Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Newsletter-Bestellung auf Webseiten

Viele öffentliche Stellen und Behörden bieten einen E-Mail-Newsletter-Versand an, um interessierte Personen über das aktuelle Geschehen und Neuigkeiten zu informieren. Aber wie kann eine E-Mail-Newsletter-Bestellung datenschutzkonform ausgestaltet werden?

grafisches Briefsymbol wird von einer Hand gehalten
Quelle: ©Vegefox - stock.adobe.com

Einordnung: Newsletter-Versendung per E-Mail

Der folgende Text beschäftigt sich ausschließlich mit dem Versand von Newslettern per E-Mail. Andere Formen des Newsletter-Versands (z.B. per Brief oder innerhalb von Social-Media-Kanälen) sollen im Folgenden nicht betrachtet werden.

Betroffenes Datum: E-Mail-Adresse

Beim E-Mail-Newsletter-Versand werden E-Mail-Adressen genutzt. Die E-Mail-Adresse ist nach Art. 4 Nr. 1 DSGVO als personenbezogenes Datum zu werten. Über die E-Mail-Adresse einer natürlichen Person kann mit dieser Person gezielt elektronisch kommuniziert werden.

Rechtsgrundlage für den Versand

Öffentliche Stellen stützen sich für den Versand ihres Newsletters in der Regel auf die Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a) DSGVO. Anforderungen an eine wirksam erhobene Einwilligung ergeben sich insbesondere aus Art. 4 Ziffer 11 sowie den Art. 7 und ggf. 8 DSGVO. Informationspflichten und Vorgaben zur Ausgestaltung der Einwilligung ergeben sich aus Art. 7 Abs. 3 S. 3 und Art. 13 DSGVO. Diese Anforderungen sind vom Verantwortlichen zu berücksichtigen, der die Umsetzung auch nachweisen können muss. 

Bestellprozess (Double-Opt-In)

Die nutzende Person gibt ihre E-Mail-Adresse in einem Newsletter-Bestellformular ein. Der Verantwortliche sendet eine Bestätigungsmail an die eingegebene E-Mail-Adresse. Die Informationspflichten (vgl. Art. 7 Abs. 3 und 13 DSGVO) sind in diesen Prozessschritten bereits zu erfüllen. Die empfangende Person muss entweder einen Link in der E-Mail betätigen oder auf die erhaltene E-Mail antworten. Erst danach wird die E-Mail-Adresse von dem Verantwortlichen für die Übermittlung der Newsletter genutzt. Per Klick auf den Link oder der Antwort per E-Mail durch den Postfachbesitzer liegt eine bestätigende Handlung vor. Der Verantwortliche kann davon ausgehen, dass nur berechtigte Personen in den passwortgeschützten Bereich eines E-Mail-Accounts gelangen können. Der Verantwortliche kann daraus schließen, dass der Newsletter-Versand an die E-Mail-Adresse von einer berechtigten Person mit Postfachzugang gewünscht war, da ein aktives Handeln dieser Person vorausgegangen ist.

Sofern ein Verantwortlicher mit dem Newsletter Werbung ausspielen möchte, ist stets ein doppelter Einwilligungs-Nachweis, d.h. das Überlassen der Kontaktdaten und nochmalige Bestätigung (sog. Double-Opt-In-Verfahren) notwendig, siehe auch § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG). So sieht es auch die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) in ihrer Orientierungshilfe zur Direktwerbung unter Punkt 3.3. Dafür ist erforderlich, dass der Verantwortliche die konkrete Einverständniserklärung jeder einzelnen betroffenen Person vollständig dokumentiert. Elektronisch übermittelte Einverständniserklärungen müssen gespeichert und jederzeit ausgedruckt werden können. Nur auf diese Weise können Verantwortliche ihrer Rechenschaftspflicht nachkommen.

Auch für öffentliche Stellen bzw. Behörden-Newsletter (ohne Werbung und nur durch Behörden versendet) gelten die Anforderungen an die Einwilligung, so dass auch hierbei das Double-Opt-In-Verfahren notwendig ist. Denn auch bei Beschwerden oder Kontrollen der Rechtmäßigkeit der jeweiligen Datenverarbeitung ist eine Nachweisbarkeit nach Art. 5 Abs. 2 und nach Art. 7 Abs. 1 DSGVO erforderlich, dass die jeweils betroffene Person wirksam in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Das Verwaltungsgericht Saarlouis bestätigt dies in einem Urteil von Oktober 2019: Der Sinn und Zweck des Double-Opt-In-Verfahrens bestehe darin, dass Verantwortliche die Identität einer betroffenen Person nachweisen können, denn aufgrund des Ausschlusses von Falscheingaben sei ein missbräuchliches Newsletter-Abonnieren nicht möglich. Sofern die Bestätigung der E-Mail-Adresse nicht vom „Kunden“ stamme, trage der Kunde dafür die Darlegungslast. Das Double-Opt-In-Verfahren ist daher die rechtssicherste Methode, um einen Nachweis der eingeholten Einwilligung führen zu können und reicht als hinreichende Dokumentation der Einwilligung aus.

Nicht umfasst: Zählpixel oder ähnliche Tracking-Technologien

Durch den Einsatz eines E-Mail-Tracking-Pixels werden üblicherweise Informationen, die bereits auf dem Endgerät der betroffenen Person gespeichert sind, ausgelesen, wie z.B. das genutzte Betriebssystem, der genutzte Browser, die IP-Adresse und ähnliche Informationen.
Nicht umfasst von einer Einwilligung der betroffenen Person zur Newsletter-Bestellung sind diese E-Mail-Zählpixel oder ähnliche Tracking-Technologien, die Zugriff auf die Endgeräte der jeweils Nutzenden haben. Der Verantwortliche bedarf nicht nur für das Versenden des Werbe-Newsletters und der damit verbundenen Verarbeitung der E-Mail-Adresse grundsätzlich (soweit nicht § 7 Abs. 3 UWG greift) der Einwilligung der betroffenen Person nach § 7 Abs. 2 Nr. 2 UWG . Auch der Einsatz von Tracking-Pixeln oder ähnlicher Tracking-Technologien ist regelmäßig nach Art. 5 Abs. 3 e-Privacy-RL bzw. § 25 TTDSG einwilligungsbedürftig. Für eine nach der e-Privacy-RL notwendige Einwilligung gelten gem. Art. 2 lit. f) ePrivacy-RL i.V.m. Art. 94 Abs. 2 DSGVO die gleichen Grundsätze wie für eine Einwilligung im Anwendungsbereich der DSGVO. Gemäß Art. 4 Nr. 11 DSGVO muss die Einwilligung freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden.

Denkbar erscheint lediglich, beim Newsletter-Bestellvorgang Nutzende ausdrücklich auf den Einsatz solcher Zählpixel hinzuweisen und für den Einsatz dieser Technologie eine Einwilligung anzufragen. Sofern Nutzende diese Einwilligung zum Einsatz von Zählpixeln nicht erteilen, hat der Newsletter-Versand ohne den Einsatz von Zählpixel oder ähnlichen Tracking-Technologien zu erfolgen.

Abbestellen des Newsletters

Sobald ein Nutzender den Newsletter wieder abbestellen möchte, darf dieser Prozess nicht aufwendiger gestaltet sein als den Newsletter zu abonnieren. Denn ein Widerruf der erteilten Einwilligung muss genau so einfach möglich sein wie die Erteilung der Einwilligung. Dies ergibt sich aus Art. 7 Abs. 3 S. 4 DSGVO. Sofern die Einwilligung rechtmäßig per Double-Opt-In-Verfahren eingeholt wurde, darf der Widerruf der Einwilligung im Umkehrschluss also auch nur zwei Schritte umfassen, mit denen Nutzende den Newsletter wieder abbestellen können. Zur Umsetzung des Widerrufs sind die E-Mail-Adresse und die Informationen zum Umstand der Einwilligungserhebung grundsätzlich unverzüglich aus dem Bestand zu löschen.

Alternative zum Newsletter-Abonnement

Informationen können auch als RSS-Feed bereitgestellt werden. Mit dieser datensparsamen Variante zur Informationsverteilung wird das identische Ziel erreicht. Die Einbindung des Feed erfolgt durch die nutzende Person, da die Aktion von der nutzenden Person ausgeht. Das Speichern von E-Mail-Adressen als personenbezogenes Datum durch den Verantwortlichen ist nicht notwendig. Bindet der Nutzer den Feed ein, liefert der Telemedienanbieter lediglich den von der nutzenden Person gewünschten Dienst. Eine Einwilligung muss hierfür nicht erhoben werden.

Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO)

Kontaktfinder

Hier finden Sie in wenigen Klicks heraus, wer für Ihre Anfrage oder Beschwerde zum Datenschutz zuständig ist.