Formular zur Newsletter-Anmeldung rechtssicher umsetzen.

Formular zur Newsletter-Anmeldung rechtssicher umsetzen.

Du nutzt Webformulare auf Deiner Website? Das Formular zur Newsletter-Anmeldung oder sonstiger Registrierung ist ein neuralgischer Punkt. Aus Gründen des Datenschutzes und der Datensicherheit. Das ist nachvollziehbar, denn hier sind personenbezogenen Daten im Spiel. 

Tatsächlich ist das Netz voll mit problematischen Newsletter-Anmeldeformularen. Tatsächlich ist der Prozess zur Newsletter-Anmeldung voll mit Fallstricken. Aber keine Sorge: Wir zeigen Dir, wie Du Deine Formulare sauber implementierst.

Allgemeines

SSL-Verschlüsselung

Der Einsatz von SSL wird zwar in der DSGVO nicht ausdrücklich vorgeschrieben, jedoch ist in Artikel 32 Absatz 1 von der Verschlüsselung von Daten die Rede:

"[...] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten [...]"

Maßnahme: Achte darauf, dass das Formular sowie der verarbeitende Server sämtliche Verbindungen zum User verschlüsselt, also SSL nutzt. 

Koppelungsverbot

Grundsätzlich darf die Newsletter-Anmeldung nicht an Bedingungen gebunden sein, die für den Versand des Newsletters eigentlich unnötig sind. Beispiele sind Gewinnspiele, Werbung über andere Kanäle, Käufe, aber auch personenbezogenes Tracking. Wenn Du entsprechende Leistungen und Maßnahmen anbieten willst, musst Du dem User stets die Wahl lassen.

Näheres geht aus Artikel 7 Absatz 4 der EU-DSGVO hervor:

"Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.”

Maßnahme: Verzichte nach Möglichkeit darauf, im Rahmen der Newsletter-Anmeldung weitere Leistungen anzubieten. Das Opt-in für personenbezogenes Tracking sollte eher im Rahmen von Lead-Formularen eingeholt werden. Dort lässt sich dessen Sinnhaftigkeit gegenüber dem Gesetzgeber deutlich besser begründen.

Protokollierung

Falls es doch mal zu Streitigkeiten kommt, bist Du als Versender oft in der Beweispflicht. Wappne Dich dafür im Voraus, in dem Du folgende Maßnahmen ergreifst:

  1. Protokollierung des Anmeldeprozesses: Es sollte sich jederzeit darlegen lassen, wann genau (Datum und Uhrzeit) sich ein User auf welcher Webseite (URL) angemeldet hat. Ruhig mit Angaben zum verwendeten Browser. Mit entsprechendem Hinweis kannst Du auch die IP-Nummer des Clients abspeichern. Protokolleinträge müssen selbstverständlich sofort gelöscht werden, wenn ein User das fordert.
  2. Erstelle Screenshots vom gesamten Anmeldeprozess und beschrifte diese mit Zeitpunkt und dem entsprechendem Client. Wiederhole diesen Schritt jährlich bzw. spätestens nach jeder Änderung der Website bzw. des Prozesses.
    Tipp: Auch Screenshots von der Anmeldung per Smartphone sind sinnvoll.
  3. Verfahrensverzeichnis
    Im Bezug auf die EU-DSGVO gilt: Lieber ein Verarbeitungsverzeichnis zu viel, als zu wenig anlegen. In diesem Sinne empfehlen wir, insbesondere für die Newsletter-Anmeldung ein eigenes Verzeichnis zu erstellen. Es muss gewährleistet sein, dass sich die Aufsichtsbehörde im Bedarfsfall schnell ein genaues Bild von der Verarbeitung der personenbezogenen Daten inkl. den zugehörigen Prozessen machen kann.
    Hier findest Du ein Muster-Verfahrensverzeichnis (kostenlos).

Aufbau des Formulars

Der optimale Aufbau eines Newsletter-Anmeldeformulars

Weniger ist mehr

Datensammelwut ist schon länger ein großes Thema. Im Rahmen der EU-DSGVO wurde der Neugierde von Marketern ein rechtlicher Rahmen vorgeschoben. Und mal ehrlich: Was für einen Sinn macht die Telefonnummer bei einer Newsletter-Anmeldung? Gar keinen – außer Du verfolgst noch einen anderen Zweck mit der Datengewinnung. Aber auch das ist nicht erlaubt.

Gemäß Artikel 5 müssen personenbezogene Daten

“für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden [...] "

sowie

“ [...] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‘Datenminimierung’)”

Verzichte im eigenen Interesse auf unwichtige Kontaktfelder. Denn jedes Feld wirkt wie ein Filtrer und verringert die Anzahl der Registrierungen. Selbst dann, wenn die Eingabe als „optional“ gekennzeichnet ist.

Informationspflicht

Im Sinne der Transparenz müssen nach bisheriger Rechtslage Newsletter-Abonnenten bereits über den Umfang und Zweck der Datenerhebung informiert werden. Diese Verpflichtung wird mit Inkrafttreten der EU-DSGVO noch einmal ausgeweitet. Zu den Informationen zählen unter anderem:

  1. die Kontaktdaten des Versenders und dessen Datenschutzbeauftragten
  2. der Verarbeitungszweck und deren Rechtsgrundlage
  3. die Speicherdauer bzw. die Kriterien dafür
  4. das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch
  5. das Recht auf Widerruf der Einwilligung
  6. das Beschwerderecht bei der Aufsichtsbehörde

Aufgrund des großen Umfangs der bereitzustellenden Informationen empfehlen wir, die Inhalte auf einer gesonderten Seite zusammenzufassen. Das erleichtert deren Pflege deutlich.

Die Einwilligung bzw. Kenntnisnahme der Datenschutzerklärung sowie der Widerrufserklärung etc. muss aktiv vom Nutzer vorgenommen werden. Eine Möglichkeit wäre die Erweiterung der Formulare um entsprechende Kontrollkästchen (Checkbox). Dann darf die Anmeldung nur dann ausgeführt werden, sofern der User die Checkbox tatsächlich ausgewählt hat. Vorselektiert darf diese also nicht sein, um rechtssicher umgesetzt zu sein.

Captchas

Zur Vermeidung von Spam und Botzugriffen werden bei Newsletter-Anmeldungen häufig Captcha-Abfragen eingesetzt. Abgesehen davon, dass daraus eine grenzwertige User Experience resultiert, ist dagegen wenig einzuwenden. Vorsicht ist bei reCaptcha aus dem Hause Google geboten. Aus Datenschutzgründen sind diese Produkte problematisch.

Bestätigung und Fehlermeldungen

Ein häufiges Problem von Anmeldeformularen sind mangelhafte Dialoge (z. B. Hilfetexte, Fehlermeldungen, Bestätigung). Vor allem auf mobilen Endgeräten sind diese oft unverständlich oder schwer zu erfasasen.

Double-Opt-in

Als Newsletter-Versender musst Du nachweisen, wer wann seine ausdrückliche Einwilligung für eine Newsletter-Anmeldung erteilt hat. Ohne Double-Opt-in (DOI) ist kaum nachweisbar, ob die Anmeldung tatsächlich vom Inhaber der Adresse stammt (Art. 7 Abs. 1 DSGVO). Stelle daher spätestens jetzt Deine Anmeldeverfahren auf DOI um.

Ganz wichtig: Die Bestätigungs-E-Mail darf keinerlei Werbung beinhalten. Es gab sogar schon Fälle, bei dem von einem abmahnenden Anwalt die persönliche Anrede in der E-Mail beanstandet wurde.

double-opt-in-verfahren

Fazit


Die DSGVO sorgt immer noch für Unsicherheit im E-Mail-Marketing. Wer einige Regeln beachtet, muss sich jedoch keine Sorgen machen. Im Fokus sollte dabei das Formular für die Newsletter-Anmeldung stehen.

Achtung: Für eine individuelle Rechtsberatung kontaktiere bitte einen Fachanwalt.

Über den Autor
Über den Autor

Moin aus Hamburg! Mein Name ist Frank und ich beschäftige mich seit über 25 Jahren mit Content-Marketing, Automation, Analytics und Conversion-Optimierung.

Deine Kunden wollen partout nicht anbeißen? Gerne helfe ich Dir mit einem
kostenlosen Landingpage-Check.

Ergänzende Artikel