Muss ich Newsletter-Einwilligungen schriftlich bestätigen oder online abrufbar machen?!?

.

Weil ich kürzlich eine Frage wie die in der Überschrift gestellt bekommen habe und die Antwort möglicherweise noch mehr Leute interessiert, hier in aller Kürze: Nein, ich meine, das müssen Sie nicht. Zum Verständnis: Nicht ganz klar, oder interessiert Sie der Hintergrund?

Das war gemeint:

Wir haben einen "normalen" E-Mail-Newsletter-Anmeldevorgang, also erst ein Web-Formular zum Eintragen der Daten. Durch das Absenden der Inhalte wird eine Double-Opt-In-Mail (DOI-Mail) ausgelöst, die einen personalisierten Bestätigungslink enthält, und durch den Klick auf diesen Link wird der Anmelder angemeldet. Die Frage war nun: Muss man den Inhalt der Einwilligungserklärung online auf seiner Website verfügbar machen? Zusatzfrage war (rechtlich gesehen sogar noch komplizierter): Muss dann die Abrufmöglichkeit personalisieren, muss also jeder "seine eigene" Einwilligungserklärung abrufen können, oder reicht ein allgemeiner Link auf die Erklärung, die halt alle abgeben?

Zur Hauptfrage (muss man überhaupt?)

Viele stutzen bei dieser Frage erst einmal, schon weil so etwas so gut wie niemand in der Praxis macht. Die Frage ist wahrscheinlich der Lektüre des § 28 BDSG entsprungen. In manchen Seminaren zeige ich ihn in seiner schon fast legendären Länge, um zu verdeutlichen, was die BDSG-Novelle 2009 hervor gebracht hat. In dessen Abs. 3a steht nun in S. 1:

"Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann."

Dort steht zusammen gefasst:

  • Wenn die Einwilligung schriftlich erklärt wird (also nicht unser Fall), muss man nach dieser Regelung nichts weiter tun.
  • Wenn die Einwilligung nicht schriftlich erklärt wird, müssen Sie grundsätzlich eine schriftliche Bestätigung schicken.
  • Ausnahmsweise müssen Sie im vorgenannten Fall keine Bestätigung schicken, wenn die Erklärung elektronisch (also wie z. B. hier über Klickverhalten) erklärt wird. Dann aber müssen Sie (neben der Protokollierung) dafür sorgen, dass der Einwilligende den Inhalt seiner Einwilligung jederzeit abrufen (und die Erklärung auch widerrufen, aber das ist hier nicht unser Thema) kann.

Wenn man aber seine Einwilligungserklärung jederzeit abrufen können muss, müssen Sie dann dafür sorgen, dass die Einwilligungen jederzeit online abrufbar sind? So könnte man die Regelung ja durchaus verstehen. Nach meinem Dafürhalten ist das nicht so, und zwar deshalb, weil der Gesetzgeber hier Klarheit für den Einwilligenden schaffen wollte, nicht einen "kostenlosen Zusatzservice". Wenn Sie dem Einwilligenden in der DOI-Mail die Einwilligungserklärung vorlegen, die Sie von ihm über den Bestätigungsklick haben möchten, hat er die Erklärung ja schon in einer "dauerhaften" E-Mail erhalten und kann diese E-Mail speichern. Natürlich kann er die E-Mail löschen, wenn sie ihn nicht interessiert, und selbst dann könnte er theoretisch noch über seinen Auskunftsanspruch nach § 34 BDSG Informationen über seine Erklärung erhalten. Eine Verpflichtung des Anbieters jedoch, die Erklärung jederzeit online verfügbar zu machen, war m. E. vom Gesetzgeber nicht gemeint. Das wird auch um so deutlicher, wenn man sich den "Offline-Fall" dieser Regelung betrachtet. In dem Fall nämlich, dass jemand eine Einwilligung nicht schriftlich, aber eben auch nicht elektronisch erklärt (z. B. also telefonisch), muss der Anbieter eine schriftliche Bestätigung schicken, aber eben auch nicht mehr, also auch keinen "Online-Abrufservice" oder etwas Derartiges. Deshalb: Nein, müssen Sie nicht.

Zur Zusatzfrage (individueller Link)

Da ich schon der Meinung bin, Sie müssen gar keine Online-Abrufmöglichkeit bereit halten, ist die Zusatzfrage zugegebenermaßen eher theoretisch, aber vor allem dann interessant, wenn Sie z. B. einen Online-Mitgliederbereich haben oder haben möchten, in dem Mitglieder u. a. ihre E-Mail-Präferenzen verwalten können. Dann kann es tatsächlich interessant sein zu sagen, wozu sich jedes Mitglied angemeldet und welche Einwilligungen es erklärt hat. Der Fall der Zusatzfrage ist aber auch unabhängig von so einem Bereich nicht abwegig, sondern ganz im Gegenteil früher oder später Regelfall. Stellen Sie sich z. B. vor, Sie haben mehrere E-Mail-Strecken, z. B. eine für den turnusmäßigen Newsletter und eine für besondere Updates. Oder -- auch ein Klassiker -- Sie verwenden bis zum Zeitpunkt X die Einwilligungserklärung in ihrer Version 1.0 und danach die Version 1.1, z. B. weil Sie zum Zeitpunkt X das personenbezogene Klicktracking in die Einwilligung aufgenommen haben und vorher nur der Versand von Werbemails enthalten war. Dann ist eine personalisierte Abrufmöglichkeit natürlich Pflicht; denn anderenfalls zeigen Sie dem Betroffenen nicht mit Sicherheit die tatsächlich von ihm abgegebene Erklärung, sondern im Grunde "irgend eine". Das heißt: Wenn Sie eine Abrufmöglichkeit schaffen, sorgen Sie bitte dafür, dass natürlich jeder einzelne auch seine eigene Erklärung abrufen kann und nicht irgendeine.


© Stiegler Legal