Internetrecht

Rechtssicherer Newsletter-Versand – Ein Überblick

E-Mailmarketing ist auch heutzutage für viele Unternehmen ein unerlässliches Kommunikations- und Marketingtool. Trotz Facebook, Twitter, Instagram und Co. ist der Newsletter-Versand auch heute noch ein Werbe- und Kontaktinstrument, das von vielen Internetnutzern und Kunden als gleichermaßen seriös und informativ bewertet wird. Gleichzeitig wird in Zeiten steigender Spam-Nachrichten die eigene E-Mail Adresse für Internetnutzer immer wichtiger.

Unternehmen müssen daher ein ausreichendes Vertrauen schaffen, um Internetnutzer zur Preisgabe von E-Mailadressen motivieren zu können. Gleichzeitig müssen im Bereich des E-Mail-Marketings unterschiedliche datenschutzrechtliche Regelungen beachtet werden. Nur die strikte Einhaltung der gesetzlichen Regelungen, minimiert die Gefahr einer behördlichen Sanktionierung oder wettbewerbsrechtlichen Inanspruchnahme.

Die rechtlichen Zulässigkeitsvoraussetzungen bei dem Versand von Newslettern variieren abhängig davon, wie Unternehmen den Versandprozess steuern:

  • E-Mail-Marketing durch ein Unternehmen selbst
  • E-Mail-Marketing durch einen Dienstleister mit Sitz in EU
  • E-Mail-Marketing durch einen Dienstleister in den USA wie Mailchimp

A) Newsletter-Versand durch das Unternehmen selbst


Grundsatz: Keine E-Mail-Werbung ohne Einverständnis!

Wie wohl den meisten betroffenen Unternehmen bekannt sein wird, ist werbliche Kommunikation per E-Mail grundsätzlich nur nach einer vorherigen Einwilligung des Empfängers erlaubt. Dies gilt für den B2C und den B2B-Kontakt gleichermaßen. Die Einwilligung muss

  • transparent,
  • freiwillig,
  • bewusst, eindeutig, ausdrücklich und
  • separat

erfolgen. Darüber hinaus besteht eine Nachweispflicht für die eingeholte Einwilligung. Die ausdrückliche Einwilligung ist jedoch nicht alleinige Voraussetzung für die Zulässigkeit des Newsletter-Versandes. Adressaten muss ein einfacher Weg eröffnet werden, um den Empfang von E-Mail-Werbung schnell und problemlos beenden zu können. Unternehmen müssen deutlich auf diese Widerrufsmöglichkeit hinweisen.

Ausnahme bei bestehenden Kunden: Das Gesetzgeber privilegiert den werblichen Versand von Werbemails an Bestandskunden. Diese Privilegierung greift dann, wenn

  • ein werbendes Unternehmen die E-Mail Adresse des Adressaten im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat. Nicht ausreichend ist, dass die E-Mail Adresse auf einem anderen Weg bekannt und dann zu Werbezwecken genutzt wurde. In diesem Zusammenhang ebenfalls nicht ausreichend ist, dass ein lediglich unentgeltliches Geschäft abgeschlossen wurde. Besondere Vorsicht ist angebracht bei Personen, die den Verkaufsvorgang abgebrochen, aber bereits ihre E-Mail Adresse in ein Bestellformular eingefügt haben: Es bestehen bestehen rechtliche Unsicherheiten darüber, ob ein Verkaufsvorgang abgeschlossen sein muss oder aber die Eintragung – trotz eines Kaufabbruches – als Rechtfertigungsgrundlage für einen werblichen E-Mail-Versand ausreichend ist. Der BGH hat einen solchen Fall noch nicht abschließend bewertet.
  • das Unternehmen den Kunden bei der Speicherung der E-Mail Adresse und bei jeder Nutzung deutlich darauf hinweist, dass der Kunde der werblichen Nutzung widersprechen kann.
  • für den Widerspruch keine anderen als die Übermittlungskosten nach den Basistarifen entstehen.
  • der Adressat der Zusendung nicht bereits widersprochen hat.
  • lediglich ähnliche Waren oder Dienstleistungen beworben werden. Die Ähnlichkeit der Produkte ist aus Sicht der Kunden zu bewerten.

Die Einwilligung

  1. Wann liegt Werbung vor?

Nicht immer klar ist, ob und ab wann E-Mails überhaupt werbliche Inhalte aufweisen. Rechtsprechung und Gesetzgeber setzen die Grenzen zum Schutze der Verbraucherinteressen grundsätzlich eng. Der Werbebegriff ist folglich weit auszulegen: Werbung liegt dann vor, wenn eine Äußerung unmittelbar oder mittelbar dazu dient, Produkte oder Dienstleistungen zu verkaufen. Newsletter fallen damit ohne weiteres unter den Begriff der Werbung.

  1. Wann ist eine Einwilligung transparent?

Entscheidend ist, dass eine Einwilligung transparent erfolgt. Eine hinreichende Transparenz liegt dann vor, wenn der Adressgeber seine Einwilligung in Kenntnis der Sachlage und für den konkreten Fall erklärt. Der Adressgeber muss wissen, wer seine Daten wie und zu welchen Zwecken nutzen wird. In einer entsprechenden Einwilligungserklärung muss daher sowohl das Unternehmen, als auch der nähere Zweck des E-Mail-Versands genannt sein. Wichtig: E-Mail-Adressen dürfen nicht ohne Einwilligung innerhalb eines Konzerns von verschiedenen Konzerntöchtern genutzt werden.

  1. Wie erfolgt eine Einwilligung eindeutig, bewusst und ausdrücklich?

Der Adressgeber muss ausdrücklich einwilligen. Die Einwilligung darf beispielsweise nicht einfach nur in Allgemeinen Geschäftsbedingungen oder einer Datenschutzerklärung niedergeschrieben werden. Im Online-Bereich stellt die Double-Opt-In-Methode einen gangbaren Weg dar: Der Adressgeber aktiviert hier selbstständig eine Checkbox – beispielsweise auf einer Internetseite – und stimmt dem Erhalt von Werbung ausdrücklich zu. Die Einwilligung in Werbung muss separat erfolgen. Der Adressgeber ist im Rahmen der Erteilung der Einwilligung darauf hinzuweisen, dass er die Einwilligung jederzeit widerrufen kann.

  1. Welche Daten dürfen im Rahmen einer Einwilligung erhoben werden?

Grundsätzlich gilt im Datenschutzrecht das Prinzip der Datensparsamkeit. Unternehmen sollten zum Empfang eines Newsletters oder sonstiger werblicher Kommunikation verpflichtend nur die E-Mail-Adresse einfordern. Im Rahmen weiterer freiwilliger Eingabefelder können Unternehmen jedoch zusätzliche Informationen wie den Namen des Adressaten oder dem beruflichen Status erfragen.

  1. Dürfen Minderjährige wirksam in den Empfang von Werbemails einwilligen?

Es bestehen derzeit keine klaren Altersgrenzen, die eine nötige Einwilligungsfähigkeit eindeutig definieren. Auszugehen ist davon, dass eine 16-jährige Person wirksam einwilligen kann. Die ab 25. Mai 2018 anwendbare EU-DSGVO regelt diesen Punkt dann klarer: Die Einwilligungsfähigkeit wird auf 16 Jahre fixiert. Die EU-Mitgliedsstaaten können jedoch aufgrund einer bestehenden Öffnungsklausel die Altersgrenze bis auf mindestens 13 Jahre heruntersetzen.

  1. Wie lange gilt eine wirksam eingeholte Einwilligung?

Wie lange eine einmal wirksam eingeholte Einwilligung in den Erhalt von werblichen E-Mails genutzt werden darf, hängt maßgeblich davon ab, wie die E-Mail-Adresse in der Vergangenheit zu Werbezwecken genutzt wurde. Entscheidend ist, wann die E-Mail-Adresse das erste mal für die Zusendung von werblicher Kommunikation verwendet wurde. Die erste Kontaktaufnahme sollte zeitnah nach Erhebung der E-Mail-Adresse erfolgen. Eine Zeitspanne von über einem Jahr zwischen Erhebung und Zusendung der ersten werblichen E-Mail kann dabei bereits zu lang sein. Versenden Unternehmen aber zeitnah nach Erhebung und dann in regelmäßigen Abständen werbliche E-Mails, behält eine einmal erteile Einwilligung grundsätzlich ihre Wirksamkeit. Für die Beurteilung grundsätzlich entscheidend ist, ob ein Adressat noch mit der Zusendung von Werbung rechen musste.

  1. Wie kann die Einwilligung rechtssicher nachgewiesen werden?

Grundsätzlich trägt der Versender von Newslettern die Beweislast dafür, dass eine wirksame Einwilligung vom Adressaten vorliegt. Der Nachweis muss deutlich machen, dass der Inhaber einer E-Mail-Adresse und keine dritte Person in den Erhalt von Werbung eingewilligt hat. Rechtssicher möglich ist der Nachweis einer vorliegenden Einwilligung durch das Double-Opt-In Verfahren: Bei der Anwendung eines Double-Opt-In Verfahrens offenbart eine Person ihre E-Mail-Adresse in einem ersten Schritt im Rahmen eines Registrierungs- oder Bestellprozesses. Anschließend erhält die Person eine E-Mail mit dem Hinweis auf die erfolgte Registrierung. Gleichzeitig wird der Nutzer aufgefordert, die Einwilligung durch einen weiteren Klick auf einen Bestätigungslink zu bestätigen. Die Bestätigungs-E-Mail sollte stets werbefrei sein und lediglich dem Abschluss des Verifizierungsprozesses dienen. Ebenso darf die die Einwilligung nicht gekoppelt mit anderen Handlungen verknüpft werden: Die gleichzeitige Teilnahmebestätigung an einem Gewinnspiel und gleichzeitige Einwilligung in den Erhalt von Werbung ist daher unzulässig.

Wichtig: Die Bestätigungs-E-Mail sollte keine anderen werbenden Inhalte beinhalten. Anderenfalls besteht die Gefahr, dass schon die Bestätigungsmail als unzulässige Werbung und Rechtsverstoß bewertet wird. Zusätzlich sollte die Bestätigungsmail den Einwilligungstext wiederholen, der im Registrierungsprozess auf der unternehmenseigenen Homepage angezeigt wurde.

  1. Welchen Inhalt muss der Nachweis enthalten?

Die Einwilligungserklärung muss im Zweifel vom verantwortlichen Unternehmen nachgewiesen werden. Wichtig ist daher, dass diese über den gesamten Zeitraum der Nutzung rechtssicher dokumentiert und gespeichert wird. Der Nachweis im Rahmen des Double-Opt-Verfahrens sollte stets Informationen über den Zeitpunkt der Anmeldung des Adressaten, den Inhalt und Versandzeitpunkt der Einladungs-E-Mail und den Zeitpunkt der abschließenden Bestätigung des Inhabers der E-Mail-Adresse beinhalten.

  1. Bestätigungsmail wird ignoriert – Darf man an die E-Mail erinnern?

Nicht immer reagieren Adressaten sofort und bestätigen die Einwilligung in den Erhalt von Werbung. Das erneute Anschreiben von Adressaten und gleichzeitige Erinnern an die noch fehlende Erinnerung, sollte wenn überhaupt nur einmalig, in kurzem Zeitabstand zur ersten E-Mail und absolut werbefrei erfolgen. Auch wenn eine zweite Erinnerungsmail nicht grundsätzlich unzulässig ist, besteht das Risiko, dass Gerichte diese als unzulässige Werbemaßnahmen bewerten würden.

  1. Müssen die Daten gelöscht werden, wenn Nutzer keine abschließende Einwilligung erteilen?

Grundsätzlich dürfen die in einem Registrierungsprozess angegeben Daten nur solange gespeichert werden, bis die Daten noch zum Abschluss des Verifizierungsprozesses genutzt werden können. Der Gesetzgeber hat hierbei keine festen Fristen statuiert. In lebensnaher Betrachtung wird ein Zeitraum von zwei bis drei Wochen noch zulässig sein. Hat sich ein Adressat bis dahin nicht gemeldet und die Einwilligung erteilt, sollten die Daten gelöscht werden.

Zwischenfazit: Die rechtlichen Voraussetzungen einer zulässigen Einwilligung in den Erhalt von Newslettern sind durchaus komplex. Die Registrierungsprozesse und Gestaltungsmöglichkeiten sollten rechtssicher erfolgen, um datenschutz- oder wettbewerbsrechtliche Sanktionierungen zu vermeiden.

Die Abbestellung des Newsletters

Grundsätzlich müssen sich Empfänger von Newslettern und Co. aus einem Verteiler austragen können. Werbende Unternehmen müssen auf bestehende Widerrufsmöglichkeiten deutlich hinweisen. Der Hinweis sollte bereits im Rahmen der Einwilligung in den Erhalt von Werbung erbracht werden. Auf die Widerrufsmöglichkeit sollte dann bestenfalls in jedem Newsletter erneut hingewiesen werden. Bestenfalls enthält jeder Newsletter einen Link und einen Beschreibungstext, der zur Abmeldung genutzt werden kann. Der Abmeldeprozess muss stets einfach und ohne weitere Hürden gestaltet werden. Unternehmen sollten daher die Abmeldung nicht erst dann zulassen, wenn Adressaten sich beispielsweise auf der Unternehmensseite mit Benutzerkennung und Passwort angemeldet haben. Eine erfolgreiche Abmeldung darf nicht per E-Mail bestätigt werden.

Tragen sich Adressaten aus einem Verteiler aus bzw. widerrufen die Einwilligung in den Erhalt von Werbe-Mails, müssen Unternehmen die Verarbeitung und Nutzung der Daten umgehend beenden.

Gestaltung eines Newsletters

Ein Newsletter muss bestimmte rechtliche Voraussetzungen erfüllen. Grundsätzlich gilt: Kommerzielle und werbliche Kommunikation muss als solche gekennzeichnet und für den Adressaten erkennbar sein. Wichtig ist daher, dass der Absender identifizierbar ist. Hierbei ist nicht entscheidend, wer die Mail tatsächlich versendet hat, sondern wer für die Werbemaßnahme verantwortlich ist. Darüber hinaus muss ein Newsletter Pflichtangaben im Impressum enthalten. Diese sind beispielsweise Name des werbenden Unternehmens und seine Rechtsform, die vertretungsberechtigten Personen, eine ladungsfähige Postanschrift, eine E-Mail-Adresse, eine Telefonnummer oder auch steuerliche oder gesellschaftsrechtliche Pflichtangaben.

B) Einsatz von Newsletter-Versendern

Nicht immer versenden Unternehmen Werbe-Mails und Newsletter selber. Immer öfter nutzen Werbetreibende beauftragte Dienstleister, die den Versand von Newslettern und Werbe-Mails koordinieren und durchführen. Der Einsatz beauftragter Dienstleister ist aus datenschutzrechtlichen Gesichtspunkten nicht unproblematisch, da der Dienstleister regelmäßig Zugriff auf personenbezogene Daten erhält. Abhängig davon, wo ein beauftragtes Unternehmen personenbezogene Daten verarbeitet bzw. in welches Land personenbezogene Daten übermittelt werden, existieren verschiedene Zulässigkeitsvoraussetzungen, die einen Transfer personenbezogener Daten rechtfertigen können.

Privilegierungswirkung: Auftragsdatenverarbeitung in EU / EWR

Grundsätzlich gilt, dass von dem Vorliegen eines ausreichenden Datenschutzniveaus automatisch ausgegangen wird, wenn der Empfänger personenbezogener Daten seinen Sitz in der EU oder dem EWR hat. Bei der Übermittlung von personenbezogenen Daten muss unterschieden werden zwischen Datenübermittlung und Auftragsdatenverarbeitung. Der Begriff der Datenübermittlung ist definiert in § 3 Abs. 4 Nr. 3 BDSG. Eine Übermittlung von Daten liegt dann vor, wenn Daten von einer verantwortliche Stellen, an eine andere Stelle bekannt gegeben werden. Im Gegensatz dazu liegt keine Übermittlung vor, wenn die Daten im Auftrag des verantwortlichen Unternehmens durch einen Auftragnehmer verarbeitet oder genutzt werden und die Daten in der EU oder dem EWR gespeichert sind. In diesen Fällen gilt der Auftragnehmer nicht als „Dritter“. Die Auftragsdatenverarbeitung ist datenschutzrechtlich privilegiert: Unternehmen können den Newslettern-Versand an dritte Dienstleister übertragen, ohne dass eine ausdrückliche Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis für die Übermittlung der personenbezogenen Daten vorliegen muss. Möglich ist dies aber nur, wenn der Newsletter-Versender die personenbezogenen Daten nur in Deutschland, Europa oder dem Europäischen Wirtschaftsraum speichert.

Voraussetzungen der Zulässigkeit einer Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung liegt regelmäßig dann vor, wenn ein beauftragter Dienstleister in Bezug auf die personenbezogenen Daten weisungsgebunden arbeitet. Darüber hinaus müssen das werbende Unternehmen und der Auftragnehmer einen schriftlichen Vertrag über die Auftragsdatenverarbeitung schließen. Der Auftragnehmer sollte ausreichende technisch-organisatorische Maßnahmen ergreifen, um die personenbezogene Daten zu schützen.

  • Weisungsgebundenheit: Auftragnehmer arbeiten dann weisungsgebunden, wenn für jede Verhaltenssituation eine entsprechende Handlungspflicht von einem Auftraggeber vorgegeben worden ist. Der Auftragnehmer darf in der Ausübung seiner Tätigkeit üblicherweise keinen eigenen Verhaltensspielraum nutzen können.
  • Vertrag über Auftragsdatenverarbeitung: Der Vertrag über die Auftragsdatenverarbeitung muss nach § 11 Abs. 2 BDSG folgenden Mindestinhalt aufweisen:
  • Gegenstand und Dauer des Auftrags
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten, die Art der Daten und den Kreis der Betroffenen
  • Nach § 9 BDSG zu treffende technische und organisatorische Maßnahmen
  • die Löschung, Berichtigung und Sperrung von Daten
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Zwischenfazit: Der Einsatz bzw. die Beauftragung eines Dienstleisters zum E-Mailmarketing und Newsletter-Versand ist üblicherweise dann risikolos möglich, wenn dieser seinen Sitz in der EU oder im Europäischen Wirtschaftsraum hat und personenbezogene Daten nur dort gespeichert werden. Werden E-Mail-Adressen dann zu Marketingzwecken genutzt, wird die Übertragung von Daten als Auftragsverarbeitung zu werten sein.

Newsletter-Versand durch beauftragte US-Unternehmen

Immer mehr Unternehmen setzen bei dem Versand von Newslettern und Werbe-Mails auf Anbieter, die ihren Sitz nicht in Europa, dem Europäischen Wirtschaftsraum oder einem sicheren Drittstaat haben. Bekannte Unternehmen wie MailChimp und Co. arbeiten vornehmlich aus den USA und speichern dort nötige Daten. Die Beauftragung ausländischer Dienstleister ist nur unter erschwerten Bedingungen möglich. Das Bundesdatenschutzgesetz geht davon aus, dass die Übermittlung von Daten an ausländische Stellen außerhalb der EU und des EWR grundsätzlich unterbleiben muss, wenn die betroffene Person ein schutzwürdiges Interesse daran hat, dass personengezogene Daten nicht übermittelt werden. Dabei wird ein schutzwürdiges Interesse vor allem dann angenommen, wenn kein angemessenes Datenschutzniveau im Empfängerland gegeben ist. Die USA gelten – anders beispielswiese die Schweiz, Kanada und Australien – als nicht sicheres Drittland.

Internationale Datentransfers bedürfen stets einer Zwei-Stufen-Prüfung:

  • Stufe 1: Erlaubnistatbestand oder Einwilligung

Grundsätzlich ist zu prüfen, ob entweder ein gesetzlicher Erlaubnistatbestand für die Datenübermittlung an den Newsletter-Versender gegeben ist oder eine ausdrückliche Einwilligung des betroffenen Nutzers vorliegt. Im Falle des Newsletters-Versands werden regelmäßig keine gesetzlichen Erlaubnistatbestände einschlägig sein. Nötig ist also die erteilte Einwilligung des Nutzers in den internationalen Datentransfer.

  • Stufe 2: Angemessenes Datenschutzniveau

Auf der zweiten Stufe muss geprüft werden, ob im Drittstaat des Datenimporteurs ein angemessenes Datenschutzniveau besteht, Ausnahmetatbestände greifen oder das fehlende Schutzniveau ausgeglichen werden kann.

  1. Was muss ich bei dem Einsatz von US-Unternehmen beachten?

Greift ein US-Anbieter wie MailChimp auf personenbezogene Daten zu bzw. übermitteln deutsche Unternehmen personenbezogene Daten auf US-Server, handelt es sich um einen Fall der Datenübermittlung.

  1. Sonderproblem: Ende von Safe Harbor

Lange Zeit konnte eine Übermittlung personenbezogener Daten in die USA aufgrund des Safe-Harbor-Abkommens rechtfertigt werden. Unternehmen, die sich den vereinbarten Safe-Harbor-Bedingungen unterworfen hatten, galten dann als „sicherer Hafen“. Im Oktober 2015 hat der Europäische Gerichtshof entschieden, dass das Safe-Harbor-Abkommen rechtswidrig ist. Eine Übermittlung personenbezogener Daten in die USA konnte dann nicht mehr durch Safe-Harbor rechtfertigt werden. Der Datenaustausch konnte dann nur noch nach dem Abschluss von EU-Standardverträgen rechtfertigt werden. Am 12.07.2016 hat die Europäische Kommission das Nachfolge-Abkommen verabschiedet: Privacy Shield. Nachdem Privacy Shield anwendbar wurde, ist die Kritik am neuen Abkommen jedoch nicht abgerissen. Möglich ist, dass der Europäische Gerichtshof auch die neue Angemessenheitsentscheidung der EU-Kommission bzw. Privacy Shield kippen wird. Gleichermaßen bestehen Rechtsunsicherheiten in Bezug auf die EU-Standardvertragsklauseln. Der EuGH wird die Rechtsmäßigkeit der Standardvertragsklauseln mit großer Wahrscheinlichkeit in naher Zukunft bewerten.

  1. Wie können personenbezogene Daten (möglichst) rechtssicher an US-Dienstleister übertragen werden?

Grundsätzlich bestehen mehrere rechtliche Möglichkeiten personenbezogene Daten in die USA zu übermitteln, um die Dienste einen US-amerikanischen Dienstleisters nutzen zu können. Vorliegen muss stets ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung. Darüber hinaus gibt es verschiedene Möglichkeiten eine Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau ausnahmsweise zu rechtfertigen. In Bezug auf den Newsletter-Versand bieten sich vor allem folgende Möglichkeiten an:

a) Datenübermittlung aufgrund ausreichender Garantien

Die USA hat kein angemessenes Datenschutzniveau. Unternehmen können einen internationalen Datentransfer jedoch durchführen, wenn das fehlende allgemeine Datenschutzniveau ausgeglichen wird. Die Übermittlung personenbezogener Daten in die USA kann dabei derzeit durch das Privacy Shield Abkommen legitimiert werden. Nötig ist, dass sich US-Unternehmen entsprechend zertifizieren lassen. Die Zertifizierungen haben eine Gültigkeit von einem Jahr und müssen jährlich erneuert werden. Ob ein US-Unternehmen eine entsprechende Zertifizierung besitzt, ist aus einer öffentlichen Liste ersichtlich. Die Zertifizierung bestätigt dem registrierten Unternehmen die Einhaltung eines angemessenen Schutzniveaus, rechtfertigt aber nicht jede Datenübertragung. Nötig ist weiterhin, dass eine konkrete Ermächtigungsgrundlage vorliegt.

b) Vertragliche Vereinbarungen und EU-Standardvertragsklauseln:

Eine Datenübermittlung in die USA darf grundsätzlich auch dann erfolgen, wenn zwischen dem verantwortlichen EU-Unternehmen und dem verantwortlichen US-Datenimporteur ein sogenannter EU-Standardvertrag geschlossen wurde. Das angemessene Datenschutzniveau wird dann dadurch sichergestellt, dass sich der US-Dienstleister durch Vertragsschluss den Regelungen des EU-Standardvertrages unterwirft. Datenschutzverträge können auch individuell ausgehandelt werden. Individuell formulierte Datenschutzverträge müssen jedoch von der zuständigen Aufsichtsbehörde geprüft werden. Geprüft wird dann, ob das Regelwerk die Einhaltung der Grundregeln des EU-Datenschutzrechts garantiert. Ratsam ist es, dass im Rahmen eines internationalen Datentransfers auch die Anforderungen des § 11 BDSG erfüllt werden. Im Rahmen des Abschlusses von EU-Standardvertragsklauseln sollten fehlende Angaben angehangen werden.

c) Datenübermittlung aufgrund einer Einwilligung:

Grundsätzlich ist die Übermittlung personenbezogener Daten in die USA auch nach einer vorherigen Einwilligung des Betroffenen zulässig. Wichtig ist, dass der Betroffene ausführlich und transparent informiert wird. Gleichzeitig muss er über bestehende Risiken der Übermittlung aufgeklärt werden. Nicht ausreichend ist die einfache Änderung der Datenschutzinformationen. Insgesamt sind die Anforderungen an eine zulässige Einwilligung des Betroffenen hoch.

  1. Praxisbeispiel: MailChimp

Klar ist, dass derzeit Unwägbarkeiten existieren, die die Übermittlung personenbezogener Daten in die USA erschweren. Die möglichst rechtssichere Nutzung von MailChimp sollte durch zwei Handlungsmöglichkeiten erreicht werden:

  • Privacy Shield:

MailChimp hat sich den Regelungen des Privacy Shields unterworfen und ist aktuell im Besitz einer entsprechenden Zertifizierung. Zwischen Datenexporteur und MailChimp muss ein Vertrag geschlossen werden, der die konkrete Datennutzung regelt. MailChimp bietet die Unterzeichnung eines Vertrages (Data Processing Agreement) an, der an den einschlägigen EU-Standardvertrag angelehnt ist. MailChimp verpflichtet sich damit ausdrücklich zum Schutz der Nutzerdaten.

  • Einwilligung des Betroffenen:

Unternehmen sollten eine entsprechende Einwilligung der Nutzer einholen. Die ausdrückliche Einwilligung kann die Datenübermittlung in ein unsicheres Drittland wie die USA rechtfertigen. Entscheidend ist dabei, dass die Einwilligung ausführlich und möglichst transparent erfolgt. Üblicherweise werden hohe Anforderungen an die Formulierungen einer solchen Einwilligung gestellt. Auch wenn eine lange Datenschutzinformation oder Einwilligungserklärung möglicherweise abschreckend wirkt, sollte auf die ausführliche und transparente Information nicht verzichten werden.

  • Welche Anpassungen sollten Unternehmen durchführen?

Grundsätzlich sollte über den Einsatz von MailChimp im Einwilligungstext und der Datenschutzerklärung informiert und hingewiesen werden. Genannt werden sollte der Unternehmensname und die Adresse von MailChimp. Daneben sollte die Privacy-Shield-Zertifizierung und der Abschluss des Data-Processing-Agreements erläutert und kommuniziert werden. Sinnvoll ist ebenfalls darauf hinzuweisen, dass die personenbezogenen Daten auf US-amerikanischen Servern von MailChimp gespeichert werden und MailChimp diese Daten zum Newsletter-Versand nutzt. Mögliche Tracking-Methoden sollten ebenfalls hinreichend erläutert und in die Dokumentationstexte eingepflegt werden. Ebenfalls sollten bestehende Risiken erläutert werden, die im Falle der Übertragung von personenbezogenen Daten in sogenannte unsichere Drittstaaten bestehen.

Fazit:

Der Versand von Newslettern ist unternehmerisch in vielen Fällen sinnvoll. Unternehmen sollten vor allem sicher gehen, dass der Registrierungsprozess rechtssicher ausgestaltet ist, die Einwilligung ausreichend transparent erfolgt und ein entsprechender Nachweis erbracht werden kann. Der Einsatz von Newsletter-Versendern erfordert weitere Handlungen, um Rechtssicherheit zu schaffen. Datenschutzrechtliche Schwierigkeiten ergeben sich im Regelfall weniger dann, wenn beauftragte Unternehmen personenbezogene Daten in Deutschland, in Europa, im Europäischen Wirtschaftsraum oder in sicheren Drittstaaten Daten speichern. Problematisch ist vor allem der Einsatz von US-Dienstleistern: Das Privacy-Shield-Abkommen, die Nutzung von EU-Standardvertragsklauseln oder aber die Einwilligung der betroffenen Nutzer können den Einsatz zwar rechtfertigen – bestehende Rechtsunsicherheiten bleiben in dieser Konstellation jedoch derzeit bestehen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (3 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×