Disclaimer: Dieser Artikel ist keine Rechtsberatung sondern lediglich die Meinung der Redakteure!
Im Mai 2018 wurde in die Datenschutzgrundverordnung (DSGVO) in der EU eingeführt. Das hat weitreichende Konsequenzen für Webseiten-Betreiber. Das Thema DSGVO-konformer Newsletter ist besonders Wichtiges, da viele Webseiten Betreiber über Ihren Newsletter personenbezogene Daten erheben. Durch die Beachtung der DSGVO-Regeln und die Erstellung eines rechtskonformen Newsletters ist die Wahrscheinlichkeit einer Abmahnung oder eines Bußgeldes deutlich geringer.
Daher ist es wichtig, darauf zu achten, dass der Newsletter DSGVO-konform konfiguriert wird und das WordPress Newsletter-Plugin das auch unterstützt. Der Newsletter Dienst muss die notwendigen Funktionen bereitstellen. Das WordPress-Plugin nutzt die Schnittstelle des Newsletter Dienstes, beispielsweise CleverReach, und stellt diese Funktionen dann auf der WordPress Webseite zur Verfügung.
3 DSGVO-konforme WordPress Newsletter Plugins:
Natürlich sind die Newsletter-Anbieter inzwischen alle mit dem Thema vertraut und bieten umfangreiche Unterstützung für die Kunden an. Einige Anbieter haben Checklisten, anhand derer man prüfen kann, ob der eigene Newsletter die Anforderungen der Verordnung erfüllt. Oder sie bieten sogar im Fall von Newsletter2go ein Whitepaper an, das man auf der Homepage herunterladen kann. Auch Videos werden angeboten, in denen die genauen Schritte zum DSGVO-konformen Newsletter gezeigt werden.
Zudem haben fast alle Schritt für Schritt-Anleitungen, die genau erklären, was man beim Einrichten und Integrieren beachten muss. Die Anbieter aus dem europäischen Raum, besonders auch die deutschen Anbieter haben das Thema sehr schnell antizipiert und bieten umfassende Hilfestellung. Bei den deutschen Anbietern wie CleverReach, Rapidmail und Newsletter2go hat man auch den Vorteil, dass die Server mit dedizierter IP-Adresse in Deutschland stehen. Diese sind zudem auch ISO 27001 zertifiziert, das ist die Zertifizierung auf Basis von IT-Grundschutz, einem BSI-Standard (LINK). Die EU-Datenschutzgrundverordnung fordert in Artikel 32, dass Unternehmen:
… Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…
… Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
https://dejure.org/gesetze/DSGVO/32.html
Der IT-Grundschutz ist auch wichtig, wenn man Newsletter-Projekte für öffentliche Auftraggeber durchführt, dort wird der IT-Grundschutz teilweise in den Auftragsbedingungen verlangt.
Wir stellen dir drei DSGVO-konformen Newsletter-Plugins für WordPress vor:
CleverReach
CleverReach bietet euch als Kunden umfangreiche Unterstützung bei der Erstellung DSGVO-konformer Newsletter an. Das Unternehmen hat erkannt wie wichtig die Thematik für Ihre Kunden ist und stellt ein ausführliches FAQ zur Verfügung, das viele Fragen beantwortet. Zudem gibt es eine Checkliste, mit der man die wichtigsten Punkte überprüfen kann. ClerverReach hostet seine Server in Deutschland, die Daten werden der Empfänger gelangen also nicht ins EU-Ausland oder gar in die USA.
Gemäß den Anforderungen des Bundesdatenschutzgesetzes (§11 BDSG) bzw. Art. 28 DSGVO bietet CleverReach einen schriftlichen Vertrag zur Auftragsverarbeitung (AV-Vertrag / früher: Vereinbarung zur Auftragsdatenverarbeitung (ADV)) an. Seit dem 25. Mai 2018 können CleverReach-Kunden in ihrem Account den aktuellen AV-Vertrag digital abschließen. Den digitalen AV-Vertrag findet man unter „Mein Account“ –> „Einstellungen“ –> „Datenschutz“.
Das Anmeldeverfahren hat CleverReach auch komplett DSGVO-konform umgesetzt. Beim Newsletter Plugin ist das Double-Opt-in Verfahren standardmäßig eingestellt. Die Dokumentation der Zustimmung deiner Abonnenten mit E-Mail, Datum, Uhrzeit kann über die CleverReach Software abgebildet werden. Das Verlinken der Datenschutzerklärung ist natürlich auch möglich.
Newsletter2go ( jetzt Sendinblue)
Wie CleverReach bietet auch Sendinblue, ehemals Newsletter2go den Kunden umfangreiche Informationen zur DSGVO-konformen Umsetzung des Newsletters. Alle wichtigen Funktionen, die dafür notwendig sind, werden durch die Software bereitgestellt.
Sendinblue bietet all seinen Kunden eine kostenlose Vorlage für die Vereinbarung zur Auftragsvergabe an, die Vereinbarung kann schriftlich oder digital geschlossen werden.
Mit dem Newsletter Plugin von Sendinblue ist es Problemlos möglich die Datenschutzerklärung im Anmeldeformular zu verlinken. Sendinblue stellt für die Datenschutzerklärung auch einen Mustertext bereit, den ihr auf eurer Webseite integrieren könnt. Ggf. muss dieser noch etwas angepasst werden. Den Mustertext findet man unter „Profil -> Datenschutz“, dort lässt sich auch der AV-Vertrag nach DSGVO abschließen.
Sendinblue ist ein deutscher Newsletter-Dienst mit Sitz in Berlin und arbeitet mit dem großen deutschen Hosting-Anbieter Hetzner zusammen. Hetzner Online hat sie ISO/IEC 27001 Zertifizierung die bescheinigt, dass ein geeignetes Informationssicherheitsmanagementsystem implementiert wurde.
rapidmail
Rapidmail bietet umfangreiche Infos zur DSGVO-Thematik und stellt alle notwendigen Funktionen dafür in seiner Software bereit. Es gibt ein Muster für die Datenschutzerklärung und ein kleines Wiki in dem viele Fragen zur DSGVO in Zusammenhang mit dem Rapidmail-Dienst beantwortet werden.
Natürlich bietet auch rapidmail einen ADV-Vertrag für seine Kunden an. Den Vertrag zur Auftragsverarbeitung kannst du bei rapidmail in digitaler Form abschließen. Die Muster-vereinbarung findet man auch als Download. Um den Vertrag zu erstellen muss man die folgenden Schritte durchführen:
- Auf „Benutzernamen -> Kontoeinstellungen“ klicken und dort „Datenschutz“ auswählen.
- Auf den grünen Button „Datenschutzvertrag nach EU-DSGVO abschließen“.
Nachdem einige Punkte ausgewählt wurden und ein Stellvertreter angegeben wurde, kann der Vertrag herunter geladen werden.
Rapidmail hostet seine Server, wie die beiden anderen Anbieter auch in Deutschland. Das Rechenzentrum ist nach eigenen Angaben ISO 27001 zertifiziert.
Allgemeines zur DSGV beim Newsletter Versand über WordPress
Eine kurze unvollständige Zusammenfassung welche Funktionen bei einem DSGVO- konformen Newsletter Plugin wichtig sind (keine Rechtsberatung!):
1. Mit dem Newsletter Dienst muss ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) abgeschlossen werden. Dieses Formular wird von den Newsletter Diensten bereitgestellt.
Wenn andere Unternehmen Zugriff auf die Daten deiner Kunden haben, sind Sie im Bereich der Auftragsdatenverarbeitung (bzw. nach DSGVO: Auftragsverarbeitung) und müssen mit diesem Unternehmen einen ADV-Vertrag abschließen. Das gilt natürlich für die Newsletter Dienste, die deine Abonnentenliste und damit die Daten deiner Kunden auf ihren Servern liegen haben. Die Vorschriften zur Auftragsdatenverarbeitung sind nur dann gültig, wenn es sich bei den Daten um personenbezogene Daten handelt. Personenbezogene Daten sind Name, Anschrift, E-Mail-Adresse, Telefonnummer und Kontodaten.
2. Bei der Newsletter Anmeldung nur nach der E-Mail fragen denn alle weiteren Angaben sind freiwillig. Das bedeutet, nur das E-Mail Feld beim Opt-In ist ein Pflichtfeld. Natürlich können auch andere Daten wie Namen oder Geburtstag abgefragt werden, jedoch nur als freiwillige Angaben, die für die Newsletter Anmeldung nicht notwendig sind. Double-Opt-in also die zusätzliche Bestätigung per Mail ist ebenfalls obligatorisch, da der Versender nachweisen muss, dass der Nutzer sich bewusst angemeldet hat. Um diesen Nachweis zu erbringen sollte dieser Prozess auch vom Newsletter Plugin-Anbieter mitgeloggt werden, um später im Zweifelsfall einen einwandfreien Nachweis erbringen zu können.
Auf diesen Sachverhalt weist auch Dr. Schwenke, Experte für Datenschutz hin:
Ohne das Double-Opt-In-(DOI)-Verfahren werden Sie nicht nachweisen können, dass die Inhaber der E-Mail-Adresse selbst Ihren Newsletter abonniert haben (Nachweispflicht, s. Art. 7 Abs. 1 DSGVO). Es könnte ja sonst jemand Drittes die E-Mail-Adresse eingetragen haben. Nur wenn der Inhaber der E-Mail-Adresse eine Bestätigungsmail erhält und den darin enthaltenen Aktivierungslink klickt, haben Sie einen Nachweis seiner Einwilligung. Ferner müssen Sie den Zeitpunkt der Anmeldung aus Nachweisgründen speichern und nach meiner Erfahrung ist es auch empfehlenswert, die IP-Adresse der Abonnenten mitzuspeichern (so zumindest meine Erfahrung im Hinblick auf Glaubwürdigkeit in der Praxis).
Quelle: https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/
3. Das DSGVO-konforme Plugin muss auf die Daten hinweisen, die vom Nutzer gespeichert werden. Dazu sollte im Anmeldeformular ein Hinweis auf die Datenschutzerklärung vorhanden sein, die mit einer Checkbox bestätigt werden kann. Die Checkbox darf auf keinen Fall vorausgefüllt sein. Der Newsletter-Abonnent muss aktiv den Haken zum Einverständnis setzen. Die Datenschutzerklärung sollte zudem auch direkt an dieser Stelle verlinkt werden, damit der Abonnent die Informationen direkt einsehen kann.
4. Das Abmeldeverfahren sollte ebenfalls DSGVO-konform gelöst sein, es sollte dem Newsletter-Abonnenten so einfach wie möglich gemacht werden sich abzumelden. Optimal ist ein Abmeldelink im Footer des Newsletters. Eine einfach gestaltete Abmeldeprozedur wird von den Nutzern auch sehr positiv wahrgenommen. Es geht also hier nicht nur um die DSGVO sondern auch um die Wahrnehmung der Kunden.
Fazit
Die drei deutschen Newsletter Anbieter, CleverReach, Newsletter2go und rapidmail bieten alle drei DSGVO konforme WordPress Newsletter Plugins an. Sie bieten die notwendigen Funktionen um einen komplett DSGVO-konformen Newsletter zu erstellen. Als Kunde wird man bei diesen Anbietern gut Informiert und bekommt sehr viel Hilfestellung geboten. Auch die ISO 27001 Zertifizierung haben alle drei Anbieter. Wir möchten an dieser Stelle keinen der drei besonders hervorheben, da keiner der Dienste bei der Software oder beim Service Schwächen zeigt. Mit diesen drei Newsletter Anbietern kann jeder einen rechtssicheren, DSGVO-konformen Newsletter erstellen.