Wie verschicke ich einen Newsletter rechtlich sicher?

Wir starten heute also gleich einmal damit, was schief gehen kann und welche (monetären) Auswirkungen das haben kann. Im Endeffekt gilt nämlich das gleiche wie in allen Rechtsgebieten etwa der Straßenverkehrsordnung auch: Wer zu schnell fährt, kann geblitzt werden und bekommt die Strafe frei Haus zugestellt. 

Dieser Grundsatz kann auch auf Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angewendet werden – und es kommt noch dicker: Neben einer Beschwerde bei der Datenschutzbehörde, die im schlimmsten Fall mit einem Strafbescheid endet, können betroffene Personen auch Schadenersatz einklagen. Die DSGVO sieht – wie viele bereits wissen – horrende Strafen vor, wenn Unternehmen (=verantwortliche Stellen) ihren Rechenschaftspflichten nicht nachkommen. Die Datenschutzbehörde stellt auf ihrer Website Beschwerdeformulare zur Verfügung, um die Rechteausübung für die Betroffenen zu erleichtern.

Neben der DSGVO gilt in Österreich auch das Telekommunikationsgesetz 2021 (TKG). Verschickt ein Unternehmen Werbe-E-Mails ohne eine rechtsgültige Einwilligung nachweisen zu können, kann gegen diese Form der unerbetenen Nachrichten per E-Mail – und darunter fallen auch Newsletter –eine Anzeige bei der Fernmeldebehörde der Republik Österreich eingebracht werden kann. Die Behörde stellt hier Anzeigemuster bereit. Der Fernmeldebehörde steht eine Strafhöhe, und das kommt natürlich auf den Einzelfall an, von bis zu € 50.000 zu. 

Das ist ganz schnell und einfach erklärt. Für Newsletter gibt es zwei legale Möglichkeiten: Entweder die Einwilligung der Betroffenen wird nachweisbar eingeholt oder – und das ist eine Ausnahme – das sogenannte Bestandskundenprivileg kann angewendet werden. 

Das ist das Bestandskundenprivileg das ich eben angesprochen habe. Hier müssen jedoch insgesamt 4 Voraussetzungen vorliegen. Fehlt nur eine davon, und das ist in der Praxis oft der Fall, darf sich ein Unternehmen nicht auf das Bestandskundenprivileg berufen. 

Die 4 Voraussetzungen sind:

1. Es muss sich um bereits bestehende Kunden handeln, die bei Ihnen im Unternehmen bereits eingekauft haben. Kurz: Bestandskunden.
2. Die Newsletter dürfen ausschließlich für Werbung für eigene ähnliche Produkte/Dienstleistungen verschickt werden. Also fällt es schon einmal flach, dass ich einen neuen Service anpreise bzw. Produkte von Kooperationspartnern bewerbe.
3. Dann muss es den Empfänger:innen möglich sein – und daran scheitert es oft in der Praxis – dass es den Betroffenen ermöglicht wird, bei der Erhebung der Daten, also z. B. im Rahmen des Vertragsabschlusses im Online-Shop, dass er NEIN sagen kann. Und – das kennen Sie bereits von den anderen Newslettern – dass sie sich jederzeit „unsubscriben“ oder abmelden können.
4. Zu guter Letzt: Unternehmen müssen einen Abgleich mit der § 7 E-Commerce-Gesetz Liste durchführen. Die Liste führt in Österreich die RTR-GmbH. In diese Liste können sich Personen und Unternehmen kostenlos eintragen, die keine Werbe-E-Mails erhalten möchten.

Beim Bestandskundenprivileg gilt es tatsächlich vorsichtig zu sein und sich juristisch beraten zu lassen, um nicht in den juristischen Graubereich zu gelangen und mit erheblichem finanziellem Konsequenzen konfrontiert zu werden.

Sofern das Bestandskundenprivileg nicht greift, etwa da nicht alle Voraussetzungen vorliegen, wird eine Einwilligung der Empfänger*innen benötigt. 

Es gilt einmal den Grundsatz der Datenminimierung zu beachten. So reicht es bei der Anmeldung zu einem Newsletter aus, dass nur die E-Mail als Pflichtfeld erhoben wird. 

Sollen noch weitere Daten abgefragt werden, etwa der Vor- oder Nachname zur persönlichen Ansprache der Newsletter-Abonennt*innen, dann darf das nur auf freiwilliger Basis erfolgen. 

Wie oben schon angesprochen müssen Unternehmen die erteilte Einwilligung nachweisen können. Hier hat sich im Bereich des E-Mail-Marketings das sogenannte Double-Opt-In-Verfahren etabliert. Diese zwei Klicks dienen dazu, dass Unternehmen nachweisen können, dass sich jemand in die E-Mail-Liste eingetragen hast. Beim Wording des E-Mails im Rahmen des Double-Opt-in-Verfahrens gibt es noch einige Punkte zu beachten. Hierzu habe ich vor Kurzem auf unserem Blog Data.PROtector einen Artikel veröffentlicht.

Ich vergleiche das An- und Abmelden gerne immer mit der Hochzeit und einer Scheidung. Und hier ist ein Grundsatz der DSGVO zu beachten: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Hier hat sich etabliert, dass bei jedem versendeten Newsletter ein „UNSUBSCRIBE-“ oder Abmelde-Button integriert wird. So kann die Einwilligung einfach mit einem Klick widerrufen werden.

Hierzu möchte ich noch eine Geschichte eines Freundes teilen. Er hat mich einmal etwas wütend angerufen und mir erzählt, dass er sich aus einem bestimmten Newsletter bereits 10-mal abgemeldet hat. Offensichtlich ging das nicht und er bat mich um Rat. Unser Lösungsweg war nicht wie in der ersten Frage beschrieben – also Beschwerde oder Anzeige einreichen – sondern dass wir das Unternehmen kontaktierten und das ihnen freundlich mitteilten. Sie waren uns sehr dankbar, da sie sich den möglichen Konsequenzen durchaus bewusst waren. Daher empfehle ich unseren SCALELINE-Mandanten auch immer, dass sie im Rahmen des Newsletter-Set-ups alles durchtesten sollen, um solche Probleme zu vermeiden. Denn nicht alle Menschen reagieren so freundlich wie wir. 

Das wichtigste vorweg: Nicht für andere Zwecke nutzen oder einfach den Widerruf ignorieren und weiterhin Newsletter an die Adresse schicken.

Wir empfehlen unseren SCALELINE-Mandanten immer die Liste mit abgemeldeten Newsletter-Abonennt*innen für 3 Jahre aufzubewahren.

Warum? Weil Verstöße gegen die DSGVO in 3 Jahren verjähren. Sollte sich also eine Person beschweren, können Sie nachweisen, dass Sie eine Einwilligung – natürlich unter Beachtung des Double-Opt-In-Verfahrens – eingeholt haben. 

Es gibt noch weitere Pflichten nach der DSGVO. Denn die Einwilligung stellt sozusagen nur die Rechtsgrundlage dar, um Newsletter aussenden zu können. Dass der Newsletter verschickt wird, muss in den Datenschutzhinweise ergänzt werden und im sog. Verarbeitungsverzeichnis.

Liebe Petrina, vielen Dank für das Interview. Ich bin so frei und möchte noch ein paar mahnende Worte zum Abschluss finden:

Die meisten Newsletter-Anmeldungs-Prozesse verstoßen gegen die DSGVO und das TKG. Sich hier beraten und absichern zu lassen, ist nicht teuer und erspart eine Menge Ärger – und Geld.

Danke für das Gepräch, liebe Elisa!

Mag. Elisa Drescher ist Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE LTD, der ONLINE Unternehmensberatung für Datenschutzrecht im deutschsprachigen Raum.

Nach ihrer Tätigkeit bei einer renommierten Unternehmensberatung für Datenschutz in Deutschland verbindet sie die Anforderungen der DSGVO sowie den nationalen Datenschutzgesetzen in Österreich und Deutschland und vermittelt das für viele sehr trockene Thema Datenschutz auf eine sehr lockere und charmante Weise. Denn Datenschutz geht uns alle an. Und mit SCALELINE wird Datenschutz[R]echt easy. Mehr Informationen zu SCALELINE gibt es auf der Scaleline-Website mit Blog und

• auf LinkedIn unter Elisa Drescher
• auf Instagram unter @scaleline.datapro.