In 3 Schritten zum DSGVO-konformen Newsletter – so geht’s
Home Ressourcen Blog In 3 Schritten zum DSGVO-konformen Newsletter - so geht’s

In 3 Schritten zum DSGVO-konformen Newsletter – so geht’s

von Usercentrics
17. Nov 2020
In 3 Schritten zum DSGVO-konformen Newsletter – so geht’s
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Whitepaper Download gegen Newsletter-Abo – so oder ähnlich lautet der Deal auf vielen Webseiten. Doch ist das überhaupt rechtens? Worauf Sie bei Ihren Marketingaktionen achten sollten, um Stolperfallen beim DSGVO-Kopplungsverbot zu umschiffen, erklären wir hier.

Was Sie in diesem Artikel erwartet – auf einen Blick:

  • Wie Sie die Einwilligung für das Newsletter-Abo eindeutig und unmissverständlich gestalten.
  • Warum es so wichtig ist, transparent zu kommunizieren, für was der Nutzer seine Einwilligung erteilt und wie er sie widerrufen kann.
  • Wie Sie für eine durchgängig DSGVO-konforme Verarbeitung der Daten sorgen.

Wann muss ich das DSGVO-Kopplungsverbot überhaupt beachten?

Überall im Netz buhlen Anbieter um die Aufmerksamkeit der Nutzer. Egal ob Whitepaper-, eBook-Download oder Teilnahme am Gewinnspiel – Ziel ist es, mehr Newsletter-Abonnenten zu gewinnen. Klar ist auch: Durch ein “Goodie” lässt sich die Conversion Rate bei der Newsletter-Anmeldung deutlich steigern.

Da hierbei allerdings nicht jedes Mittel recht ist (Incentives wie z.B. Gutscheine mit unverhältnismäßig hohem Wert sind beispielsweise nicht erlaubt), sollten Sie sich auf jeden Fall zunächst mit dem Kopplungsverbot der Datenschutz Grundverordnung (DSGVO) beschäftigen.

Die Basics: Die rechtliche Grundlage für das DSGVO-Kopplungsverbot

Die DSGVO stärkt die Rechte der Nutzer und gibt ihnen mehr Selbstbestimmung über ihre Daten. 

Generell gilt: Nur wenn ein Nutzer ausdrücklich die Zustimmung zur Verarbeitung seiner Daten erteilt, darf sie der Webseitenbetreiber überhaupt verwenden. 

Mehr zum Thema erfahren Sie in unserem Artikel  “7 Kriterien einer DSGVO-konformen Einwilligung”. 

LEGAL FACTS
Die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO zum Erhalt des Newsletters muss durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass der Nutzer mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Erwg. 32). 

Der Webseitenbetreiber darf die Einwilligung des Nutzers weder erzwingen (z.B. indem ihm Zugang zu Inhalten verwehrt wird, wenn der Nutzer seine Einwilligung zur Datennutzung weigert hat) noch ihm einen Newsletter “unterjubeln”, da ansonsten das Kriterium der Freiwilligkeit und Informiertheit verletzt würde (Art. 7 DSGVO).

Warum geschicktes Newsletter-Marketing so wichtig ist

Das Ziel einer jeden Newsletter-Marketingaktion ist klar: Es sollen möglichst viele, relevante Neuabos für den Newsletter generiert werden. Um die Conversion-Rate zu steigern, wird das Abo z.B. an einen Gratis-Download eines Whitepapers geknüpft. 

Nicht vergessen werden darf dabei: Das Erstellen eben dieses Whitepapers hat Geld gekostet – und diese Investition soll sich am Ende lohnen.

Ein Fallbeispiel: Angenommen, die Erstellung des Whitepaper-PDFs kostet 1.500,- Euro. Gelingt es nun, 1.500 neue Abos für den Newsletter zu gewinnen, zahlt man rechnerisch einen Euro je Neu-Abonnent. Es sollte also nicht dem Zufall überlassen werden, ob Nutzer, die sich für das Whitepaper interessieren, auch den Newsletter abonnieren. Die Lösung: Nur wenn der Nutzer seine Einwilligung zum Abonnement des Newsletters gibt, erhält er den Downloadlink fürs Whitepaper – und idealerweise führen diese Abos dann zu qualifizierten Leads und letztlich zum Verkauf/Vertragsabschluss o.ä.

Checkliste: In 3 Schritten zu DSGVO-konformen Newsletter

Vorab sei gesagt: Wer datenschutzkonform Newsletter-Marketing betreiben möchte, sollte seinen Nutzern größtmögliche Transparenz bieten und auf jeden Fall die Einwilligung zur Verarbeitung deren persönlicher Daten einholen. 

Wer folgende Datenschutz-Regeln beachtet, ist rechtlich auf der sicheren Seite:

Schritt 1: Für Eindeutigkeit der Einwilligung sorgen

Dem Nutzer muss klar sein, dass er mit dem Download des Whitepapers automatisch den Newsletter abonniert. Wozu er einwilligt muss also eindeutig erkennbar sein. Dies bedeutet: Nur wenn eine datenschutzkonforme Einwilligung eingeholt wurde, kann dem Nutzer der Zweck des Whitepaper-Downloads und die Kopplung des Newsletter-Abos bewusst gemacht werden.

Ein Negativ-Beispiel: Sie gehen in einem Restaurant und hinterlassen dort aufgrund der Corona-Nachverfolgung Ihre Daten. Wenige Tage nach dem Besuch erhalten Sie Werbung des besagten Restaurants. Eine Einwilligung zum Erhalt von Werbung haben Sie allerdings nie erteilt. Fühlt sich sehr merkwürdig an, oder? Die Einhaltung der Zweckbindung (Art. 5 DSGVO), liegt hier nach DSGVO auf jeden Fall nicht vor.

Wie sorge ich dafür, dass der Whitepaper-Interessent ausdrücklich dem Newsletter-Abo zustimmt?

Eindeutige Einwilligung: Verwenden Sie ein gesondertes Kontrollfeld, damit der Nutzer explizit seine Einwilligung zum Newsletter-Abo geben kann. Das Kontrollkästchen darf nicht vorab aktiviert sein, sondern muss aktiv manuell angekreuzt werden. Dadurch wird für den Anwender klar ersichtlich für welchen Zweck (hier: Newsletter-Abo) er einwilligt.

Absicherung der Einwilligung per double opt-in: Weiterhin empfehlen wir die Anmeldung des Newsletters durch ein sogenanntes double opt-in (“doppelte Zustimmung”) abzusichern. Große Mailing-Anbieter bieten diese Option standardmäßig an. Dabei erhält der Nutzer nach der Anmeldung (erstes Opt-in) eine Mail an seine hinterlegte E-Mail-Adresse, in der er die Richtigkeit dieser durch Klick auf einen Link bestätigt (zweites Opt-in).

Der Vorteil für Sie als Anbieter: Sie wissen direkt, ob die angegebene Adresse korrekt ist und stellen zudem sicher, dass der Nutzer gegebenenfalls auch im Spam-Ordner nachsieht.

 

Schritt 2: Saubere Verarbeitung der Daten sicherstellen

Hat der Nutzer der Verarbeitung seiner Daten für den Newsletter eindeutig zugestimmt, gilt es diese DSGVO-konform durchzuführen. Im Wesentlichen lässt sich die Verarbeitung in zwei Bereiche aufteilen:

Bei Erhebung:

Datensparsam arbeiten: Folgen Sie dem Prinzip der Datensparsamkeit und erheben Sie nur solche Daten, die zur Durchführung der Marketingmaßnahme unbedingt erforderlich sind. 

Verschlüsselte Übertragung sicherstellen: Die Übertragung der Daten muss in jedem Fall in verschlüsselter Form erfolgen. Nur so lässt sich verhindern, dass Informationen ungefragt in die Hände Dritter gelangen. Webseiten verwenden dafür ein sogenanntes SSL-Zertifikat, welches durch eine URL beginnend mit „https://“ und einem Schloss-Icon in der Adressleiste zu erkennen ist. 

Drittanbieter-Dienste-Nennung nicht vergessen: Um Bot-Anfragen abzuwehren, können Anmelde-Formulare mit Schutzsystemen wie etwa Googles reCAPTCHA abgesichert werden. Sie sollten Ihre Nutzer hierbei allerdings unbedingt über die Verwendung von Drittanbieter-Services in Kenntnis setzen, da diese ebenfalls Daten erheben. 

 

Nach der Erhebung:

Daten sicher speichern: Sind die Daten erhoben, müssen diese an einem sicheren Ort gespeichert und gegen Angriffe von außen geschützt werden (Art. 32 DSGVO). Der Umfang der zu treffenden Maßnahmen hängt dabei von mehreren Faktoren ab (in der Verordnung als „angemessenes Schutzniveau“ bezeichnet). 

Widerruf leicht machen: Um DSGVO-Konformität zu gewährleisten, müssen Nutzer ohne großen Aufwand ihre Zustimmung widerrufen können. Bereits vor dem Abschluss des Newsletter-Abos muss der Anwender auf diese Tatsache hingewiesen werden. Um in einem Newsletter einen unkomplizierten Opt-out zu ermöglichen, sollte in jedem Mailing ein Link eingebettet sein, dessen Betätigung nicht nur zum Stopp bzw. Austragen aus dem Newsletter-Versand, sondern gleichzeitig auch zur vollständigen Löschung der Nutzerdaten führt.

 

Schritt 3: Volle Transparenz schaffen

Der Nutzer hat einen Anspruch darauf zu erfahren, was genau mit seinen erhobenen Daten passiert. 

Datenschutzbestimmungen integrieren: Verlinken Sie beim Opt-in für den Newsletter die Datenschutzbestimmungen. Klären Sie Ihre Nutzer darüber auf, welche Daten zu welchem Zweck erhoben werden, wie sie verarbeitet werden und wie man sich austragen kann. 

Infos über CRM/Mailing-Anbieter offen kommunizieren: Gerade bei größeren Marketingprojekten im B2B und B2C-Bereich wird häufig eine CRM-Lösung verwendet, um die Datensätze der Newsletter-Abonnenten an einem zentralen Ort abzulegen. Der Nutzer muss darüber in Kenntnis gesetzt werden, dass eine Weitergabe seiner Daten an Dritte erfolgt. Ähnlich verhält es sich bei großen Mailing-Anbieter, die dem Webseitenbetreiber die Verwaltung der Adressen über ihre Plattform anbieten. Über die Auftragsverarbeitung müssen Nutzer in diesem Fall ebenso hingewiesen werden.

Unser Tipp: Achten Sie bereits bei der Auswahl eines Mailing-/CRM-Anbieters darauf, welche Datenschutzmaßnahmen dieser ergreift und wie die Weiterverarbeitung der Nutzerdaten gestaltet ist. Entscheiden Sie sich im Zweifel für die transparenteste, datensparsamste Lösung.

Ist das Kopplungsverbot damit vom Tisch?

Angenommen ich halte mich an sämtliche Regelungen der DSGVO – dann sollte ich beim Newsletter-Marketing doch eigentlich rechtlich auf der sicheren Seite sein, oder?

Die Antwort lautet: Jein.

Denn ob damit automatisch das Kopplungsverbot geklärt ist, dafür sind sich die Experten bisher noch nicht einig.

Auf der einen Seite sorgt Transparenz zwar dafür, dass der Nutzer eine bewusste Entscheidung treffen kann, er also nicht rein zufällig und ohne Kenntnis den Newsletter automatisch abonniert. Auf einer anderen Seite stellt sich aber auch die Frage, wie man die Mechanismen des Kopplungsverbot auslegt: Sprich aus Nutzer- oder Anbietersicht.

Von verschiedener Seite wird diskutiert, wie Webseitenbetreiber verargumentieren können den Download des Whitepapers an das Abo eines Newsletters zu knüpfen. Dabei können Sie sich beispielsweise darauf berufen, dass eine Bereitstellung eines aufwendigen Whitepapers nur deshalb wirtschaftlich tragbar ist, weil er an einen anderen Service (hier: Newsletter) geknüpft ist.

Das “berechtigte Interesse” in diesem Fall: Ohne die Verknüpfung an
das Newsletter-Abo könnte der Anbieter das Whitepaper überhaupt nicht zum
kostenfreien Download bereitstellen.

Entscheidend ist, dass sich der Nutzer über diesen Austausch in jedem Moment klarist, er also bereitwillig mit einer Art “Schutzgebühr” (seiner Einwilligung zum Newsletter-Abo) für den Erhalt des Whitepapers bezahlt.

Fazit

Ein gewissenhaftes Setup eines DSGVO-konformen Newsletter-Marketings ist kein Hexenwerk, nimmt aber einige Zeit in Anspruch. Für ein solches Projekt lohnt es sich einen gewissen zeitlichen Vorlauf einzuplanen – und das Thema nicht erst kurzfristig vor Aktionsstart auf die Schnelle anzugehen.

DSGVO-konformes Newsletter-Marketing steht und fällt mit der Transparenz – und natürlich der freiwilligen, expliziten Einwilligung der Abonnenten. Das Wichtigste hierbei: Die Einwilligung für den Newsletter eindeutig gestalten, bei der Verarbeitung der Daten den Datenschutz sicherstellen und dem Nutzer transparent kommunizieren.  

Wer die Regeln des Kopplungsverbots kennt und diese umsetzt, profitiert von einem Zugewinn an neuen Newsletter-Abos – und ist dabei rechtlich auf der sicheren Seite. Jede Minute, die Sie dafür zu Beginn mehr investieren, sparen Sie am Ende ein – potenziellen Stress inklusive.

Bleiben Sie auf dem Laufenden – wenn es veränderte Einschätzungen und neue Urteile zum Kopplungsverbot gibt erfahren Sie es zuerst in unserem Knowledge Hub.

 

Sie haben noch keine Consent Management Platform (CMP) im Einsatz
um die Einwilligung Ihrer Webseitenbesucher einzuholen?

Kontaktieren Sie uns! Wir beraten Sie gerne.

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.

Ähnliche Artikel

Südafrikas ‘Protection of Information Act’ (POPIA)

Südafrikas ‘Protection of Information Act’ (POPIA) – ein Überblick

POPIA ist das südafrikanische Datenschutzgesetz, das bereits fünf Jahre vor der DSGVO verfasst wurde. Wir untersuchen,...

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Wir erläutern, was Chinas ‘Personal Information Protection Law’ für die Datenschutzrechte seiner Bürger bedeutet und...