E‑Mail-Marketing, das verkauft: Treffen Sie CleverReach auf der E-Commerce Expo in Berlin
 Jetzt Kontakt aufnehmen
Menü
Newsletter Datenschutz und DSGVO

Newsletter DSGVO-konform versenden: So gelingt Ihnen rechtssicheres E-Mail-Marketing

Joana Rüdebusch
SEO Managerin & Content Creator
DSGVO-konforme Newsletter mit CleverReach

Beim Newsletter-Datenschutz tappen Sie noch im Dunkeln? Wir geben Ihnen einen Überblick über die Grundprinzipien rechtssicherer und DSGVO-konformer Newsletter.

Newsletter sind zurecht ein unverzichtbares Marketinginstrument. Sie helfen Unternehmen, ihre Kundschaft zu erreichen, Beziehungen zu pflegen und den Umsatz zu steigern. Doch bei einem Thema herrscht immer wieder Unsicherheit: Newsletter und der Datenschutz. Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 sind die Anforderungen an den Versand von Newslettern gestiegen. Und damit auch die Sorge bei Versendern, aus Versehen etwas falsch zu machen.

In diesem Artikel geben wir Ihnen einen Überblick über die wichtigsten Aspekte für DSGVO-konformes E-Mail-Marketing.

Inhalt

In aller Kürze: Was ist die DSGVO?

Die EU-DSGVO ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten regelt. Sie wurde eingeführt, um den Datenschutz von natürlichen Personen zu stärken und zu vereinheitlichen. Unternehmen müssen seitdem strenge Richtlinien befolgen, wenn sie personenbezogene Daten sammeln und verarbeiten. Dazu gehören natürlich auch die Daten, die für den Versand von Newslettern verwendet werden.

Warum ist DSGVO-Konformität und Datenschutz bei Newslettern wichtig?

Die Nichteinhaltung der DSGVO kann schwerwiegende Folgen haben, darunter hohe Geldstrafen und ein erheblicher Reputationsschaden. Für europäische Unternehmen, die Newsletter versenden, ist es daher entscheidend, alle Anforderungen zu erfüllen, um das Vertrauen ihrer Abonnenten zu gewinnen und rechtliche Konsequenzen zu vermeiden. Newsletter und DSGVO sollten daher immer Hand in Hand gehen.

Doch keine Sorge: Wir haben einen Überblick über die Richtlinien, um E-Mail-Marketing in Einklang mit der DSGVO zu bringen und Newsletter datenschutzkonform zu versenden.

Die Grundprinzipien DSGVO-konformer Newsletter

1. Auswahl eines DSGVO-konformen Newsletter-Tools

Der erste Schritt, Newsletter DSGVO-konform zu erstellen, ist die Auswahl eines rechtssicheren E-Mail-Marketing-Tools. Achten Sie dabei auf folgende Punkte:

  • EU-Serverstandort:

Überprüfen Sie, ob der Anbieter alle Datenschutzanforderungen erfüllt und seine Server innerhalb der EU betreibt.

Entsprechend der DSGVO-Vorgaben (Art. 44 ff.) ist eine Verarbeitung von personenbezogenen Daten außerhalb der EU nicht ohne Weiteres möglich. Eine Übermittlung personenbezogener Daten an ein unsicheres Drittland darf nur auf der Grundlage eines Angemessenheitsbeschlusses erfolgen.

  • Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag):

AV-Vertrag Muster

Ein AV-Vertrag ist notwendig, wenn Sie personenbezogene Daten durch einen Dienstleister, also in diesem Fall ein Newsletter-Tool, verarbeiten lassen. Dieser Vertrag stellt sicher, dass auch der Dienstleister alle datenschutzrechtlichen Vorgaben einhält.

Gut zu wissen:
CleverReach erfüllt die Anforderungen an ein datenschutzkonformes Newsletter-Tool. Alle Daten werden DSGVO-konform auf Servern in Deutschland oder der EU gespeichert. Den AV-Vertrag können Sie ganz einfach direkt im CleverReach-Account erstellen und digital abschließen.

2. DSGVO-konformer Newsletter-Versand nur mit Einwilligung

Ein zentrales Element für DSGVO-konformes E-Mail-Marketing ist die Einholung der ausdrücklichen Einwilligung der Empfänger für den Erhalt von Newslettern. Versenden Sie unaufgefordert Werbemails, gilt das als „unzumutbare Belästigung“ und ist ein Verstoß gegen das Wettbewerbsrecht (§ 7 Abs. 2 Nr. 3 UWG) und die DSGVO.

Um die ausdrückliche Einwilligung der Empfänger einzuholen, hat sich das Double-Opt-in-Verfahren etabliert:

  • Double-Opt-in (DOI):

Am einfachsten und sichersten holen Sie die Einwilligung zum Newsletter über das Double-Opt-in-Verfahren. Nach der Eingabe der E-Mail-Adresse im Anmeldeformular erhält die interessierte Person eine Bestätigungs-E-Mail, in der sie den Empfang des Newsletters nochmals bestätigen muss. Dies verhindert Missbrauch und stellt sicher, dass die Einwilligung tatsächlich vom E-Mail-Inhaber stammt.

  • Protokoll- und Nachweispflicht:

Dokumentieren Sie den gesamten Anmeldeprozess, einschließlich IP-Adresse, Datum und Uhrzeit der Anmeldung sowie der Bestätigung. Diese Informationen dienen im Falle einer Prüfung oder Beschwerde als Nachweis.

  • Kopplungsverbot:

Nach dem Kopplungsverbot (geregelt in Art. 7 Abs. 4 DSGVO) muss die Einwilligung zum Erhalt des Newsletters freiwillig sein und darf nicht erzwungen werden. Sie dürfen die Erbringung einer Leistung oder den Abschluss eines Vertrags also nicht davon abhängig machen, dass sich jemand gleichzeitig zum Newsletter anmeldet.

Manchmal kann eine Kopplung unter bestimmten Voraussetzungen zulässig sein (z. B. „Daten gegen Leistung“). Dann muss die Kopplung sehr transparent kommuniziert und der Nutzer informiert werden, dass er mit seinen Daten für die Leistung bezahlt. Lassen Sie sich hier am besten von Ihrem Datenschutzbeauftragten für Ihren konkreten Fall beraten.

  • Keine Werbung in der DOI-Mail:

Die Bestätigungs-E-Mail darf ausschließlich zur Bestätigung des Anmeldevorgangs dienen und keine zusätzlichen Werbeinhalte enthalten; hierfür ist in der Willkommensmail Platz.

Gut zu wissen:
Das DOI-Verfahren ist bei CleverReach Standard in allen Anmeldeformularen. Sie können in einem übersichtlichen Prozess die Double-Opt-in-Mail und die Bestätigungsseite ganz flexibel anpassen und gestalten. Der erfolgreiche Double-Opt-in wird automatisch dokumentiert und kann bei Bedarf heruntergeladen werden.

3. DSGVO-konformes Anmeldeformular

Auch beim Anmeldeformular gibt es ein paar Dinge zu beachten, um die Anmeldung zu Ihrem Newsletter DSGVO-konform und rechtssicher abzuwickeln.

  • Datenminimierung:

Die E-Mail-Adresse darf das einzige Pflichtfeld im Anmeldeformular sein. Zusätzliche Informationen wie der Name oder Geburtstag können freiwillig erhoben werden, dürfen aber nicht verpflichtend sein.

  • Hinweise zur Datenerhebung:

Erklären Sie transparent, warum und welche Daten erhoben werden, welche Widerrufsmöglichkeiten es gibt und wie lange die Daten gespeichert werden.

Ratsam ist eine Checkbox, die vor dem Abschicken des Anmeldeformulars aktiviert werden muss.

Mustertext (bitte prüfen Sie diesen):
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produkt- neuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden oder Ihre Einwilligung jederzeit per E-Mail an muster@beispiel.com widerrufen. Ihre Daten werden nach Beendigung des Newsletter-Empfangs innerhalb von XX Monaten gelöscht, sofern der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
  • Link zur Datenschutzerklärung:

Verlinken Sie im Anmeldeformular und in der Double-Opt-in-Mail auf Ihre Datenschutzerklärung. Diese sollte klar und verständlich Hinweise zur Datenverarbeitung im Newsletter geben:

  • verwendete Newsletter-Software und vorliegender AV-Vertrag
  • Zweck und Art der Datenerhebung
  • Speicherdauer und Speicherort
  • etwaige Tracking-Maßnahmen, wenn Öffnungen/ Klicks personalisiert ausgewertet werden
  • Widerrufsmöglichkeit bei Einwilligung
  • Betroffenenrechte: Recht auf Datenauskunft und Löschung/ Sperrung etc.
Tipp: Lesen Sie für mehr Inspiration und Tipps unseren Artikel zur DSGVO-konformen Newsletter-Anmeldung.

4. Einfache Newsletter-Abmeldung

Gemäß der EU-DSGVO müssen Abonnenten jederzeit die Möglichkeit haben, ihre Einwilligung zur Datenverarbeitung zu widerrufen und sich vom Newsletter abzumelden.

  • Abmeldelink:

Jeder Newsletter muss einen klar sichtbaren Abmeldelink enthalten. Dieser sollte die Abmeldung ohne Hürden oder zusätzliche Schritte ermöglichen.

  • Einfache Abmeldung:

Die Abmeldung darf nicht komplizierter als die Anmeldung sein. Die Angabe von Abmeldegründen darf nicht verpflichtend sein.

  • Sofortige Wirksamkeit der Abmeldung:

Sobald ein Abonnent den Abmeldelink klickt, sollte die Abmeldung sofort wirksam sein und keine weiteren Newsletter verschickt werden.

Gut zu wissen: Alle CleverReach-Vorlagen enthalten bereits einen Abmeldelink im Footer. Im Formular-Editor können Sie ganz einfach ein DSGVO-konformes Abmeldeformular erstellen.

5. Inhalt des Newsletters

Der Inhalt Ihres Newsletters muss sich mit der erteilten Einwilligung der Empfänger bei der Newsletter-Anmeldung decken. Verwenden Sie die Daten nur für die angegebenen Zwecke. Überprüfen Sie regelmäßig die Inhalte Ihrer Newsletter-Kampagnen, um sicherzustellen, dass sie weiterhin den Einwilligungen der Abonnenten entsprechen.

Zusatztipp: Impressumspflicht

Zugegeben, die Impressumspflicht ist nicht Bestandteil der DSGVO, sondern im Digitale-Dienste-Gesetz (DDG) geregelt. Nichtsdestotrotz ist es eine rechtliche Anforderung an Newsletter-Versender, ein Impressum in digitalen Veröffentlichungen bereitzustellen.

Ihr Newsletter sollte daher immer ein vollständiges Impressum enthalten, das Angaben wie den Unternehmensnamen, die Adresse, Kontaktinformationen und die Umsatzsteuer-Identifikationsnummer (sofern vorhanden) umfasst.

Gut zu wissen: Bei CleverReach können Sie ohne ein hinterlegtes Impressum nicht versenden; damit schützen wir Sie vor rechtlichen Konsequenzen. Jede Newsletter-Vorlage enthält zudem bereits einen Platzhalter für Ihr zentral gepflegtes Impressum.

Checkliste: Newsletter DSGVO-konform versenden

Die Einhaltung der DSGVO-Anforderungen beim Versand von Newslettern ist unerlässlich, um rechtliche Konsequenzen zu vermeiden und das Vertrauen Ihrer Abonnenten zu stärken.

Durch die Auswahl eines DSGVO-konformen Newsletter-Tools wie CleverReach, die Einholung der notwendigen Einwilligung (DOI) und die Umsetzung transparenter Datenschutzrichtlinien schaffen Sie eine solide Basis für erfolgreiches und rechtssicheres E-Mail-Marketing.

CleverReach unterstützt Sie dabei mit umfassenden Funktionen und Hilfestellungen, um Ihre Newsletter DSGVO-konform zu gestalten und zu versenden.

Tipp: Sie verwenden WordPress als CMS-System für Ihre Website? Wir erklären Ihnen, wie DSGVO-konformes Newsletter-Marketing für WordPress funktioniert.

Jetzt DSGVO-Checkliste kostenlos herunterladen

Damit Sie nichts vergessen, haben wir Ihnen eine übersichtliche Checkliste für DSGVO-konforme Newsletter erstellt. Jetzt kostenlos herunterladen und Punkt für Punkt abhaken!

Zum Download

Häufige Fragen zum Datenschutz im E-Mail-Marketing

Gerrit Mesch

DSGVO-Sprechstunde mit Dr. Gerrit Mesch

Rechtsanwalt Dr. Gerrit Mesch beantwortet häufige Fragen rund um das Thema DSGVO im E‑Mail-Marketing.

Wichtiger Hinweis: „Der Konsum dieses allgemeinen Textes ersetzt nicht die erforderliche rechtliche Beratung im Einzelfall. Sie handeln insoweit auf eigene Gefahr. Fragen Sie im Zweifel bitte immer einen Anwalt bzgl. Ihres konkreten Einzelfalles.“

Gilt die DSGVO auch außerhalb der EU?

  • Art. 3 DSGVO stellt auf die Europäische Union ab.
  • Die Macht, den Datenschutz etwa in Asien oder Nordamerika zu regeln, hat die EU nicht.
  • Art. 3 DSGVO enthält ein Marktortprinzip: danach gilt die DSGVO auch für Unternehmen in Drittländern, wenn diese Waren oder Dienstleistungen für EU-Bürger anbieten.

Darf ich E-Mail-Adressen verwenden, die öffentlich sind?

Grundsätzlich muss die Einwilligung für den konkreten Fall erteilt werden. Damit ist nicht gemeint, dass die Einwilligung bezogen auf jede einzelne Werbeaussendung erneut erteilt werden muss. Allerdings muss die Einwilligung (auch) auf die konkrete Werbeaussendung bezogen sein. An einer Einwilligung für den konkreten Fall fehlt es etwa, wenn ein Fußballverein seine E‑Mail-Adresse auf der Website veröffentlicht hat (BGH, NJW 2008, 2999 – FC Troschenreuth). Der Verein erwartet allenfalls Anfragen zum Spielbetrieb oder Vereinsaktivitäten, nicht jedoch zu vereinsfremden Leistungen.

Ist der unaufgeforderte E-Mail-Versand zulässig, wenn er ausschließlich an unpersönliche E-Mail-Adressen wie „info@…“ gerichtet wird? Oder ist auch hier die vorherige Freigabe, z. B. durch Double-Opt-in, erforderlich?

Nein, kein Versand zulässig da keine Einwilligung für den konkreten Fall gegeben ist. Es ist immer ein Double-Opt-in erforderlich.

Sind Visitenkarten automatisch Zustimmungen für eine Newsletter-Kontaktaufnahme?

Auch hier fehlt es an der erforderlichen Bestimmtheit einer ausdrücklichen Einwilligung, wenn im Rahmen einer Veranstaltung eine Visitenkarte übergeben wird (LG Baden-Baden, WRP 2012, 612 (613)). Denkbar ist allerdings das Aufstellen einer Box mit der deutlichen Aufschrift „Newsletter“, in die die Visitenkarte eingeworfen wird. Wobei dann die Nachweisbarkeit schlechter ist als beim Double-Opt-in.

Ich erhebe Empfänger in Kommunikationsseminaren. Diese stimmen per Checkbox zu oder eben nicht. Ist das im E-Mail-Marketing nach DSGVO zulässig?

An einer Einwilligung fehlt es auch, wenn der Teilnehmer eines Seminars seine E‑Mail-Adresse in die Teilnehmerliste eingetragen hat (LG Gera, WRP 2012, 1468). Er hat dann eben keine Einwilligung erklärt. Das Auslegen einer Seminarliste andererseits mit der Aufforderung sich einzutragen, wenn man den Newsletter empfangen möchte, ist hinreichend konkret, wenn klar wird, von welchem Unternehmen der Newsletter versendet werden wird.

Darf ich im Kaufprozess per einfacher Checkbox auch Newsletter-Anmeldungen generieren oder benötige ich immer ein DOI?

Das wäre als Einwilligung ausreichend, wenn der Kunde aktiv die Box klickt und sie nicht etwa vorausgewählt ist – eben Opt-in und nicht Opt-out (BGH, MMR 2008, 731 – Payback). Jedoch ließe sich nicht nachweisen, dass tatsächlich der Inhaber der E‑Mail-Adresse die Eingabe getätigt hat, weil Fehler oder Missbrauch nicht ausgeschlossen werden können (AG Berlin, MMR 2009, 144). Auch eine etwa mitprotokollierte IP-Adresse reicht für einen Beweis nicht aus. Der Website-Betreiber hat keine Handhabe, aus einer dynamischen IP-Adresse auf einen konkreten E‑Mail-Account-Inhaber zu schließen. Access-Provider, die immerhin den Anschlussinhaber (wenn auch nicht den Account-Inhaber) ermitteln könnten, sind zu Herausgabe entsprechender Daten weder verpflichtet noch berechtigt.

Zum Beweis ebenfalls nicht ausreichend ist das sog. Confirmed-Opt-in. Hierbei wird zwar eine Bestätigungs-E‑Mail versandt, aber kein Bestätigungslink integriert. Vielmehr erfolgt lediglich der ausdrückliche Hinweis auf eine Austragungsmöglichkeit. Erfolgt keine Reaktion, wird die betreffende E‑Mail-Adresse dem Verteiler hinzugefügt. Ein Nachweis, dass sich gerade der E- Mail-Account-Inhaber für den Newsletter eingetragen hat, gelingt so allerdings nicht.

Ich habe Empfänger vor einigen Jahren erhoben. Darf ich diese nach DSGVO im E-Mail-Marketing anschreiben? Gibt es eine Verjährungsfrist?

BGH, Urteil vom 01.02.2018 – III ZR 196/17: „Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt“. Im Ergebnis halte ich Werbung per Mail für zulässig, wenn es keinen Grund gibt, am ursprünglich geäußerten Einverständnis des Verbrauchers zu zweifeln. Dieser Grund könnte der Umstand sein, dass die Einwilligung länger als anderthalb Jahre her ist und in diesem Zeitraum keine Werbung verschickt worden ist. Das hat das Landgericht Berlin vor Einführung der DSGVO mal so gesehen (LG Berlin, Urteil vom 09.12.2011 – 15 O 343/11). Ob das jetzt noch so ist, ist fraglich. Es handelt sich um eine vereinzelte Entscheidung in der ersten Instanz, nicht ständige Rechtsprechung der letzten Instanz. Selbst wenn man dieser Entscheidung folgen wollte, gäbe es aber eben keinen Zeitablauf, wenn regelmäßig Werbung verschickt worden ist. Die Aussage, dass es die Regelung, dass nach zwei Jahren die Einwilligung abläuft, im gesamten Rechtssystem nicht gibt, ist schwierig insofern, als ich nicht das ganze Rechtssystem prüfen kann. Die einschlägigen Regelwerke der DSGVO und des UWG enthalten aber keine solche gesetzliche Regelung.

Ich habe kein DOI-Nachweis für das Einverständnis. Die Empfänger haben sich aber seit Jahren nicht abgemeldet – darf ich diese weiter anschreiben?

Nein, eine ausdrückliche Einwilligung liegt nicht vor.

Ein Kunde fordert auf der Webseite Infos zu einem Produkt an. Darf ich ihm nur dazu eine Mail schreiben oder auch mehrfach zu diesem und ähnlichen Produkten?

Eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post ist nicht anzunehmen, wenn:

  1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
  2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  3. der Kunde der Verwendung nicht widersprochen hat und
  4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Nur Werbung für eigene Waren oder Dienstleistungen ist von der Ausnahme erfasst. Dies schließt zunächst die Versendung von werbenden E‑Mails, die zu Gunsten anderer Unternehmen erfolgen, aus. Insbesondere können Stand-Alone-Newsletter nicht unter Berufung auf Abs. 3 versandt werden. Das KG fordert eine „Austauschbarkeit“ der Produkte oder dass die Produkte dem gleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck dienen. Das OLG Jena verlangt einen „gleichen typischen Verwendungszweck“.

Welche Art Inhalte kann ich ohne Opt-in an „Nicht-Kunden“ versenden?

Auch diese Frage lässt sich schnell beantworten. Sie können keine Newsletter datenschutzkonform versenden, wenn weder eine Einwilligung noch eine Bestellung vorliegt.

Unangeforderte E‑Mail-Werbung ist ohne ausdrückliche vorherige Einwilligung des Empfängers gem. § 7 Abs. 2 Nr. 3 UWG als unzumutbare Belästigung anzusehen (sog. Opt-in- Lösung) (BGH, Urt. v. 10.2.2011, Az. I ZR 164/09, MMR 2011, 662 ff.; OLG Celle, Urt. v. 15.5.2014). Der deutsche Gesetzgeber verzichtet hierbei auf eine Differenzierung zwischen Verbraucher und Gewerbetreibenden, mit der Begründung, dass die E‑Mail-Werbung gerade im geschäftlichen Verkehr einen stark belästigenden Charakter hat. (BT-Drucks. 15/1487, S. 21.)

Kann ich Adressen kaufen, zum Beispiel bei „wer-zu-wem“?

Es ist immer eine Einwilligung für den konkreten Fall notwendig. Daher ist leider kein Kauf möglich.

Wenn ich den E‑Mail-Newsletter-Dienstleister wechsle, brauche ich dann ein neues DOI?

Wenn Sie die Einwilligung mit einem Double-Opt-in-Verfahren bei einem anderen Newsletterdienstleister schon erhoben haben, brauchen Sie die Einwilligung nicht erneut erheben. Die Zustimmung des Empfängers bezieht sich auf den Empfang Ihrer E‑Mails und nicht auf den Dienstleister den Sie zum Versand verwenden. Sie können Daten, die korrekt nach dem Double-Opt-in-Verfahren erhoben wurden, also direkt bei CleverReach verwenden.

Noch kein CleverReach-Kunde? Jetzt wechseln!

Profitieren Sie von unserem DSGVO-konformen Newsletter-Tool und optimieren Sie die Kommunikation mit Ihrer Kundschaft.

Hinweis: Der Inhalt dieser Seite stellt keine Rechtsberatung dar und kann diese auch im Einzelfall nicht ersetzen. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.

CleverReach Newsletter
Tipps und Tricks für erfolgreiches E-Mail-Marketing!

Ihre Meinung zählt!

Wie hat Ihnen dieser Inhalt gefallen?

Stern Stern Stern Stern Stern Stern Stern Stern Stern Stern
Vielen Dank!

Nächter Artikel
Inspiration für Weihnachtsnewsletter: So wird Ihre festliche Kampagne zum Highlight der Saison