≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Datenschutzreform 2018 > AKI 1: Versand von Newslettern durch bayerische öffentliche Stellen

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 22.08.2023

Aktuelle Kurz-Information 1: Versand von Newslettern durch bayerische öffentliche Stellen

Stichwörter: Bestandsdaten - Einwilligung - Nachweispflicht - Newsletter - Werbung | Stand: 22. August 2023

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

  • Der Versand von Newslettern durch bayerische öffentliche Stellen erfordert grundsätzlich eine wirksame, insbesondere freiwillige Einwilligung der Adressatinnen und Adressaten.
  • Zum Nachweis der Einwilligung eignet sich vor allem das sog. Double-Opt-in-Verfahren.
  • Als datensparsame Alternative zum Newsletter kommt der RSS-Feed in Betracht.

1

Oftmals nutzen bayerische öffentliche Stellen für die Kommunikation mit Bürgerinnen und Bürgern das Instrument "Newsletter". Das Einsatzspektrum reicht vom behördlichen Presseverteiler bis zu aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Newsletter werden gegenwärtig meist kostengünstig per E-Mail verbreitet. Dabei werden personenbezogene Daten der Adressatinnen und Adressaten verwendet. Insbesondere werden E-Mail-Adressen gespeichert und durch die Übermittlung des jeweiligen Newsletters genutzt. Doch können die Datensätze in der entsprechenden Versandliste, häufig in Form einer Excel-Tabelle, auch weitere Angaben enthalten, etwa für eine individuelle Anrede oder für eine Selektion nach gruppenspezifischen Interessenlagen.

1. Erforderlichkeit einer Rechtsgrundlage

2

Für die Verarbeitung der Kontaktdaten von Adressatinnen und Adressaten des Newsletters ist eine Rechtsgrundlage erforderlich (Art. 6 Abs. 1 Datenschutz-Grundverordnung - DSGVO). Dafür kommen grundsätzlich nur Einwilligungen der betroffenen Personen in Betracht (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Eine bayerische öffentliche Stelle kann Newsletter also regelmäßig nur versenden, soweit sie über wirksame Einwilligungen der Adressatinnen und Adressaten verfügt.

2. Einwilligung als Rechtsgrundlage

3

Die Einwilligung ist wirksam, wenn sie die Anforderungen erfüllt, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO vorsehen. Gemäß Art. 4 Nr. 11 DSGVO muss die Einwilligung insbesondere freiwillig, informiert und unmissverständlich sein. Darüber hinaus muss sie sich auf eine bestimmte Verarbeitung sowie einen bestimmten Zweck beziehen (Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Sätze 1 und 2 DSGVO). Über Einzelheiten informiert eine Orientierungshilfe.

4

Da eine Einwilligung nur Wirksamkeit entfaltet, wenn sie freiwillig erteilt ist, sollte besonders darauf geachtet werden, dass die freie Willensentschließung der betroffenen Person nicht beeinträchtigt wird. Daher ist die Verknüpfung der Einwilligung mit der Teilnahme an einem Gewinnspiel ebenso unzulässig wie jede andere "Belohnung". Auch bei E-Mails an Bestandskundinnen und Bestandskunden kann die Freiwilligkeit nicht als selbstverständlich angesehen werden; möglicherweise fühlen sich diese zu einer Einwilligung "moralisch verpflichtet" oder befürchten, dass eine Verweigerung als "Treuebruch" ausgelegt werden könnte.

3. Nachweispflicht

5

Die öffentliche Stelle muss die Einwilligung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachweisen können (Art. 7 Abs. 1 DSGVO). Einzelheiten dazu erläutert eine Aktuelle Kurz-Information. Zu empfehlen ist insofern die Nutzung eines sog. Double-Opt-in-Verfahrens. Dabei meldet sich eine interessierte Person zunächst - regelmäßig - per Webformular mit einer E-Mail-Adresse für den Bezug des Newsletters an. An diese E-Mail-Adresse sendet der Anbieter eine Kontrollmitteilung, in der um Bestätigung des Bezugswunsches gebeten wird. Erst wenn diese Bestätigung - etwa über eine entsprechende Schaltfläche - erteilt ist, wird die interessierte Person in die Verteilerliste aufgenommen. Auf diese Weise ist ausgeschlossen, dass der Newsletter unerwünscht "zu Lasten" eines Dritten abonniert wird.

6

Von der Einwilligung der betroffenen Person zur Newsletter-Bestellung nicht umfasst sind E-Mail-Zählpixel oder ähnliche Tracking-Technologien, die Zugriff auf die Endgeräte der Nutzer haben. Insoweit bedarf es einer separaten Einwilligung nach § 25 Telekommunikations-Telemedien-Datenschutz-Gesetz.

4. Bestandsdaten

7

Bei der Nutzung von Bestandsdaten für den Newsletterversand gilt es, die zeitliche Komponente im Auge zu behalten: Zwar ist die Wirksamkeit von Einwilligungen grundsätzlich nicht zeitlich begrenzt, so dass diese im Allgemeinen nicht regelmäßig erneuert werden müssen. Eine Erneuerung von Einwilligungen in angemessenen Abständen kann aber dennoch angezeigt sein. Insbesondere, wenn eine Einwilligung in den Newsletterbezug vor dem Geltungsbeginn der Datenschutz-Grundverordnung (25. Mai 2018) erteilt worden sein sollte, empfiehlt es sich, die Einwilligung neu einzuholen. Zwar hat die Datenschutz-Grundverordnung Einwilligungen nach alter Rechtslage nicht "automatisch" unwirksam gemacht; sie verlangt aber, dass die bereits erteilten Einwilligungen ihre Voraussetzungen erfüllen (vgl. Erwägungsgrund 171 DSGVO). Das wird häufig nicht der Fall sein. Dann sollte der Verantwortliche eine neue Einwilligung einholen, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO voll entspricht.

5. Verzeichnis von Verarbeitungstätigkeiten

8

Eine Verarbeitungstätigkeit mit dem Zweck "Versand eines Newsletters" ist auch in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen. Rechtsgrundlage für diese Verarbeitungstätigkeit ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO. Eine aufgabenzuweisende Vorschrift kann mitzitiert werden, so etwa beim Newsletter einer gemeindlichen Volkshochschule Art. 57 Abs. 1 Satz 1 Gemeindeordnung (Aufgabe, Einrichtungen der Erwachsenenbildung zu betreiben).

9

Betroffene Personen sind die Abonnentinnen und Abonnenten; zu den Kategorien personenbezogener Daten zählen regelmäßig der Name und der Vorname sowie die E-Mail-Adresse, gegebenenfalls noch weitere Angaben (z. B. das Geburtsdatum). Kategorien (dritter) Empfänger können beispielsweise dann anzugeben sein, wenn die öffentliche Stelle für den Versand des Newsletters mit einem Auftragsverarbeiter kooperiert (vgl. Art. 28 DSGVO). Was die Löschfristen betrifft, ist im Verzeichnis von Verarbeitungstätigkeiten darauf hinzuweisen, dass der Datensatz einer Bezieherin oder eines Beziehers des Newsletters gelöscht wird, wenn sie oder er die Einwilligung widerruft. Im Übrigen ist der Bezug eines Newsletters in der Regel auf Dauer angelegt.

6. Informationspflichten

10

Im Zusammenhang mit dem Angebot, den Newsletter zu abonnieren, muss die öffentliche Stelle auch ihre Informationspflichten nach Art. 13 DSGVO erfüllen. Wird ein Webformular verwendet, sollten Interessentinnen und Interessenten vor Abgabe der Erklärung, dass der Newsletter bezogen werden soll, und vor Erteilung der Einwilligung in eine Verarbeitung der hierfür erforderlichen personenbezogenen Daten die Möglichkeit haben, die Hinweise zu den in Art. 13 Abs. 1 und 2 DSGVO aufgeführten Punkten medienbruchfrei zur Kenntnis zu nehmen. Dies kann etwa durch einen gut sichtbar platzierten und entsprechend bezeichneten Link geschehen. Vor der Einwilligung ist zudem unmissverständlich über das Widerrufsrecht aufzuklären (Art. 7 Abs. 3 Satz 3 DSGVO).

7. Abbestellen des Newsletters

11

Möchte eine Abonnentin oder ein Abonnent den Newsletter nicht länger beziehen, kann sie oder er jederzeit die entsprechende Einwilligung widerrufen. Der Widerruf der Einwilligung, also die Abbestellung des Newsletters, muss dabei gemäß Art. 7 Abs. 3 Satz 4 DSGVO so einfach wie die Erteilung der Einwilligung sein. Wurde die Einwilligung beispielsweise im Double-Opt-in-Verfahren eingeholt, darf auch der Widerruf höchstens zwei Schritte umfassen (sogenanntes "Double-Opt-out"). Denkbar ist etwa ein Abmeldelink im Newsletter selbst, der zu einer Abmeldeseite führt, auf der die Abmeldung zu bestätigen ist. Nach dem Widerruf der Einwilligung zum Newsletterbezug sind die personenbezogenen Daten der ehemaligen Abonnentinnen oder Abonnenten, die aufgrund der Einwilligung verarbeitet wurden, grundsätzlich unverzüglich zu löschen, sofern nicht eine anderweitige Rechtsgrundlage für die Verarbeitung besteht. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hiervon nicht berührt (Art. 7 Abs. 3 Satz 2 DSGVO).

8. Sonderfall: Werbung per Newsletter

12

Will eine Behörde einen Newsletter zur Direktwerbung nutzen, beispielsweise eine gemeindliche Volkshochschule hinsichtlich ihres Kursangebots, kann sie dies nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. f mit Erwägungsgrund 47 DSGVO stützen. Die Vorschrift ist für Behörden nicht anwendbar, weil andernfalls Vorgaben zur Gesetzesbindung umgangen werden könnten (Art. 6 Abs. 1 UAbs. 2 DSGVO).

13

Für öffentliche Stellen, die keine Behörden sind, so etwa Stadtwerke in der Rechtsform einer Kapitalgesellschaft, ist diese Vorschrift allerdings nicht gesperrt. Insofern ist aber derzeit § 7 Gesetz gegen den unlauteren Wettbewerb zu beachten.

9. Datenschutzfreundliche Alternative

14

Eine datensparsame Alternative zum Newsletter bietet ein RSS-Feed. Dieser hat den Vorteil, dass Bürgerinnen und Bürger keine Kontaktdaten angeben müssen, um das Angebot nutzen zu können. Eine Einwilligung muss hierfür nicht eingeholt werden. Für den Bezug von RSS-Feeds durch Interessentinnen und Interessenten gibt es technisch verschiedene Möglichkeiten. Am einfachsten ist die Integration in einen E-Mail-Client mit entsprechender Funktionalität, etwa Microsoft Outlook oder Mozilla Thunderbird. Der E-Mail-Client ruft dann in vorgegebenen Zeitabständen die aktuellen Nachrichten ab und stellt diese wie neue E-Mails in einem Ordner bereit. Möchte eine öffentliche Stelle einen RSS-Feed anbieten, muss sie dafür eine XML-Datei im RSS-Format auf der eigenen Homepage veröffentlichen und diese dann bei jedem neuen Beitrag aktualisieren. Viele Content-Management-Systeme (CMS) zur Erstellung und Pflege von Webseiten bieten Funktionen, um solche XML-Dateien einfach erstellen und verwalten zu können.

  1. Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Orientierungshilfe, Stand 9/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
  2. Bayerischer Landesbeauftragter für den Datenschutz, Aufbewahren von Einwilligungen, Aktuelle Kurz-Information 8, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
  3. Bayerischer Landesbeauftragter für den Datenschutz, Bayerische öffentliche Stellen und Telemedien, Orientierungshilfe, Stand 12/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018", Rn. 33 ff. [Zurück]
  4. Näher dazu Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Orientierungshilfe, Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]