Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Newsletter dürfen nur mit vorheriger ausdrücklicher Einwilligung des Empfängers verschickt werden - die Einwilligung setzt zudem das Double-Opt-In-Verfahren voraus. Doch was passiert mit den für den Newsletter eingetragenen E-Mail-Adressen, die nicht rechtzeitig per Double-Opt-In bestätigt wurden?
Double-Opt-In und die Einwilligung zum Newsletterversand
Art. 17 Abs. 1 lit. a DSGVO schreibt die initiative und unverzügliche Löschung von personenbezogenen Daten auch ohne vorherigen Antrag des Betroffenen immer dann vor, wenn diese Daten für die Zwecke der Erhebung nicht mehr notwendig sind.
Emailadressen von Privaten stellen immer personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO dar, weil sie einer konkreten Person zugeordnet sind und mithin zumindest indirekt deren Identifizierung ermöglichen.
Meldet sich eine Person zu einem Email-Newsletter an, wird zumindest deren Mailadresse vom Versender erhoben und zunächst zum Zwecke der Durchführung des Double-Opt-In-Verfahrens gespeichert und verwendet.
Die originäre Anmeldung zu einem Newsletter durch Eintragung einer Mailadresse kann noch nicht als unbedingte Einwilligung in Erhalt der werblichen Kommunikation verstanden werden, weil im Wege des Double-Opt-Ins ein zweiter Verifizierungsschritt erforderlich ist.
Sicherzustellen ist vielmehr, dass die eingetragene Mailadresse auch tatsächlich zum informationswilligen Empfänger gehört. Dies geschieht über die Zusendung eines Bestätigungslinks an die eingetragene Adresse, dessen Anklicken erst den Einwilligungsprozess abschließt und den Newsletter-Versand in zulässiger Weise einleitet.
Wird eine E-Mail-Adresse für den Newsletter eingetragen, die Bestätigung im Double-Opt-In-Verfahren aber nicht innerhalb einer angemessenen Frist vorgenommen, so gilt dies grundsätzlich als Widerruf der Einwilligung in die Zusendung des Newsletters:
- Dies kann darin begründet liegen, dass eine Adresse eingetragen wurde, welche nicht dem Eintragenden, sondern einer anderen Person gehört.
- Andererseits wäre auch der Rückschluss möglich, dass sich der Eintragende schlichtweg im Nachgang doch gegen den Newsletter entschieden und mithin den Bestätigungslink nicht aktiviert hat.
Löschpflicht unbestätigter E-Mail-Adressen nach der DSGVO
Ungeachtet der Motive muss bei Nichtaktivierung des Bestätigungslinks im Rahmen der Newsletteranmeldung nach Ablauf einer gewissen Zeit davon ausgegangen werden, dass der Erhalt des Newsletters nicht (mehr) gewünscht ist.
In diesen Fällen ist die Verarbeitung der ursprünglich eingetragenen E-Mail-Adresse für den Versand des Newsletters somit nicht mehr erforderlich, da das Double-Opt-In-Verfahren nicht abgeschlossen wurde. Daraus ergibt sich eine Löschpflicht nach Art. 17 Abs. 1 lit. a DSGVO.
Freilich kann aber auf ein Abstandnehmen vom Newslettererhalt erst vernünftig geschlossen werden, wenn der Double-Opt-In-Bestätigungslink auch nach Verstreichenlassen einer angemessenen Reaktionszeit nicht aktiviert wurde. Für angemessen erachten wir ca. 3 Wochen.
Mithin gilt: Für den Newsletter eingetragene Mailadressen, die nicht innerhalb von 3 Wochen durch das Double-Opt-In vom Empfänger bestätigt werden, sollten nach Ablauf dieser Zeitspanne gelöscht werden.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
domnitsky / shutterstock.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar
Was mache ich denn, wenn sich nie ein Double-Opt-In eingeholt worden ist und teilweise nicht einmal ein Single-Opt-In, jetzt aber DSGVO konform Newsletter versendet werden sollen? Muss ich alle Mailadressen löschen und per DOI neu einholen (also warten, bis die Kunden sich wieder zum newsletter anmelden) oder darf ich an alle Mailadressen einen Newsletter schicken und um erneute Anmeldung bitten und dann den DOI einbauen?
Vielen Dank und liebe Grüße, Eva