NewsletterDigitalstrategie

Newsletter-Check 2024: Wie versende ich rechtskonforme Newsletter?

von Franziska Bluhm am 12.09.2024

Wie lange sind Einwilligungen gültig? Darf ich meinen Verteiler für neue Zwecke nutzen? Können Unternehmen oder Personen Verteiler auch bei Mailchimp oder Beehiiv aufbauen? Welche Fallstricke Newsletter-Versendende vermeiden sollten, darüber spreche ich mit Rechtsanwalt Thomas Schwenke.

Jede*r, die oder der einen Newsletter verschickt, sammelt Daten, mit denen sorgsam umgegangen werden muss. Und Datenschutz im Newsletter-Marketing ist ein komplexes Thema – besonders, wenn internationale Plattformen wie Mailchimp, Substack oder Beehiiv zum Einsatz kommen. Welche Regeln gelten in Europa und den USA? Was muss bei der Nutzung von Daten beachtet werden, und wie können Bußgelder und Abmahnungen vermieden werden? Um diese Fragen, die mir in Beratungskontexten immer wieder gestellt werden, zu beantworten, habe ich mit dem Rechtsanwalt Thomas Schwenke gesprochen. Unsere Themen: Fallstricke, wie man rechtssicher Einwilligungen einholt und welche Datenschutzregelungen bei der Wahl des Newsletter-Anbieters besonders wichtig sind.

Thema: Datenschutz in Europa und USA

Kann ich, wenn ich in Deutschland wohne, ohne Bedenken einen Newsletter-Verteiler über Substack oder Beehiiv aufbauen?

Sobald wir Dritte beauftragen, Daten für uns zu verarbeiten, benötigen wir einen Auftragsverarbeitungsvertrag mit dem Dienstleister. Darin verpflichtet sich die Newsletter-Plattform, die E-Mail-Adressen und anderen Daten nur für unsere Zwecke zu nutzen. Sitzt der Dienstleister außerhalb der EU, brauchen wir zusätzlich eine spezielle Zusicherung, dass dasselbe Datenschutzniveau wie in Europa gewährleistet wird, oder eine Zertifizierung unter dem sogenannten Data Privacy Framework. Mailchimp und Substack bieten dies an; bei Beehiiv habe ich dazu keine Informationen gefunden. Nutzer von Beehiiv sollten daher direkt nachfragen, ob ein Auftragsverarbeitungsvertrag (Englisch: „Data Processing Addendum“) und Garantien für Datentransfers in die USA vorgelegt werden können.

Wenn ich Mailchimp oder Substack nutze, entspricht das dem EU-Recht?

Derzeit ja, aber diese Regelung hat eine wackelige Grundlage. Sie basiert nur auf einer „Executive Order“ des US-Präsident Joe Biden. Darin verpflichten sich die US-Geheimdienste, die Rechte der EU-Bürger zu wahren und ihnen die Möglichkeit zu geben, Einspruch gegen die Verarbeitung ihrer Daten einzulegen. Auf dieser Grundlage erkennt Europa US-Dienste, die sich dem Data Privacy Framework anschließen, als sicher an.

Warum steht die Vereinbarung auf unsicherem Fundament?

Erstens könnte ein zukünftiger US-Präsident die Regelung aufheben oder eine "America-First"-Strategie verfolgen, die die Rechte der EU-Bürger ignoriert. Zweitens klagt der Jurist und Datenschutzaktivist Max Schrems gegen die Entscheidung der EU vor dem Europäischen Gerichtshof. Sollte er gewinnen, wird die Zusicherung unwirksam und die USA wieder als unsicher gelten. Sollte dies geschehen, ist es unklar, ob die europäischen Datenschutzbehörden direkt Bußgelder verhängen oder zunächst abwarten, wie in früheren Fällen.

Sprich: Wer ruhig schlafen und unabhängig von politischen Entscheidungen sein will, sollte europäische Dienste nutzen.

Ok, ich fasse zusammen: Wenn du wechselst, sollte man sich kümmern.

Ja, ich versende meinen Newsletter mit Mailchimp, auch weil viele meiner Kund*innen dort sind. Aber so habe ich stets im Blick, ob und wann Handlungsbedarf besteht.

Dr. Thomas Schwenke, LL.M. (Auckland) ist Experte hilft international Unternehmen die rechtlichen Herausforderungen des Datenschutzes und Online-Marketings zu meistern. Mit dem Datenschutz-Generator.de bietet er zudem ein beliebtes Werkzeug zur Erstellung von Datenschutzerklärungen oder AGB an. Seinen monatlichen Newsletter für mehr Rechtssicherheit im Marketing-, Datenschutz- sowie Vertragsrecht kannst du hier abonnieren.

Gestaltung von Einwilligungen zur Datennutzung

Ein Unternehmen hat seit zwei Jahren keinen Newsletter mehr verschickt. Kann der Verteiler jetzt einfach für einen neuen Newsletter genutzt werden?

Es geht darum, wie lange Einwilligungen zur Datenverarbeitung gültig sind. Im Gesetz gibt es keine klare Frist und es gibt auch kaum gerichtliche Entscheidungen. Das Landgericht München I hat z.B. 2010 entschieden, dass eine Werbeeinwilligung nach 17 Monaten abläuft.  Zusammenfassend würde ich daher sagen, dass man bis zu anderthalb Jahren noch davon ausgehen kann, dass eine Einwilligung vorliegt, aber nach zwei Jahren sollte man davon ausgehen, dass sie entfallen ist. Dazwischen sollte man abwägen, ob das Risiko einer Beschwerde eingegangen werden soll.  Im B2B-Bereich ist das Risiko meist geringer.

Newsletter-Check 2024

Mehr als 19.000 E-Mails hatten sich im August 2024 in meinem Newsletter-Postfach angesammelt - unzählige Newsletter. Einige davon lese ich tatsächlich regelmäßig. Einige, weil sie als Best Practices und Lieber-Nicht-So-Practices in Trainings und Beratungen dienen. Andere, weil ich mich mit ihnen über das Nachrichtengeschehen oder Fachthemen informiere. 
Beim Stöbern, Löschen und Deabonnieren sind mir ein paar Dinge aufgefallen, die ich in dieser Serie teilen möchte.
Teil 1: Erfolgsfaktoren für tägliche Formate
Teil 2: Was einen wöchentlichen Newsletter erfolgreich macht
Teil 3: Was einen unregelmäßig erscheinenden Newsletter zum Erfolg führt
Teil 4: Sieben Wege zum perfekten Newsletternamen
Teil 5: Wie versende ich rechtskonforme Newsletter?

Jemand möchte zu einem bestehenden Verteiler einen Spezialnewsletter zu einem Unterthema hinzufügen. Ist das zulässig?

Das hängt davon ab, welche Einwilligung zur Verarbeitung der Daten die Abonnenten gegeben haben. Wenn die Einwilligung das neue Thema umfasst, dann ist der Spezialnewsletter zulässig, ansonsten nicht. Daher sollten Einwilligungen nicht zu eng gefasst sein, z.B. "Einwilligung für weitere Infos zu unseren Gewinnspielaktionen", da in dem Fall z.B. Produktwerbung ausgeschlossen wäre. Besser ist es, z.B. eine Einwilligung für "Informationen zu Gewinnspielaktionen, Produkten und unserem Unternehmen" einzuholen. Umgekehrt darf die Einwilligung nicht zu pauschal sein, so dass eine Einwilligung in "interessante Informationen" unwirksam wäre.

Ok und konkret: Darf das Handelsblatt dem großen Morning-Briefing-Verteiler einfach ein KI-Briefing zusenden?

 Auch hier hängt es vom Umfang der Einwilligung ab.  Wer einen Newsletter mit "Nachrichten" abonniert hat, dem darf auch ein Newsletter zum Thema KI zugesendet werden.  Wurde dagegen nur eine Sparte "Nachrichten aus Deutschland" abonniert, wären nur KI-News mit Deutschlandbezug zulässig.

Dürfen Newsletter komplett ohne Einwilligung versendet werden?

Man darf Werbung an Bestandskunden auch ohne Einwilligung schicken, wenn diese noch vor Vertragsschluss auf die Werbung und deren Widerspruchsrecht hingewiesen wurden. Die Werbung muss jedoch im Hinblick auf die erworbenen Produkte ähnlich sein. Ähnlich sind z.B. Produkte, die denselben Zweck erfüllen oder austauschbar sind. Zulässig wäre z.B. Werbung für TV-Geräte und TV-Zubehör an Erwerber von Fernsehgeräten. Umgekehrt haben Gerichte z.B. entschieden, dass man Käufern von FFP3-Masken keine Werbung für Arbeitsschutzprodukte zusenden darf und wer ein Brettspiel erwirbt, nicht mit Werbung für Partyausstattung rechnen muss. Der Spielraum ist also eher eng und am besten für Anbieter monothematischer Sortimente geeignet.

Whitepaper und Gewinnspiele

Kann ich noch Gewinnspiele oder Whitepaper nutzen, um Anreize für die Newsletter-Anmeldung zu schaffen?

Das ist weiterhin zulässig, aber  muss klar und transparent angeben, dass die Teilnahme am Gewinnspiel auch die Zustimmung zum Newsletter einschließt. Unwirksam ist sie, wenn ich auf der ersten Seite der Teilnahme am Gewinnspiel zustimme und auf der Folgeseite für die Teilnahme auch den Newsletter akzeptieren muss. Dann ist es nicht mehr freiwillig, weil ich nicht vorher wusste, worauf ich mich einlasse.

Das größte Problem in der Praxis sei, dass viele keine Einwilligung zum Tracking der Nutzer holen. Ist das korrekt?

Ja, bei der Erhebung statistischer Daten, und da reicht schon die Erhebung der Öffnungsrate, ist eine Einwilligung erforderlich. Hier gilt genau dasselbe wie bei Cookie-Einwilligungen auf Webseiten. Dabei kann man die Einwilligung in das Tracking auch zusammen mit der Einwilligung in der Versand einholen. Es gibt zwar Datenschützer, die zwei getrennte Einwilligungen verlangen, in der Praxis haben sie sich jedoch nicht durchsetzen können.

Darf ich Personen, die sich aus dem Verteiler abgemeldet haben, nochmals anschreiben und nach dem Grund fragen?

Nein. Wenn sich jemand abmeldet, erklärt er, keinen weiteren Kontakt zu wünschen. Eine erneute Kontaktaufnahme wäre werblicher Natur und somit unzulässig.

Die einzige Möglichkeit ist ein optionales Feld im Anmeldeprozess, dass man sich dann schon absichert, nachfragen zu können, warum Sie sich abgemeldet haben.

Manche verschicken auch eine Bestätigung nach Abmeldung.

Das ist nicht notwendig und aus meiner Sicht sogar eher schädlich. Stell dir vor, bei der Abmeldung funktioniert mal etwas nicht aus technischen Gründen. Du verschickst noch einen Newsletter und die Person sagt „Ich habe mich aber bei Ihnen abgemeldet“ und kann das sogar belegen.

Welche Daten darf ich bei der Newsletteranmeldung speichern?

Grundsätzlich darf nur die E-Mail-Adresse ein Pflichtfeld sein. Weitere Pflichtfelder sind erlaubt, wenn sie begründet werden. Zum Beispiel ließen sich als Pflichtfeld der Vorname, Alter oder Interessen definieren, wenn ich erkläre, dass der Newsletter personalisiert verschickt wird.

Bußgelder und Strafzahlungen

Wenn ich mich falsch verhalte: Was kann im schlimmsten Fall passieren?

Das Schlimmste, was passieren kann, ist ein hohes Bußgeld der Datenschutzbehörde, abhängig vom Unternehmensumsatz. Ein bekannter Fall ist die AOK Baden-Württemberg, die 500 Newsletter ohne Einwilligung versendet hatte und 1,2 Millionen Euro zahlen musste.

Weitere Risiken sind Abmahnungen durch Mitbewerber oder Verbraucherzentralen. Diese können verlangen, dass bei jedem erneuten Versand ohne Einwilligung eine Vertragsstrafe von mehreren Hundert Euro fällig wird.  Wurde der Newsletter bis dahin rechtlich nicht sauber geführt, kann das dazu führen, dass das Risiko so hoch ist, dass der Newsletter-Versand eingestellt werden muss.

Gibt es für Non-Profit-Organisationen oder private Newsletter von Privatpersonen oder Blogger*innen besondere Regeln?

Die DSGVO gilt für alle, die Daten verarbeiten, also auch für Non-Profits und Hobbyschreiber. Ausgenommen sind lediglich private Nachrichten an Freunde und Familie.

Wenn Sie Unterstützung benötigen, kontaktieren Sie mich.

Teil 1 Newsletter-Checks: 7 Erfolgsfaktoren für tägliche Formate

Teil 2 des Newsletter-Checks: 7 Erfolgsfaktoren für um wöchentliche Formate

Teil 3 des Newsletter-Checks: 7 Erfolgsfaktoren für unregelmäßig erscheinende Formate

Teil 4 des Newsletter-Checks: 7 Wege zum perfekten Newsletternamen

Mehr Inspiration für bessere digitale Kommunikation direkt ins Postfach - jetzt meinen Newsletter abonnieren.

Zurück zur Übersicht

Hinterlassen Sie doch einen Kommentar!

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Über die Autorin

Franziska Bluhm

Franziska Bluhm

Telefon: 0170 – 300 3671

E-Mail: post@franziskabluhm.de

Franziska Bluhm gehört zu den renommiertesten Medien- und Digitalprofis in Deutschland, mit mehr als 18 Jahren Führungserfahrung in unterschiedlichen deutschen Medienunternehmen - über Handelsblatt und WirtschaftsWoche, Rheinische Post und BILD. Sie unterstützt und begleitet Unternehmen und Redaktionen, gibt Trainings und Coachings, moderiert und hält Vorträge.

nach oben

Sie sind beim Besuch dieser Website anonym. Wir benötigen ein technisch notwendiges Session-Cookie („sessions“) um das Kontaktormular gegen Missbrauch abzusichern. Ihr Ok wird für einen Tag in einem 2. Cookie („eu-cookie“) gespeichert. Vor dem Anzeigen externer Inhalte werden Sie vor dem Anzeigen um Ihre Erlaubnis gefragt. Um unsere Website laufend zu verbessern, nutzen wir die Statistik-Software „Matomo“. Sie bleiben auch dort vollständig anonym: Matomo ist auf unserem eigenen Server installiert, so dass keine Daten zu fremden Anbietern übertragen werden. Ihre IP-Adresse wird durch Kürzung anonymisiert und Matomo setzt keine Cookies. Weitere Infos finden Sie in derDatenschutzerklärung.