DSGVO: Wie set­ze ich die Bestim­mun­gen um? 5. News­let­ter und Kopplungsverbot

DSGVO-konforme Website: Newsletter und Kopplungsverbot

Lesedauer: 7 Minuten

Der 25. Mai kommt immer näher und mit ihm auch das Inkraft­tre­ten der DSGVO. Ich muss ehr­lich sagen, ich freue mich schon dar­auf, das ist mein abso­lu­ter Ernst. Denn ich kann die gan­zen Warn­hin­wei­se bezüg­lich abmahn­ge­fähr­de­ter Web­sites im Inter­net — vor allem auf Face­book — nicht mehr sehen.

Doch wahr­schein­lich wer­de ich die­se Wer­bung noch län­ger ertra­gen müs­sen, da am Stich­tag noch längst nicht alle Inter­net­sei­ten DSGVO-kon­form gestal­tet sind.

Mei­ne klei­ne Arti­kel­rei­he zu die­sem lei­di­gen The­ma soll mit die­sem Bei­trag nun zu Ende gehen. Und der Schwer­punkt dreht sich die­ses Mal um den News­let­ter, das Anmel­de-Lock­mit­tel Free­bie und das damit ver­bun­de­ne Kopplungsverbot.

Hin­weis: Ich bin kei­ne Anwäl­tin, daher gebe ich in die­sem Bei­trag nur mei­ne per­sön­li­che Mei­nung wie­der. Es han­delt sich NICHT um eine Rechts­be­ra­tung. Falls du kon­kre­te Hil­fe bei der Umset­zung der DSGVO auf dei­ner Web­site benö­tigst, soll­test du einen Rechts­an­walt heranziehen.

Free­bies bzw. Givea­ways als News­let­ter­ge­schenk: Der Stand vor der DSGVO

Fast jede gewerb­li­che Web­site im Inter­net, die News­let­ter als Markt­ing­tool ein­setz­te, hat in den ver­gan­ge­nen Jah­ren ein Free­bie bzw. Givea­way als Anreiz für das News­let­ter-Abon­ne­ment ange­bo­ten. Meis­tens waren es kos­ten­lo­se Ebooks, Check­lis­ten oder White­pa­per als her­un­ter­lad­ba­re PDF-Datei.

NewslettergeschenkAuch ich habe das so gehand­habt: Ich habe ein Ebook als Down­load­ge­schenk in die­sem Blog für neue News­let­terabon­nen­ten zur Ver­fü­gung gestellt.

Die­se Geschen­ke oder Free­bies haben sich wohl aus dem Grund infla­tio­när ver­mehrt, weil es für die Web­site­be­trei­ber immer schwie­ri­ger wur­de, ohne irgend­ei­nen Anreiz Abon­nen­ten zu gewin­nen. Denn wie will man heu­te in die­ser Flut von News­let­ter­an­ge­bo­ten über­haupt noch auffallen?

Die­se Free­bies haben aber auch einen Nach­teil: In den meis­ten Fäl­len inter­es­sie­ren sich die neu­en News­let­terabon­nen­ten über­haupt nicht für die­sen, son­dern nur für den kos­ten­lo­sen Down­load. Wahr­schein­lich tra­gen sie sich recht schnell wie­der aus dem Ver­tei­ler aus.

Den­noch waren die klei­nen PDF-Geschen­ke bei vie­len Web­site­be­trei­bern ein belieb­tes “Lock­mit­tel”, das regel­mä­ßig neue News­let­ter­ein­trä­ge generierte.

Die­se schö­ne Herr­lich­keit ist nun mit der neu­en DSGVO vor­bei. Auf die­se Art und Wei­se las­sen sich kei­ne neu­en News­let­ter­ein­trä­ge gewinnen.

Nun kommt das Kopplungsverbot

Im Rah­men der DSGVO ist es nun unter­sagt, eine E‑Mail-Adres­se im Tausch gegen ein Free­bie abzu­grei­fen. Schließ­lich ist für den Down­load einer PDF-Datei gene­rell kei­ne E‑Mail-Adres­se not­wen­dig. Denn für ein Pro­dukt, das ver­schenkt wird, soll kei­ne Her­aus­ga­be von per­so­nen­be­zo­ge­nen Daten not­wen­dig sein.

Wie lässt sich die­ses Pro­blem nun für die Zukunft lösen?

Mit dem Kopp­lungs­ver­bot dürf­te nicht end­gül­tig das Ende von Givea­ways kom­men, auch wenn es auf den ers­ten Blick so aussieht.

Man kann den Anreiz für eine News­let­ter­an­mel­dung nun fol­gen­der­ma­ßen gestalten:

Infor­ma­ti­ve News­let­ter-Serie anbieten:
Ein­mal lässt sich aus dem kos­ten­lo­sen PDF-Down­load mög­li­cher­wei­se eine infor­ma­ti­ve E‑Mail-Serie erstel­len, die alle zwei oder drei Tage an die neu­en News­let­ter-Emp­fän­ger raus­geht. Und dafür benö­tigt man die E‑Mail-Adres­se des Interessenten.

Die Kop­pe­lung trans­pa­rent kommunizieren:
Das Givea­way bzw. Free­bie soll­te nun nicht mehr als Gra­tis-Arti­kel oder als Geschenk ange­prie­sen, son­dern eher als Tausch­ge­schäft kom­mu­ni­ziert wer­den, also unge­fähr so: Mit der Anmel­dung zum News­let­ter erhältst du als Tausch ein Ebook.

Die E‑Mail-Adres­se fun­giert hier sozu­sa­gen als “Zah­lung” für den Erhalt des Ebooks. Die­sen neu­en Kopp­lungs­vor­schlag habe ich in einem Bei­trag bei Newsletter2Go gefun­den. Es muss also für den User deut­lich zu erken­nen sein, dass er sich für einen News­let­ter anmel­det, das Free­bie soll­te nicht im Vor­der­grund ste­hen, wie es bis jetzt bei vie­len News­let­ter-Anmel­de­for­mu­la­ren gehand­habt wird.

Auch bei mir stand das kos­ten­lo­se Ebook im Fokus, in mei­nem Anmel­de­for­mu­lar wur­de der News­let­ter über­haupt nicht erwähnt.

Also so in Zukunft nicht mehr vorgehen!

Was habe ich mit mei­nem News­let­ter gemacht?

Da ich in den letz­ten Wochen kei­ne Zeit hat­te, eine inter­es­san­te News­let­ter-Serie zu kon­zi­pie­ren und ich mir nicht ganz sicher bin, ob die trans­pa­rent kom­mu­ni­zier­te Kopp­lung wie oben beschrie­ben wirk­lich zuläs­sig ist, habe ich mein News­let­ter­for­mu­lar auf die­sem Blog ent­fernt und das Ebook direkt zum Down­load bereit­ge­stellt, ohne Umwe­ge einer Newsletter-Anmeldung.

Ich wer­de mir inten­siv Gedan­ken dar­über machen, wie mein zukünf­ti­ger News­let­ter inhalt­lich auf­ge­baut sein soll, wel­che Fea­tures ich anbie­ten kann, damit er ger­ne abon­niert wird. Und ich über­le­ge mir, ob ich eine News­let­ter-Serie erstel­len soll.

Auf­grund der neu­en Daten­schutz­re­ge­lung ist es an der Zeit, den News­let­ter als eige­nes Con­tent­for­mat zu betrach­ten und ihm einen höhe­ren Stel­len­wert zuzuschreiben.

Was ist für den News­let­ter­ver­sand nach der DSGVO noch zu beachten?

Das Kopp­lungs­ver­bot ist nicht die ein­zi­ge Neue­rung, die die DSGVO für den News­let­ter­ver­sand bringt. Es sind noch ande­re Rege­lun­gen zu beachten.

Dou­ble Opt-In

Die­ses Ver­fah­ren ist schon län­ger Pflicht gemäß des BDSG, des TMG und des UWG. Durch die­ses Ver­fah­ren wird sicher­ge­stellt, dass der User sich auch wirk­lich selbst für den News­let­ter ange­mel­det hat.

Erst wenn er den Bestä­ti­gungs­link in der Anmel­de­mail ange­klickt hat, wird er als neu­er News­let­ter­emp­fän­ger ange­nom­men. Alle gro­ßen deut­schen E‑Mail-Mar­ke­ting-Anbie­ter bie­ten das Dou­ble-Opt-In-Ver­fah­ren an.

Daten­spar­sam­keit

Nach den Grund­sät­zen der DSGVO sol­len nur die Daten gesam­melt wer­den, die für die Auf­trags­er­fül­lung unbe­dingt nötig sind. Für den News­let­ter heißt das, dass die Anga­be der E‑Mail-Adres­se reicht, um den News­let­ter ver­sen­den zu können

Zwar kann man in das For­mu­lar noch wei­te­re Fel­der für Vor- und Nach­na­me, Wohn­ort und Geburts­da­tum ein­fü­gen, doch die­se dür­fen kei­ne Pflicht­fel­der sein.

Zweck­ge­bun­den­heit

Die E‑Mail-Adres­sen, die für den Ver­sand des News­let­ters vor­lie­gen, dür­fen nur für die­sen Zweck ver­wen­det wer­den. Die Adres­sen sol­len nicht für Wer­be­mails oder eine Kon­takt­auf­nah­me außer­halb des News­let­ter­ver­sands genutzt werden.

Trans­pa­renz

Die DSGVO ver­langt, dass man jeder­zeit bele­gen kann, wann sich der User in den News­let­ter­ver­tei­ler ein­ge­tra­gen hat. Nach­ge­wie­sen wer­den müs­sen E‑Mail-Adres­se, Ein­tra­gungs­da­tum und ‑Uhr­zeit.

Die­se Daten soll­te der ver­wen­de­te News­let­ter­an­bie­ter stan­dard­mä­ßig pro­to­kol­lie­ren, sodass man sie schnell zur Hand hat, falls man die­sen Pro­zess offi­zi­ell nach­wei­sen muss.

Es ist auch sinn­voll, die­se Daten in das Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten aufzunehmen.

Was man auch bele­gen kön­nen soll­te, ist, dass die News­let­ter­ein­trä­ge über das Dou­ble-Opt-In-Ver­fah­ren zustan­de gekom­men sind.

Des­halb soll­te man bei der Inte­gra­ti­on eines News­let­ter­for­mu­la­res in sei­ne Web­site immer tes­ten, ob das Dou­ble-Opt-In-Ver­fah­ren rich­tig funk­tio­niert. Und dies immer wie­der über­prü­fen, schließ­lich kann es auch mal zu Tech­nik­aus­fäl­len beim Anbie­ter kom­men, auch wenn dies recht unwahr­schein­lich ist.

Ver­trag zur Auftragsverarbeitung

Mit dem News­let­ter-Anbie­ter soll­te man einen Ver­trag zur Auf­trags­ver­ar­bei­tung abschlie­ßen, da die Daten extern gesam­melt und gespei­chert werden.

Bei die­sem Ver­trag han­delt es sich in den meis­ten Fäl­len um eine Vor­la­ge, die ent­spre­chend aus­ge­füllt wird und von bei­den Sei­ten unter­schrie­ben sein muss. Ein Exem­plar behält der News­let­ter-Ver­sen­der, das zwei­te ist für den Newsletter-Anbieter.

Gesetz­li­che Anfor­de­run­gen an den Auftragsdatenverarbeiter

Der News­let­ter-Anbie­ter bzw. E‑Mail-Mar­ke­ting-Soft­ware­an­bie­ter muss nach Arti­kel 28ff DSGVO eini­ge gesetz­li­che Anfor­de­run­gen erfül­len. So sol­len bei­spiels­wei­se die über­mit­tel­ten Daten nach dem neu­es­ten tech­ni­schen Stand gesi­chert wer­den, nicht an ande­re Auf­trags­da­ten­ver­ar­bei­ter wei­ter­ge­reicht und jeder­zeit von dem News­let­ter-Ver­sen­der wie z. B. mir geän­dert bzw. gelöscht wer­den können.

Ich rate für den News­let­ter­ver­sand einen deut­schen Anbie­ter zu nut­zen, da hier die Pflicht besteht, sich an die genau­en Anfor­de­run­gen der DSGVO zu hal­ten. Aber vie­le Selb­stän­di­ge nut­zen ame­ri­ka­ni­sche News­let­ter-Anbie­ter wie u. a. Mailchimp oder Awe­ber (die bei­den ste­hen übri­gens auf der Privacy-Shield-Liste).

Des­halb heißt es hier dar­auf zu ach­ten, dass der Auf­trags­ver­ar­bei­ter auf der Lis­te des Pri­va­cy-Shield-Abkom­mens steht. In die­sem Abkom­men ver­pflich­ten sich ame­ri­ka­ni­sche Unter­neh­men, das Daten­schutz­ni­veau der Euro­päi­schen Uni­on einzuhalten.

Hin­weis in der Datenschutzerklärung

Wenn ein News­let­ter ein­ge­setzt wird, gehört die­ser Hin­weis auch in die Daten­schutz­er­klä­rung. In dem Arti­kel “Wei­te­re wich­ti­ge Infor­ma­ti­ons­pflich­ten der DSGVO” habe ich zwei DSGVO-kon­for­me Daten­schutz­ge­ne­ra­to­ren vor­ge­stellt. In bei­den kommt der News­let­ter­ver­sand als eige­ner Absatz in der Daten­schutz­er­klä­rung vor.

Neu­es Newsletterformular

Das News­let­ter­for­mu­lar muss nach den neu­en Vor­schrif­ten ange­passt wer­den. Zu dem For­mu­lar mit dem Absen­de­but­ton soll­te nun ein Beschrei­bungs­text hin­zu­ge­fügt wer­den, der ein­mal dar­auf hinweist,

  • bei wel­chem News­let­ter-Anbie­ter die Adres­sen erfasst und gespei­chert werden,
  • dass das Dou­ble-Opt-In-Ver­fah­ren ein­ge­setzt wird (also eine Anmel­de­mail mit einem Bestä­ti­gungs­link ver­sen­det wird),
  • dass der Ein­wil­li­gung in den Erhalt des News­let­ters vom Emp­fän­ger jeder­zeit wider­spro­chen wer­den kann,
  • dass in jedem News­let­ter ein Abmel­de­link vor­zu­fin­den ist,
  • dass wei­te­re Infor­ma­tio­nen zum News­let­ter­ver­sand, zu den Daten­schutz­maß­nah­men und den Rech­ten des Emp­fän­gers in der Daten­schutz­er­klä­rung (das Wort “Daten­schutz­er­klä­rung” soll­te zur ent­spre­chen­den Sei­te ver­linkt sein) erläu­tert werden.

Es emp­fiehlt sich auch, unter­halb des Anmel­de­for­mu­lars das Abmel­de­for­mu­lar ein­zu­bin­den, sodass der User nicht lan­ge suchen muss, falls er sich aus dem News­let­ter­ver­tei­ler aus­tra­gen möchte.

Der Info­text unter­halb des News­let­ter­for­mu­lars könn­te bei­spiels­wei­se so lauten:

Infor­ma­tio­nen zum Newsletter-Abonnement

Durch das Ver­sen­den des For­mu­lars wird dei­ne E‑Mail-Adres­se an den daten­schutz-zer­ti­fi­zier­ten deut­schen News­let­ter-Ser­vice Cle­ver­Reach über­mit­telt. Dort wer­den die Mail-Adres­sen und wei­te­re Infor­ma­tio­nen gespeichert.

Die News­let­ter-Anmel­dung erfolgt mit Hil­fe des soge­nann­ten Dou­ble-Opt-Ins. Dabei erhältst du eine E‑Mail, in der du einen Bestä­ti­gungs­link für den News­let­ter vor­fin­dest. Nur wenn du die­sen Link anklickst, wird dei­ne E‑Mail in den News­let­ter-Ver­tei­ler aufgenommen.

Die Ein­wil­li­gung kann jeder­zeit von dir wider­ru­fen wer­den. Den Abmel­de­link fin­dest du in jedem Newsletter. 

Wei­te­re Infor­ma­tio­nen zum News­let­ter-Ver­sand, zu den Daten­schutz­maß­nah­men und zu dei­nen Rech­ten fin­dest du in unse­rer Datenschutzerklärung. 

Ganz wich­ti­ge Fra­ge: Was pas­siert mit dem Mail-Altbestand?

Die­se Fra­ge kann ich nicht beant­wor­ten, weil ich dazu unter­schied­li­che Aus­sa­gen im Inter­net gefun­den habe.

Vari­an­te 1: Ja, man darf die alten Adres­sen wei­ter verwenden:
Die einen sagen, dass man sei­nen Alt­be­stand an E‑Mail-Adres­sen wei­ter­hin für sei­nen News­let­ter­ver­sand ver­wen­den kann, wenn die­se Ein­trä­ge durch Dou­ble-Opt-In zustan­de gekom­men sind. Das wäre für die meis­ten Selb­stän­di­gen toll, denn es ist schon mit gro­ßen Mühen ver­bun­den, sich einen gro­ßen News­let­ter­ver­tei­ler auf­zu­bau­en. Soll­te dies mit der DSGVO nun umsonst gewe­sen sein?

Vari­an­te 2: Nein, den Adres­sen-Alt­be­stand darf man nicht mehr wei­ter verwenden:
Doch es gibt noch eine gegen­tei­li­ge Aus­sa­ge. Danach müss­te man bei dem Adres­sen-Alt­be­stand nach­wei­sen kön­nen, dass die Adres­sen DSGVO-kon­form gesam­melt wur­den, was wohl nicht funk­tio­nie­ren wird, da bei den alten Anmel­de­for­mu­la­ren kein aus­führ­li­cher Hin­weis über die Spei­che­rung der Daten sowie wei­te­re nöti­ge Infor­ma­tio­nen vor­zu­fin­den war.

Das klingt nicht gut. Wer einen gro­ßen Ver­tei­ler von meh­re­ren tau­send Adres­sen hat, wür­de in die­sem Fall einen gro­ßen Ver­lust an wert­vol­len Mar­ke­ting­kon­tak­ten erleiden.

Um den Kom­plett­ver­lust der alten News­let­ter­adres­sen zu ver­mei­den, kann man eine Mail an alle News­let­ter­emp­fän­ger raus sen­den, in der sie gebe­ten wer­den, sich noch­mals aktiv für den News­let­ter über das neue For­mu­lar anzu­mel­den. Dabei dürf­te es wahr­schein­lich zu einer gro­ßen Zahl von “Nicht­be­stä­ti­gern” kom­men. Vie­le wer­den sich also nicht mehr erneut anmel­den. Den­noch kann man mit die­ser Vor­ge­hens­wei­se einen Teil der Alta­dres­sen in die neue Rege­lung “rüber retten”.

Der News­let­ter-Anbie­ter Cle­ver­Reach rät von die­ser Vor­ge­hens­wei­se ab, eine Bestä­ti­gungs-Mail an den Alt-Bestand zu sen­den, denn man müs­se doch mit einem Adres­sen­ver­lust von ca. 80 Pro­zent rech­nen. Schließ­lich sei­en die alten Adres­sen schon über das Dou­ble Opt-In-Ver­fah­ren gewon­nen wor­den, was bereits DSGVO-kon­form sei.

Da ich wirk­lich nicht genau weiß, wie mit den alten E‑Mail-Adres­sen umge­gan­gen wer­den soll, habe ich mich ent­schie­den, in der nächs­ten Zeit kei­ne News­let­ter zu ver­sen­den. Ich war­te ein­fach mal ab und wer­de mir Gedan­ken zur zukünf­ti­gen News­let­ter­ge­stal­tung machen.

Irgend­wann wer­de ich wie­der einen News­let­ter anbie­ten, ob mit oder ohne Adres­sen-Alt­be­stand. Dann muss ich eben wie­der von vor­ne anfan­gen, News­let­ter­an­mel­dun­gen zu sammeln.

Fazit

Wie sich die DSGVO in der Pra­xis bewäh­ren wird, wie sich die Rege­lun­gen auf den News­let­ter­ver­sand aus­wir­ken und wel­che Ände­run­gen kom­men wer­den, das alles kann nie­mand zum jet­zi­gen Zeit­punkt vor­her­se­hen, auch die Rechts­an­wäl­te nicht.

Die DSGVO ist im Augen­blick noch ein theo­re­ti­sches Kon­strukt, das in sei­ner prak­ti­schen Anwen­dung garan­tiert noch Anpas­sun­gen erle­ben wird. Ich bin mal gespannt, wie die aus­se­hen wer­den und wie sich die­se neu­en Daten­schutz­re­ge­lun­gen gene­rell entwickeln.

Die meis­ten Web­site­be­trei­ber soll­ten sich wegen die­ser neu­en Richt­li­ni­en nicht all­zu ver­rückt machen, denn über Kon­takt­for­mu­la­re wer­den in den sel­tens­ten Fäl­len sen­si­ble Daten abgefragt.

Wer alle Schrit­te wie Ana­ly­se der per­so­nen­be­zo­ge­nen Daten, Anle­gen eines Ver­ar­bei­tungs­ver­zeich­nis­ses, Anpas­sung von Kon­takt- und Kom­men­tar­for­mu­la­ren sowie der Daten­schutz­er­klä­rung vor­ge­nom­men hat und — falls not­wen­dig — das Kopp­lungs­ver­bot umge­setzt hat, dem dürf­te kaum etwas passieren.

Jetzt heißt es: Abwar­ten und Tee trinken!

P.S. Mei­ne Arti­kel­se­rie hat nur die Rege­lun­gen der DSGVO erläu­tert, die für mich und die meis­ten Blog­bei­trei­ber rele­vant sind. Natür­lich gibt es noch wei­te­re Neue­run­gen, doch alles hier im Blog zu erläu­tern, wür­de zu weit greifen.

Tei­le die­sen Beitrag:


Schreibe einen Kommentar

WordPress Cookie Hinweis von Real Cookie Banner