Frage des Tages: DSGVO-Löschpflicht für nicht per Double-Opt-In bestätigte Newsletter-Mailadressen?

Der Versand von Email-Newslettern ist nur bei vorheriger ausdrücklicher Einwilligung des Empfängers zulässig. Um sicherzustellen, dass die bei der Newsletter-Anmeldung verwendete Mailadresse auch tatsächliche diejenige des Anmelders ist, setzt die Einwilligung das Double-Opt-In voraus. Erst durch Aktivierung eines Links in einer Anmelde-Bestätigungsmail darf der Newsletter-Versand gestartet werden. Doch wie verhält es sich mit für den Newsletter eingetragenen Mailadressen, die nicht zeitig per Double-Opt-In bestätigt werden? Sind diese nach der DSGVO zu löschen? Antwort gibt der aktuelle Beitrag der IT-Recht Kanzlei.

Art. 17 Abs. 1 lit. a DSGVO schreibt die initiative und unverzügliche Löschung von personenbezogenen Daten auch ohne vorherigen Antrag des Betroffenen immer dann vor, wenn diese Daten für die Zwecke der Erhebung nicht mehr notwendig sind.

Emailadressen von Privaten stellen immer personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO dar, weil sie einer konkreten Person zugeordnet sind und mithin zumindest indirekt deren Identifizierung ermöglichen. Meldet sich eine Person zu einem Email-Newsletter an, wird zumindest deren Mailadresse vom Versender erhoben und zunächst zum Zwecke der Durchführung des Double-Opt-In-Verfahrens gespeichert und verwendet.

Die originäre Anmeldung zu einem Newsletter durch Eintragung einer Mailadresse kann allerdings noch nicht als unbedingte Einwilligung in Erhalt der werblichen Kommunikation verstanden werden, weil im Wege des Double-Opt-Ins ein zweiter Verifizierungsschritt erforderlich ist. Insofern ist sicherzustellen, dass die eingetragene Mailadresse auch tatsächlich zum informationswilligen Empfänger gehört. Dies geschieht über die Zusendung eines Bestätigungslinks an die eingetragene Adresse, dessen Anklicken erst den Einwilligungsprozess abschließt und den Newsletter-Versand in zulässiger Weise einleitet.

Wird nun eine Mailadresse zwar für einen Newsletterversand eingetragen, aber sodann nicht über die zweite Stufe des Double-Opt-Ins, also den Bestätigungslink, binnen einer angemessenen Frist auch verifiziert, ist grundsätzlich auf ein Abstandnehmen von der Einwilligungserteilung in den Newsletterversand zu schließen.

Dies kann einerseits darin begründet liegen, dass eine Adresse eingetragen wurde, welche nicht dem Eintragenden, sondern einer anderen Person gehört. Andererseits wäre auch der Rückschluss möglich, dass sich der Eintragende schlichtweg im Nachgang doch gegen den Newsletter entschieden und mithin den Bestätigungslink nicht aktiviert hat.

Ungeachtet der Motive muss bei Nichtaktivierung des Bestätigungslinks im Rahmen der Newsletteranmeldung nach Ablauf einer gewissen Zeit davon ausgegangen werden, dass der Erhalt des Newsletters nicht (mehr) gewünscht ist.

Mithin ist in diesen Fällen die Erhebung (als Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO) der originär eingetragenen Mailadresse für den Zweck des Newsletterversandes nicht mehr erforderlich. Eine hinreichendes Double-Opt-In-Verfahren wurde nämlich nicht abgeschlossen. Dies löst eine korrespondierende Löschpflicht gemäß Art. 17 Abs. 1 lit. a DSGVO aus.

Freilich kann aber auf ein Abstandnehmen vom Newslettererhalt erst vernünftig geschlossen werden, wenn der Double-Opt-In-Bestätigungslink auch nach Verstreichenlassen einer angemessenen Reaktionszeit nicht aktiviert wurde. Für angemessen erachtet die IT-Recht Kanzlei ca. 3 Wochen.

Mithin gilt: Für den Newsletter eingetragene Mailadressen, die nicht innerhalb von 3 Wochen durch das Double-Opt-In vom Empfänger bestätigt werden, sind nach Ablauf dieser Zeitspanne unverzüglich zu löschen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.