Kein Double Opt-in beim Newsletter-Versand: Verstoß gegen die DSGVO?
Nils Möllers
12. Oktober 2021
Dieser Beitrag wurde vom Datenschutz-Experten
Nils Möllers von Keyed verifiziert.
Das Double Opt-in ist ein bekanntes Verfahren im Newsletter-Marketing: Es stellt sicher, dass die Anmeldung zu einem E-Mail-Newsletter von den Inhaber:innen der angemeldeten E-Mail-Adressen tatsächlich gewünscht wird. Spätestens seit dem Inkrafttreten der DSGVO lässt sich dieser Anmeldeprozess für immer mehr Newsletter beobachten. Was ist aber, wenn Sie als Newsletter-Versender:in kein Double Opt-in Verfahren für die Anmeldung neuer Empfänger:innen anwenden? Verstoßen Sie damit gegen die Datenschutz-Grundverordnung?
1. Verfahren für die Newsletter-Anmeldung neuer Empfänger:innen
Um einen Newsletter zu versenden, brauchen Sie natürlich zuallererst eine Liste mit Abonnent:innen, die an Ihrem Newsletter interessiert sind und diesen regelmäßig erhalten möchten. Oft können sich Website-User daher über ein Anmeldeformular direkt auf der Seite für einen Newsletter anmelden. Für die Anmeldung neuer Empfänger:innen gibt es im Newsletter-Marketing eine zweistufige Vorgehensweise.
Single Opt-in
Beim Single Opt-in (auch einfaches Opt-in genannt) melden sich Interessierte für den Newsletter an, indem sie ihre jeweilige E-Mail-Adresse in ein Anmeldeformular auf der Website eintragen. Gleichzeitig wird in diesem Formular auch die Einwilligungserklärung für die Verarbeitung der eigenen personenbezogenen Daten nach Art. 6 Abs. 1 lit. a) DSGVO per Checkbox angekreuzt. Bei der Gestaltung der Einwilligung sind unbedingt die Bedingungen des Art. 7 DSGVO zu beachten.
Danach werden die Interessent:innen direkt in den E-Mail-Verteiler aufgenommen, ohne dass sie die Anmeldung noch einmal in irgendeiner Form bestätigen müssen.
Der Vorteil bei diesem Verfahren ist, dass Interessierte nur ihre jeweilige E-Mail-Adressen eingeben und ein Häkchen setzen müssen, um den Newsletter zu abonnieren. Sie werden nicht durch weitere umständliche Prozess-Schritte abgeschreckt, bei denen sie ggf. die Lust daran verlieren, die Newsletter-Anmeldung bis zum Ende durchzuführen.
Jedoch gibt es beim Single Opt-in ein offensichtliches Problem: Jeder Website-User kann x-beliebige E-Mail-Adressen in das Formular eintragen und somit ganz einfach andere Personen zum Newsletter anmelden. Inhaber:innen von E-Mail-Adressen können also Werbemails erhalten, ohne jemals dem Empfang zugestimmt zu haben. Und genau hier liegt das Problem des Single Opt-in Verfahrens mit der DSGVO: Alle Newsletter-Versender:innen müssen die Rechtsgrundlage (hier also die Einwilligung zum Newsletter-Erhalt) nachweisen können, da die Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO gilt.
Doch hierfür gibt es eine einfache Lösung: Das Double Opt-in Verfahren.
Double Opt-in
Auch beim Double Opt-in melden sich Interessierte für den Newsletter an, indem sie ihre Mailadresse in das Anmeldeformular eingeben und die Einwilligung zur Datenverarbeitung akzeptieren. Der Unterschied hierbei ist, dass die Abonnent:innen ihre Zustimmung zum Erhalt der regelmäßigen E-Mails in einem zweiten Schritt noch einmal ausdrücklich bestätigen müssen.
Das geschieht, indem sie auf den Link in der Bestätigungsmail klicken, die sie nach der Eingabe der E-Mail-Adresse in das Online-Formular zugeschickt bekommen. Erst danach wird die jeweilige Mailadresse aktiv in die Empfängerliste aufgenommen. Somit wird gewährleistet, dass es tatsächlich die Inhaber:innen der E-Mail-Adressen selbst waren, die sich bewusst für den Newsletter angemeldet haben.
Wenn der Link in der Double Opt-in Bestätigungsmail in einem bestimmten Zeitraum nicht geklickt wird, erfolgt kein Newsletterversand an diese Adresse.
Und was bedeutet Confirmed Opt-in?
Das Confirmed Opt-in ist eine dritte Option für das Newsletter-Anmeldeverfahren, die in der Praxis jedoch nicht häufig eingesetzt wird. Die Empfänger:innen erhalten hier nach der Eingabe der eigenen Mailadresse wie beim Double Opt-in eine Bestätigungsmail. In der E-Mail ist aber kein Bestätigungslink enthalten, auf den sie klicken müssen, um sich endgültig in den Newsletter-Verteiler einzutragen. Neue Abonnent:innen werden zwar per Mail darauf hingewiesen, dass sie sich zum Newsletter angemeldet haben, sie müssen sich aber selbst aktiv wieder vom Newsletter abmelden, sollten sie gegen ihren Willen durch eine andere Person angemeldet worden sein. Dieses Vorgehen ist allerdings umstritten. Die herrschende Rechtsmeinung ist, dass die Einwilligung eines Interessenten oder einer Interessentin nicht durch ein Unterlassen einer Handlung eingeholt werden kann.
2. Aktuelle Rechtslage für das Double Opt-in
Bei der Anmeldung zu E-Mail-Newslettern ist in der Praxis das Double Opt-in am weitesten verbreitet, da es als rechtskonformes Verfahren gilt. Eine österreiche Aufsichtsbehörde hat vor Kurzem das Fehlen des Double Opt-ins sogar als Verstoß gegen den Datenschutz und die sichere Datenverarbeitung gem. Art. 32 DSGVO eingestuft.
Wie sieht das Ganze für den Newsletterversand in Deutschland aus? Welche Rechtsgrundlage müssen Versender:innen hier bei der Wahl eines Anmeldeverfahrens berücksichtigen?
Für den Newsletterversand in Deutschland spielen datenschutzrechtlich neben der Datenschutz-Grundverordnung (DSGVO Mai 2018) vor allem das Bundesdatenschutzgesetz (BDSG-neu Juli 2017) sowie das Telemediengesetz (TMG Februar 2007) eine Rolle. Diese regeln den Umgang, Schutz und die Verarbeitung der personenbezogenen Daten Ihrer Abonnent:innen (z. B. Name und E-Mail-Adresse).
Um herauszufinden, ob das Fehlen des Double Opt-in als Verfahren zur Newsletter-Anmeldung einen Verstoß gegen deutsches Datenschutzrecht darstellt, müssen wir aber zuerst einen Blick in das wettbewerbsrechtliche Gesetz gegen den unlauteren Wettbewerb (UWG-neu Juli 2004) werfen, das auch einen Teil des rechtlichen Hintergrundes für das Double Opt-in bildet.
Das UWG legt fest, dass eine geschäftliche Handlung nicht zulässig ist, sollte sie Marktteilnehmer:innen in unzumutbarer Weise belästigen. Hier verweist das UWG insbesondere auf Werbung durch eine automatische Anrufmaschine, eines Faxgeräts oder elektronischer Post ohne ausdrückliche Zustimmung des Adressaten bzw. der Adressatin im Vorfeld.
Im Hinblick auf den Newsletterversand schützt uns diese Bestimmung davor, dass wir jeden Tag von unerwünschten Werbemails überflutet werden. Es ist festgelegt, dass eine ausdrückliche Einwilligung der Abonnent:innen zum Empfang von Werbenewslettern vorliegen muss.
Newsletter-Anmeldung und DSGVO
Für jede Form von Newslettern gilt laut DSGVO zusätzlich: Die Verarbeitung der Abonnentendaten ist nur rechtskonform, wenn die betroffenen Empfänger:innen der Verarbeitung ihrer personenbezogenen Daten zugestimmt haben. In dem Fall bedeutet das die Speicherung ihrer E-Mail-Adresse und anderer Angaben, die sie bei der Newsletter-Anmeldung gemacht haben.
Dass für diese Zustimmung das Double Opt-in Verfahren angewandt werden muss, ist so nicht in der DSGVO festgelegt. Das heißt, das Fehlen des Double Opt-ins bei der Newsletter-Anmeldung stellt an sich zunächst keinen Verstoß gegen die Datenschutz-Grundverordnung dar.
Gleichzeitig ist es aber im Interesse der Versender:innen, das Double Opt-in als Anmeldeprozess für ihre Newsletter zu nutzen. Denn die DSGVO legt weiterhin fest, dass man als Newsletter-Versender:in jederzeit nachweisen können muss, dass die Abonnent:innen der Verarbeitung ihrer personenbezogenen Daten zugestimmt haben. Allein für den Newsletterversand an Bestandskunden gibt es eine spezielle Ausnahmeregelung.
Diesen eindeutigen Nachweis anhand des Single oder Confirmed Opt-ins zu erbringen, wird sich für betroffene Versender und Versenderinnen als äußert schwierig herausstellen. Beim Double Opt-in dagegen liegt den Absender:innen der Nachweis dagegen automatisch vor: Denn Interessierte müssen erst aktiv einen Klick in der Bestätigungsmail tätigen, um in den Newsletter-Verteiler aufgenommen zu werden. Sie müssen hierbei nur berücksichtigen, dass Ihnen in Ihrer Datenbank für jeden Empfänger und jede Empfängerin der genaue Anmeldezeitpunkt vorliegen muss.
Mit den rapidmail Anmeldeformularen wird die Anmeldung von neuen Newsletter-Empfänger:innen immer per Double Opt-in durchgeführt. Dabei speichert rapidmail die IP-Adresse der Abonnent:innen sowie das Datum und den Zeitstempel der Newsletter-Anmeldung und der Bestätigung durch den Link-Klick. Diese Daten können von rapidmail-Versender:innen dann über den Export der jeweiligen Empfängerliste eingesehen werden.
Zusätzlich sind Versender:innen laut DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um einen ausreichenden Schutz der Empfängerdaten zu gewährleisten. Im Streitfall kann das Fehlen eines Double Opt-ins aufgrund seiner einfachen technischen und organisatorischen Umsetzung vor Gericht so ausgelegt werden, dass der Versender oder die Versenderin nicht alles in seiner Macht stehende getan hat, um die personenbezogener Daten der Abonnent:innen zu schützen. Ein weiterer Grund, weshalb wir Ihnen dringend zum Double Opt-in für die Newsletter-Anmeldung raten.
Abgesehen von der Absicherung auf rechtlicher Seite ist das Double Opt-in für Versender auch finanziell für Sie von Vorteil: Der Newsletter wird wirklich nur an Empfänger:innen versendet, die sich dafür angemeldet haben, weil sie an den Inhalten interessiert sind. Die Ausgaben für den Versand an Personen, die den Newsletter eigentlich gar nicht erhalten möchten, werden so eingespart. Außerdem lassen sich die Newsletter-Statistiken bei Double Opt-in leichter auswerten, weil nur die Abonnent:innen berücksichtigt werden, die prinzipiell Interesse am Newsletter haben. Öffnungs- und Klickraten werden nicht von den Abonnent:innen beeinflusst, die nur unerwünschterweise auf der Empfängerliste stehen und den Newsletter grundsätzlich ignorieren.
3. Fazit: Ist ein fehlendes Double Opt-in ein Verstoß gegen die DSGVO?
Die Anwendung des Double Opt-ins für die Newsletter-Anmeldung neuer Empfänger:innen ist nicht explizit in der DSGVO vorgeschrieben. Das Fehlen dieses Verfahrens kann jedoch trotzdem einen Verstoß gegen die DSGVO darstellen.
Wir empfehlen allen Versender:innen ausdrücklich, vorsorglich die Double Opt-in Anmeldung zu nutzen. Im Zweifelsfall liegt so für alle Abonnent:innen eine ausdrückliche Zustimmung zum Erhalt der Newsletter vor, welche nötig ist, um einen datenschutzkonformen E-Mail-Versand nachzuweisen. Dieser Nachweis lässt sich durch Single Opt-in nicht erbringen, da jeder Website-User beliebige E-Mail-Adressen in das Anmeldeformular für den Newsletter eintragen kann. Gleichzeitig können Versender:innen im Streitfall vor Gericht zeigen, dass sie sich mit der Nutzung des Double Opt-ins technisch und organisatorisch für den Schutz der Empfängerdaten eingesetzt haben.
Wenn Sie Newsletter-Anmeldeformulare von rapidmail verwenden, wird automatisch das Double Opt-in Verfahren angewendet. Sämtliche Daten, um die Zustimmung der Empfänger nachzuweisen, werden gespeichert, wie z. B. die IP-Adressen der Abonnent:innen oder Datum und Zeitstempel der Anmeldung und der Bestätigung. Wir weisen unsere Kunden und Kundinnen außerdem darauf hin, nur E-Mail-Adressen ihrer Bestandskund:innen anzuschreiben sowie Mailadressen, die sie per Double Opt-in gesammelt haben.
Ergänzend bieten wir Ihnen als rapidmail Kund:in datenschutzkonforme Vorlagen für die Erweiterung der Datenschutzhinweise auf Ihrer Website sowie für die Einwilligungserklärung bei der Anmeldung zum Newsletter durch Interessent:innen.
Mit rapidmail können Sie in nur wenigen Schritten ein rechtssicheres Newsletter-Anmeldeformular in Ihre Website einbauen und so mit ruhigem Gewissen und DSGVO-konform Newsletter versenden.
Haben Sie noch Fragen?
Dieser Beitrag stellt lediglich ein unverbindliches Informationsangebot dar und keine individuelle datenschutzrechtliche Beratung. Wenden Sie sich bei weiterführenden Fragen zu den rechtlichen Vorgaben beim Newsletterversand am besten an Ihre Rechtsberatung bzw. Unternehmensjurist:innen oder an die Expert:innen von Keyed – diese können Ihnen auch für Ihren konkreten Fall umfangreiche Informationen bereitstellen.
Nils Möllers
Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen ist Nils ebenfalls als zertifizierter Datenschutzbeauftragter und im Bereich IT-Sicherheit tätig.