print logo

Kriterien für eine rechtssichere Einwilligung

Damit Einwilligungen auch nach der neuen DSGVO wirksam bleiben, müssen sie viele Aspekte erfüllen, die bisher meist vernachlässigt wurden.
Thomas Schwenke | 24.07.2017
 

Entspricht Ihr Anmeldeformular auch diesem Beispiel? Falls nicht, dann sollten Sie dringend diesen Beitrag lesen.

Auch wenn die neue Datenschutzgrundverordnung (DSGVO) erst am 25. Mai in Kraft tritt, müssen Sie das neue Datenschutzrecht schon heute beachten. Ansonsten werden die bisher gesammelten Einwilligungen in Ihrem E-Mailverteiler unwirksam.

In diesem Beitrag erläutere ich daher, welche Informationen Sie in Ihre Einwilligungsformulare aufnehmen müssen.

Eine DOI-Einwilligung bleibt notwendig

Auch nach der DSGVO müssen Nutzer in den Empfang von Werbemailings ausdrücklich einwilligen und die Einwilligung in einem Double-Opt-In-Verfahren (DOI) bestätigen. Ohne das DOI können Sie nicht nachweisen, dass die Anmeldung vom tatsächlichen E-Mailinhaber stammt (Art. 7 Abs. 1 DSGVO).

Eine Checkbox ist nicht immer notwendig

Eine Einwilligung muss ausdrücklich und unmissverständlich erfolgen. Wenn ein Formular nur der Anmeldung zu einem Verteiler dient, geschieht dies per Klick auf den Absendebutton. Ein zusätzliches Kontrollkästchen ist nicht notwendig.

Dagegen wird ein zusätzliches Kontrollkästchen erforderlich, wenn das Formular weitere Erklärungen, z.B. „Ich erkläre mich mit den Teilnahmebedingungen/AGB einverstanden“, enthält. Dieses „[ ] Ja, ich möchte den Newsletter erhalten[…]“-Kontrollkästchen darf jedoch nicht vorangehakt sein. Denn ein bloßes Nichtstun (D.h. das Nicht-Wegklicken des Hakens) stellt keine Einwilligung dar.

Newsletterinhalte umschreiben

Eine Einwilligung muss für einen konkreten Zweck abgegeben werden. D.h. Sie müssen die möglichen Inhalte der Mailings umschreiben. Eine pauschale Einwilligung in „Werbung“ oder „interessante Informationen“ wäre unwirksam.
Eine grobe Umschreibung, wie „Informationen zu unseren Produkten, unseren Aktionen, uns und Neuigkeiten aus der [Branche einsetzen]-Branche“ ist jedoch ausreichend.

Strenges Kopplungsverbot der DSGVO

Nach der DSGVO gilt eine Einwilligung als nicht freiwillig abgegeben, wenn das strenge Kopplungsverbot greift (§ 7 Abs. 4 DSGVO).

Das Kopplungsverbot kommt zum Zuge, wenn eine Vertragsleistung, ohne dass es erforderlich ist, von einer Einwilligung in eine Datenverarbeitung abhängig gemacht wird. Damit hat der Gesetzgeber vor allem „kostenlose“ soziale Netzwerke im Blick, bei denen Nutzer mit ihren Daten „bezahlen müssen“.

Aber auch bei den typischen „Gratis E-Book, wenn Sie unseren Newsletter abonnieren“-Aktionen könnte das Kopplungsverbot, zumindest dem Wortlaut nach, zur Anwendung kommen. Denn ein E-Book kann auch ohne die Einwilligung in den Newsetterempfang verschenkt werden.

Allerdings erscheint es befremdlich, in derartigen Situationen von einer fehlenden Freiwilligkeit der Nutzer auszugehen. Anders als die Anmeldung bei einem sozialen Netzwerk kann man bei der Anmeldung zu einem Newsletter kaum einen mittelbaren Zwang (z.B. einen sozialen Druck mitzumachen) annehmen. Es bleibt zu hoffen, dass diese Ansicht sich in der Zukunft durchsetzt.

Einsatz von Newsletter- und E-Mail-Tools

Wenn Sie Dienstleister (z.B. „Clever Reach“ oder „Mailchimp“) beauftragen, dann handelt es sich um einen Fall der Auftragsverarbeitung personenbezogener Daten. Damit diese zulässig ist, müssen Sie mit den Verarbeitern einen zusätzlichen Auftragsverarbeitungsvertrag (engl. „Data Processing Agreement“) abschließen (Art. 28 Abs. 3 DSGVO). Bitte fragen Sie bei den Dienstleistern nach einem solchen Vertrag.

Sitzen die Dienstleister außerhalb der EU und von Staaten mit anerkanntem Datenschutzniveau (d.h. vor allem in den USA), bedarf die Prüfung einer weiteren Stufe. In den USA sollte das Unternehmen auf der Liste des Privacy Shields auftauchen (d.h. sich auf das EU-Datenschutzniveau verpflichten). Ansonsten muss es spezielle Model-Contracts der EU-Kommission anbieten, wobei Sie spätestens dann einen professionellen Rechtsrat einholen sollten.

In jedem Fall empfehle ich, Ihren Informationspflichten nachzukommen und auf den Einsatz eines Versanddienstleisters schon im Anmeldeformular hinzuweisen.

Einsatz von Statistik-Tools und Analysen

Bis dato war die Analyse des Öffnungs- und Leseverhaltens der Newsletterempfänger nur mit deren Einwilligung zulässig. Nunmehr wird mit Art. 6 Abs. 1 lit. f DSGVO eine Datenverarbeitung auf Grundlage berechtigter (auch wirtschaftlicher) Interessen eingeführt. Diese erfordert jedoch, dass Nutzer mit den Analysen typischerweise rechnen müssen und hinreichend informiert werden. Das bedeutet wiederum, dass Sie die Nutzer bereits im Rahmen der Einwilligung auf derartige Analysen hinweisen sollten.

Widerrufshinweis

Die DSGVO verstärkt die Informationspflichten und so sollten Sie die Nutzer deutlich auf die Möglichkeit des Widerrufs ihrer Einwilligungen hinweisen.

Datenschutzerklärung

Neben den kurzen Hinweisen im Anmeldeformular, müssen Sie die erwähnten Datenverarbeitungen in Ihrer verlinkten Datenschutzerklärung detailliert, aber verständlich beschreiben. Das Muster einer solchen Datenschutzerklärung zum Newsletter können Sie auf der Website des Autors abrufen.

Tipp: Beispiele zu diesem Artikel und weitere Tipps finden Sie in den Präsentationsfolien des Autors von der OMLIVE-Konferenz.