≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 21.06.2018

Aktuelle Kurz-Information 1: Versand von Newslettern durch bayerische öffentliche Stellen

Stichwörter: Newsletter - Einwilligung - Nachweispflicht - Bestandsdaten - Werbung

Oftmals nutzen bayerische öffentliche Stellen für die Kommunikation mit Bürgerinnen und Bürgern das Instrument "Newsletter". Das Einsatzspektrum reicht vom behördlichen Presseverteiler bis zu aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Newsletter werden gegenwärtig meist kostengünstig per E-Mail verbreitet. Dabei werden personenbezogene Daten der Adressatinnen und Adressaten verwendet. Insbesondere werden E-Mail-Adressen gespeichert und durch die Übermittlung des jeweiligen Newsletters genutzt. Doch können die Datensätze in der entsprechenden Versandliste, häufig in Form einer Excel-Tabelle, auch weitere Angaben enthalten, etwa für eine individuelle Anrede oder für eine Selektion nach gruppenspezifischen Interessenlagen.

1. Erforderlichkeit einer Rechtsgrundlage

Für die Verarbeitung der Kontaktdaten von Adressatinnen und Adressaten des Newsletters ist eine Rechtsgrundlage erforderlich (Art. 6 Abs. 1 Datenschutz-Grundverordnung - DSGVO). Dafür kommen grundsätzlich nur Einwilligungen der betroffenen Personen in Betracht (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Eine bayerische öffentliche Stelle kann Newsletter also regelmäßig nur versenden, soweit sie über wirksame Einwilligungen der Adressatinnen und Adressaten verfügt.

2. Einwilligung als Rechtsgrundlage

Die Einwilligung ist wirksam, wenn sie die Anforderungen erfüllt, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO vorsehen. Über diese Anforderungen informiert das Arbeitspapier "Die Einwilligung nach der Datenschutz-Grundverordnung (DSGVO)", das im Internet auf der Seite https://www.datenschutz-bayern.de unter "Datenschutzreform 2018" veröffentlicht ist. Die Einwilligung muss danach insbesondere freiwillig (Art. 4 Nr. 11 DSGVO), informiert (Art. 4 Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2 DSGVO).

3. Nachweispflicht

Die öffentliche Stelle muss die Einwilligung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachweisen können (Art. 7 Abs. 1 DSGVO). Zu empfehlen ist insofern die Nutzung eines sog. Double-Opt-in-Verfahrens. Dabei meldet sich eine interessierte Person zunächst - regelmäßig - per Webformular mit einer E-Mail-Adresse für den Bezug des Newsletters an. An diese E-Mail-Adresse sendet der Anbieter eine Kontrollmitteilung, in der um Bestätigung des Bezugswunsches gebeten wird. Erst wenn diese Bestätigung - etwa über eine entsprechende Schaltfläche - erteilt ist, wird die interessierte Person in die Verteilerliste aufgenommen. Auf diese Weise ist ausgeschlossen, dass der Newsletter unerwünscht "zu Lasten" eines Dritten abonniert wird.

4. Bestandsdaten

Bereits vorhandene Datensätze von Adressatinnen und Adressaten können nur dann weiter für den Versand von Newslettern genutzt werden, wenn der Verantwortliche für diese Datensätze über Einwilligungen verfügt. Einwilligungen, die auf der Grundlage des bisherigen Rechts eingeholt wurden, sind unter der Geltung des neuen Rechts allerdings nur dann weiter wirksam, wenn sie auch dessen Voraussetzungen erfüllen (vgl. Erwägungsgrund 171 DSGVO). Das wird häufig nicht der Fall sein. Dann sollte der Verantwortliche eine neue Einwilligung einholen, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO voll entspricht.

Die Nutzung vorhandener Datensätze für die Abfrage, ob eine solche Einwilligung erteilt wird, ist aus aufsichtsbehördlicher Sicht auch nach dem 25. Mai 2018 zulässig. Dies gilt jedenfalls dann, wenn die Abfrage alsbald erfolgt und nicht mit der Zusendung des nächsten Newsletters verbunden ist.

Da eine Einwilligung nur Wirksamkeit entfaltet, wenn sie freiwillig erteilt ist, sollte besonders darauf geachtet werden, dass die freie Willensentschließung der betroffenen Person nicht beeinträchtigt wird. Daher ist die Verknüpfung der Einwilligung mit der Teilnahme an einem Gewinnspiel ebenso unzulässig wie jede andere "Belohnung", wobei der Empfang des Newsletters nicht als eine solche anzusehen ist. Zumindest problematisch sind E-Mails an Bestandskundinnen und Bestandskunden, in denen die Einwilligung als eine Art "moralische Verpflichtung" und ihre Verweigerung als "Treuebruch" dargestellt wird.

5. Verzeichnis der Verarbeitungstätigkeiten

Eine Verarbeitungstätigkeit mit dem Zweck "Versand eines Newsletters" ist auch in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. Rechtsgrundlage für diese Verarbeitungstätigkeit ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO. Eine aufgabenzuweisende Vorschrift kann mitzitiert werden, so etwa beim Newsletter einer gemeindlichen Volkshochschule Art. 57 Abs. 1 Satz 1 Gemeindeordnung (Aufgabe, Einrichtungen der Erwachsenenbildung zu betreiben).

Betroffene Personen sind die Abonnentinnen und Abonnenten; zu den Kategorien personenbezogener Daten zählen regelmäßig der Name und der Vorname sowie die E-Mail-Adresse, gegebenenfalls noch weitere Angaben (z. B. das Geburtsdatum). Kategorien (dritter) Empfänger können beispielsweise dann anzugeben sein, wenn die öffentliche Stelle für den Versand des Newsletters mit einem Auftragsverarbeiter kooperiert (vgl. Art. 28 DSGVO, näher dazu die Orientierungshilfe "Auftragsverarbeitung", die im Internet auf der Seite https://www.datenschutz-bayern.de unter "Datenschutzreform 2018" veröffentlicht ist). Was die Löschfristen betrifft, ist im Verzeichnis der Verarbeitungstätigkeiten darauf hinzuweisen, dass der Datensatz einer Bezieherin oder eines Beziehers gelöscht wird, wenn sie oder er die Einwilligung widerruft. Im Übrigen ist der Bezug eines Newsletters in der Regel auf Dauer angelegt.

6. Informationspflichten

Im Zusammenhang mit dem Angebot, den Newsletter zu abonnieren, muss die öffentliche Stelle auch ihre Informationspflichten nach Art. 13 DSGVO erfüllen. Wird ein Webformular verwendet, sollten Interessentinnen und Interessenten vor Abgabe der Erklärung, dass der Newsletter bezogen werden soll, und vor Erteilung der Einwilligung in eine Verarbeitung der hierfür erforderlichen personenbezogenen Daten die Möglichkeit haben, die Hinweise zu den in Art. 13 Abs. 1 und 2 DSGVO aufgeführten Punkten medienbruchfrei zur Kenntnis zu nehmen. Dies kann etwa durch einen gut sichtbar platzierten und entsprechend bezeichneten Link geschehen. Vor der Einwilligung ist zudem unmissverständlich über das Widerrufsrecht aufzuklären (Art. 7 Abs. 3 Satz 2 DSGVO).

7. Sonderfall: Werbung per Newsletter

Will eine Behörde einen Newsletter zur Direktwerbung nutzen, beispielsweise eine gemeindliche Volkshochschule hinsichtlich ihres Kursangebots, kann sie dies nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. f mit Erwägungsgrund 47 DSGVO stützen. Die Vorschrift ist für Behörden nicht anwendbar, weil andernfalls Vorgaben zur Gesetzesbindung überspielt werden könnten (Art. 6 Abs. 1 UAbs. 2 DSGVO).

Für öffentliche Stellen, die keine Behörden sind, so etwa Stadtwerke in der Rechtsform einer Kapitalgesellschaft, ist die Vorschrift allerdings nicht gesperrt. Insofern ist aber derzeit § 7 Gesetz gegen den unlauteren Wettbewerb zu beachten (künftig voraussichtlich Art. 16 Abs. 2 Verordnung über Privatsphäre und elektronische Kommunikation, Entwurf dazu im Internet unter https://eur-lex.europa.eu (externer Link), CELEX-Nr. 52017PV0010).