Newsletter gehören in vielen Unternehmen, Organisationen und Vereinen zum Alltag. Sie dienen dazu, Mitglieder, Kunden oder Interessierte regelmäßig über Neuigkeiten, Aktionen oder Veranstaltungen zu informieren oder für Angebote zu werben. Gerade deshalb sind datenschutzrechtliche Vorgaben der DSGVO zu beachten. Beide Rechtsbereiche greifen ineinander und bestimmen, ob ein Newsletter rechtmäßig versendet werden darf.
Warum Newsletter personenbezogene Daten betreffen
Ein Newsletter lässt sich ohne personenbezogene Daten nicht versenden. Mindestens eine E-Mail-Adresse – bei postalischer Zusendung die Anschrift – ist notwendig. Sobald diese Daten verarbeitet werden, greift die DSGVO. Damit stellt sich die zentrale Frage: Wie kann der Newsletter DSGVO-konform gestaltet werden?Bei der Frage der Rechtmäßigkeit muss zunächst die richtige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gefunden werden.
Rechtsmäßigkeit: Welche Rechtsgrundlagen kommen in Frage?
Erfüllung eines Vertrags – selten ausreichend
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie zur Erfüllung eines Vertrags notwendig ist (Art. 6 Abs. 1 lit. b DSGVO). Ein Newsletter ist jedoch in den allermeisten Fällen nicht unbedingt erforderlich, um einen Vertrag zu erfüllen. Ein Rückgriff auf diese Rechtsgrundlage scheidet daher meist aus.
Einwilligung – der Regelfall
In der Praxis stützt sich der Newsletter-Versand fast immer auf eine Einwilligung (Art. 6 Abs. 1 lit. b DSGVO) der Empfänger. Diese muss freiwillig, informiert und eindeutig sein. Bevor die Einwilligung eingeholt wird, müssen die Newsletter-Empfänger über die Datenverarbeitung informiert werden – die Informationspflichten ergeben sich aus Art. 13 DSGVO.
Besonders wichtig ist das Double-Opt-In-Verfahren:
Nach der Anmeldung erhält die Person eine Bestätigungs-E-Mail, in der sie den Wunsch zum Newsletter-Bezug erneut bestätigt. Erst dann ist die Einwilligung wirksam. Die Einwilligung darf außerdem nicht an andere Leistungen gekoppelt werden; sie muss freiwillig erfolgen. Unternehmen und Vereine sollten die Einwilligungen dokumentieren, um diese im Streitfall nachweisen zu können.
Berechtigtes Interesse – mit Vorsicht zu genießen
Grundsätzlich kann auch Werbung ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) darstellen. Allerdings muss hier immer eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen der betroffenen Personen stattfinden. Gerade im Hinblick auf § 7 UWG wird die Abwägung regelmäßig zugunsten der betroffenen Personen ausfallen. Aus diesem Grund sollte bei Newslettern immer die Einwilligung bevorzugt werden.
Informationspflichten und Datenschutzhinweise
Bevor eine Einwilligung abgegeben wird, müssen die Empfänger vollständig über die Datenverarbeitung informiert werden. Diese Informationen gehören in eine Datenschutzerklärung, die speziell auf den Newsletter zugeschnitten ist. Sie muss vor Abgabe der Einwilligung verfügbar sein – etwa über einen klar erkennbaren Link im Anmeldeformular.
Wichtig: Einfache Möglichkeit zur Abmeldung
Jeder Newsletter muss eine leicht zugängliche und jederzeit nutzbare Abmeldemöglichkeit enthalten. Ein einfacher Link „Newsletter abbestellen“ am Ende jeder E-Mail genügt in der Regel. Die Abmeldung muss ohne zusätzliche Hürden funktionieren.
Einbindung externer Dienstleister
Viele Organisationen nutzen für die Versendung ihrer Newsletter externe Anbieter. Wird ein solcher Dienstleister eingesetzt, handelt es sich um eine Auftragsverarbeitung. In diesem Fall ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Der Dienstleister muss sorgfältig ausgewählt werden und ein angemessenes Datenschutzniveau gewährleisten.
Interne Dokumentationspflichten
Auch intern bestehen Pflichten. Die Verarbeitung personenbezogener Daten für den Newsletter-Versand muss im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden. Dies umfasst unter anderem die Kategorien der Daten, den Zweck der Verarbeitung, die eingesetzten Systeme sowie die vorgesehenen Löschfristen.
Fazit
Newsletter sind ein wertvolles Kommunikationsinstrument – doch gerade im Datenschutz gelten strenge Anforderungen. In der Regel ist eine klar formulierte und dokumentierte Einwilligung Voraussetzung für den Versand. Transparenz, eine leicht auffindbare Datenschutzerklärung und eine unkomplizierte Abmeldemöglichkeit gehören ebenfalls dazu. Wer externe Anbieter nutzt, muss zudem einen Auftragsverarbeitungsvertrag abschließen und die Verarbeitung intern dokumentieren. Werden diese Anforderungen erfüllt, steht einem rechtssicheren Newsletter-Marketing nichts im Wege.