konforme Datenschutzgeneratoren vorgestellt. In beiden kommt der Newsletterversand als eigener Absatz in der Datenschutzerklärung vor.
Neues Newsletterformular
Das Newsletterformular muss nach den neuen Vorschriften angepasst werden. Zu dem Formular mit dem Absendebutton sollte nun ein Beschreibungstext hinzugefügt werden, der einmal darauf hinweist,
- bei welchem Newsletter-Anbieter die Adressen erfasst und gespeichert werden,
- dass das Double-Opt-In-Verfahren eingesetzt wird (also eine Anmeldemail mit einem Bestätigungslink versendet wird),
- dass der Einwilligung in den Erhalt des Newsletters vom Empfänger jederzeit widersprochen werden kann,
- dass in jedem Newsletter ein Abmeldelink vorzufinden ist,
- dass weitere Informationen zum Newsletterversand, zu den Datenschutzmaßnahmen und den Rechten des Empfängers in der Datenschutzerklärung (das Wort “Datenschutzerklärung” sollte zur entsprechenden Seite verlinkt sein) erläutert werden.
Es empfiehlt sich auch, unterhalb des Anmeldeformulars das Abmeldeformular einzubinden, sodass der User nicht lange suchen muss, falls er sich aus dem Newsletterverteiler austragen möchte.
Der Infotext unterhalb des Newsletterformulars könnte beispielsweise so lauten:
Informationen zum Newsletter-Abonnement
Durch das Versenden des Formulars wird deine E-Mail-Adresse an den datenschutz-zertifizierten deutschen Newsletter-Service CleverReach übermittelt. Dort werden die Mail-Adressen und weitere Informationen gespeichert.
Die Newsletter-Anmeldung erfolgt mit Hilfe des sogenannten Double-Opt-Ins. Dabei erhältst du eine E-Mail, in der du einen Bestätigungslink für den Newsletter vorfindest. Nur wenn du diesen Link anklickst, wird deine E-Mail in den Newsletter-Verteiler aufgenommen.
Die Einwilligung kann jederzeit von dir widerrufen werden. Den Abmeldelink findest du in jedem Newsletter.
Weitere Informationen zum Newsletter-Versand, zu den Datenschutzmaßnahmen und zu deinen Rechten findest du in unserer Datenschutzerklärung.
Ganz wichtige Frage: Was passiert mit dem Mail-Altbestand?
Diese Frage kann ich nicht beantworten, weil ich dazu unterschiedliche Aussagen im Internet gefunden habe.
Variante 1: Ja, man darf die alten Adressen weiter verwenden:
Die einen sagen, dass man seinen Altbestand an E-Mail-Adressen weiterhin für seinen Newsletterversand verwenden kann, wenn diese Einträge durch Double-Opt-In zustande gekommen sind. Das wäre für die meisten Selbständigen toll, denn es ist schon mit großen Mühen verbunden, sich einen großen Newsletterverteiler aufzubauen. Sollte dies mit der DSGVO nun umsonst gewesen sein?
Variante 2: Nein, den Adressen-Altbestand darf man nicht mehr weiter verwenden:
Doch es gibt noch eine gegenteilige Aussage. Danach müsste man bei dem Adressen-Altbestand nachweisen können, dass die Adressen DSGVO-konform gesammelt wurden, was wohl nicht funktionieren wird, da bei den alten Anmeldeformularen kein ausführlicher Hinweis über die Speicherung der Daten sowie weitere nötige Informationen vorzufinden war.
Das klingt nicht gut. Wer einen großen Verteiler von mehreren tausend Adressen hat, würde in diesem Fall einen großen Verlust an wertvollen Marketingkontakten erleiden.
Um den Komplettverlust der alten Newsletteradressen zu vermeiden, kann man eine Mail an alle Newsletterempfänger raus senden, in der sie gebeten werden, sich nochmals aktiv für den Newsletter über das neue Formular anzumelden. Dabei dürfte es wahrscheinlich zu einer großen Zahl von “Nichtbestätigern” kommen. Viele werden sich also nicht mehr erneut anmelden. Dennoch kann man mit dieser Vorgehensweise einen Teil der Altadressen in die neue Regelung “rüber retten”.
Der Newsletter-Anbieter CleverReach rät von dieser Vorgehensweise ab, eine Bestätigungs-Mail an den Alt-Bestand zu senden, denn man müsse doch mit einem Adressenverlust von ca. 80 Prozent rechnen. Schließlich seien die alten Adressen schon über das Double Opt-In-Verfahren gewonnen worden, was bereits DSGVO-konform sei.
Da ich wirklich nicht genau weiß, wie mit den alten E-Mail-Adressen umgegangen werden soll, habe ich mich entschieden, in der nächsten Zeit keine Newsletter zu versenden. Ich warte einfach mal ab und werde mir Gedanken zur zukünftigen Newslettergestaltung machen.
Irgendwann werde ich wieder einen Newsletter anbieten, ob mit oder ohne Adressen-Altbestand. Dann muss ich eben wieder von vorne anfangen, Newsletteranmeldungen zu sammeln.
Fazit
Wie sich die DSGVO in der Praxis bewähren wird, wie sich die Regelungen auf den Newsletterversand auswirken und welche Änderungen kommen werden, das alles kann niemand zum jetzigen Zeitpunkt vorhersehen, auch die Rechtsanwälte nicht.
Die DSGVO ist im Augenblick noch ein theoretisches Konstrukt, das in seiner praktischen Anwendung garantiert noch Anpassungen erleben wird. Ich bin mal gespannt, wie die aussehen werden und wie sich diese neuen Datenschutzregelungen generell entwickeln.
Die meisten Websitebetreiber sollten sich wegen dieser neuen Richtlinien nicht allzu verrückt machen, denn über Kontaktformulare werden in den seltensten Fällen sensible Daten abgefragt.
Wer alle Schritte wie Analyse der personenbezogenen Daten, Anlegen eines Verarbeitungsverzeichnisses, Anpassung von Kontakt- und Kommentarformularen sowie der Datenschutzerklärung vorgenommen hat und – falls notwendig – das Kopplungsverbot umgesetzt hat, dem dürfte kaum etwas passieren.
Jetzt heißt es: Abwarten und Tee trinken!
P.S. Meine Artikelserie hat nur die Regelungen der DSGVO erläutert, die für mich und die meisten Blogbeitreiber relevant sind. Natürlich gibt es noch weitere Neuerungen, doch alles hier im Blog zu erläutern, würde zu weit greifen.