Das Formular zur Newsletter-Anmeldung oder sonstiger Registrierung ist ein neuralgischer Punkt. Beim kleinsten Problem springen die User ab. Aber auch im Hinblick auf die DSGVO bergen Anmeldeformulare viel Fehlerpotenzial.
E-Mail-Marketing ohne Newsletter-Anmeldeformular? Schwierig. Das Set-up einer Anmeldeseite ist jedoch voller Fallstricke. Ein kleiner Fehler kann teure Konsequenzen haben. Aber keine Sorge: Wir zeigen Dir, wie Du Deine Formulare sauber implementierst und Dich entspannt zurücklehnen kannst.
Allgemeines
SSL-Verschlüsselung
Der Einsatz von SSL wird zwar in der DSGVO nicht ausdrücklich vorgeschrieben, jedoch ist in Artikel 32 Absatz 1 von der Verschlüsselung von Daten die Rede:
"[...] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten [...]"
Maßnahme: Achte darauf, dass das Formular sowie der verarbeitende Server sämtliche Verbindungen zum User per SSL verschlüsselt. (Als Protokoll sollten ausschließlich TLS 1.1, 1.2 und 1.3 zum Einsatz kommen.)
Koppelungsverbot
Grundsätzlich darf die Newsletter-Anmeldung nicht an Bedingungen gebunden sein, die für den Versand des Newsletters eigentlich unnötig sind. Beispiele sind Gewinnspiele, Werbung über andere Kanäle, Käufe, aber auch personenbezogenes Tracking. Wenn Du entsprechende Leistungen und Maßnahmen anbieten willst, musst Du dem User stets die Wahl lassen.
Näheres geht aus Artikel 7 Absatz 4 der EU-DSGVO hervor:
"Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.”
Maßnahme: Verzichte nach Möglichkeit darauf, im Rahmen der Newsletter-Anmeldung weitere Leistungen anzubieten. Das Opt-in für personenbezogenes Tracking sollte eher im Rahmen von Lead-Formularen eingeholt werden. Dort lässt sich dessen Sinnhaftigkeit gegenüber dem Gesetzgeber deutlich besser begründen.
Protokollierung
Falls es doch mal zu Streitigkeiten kommt, bist Du als Versender oft in der Beweispflicht. Wappne Dich dafür im Voraus, in dem Du folgende Maßnahmen ergreifst:
- Protokollierung des Anmeldeprozesses: Es sollte sich jederzeit darlegen lassen, wann genau (Datum und Uhrzeit) sich ein User auf welcher Webseite (URL) angemeldet hat. Ruhig mit Angaben zum verwendeten Browser. Mit entsprechendem Hinweis kannst Du auch die IP-Nummer des Clients abspeichern. Protokolleinträge müssen selbstverständlich sofort gelöscht werden, wenn ein User das fordert.
- Erstelle Screenshots vom gesamten Anmeldeprozess und beschrifte diese mit Zeitpunkt und dem entsprechendem Client. Wiederhole diesen Schritt jährlich bzw. spätestens nach jeder Änderung der Website bzw. des Prozesses.
Tipp: Auch Screenshots von der Anmeldung per Smartphone sind sinnvoll. - Verfahrensverzeichnis
Im Bezug auf die EU-DSGVO gilt: Lieber ein Verarbeitungsverzeichnis zu viel, als zu wenig anlegen. In diesem Sinne empfehlen wir, insbesondere für die Newsletter-Anmeldung ein eigenes Verzeichnis zu erstellen. Es muss gewährleistet sein, dass sich die Aufsichtsbehörde im Bedarfsfall schnell ein genaues Bild von der Verarbeitung der personenbezogenen Daten inkl. den zugehörigen Prozessen machen kann.
Hier findest Du ein Muster-Verfahrensverzeichnis (kostenlos).
Aufbau des Formulars
Weniger ist mehr
Datensammelwut ist schon länger ein großes Thema. Im Rahmen der EU-DSGVO wurde der Neugierde von Marketern ein rechtlicher Rahmen vorgeschoben. Und mal ehrlich: Was für einen Sinn macht die Telefonnummer bei einer Newsletter-Anmeldung? Gar keinen – außer Du verfolgst noch einen anderen Zweck mit der Datengewinnung. Aber auch das ist nicht erlaubt.
Gemäß Artikel 5 müssen personenbezogene Daten
“für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden [...] "
sowie
“ [...] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‘Datenminimierung’)”
Verzichte im eigenen Interesse auf unwichtige Kontaktfelder. Denn jedes Feld wirkt wie ein Filtrer und verringert die Anzahl der Registrierungen. Selbst dann, wenn die Eingabe als “optional” gekennzeichnet ist.
Informationspflicht
Im Sinne der Transparenz müssen nach bisheriger Rechtslage Newsletter-Abonnenten bereits über den Umfang und Zweck der Datenerhebung informiert werden. Diese Verpflichtung wird mit Inkrafttreten der EU-DSGVO noch einmal ausgeweitet. Zu den Informationen zählen unter anderem:
- die Kontaktdaten des Versenders und dessen Datenschutzbeauftragten
- der Verarbeitungszweck und deren Rechtsgrundlage
- die Speicherdauer bzw. die Kriterien dafür
- das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch
- das Recht auf Widerruf der Einwilligung
- das Beschwerderecht bei der Aufsichtsbehörde
Aufgrund des großen Umfangs der bereitzustellenden Informationen empfehlen wir, die Inhalte auf einer gesonderten Seite zusammenzufassen. Das erleichtert deren Pflege deutlich.
Die Einwilligung bzw. Kenntnisnahme der Datenschutzerklärung sowie der Widerrufserklärung etc. muss aktiv vom Nutzer vorgenommen werden. Eine Möglichkeit wäre die Erweiterung der Formulare um entsprechende Kontrollkästchen (Checkbox). Dann darf die Anmeldung nur dann ausgeführt werden, sofern der User die Checkbox tatsächlich ausgewählt hat. Vorselektiert darf diese also nicht sein, um rechtssicher umgesetzt zu sein.
Captchas
Zur Vermeidung von Spam und Bot-Zugriffen werden bei Newsletter-Anmeldungen häufig Captcha-Abfragen eingesetzt. Abgesehen vom “Nervfaktor” (aus Sicht des UsersI) ist dagegen wenig einzuwenden. Vorsicht ist bei reCaptcha aus dem Hause Google geboten. Aus Datenschutzgründen sind diese Produkte problematisch.
Bestätigung und Fehlermeldungen
Ein häufiges Problem von Anmeldeformularen sind mangelhafte Dialoge (z. B. Hilfetexte, Fehlermeldungen, Bestätigung). Vor allem auf mobilen Endgeräten sind diese oft unverständlich oder schwer zu erfassen.
Prinzipiell ist ein gutes Anmeldeformular so konstruiert, dass Fehler von vornherein vermieden werden. Zum Beispiel, in dem Eingaben nach Möglichkeit mithilfe von Auswahlmenüs vorgenommen werden können.
Double-Opt-in
Als Newsletter-Versender musst Du nachweisen, wer wann seine ausdrückliche Einwilligung für eine Newsletter-Anmeldung erteilt hat. Ohne Double-Opt-in (DOI) ist kaum nachweisbar, ob die Anmeldung tatsächlich vom Inhaber der Adresse stammt (Art. 7 Abs. 1 DSGVO). Stelle daher spätestens jetzt Deine Anmeldeverfahren auf DOI um.
Ganz wichtig: Die Bestätigungs-E-Mail darf keinerlei Werbung beinhalten. Es gab Fälle, bei dem von einem abmahnenden Anwalt die persönliche Anrede in der E-Mail beanstandet wurde.
Texte für Newsletter-Anmeldung
Hier ein paar bewährte Texte für Newsletter-Anmeldeprozess:
- Für die Anmeldung zu unserem Newsletter geben Sie hier bitte […] ein und klicken […]
- Die Einwilligung zum Versand des Newsletters kann jederzeit widerrufen werden. Dazu muss lediglich der Abmeldelink geklickt werden, der sich in jedem Newsletter befindet.
- Bitte bestätigen Sie Ihre Anmeldung. Klicken Sie dazu den Erhalt der E-Mail, die wir Ihnen soeben gesendet haben.
- Sie haben sich erfolgreich angemeldet.
Fazit
Die DSGVO sorgt immer noch für Unsicherheit im E-Mail-Marketing. Wer einige Regeln beachtet, muss sich jedoch keine Sorgen machen. Ganz wichtig: Das Formular für die Newsletter-Anmeldung nicht außer Acht lassen, um Abmahnungen zu vermeiden.
Achtung: Für eine individuelle Rechtsberatung kontaktiere bitte einen Fachanwalt.
Moin aus Hamburg! Mein Name ist Frank und ich beschäftige mich seit über 25 Jahren intensiv mit digitalem Marketi8ng.
Du möchtest dich und dein Marketing weiterentwickeln? Dann lass uns sprechen!