Kanzlei Dr. Thomas Schwenke

Rechtsberatung für Datenschutz, Social Media, Marketing, E-Commerce & AGB & Verträge

MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing

Von thomas.schwenkeBeitrag veröffentlicht am Beitrag gepostet in Datenschutz, Email-Marketing, Uncategorized, WettbewerbsrechtTags , , , , , , , ,

Auch mit der Datenschutzgrundverordnung bleibt die grundsätzliche Pflicht zur Einholung einer Einwilligung im Rahmen des Versandes von Newslettern bestehen. Was sich jedoch ändert sind die Erlaubnis- und Informationsgrundlagen, weshalb nunmehr Nutzer genauer über die Verarbeitung ihrer Daten informiert werden sollten.

Ein blankes Newsletterformular ist daher risikoträchtig und auch wenn es oft die Optik stört, empfehle ich die Nutzer entsprechend den folgenden Hinweisen zu unterrichten. Zuvor beantworte ich jedoch die Frage, ob MailChimp überhaupt genutzt werden darf.

Darf Mailchimp überhaupt verwendet werden?

Wenn Sie ein US-Unternehmen damit beauftragen die E-Mail-Adressen Ihrer Abonnenten zu verarbeiten, dann müssen Sie die folgenden beiden Voraussetzungen erfüllen:

  • Auftragsverarbeitungsvertrag abschließen: Der Vertrag muss gem. Art. 28 DSGVO geschlossen werden und verpflichtet MailChimp die personenbezogenen Daten Ihrer Empfänger nur entsprechend Ihren Weisungen zu verarbeiten. MailChimp bietet einen solchen Auftragsverarbeitungsvertrag an und hat ihn ab dem 15. Mai 2019 als Teil der AGB aufgenommen. Sie müssen ihn daher nicht (mehr) gesondert abschließen.
  • Gewährleistung des Datenschutzniveaus: Bei Unternehmen außerhalb der EU bedarf es zusätzlich einer Gewährt, dass die Daten in dem sog. „Drittland“ genauso sicher sind wie in der EU. Diese Garantie bietet MailChimp, da der Dienst unter dem EU/Schweiz-US-Privacy-Shield zertifiziert ist.

[sc name=“tshinweisboxBEGIN“]Wirksamkeit des Privacy-Shields: Das Privacy Shield ist umstritten und könnte in der Zukunft aufgehoben werden. Daher erstrecken manche die Einwilligung in den Versand des Newsletters auch auf den Einsatz von MailChimp. Das Problem dabei ist, dass die Einwilligung beim Providerwechsel eine neue Einwilligung benötigt. Daher empfehle ich MailChimp nicht auf Grundlage einer Einwilligung, sondern auf Grundlage Ihrer berechtigten Interessen am effizienten und sicheren E-Mail-Versand (Art. 6 Abs. 1 lit. f DSGVO) einzusetzen. Zumal wir den Verlust eines solchen Abkommens mit der Aufhebung des Safe Harbor-Abkommens durch den Europäischen Gerichtshof im Jahr 2015 erlebt haben. Wie auch damals, gehe ich ebenfalls in diesem Fall davon aus, dass die rein faktische Notwendigkeit der Datentransfers zwischen den USA und Europa, zu einem Super-Privacy-Shield o.ä. kreativ bezeichnetem Abkommen führen wird.[sc name=“tshinweisboxBEGIN“]

Dürfen Newsletter-Öffnungsquoten und Linkklicks der Empfänger gemessen werden?

Wenn Sie in einem größeren Rahmen Newsletter versenden und hierfür auch Geld bezahlen, dass Sind Sie im Regelfall auch an der Messung der Erfolgsquotten und den Erwatungen Ihrer Nutzer interessiert. (Mailchimp Statistik))
Wenn Sie in einem größeren Rahmen Newsletter versenden und hierfür auch Geld bezahlen, dann sind Sie im Regelfall auch an der Messung der Erfolgsquoten und Beliebtheit Ihrer Inhalte bei den Lesern interessiert.

Das Problem ist zunächst, dass diese Statistiken nicht pseudonym erfolgen, sondern zu jedem anhand der E-Mail-Adresse individualisierbarem Empfänger gespeichert wird, wann er den Newsletter öffnete und wann er welchen Link klickte. Das ist ein Vorgang, der nur dann zulässig ist, wenn die Empfänger über ihn vorab zumindest deutlich informiert werden.

Ob diese Information alleine ausreicht, sind sich die Experten nicht einig:

  • Information ist ausreichend: Vertreter liberaler Ansichten meinen, dass lediglich der Hinweis auf die Erfolgsmessung im Onlineformular genügt (für manche reicht es auch schon aus, dass der Hinweis in der Datenschutzerklärung steht). Dann „weiß der Nutzer was er tut“, bevor er sich anmeldet. Dann erfolgt die Erfolgsmessung auf Grundlage berechtigter Interessen des Versenders (Art. 6 Abs. 1 lit. f DSGVO). Die Schutzinteressen der Nutzer wiegen mehr, da er ja auf die Erfolgsmessung hingewiesen wurde.
  • Einwilligung umfasst die Erfolgsmessung: Der Unterschied zu der Methode zuvor ist, dass Sie statt sich auf ein berechtigtes Interessen gem. Art. 6 Abs. 1 lit. f DSGVO zu berufen, dem Nutzer erklären, dass seine Einwilligung die Erfolgsmessung mitumfasst. Der Vorteil ist, dass in dem Fall eine Abwägung mit den Schutzinteressen der Nutzer entfällt.
  • Extra Opt-In für die Erfolgsmessung: Einige Datenschützer meinen seit je her, dass es für diese Erfolgsmessung eine eigene Checkbox geben muss. D.h. die Nutzer sollten entscheiden können, ob sie den Newsletter mit oder die Erfolgsmessung beziehen. Die Datenschützer beziehen sich dabei auf das Kopplungsverbot des. Art. 7 Abs. 4 DSGVO und meinen, dass die Einwilligung in die Erfolgsmessung sonst erzwungen wäre, weil der Nutzer den Newsletter sonst nicht abonnieren kann.

Ich persönlich empfehle die mittlere Version, also die Einwilligung in die Erfolgsmessung. Die erste Variante halte ich ebenso für Vertretbar, wenn die nutzer im Anmeldeformular zum Newsletter auf die Erfolgsmessung hingewiesen werden. Dann ist sie m.E. für sie bei der Anmeldung vorhersehbar und vernünftigerweise erwartbar (s. Erwägungsgrund 47 zur DSGVO)

Ich denke, dass das Kopplungsverbot hier nicht einschlägig ist, da keine echte Zwangslage vorliegt. Es sei denn, Ihr Newsletter ist so einzigartig, dass Nutzer sich innerlich gezwungen fühlen werden, die Erfolgsmessung widerwillig zu akzeptieren. D.h. sie werden keine echte Wahl haben.

Persönlich kenne ich keinen solchen Newsletter und halte diese Kopplung daher generell für zulässig. Aber natürlich ist es immer sicherer, auf die Datenschutzbehörden zu hören.

[sc name=“tshinweisboxBEGIN“]Trackingpflicht bei Mailchimp: Das Tracking der Nutzer und damit Ihre Erfolgsmessung können Sie nur in der kostenpflichtigen Version von MailChimp abstellen. Allerdings dürfte die Erfolgsmessung gerade dann besonders wichtig werden, wenn Ihr Empfängerstamm die 2.000er-Kostenlosgrenze überschritten hat.[sc name=“tshinweisboxEND“]

Kopplung von E-Book oder Gewinnspielen an ein Newsletterabonnement

Das im Rahmen der Erfolgsmessung behandelte Kopplungsverbot, wird auch als Argument gegen die Vorschaltung eines Newsletterabonnements vor den Download eines „Gratis-E-Books“ oder der Teilnahme an einem Gewinnspiel vorgebracht.

Doch genauso sehe ich auch hier keine innere Zwangslage, auch nicht bei Minderjährigen (wobei deren Einwilligungen in Deutschland ohnehin erst ab 16 Jahren (Art. 8 Abs. 1 DSGVO) und in Österreich ab 14 Jahren (Art. 8 Abs. 1 DSGVO, § 4 Abs. 4 DSG) wirksam sind).

Dazu muss man bedenken, dass ein Kaufanreiz mit Goldbarren bei Minderjährigen zumindest von deutschen Behörden für zulässig erachtet wurde. Sofern Ihr E-Book nicht mehr wert ist als ein Goldbarren, ist dessen Kopplung an ein Newsletterabonnement m.E. zulässig.

Woran Sie jedoch denken sollten, ist ein Hinweis auf diese Kopplung schon auf der Einstiegsseite hinzuweisen. D.h., nicht erst, wenn der Nutzer z.B. schon Formularfelder ausgefüllt hat und sich dadurch ggf. zum Newsletterabonnement gezwungen fühlen wird (das sagt auch die Datenschutzkonferenz 6/2017, S. 2).

Double Opt-In und Protokollierung

Ohne das Double-Opt-In-(DOI)-Verfahren werden Sie nicht nachweisen können, dass die Inhaber der E-Mail-Adresse selbst Ihren Newsletter abonniert haben (Nachweispflicht, s. Art. 7 Abs. 1 DSGVO). Es könnte ja sonst jemand Drittes die E-Mail-Adresse eingetragen haben. Nur wenn der Inhaber der E-Mail-Adresse eine Bestätigungsmail erhält und den darin enthaltenen Aktivierungslink klickt, haben Sie einen Nachweis seiner Einwilligung.

Ferner müssen Sie den Zeitpunkt der Anmeldung aus Nachweisgründen speichern und nach meiner Erfahrung ist es auch empfehlenswert, die IP-Adresse der Abonnenten mitzuspeichern (so zumindest meine Erfahrung im Hinblick auf Glaubwürdigkeit in der Praxis). Wenn Sie Mailchimp nutzen, dann wird die IP-Adresse ohnehin gespeichert. Ferner sollten Sie protokollieren, wie der Inhalt der Bestätigungsemails in einem bestimmten Zeitraum aussah, z.B. durch Zusendung an Mitarbeiter oder sonstige Zeugen, bzw. Protokolle oder gleich deren Speicherung pro Nutzer, wenn Ihr Versandsystem dies anbietet.

[sc name=“tshinweisboxBEGIN“]Inhalt der Bestätigungsmail: Neben dem Aktivierungslink sollte die Bestätigungsmail die Informationen aus dem Anmeldeformular wiederholen und auf keinen Fall werbliche Inhalte enthalten.[sc name=“tshinweisboxEND“]

Was muss im Anmeldeformular stehen?

Beispiel der Nutzerinformationen im Anmeldeformular meines Newsletters.
Beispiel der Nutzerinformationen im Anmeldeformular meines Newsletters.

Das Anmeldeformular muss quasi einen „Teaser“ für die vollständige Datenschutzerklärung darstellen. D.h. es sollte die für die Einwilligung der Nutzer wesentlichen Punkte enthalten.

Dazu gehören vor allem:

  • Der Inhalt des Newsletters: Die Inhaltsbeschreibung sollte nicht zu eng gefasst sein (lautet sie z.B. „Gewinnspiele“, dann dürfen Sie künftig nur noch Newsletter zu Gewinnspielen versenden). Auch darf der Inhalt nicht zu weit gefasst sein (Angaben wie „Interessante Informationen“ oder „Werbenachrichten“ wären als Einwilligungsgrundlage zu pauschal und unzulässig). Am besten beschreiben Sie Ihre Leistungen oder schreiben sinngemäß grob zusammenfassend, z.B.: „Informationen zu unseren Leistungen, Produkten, unserem Unternehmen und Themen zum Marketingrecht„.
  • Andere Angaben als die E-Mail-Adresse: Bitte begründen Sie, warum Sie andere Angaben als die E-Mail-Adresse fordern (z.B. dass Namen zwecks Personalisierung der Newsletter benötigt werden).
  • Die Erfolgsmessung: Weisen Sie bitte schon im Onlineformular auf diese hin, ansonsten wird sie von der Einwilligung im Zweifel nicht mitumfasst. Nutzer müssen wissen, in was sie einwilligen.
  • Einsatz von MailChimp: M.E. nicht erforderlich, da Nutzer mit dem Einsatz eines Versanddienstleisters rechnen können. Aber um ganz sicher zu gehen, weisen Sie auf MailChimp hin.
  • Die Protokollierung der Anmeldung: Auch hier ist m.E. ein Hinweis nicht notwendig, da Sie zu der Protokollierung sogar gesetzlich gezwungen sind. Allerdings empfehle ich den Hinweis, wenn die IP-Adresse gespeichert wird (wie bei MailChimp).
  • Die Widerrufsmöglichkeit: Sie sollten die Abonnenten darauf hinweisen, dass sie deren Einwilligung widerrufen können.

Je genauer die Angaben, desto sicherer das Formular. Ich halte z.B. die folgenden Angaben für mehr als ausreichend:

Das ist nur ein Beispiel einer möglichen Gestaltung eines Newsletter-Anmeldeformulars. Den Text können Sie natürlich anpassen, solange er die o.g. Informationen enthält.
Das ist nur ein Beispiel einer möglichen Gestaltung eines Newsletter-Anmeldeformulars. Den Text können Sie natürlich anpassen, solange er die o.g. Informationen enthält.

Details in der Datenschutzerklärung

In dem Datenschutz-Generator können Sie sich sich ein Newslettermuster für Ihre Datenschutzerklärung (bzw. die ganze Datenschutzerklärung zusammenstellen). Für Prüvatpersonen, z.B. Blogger oder für Kleinunternehmer kostenlos.
Im Datenschutz-Generator können Sie sich die Newsletter-Passage für Ihre Datenschutzerklärung (bzw. die ganze Datenschutzerklärung) zusammenstellen. Für Privatpersonen, z.B. Blogger oder für Kleinunternehmer, ist die anschließende Nutzung kostenlos.

Die Teaser im Onlineformular reichen alleine nicht aus, deswegen werden die Interessenten auf die Datenschutzerklärung hingewiesen. Dort beschreiben Sie die einzelnen Verarbeitunsgvorgänge detailliert und mit allen nach der DSGVO erforderlichen Angaben, wie den Rechtsgrundlagen, Speicherdauer der Daten, Angaben zum Versanddienstleister, Beschreibung der Erfolgsmessung, etc.

Die Datenschutzerklärung sollte abhängig von der konkreten Ausgestaltung und je nach dem gewählten Optionen (mit Erfolgsmessung oder ohne), Versanddienstleister und der Art der Protokollierung ausgestaltet werden.

Da alle Optionen diesen Beitrag sprengen würden, finden Sie in meinem Datenschutz-Generator eine Möglichkeit, sich eine passende Datenschutzerklärung zusammenzustellen.

Checkliste für rechtssicheren Newsletterversand

Bitte prüfen Sie, ob Ihr Newsletter die folgenden Voraussetzungen erfüllt.

  • Im Fall eines Versanddienstleisters
    • Abschluss eines Auftragsverarbeitungsvertrages.
    • Prüfung Garantie bei Drittländern (z.B. Privacy Shield bei US-Unternehmen).
  • Double-Opt-In-Verfahren.
    • Protokollierung der Anmeldung.
    • Bestätigungsmails ohne werbliche Inhalte.
  • Information der Nutzer im Onlineformular („Teaser“).
    • Über den Inhalt der Newsletter.
    • Über etwaige Erfolgsmessung.
    • Über Zweck anderer Angaben als der E-Mail-Adresse.
    • Über den Versanddienstleister (m.E. optional).
    • Über die Protokollierung der Anmeldung.
    • Über das Widerrufsrecht (sollte per Linkklick umsetzbar sein).
    • Über Kopplung mit Gewinnspielen, E-Books, etc.
  • Verweisen Sie auf die Detailinformationen im Newsletter.

[sc name=“tshinweisboxBEGIN“]Rechtsfolgen bei Verstoß: Wie bisher drohen Bußgelder der Aufsichtsbehörden und Abmahnungen. Neu ist, dass Empfänger einen immateriellen Schadensersatz (also eine Art „Schmerzensgeld“ für erlittene Verletzung der eigenen Datenschutzrechte) fordern können, über dessen Höhe die Gerichte noch zu befinden haben werden (Art. 82 DSGVO).[sc name=“tshinweisboxEND“]

Fazit und Praxistipps

Natürlich kann man sich darüber diskutieren, ob der Einsatz eines europäischen Dienstleisters, z.B. CleverReach, Mailjet, Newsletter2Go oder Rapidmail nicht empfehlenswerter wäre. Unabhängig von dieser Diskussion halte ich den Einsatz von US-Dienstleistern für zulässig, wenn sie sich an die Spielregeln des EU-Datenschutzrechts halten.

Und solange Sie es auch tun und in die obigen Ratschläge befolgen, dann können Sie auch noch nach der DSGVO rechtssicher Newsletter versenden.

[sc name=“tshinweisboxBEGIN“]Hinweis zum DSGVO-Re-Opt-In: Derzeit werden viele Hinweise auf neue Datenschutzerklärungen versendet. Das wird seitens der Art. 29 Gruppe, also des Beratergremiums der EU in Sachen Datenschutz zumindest im Fall bestehender Einwilligungen sogar empfohlen. Was jedoch rechtlich nicht zulässig ist, ist fehlende oder unzulässige Einwilligungen „nachzuoptieren“, also um die „Bestätigung“ einer (tatsächlich nicht vorhandenen) Einwilligung zu bitten. In diesem Fall ist schon die Frage nach dem Opt-In rechtlich als Spam zu qualifizieren. Nach meiner Erfahrung aus der Praxis, fällt dies jedoch kaum einem Empfänger im Hagel solcher Anfragen auf (wobei dies kein Ratschlag ist rechtswidriges E-Mails zu versenden). Die Opt-In-Quoten sind jedoch dementsprechend gering, häufig nur zwischen 5 – 10%. Falls Sie bereits nachweisbare Einwilligungen eingeholt hatten, ist die Bitte um eine Bestätigung der Einwilligung, ohnehin nicht notwendig.[sc name=“tshinweisboxEND“]

Mein Newsletter

Falls Ihnen dieser Beitrag gefallen hat, würde ich mich freuen, wenn Sie auch meinen Newsletter abonnieren. Mit ihm helfe ich Ihnen Risiken im Marketing-, Datenschutz- und Vertragsrecht zu erkennen und zu vermeiden.

mail-dr-schwenke-header-image4

Tipp in eigener Sache:

DSGVO-Datenschutzerklärung-Generator mit kostengünstiger Lizenz für Unternehmen, Shops, Agenturen, Makler, Praxen, kostenlos für Privatpersonen, z.B. Blogger und kleine Unternehmen.

Hinweis: Dieser Beitrag wurde am 24.05.2019 aktualisiert (Verweis auf die Aufnahme des Auftragsverarbeitungsvertrages in die AGB von MailChimp).

MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing
Nach oben scrollen