Newsletter

Praxisratgeber

Logo Datenschutz im Ehrenamt
Beim Versand eines E-Mail-Newsletters tauchen viele Fragen auf: Muss es ein spezielles Newsletter-Tool sein oder kann man die Mails auch direkt aus dem Mailprogramm versenden? Wie muss ein Newsletter-Tool im Hinblick auf Datenschutz konfiguriert werden? Und welche Newsletter-Tools kann man überhaupt DSGVO-konform einsetzen?

E-Mail und Newsletter bieten immer noch Vorteile gegenüber der Social Media-Kommunikation

Beim Versand eines E-Mail-Newsletters tauchen viele Fragen auf: Muss es ein spezielles Newsletter-Tool sein oder kann man die Mails auch direkt aus dem Mailprogramm versenden? Wie muss ein Newsletter-Tool im Hinblick auf Datenschutz konfiguriert werden? Und welche Newsletter-Tools kann man überhaupt DSGVO-konform einsetzen?

Man könnte meinen, dass E-Mail aufgrund der weiten Verbreitung von Messengern und Social Media-Plattformen nur noch eine geringe Bedeutung hätte. Auch wenn dies in vielen Bereichen privater Kommunikation tatsächlich der Fall ist, so hat E-Mail doch einen klaren Vorteil: Es stellt gewissermaßen den kleinsten gemeinsamen Nenner digitaler Kommunikation dar. Daher ist der Versand von E-Mails für viele Vereine nach wir vor eine interessante Option, um ihre Zielgruppe zu informieren.

Die großen Debatten rund um Datenschutz bei gängigen Messengern und Social Media-Diensten tun ihr Übriges, um E-Mail-Newsletter auch aus Datenschutzsicht zu einer interessanten Option zu machen. Dennoch gibt es auch beim Versand von E-Mail-Newslettern einiges rund um Datenschutz und wettbewerbsrechtliche Vorgaben zu beachten. Die Punkte, die aus Sicht von Vereinen hierbei wichtig sind, wollen wir in diesem Beitrag beleuchten.

Video-Aufzeichnung zum Nachschauen

Wir haben uns bereits in einem Webinar mit den Themen rund um den Newsletter-Versand auseinandergesetzt. Schaut euch dieses hier gern an.

Arten des Newsletter-Versands

Um Newsletter per E-Mail zu versenden, kommen üblicherweise spezialisierte Dienstleister zum Einsatz. Es gibt jedoch auch die Möglichkeit, die E-Mails aus einem E-Mail-Programm heraus selbst zu versenden. Ein Zwischenweg kann der Einsatz eines Newsletter-Plugins als Teil der Vereinswebseite sein.

Beim Versand per E-Mail-Programm sollte eine spezielle Serienmailfunktion zum Einsatz kommen. Denn der Versand an eine größere Anzahl von Empfängern per BCC hat ein hohes Fehlerpotential und stößt technisch schnell an seine Grenzen. Ansonsten gibt es bei dieser Option relativ wenig zu beachten. Wichtig ist jedoch, dass die weiter unten aufgeführten Hinweise zu datenschutzkonformen Newsletter-Mails auch hier umgesetzt werden müssen.

Sofern ein Newsletter-Plugin für das Content-Management-System der eigenen Webseite zum Einsatz kommt, sollte überprüft werden, dass ein Vertrag zur Verarbeitung im Auftrag mit dem Webhoster geschlossen wurde. Des Weiteren müssen alle Punkte der nachfolgenden Prüfkriterien für Software-as-a-Service-Anbieter mit dem selbst betriebenen Plugin umsetzbar sein.

Anbieterauswahl im Fall von spezialisierten Dienstleistern

Anbieterauswahl im Fall von spezialisierten Dienstleistern

Die Nutzung eines Newsletter-Anbieters als Software-as-a-Service (häufig auch Cloud-Anbieter genannt), dürfte für die meisten Organisationen der einfachste Weg sein. Bei solchen Anbietern ist jedoch eine Reihe von Punkten zu prüfen:

  1. Im Fall von Anbietern außerhalb des europäischen Wirtschaftsraums: Rechtsgrundlage für internationale Datentransfers klären.

    Praktische Relevanz
    An vielen Stellen werden US-amerikanische Anbieter für Newsletter beworben. Aufgrund des Schrems II-Urteils des Europäischen Gerichtshofs sind entsprechende Rechtsgrundlagen für Datentransfers in die USA jedoch nur in Ausnahmefällen und mit zusätzlichem Aufwand möglich.

    Praxistipp
    Der einfachste Weg ist es sicherlich, sich auf Anbieter aus dem europäischen Wirtschaftsraum zu beschränken.
     
  2. Vertrag zur Verarbeitung im Auftrag muss abgeschlossen werden.

    Hintergrund
    Datenverarbeitung, für die die eigene Organisation verantwortlich ist, wird an Dritte ausgelagert.

    PraxisTIpp
    Kann ein separater Vertrag, in AGB integriert oder zusätzliche Funktion im Kundenportal sein. Hilfe-Seiten des Anbieters sollten hierüber Auskunft geben.
     
  3. Datenschutzkonforme Anmeldeseiten
    (falls offene Anmeldung erwünscht)
    • Links für Impressum und Datenschutzhinweise vorhanden und lassen sich auf eigene Webseite verlinken

      Hintergrund
      Die eigene Organisation ist die sogenannte verantwortliche Stelle und nicht der Anbieter der Newsletter-Software.
       
    • Text der Anmeldemaske (insbesondere Einwilligungstext) kann angepasst werden oder passt bereits für die eigenen Zwecke.

      Hintergrund
      Muss an die selbst gewählte Rechtsgrundlage (siehe Schritt 2) und eventuelle Besonderheiten wie Open-/Clickrate-Tracking angepasst werden. Pflichtelemente wie der Hinweis auf die Widerrufsmöglichkeit im Fall einer Einwilligung müssen enthalten sein.
       
    • Möglichst keine Drittanbieter/Tracking-Tools auf der Anmeldeseite integriert. Wenn doch, dann nur in angemessenen Rahmen und als Unterauftragsverarbeiter, zum Beispiel für technische Fehleranalysen.
       
    • Falls ein Captcha zum Einsatz kommt: Datenschutzkonformer Captcha-Dienst. Siehe vorherigen Punkt zu auf der Anmeldeseite integrierten Drittanbietern.
       
    • Double Opt-In in der Regel sinnvoll. Hierzu versendete Mails sollten die im Folgenden genannten Anforderungen an Newsletter-Mails ebenfalls erfüllen.
       
  4. Datenschutzkonforme Newsletter-Mails
    • Impressum per Link oder als Teil der versendeten E-Mails
    • Link zu Datenschutzhinweisen sollte enthalten sein
    • Abmeldelink am Ende jeder E-Mail (außer in besonderen Fällen ohne gesonderte Abmeldemöglichkeit bei vertraglicher Rechtsgrundlage)
    • Kein Open-/Clickrate-Tracking, außer es ist erwünscht und Teil der Einwilligung (siehe oben)

PRAXISTIPP

Im Gegensatz zur Anmeldemaske, lassen sich die Vorlagen für E-Mails meistens sehr gut bearbeiten. Die Links zu Impressum und Datenschutzhinweisen könnt ihr so selbst einfügen, falls euer Anbieter dies nicht bereits vorsieht.

Rechtsgrundlage der Datenverarbeitung

Unabhängig von der Art des Versands (spezialisierter Anbieter, Website-Plugin oder E-Mail-Programm) benötigt ihr eine Rechtsgrundlage nach DSGVO für den Versand des Newsletters. Denn das Sammeln der Empfänger-Adressen und der Versand stellen eine Verarbeitung personenbezogener Daten dar.

Prinzipiell kommen die folgenden Rechtsgrundlagen nach Art. 6 DSGVO in Betracht:

  • Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO
  • vertragliche Grundlage nach Art. 6 Abs. 1 lit. b) DSGVO
  • berechtigtes Interesse nach Art. 6 Abs. 1. lit. f) DSGVO

Eine vertragliche Grundlage habt ihr beispielsweise dann, wenn ihr im Rahmen eines bestehenden Vertrags (z.B. Vereinsmitgliedschaft) E-Mails an eure Vertragspartner senden, die für die Vertragserfüllung erforderlich sind (z.B. Einladung zur Mitgliederversammlung). Bei Newslettern zu denen man sich separat anmeldet, ist dies in der Regel nicht der Fall, kann aber durch das Akzeptieren von Nutzungsbedingungen für den Newsletter erreicht werden. Allerdings bieten sich bei einem solchen „Newsletter-Vertrag“ kaum Vorteile gegenüber den anderen beiden Rechtsgrundlagen, so dass gesonderte Newsletter-Nutzungsbedingungen selten sinnvoll sind.

Beim Versand von Newslettern auf der Basis eines berechtigten Interesses müsst ihr eine Abwägung mit den berechtigten Interessen eurer Organisation gegenüber den Risiken für die E-Mail-Empfänger vornehmen. Dies kommt dann in Betracht, wenn üblicherweise mit dem Erhalt entsprechender E-Mails gerechnet werden kann und die jederzeitige Möglichkeit der Abmeldung (eines Widerspruchs) besteht. Anwendungsfälle hierfür sind beispielsweise die Bewerbung von Folgeveranstaltungen bei ehemaligen Veranstaltungsteilnehmern sowie Informationen über Vereinsaktivitäten für die Mitglieder und Sponsoren eines Vereins. Diese Interessenabwägung solltet ihr dokumentieren.

Solltet ihr keine vertragliche Grundlage haben und das berechtigte Interesse kommt nicht in Betracht, bleibt nur noch die Einwilligung als Rechtsgrundlage. Die Anforderungen an eine Einwilligung sind sehr hoch, aber durch den Einsatz einer Anmeldemaske mit nachgeschalteter Double Opt-In-Funktion in der Praxis gut umsetzbar. Wichtig ist, dass die Einwilligung dokumentiert wird (z.B. in der Newsletter-Software), die Einwilligung spezifisch genug ist, auf das Widerrufsrecht hingewiesen wird und der Widerruf auch jederzeit möglich ist (z.B. per Abmeldelink). Eine Kopplung der Einwilligung an weitere Dienstleistungen kann unzulässig sein und sollte daher vermieden werden.

Bei der Aufnahme bestehender Kontakte in euren Newsletter (z.B. Vereinsmitglieder) gelten dieselben Anforderungen in Bezug auf die Rechtsgrundlage wie bei der Aufnahme neuer Kontakte in den Verteiler!

Achtung

Je nach Organisation und Tätigkeitsfeld kann es sein, dass das Gesetz gegen den unlauteren Wettbewerb für eure Organisation anwendbar ist. In diesem Fall müsst ihr neben den allgemeinen Vorgaben der DSGVO die besonderen Anforderungen des § 7 Abs. 3 UWG zum Versand von Werbung an Bestandskunden befolgen. Hierdurch wird euer Handlungsspielraum im Rahmen des berechtigten Interesses zusätzlich beschränkt. Wenn ihr euch unsicher seid, ob ihr die Anforderungen des § 7 Abs. 3 UWG erfüllt, solltet ihr im Zweifel auf eine Einwilligung als Rechtsgrundlage setzen.

Informationspflichten erfüllen

Unabhängig vom gewählten Anbieter bzw. Tool und der gewählten Rechtsgrundlage, müsst ihr die Empfänger eures Newsletters über die Datenverarbeitung informieren [Link zu Datenschutzhinweise erstellen].

Nach Art. 13 DSGVO müsst ihr über folgendes informieren:

  • Zweck der Datenverarbeitung, also des Newsletters (Kommunikation, Bewerbung von Veranstaltungen, etc.)
  • von euch gewählte Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse), ggf. mit Hinweis auf euer berechtigtes Interesse (Bewerbung von Folgeveranstaltungen, etc.)
  • Hinweis auf Abmeldemöglichkeit (je nach Rechtsgrundlage im Hinblick auf Recht auf Widerruf oder Widerspruch)
  • Dauer der Datenspeicherung (wie lange werden die Datensätze nach Abmeldung aufbewahrt?)
  • ggf. Einsatz externer Dienstleister (z.B. bei Nutzung von Software-as-a-Service Anbieter)
  • ggf. gesonderte Rechtsgrundlage bei Übermittlung in Drittländer außerhalb EWR

Die entsprechenden Informationen könnt ihr beispielsweise in einen gesonderten Abschnitt der allgemeinen Datenschutzhinweise eurer Webseite (häufig auch Datenschutzerklärung genannt) integrieren. Alternativ könnt ihr ein separates Dokument speziell für den Newsletter erstellen, dass ihr an entsprechenden Stellen zur Verfügung stellen bzw. verlinkt. In letzterem Fall kommen noch die allgemeinen Pflichtangaben des Art. 13 DSGVO hinzu: Name und Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten (falls zutreffend), der Hinweis auf Betroffenenrechte, sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Achtung

Im Fall von Kontaktdaten, die ihr von Dritten erhaltet, kann stattdessen auch Art. 14 DSGVO gelten und ihr müsst über die Herkunft der Daten informieren. Dies stellt in der Praxis aber eher die Ausnahme dar, weshalb wir auf die Besonderheiten an dieser Stelle nicht weiter eingehen.

Aufzeichnung des Webinars "Newsletter" zum Nachschauen

Autor: Hendrik vom Lehn

…oder in verwandten Einträgen

Prev
Next

Digitale Mitglieder­verwaltung

Informations­pflichten

Weitergabe von Vereinsdaten

Kirchlicher Datenschutz

Gesundheits­daten

Technische und organisa­torische Maßnahmen

Löschfristen und Löschkonzepte

Betroffenen­rechte nach DSGVO richtig umsetzen

Fotos und Datenschutz

Umgang mit besonderen Datenkategorien

Webseiten

Erfassung von Verarbeitungs­tätigkeiten in einem Verarbeitungs­verzeichnis

Vereinsinterne Kommunikation

Registrierungs­möglichkeiten für eure Datenschutz­beauftragten

Auftrags­ver­arbeiter auswählen

Rechts­grund­lagen

Verantwort­lich­keiten und Haftung im Daten­schutz

Umgang mit Datenschutz­verletzungen

Allgemeine Pflichten im Datenschutz im Überblick