Unter­lie­gen Ein­wil­li­gun­gen einem Verfallsdatum?

Eine Fra­ge, die immer wie­der an uns gestellt wird: “Wie lan­ge ist eine ein mal erteil­te Ein­wil­li­gun­gen z.B. für einen News­let­ter-Emp­fang denn gül­tig?” Wir haben uns mal auf die Suche nach belast­ba­ren Aus­sa­gen dazu gemacht. Denn nicht erst seit der DSGVO ist die­ses The­ma immer wie­der Gegen­stand von Anfra­gen bei uns.

Beschränkt die DSGVO die Gül­tig­keits­dau­er von Einwilligungen?

Ers­te Anlauf­stel­le ist natür­lich stets das Gesetz. Die DSGVO äußert sich zum The­ma Ein­wil­li­gun­gen in Art. 7 Bedin­gun­gen für die Ein­wil­li­gung (exter­ner Link). Den ein­zi­gen Anhalts­punkt zur Gül­tig­keits­dau­er einer Ein­wil­li­gung fin­den wir in Abs. 3:

Die betrof­fe­ne Per­son hat das Recht, ihre Ein­wil­li­gung jeder­zeit zu wider­ru­fen. Durch den Wider­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung nicht berührt. Die betrof­fe­ne Per­son wird vor Abga­be der Ein­wil­li­gung hier­von in Kennt­nis gesetzt. Der Wider­ruf der Ein­wil­li­gung muss so ein­fach wie die Ertei­lung der Ein­wil­li­gung sein.

Somit sind Ein­wil­li­gun­gen wohl bis auf Wider­ruf gül­tig und der Wider­ruf dann auch nur für die Zukunft mög­lich. Auch der Zweck­bin­dungs­grund­satz aus Art. 5 DSGVO steht die­ser Aus­le­gung nicht ent­ge­gen, sofern kei­ne grund­sätz­li­che Zweck­än­de­rung vor­liegt. In die­sem Fall soll­te die Gül­tig­keit von Ein­wil­li­gun­gen auf jeden Fall stets über­prüft werden.

Neben der daten­schutz­recht­li­chen Ein­wil­li­gung ist bei einer Ein­wil­li­gung zu Wer­be­zwe­cken auch das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) (exter­ner Link) zu berück­sich­ti­gen. So schreibt § 7 Abs. 2 Nr. 3 UWG (exter­ner Link) eine Ein­wil­li­gung zu Wer­be­zwe­cken im Sin­ne des UWG für Wer­bung per Email vor. Von einem Ablauf­da­tum ist hier jedoch kei­ne kon­kre­te Rede.

Was sagen die Gerich­te zum The­ma Gül­tig­keits­dau­er von Einwilligungen?

Hier wird es nun etwas wider­sprüch­lich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Akten­zei­chen 104 C 227/​15 (exter­ner Link) wird kon­kret für den Fall von Wer­be-Mails ein Ver­fall der Gül­tig­keit von 4 Jah­ren genannt. Dem ent­ge­gen steht ein Urteil des Bun­des­ge­richts­hof vom 01.02.2018 mit dem Akten­zei­chen III ZR 196/​17 (exter­ner Link), nach dem ein News­let­ter Opt-In nicht allein durch Zeit­ab­lauf erlischt (Sei­ten 15, 16; Rand­num­mern 30–32).

Ja was denn nun? Ablauf der Gül­tig­keit einer Ein­wil­li­gung oder nicht?

Aktu­ell spre­chen wohl mehr Argu­men­te dafür, dass es kein Ablauf­da­tum für gül­ti­ge Ein­wil­li­gun­gen gibt. Den­noch soll­ten wei­te­re Urtei­le zu dem The­ma kon­kret beob­ach­tet und im Zwei­fel her­an­ge­zo­gen wer­den. Eine gute Über­sicht über die Argu­men­te pro und kon­tra Ver­fall von Ein­wil­li­gun­gen fin­den Sie auch auf unse­rem Part­ner­blog (exter­ner Link).

aboutpixel.de / Geldfalle © Rainer Sturm

Vor­tei­le exter­ner News­let­ter-Ver­sen­der /​ Anbie­ter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wurden.

Dou­ble opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim dou­p­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger — zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail — sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu können.

Dan­ke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmahnungen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, die sich mit­tels dou­ble opt-in für einen News­let­ter anmel­den müs­sen. Dies wür­de die Absprung­ra­ten erhö­hen. Schlicht: die Maß­nah­me wird als „Kun­den­ser­vice“ ver­kauft, Abmahn­ri­si­ko inklu­si­ve. Die Umstel­lung erfolgt auto­ma­tisch zum 31.12.2017. Nut­zer des Ser­vice soll­ten unbe­dingt manu­ell wie­der auf dou­ble opt-in umstellen!

Die Kanz­lei LHR weist in einem Bei­trag dar­auf hin, dass Mail­chimp zwar als recht­li­cher Stö­rer in die Mit­haf­tung genom­men wer­den könn­te, das Abmahn­ri­si­ko wird hier­durch jedoch weder ver­mie­den noch gesenkt.

Exter­ner News­let­ter-Ver­sen­der ist Auftragsdatenverarbeitung

Die Nut­zung eines exter­nen News­let­ter-Ser­vices wie Mail­chimp fällt unter den Anwen­dungs­be­reich der sog. Auf­trags­da­ten­ver­ar­bei­tung (BDSG), zukünf­tig Auf­trags­ver­ar­bei­tung (EU DS-GVO). Der Anbie­ter ist vor der Nut­zung sorg­fäl­tig aus­zu­wäh­len, auf vor­han­de­nes Sicher­heits­ni­veau zu prü­fen und mit einer Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung aus­zu­stat­ten (nicht zu ver­wech­seln mit dem nor­ma­len Ver­trag für die zu erbrin­gen­de Leis­tung). Feh­len­de oder feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung kann Buß­gel­der bis 50.000 Euro nach sich ziehen.

Soll­ten Sie also einen exter­nen Dienst nut­zen, so prü­fen Sie VORHER, ob die Umset­zungs­schrit­te für eine Auf­trags­da­ten­ver­ar­bei­tung mög­lich sind und auch durch­ge­führt wer­den. Im Zwei­fel fra­gen Sie Ihren Datenschutzbeauftragten.

Es gibt übri­gens zahl­rei­che ande­re Anbie­ter, die mit dem dou­ble opt-in und dem Abmahn­ri­si­ko der Nut­zer sorg­fäl­ti­ger umge­hen, beispielsweise

Bei­de genann­ten Anbie­ter sind deut­sche Unter­neh­men, denen die Ver­fah­rens­wei­sen zur Auf­trags­da­ten­ver­ar­bei­tung bekannt sind, die sich mit ihren Ser­vices an deut­sches Wer­be-Recht hal­ten, ihre Daten in deut­schen Rechen­zen­tren hos­ten und über akti­ve, kom­pe­ten­te Daten­schutz­be­auf­trag­te ver­fü­gen. Ihre Kun­den soll­ten Ihnen das wert sein!

 

 

Kaum ein Unter­neh­men kommt ohne Web­auf­tritt aus heut­zu­ta­ge. Der Auf­tritt im World Wide Web ist zu mehr her­an­ge­wach­sen als die ursprüng­li­che digi­ta­le Visi­ten­kar­te. Mit zahl­rei­chen Funk­tio­nen wird um die Gunst der Besu­cher gebuhlt. News­let­ter, Kon­takt­for­mu­la­re, Stel­len­aus­schrei­bun­gen, Gewinn­spie­le, Social Media, Daten­schutz­er­klä­rung oder auch das Impres­sum haben natur­ge­mäß ihre Tücken und ber­gen das Risi­ko von Abmah­nun­gen und Buß­gel­dern. Prä­sen­tie­ren Sie Ihren Web­sei­ten-Besu­chern das Daten­schutz-Zer­ti­fi­kat a.s.k. websecu­re und demons­trie­ren damit den daten­schutz­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten Ihrer Webseite.

Und so ein­fach kom­men Sie zum Ziel:

  1. Schi­cken Sie uns mit dem unten­ste­hen­den For­mu­lar die URL Ihrer Web­sei­te und Ihre Kon­takt­da­ten. Sie erhal­ten zeit­nah Ihr Angebot.
  2. Nach Auf­trags­ver­ga­be folgt ein umfang­rei­cher Check Ihres Web­auf­tritts. Im Anschluß liegt Ihnen ein detail­lier­ter Ergeb­nis- und Maß­nah­men­be­richt vor.
  3. Jetzt gilt es für Sie, die iden­ti­fi­zier­ten Schwach­stel­len zu beseitigen.
  4. Nach posi­ti­ver Nach­prü­fung erhal­ten Sie das Daten­schutz-Zer­ti­fi­kat a.s.k. websecu­re.

 

Die Prüf­punk­te

  1. Impres­sum
  2. Daten­schutz­er­klä­rung (Umfang und Inhalt)
  3. Web­tracking Umsetzung
  4. News­let­ter Umsetzung
  5. Online-Buchun­gen /​ Kon­takt­for­mu­la­re
  6. Stel­len­an­ge­bo­te online
  7. Social Media Inte­gra­ti­on /​ Umset­zung
  8. Zuläs­sig­keit der Datenerhebun
  9. Con­tent Manage­ment Sys­tem (CMS)

 

a.s.k. webs­ecu­re

Das Daten­schutz-Zer­ti­fi­kat a.s.k. webs­ecu­re hat eine Gül­tig­keit von 12 Mona­ten und kann nach ent­spre­chen­der Nach­prü­fung ver­län­gert werden.

Inter­es­se? Dann ein­fach For­mu­lar aus­fül­len — wir mel­den uns mit einem Ange­bot bei Ihnen und machen Ihren Web­auf­tritt sicher.

[vfb id=8]

 

NewsletterNews­let­ter und Email-Wer­bung bie­ten zahl­rei­che Fall­stri­cke, um gegen gel­ten­de gesetz­li­che Rege­lun­gen zu ver­sto­ßen und sich im Zwei­fel Abmah­nun­gen und Buß­gel­der ein­zu­fan­gen. Die Grün­de hier­für kön­nen viel­fäl­tig sein: Unwis­sen­heit, Unbe­darft­heit oder feh­ler­haf­te tech­ni­sche Umset­zung beim Opt-In uvm.

Bedau­er­li­cher­wei­se schüt­zen die­se nicht vor den Rechtsfolgen.

Jan-Phil­lip Zie­bold hat in sei­nem Direkt­mar­ke­ting Blog einen kur­zen Bei­trag ver­öf­fent­licht in Ver­bin­dung mit einem sehr hilf­rei­chen Schau­bild zum The­ma “Opt-In im Email-Mar­ke­ting, so geht’s rich­tig!

Rein­schau­en lohnt, versprochen!

Ihr Daten­schutz­be­auf­trag­ter soll­te sich mit die­sem The­ma übri­gens eben­falls aus­ken­nen. Sie haben gar kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an.