Ich bin ein Newsletter-Muffel, habe nur wenige abonniert. Dennoch erreichen mich derzeit täglich etliche E-Mails, in denen ich – mal freundlich („wir wären Ihnen dankbar“), mal resolut („heute noch bestätigen“), mal drohend („wir können Sie ansonsten nicht mehr informieren“) – um Bestätigung einer Newsletter-Anmeldung gebeten werde. Gelegentlich kommt sogar noch eine zweite Mail, in der ich an die noch ausstehende Bestätigung erinnert werde. Und Mandanten fragen besorgt, ob sie nicht vor dem 25. Mai 2018 eine entsprechende Rundmail an alle Bezieher des Newsletters und alle Empfänger von „Produktempfehlungen“ versenden müssen. Man möchte ja im Hinblick auf die DSGVO und drohende Bußgelder nichts falsch machen.
Last-minute-Rundmails: Im Zweifel nein
Im Zweifel sollte man auf nervende Rundmails verzichten. Denn die DSGVO ändert die Regeln für Newsletter und Werbemails nicht. Diese Regeln sind in Deutschland sehr streng („Double-Opt-In“ dazu Härting, „Kein Ende des Double-Opt-In – Klärung durch BGH zu erwarten“, CRonline Blog v. 21.11.2012), und sie sind nicht im Datenschutzrecht zu finden, sondern im Wettbewerbsrecht (§ 7 UWG), auf europäischer Ebene in der ePrivacy-Richtlinie, die nach dem 25.5.2018 unverändert bestehen bleibt.
Wer gegen die Newsletterregeln in Deutschland verstößt, riskiert Abmahnungen der Verbraucher- und Wettbewerbsvereine oder Anwaltspost des Empfängers (siehe Härting, „Double-Opt-In: Auf den Sachverhalt kommt es an!“, CRonline Blog v. 23.11.2012).
Die Datenschutzbehörden sind für die Durchsetzung des Wettbewerbsrechts nicht zuständig. Daran ändert die DSGVO nichts. Auch nach dem 25.5.2018 können die Datenschutzbehörden gegen Unternehmer, die ohne „Double-Opt-In“ Werbemails versenden, keine Bußgelder verhängen.
Was gilt für die verwendeten E-Mails-Adressen?
Auch wenn sich die Regeln für den Newsletterversand durch die DSGVO nicht ändern, gibt es DSGVO-Vorschriften, die für die verwendeten E-Mail-Adressen gelten (zu den Compliance-Pflichten nach DSGVO Thode, CR 2016, 714 ff.):
- E-Mail-Verteiler:
Der E-Mail-Verteiler muss im Verfahrensverzeichnis beschrieben werden. Angaben zu den Adressen gehören in die Datenschutzinformationen und Privacy Policies (Art. 13 und 14 DSGVO). - Dienstleister:
Werden Dienstleister für den E-Mail-Versand eingesetzt, muss ein Vertrag über die Auftragsverarbeitung abgeschlossen werden. - Auskunftsverlangen:
Verlangt der Empfänger eines Newsletters Auskunft zur Herkunft seiner Adresse („Woher hast Du meine E-Mail-Adresse? Was hast Du sonst noch für Daten über mich?“), muss das Unternehmen diese Anfrage innerhalb eines Monats vollständig beantworten (Art. 15 und 12 Abs. 3 DSGVO).
Analyse und Personalisierung von Newslettern
Soweit es um die Personalisierung von Newslettern geht, findet die DSGVO und nicht das UWG Anwendung. Vielfach wird erfasst, welche Beiträge von den Abonnenten angeklickt und gelesen werden. Für diese Form der Analyse bedarf es einer Rechtfertigung nach Art. 6 Abs. 1 DSGVO. Eine solche Rechtfertigung kann sich der Newsletter-Anbieter durch eine Einwilligung (Art. 6 Abs. 1 Satz 1 lit. a DSGVO) verschaffen. Wer dies bislang versäumt hat, braucht jedoch nicht alle Newsletter-Empfänger um erneute Zustimmung zum Erhalt des Newsletters bitten. Vielmehr reicht es aus, sich die Zustimmung zu der Analyse des Nutzungsverhaltens und der Personalisierung des Newsletters bestätigen zu lassen.
Fazit
Es gibt im Ergebnis keine Notwendigkeit, alle Empfänger von Werbemails und Newslettern um erneute Einwilligung zu bitten. Dies gilt nicht nur für Deutschland, sondern auch beispielsweise in Großbritannien. Der stellvertretende britische Datenschutzbeauftrage warnte vor einigen Tagen sogar vor irreführende Praktiken im Zusammenhang mit „Massenmails“, die zur Einholung von Einwilligungen versendet werden  (Wood, „Raising the bar – consent under the GDPR“, ICO Blog, 9 May 2018).
Wer meint, auf eine Erneuerung von Einwilligungen nicht verzichten zu wollen, sollte Folgendes beachten:
- Keine Irreführung: Wer bisher über keine sauber dokumentieren Einwilligungen der Mailempfänger verfügte, riskiert den Vorwurf wettbewerbswidriger Irreführung, wenn er den Empfänger um eine bloße „Bestätigung“ oder „Wiederholung“ der Einwilligung bittet.
- Keine Belästigung: Die Mail mit der Bitte um Werbeeinwilligung ist selbst eine (potenziell wettbewerbswidrige) Werbemail. Um keine Abmahnungen zu provozieren, sollte man von einer wiederholten Versendung derartiger Mails („Erinnerungen“) absehen.
- Transparenz: Wer die Aufregung rund um die DSGVO dazu nutzen möchte, die bislang versäumte Bitte um Einwilligung in die Personalisierung von Werbung nachzuholen oder sich einen neuen Werbekanal zu eröffnen (z.B. Telefonwerbung), sollte transparent kommunizieren und diese Bitte nicht im Kleingedruckten verstecken.
- Augenmaß: Nicht in allen Unternehmen sind die Newsletter-Einwilligungen und das Double-Opt-In sauber dokumentiert. Die DSGVO-Projekte sind ein guter Anlass, in Zukunft für eine lückenlose Dokumentation zu sorgen. Zugleich sollte man bedenken, dass „alte“ Kunden, die sich in der Vergangenheit nie über Werbemails beschwert haben, auch nach dem 25.5. kaum Abmahnungen versenden (lassen) werden. Auch dies spricht dagegen, „alte“ Abonnenten mit Einwilligungs- und Bestätigungsmails zu überhäufen.