In den letzten Wochen habe ich Ihnen erklärt, was bei der Nutzung von E-Mail-Adressen von Kunden oder Interessenten zu beachten ist und wo die Fallstricke liegen. Heute möchte ich mich nochmals dem Thema widmen. Ja, Sie lesen richtig, es geht nochmals um die Nutzung von E-Mail-Adressen. Dieses Thema wird aber mit dem heutigen Blogbeitrag „missbräuchliche Nutzung der E-Mail-Adresse“ abgeschlossen sein.
Da dieses Thema eine so hohe Wichtigkeit besitzt und E-Mail-Werbung in der heutigen Zeit ein praktisches und gern genutztes Mittel ist, sollte ich Ihnen auch alle Seiten der Nutzung aufzeigen.
Was ist zu tun, wenn ein Betroffener sich nicht mehr an seine Einwilligung erinnert, oder abstreitet, diese überhaupt abgegeben zu haben? Oder wenn diese gar bestreiten, eine Geschäftsbeziehung zu haben?
Die Aufsichtsbehörden berichteten im letzten Jahr, dass immer wieder Betroffene Beschwerden vortragen, die sich immer um die missbräuchliche Nutzung der E-Mail-Adresse drehen.
Wir erinnern uns: E-Mail-Adressen von Bestandskunden dürfen zur Direktwerbung genutzt werden, wenn die Rechtsgrundlage der Vertragserfüllung (Art. 6 S. 1 lit. b DSGVO) vorliegt und gleichzeitig § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) beachtet wurde. Nachzulesen hier.
Wie kann man also im Fall einer Beschwerde eines Betroffenen vor der Aufsichtsbehörde nachweisen, dass die missbräuchliche Nutzung der E-Mail-Adresse ausgeschlossen werden kann bzw. wie gehen Sie richtig vor, damit Sie im Falle einer Beschwerde Nachweise vorlegen können, die eine Einwilligung zur E-Mail-Nutzung beweisen?
Sie müssen glaubhaft nachweisen können, dass die Einwilligung in transparenter und informierter Weise eingeholt wurde.
Wird eine Einwilligung mittels Double-Opt-In Verfahren gegeben, so ist dies z.B. wie folgt zu protokollieren. Im Idealfall machen Sie direkt nach Einbindung eines Formulars zur Newsletter Anmeldung auf Ihrer Webseite einen Screenshot des eingebundenen Formulars.
Neben einer Checkbox enthält das Formular einen Verweis auf Ihre Datenschutzerklärung mit Erläuterung der Rechtsgrundlage. Füllt ein Betroffener dieses aus, wird seine IP, der Zeitpunkt sowie die Dateneingabe protokolliert. Im Newsletter-Tool wird ein Datensatz erzeugt, der die IP, den Zeitpunkt sowie die Herkunft der Daten (z.B. URL des Web-Formulars) enthält. Beide Schritte bilden die erste Stufe im Double-Opt-In Verfahren.
Die nächste Stufe beginnt mit einer Opt-In E-Mail an den Empfänger des Newsletters und enthält einen Opt-In-Link sowie im Idealfall nochmals einen Verweis auf das ausgefüllte Formular inkl. Datum der Absendung und erneut einen Hinweis auf Ihre DSE.
Zur Protokollierung erhalten Sie diese E-Mail in BCC und sollten dieser wieder auffindbar speichern. Mit Klick des Empfängers auf den Link gibt er sein zweites Opt-In, das wird ebenfalls protokolliert – also eine weitere Speicherung der IP sowie des Zeitpunkts. Dies erfüllt die zweite Stufe des Double-Opt-In.
Sie haben somit alle Nachweise, die Sie benötigen, um eine Einwilligung vollständig nachweisen zu können und um den Vorwurf der missbräuchlichen Nutzung der E-Mail-Adresse zu entkräften. Dem BGH genügt z.B. nicht, wenn lediglich die IP-Adresse des Empfängers gespeichert wird.
Dies kommt keiner Einwilligung gleich!
Laut dem BGH muss eine Einwilligung vollständig nachweisbar sein, auch hinsichtlich des Wortlauts. Das bedeutet, dass zwingend, wie oben beschrieben, die konkrete Einverständniserklärung jedes einzelnen Kunden bzw. Interessenten vollständig dokumentiert sein muss. Im Falle einer elektronisch übermittelten Einverständniserklärung muss diese ausdruckbar sein, um das gesamte Verfahren zu dokumentieren.
Gemäß DSGVO gibt es allerdings keinerlei Vorgaben über die Dauer der Wirksamkeit einer erteilten Einwilligung. Aber, wenn eine E-Mail-Adresse über eine längere Zeit nicht genutzt wurde, so muss die betroffene Person nicht mehr mit einer Verarbeitung ihrer Daten auf Grundlage der Einwilligung rechnen.
Das heißt konkret: In der Praxis wird empfohlen, die Einwilligung von länger nicht genutzten Adressen vor der geplanten Nutzung zu erneuern. Haben Sie Ihren Adressdatensatz über einen langen Zeitraum hinweg nicht angeschrieben so sollten Sie z.B. in einer direkten Ansprache konkret nachfragen, ob die vor längerer Zeit erteilte Einwilligung aus Sicht des Betroffenen noch gültig ist. Bejaht der dies, sollte der zuvor beschriebene Double-Opt-In Prozess durchlaufen werden.
Dadurch wird sichergestellt, dass die betroffene Person gut informiert ist und bleibt, wie ihre Daten verwendet werden und wie sie ihre Rechte ausüben kann. Die Gefahr der Beschwerde über die missbräuchliche Nutzung der E-Mail-Adresse wird so automatisch minimiert. Gleichzeitig erhalten Sie, wie oben beschrieben, einen Nachweis über die erneut erteilte Einwilligung.
Auch sollten Einwilligungen erneut eingeholt werden, wenn sich die Verarbeitungsvorgänge drastisch ändern oder weiterentwickeln.
Dann ist davon auszugehen, dass die ursprüngliche Einwilligung nicht länger für die Verarbeitung gültig ist. Vielleicht haben Sie sogar vor, den Anbieter für den Newsletter Versand zu wechseln, weil der europäische Anbieter nicht die gleichen Funktionen bietet wie z.B. ein US-Anbieter. Hier ist Vorsicht geboten, denn es ändert sich nicht nur der Vorgang, sondern plötzlich kommt auch eine Datenübermittlung in die USA ins Spiel, in die Ihre Newsletter Empfänger zwingend einwilligen müssen.
Wichtig ist also zum einen, dass Sie immer einen Nachweis haben, dass die Einwilligung erteilt wurde und das im Fall einer veralteten Einwilligung oder einer Veränderung des Verfahrens eine neue Einwilligung eingeholt wurde.
Sie fragen, wir antworten:
Wir haben Visitenkarten von Interessenten auf der letzten Baumaschinenmesse gesammelt. Wir möchten einen Newsletter-Verteiler für diese Messebesucher einrichten und hoffen, dass unsere neue Special-Hau-den-Stein-Weg-Maschine gekauft wird. Können wir das so machen?
Dies ist etwas kompliziert. Zum einen hätten Sie auf der Messe eine Datenschutzerklärung bereithalten müssen, in der Sie darüber aufklären, was mit den Daten der Interessenten passiert, wenn Sie ihre Visitenkarte bei Ihnen abgeben. Zum anderen ist das bloße Einsammeln einer Visitenkarte nicht gleichzusetzen mit einer Einwilligung, in einen Newsletter-Verteiler aufgenommen zu werden. Ich empfehle Ihnen, wie bereits oben beschrieben, an diese Interessenten eine Opt-In E-Mail zu senden, in der Sie transparent auf die beabsichtigte Nutzung hinweisen und die Möglichkeit zur direkten Zustimmung per Opt-In Link bieten. So erhalten Sie Rechtssicherheit für die weitere Nutzung der Adressen.
