Eine Einwilligung sollte immer konkret, informiert und eindeutig sein. Die Opt-in-Kopie muss sich daher ausschließlich auf den Versand von Werbeanzeigen beschränken und darf keine weiteren Informationen oder Anweisungen enthalten. Etwas wie "E-Mail-Adresse für Newsletter und Gewinnmitteilungen" ist nicht ausreichend.

Ebenso sollte die betroffene Person (das Datensubjekt) den Umfang der Einwilligung klar verstehen können, d.h. welches Unternehmen wirbt für welche Produkte oder Dienstleistungen.

Zu guter Letzt muss die betroffene Person vor dem Einreichen der Einwilligung über ihr Recht, die Einwilligung jederzeit zu widerrufen, informiert werden. Die Bemerkung, dass die Möglichkeit besteht, sich jederzeit wieder abzumelden und welche Vorgehensweisen hierfür zur Verfügung stehen, kann entweder unmittelbar erwähnt oder in den Datenschutzrichtlinien erläutert werden. Der Abmeldelink und die E-Mail-Adresse sollten in jedem Fall angegeben werden.

Die Datenschutzrichtlinien sollten unter anderem rechtliche Grundlagen, einen Hinweis auf den Newsletter (Absender, Art der E-Mails, das Recht sich jederzeit abzumelden, Vorgehensweisen für die Abmeldung und falls zutreffend, die Möglichkeit für Bestandskunden, Werbeanzeigen zu deaktivieren) - in Deutschland gemäß § 7 Abs. 3 UWG (Gesetz gegen unlauteren Wettbewerb) - einen Absatz, der besagt, dass für die Abmeldung keine Kosten anfallen, mit Ausnahme von Übermittlungskosten nach Basistarifen sowie Informationen zur Datenverarbeitung (welche Daten werden eingeholt, wie werden sie verarbeitet und verwendet, wie lange werden sie aufbewahrt; alle Drittunternehmen müssen ausdrücklich genannt werden) enthalten.

Wir haben in diesem Artikel einige Beispieltexte zusammengetragen, die Sie verwenden können: Best Practices für das Opt-in.

Nein, aber holen Sie sich gern Inspirationen aus unserem Dokument: Die Emarsys Datenverarbeitungsvereinbarung.

Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach der Registrierung für den Newsletter mit Einwilligung dient Art. 6 (1) (a) DSGVO, oder im Falle einer durch den Verkauf von Waren oder Dienstleistungen erhaltenen E-Mail-Adresse (in Deutschland) dient § 7 Abs. 3 UWG (Gesetz gegen unlauteren Wettbewerb).

Als rechtliche Grundlage für die Protokollierung des Online-Verhaltens und des Registrierungsprozesses könnte ein rechtmäßiges Interesse gemäß Art. 6 (1) (f) DSGVO dienen. In diesem Fall betrifft das rechtmäßige Interesse ein qualitativ hochwertiges und technisch sicheres Newsletter-Angebot.

§ 7 3 UWG (Gesetz gegen unlauteren Wettbewerb) beruht auf der Datenschutzrichtlinie für elektronische Kommunikation. Folglich bestehen in der EU vergleichbare Regelungen. Er wird also weiterhin anwendbar sein. Es gilt das Prinzip einer einheitlichen Rechtsordnung.

Sind die Voraussetzungen gemäß § 7 Abs. 3 UWG erfüllt, dann ist die damit verbundene Datenverarbeitung auch im Rahmen der DSGVO zulässig. Dies ist eine besondere Regelung entsprechend Art. 95 DSGVO. Mögliche künftige Beeinträchtigungen und daraus resultierende rechtliche Entscheidungen können jedoch nicht ausgeschlossen werden. Es gilt abzuwarten, wohin die Datenschutzrichtlinie für elektronische Kommunikation letztendlich führen wird. Der Entwurf enthält eine für dieses Anliegen relevante Klausel.

Wenn die Webseite auf ein bestimmtes Land zugeschnitten ist (z.B. durch Verwendung einer ".de"-Domain), dann ja. Andernfalls ist eine Webseite per Definition weltweit zugänglich und eine Übersetzung in jede Sprache der Welt wäre völlig übertrieben.

Alle Einwilligungen, die bisher rechtmäßig eingeholt wurden, bleiben weiterhin gültig. Oder zumindest die Einwilligungen, die entsprechend deutscher oder österreichischer Gesetze eingeholt wurden, da die Einwilligungsbestimmungen in diesen Ländern bereits DSGVO-konform waren.

Vor allem Minderjährige können diesbezüglich einen Stolperstein darstellen. Zukünftig wird die Einwilligung der Eltern für Kinder unter 16 Jahren erforderlich sein. Dieses Alter kann jedoch von den Mitgliedstaaten verringert werden, wie beispielsweise in Österreich (14 Jahre) und im Vereinigten Königreich (13 Jahre). Dies gilt auch für bestehende Daten.

Darüber hinaus muss das Kopplungsverbot beachtet werden. Während die neuen Vorschriften etwas mehrdeutig sind, werden die Anforderungen strenger werden, als sie in der Vergangenheit waren. Beliebte Textpassagen wie "Schreiben Sie sich ein und Sie werden an diesem Wettbewerb teilnehmen" sollten vielleicht in "all unsere Newsletter-Abonnenten werden automatisch an einem Wettbewerb teilnehmen" umgewandelt werden.

Das Ergebnis wird aus der Sicht des Werbetreibenden ähnlich sein, aber die Formulierung stellt aus rechtlicher Sicht ein geringeres Risiko dar.

Aus technischer Sicht können Informationen wie Standort, IP-Adresse und Zeitstempel, die im Rahmen des Einwilligungsnachweises benötigt werden, anhand eines Double-Opt-in Verfahrens leicht dokumentiert werden.

Die Archivierung von Datenschutzrichtlinien und Einwilligungserklärungen sollte jedoch getrennt durchgeführt werden. Wenn Sie beispielsweise Änderungen vornehmen, sollten Sie frühere Versionen relevanter Webseiten aufbewahren (z.B. in Form von Screenshots als PDFs oder Bilder), um Änderungen nachvollziehen zu können.

Darüber hinaus können Sie mit der BCC-Funktion eine Kopie jeder Bestätigungs-E-Mail, die im Zuge eines Double-Opt-in Verfahrens versendet wird, ebenfalls an ein internes E-Mail-Archiv senden.

Ja. Dem Verantwortlichem obliegt die Erfüllung der Offenlegungspflicht, unabhängig davon, ob die Daten vor oder nach Inkrafttreten der DSGVO eingeholt wurden. Art. 15 (1) (g) DSGVO besagt jedoch, dass Informationen über die Datenquelle nur dann bereitgestellt werden müssen, wenn die personenbezogenen Daten nicht von der betroffenen Person (dem Datensubjekt) selbst eingeholt wurden.

Nein. Die DSGVO hat diesbezüglich nichts verändert.

Die DSGVO fordert nicht ausdrücklich ein Double-Opt-in Verfahren. Es muss jedoch bewiesen werden, dass die E-Mail-Adresse tatsächlich dieser Person gehört, also, dass die Person, die sich registriert hat, auch wirklich die Befugnis hat, diese E-Mail-Adresse zu verwenden.

Das Double-Opt-in stellt das einzige durchführbare und "wasserdichte" Verfahren dar, um einen solchen Beweis einzuholen.

Offline ist in diesem Fall nicht anders als online. Die Alternative wäre, jeden Flyer oder jede Unterschrift zu archivieren. Bei der Digitalisierung handschriftlicher E-Mail-Adressen schleichen sich zudem häufig Fehler ein. Ohne eine doppelte Einwilligung ist Spam daher unvermeidlich. Wir empfehlen daher dringend, dass Sie E-Mail-Adressen, die offline empfangen wurden, umgehend eine Bestätigungs-E-Mail senden.

Nein, beachten Sie die vorherige Antwort. In den Datenschutzrichtlinien sollte angegeben werden, dass Sie protokollieren, ob eine E-Mail geöffnet wurde, auf welche Links geklickt wurde und wie Sie dies verfolgen. Die Daten werden zu Analysezwecken gesammelt und auch, um E-Mail-Inhalte an individuelle Leserpräferenzen anzupassen.

Die zu speichernden Registrierungsdaten umfassen die IP-Adresse, den Zeitstempel, eine URL / einen Screenshot des Anmeldeformulars und im Falle eines Double-Opt-in die genaue Bestätigungs-E-Mail. Wie diese Daten aufbewahrt werden, kann individuell entschieden werden. Im Falle einer Beschwerde müssen die vollständigen Daten allerdings schnell verfügbar sein, damit sie zeitnah vorgelegt werden können.

Es sollte ausreichen, während des Registrierungsverfahrens mit einem Hinweises darauf aufmerksam zu machen, dass Abonnenten über 16 Jahre alt sein müssen. Durch die Registrierung bestätigt der Abonnent dann, dass er mindestens 16 Jahre alt ist.

Dies ist aber möglicherweise nicht der Fall, wenn es sich um ein Angebot für Kinder handelt. In diesem Fall könnte es erforderlich sein, eine Bestätigung sowie die Einwilligung eines Elternteils oder Erziehungsberechtigten zu erzielen. Wie genau dies erreicht werden soll, ohne über das Ziel hinauszuschießen und den beabsichtigten Zweck dennoch zu erfüllen, bleibt abzuwarten (z.B. eine Kopie eines Ausweisdokumentes per E-Mail anfordern?).

Ja. Seit dem 25. Mai 2018 müssen die Grundvoraussetzungen der DSGVO erfüllt werden. Hat ein Minderjähriger seine Einwilligung ohne die eines Erziehungsberechtigten erteilt, so werden die Bedingungen der DSGVO nicht erfüllt. Anders ausgedrückt bedeutet dies, dass die Einwilligung ab Datum des Inkrafttretens (25. Mai) nicht mehr gültig ist und infolgedessen aktualisiert werden muss.

Für Web Extend und Predict sind keine gesonderten, ausdrücklichen Einwilligungen erforderlich. Für Ihre Re-Permissioning-Kampagne können Sie einen Link verwenden, der zu einem Formular führt, in dem die Einwilligung zum Newsletter und die zum Datenschutz separat angefordert werden, z. B. durch zwei separate Häkchen.

Siehe Art. 37 (1) DSGVO: "Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln;
2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen; oder
3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."

Die Absätze 2 und 3 sind mit hoher Wahrscheinlichkeit zutreffend. Sollte ein Zweifel bestehen, muss ein Datenschutzbeauftragter ernannt werden.

Siehe Art. 39 (1) DSGVO: "Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen."

Art. 56 (1) DSGVO besagt, dass die Aufsichtsbehörde der Hauptniederlassung oder der einzelnen Zweigstellen des Verantwortlichen oder Auftragsverarbeiters die zuständige Behörde ist.

Art. 56 (2) DSGVO besagt jedoch, dass Behörden anderer EU-Mitgliedstaaten ebenfalls agieren können, wenn sie eine Beschwerde erhalten oder Sie von einem Verstoß unterrichtet werden und der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder nur Datensubjekte ihres Mitgliedstaats erheblich beeinträchtigt werden.

Es besteht kein formelles Verfahren, um mit einer Aufsichtsbehörde Kontakt aufzunehmen. Dies kann über die von der Aufsichtsbehörde angegebenen Kontaktmöglichkeiten geschehen (zum Beispiel auf ihren Webseiten).

Ja, da die Datenverarbeitung von Emarsys in der EU stattfindet und somit der DSGVO unterliegt. Zudem kommt es wohl äußerst selten vor, dass ein Schweizer Webseitenbetreiber seine Dienstleistungen ausschließlich für Kunden in der Schweiz anbietet, nicht aber für Kunden in den umliegenden Ländern, was gemäß Art. 3 (2) (a) DSGVO bedeutet, dass die Datenschutz-Grundverordnung ohnehin gilt.

Im Wesentlichen gilt ein einheitliches Regelwerk für alle EU-Mitgliedstaaten. Einige Mitgliedstaaten werden jedoch zusätzliche nationale Rechtsvorschriften anwenden. Auch in Deutschland gibt es ein neues Bundesdatenschutzgesetz, das die Regeln teilweise erweitert. Hierbei geht es weniger um Marketing und mehr um Videoüberwachung, Scoring und Bonitätsauskünfte oder die Verarbeitung personenbezogener Daten.

Im Großen und Ganzen gibt es in der DSGVO viele sogenannte Flexibilitätsklauseln, die dem nationalen Gesetzgeber einen gewissen Spielraum verleihen.

Alle Emarsys-Server, die Kundendaten verarbeiten, befinden sich in der EU. Weitere Informationen zur Datenverarbeitung von Emarsys finden Sie hier: Datensicherheit bei Emarsys.

Während die DSGVO selbst dies nicht verlangt, muss es in den Datenschutzrichtlinien dennoch erwähnt werden und der Kunde muss den dort aufgeführten Bedingungen zugestimmt haben (z.B. bei der Registrierung für den Newsletter oder beim erstmaligen Besuch der Webseite im Cookie-Pop-Up-Fenster). Dies könnte sich jedoch mit der künftigen EU-Datenschutzrichtlinie für elektronische Kommunikation ändern. Ob, wann und in welcher Form diese Richtlinie in Kraft treten wird, ist noch unklar.

Hierzu besteht keine festgelegte Frist. Sie sind allerdings dazu verpflichtet, Auskunft darüber zu geben, wie lange die Daten aufbewahrt werden. In der Regel wird diese Information in den Datenschutzrichtlinien angegeben.

Außerdem müssen Sie ein System einrichten, um sicherzustellen, dass Daten, die nicht mehr benötigt werden oder für die keine rechtmäßige Verwendung mehr besteht, ordnungsgemäß und zeitnah entfernt werden.

Die Datenübertragung ermöglicht es, die Plattform mit all ihren Facetten zu nutzen. Aber lassen Sie uns diese Frage aus einem anderen Blickwinkel beantworten: Welche Einschränkungen gibt es beim Datentransfer?

Spezielle Kategorien personenbezogener Daten erfordern gemäß Art. 9 DSGVO außerordentliche Maßnahmen. Zu diesen speziellen Kategorien gehören beispielsweise Daten zu politischen oder religiösen Ansichten oder zu Gesundheit, sexuellen Präferenzen oder ethnischer Zugehörigkeit. Alle anderen Daten können problemlos verarbeitet werden, sofern die allgemeinen Bedingungen, wie die Einwilligung der betroffenen Person (Datensubjekt), erfüllt werden.

Die Form der Übermittlung ist vom rechtlichen Standpunkt aus nicht relevant, erfolgt aber in der Regel elektronisch.

Nein, denn das würde bedeuten, dass die Bestätigungs-E-Mail selbst zu einer Werbeanzeige wird und diese dürfen erst nach der Anmeldebestätigung versendet werden.

Streng gesehen, ja. Schließlich lockt es den Nutzer, eine Einwilligung für den Empfang von Werbung zu erteilen.

Aber jeder tut es und diese Regel sollte wahrscheinlich nicht unrealistisch streng angewendet werden.

Die Tatsache, dass diese Vorteile denjenigen, die keine Einwilligung erteilen, nicht zur Verfügung stehen, stellt keinen so großen Nachteil dar, dass die Freiwilligkeit ihrer Einwilligung beeinträchtigt werden könnte. Es ist jedoch wichtig, nicht über das Ziel hinauszuschießen. Die Registrierung für den Newsletter muss im Vordergrund stehen.

Diese Frage kann nicht allgemein beantwortet werden. Es kommt immer auf die jeweiligen Umstände jedes einzelnen Falles an.

Das Koppeln der Opt-in mit der Teilnahme an einem Wettbewerb kann erlaubt sein, wenn es alternative Möglichkeiten zur Teilnahme gibt, also dann, wenn der Teilnehmer die Möglichkeit hat, an dem Wettbewerb auf einem anderen Weg als per E-Mail, beispielsweise per Post, teilzunehmen. Wenn diese Möglichkeit nicht besteht, ist das Koppeln nicht gestattet.

Die Alternative muss auf dem Formular außerdem deutlich angegeben sein. Wenn es keine Alternative gibt, können diese Dinge nicht gekoppelt werden und für das Newsletter-Abonnement muss ein separates Auswahlfeld hinzugefügt werden.

Ganz generell gilt: Je mehr "im Gegenzug" zur Registrierung angeboten wird, desto wahrscheinlicher ist es, dass es nicht zulässig ist.

Es stimmt nicht grundsätzlich, das IP-Adressen nicht gespeichert werden dürfen. Obwohl dies im Sinne der DSGVO tatsächlich als personenbezogene Information betrachtet wird, überwiegt hier das Interesse des Verantwortlichen an der Verarbeitung der IP-Adresse (z.B. für den Einwilligungsnachweis) gemäß Art. 6 (1) (f) DSGVO.

Auch dies ist ein komplexes Thema. Hat der Verantwortliche ein rechtmäßiges Interesse (für den Marketer beispielsweise eine Verbesserung des Abgleichs der Kundeninteressen) und überwiegen die Interessen des Datensubjektes (des Kunden) nicht, so kann dies gemäß Artikel 6 (1) (f) DSGVO nach wie vor zulässig sein.

Nein. Nach Erhalt einer Anfrage muss der Verantwortliche die Daten innerhalb von 30 Tagen löschen und eine entsprechende Bestätigung an die betroffene Person (Datensubjekt) senden.

Ja, siehe oben.

Ja. Wenn der Kunde hierüber ausreichend informiert wurde (z.B. in den Datenschutzrichtlinien) und dem zugestimmt hat, ist dies zulässig.

Das Format ist gesetzlich nicht vorgeschrieben. Art. 15 Abs. 3 Satz 3 DSGVO schreibt nur Folgendes vor:

"Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern die Person nichts anderes angibt."

Am einfachsten ist es, eine E-Mail, vielleicht mit beigefügter Excel-Tabelle, zu versenden.