Kein Double Opt-in beim Newsletter-Versand: Verstoß gegen die DSGVO?
Das Double Opt-in ist ein bekanntes Verfahren im Newsletter-Marketing, welches sicherstellt, dass die Anmeldung für einen E-Mail-Newsletter vom Inhaber der angemeldeten E-Mail-Adresse tatsächlich gewünscht wird. Spätestens seit dem Inkrafttreten der DSGVO lässt sich dieser Anmeldeprozess für immer mehr Newsletter beobachten. Was ist aber, wenn Sie als Newsletter-Versender kein Double Opt-in Verfahren für die Anmeldung neuer Empfänger anwenden? Verstoßen Sie damit gegen die Datenschutz-Grundverordnung?
1. Verfahren für die Newsletter-Anmeldung neuer Empfänger
Um einen Newsletter zu versenden, brauchen Sie natürlich zuallererst eine Liste mit Abonnenten, die an Ihrem Newsletter interessiert sind und diesen regelmäßig erhalten möchten. Oft können sich Besucher einer Website über ein Anmeldeformular direkt auf der Seite für einen Newsletter anmelden. Für die Anmeldung neuer Empfänger gibt es im Newsletter-Marketing zwei gängige Verfahren.
Single Opt-in
Beim Single Opt-in (auch Einfaches Opt-in genannt) meldet sich ein Interessent für den Newsletter an, indem er seine E-Mail-Adresse in ein Formular auf der Website einträgt. Danach wird er direkt in den E-Mail-Verteiler aufgenommen, ohne dass er die Anmeldung noch einmal in irgendeiner Form bestätigen muss.
Der Vorteil bei diesem Verfahren ist, dass der Interessent nur seine E-Mail-Adresse eingeben muss, um den Newsletter zu abonnieren. Er wird nicht durch weitere umständliche Prozess-Schritte abgeschreckt, bei denen er eventuell die Lust daran verliert, die Anmeldung bis zum Ende durchzuführen.
Jedoch gibt es beim Single Opt-in ein offensichtliches Problem: Jeder Website-Besucher kann x-beliebige E-Mail-Adressen in das Formular eintragen und somit ganz einfach andere Personen für den Newsletter anmelden. Inhaber von E-Mail-Adressen können also E-Mails oder Werbung erhalten, ohne jemals dem Empfang zugestimmt zu haben.
Double Opt-in
Auch beim Double Opt-in muss sich der Interessent für den Newsletter anmelden, indem er seine Mailadresse in das Anmeldeformular eingibt. Der Unterschied hierbei ist, dass der Abonnent seine Zustimmung zum Erhalt der regelmäßigen E-Mails in einem zweiten Schritt noch einmal ausdrücklich bestätigen muss.
Das geschieht, indem er auf den Link in der Bestätigungsmail klickt, die er nach der Eingabe seiner E-Mail-Adresse in das Online-Formular zugeschickt bekommt. Erst danach wird seine Mailadresse aktiv in die Empfängerliste aufgenommen. Somit wird gewährleistet, dass es tatsächlich der Inhaber der E-Mail-Adresse selbst war, der sich bewusst für den Newsletter angemeldet hat.
Wenn der Link in der Bestätigungsmail in einem bestimmten Zeitraum nicht geklickt wird, erfolgt kein Newsletter-Versand an diese Adresse.
Und was bedeutet Confirmed Opt-in?
Das Confirmed Opt-in ist eine dritte Option für das Newsletter-Anmeldeverfahren, die in der Praxis jedoch nicht häufig eingesetzt wird. Der Empfänger erhält hier nach der Eingabe seiner Mailadresse wie beim Double Opt-in eine Bestätigungsmail. In der E-Mail ist aber kein Bestätigungslink enthalten, auf den er klicken muss, um sich endgültig in den Newsletter-Verteiler einzutragen. Der Abonnent wird zwar per Mail darauf hingewiesen, dass er sich zum Newsletter angemeldet hat, er muss sich aber selbst aktiv wieder vom Newsletter abmelden, sollte ihn jemand anderes angemeldet haben.
2. Aktuelle Rechtslage für das Double Opt-in
Bei der Anmeldung zu E-Mail-Newslettern ist in der Praxis das Double Opt-in am weitesten verbreitet, da es als rechtskonformes Verfahren gilt. Eine österreiche Aufsichtsbehörde hat vor Kurzem das Fehlen des Double Opt-ins sogar als Verstoß gegen den Datenschutz und die sichere Datenverarbeitung eingestuft.
Wie sieht das Ganze für den Newsletterversand in Deutschland aus? Welche Rechtsgrundlage müssen Versender hier bei der Wahl eines Anmeldeverfahrens berücksichtigen?
Für den Newsletterversand in Deutschland spielen datenschutzrechtlich neben der Datenschutz-Grundverordnung (DSGVO Mai 2018) vor allem das Bundesdatenschutzgesetz (BDSG-neu Juli 2017) sowie das Telemediengesetz (TMG Februar 2007) eine Rolle. Diese regeln den Umgang, Schutz und die Verarbeitung der personenbezogenen Daten Ihrer Abonnenten (z. B. Name und E-Mail-Adresse).
Um herauszufinden, ob das Fehlen des Double Opt-in als Verfahren zur Newsletter-Anmeldung einen Verstoß gegen deutsches Datenschutzrecht darstellt, müssen wir aber zuerst einen Blick in das wettbewerbsrechtliche Gesetz gegen den unlauteren Wettbewerb (UWG-neu Juli 2004) werfen, das auch einen Teil des rechtlichen Hintergrundes für das Double Opt-in bildet.
Das UWG legt fest, dass eine geschäftliche Handlung nicht zulässig ist, sollte sie einen Marktteilnehmer in unzumutbarer Weise belästigen. Hier verweist das UWG insbesondere auf Werbung durch eine automatische Anrufmaschine, eines Faxgeräts oder elektronischer Post ohne ausdrückliche Zustimmung des Adressaten im Vorfeld.
Im Hinblick auf den Newsletterversand schützt uns diese Bestimmung davor, dass wir jeden Tag von unerwünschten Werbemails überflutet werden. Es ist festgelegt, dass eine ausdrückliche Einwilligung der Abonnenten zum Empfang von Werbenewslettern vorliegen muss.
Newsletter-Anmeldung und DSGVO
Für jede Form von Newslettern gilt laut DSGVO zusätzlich: Die Verarbeitung der Abonnentendaten ist nur rechtskonform, wenn der Empfänger der Verarbeitung seiner personenbezogenen Daten zugestimmt hat. In dem Fall bedeutet das die Speicherung seiner E-Mail-Adresse und anderer Angaben, die er bei der Anmeldung gemacht hat.
Dass für diese Zustimmung das Double Opt-in Verfahren angewandt werden muss, ist so nicht in der DSGVO festgelegt. Das heißt, das Fehlen des Double Opt-ins bei der Newsletter-Anmeldung stellt an sich keinen Verstoß gegen die Datenschutz-Grundverordnung dar.
Gleichzeitig ist es aber im Interesse des Versenders, das Double Opt-in als Anmeldeprozess für seinen Newsletter zu nutzen. Denn die DSGVO legt weiterhin fest, dass der Newsletter-Versender jederzeit nachweisen können muss, dass die Abonnenten der Verarbeitung ihrer personenbezogenen Daten zugestimmt haben.
Diesen eindeutigen Nachweis anhand des Single oder Confirmed Opt-ins zu erbringen, wird sich für betroffene Versender als äußert schwierig herausstellen. Beim Double Opt-in liegt dem Versender der Nachweis durch den vom Empfänger nötigen Klick in der Bestätigungsmail dagegen automatisch vor. Sie müssen hierbei nur berücksichtigen, dass Ihnen in Ihrer Datenbank für jeden Empfänger der genaue Anmeldezeitpunkt vorliegen muss.
Mit rapidmail-Anmeldeformularen wird die die Anmeldung von neuen Newsletter-Empfängern immer per Double Opt-in durchgeführt. Dabei speichert rapidmail die IP-Adresse des Abonnenten sowie das Datum und den Zeitstempel der Newsletter-Anmeldung und der Bestätigung durch den Link-Klick. Diese Daten können von den rapidmail-Versendern dann über den Export der jeweiligen Empfängerliste eingesehen werden.
Zusätzlich sind Versender laut DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um einen ausreichenden Schutz der Empfängerdaten zu gewährleisten. Im Streitfall kann das Fehlen eines Double Opt-ins aufgrund seiner einfachen technischen und organisatorischen Umsetzung vor Gericht so ausgelegt werden, dass der Versender nicht alles in seiner Macht stehende getan hat, um die personenbezogener Daten seiner Abonnenten zu schützen. Ein weiterer Grund, weshalb wir Ihnen dringend zum Double Opt-in für die Newsletter-Anmeldung raten.
Abgesehen von der Absicherung auf rechtlicher Seite ist das Double Opt-in für Versender auch finanziell von Vorteil: Der Newsletter wird wirklich nur an Empfänger versendet, die sich dafür angemeldet haben, weil sie an den Inhalten interessiert sind. Die Ausgaben für den Versand an Empfänger, die den Newsletter eigentlich gar nicht erhalten möchten, werden so eingespart. Außerdem lassen sich die Newsletter-Statistiken bei Double Opt-in leichter auswerten, weil nur die Abonnenten berücksichtigt werden, die prinzipiell Interesse am Newsletter haben. Öffnungs- und Klickraten werden nicht von den Abonnenten beeinflusst, die nur unerwünschterweise auf der Empfängerliste stehen und den Newsletter grundsätzlich ignorieren.
3. Fazit: Ist ein fehlendes Double Opt-in ein Verstoß gegen die DSGVO?
Die Anwendung des Double Opt-ins für die Newsletter-Anmeldung neuer Empfänger ist nicht explizit in der DSGVO vorgeschrieben, weshalb das Fehlen dieses Verfahrens auch keinen Verstoß gegen die DSGVO darstellt.
Dennoch empfehlen wir allen Versendern ausdrücklich, vorsorglich die Double Opt-in Anmeldung zu nutzen. Im Zweifelsfall liegt so für jeden der Abonnenten eine ausdrückliche Zustimmung zum Erhalt der Newsletter vor, welche nötig ist, um einen rechtskonformen Versand nachzuweisen. Dieser Nachweis lässt sich durch Single Opt-in nicht erbringen, da jeder Website-Besucher beliebige E-Mail-Adressen in das Anmeldeformular für den Newsletter eintragen kann. Gleichzeitig können Versender im Streitfall vor Gericht zeigen, dass Sie sich mit der Nutzung des Double Opt-ins technisch und organisatorisch für den Schutz der Empfängerdaten eingesetzt haben.
Wenn Sie Newsletter-Anmeldeformulare von rapidmail verwenden, wird automatisch das Double Opt-in Verfahren angewendet. Sämtliche Daten, um die Zustimmung der Empfänger nachzuweisen, werden gespeichert, wie z. B. die IP-Adressen der Abonnenten oder Datum und Zeitstempel der Anmeldung und der Bestätigung. Wir weisen unsere Kunden außerdem darauf hin, nur E-Mail-Adressen von Kunden anzuschreiben sowie Mailadressen, die per Double Opt-in gesammelt wurden.
Mit rapidmail können Sie in nur wenigen Schritten ein Newsletter-Anmeldeformular in Ihre Website einbauen und so mit ruhigem Gewissen und DSGVO-konform Newsletter versenden!
Starten Sie jetzt kostenlos mit rapidmail
Sie können innerhalb weniger Sekunden ein kostenloses Konto erstellen und einfach loslegen.
Kostenlos starten