DSGVO für Onlinehändler leicht verständlich – Teil 1: Der Newsletterversand

Die Datenschutz-Grundverordnung (DSGVO) ist derzeit ein Schreckgespenst für Onlinehändler. So auch in Bezug auf den Versand von Newslettern, einem unerlässlichen Werbeinstrument. Die IT-Recht Kanzlei möchte im Rahmen einer News-Serie Onlinehändlern komprimiertes Praxiswissen zu den wichtigsten für die DSGVO relevanten Vorgängen des Tagesgeschäfts vermitteln und zugleich aufzeigen, dass die DSGVO auch für kleine Verkäufer eine lösbare Herausforderung ist.

Manches neu, vieles bleibt beim Alten – jedenfalls kein Grund zur Panik!

Bezüglich der zum 25.05.2018 zu beachtenden Änderungen im Bereich des Datenschutzes wird derzeit einige Panikmache betrieben. Es werden Ängste geschürt, jeder Klein(st)händler müsse im Bereich des Datenschutzes ab dem 25.05.2018 Geschütze wie ein Weltkonzern auffahren.

Die IT-Recht Kanzlei möchte Händlern mit dieser Serie auch unberechtigte Ängste und Sorgen nehmen und vielmehr lösungsorientierte Anleitungen für kleine und mittlere Onlinehändler bieten, um den Hafen der DGSVO sicher zu erreichen.

Enge gesetzliche Vorgaben für den zulässigen Versand von Werbemails

Bereits heute ist der rechtmäßige Versand von Email-Newslettern an enge gesetzliche Vorgaben geknüpft. Die IT-Recht Kanzlei informiert dazu umfassend hier: https://www.it-recht-kanzlei.de/rechtssichere-e-mail-werbung.html . Wer sich beim Versand von Werbeemails nicht an die gesetzlichen Vorgaben hält, riskiert eine Abmahnung.

Daran wird sich nichts ändern: Auch ab dem 25.05.2018 wird Email-Werbung, die nicht den gesetzlichen Vorgaben entspricht, über kurz oder lang zu Ärger führen. Sei es durch den belästigten Email-Empfänger selbst, durch Mitbewerber, die Wind davon bekommen haben oder Abmahnverbände, die beschwerdehalber tätig werden.

Deshalb sind Onlinehändler gut beraten, auch nach dem 25.05.2018 die gesetzlichen Vorgaben beim Newsletterversand einzuhalten.

Ohne Einwilligung geht auch nach der DSGVO (fast) nichts

Die Versendung von Werbemails darf nach bestehendem Recht – von der praktisch so gut wie nie einschlägigen Ausnahme nach § 7 Abs. 3 UWG abgesehen – nur bei Vorliegen einer vorherigen, ausdrücklichen Einwilligung des Email-Empfängers erfolgen. Im Zweifel muss der Versender die erteilte Einwilligung dann auch nachweisen können.

Auch die DSGVO setzt auf das bewährte System der Einwilligung. So heißt es zur Vornahme der Einwilligung in elektronischer Form in Erwägungsgrund 32 der DSGVO:

"Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen."

Bestandseinwilligungen gelten über den 25.05.2018 hinaus fort

Sofern die bereits eingeholten Einwilligungen der Email-Empfänger nach den geltenden Vorgaben des BDSG und TMG wirksam eingeholt wurden und auch den Vorgaben der DSGVO entsprechen, gelten diese fort.

Es wird also nicht generell erforderlich sein, ab dem 25.05.2018 von „Bestandsempfängern“ neue Einwilligungen einzuholen.

Neu: Strengeres Koppelungsverbot

Die DSGVO betont recht deutlich das Freiwilligkeitskriterium der Einwilligung.

In Erwägungsgrund 32 der Verordnung heißt es dazu:

"Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung."

Im Onlinehandel ist häufig zu beobachten, dass für das Generieren von Newsletteranmeldungen bestimmte Anreize gesetzt werden, etwa

• Teilnahme an Gewinnspiel setzt Newsletteranmeldung voraus
• Gutscheingewährung setzt Newsletteanmeldung voraus
• Rabattgewährung setzt Newsletteanmeldung voraus
• Erhalt eines Gratisartikels setzt Newsletteanmeldung voraus

Hier bleibt für die Praxis abzuwarten, bei welchen „Koppelungen“ künftig nicht mehr von der erforderlichen Freiwilligkeit einer Einwilligung ausgegangen werden kann.

Mit der DSGVO dürfte eine Verschärfung des Koppelungsverbots einhergehen. Letztlich sieht die DSGVO jedoch kein starres Koppelungsverbot vor, es wird vielmehr immer auf den Einzelfall ankommen.

Neu: „Simplizitätsgebot“ für den Widerruf der Einwilligung

Auch künftig gilt: Die erteilte Einwilligung in den Erhalt von Email-Werbung muss jederzeit widerrufen werden können.

Eine neue Herausforderung in diesem Zusammenhang ist das in der DSGVO vorgesehene Simplizitätsgebot. Dieses gebietet, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung gestaltet sein muss.

Wenn also die Erteilung der Einwilligung online erfolgt, kann beispielsweise nicht gefordert werden, dass der Newsletterempfänger seinen Widerruf postalisch zu erklären hat.

Die Newsletteabmeldung durch Betätigung eines eindeutig bezeichneten Links genügt den Anforderungen auch künftig.

Der Einwilligende ist über die Widerrufsmöglichkeit bereits bei Erteilung der Einwilligung in Kenntnis zu setzen.

Neu: Umfassende Information über den Newsletterversand auch in der Datenschutzerklärung

Die bloße Einwilligung in den Erhalt von Email-Werbung genügt künftig den Anforderungen noch nicht.

Onlinehändler müssen zudem im Rahmen einer Datenschutzerklärung künftig ausführlich über die Erhebung und Verarbeitung von Daten im Zusammenhang mit dem Newslettermarketing informieren.

Artikel 13 Abs. 1 DSGVO zählt dafür einen Katalog an Pflichtinformationen auf, die eine Datenschutzerklärung künftig enthalten muss. Ein Händler, der einen Newsletterversand anbietet, muss dann in Datenschutzerklärung insbesondere vorhalten:

• Informationen über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen.
• Nennung der Rechtsgrundlage für die Datenverarbeitung.
• Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.
• Informationen über das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird

Praxistipps

1. Wie auch schon nach bisheriger Rechtslage ist also entscheidende Voraussetzung für einen rechtssicheren Email-Newsletters auch nach der DSGVO eine ausreichende Einwilligung des Email-Empfängers.

Dabei gilt es insbesondere zu beachten:

• Eine „untergeschobene“ Einwilligung z.B. durch vorangehakte Checkboxen, durch Opt-Out oder durch die Akzeptanz von in AGB versteckten Einwilligungstexten ist keine geeignete Einwilligung. Eine wirksame Einwilligung erfolgt durch eine ausdrückliche Bestätigungshandlung des Einwilligenden;
• Eine wirksame Einwilligung setzt ausreichende Information des Einwilligenden voraus – er muss erkennen können, worin er genau einwilligt;
• Eine wirksame Einwilligung setzt die Information des Einwilligenden bei Erteilung der Einwilligung voraus, dass er jederzeit die Möglichkeit zum Widerruf der Einwilligung hat;
• Eine wirksame Einwilligung muss freiwillig erfolgen und sollte daher nicht an andere Vorgänge „gekoppelt“ werden (z.B. Teilnahme an Gewinnspielen, Erhalt von Gutscheinen oder Rabatten);
• Einwilligungen von Personen, die das 16. Lebensjahr noch nicht vollendet haben sind als problematisch anzusehen;
• Nachweisbarkeit der Einwilligung muss gegeben sein – an einer Protokollierung führt also kein Weg vorbei.

2. Ab dem 25.05.2018 sollte unbedingt eine an die Vorgaben der DSGVO angepasste Datenschutzerklärung auf den Webseiten zum Einsatz kommen.

3. Es muss eine simple Abmeldemöglichkeit vorgehalten werden.

4. Bis zur Klärung der Praxisanforderungen, sollten in Bezug auf das Koppelungsverbot Koppelungen möglichst vermieden werden.

In Bezug auf den Newsletterversand bleibt festzuhalten

Die mit der DSGVO kommenden Änderungen im Bereich des Newslettermarketings sind sehr überschaubar.

Allerdings muss in jedem Falle die Datenschutzerklärung bis zum 25.05.2018 an die Vorgaben der DSGVO angepasst werden.

Handlungsanleitung zur Gestaltung einer abmahnsicheren Newsletter-Anmelde-Funktion

Tipp: Die aktuelle Handlungsanleitung der IT-Recht Kanzlei zeigt auf, wie der Anmeldungsvorgang zum Newsletter nach den Vorgaben der Datenschutz-Grundverordnung insgesamt rechtssicher gestaltet werden kann. Zudem werden viele Formulierungsmuster zur Verfügung gestellt.

Fazit

Onlinehändler sollten sich von der kommenden DSGVO nicht verunsichern lassen. Es wird nichts so heiß gegessen, wie es gekocht wird. Vieles, was derzeit in der Theorie problematisiert wird, dürfte vermutlich in der Praxis weit weniger relevant sein, als derzeit angenommen.

Ein besonderes Augenmerk hinsichtlich der DSGVO sollten Onlinehändler dagegen auf ihre „Außenwirkung“ legen, also auf das, was im Rahmen der Verkaufspräsenzen in Bezug auf den Datenschutz nach außen hin erkennbar ist.

Denn: Das realistischste Bedrohungsszenario für Onlinehändler dürfte auch hinsichtlich der DSGVO die Abmahnung durch Mitwebewerber und Wettbewerbsverbände sein. Hier werden in aller Regel Umstände abgemahnt, die nach außen hin gut erkennbar sind (z.B. eine veraltete Datenschutzerklärung oder ein offensichtlich unzureichender Einwilligungstexte bei der Newsletteranmeldung).

Die IT-Recht Kanzlei bereitet ihre Mandanten selbstverständlich mit einer speziell auf die Vorgaben der DSGVO angepassten Datenschutzerklärung sowie zahlreichen Mustern (etwa für die Erstellung eines Verarbeitungsverzeichnisses), Leitfäden und Newsbeiträgen lösungsorientiert auf den 25.05.2018 vor, so dass ein sorgenfreier „Umstieg“ für Onlinehändler auf das neue Datenschutzrecht nach der DSGVO gewährleistet ist.

IT-Recht Kanzlei: bietet ab Ende März neue direkt einsetzbare Datenschutzerklärungen an

Wir werden unsere Mandanten bereits ab Ende März mit den neuen Datenschutzerklärungen für

• den eigenen Online-Shop,
• die eigene Präsentations- bzw. Homepage,
• eBay,
• Amazon,
• DaWanda,
• Etsy,
• und allen weiteren von uns angebotenen deutschsprachigen Rechtstexten

versorgen.

Diese Datenschutzerklärungen, die vollumfänglich den Anforderungen der Datenschutz-Grundverordnung entsprechen, werden dann auch sofort verwendet werden können. So können sich unsere Mandanten in aller Ruhe auf die gesetzlichen Neuerungen vorbereiten und müssen nicht alle Rechtstexte "in der Nacht" zum 25.05.2018 austauschen!

Weiterer Service der IT-Recht Kanzlei in Sachen Datenschutz-Grundverordnung

Darüber hinaus werden wir unseren Mandanten ab April 2018 weitere Hilfestellungen in Sachen DSGVO zur Verfügung stellen:

1. Ein Muster (inklusive detaillierter Handlungsanleitung) für das obligatorische Verzeichnis für Verarbeitungstätigkeiten.

2. Checkliste und ein Muster für die Datenschutzfolgenabschätzung

3. Muster für die Dokumentation im Falle einer Datenpanne

4. Diverse Handlungsanleitungen, die sich mit folgenden Themen auseinandersetzen:

• der richtige Umgang mit Newslettern und die sichere Einholung von Einwilligungen
• der rechtskonforme Einsatz von Google-Analytics
• wie bindet man Videos richtig ein
• Verwendung von Bannern und Pop-Ups zur Information über Cookies
• wann und wie können Telefonnummern an Paketdienstleister zu Ankündigungszecken weitergeleitet werden
• unter welchen Voraussetzungen können Kundenfeedback-Anfragen versendet werden
• und vieles mehr!

Weitere Informationen hierzu finden Sie in unserem aktuellen Beitrag: Die Datenschutz-Grundverordnung kommt – mit den Schutzpaketen der IT-Recht Kanzlei sind Sie bestens vorbereitet!

Wenn Sie noch kein Schutzpaket der IT-Recht Kanzlei nutzen und sich für die DSGVO fit machen möchten, dann schauen Sie doch einmal hier vorbei!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.