Falle 2: Die Datenschutz-Einstellungen des Newsletter-Dienstleisters
In seinem § 3a fordert das Bundesdatenschutzgesetz unter dem Titel Datenvermeidung und Datensparsamkeit „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, […]“.
In seinem § 3a fordert das Bundesdatenschutzgesetz unter dem Titel Datenvermeidung und Datensparsamkeit „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, […]“.
Die Herausforderungen beim Umgang mit Newsletter-Dienstleistern
Wenn ich in meinem Unternehmen einen Newsletter-Dienstleister einsetze, geht es um die Verarbeitung von personenbezogenen Daten. Und damit kommt für Unternehmen in Deutschland – und nur für die sind die Ausführungen in diesem Blogartikel relevant – das Bundesdatenschutzgesetz (BDSG) in Spiel.
Was sind personenbezogene Daten?
Personenbezogene Daten definiert das Gesetz in § 3, Abs. 1 als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.
In unserem Zusammenhang sind das z. B. der Name, die Mailadresse oder die IP-Adresse, von der aus ich auf eine Webseite zugreife.
Dazu gehören aber auch alle Informationen, mit denen sich ein Profil über eine Person erstellen lassen. Dazu gehört z. B., wer wann in einem personalisierten E-Mail-Newsletter auf welchen Link geklickt hat.
Was ist bei der Arbeit mit personenbezogenen Daten zu beachten?
Wer bei uns personenbezogene Daten erheben, verarbeiten oder nutzen will, braucht dafür i. d. R. die Einwilligung des Betroffenen (BDSG § 4, Abs. 1).
Und er muss „einen Sack voll“ weiterer Regeln beachten!
Das gilt insbesondere, wenn ich die Daten nicht in Eigenregie verarbeite – mich dafür also eines Dienstleisters bediene.
Ja, es gibt auch entsprechende Software, die man auf eigenen Rechnern einsetzen kann. In der Regel ist das aber nicht ganz so einfach.
Wenn ich in meinem Unternehmen einen Newsletter-Dienstleister einsetze, geht es um die Verarbeitung von personenbezogenen Daten. Und damit kommt für Unternehmen in Deutschland – und nur für die sind die Ausführungen in diesem Blogartikel relevant – das Bundesdatenschutzgesetz (BDSG) in Spiel.
Was sind personenbezogene Daten?
Personenbezogene Daten definiert das Gesetz in § 3, Abs. 1 als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.
In unserem Zusammenhang sind das z. B. der Name, die Mailadresse oder die IP-Adresse, von der aus ich auf eine Webseite zugreife.
Dazu gehören aber auch alle Informationen, mit denen sich ein Profil über eine Person erstellen lassen. Dazu gehört z. B., wer wann in einem personalisierten E-Mail-Newsletter auf welchen Link geklickt hat.
Was ist bei der Arbeit mit personenbezogenen Daten zu beachten?
Wer bei uns personenbezogene Daten erheben, verarbeiten oder nutzen will, braucht dafür i. d. R. die Einwilligung des Betroffenen (BDSG § 4, Abs. 1).
Und er muss „einen Sack voll“ weiterer Regeln beachten!
Das gilt insbesondere, wenn ich die Daten nicht in Eigenregie verarbeite – mich dafür also eines Dienstleisters bediene.
Ja, es gibt auch entsprechende Software, die man auf eigenen Rechnern einsetzen kann. In der Regel ist das aber nicht ganz so einfach.
Nachfolgend haben wir Ihnen die häufigsten Fragen und Antworten zur neuen Datenschutzgrundverordnung aufgelistet.
Wir bitten dabei um folgende Kenntnisnahme:
Bitte beachten Sie, dass wir leider keine generelle Rechtsberatung geben und nur Empfehlungen, für die wir keine Haftung übernehmen, aussprechen können.
Wir empfehlen Ihnen, sich bzgl. der Themen an Ihren Rechtsberater zu wenden, da Sie im Sinne der DSGVO die verantwortliche Stelle sind.
Frage: Wie muss zukünftig das Newsletter-Anmeldeformular aussehen, damit es DSGVO-konform ist?
Ein Anmeldeformular muss folgende Voraussetzungen erfüllen (wie aktuelle Rechtsprechung auch):
a) Genaue und exakte Beschreibung, in was der Betroffene einwilligt (also genaue Art und Zweck der Erhebung).
b) Wiederrufmöglichkeit und Speicherdauer
c) Die Einwilligung muss freiwillig und explizit erfolgen und darf an keine anderen Leistungen gekoppelt sein.
d) Die Datenschutzerklärung muss bestätigt werden um sicherzugehen, dass der Betroffene diese zur Kenntnis genommen hat und über den genauen Umfang und Zweck der Datenerhebung aufgeklärt wurde.
e) Die Einwilligung mit dem jeweiligen Text muss sowohl im Formular wie auch in der Double-Opt-In-Mail gespeichert und ausgegeben werden, zudem muss dieser Vorgang protokolliert werden (insofern Sie ein CleverReach-Fomular verwenden, dokumentiert CleverReach die Daten für Neuanmeldungen).
f) Datensparsamkeit: Es darf (zumindest beim Newsletter-Formular) ausschließlich die E-Mail-Adresse als Pflichtangabe hinterlegt werden.
Muster-Textvorlage ohne Rechtsgewähr für einen Einwilligungstext im Newsletter-Formular
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden oder Ihre Einwilligung jederzeit per E-Mail an muster@beispiel.com widerrufen. Ihre Daten werden nach Beendigung des Newsletter-Empfangs innerhalb von XX Monaten gelöscht, sofern der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Frage: Muss eine Verlinkung mit der Datenschutzerklärung im Formular hinterlegt sein bzw. über ein Häkchen aktiv bestätigt werden?
Ja, siehe Punkt d) in der vorherigen Antwort.
Eine Checkbox hingegen ist nicht unbedingt notwendig. Wichtig ist, dass sichergestellt wird, dass der Empfänger die Datenschutzerklärung gelesen hat. Sie können die Datenschutzerklärung deswegen auch an den Text der Double-Opt-In-Mail koppeln.
Frage: Darf ich das Google-Captcha verwenden?
Ja, das Captcha darf genutzt werden, da mit dieser Funktion gem. DSGVO Art. 6, Abs. 1 Buchstabe f ein berechtigtes Interesse besteht, die Webseite des Kunden vor automatisierten Eingaben (z. B. Bot-Angriffe) zu schützen.
Auf das Captcha sollte in Ihren Datenschutzbestimmungen hingewiesen werden.
Muster-Textvorlage ohne Rechtsgewähr:
Wir verwenden den Google-Dienst reCaptcha, um festzustellen, ob ein Mensch oder ein Computer eine bestimmte Eingabe in unserem Kontakt- oder Newsletter-Formular macht. Google prüft anhand folgender Daten, ob Sie ein Mensch oder ein Computer sind: IP-Adresse des verwendeten Endgeräts, die Webseite, die Sie bei uns besuchen und auf der das Captcha eingebunden ist, das Datum und die Dauer des Besuchs, die Erkennungsdaten des verwendeten Browser- und Betriebssystem-Typs, Google-Account, wenn Sie bei Google eingeloggt sind, Mausbewegungen auf den reCaptcha-Flächen sowie Aufgaben, bei denen Sie Bilder identifizieren müssen. Rechtsgrundlage für die beschriebene Datenverarbeitung ist Art. 6 Abs. 1 Buchstabe f Datenschutz-Grundverordnung. Es besteht ein berechtigtes Interesse auf unserer Seite an dieser Datenverarbeitung, die Sicherheit unserer Webseite zu gewährleisten und uns vor automatisierten Eingaben (Angriffen) zu schützen.
Frage: Was muss genau in den Datenschutzerklärungen stehen...Mustererklärung?
Dies ist schwierig zu verallgemeinern, da dies bei jedem Kunden aufgrund unterschiedlicher Anforderung anders sein kann. Dementsprechend können wir keine Standard-Texte zur Verfügung stellen. Aus unserer Sicht sollten aber folgende Angaben Bestandteil der Erklärung sein:
a) Exakte, transparente und einfach zu verstehende Erklärung, was mit den Daten passiert (wo sie gespeichert werden, dass CleverReach als Dienstleister beauftragt wurde und eine Vereinbarung zur Auftragsdatenverarbeitung vorliegt)
b) Der genaue Zweck und Art der Datenerhebung
c) Wiederrufmöglichkeit
d) Speicherdauer und Speicherort
e) etwaige Tracking-Maßnahmen, wenn Öffnungen/Klicks personalisiert ausgewertet werden. Der Betroffene muss wissen, dass sein Öffnungs- und Klickverhalten getrackt wird (sofern eingesetzt)
f) Recht auf Datenauskunft und Löschung/Sperrung
Frage: Da wir Ihre Trackingfunktionen nutzen - müssen wir dies bereits im Anmeldeformular erwähnen oder reicht dies in den Datenschutzerklärungen?
Aus unserer Sicht reicht es aus, wenn in der Datenschutzerklärung darauf hingewiesen wird.
Eine Absicherung über Ihren Rechtsberater ist zu empfehlen.
Frage: Muss ich meine Empfänger neu erheben?
Fordern Sie nicht planlos das erneute Einverständnis Ihrer Empfänger ein, da dies für Sie einen Umsatzverlust bedeuten kann. Wir gehen davon aus, dass Sie als CleverReach® Kunde bereits in der Vergangenheit das korrekte Einverständnis Ihrer Empfänger eingeholt haben und somit das erneute Einholen der Einverständniserklärung nicht notwendig ist.
Als Beispiel: Sie haben 100.000 Empfänger, von denen maximal 20 % auf den Bestätigungslink klicken. Sie können so 80.000 potenzielle Kunden verlieren und einen dramatischen Umsatzverlust in der Zukunft erleiden!
Unter https://www.youtube.com/watch?v=rBPkA9h2Iug finden Sie zudem ein Video von unserem Geschäftsführer zu dem Thema.
Wir bitten dabei um folgende Kenntnisnahme:
Bitte beachten Sie, dass wir leider keine generelle Rechtsberatung geben und nur Empfehlungen, für die wir keine Haftung übernehmen, aussprechen können.
Wir empfehlen Ihnen, sich bzgl. der Themen an Ihren Rechtsberater zu wenden, da Sie im Sinne der DSGVO die verantwortliche Stelle sind.
Frage: Wie muss zukünftig das Newsletter-Anmeldeformular aussehen, damit es DSGVO-konform ist?
Ein Anmeldeformular muss folgende Voraussetzungen erfüllen (wie aktuelle Rechtsprechung auch):
a) Genaue und exakte Beschreibung, in was der Betroffene einwilligt (also genaue Art und Zweck der Erhebung).
b) Wiederrufmöglichkeit und Speicherdauer
c) Die Einwilligung muss freiwillig und explizit erfolgen und darf an keine anderen Leistungen gekoppelt sein.
d) Die Datenschutzerklärung muss bestätigt werden um sicherzugehen, dass der Betroffene diese zur Kenntnis genommen hat und über den genauen Umfang und Zweck der Datenerhebung aufgeklärt wurde.
e) Die Einwilligung mit dem jeweiligen Text muss sowohl im Formular wie auch in der Double-Opt-In-Mail gespeichert und ausgegeben werden, zudem muss dieser Vorgang protokolliert werden (insofern Sie ein CleverReach-Fomular verwenden, dokumentiert CleverReach die Daten für Neuanmeldungen).
f) Datensparsamkeit: Es darf (zumindest beim Newsletter-Formular) ausschließlich die E-Mail-Adresse als Pflichtangabe hinterlegt werden.
Muster-Textvorlage ohne Rechtsgewähr für einen Einwilligungstext im Newsletter-Formular
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden oder Ihre Einwilligung jederzeit per E-Mail an muster@beispiel.com widerrufen. Ihre Daten werden nach Beendigung des Newsletter-Empfangs innerhalb von XX Monaten gelöscht, sofern der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Frage: Muss eine Verlinkung mit der Datenschutzerklärung im Formular hinterlegt sein bzw. über ein Häkchen aktiv bestätigt werden?
Ja, siehe Punkt d) in der vorherigen Antwort.
Eine Checkbox hingegen ist nicht unbedingt notwendig. Wichtig ist, dass sichergestellt wird, dass der Empfänger die Datenschutzerklärung gelesen hat. Sie können die Datenschutzerklärung deswegen auch an den Text der Double-Opt-In-Mail koppeln.
Frage: Darf ich das Google-Captcha verwenden?
Ja, das Captcha darf genutzt werden, da mit dieser Funktion gem. DSGVO Art. 6, Abs. 1 Buchstabe f ein berechtigtes Interesse besteht, die Webseite des Kunden vor automatisierten Eingaben (z. B. Bot-Angriffe) zu schützen.
Auf das Captcha sollte in Ihren Datenschutzbestimmungen hingewiesen werden.
Muster-Textvorlage ohne Rechtsgewähr:
Wir verwenden den Google-Dienst reCaptcha, um festzustellen, ob ein Mensch oder ein Computer eine bestimmte Eingabe in unserem Kontakt- oder Newsletter-Formular macht. Google prüft anhand folgender Daten, ob Sie ein Mensch oder ein Computer sind: IP-Adresse des verwendeten Endgeräts, die Webseite, die Sie bei uns besuchen und auf der das Captcha eingebunden ist, das Datum und die Dauer des Besuchs, die Erkennungsdaten des verwendeten Browser- und Betriebssystem-Typs, Google-Account, wenn Sie bei Google eingeloggt sind, Mausbewegungen auf den reCaptcha-Flächen sowie Aufgaben, bei denen Sie Bilder identifizieren müssen. Rechtsgrundlage für die beschriebene Datenverarbeitung ist Art. 6 Abs. 1 Buchstabe f Datenschutz-Grundverordnung. Es besteht ein berechtigtes Interesse auf unserer Seite an dieser Datenverarbeitung, die Sicherheit unserer Webseite zu gewährleisten und uns vor automatisierten Eingaben (Angriffen) zu schützen.
Frage: Was muss genau in den Datenschutzerklärungen stehen...Mustererklärung?
Dies ist schwierig zu verallgemeinern, da dies bei jedem Kunden aufgrund unterschiedlicher Anforderung anders sein kann. Dementsprechend können wir keine Standard-Texte zur Verfügung stellen. Aus unserer Sicht sollten aber folgende Angaben Bestandteil der Erklärung sein:
a) Exakte, transparente und einfach zu verstehende Erklärung, was mit den Daten passiert (wo sie gespeichert werden, dass CleverReach als Dienstleister beauftragt wurde und eine Vereinbarung zur Auftragsdatenverarbeitung vorliegt)
b) Der genaue Zweck und Art der Datenerhebung
c) Wiederrufmöglichkeit
d) Speicherdauer und Speicherort
e) etwaige Tracking-Maßnahmen, wenn Öffnungen/Klicks personalisiert ausgewertet werden. Der Betroffene muss wissen, dass sein Öffnungs- und Klickverhalten getrackt wird (sofern eingesetzt)
f) Recht auf Datenauskunft und Löschung/Sperrung
Frage: Da wir Ihre Trackingfunktionen nutzen - müssen wir dies bereits im Anmeldeformular erwähnen oder reicht dies in den Datenschutzerklärungen?
Aus unserer Sicht reicht es aus, wenn in der Datenschutzerklärung darauf hingewiesen wird.
Eine Absicherung über Ihren Rechtsberater ist zu empfehlen.
Frage: Muss ich meine Empfänger neu erheben?
Fordern Sie nicht planlos das erneute Einverständnis Ihrer Empfänger ein, da dies für Sie einen Umsatzverlust bedeuten kann. Wir gehen davon aus, dass Sie als CleverReach® Kunde bereits in der Vergangenheit das korrekte Einverständnis Ihrer Empfänger eingeholt haben und somit das erneute Einholen der Einverständniserklärung nicht notwendig ist.
Als Beispiel: Sie haben 100.000 Empfänger, von denen maximal 20 % auf den Bestätigungslink klicken. Sie können so 80.000 potenzielle Kunden verlieren und einen dramatischen Umsatzverlust in der Zukunft erleiden!
Unter https://www.youtube.com/watch?v=rBPkA9h2Iug finden Sie zudem ein Video von unserem Geschäftsführer zu dem Thema.