MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing

Auch mit der Datenschutzgrundverordnung bleibt die grundsätzliche Pflicht zur Einholung einer Einwilligung im Rahmen des Versandes von Newslettern bestehen. Was sich jedoch ändert sind die Erlaubnis- und Informationsgrundlagen, weshalb nunmehr Nutzer genauer über die Verarbeitung ihrer Daten informiert werden sollten.

Ein blankes Newsletterformular ist daher risikoträchtig und auch wenn es oft die Optik stört, empfehle ich die Nutzer entsprechend den folgenden Hinweisen zu unterrichten. Zuvor beantworte ich jedoch die Frage, ob MailChimp überhaupt genutzt werden darf.

Darf Mailchimp überhaupt verwendet werden?

Wenn Sie ein US-Unternehmen damit beauftragen die E-Mail-Adressen Ihrer Abonnenten zu verarbeiten, dann müssen Sie die folgenden beiden Voraussetzungen erfüllen:

  • Auftragsverarbeitungsvertrag abschließen: Der Vertrag muss gem. Art. 28 DSGVO geschlossen werden und verpflichtet MailChimp die personenbezogenen Daten Ihrer Empfänger nur entsprechend Ihren Weisungen zu verarbeiten. MailChimp bietet einen solchen Auftragsverarbeitungsvertrag an und hat ihn ab dem 15. Mai 2019 als Teil der AGB aufgenommen. Sie müssen ihn daher nicht (mehr) gesondert abschließen.
  • Gewährleistung des Datenschutzniveaus: Bei Unternehmen außerhalb der EU bedarf es zusätzlich einer Gewährt, dass die Daten in dem sog. „Drittland“ genauso sicher sind wie in der EU. Diese Garantie bietet MailChimp, da der Dienst unter dem EU/Schweiz-US-Privacy-Shield zertifiziert ist.

[sc name=“tshinweisboxBEGIN“]Wirksamkeit des Privacy-Shields: Das Privacy Shield ist umstritten und könnte in der Zukunft aufgehoben werden. Daher erstrecken manche die Einwilligung in den Versand des Newsletters auch auf den Einsatz von MailChimp. Das Problem dabei ist, dass die Einwilligung beim Providerwechsel eine neue Einwilligung benötigt. Daher empfehle ich MailChimp nicht auf Grundlage einer Einwilligung, sondern auf Grundlage Ihrer berechtigten Interessen am effizienten und sicheren E-Mail-Versand (Art. 6 Abs. 1 lit. f DSGVO) einzusetzen. Zumal wir den Verlust eines solchen Abkommens mit der Aufhebung des Safe Harbor-Abkommens durch den Europäischen Gerichtshof im Jahr 2015 erlebt haben. Wie auch damals, gehe ich ebenfalls in diesem Fall davon aus, dass die rein faktische Notwendigkeit der Datentransfers zwischen den USA und Europa, zu einem Super-Privacy-Shield o.ä. kreativ bezeichnetem Abkommen führen wird.[sc name=“tshinweisboxBEGIN“]

Dürfen Newsletter-Öffnungsquoten und Linkklicks der Empfänger gemessen werden?

Wenn Sie in einem größeren Rahmen Newsletter versenden und hierfür auch Geld bezahlen, dass Sind Sie im Regelfall auch an der Messung der Erfolgsquotten und den Erwatungen Ihrer Nutzer interessiert. (Mailchimp Statistik))
Wenn Sie in einem größeren Rahmen Newsletter versenden und hierfür auch Geld bezahlen, dann sind Sie im Regelfall auch an der Messung der Erfolgsquoten und Beliebtheit Ihrer Inhalte bei den Lesern interessiert.

Das Problem ist zunächst, dass diese Statistiken nicht pseudonym erfolgen, sondern zu jedem anhand der E-Mail-Adresse individualisierbarem Empfänger gespeichert wird, wann er den Newsletter öffnete und wann er welchen Link klickte. Das ist ein Vorgang, der nur dann zulässig ist, wenn die Empfänger über ihn vorab zumindest deutlich informiert werden.

Ob diese Information alleine ausreicht, sind sich die Experten nicht einig:

  • Information ist ausreichend: Vertreter liberaler Ansichten meinen, dass lediglich der Hinweis auf die Erfolgsmessung im Onlineformular genügt (für manche reicht es auch schon aus, dass der Hinweis in der Datenschutzerklärung steht). Dann „weiß der Nutzer was er tut“, bevor er sich anmeldet. Dann erfolgt die Erfolgsmessung auf Grundlage berechtigter Interessen des Versenders (Art. 6 Abs. 1 lit. f DSGVO). Die Schutzinteressen der Nutzer wiegen mehr, da er ja auf die Erfolgsmessung hingewiesen wurde.
  • Einwilligung umfasst die Erfolgsmessung: Der Unterschied zu der Methode zuvor ist, dass Sie statt sich auf ein berechtigtes Interessen gem. Art. 6 Abs. 1 lit. f DSGVO zu berufen, dem Nutzer erklären, dass seine Einwilligung die Erfolgsmessung mitumfasst. Der Vorteil ist, dass in dem Fall eine Abwägung mit den Schutzinteressen der Nutzer entfällt.
  • Extra Opt-In für die Erfolgsmessung: Einige Datenschützer meinen seit je her, dass es für diese Erfolgsmessung eine eigene Checkbox geben muss. D.h. die Nutzer sollten entscheiden können, ob sie den Newsletter mit oder die Erfolgsmessung beziehen. Die Datenschützer beziehen sich dabei auf das Kopplungsverbot des. Art. 7 Abs. 4 DSGVO und meinen, dass die Einwilligung in die Erfolgsmessung sonst erzwungen wäre, weil der Nutzer den Newsletter sonst nicht abonnieren kann.

Ich persönlich empfehle die mittlere Version, also die Einwilligung in die Erfolgsmessung. Die erste Variante halte ich ebenso für Vertretbar, wenn die nutzer im Anmeldeformular zum Newsletter auf die Erfolgsmessung hingewiesen werden. Dann ist sie m.E. für sie bei der Anmeldung vorhersehbar und vernünftigerweise erwartbar (s. Erwägungsgrund 47 zur DSGVO)

Ich denke, dass das Kopplungsverbot hier nicht einschlägig ist, da keine echte Zwangslage vorliegt. Es sei denn, Ihr Newsletter ist so einzigartig, dass Nutzer sich innerlich gezwungen fühlen werden, die Erfolgsmessung widerwillig zu akzeptieren. D.h. sie werden keine echte Wahl haben.

Persönlich kenne ich keinen solchen Newsletter und halte diese Kopplung daher generell für zulässig. Aber natürlich ist es immer sicherer, auf die Datenschutzbehörden zu hören.

[sc name=“tshinweisboxBEGIN“]Trackingpflicht bei Mailchimp: Das Tracking der Nutzer und damit Ihre Erfolgsmessung können Sie nur in der kostenpflichtigen Version von MailChimp abstellen. Allerdings dürfte die Erfolgsmessung gerade dann besonders wichtig werden, wenn Ihr Empfängerstamm die 2.000er-Kostenlosgrenze überschritten hat.[sc name=“tshinweisboxEND“]

Kopplung von E-Book oder Gewinnspielen an ein Newsletterabonnement

Das im Rahmen der Erfolgsmessung behandelte Kopplungsverbot, wird auch als Argument gegen die Vorschaltung eines Newsletterabonnements vor den Download eines „Gratis-E-Books“ oder der Teilnahme an einem Gewinnspiel vorgebracht.

Doch genauso sehe ich auch hier keine innere Zwangslage, auch nicht bei Minderjährigen (wobei deren Einwilligungen in Deutschland ohnehin erst ab 16 Jahren (Art. 8 Abs. 1 DSGVO) und in Österreich ab 14 Jahren (Art. 8 Abs. 1 DSGVO, § 4 Abs. 4 DSG) wirksam sind).

Dazu muss man bedenken, dass ein Kaufanreiz mit Goldbarren bei Minderjährigen zumindest von deutschen Behörden für zulässig erachtet wurde. Sofern Ihr E-Book nicht mehr wert ist als ein Goldbarren, ist dessen Kopplung an ein Newsletterabonnement m.E. zulässig.

Woran Sie jedoch denken sollten, ist ein Hinweis auf diese Kopplung schon auf der Einstiegsseite hinzuweisen. D.h., nicht erst, wenn der Nutzer z.B. schon Formularfelder ausgefüllt hat und sich dadurch ggf. zum Newsletterabonnement gezwungen fühlen wird (das sagt auch die Datenschutzkonferenz 6/2017, S. 2).

Double Opt-In und Protokollierung

Ohne das Double-Opt-In-(DOI)-Verfahren werden Sie nicht nachweisen können, dass die Inhaber der E-Mail-Adresse selbst Ihren Newsletter abonniert haben (Nachweispflicht, s. Art. 7 Abs. 1 DSGVO). Es könnte ja sonst jemand Drittes die E-Mail-Adresse eingetragen haben. Nur wenn der Inhaber der E-Mail-Adresse eine Bestätigungsmail erhält und den darin enthaltenen Aktivierungslink klickt, haben Sie einen Nachweis seiner Einwilligung.

Ferner müssen Sie den Zeitpunkt der Anmeldung aus Nachweisgründen speichern und nach meiner Erfahrung ist es auch empfehlenswert, die IP-Adresse der Abonnenten mitzuspeichern (so zumindest meine Erfahrung im Hinblick auf Glaubwürdigkeit in der Praxis). Wenn Sie Mailchimp nutzen, dann wird die IP-Adresse ohnehin gespeichert. Ferner sollten Sie protokollieren, wie der Inhalt der Bestätigungsemails in einem bestimmten Zeitraum aussah, z.B. durch Zusendung an Mitarbeiter oder sonstige Zeugen, bzw. Protokolle oder gleich deren Speicherung pro Nutzer, wenn Ihr Versandsystem dies anbietet.

[sc name=“tshinweisboxBEGIN“]Inhalt der Bestätigungsmail: Neben dem Aktivierungslink sollte die Bestätigungsmail die Informationen aus dem Anmeldeformular wiederholen und auf keinen Fall werbliche Inhalte enthalten.[sc name=“tshinweisboxEND“]

Was muss im Anmeldeformular stehen?

Beispiel der Nutzerinformationen im Anmeldeformular meines Newsletters.
Beispiel der Nutzerinformationen im Anmeldeformular meines Newsletters.

Das Anmeldeformular muss quasi einen „Teaser“ für die vollständige Datenschutzerklärung darstellen. D.h. es sollte die für die Einwilligung der Nutzer wesentlichen Punkte enthalten.

Dazu gehören vor allem:

  • Der Inhalt des Newsletters: Die Inhaltsbeschreibung sollte nicht zu eng gefasst sein (lautet sie z.B. „Gewinnspiele“, dann dürfen Sie künftig nur noch Newsletter zu Gewinnspielen versenden). Auch darf der Inhalt nicht zu weit gefasst sein (Angaben wie „Interessante Informationen“ oder „Werbenachrichten“ wären als Einwilligungsgrundlage zu pauschal und unzulässig). Am besten beschreiben Sie Ihre Leistungen oder schreiben sinngemäß grob zusammenfassend, z.B.: „Informationen zu unseren Leistungen, Produkten, unserem Unternehmen und Themen zum Marketingrecht„.
  • Andere Angaben als die E-Mail-Adresse: Bitte begründen Sie, warum Sie andere Angaben als die E-Mail-Adresse fordern (z.B. dass Namen zwecks Personalisierung der Newsletter benötigt werden).
  • Die Erfolgsmessung: Weisen Sie bitte schon im Onlineformular auf diese hin, ansonsten wird sie von der Einwilligung im Zweifel nicht mitumfasst. Nutzer müssen wissen, in was sie einwilligen.
  • Einsatz von MailChimp: M.E. nicht erforderlich, da Nutzer mit dem Einsatz eines Versanddienstleisters rechnen können. Aber um ganz sicher zu gehen, weisen Sie auf MailChimp hin.
  • Die Protokollierung der Anmeldung: Auch hier ist m.E. ein Hinweis nicht notwendig, da Sie zu der Protokollierung sogar gesetzlich gezwungen sind. Allerdings empfehle ich den Hinweis, wenn die IP-Adresse gespeichert wird (wie bei MailChimp).
  • Die Widerrufsmöglichkeit: Sie sollten die Abonnenten darauf hinweisen, dass sie deren Einwilligung widerrufen können.

Je genauer die Angaben, desto sicherer das Formular. Ich halte z.B. die folgenden Angaben für mehr als ausreichend:

Das ist nur ein Beispiel einer möglichen Gestaltung eines Newsletter-Anmeldeformulars. Den Text können Sie natürlich anpassen, solange er die o.g. Informationen enthält.
Das ist nur ein Beispiel einer möglichen Gestaltung eines Newsletter-Anmeldeformulars. Den Text können Sie natürlich anpassen, solange er die o.g. Informationen enthält.

Details in der Datenschutzerklärung

In dem Datenschutz-Generator können Sie sich sich ein Newslettermuster für Ihre Datenschutzerklärung (bzw. die ganze Datenschutzerklärung zusammenstellen). Für Prüvatpersonen, z.B. Blogger oder für Kleinunternehmer kostenlos.
Im Datenschutz-Generator können Sie sich die Newsletter-Passage für Ihre Datenschutzerklärung (bzw. die ganze Datenschutzerklärung) zusammenstellen. Für Privatpersonen, z.B. Blogger oder für Kleinunternehmer, ist die anschließende Nutzung kostenlos.

Die Teaser im Onlineformular reichen alleine nicht aus, deswegen werden die Interessenten auf die Datenschutzerklärung hingewiesen. Dort beschreiben Sie die einzelnen Verarbeitunsgvorgänge detailliert und mit allen nach der DSGVO erforderlichen Angaben, wie den Rechtsgrundlagen, Speicherdauer der Daten, Angaben zum Versanddienstleister, Beschreibung der Erfolgsmessung, etc.

Die Datenschutzerklärung sollte abhängig von der konkreten Ausgestaltung und je nach dem gewählten Optionen (mit Erfolgsmessung oder ohne), Versanddienstleister und der Art der Protokollierung ausgestaltet werden.

Da alle Optionen diesen Beitrag sprengen würden, finden Sie in meinem Datenschutz-Generator eine Möglichkeit, sich eine passende Datenschutzerklärung zusammenzustellen.

Checkliste für rechtssicheren Newsletterversand

Bitte prüfen Sie, ob Ihr Newsletter die folgenden Voraussetzungen erfüllt.

  • Im Fall eines Versanddienstleisters
    • Abschluss eines Auftragsverarbeitungsvertrages.
    • Prüfung Garantie bei Drittländern (z.B. Privacy Shield bei US-Unternehmen).
  • Double-Opt-In-Verfahren.
    • Protokollierung der Anmeldung.
    • Bestätigungsmails ohne werbliche Inhalte.
  • Information der Nutzer im Onlineformular („Teaser“).
    • Über den Inhalt der Newsletter.
    • Über etwaige Erfolgsmessung.
    • Über Zweck anderer Angaben als der E-Mail-Adresse.
    • Über den Versanddienstleister (m.E. optional).
    • Über die Protokollierung der Anmeldung.
    • Über das Widerrufsrecht (sollte per Linkklick umsetzbar sein).
    • Über Kopplung mit Gewinnspielen, E-Books, etc.
  • Verweisen Sie auf die Detailinformationen im Newsletter.

[sc name=“tshinweisboxBEGIN“]Rechtsfolgen bei Verstoß: Wie bisher drohen Bußgelder der Aufsichtsbehörden und Abmahnungen. Neu ist, dass Empfänger einen immateriellen Schadensersatz (also eine Art „Schmerzensgeld“ für erlittene Verletzung der eigenen Datenschutzrechte) fordern können, über dessen Höhe die Gerichte noch zu befinden haben werden (Art. 82 DSGVO).[sc name=“tshinweisboxEND“]

Fazit und Praxistipps

Natürlich kann man sich darüber diskutieren, ob der Einsatz eines europäischen Dienstleisters, z.B. CleverReach, Mailjet, Newsletter2Go oder Rapidmail nicht empfehlenswerter wäre. Unabhängig von dieser Diskussion halte ich den Einsatz von US-Dienstleistern für zulässig, wenn sie sich an die Spielregeln des EU-Datenschutzrechts halten.

Und solange Sie es auch tun und in die obigen Ratschläge befolgen, dann können Sie auch noch nach der DSGVO rechtssicher Newsletter versenden.

[sc name=“tshinweisboxBEGIN“]Hinweis zum DSGVO-Re-Opt-In: Derzeit werden viele Hinweise auf neue Datenschutzerklärungen versendet. Das wird seitens der Art. 29 Gruppe, also des Beratergremiums der EU in Sachen Datenschutz zumindest im Fall bestehender Einwilligungen sogar empfohlen. Was jedoch rechtlich nicht zulässig ist, ist fehlende oder unzulässige Einwilligungen „nachzuoptieren“, also um die „Bestätigung“ einer (tatsächlich nicht vorhandenen) Einwilligung zu bitten. In diesem Fall ist schon die Frage nach dem Opt-In rechtlich als Spam zu qualifizieren. Nach meiner Erfahrung aus der Praxis, fällt dies jedoch kaum einem Empfänger im Hagel solcher Anfragen auf (wobei dies kein Ratschlag ist rechtswidriges E-Mails zu versenden). Die Opt-In-Quoten sind jedoch dementsprechend gering, häufig nur zwischen 5 – 10%. Falls Sie bereits nachweisbare Einwilligungen eingeholt hatten, ist die Bitte um eine Bestätigung der Einwilligung, ohnehin nicht notwendig.[sc name=“tshinweisboxEND“]

Mein Newsletter

Falls Ihnen dieser Beitrag gefallen hat, würde ich mich freuen, wenn Sie auch meinen Newsletter abonnieren. Mit ihm helfe ich Ihnen Risiken im Marketing-, Datenschutz- und Vertragsrecht zu erkennen und zu vermeiden.

mail-dr-schwenke-header-image4

Tipp in eigener Sache:

DSGVO-Datenschutzerklärung-Generator mit kostengünstiger Lizenz für Unternehmen, Shops, Agenturen, Makler, Praxen, kostenlos für Privatpersonen, z.B. Blogger und kleine Unternehmen.

Hinweis: Dieser Beitrag wurde am 24.05.2019 aktualisiert (Verweis auf die Aufnahme des Auftragsverarbeitungsvertrages in die AGB von MailChimp).

MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing

82 Gedanken zu „MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing

  1. Da habe ich gerade meinen allerersten Newsletter verschickt und stoße direkt im Anschluss auf ihren Beitrag ;).

    Den Artikel muss ich mir in Ruhe noch einmal durchlesen, um die Vorschläge umzusetzen. Vielen Dank in jedem Fall für die ausführliche Info!

    Beste Grüße,
    I. Falconer

  2. Hallo Thomas,

    Wenn ich mir das alles zusammen ansehe, insbesondere den Text, der im Formular über die Nutzung informiert, dann frage ich mich ehrlich gesagt, warum unsere Richter nicht gleich die Nutzung von Newslettern zu Werbezwecken komplett verbieten.

    Mal ganz ehrlich: Welcher Mensch mag sich da noch eintragen?

    Da hole ich mühsam per Social Media Marketing oder Suchmaschinenoptimierung potenzielle Abonnenten auf meine Site um dann gleich wieder zu sagen: Geh weg! Das ist alles super gefährlich für Deine Daten hier!

    Ist das wirklich noch verhältnismäßig, was die sich da überlegen? Es geht ja nur um eine E-Mail-Adresse, meist noch von einem Anbieter wie Google, GMX oder Web.de und vielleicht noch den Vornamen. Niemand fragt doch für den Newsletter die Postadresse, Geburtsdaten oder andere schützenswerte Informationen ab.

    Was ich mir wirklich wünschen würde, wäre von der Spamflut aus Übersee für blaue Pillen, gewisse Verlängerungen oder andere obskure Angebote verschont zu bleiben, wo ich gleich auf mit Trojanern verseuchte Seiten geführt werde, wenn ich den Mist loswerden will. Hier macht man es wieder mal – insbesondere kleinen Unternehmern – super schwer und aufwändig, ihren Unternehmenserfolg in die eigene Hand zu nehmen.

    Kopfschüttelnde Grüße
    Birgit

    1. Leider sind unsere Gesetze hier völlig weldfremd und bedeuten nur Ärger für die seriösen Unternehmen, die sich daran halten. Schade. Aber zur Beruhigung: Ich denke es gibt 3 Gruppen von Nutzern:
      96% interessiert das ganze nicht die Bohne. Die gehen auf unsere Website, wollen den Newsletter wenn ansprechend darauf hingewiesen wird, und ignorieren die ganze Datenschutzbelehrung.
      3% sind gut informiert und setzten sich sehr gut mit der Thematik auseinander und wissen genau, das eine so exakte Belehrung auf einen seriösen Versender hindeutet, der eben keinen Mist mit den Daten baut.
      99% der Nutzer tragen sich also weiterhin ein solange nicht zu viel Text vorm Adresseingabefeld kommt – in diesem Beitrag sehr schön beschrieben und gezeigt, wie wir den Text direkt davor kurz halten können.
      Es bleiben 1% „paranoide Spinner“ (oder „schlecht informierte Nutzer, die Fehlschlüsse ziehen, was beim Versand passieren wird“) und wir können froh sein, wenn die unseren Newsletter eben nicht abonnieren solange die anderen 99% bleiben 🙂

      Also: am Ende melden sich die Leute trotzdem an.

      Schade ist nur: Wir seriösen Versender haben mehrere Tage Aufwand pro Jahr, uns mit den ganzen ständig geänderten Gesetzten rumzuschlagen und das flaue Gefühl in der Magengegend. Nebenher bekomme ich allein von deutschen Versendern, die meine Mailadresse bei Verbänden etc abgreifen, unaufgeforderte Newsletter = Spam, obwohl ich weder dem Empfang noch dem Verband für die Veröffentlichung meiner Adresse an die Mitglieder zugestimmt habe. Und nebenher klauen dutzende Anbieter im Netz meine Texte, teilweise sogar seitenlange Texte fast 1:1. Kannste machen nix, musste gucken zu.
      Aber wir machen hier einen riesen Aufwand, um einen Namen + die Mailadresse an seriöse Versanddienstleister zu geben, während die Nutzer selber eben diese Mailadresse und den zugehörigen Namen ständig per unverschlüsselter Mail quer durchs Internet senden (Adresse und Name sind ja im Mailheader immer enthalten), und das dann noch meist im unverschlüsselten Gratis-WLAN unterwegs. Da lauert die wirkliche Gefahr für den Datenabgriff…
      An den Stellen wo es nötig wäre passiert also nichts, nur die seriösen gesetzestreuen Firmen und insbesondere kleinen Selbstständigen haben mal wieder mega Aufwand…

  3. Gerade letzte Woche habe ich einen ähnlichen Artikel zu genau diesem Thema auf meinem Blog wpconsultant.de veröffentlicht.

    Dieser Artikel hier ist aber ausführlicher, weswegen ich auch gerne von meinem Blog aus auf diesen Beitrag verlinkt habe.

    Ich bin der gleichen Meinung wie Birgit und frage mich wie hoch die Chancen stehen, dass sich Interessenten wirklich in meine Liste eintragen.

    Vielen Dank für den Beitrag und schöne Grüße,
    Daniel

  4. Hallo Herr Dr. Schwenke,
    vielen Dank für diesen informativen Artikel.
    Ich arbeite allerdings mit GetResponse zusammen und frage hiermit, inwieweit ich die Datenschutzerklärung anpassen kann bzw. wie?
    Mir ist schon klar, dass Sie nicht für jeden Emailverteiler so eine Datenschutzerklärung veröffentlichen können, aber vielleicht wissen Sie mir einen Rat?
    Besten Dank und schöne Grüße nach Berlin

    1. Bei GetResponse fehlen mir die genauen Infos, daher nur eine allgemeine Empfehlung: Genauso vorgehen und Angaben zu MailChimp mit den Angaben zu GetResponse austauschen.

    2. Mir hat Getresponse heute auf Nachfrage einen Vertrag zugeschickt „Agreement on personal data processing Getresponse“. Ich bin nur nicht sicher, ob das jetzt für Deutschland gültig ist und habe da auch nicht wirklich eine Antwort erhalten.

  5. Klasse Artikel! Vielen Dank auch für das Muster.

    Würde es nicht reichen, die Infos nur in der Double-Opt-In Mail aufzunehmen statt schon im Formular? Vor der Bestätigung ist der User ja nicht in der „Liste“.

    Viele Grüße, Ina

  6. Hallo Herr Schwenke,
    endlich mal ein pragmatischer Beitrag zum Thema Datenschutz und Recht im Email Marketing. Ich werde immer wieder nach Empfehlungen gefragt, da ich aber kein Jurist bin ist meine Aussage im Zweifel nicht rechtssicher gewesen, sondern eher auf Best Practices aufgebaut. Zukünftig werde ich in solchen Fragestellungen gerne auf Ihren Artikel verweisen.
    Beste Grüße
    Sebastian Kluth

  7. Hallo,

    wie ist der Prozess denn bei Transaction Mailings, z.B. Account Einladungen, Passwort vergessen, usw…

    Danke und beste Grüße, Christine

    1. Werden auch hier Mail-Dienstleister verwendet sollten entsprechende Hinweise schon bei der Registrierung erfolgen (ich kenne es z.B. so beim Einsatz von Mandril, also dem Pendant zu MailChimp für Transaktionsmails).

  8. Hallo Herr Schwenke,

    wie ist das bei Pop ups, in denen man sich mit der EmailAdresse zur Teilnahme an einem Event anmeldet? An diese Emailadresse werden später mal auch Newsletter versendet. Muss hier das extra Kontrollkästchen eingefügt werden? Stichwort Ausdrücklich.?

  9. Sehr geehrter Herr Schwenke
    Herzlichen Dank für Ihre ausführliche Stellungnahme, die uns viel Zeit und Arbeit erspart. Wir führen dieselben Diskussionen hierzulande und erachten Mailchimp als nicht 100pro sicher, selbst nach Unterzeichnung der entsprechenden Verträge.

  10. Super Artikel, vielen Dank!
    Mal wieder ’nen Haufen neue Sachen gelernt 😉

    Spitzenmäßige Arbeit!

    Wünsche noch einen wunderschönen Tag 🙂

    Liebe Grüße
    Natha

  11. Sehr interessant zu lesen und gleich mal eine mega Panik-Mache, oder?

    https://dsgvo-gesetz.de/art-45-dsgvo/ besagt, dass es ok ist, Daten in ein Drittland zu spielen, wenn der Angemessenheitsbeschluss vorliegt. Für die USA gibt es das.

    Und ich muss als Verantwortlicher meine Kunden/Leads nicht darüber informieren, welche Auftragsverarbeiter ich im Hintergrund nutze, nur über den Zweck.

    Sehe ich da was falsch?

      1. Ok, dann sehen Sie das schon richtig:

        13. 1) f) […] gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, […]

        Heißt aber auch, wenn ich Auftragsverarbeiter im Inland habe der nicht international Tätig ist, dann muss ich den Betroffenen nicht darüber informieren – außer der hat die Absicht, die Daten zu übermitteln, oder?

        Das heißt, wenn ich den Newsletter umstellen würde, dann müsste ich vorab alle Personen informieren, dass umgestellt wird und ein Opt-Out anbieten, oder alle rauswerfen und auffordern, sich neu anzumelden?

  12. Hallo Herr Dr. Schwenke,

    vielen Dank auch für diesen sehr informativen Artikel.
    Wiso dürfen/müssen bei Anwendungen zum Versand von Newslettern oder zur Marketing Automation (ich nutze dafür mautic, selfhosted in Germany) die IP-Adressen gespeichert werden, während der Einsatz von Google Analytics trotz Privacy Shield Abkommen und neuem Zusatz zur Datensicherheit nur mit Anonymisierung der IP-Adressen betrieben werden darf?
    Bin ich richtig informiert, dass mit dem 25. Mai 2018 und der Zustimmung des Zusatzes zur Datensicherheit mit Google zur Nutzung von Google Analytics kein Vertrag zur Auftragsdatenverarbeitung mehr abgeschlossen werden muss?

    Beste Grüße
    Lutz

  13. Guten Tag und vielen Dank für die ausführlichen Erklärungen.
    Wenn ich jetzt beispielsweise einen Newsletter versende, mit der Information der neuen Datenschutz-Richtlinien und der Anfrage für die Erlaubnis weiterhin Newsletter zu senden, darf ich diesen Newsletter dann mit einem Rabattcode verbinden?

    Vielen Dank und beste Grüsse

  14. DANKE für diesen laienfreundlichen, umfassenden, einfach super gut geschriebenen Artikel!
    Sogar ich (Null Ahnung vom Datenschutzrecht) bekomme mit diesen Tipps und famosen Werkzeugen das Gefühl, mit meiner kleinen Homepage und meinen Newslettern am 25. Mai nicht einfach nur kläglich abzusaufen.
    Sie sind mein Retter 🙂 Danke … !

  15. Hallo Herr Schwenke,
    Ich habe eine Frage zum Thema Freebie: Auf meinem Italienisch-Lern-Blog habe ich bisher Gratislektionen zum Download angeboten, als Dankeschön für die Eintragung in meinen Newsletter. Nun habe ich darüber unterschiedliche Meinungen gelesen, u.a., dass es nicht erlaubt ist, mit einem Freebie für die Eintragung in den Newsletter zu „locken“, wenn das Freebie anderweitig nicht erworben werden kann. Ich biete das Freebie nicht zum Kauf an und auch nicht zum freien Download auf meiner Seite. Darf ich noch erwähnen, dass die Gratislektionen zum Download bereitstehen, nachdem man sich in meinen Newsletter eingetragen hat?
    Vielen Dank für Ihre hilfreichen Artikel!

  16. Hallo Herr Dr. Schwenke,

    In der Datenschutzerklärung muss das Abonnieren von Kommentaren erwähnt werden. Wie aber sieht es aus, beim Abonnieren des gesamten Blogs (also der einzelnen Beiträge)? Ich habe dafür keine Einstellung im Datenschutz-Generator gefunden.

    Oder wird das genauso behandelt wie ein Newsletter und ich muss einfach den Newsletter Haken setzen?
    Vielen Dank im Voraus, Verena

  17. Hallo Herr Schwenke,

    MailChimp empfiehlt eine erneute Erlaubnis von den News Letter Abonnenten einzuholen. Ist das ihrer Meinung nach notwendig, wenn vorher schon ein Double-Opt-In Verfahren eingesetzt wurde?

    Beste Grüsse.

  18. Auch ich möchte mich an dieser Stelle für die kompetente und verständliche Erklärung bedanken. Hat uns die Anpassung sehr erleichtert und einiges Licht ins DSGVO-Dunkel gebracht.
    Beste Grüße

  19. Guten Tag Herr Schwenke,
    vielen Dank für den sehr informativen Artikel. Leider habe ich ihn erst gelesen, NACHDEM ich meine NL-Abonnenten dazu aufgefordert habe, sich erneut einzutragen… Ich hoffe, das wird mir nicht als Spamm angekreidet… 🙁
    Ich habe noch eine Frage zu dem Protokoll der Anmeldung. Aus meiner Sicht stellt Mailchimp das nicht automatisch zur Verfügung (zumindest nicht in der kostenlosen Variante). Wie genau muss ein solches Protokoll aussehen? Reicht das Datum der Anmeldung in meiner Abonnenten Liste? Sollte ich die Mail, die ich bekomme, wenn sich jemand neu in meine Liste einträgt, aufheben und evtl. ausdrucken bzw. abspeichern? Wie sieht also ein DSGVO konformes Protokoll aus?
    Wenn Sie erlauben, bewegt mich auch noch eine Frage zum Thema E-Mails. Ich nutze kein eigenes Mailprogram auf meinem PC, lade meine Mails also nicht runter, sondern bearbeite sie direkt auf meinem MailAccount auf der Seite von T-Online. Darüber laufen auch alle Mails meiner Internetseiten. Muss ich dann mit T-Online auch einen AVV-Vertrag schliessen?
    Vielen Dank für Ihre Antwort und Ihre tolle Arbeit.
    Liebe Grüße
    Hans-Jürgen Lahann

  20. Hallo Herr Dr. Schwenke,
    können Sie bitte ein kurzes Update zu den neuen GDPR Forms von Mailchimp geben?

    Wie sinnvoll sind diese? Was gibt es zu beachten?

    Lieben Gruß
    Sebastian

  21. Vielen Dank für den informativen Artikel.
    Wenn wir nun einen Newsletter versendet haben – wie lange darf ich damit rechnen, daß der Empfänger zustimmt (und damit seine Daten speichern)? Und ist es zulässig, eine Erinnerung zur Einwilligung zu senden?

    Freundliche Grüße
    Cl. Schneider

  22. Sehr interessanter und hilfreicher Artikel! Vielen Dank.

    Allerdings kann ich unter dem entsprechenden Link oben den „Data Processing Addendum“ Vertrag von MailChimp nirgendwo finden. Haben Sie da noch einen Tipp? MailChimp selbst habe ich bereits diesbezüglich angeschrieben.

    Ihre Website gefällt mir ausgesprochen gut!

    Mit freundlichen Grüßen
    Stefan Seifert
    Dipl.Des.

  23. Hallo, erstmal vielen Dank für diesen sehr interessanten Artikel. Wirklich hilfreich, tolle Arbeit!

    Wir haben unsere Subscriber Liste aktuell innerhalb eines selbstgehosteten CRMs, und überlegen nun, auf Mailchimp umzusteigen. Muss man dabei die Einverständniserklärung der aktuellen Subscriber einholen, bevor man die Adressen auf Mailchimp hochlädt und Mails versendet? Wie wäre da die beste Vorgehensweise?

    Viele Grüße
    Jörg

  24. Sehr geehrter Herr Dr. Schwenke,
    vielen Dank für die ausführliche Information zum DSGVO bezüglich Newsletter.
    Leider konnte ich keinen Hinweis finden ob bei Einsatz eines Newsletters-Plugin unbedingt https erforderlich ist. Ich betreue ehrenamtlich die Internetseite des Heimatvereins-Lohne. Dabei benutze ich unter WordPress das Newsletter-Plugin MailPoet. Abgefragt wird lediglich die Email-Adresse zum Versand eines Newsletter – kein Name oder Sonstiges. Dazu wird Email-Adresse in der WordPress-Datenbank gespeichert und kann vom Anmelder jederzeit wieder gelöscht werden. Einer weitergehende Benutzung der gespeicherten Email-Adresse ist ausgeschlossen.
    Da die Umstellung der Seite von http nach https sehr aufwendig ist und mit Risiken verbunden ist, möchte ich eine Umstellung vermeiden.
    Für eine Auskunft wäre ich dankbar.
    Mit freundlichen Grüßen,
    Werner Honkomp

  25. Hallo,

    sehr guter Artikel. Bleibt die Frage, wie ich mir eine Einwilligungserklärung derjenigen Rezipienten einhole, die ich über Visitenkarten in den Verteiler gespeist habe. Muss ich dafür noch einmal eine Extra Mailchimp Kampagne starten?

    LG

    Ben

  26. Vielen Dank für die sehr aufschlussreichen Beitrag.
    Wissen Sie wie lange Mailchimp die nicht-bestätigten E-Mail Adressen speichert?

  27. Das Beispiel ist nicht möglich umzusetzen, da Mailchimp den ganzen Double Opt In Kram AUSSCHLIEßLICH für die Anmeldemasken von Mailchimp anbietet. Das gezeigte Beispiel kann so gar nicht gestaltet werden, da Mailchimp an das Formular ZWINGEND IMMER die Zustimmung für die Verwendungsart (z.B. direkte Email, Marketing…) und den Mailchimp Footer anhängt.

    Das im Beispiel gezeigte Formular kann unmöglich rechtssicher eingesetzt werden, da es sich um ein eigenes Formular das per API arbeitet handeln muss und Mailchimp dafür DoubleOptIn ausschließt.

    https://mailchimp.com/help/about-double-opt-in/

    Dort steht: “ Note

    Double opt-in can only be enabled for Mailchimp signup forms.“

    Damit fällt der ganze Kram hier in dem Beitrag flach.

  28. Guten Abend,

    Vielen Dank für den Artikel – kleine Frage:

    – warum verwenden sie die „GDPR Fields“ von MailChimp nicht?
    – ein Bestätigungs Radiobutton / Checkbox o.ä. ist nicht notwendig?
    – ist ein double opt-in Verfahren in jedem Fall ausreichend?
    – Wie kann ich später beweisen dass es double opt-in war? Mailchimp zeigt mir ja nu an wann eine Adresse hinzugefügt wurde. In meinem Fall via „API“

    Beste Grüße

    1. a) Weil ich die Angaben manuell erstelt habe, als es die Fields noch nicht gab (werde ich demnächst ändern).
      b) Nicht notwendig, wenn nur eine Einwilligung für den NL eingeholt wird.
      c) DOI ist ausreichend und notwendig.
      d) Der Nachweis erfolgt mittels der Log-Verlaufs bei Mailchimp.

  29. Vielen Dank für diesen Artikel,
    kann ich wie freiberufliche Fotograf, emails Adresse von offene Kanäle sammeln, wie zum Beispiel Berlin.de (alle sind info@… und das ist Immobilien oder Artzte),und dann so wie ein Vorstellung email Schiken?

  30. Moin moin,
    zunächst einmal ein echt toller und ausführlicher Bericht.
    Mir war mal zu Ohren gekommen, dass wenn ein Newsletter nicht regelmäßig (einmal im Jahr oder weniger) erscheint, das auch ein Abmahngrund sein kann.
    Wissen Sie ob das so ist, oder reicht es im Grunde aus, Ihre Tipps und Tricks anzuwenden? 🙂
    Viele Grüße
    Dustin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen