Datenschutz und -sicherheit

Fragen zum Betrieb der angebotenen Lösungen und zu Datenschutz- und IT-Sicherheitsaspekten.

Auf welchem Server werden die Daten von Maileon gespeichert?

Alle Server sind Eigentum der Firma XQueue GmbH und werden ausschließlich von unseren eigenen Mitarbeitern betrieben und gewartet. Einige virtuelle Server von Dienstleistern sind zu Zwecken wie IP-Routing und Load Balancing angemietet.

In welchem Land stehen die Server?

Ausschließlich innerhalb der Bundesrepublik Deutschland.

Werden die Server durch einen anderen Anbieter betrieben?

Nein. Alle Server zur Datenverarbeitung werden von uns im Rahmen von Co-Location bzw. Server Housing in den Rechenzentren betrieben. Mitarbeiter der Rechenzentren oder Dritte haben keinen Zugriff auf die Server. Sie haben im Rahmen der Housing-Verträge Zutritt zu den Serverräumen bzw. Zugang zu den Serverschränken zu Betriebszwecken (z.B. Aufrechterhaltung der Versorgung).

Die DSGVO verlangt von mir ein Verarbeitungsverzeichnis. Welche Angaben/Daten aus Maileon gehören dazu?

Die DSGVO verlangt, dass alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, vom Verantwortlichen (Auftraggeber) dokumentiert werden müssen. Dieses Verfahrensverzeichnis beschreibt auch, welche Auftragsverarbeiter ggf. die Daten im Auftrag verarbeiten oder wohin diese übermittelt werden.

Ein Muster für ein Verarbeitungsverzeichnis für Verantwortliche finden Sie hier.

Die jeweiligen Verarbeitungen sind mit Zweck und Umfang zu beschreiben, für Maileon könnte eine solche Beschreibung lauten:

E-Mail Versand über Maileon E-Mail-Marketing Lösung
Zweck der Verarbeitung sind Erstellung und Versand von Massen-Werbe-E-Mails mit der Online-Lösung „Maileon E-Mail-Marketing“. Der E-Mail Versand kann manuell oder automatisiert (API, Marketing Automation) erfolgen. Einzelne Tätigkeiten wie Anpassungen oder Einstellungen können als Dienstleistung beim Auftragnehmer beauftragt werden, dabei haben Mitarbeiter des Auftragnehmers zwangsläufig Zugriff auf personenbezogene Daten in den betroffenen Maileon Konten. Üblicherweise werden die E-Mail-Adressen der Empfänger per Anmeldeseite erhoben oder Adressen vom Auftraggeber in Maileon übermittelt. Über die E-Mail-Adresse hinaus können zusätzliche Daten der Betroffenen (z.B. Anrede, Vorname usw.) verarbeitet werden, um die Newsletter relevanter zu gestalten. Ebenso können Nutzungsdaten der Newsletter-Empfänger (z.B. E-Mail Öffnungen) automatisch erfasst und verarbeitet werden (Einzelnutzer-Tracking). Bei der Newsletter-Anmeldung über das Maileon System wird das Double Opt-In Verfahren eingesetzt, die Anmelderdaten inkl. Einwilligung zum Erhalt von Werbe-E-Mails (Permission) werden, genauso wie auch Abmeldungen (Widerspruch), beim Auftragnehmer in Maileon verarbeitet.

Weiterhin sind Auftragsverarbeiter zu benennen, die Art der verarbeiteten Daten (z.B. Kundenstammdaten), die betroffenen Personenkreise (z.B. Kunden) sowie Angaben zur Datenübermittlung ins Nicht-EU Ausand zu machen, sofern solche überhaupt stattfinden.

Wie können wir als Unternehmen gewährleisten, dass nur volljährige Personen sich zum Newsletter anmelden?

Praktisch ist das leider fast gar nicht möglich. Es wäre denkbar, per Post-Ident Verfahren die Volljährigkeit feststellen zu lassen, die Kosten und Aufwände dürften diese Möglichkeit aber meist ausschließen.

Der Text unter unserer Newsletteranmeldung besagt: „Meine Daten dürfen nicht an Dritte weitergegeben werden.“ Ist die Firma XQueue GmbH hier der Dritte?

Wenn Sie einen Auftragsverarbeitungsvertrag (AVV) mit XQueue abgeschlossen haben, der die Verarbeitung der Anmelderdaten durch XQueue erlaubt, ist die XQueue GmbH kein Dritter, sondern Auftragsverarbeiter. Damit ist die Übermittlung der Daten legitim. Ihre Anmelder sind berechtigt auf Antrag zu erfahren, bei wem Sie die Daten verarbeiten lassen.

Ist ein Datenimport /-export auch nach der DSGVO noch möglich? Werden diese Vorgänge dokumentiert?

Natürlich können Sie weiterhin personenbezogene Daten in Maileon importieren und auch von dort exportieren, wenn Sie einen Auftragsverarbeitungsvertrag mit uns abschließen, der diese Datenübermittlung erlaubt. Bitte beachten Sie unsere Allgemeinen Geschäftsbedingungen und Ihre Pflichten beim Import von Anmelderdaten und dem Nachweis einer erteilten Einwilligung der Betroffenen.

Importe werden in Maileon mit Zeitpunkt und Dateiname dokumentiert. Alle Ereignisse im System werden zusammen mit der Benutzerkennung gelogged. Die Logdaten sind auf Anfrage verfügbar und werden für einen begrenzten Zeitraum bei uns vorgehalten.

Wir haben Empfängeradressen ohne Einwilligungsnachweis in unseren Listen. Kann ich diesen eine DOI Mail zur "nachträglichen" Einwilligung zuschicken?

Leider nein. Eine Einwilligung muss eindeutig vor der Zusendung werblicher E-Mails erfolgen und später eindeutig nachzuweisen sein. Da praktisch jede Mail, die ein Unternehmen versendet, automatisch werblich ist, wäre auch eine Double Opt-In Mail mit der Bitte um Registrierung betroffen.

Wenn Sie die Einwilligung irgendwie nachweisen können oder auf eine bestehende Geschäftsbeziehung nach §7 Abs. 3 UWG abstellen können, reicht das aus. Besser ist in jedem Fall eine elektronisch registrierte Anmeldung mit Einwilligung zum Erhalt der Werbe Newsletter und eine separate Einwilligung in das Einzelnutzer-Tracking, sofern kein anonymes Tracking stattfindet.

Bitte beachten Sie, dass Sie laut unseren Allgemeinen Geschäftsbedingungen keine Adressdaten in Maileon importieren oder verwenden dürfen, für die Sie keine solche Permission vorliegen haben.

Andere rechtliche Aspekte (TMG, UWG, usw.)

Hier finden Sie häufige Fragen, die nicht zwingend und direkt die DSGVO berühren, aber ebenso wichtig zu beachten sind im E-Mail-Marketing.

Ist Double Opt-In in Deutschland/Europa gesetzlich vorgeschrieben?

Nein, es gibt kein Gesetz, das explizit Double Opt-In als Nachweisverfahren für die Einwilligung in den Erhalt von Werbe-E-Mails vorschreibt. Allerdings gibt es Gesetze (z.B. die DSGVO in Art. 7), die sehr genau vorschreiben was eine rechtskräftige Einwilligung ist und welche Voraussetzungen und Verpflichtungen mit dieser einhergehen. So ist derjenige, der sich die Einwilligung erteilen lässt dazu verpflichtet, diese jederzeit bis zum Widerruf umgehend vorweisen zu können z.B. den Datenschutzbehörden oder den Betroffenen selbst. Eine Einwilligung kann auf vielen Wegen erfolgen, eine überreichte Visitenkarte auf einer Messe ist ausreichend, aber später schwer nachzuweisen. Im E-Mail-Marketing gibt es nur eine Methode die Einwilligung bei Anmeldung über Webformulare rechtssicher nachzuweisen  per Double Opt-In Verfahren. Damit schreibt der Gesetzgeber Double Opt-In quasi indirekt vor bis es möglicherweise mal ein geeigneteres Verfahren gibt.

Was bedeutet Art. 7 Abs. 3 UWG für mich und meine Empfänger?

Das Gesetz gegen den unlauteren Wettbewerb regelt, was eine Werbe-E-Mail ist und wann die Zusendung als unzumutbare Belästigung gilt und daher zu unterlassen ist.

Grundsätzlich müssen Sie davon ausgehen, dass Sie ohne eine erklärte Einwilligung der Empfänger keine Werbe-E-Mails an diese verschicken dürfen (Art. 6 DSGVO).

In §7 Abs. 3 ist eine Ausnahme von dieser Norm geregelt, die aber in der Praxis nicht immer leicht umsetzbar ist. Hier kann der Versender auch ohne Einwilligung Newsletter verschicken, er muss aber immer alle dort aufgeführten Voraussetzungen erfüllen.

Umstritten ist, wie lange ein Kunde ein Kunde bleibt, auch wenn er z.B. nur einmal einen Kauf getätigt hat und dieser Jahre zurückliegt. Hierüber gibt es noch keine verlässlichen Vorgaben oder richterlichen Urteile. Üblicherweise wird empfohlen Kundenbeziehungen, bei denen die letzte geschäftliche Aktivität länger als 1 Jahr, längstens 2 Jahre, zurückliegt, lieber nicht anzuschreiben. Solange der Empfänger sich erwartungsgemäß an die Geschäftsbeziehung erinnert, dürfte er nicht von unerwünschter Belästigung ausgehen. Eine Garantie dafür gibt es aber nicht.

Wie lässt sich die Erlaubnis nach §7 Abs. 3 UWG anhand der DSGVO begründen?
Viele Kunden fragen uns, warum denn §7 Abs.3 UWG noch anwendbar sein soll, wenn die DSGVO doch grundlegend eine explizite Einwilligung vorsieht.

Rechtfertigung der Datenerhebung
Damit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 lit. a) DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn

  • sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
  • der Nutzer eingewilligt hat.

Auch die DSGVO schreibt damit, wie schon das BDSG zuvor, ein Verbot mit Erlaubnisvorbehalt fest.

Keine Einwilligung bei Direktwerbung
Art. 6 Abs. 1 lit. f) DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung der Webseitenuser, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreibers ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Es muss also zunächst ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist. Der Begriff des „berechtigten Interesses“ wird in Art. 6 Abs. 1 lit. f) DSGVO weit verstanden. Als Beispiel für ein berechtigtes Interesse nennt Erwägungsgrund 47 zur DSGVO das Bestehen eines (Rechts-)Verhältnisses zwischen Verantwortlichem und Betroffenem, wobei insbesondere das Interesse des Verantwortlichen an Direktwerbung genannt wird, worunter auch der Versand von Newsletter-Werbung fallen kann. Dieser „kann“ als einem berechtigten Interesse dienend qualifiziert werden (Erwägungsgrund 47 Satz 7 zur DSGVO).

Diese doch recht schwammigen Aussagen helfen bei der Ermittlung des berechtigten Interesses des Händlers an E-Mail-Werbung nur bedingt weiter. Abhilfe schafft an dieser Stelle jedoch Art. 95 DSGVO. Danach gilt der § 7 Abs. 3 UWG als „besondere Regelung“ aus der ePrivacy-Richtlinie (Art. 13 2002/58/EG) auch weiterhin. Das bedeutet: § 7 Abs. 3 UWG bleibt auch unter der DSGVO erhalten, mit der Folge, dass Newsletter-Werbung im Rahmen bestehender Kundenverhältnisse weiterhin ohne Einwilligung möglich sein wird.

Liegen also kumulativ die Voraussetzungen des § 7 Abs. 3 UWG vor, benötigen Online-Händler auch nach dem 25. Mai 2018 keine Einwilligung ihrer Kunden in den Newsletter-Versand.

Achtung: Art. 21 DSGVO verlangt – ebenso wie § 7 Abs. 3 UWG – ausdrücklich, dass die beworbene Person im Falle der Direktwerbung das Recht hat, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten einzulegen.
Was ist eine Werbe-E-Mail und wann ist es keine?

Werbung wird für das Wettbewerbsrecht in Art. 2 lit. a RL 2006/114/EG als „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“ definiert.

Dies gilt übrigens auch für andere Organisationen, z.B. Vereine.

Der Begriff der Werbung umfasst nach dem allgemeinen Sprachgebrauch alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Damit ist außer der unmittelbar produktbezogenen Werbung auch die mittelbare Absatzförderung beispielsweise in Form der Imagewerbung oder des Sponsoring  erfasst. Werbung ist deshalb in Übereinstimmung mit Art. 2 Buchst. a der Richtlinie 2006/113/EG über irreführende und vergleichende Werbung jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern (BGH, GRUR 2009, 980 Rn. 13 – E-Mail-Werbung II).

Damit ist eigentlich klar, dass jede Äußerung und jede Platzierung einer erkennbaren Referenz zum Unternehmen/Produkt in einem Medium Werbung ist. Es reicht bereits aus, nur das Unternehmenslogo abzubilden oder den Slogan bzw. den Unternehmensnamen zu nennen.

Damit folgt, dass jede solche Mail nach §7 Abs. 2 UWG als unzumutbare Belästigung anzusehen ist:

(2) Eine unzumutbare Belästigung ist stets anzunehmen

3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, …

und

keine Ausnahme nach §7 Abs. 3 UWG anzunehmen ist.

Ist die Double Opt-In Mail auch eine Werbe-E-Mail?

Streng genommen ja, denn der Absender ist verpflichtet sich eindeutig per Impressum und Kontaktangaben zu benennen. Damit erfüllt er als Unternehmen mit Logo und Markennamen sofort den werbenden Charakter der Mail. Die Rechtsprechung sieht allerdings bei der ersten Double Opt-In Mail dies als nachrangig an und betrachtet diese als zulässig sofern sie tatsächlich nur ihren Zweck als Anmeldebestätigung erfüllt und eben keine weitere Werbung, z.B. Produktplatzierungen usw., enthält. Von wiederholten Zusendungen der Double Opt-In Mails auf eine Anmeldeanfrage hin sollte man jedoch absehen.

Muss jeder Newsletter einen "Abmeldelink" enthalten?

Nein, das ist zwar üblich und sehr zu empfehlen, aber nicht zwingend erforderlich. §13 TMG gibt vor, dass die Einwilligung in den Erhalt des Newsletters elektronisch erklärt werden kann, wenn „der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.“

In welcher Form dieser Widerruf zu erfolgen hat, ist nicht konkret vorgeschrieben. Der Abmeldelink im Newsletter ist lediglich die bequemste und am einfachsten zu handhabende Methode, bei mehreren Newslettern/Themen lässt sich über einen „Profiländerungslink“ steuern, welche Inhalte/Mailings ein Abonnent nicht mehr erhalten möchte. Unabhängig davon ist es aber auch zulässig eine formlose Mail an den Absender zu schicken, in der die Erlaubnis weitere Newsletter zu schicken widerrufen wird. Der Versender muss sicherstellen, dass er solche formlosen Abmeldungen per E-Mail regelmäßig liest und zeitnah bearbeitet (die Abmeldung vornimmt).

Wichtig für den Versender und Verantwortliche ist in jedem Fall, dass er den E-Mail Empfänger vorab über sein Widerrufsrecht und ggf. Möglichkeiten des Widerspruchs informiert hat, nicht erst in der ersten E-Mail, die er verschickt!

Wer Werbe-E-Mailings versendet, ist verpflichtet, den Empfängern die Möglichkeit zu geben, sich aus dem Verteiler auszutragen, und auf diese Möglichkeit deutlich hinzuweisen (§ 28 Abs. 4 BDSG, § 7 Abs. 2 Nr. 4 UWG, § 13 Abs. 2 Nr. 4 TMG, § 13 Abs. 3 TMG, Art. 13 DSGVO). Die beste Variante ist ein Abbestell-Link direkt in der E-Mail. Nach dem Klick muss die Austragung zeitnah erfolgen.

Darüber hinaus stellt die CSA (Certified Senders Alliance) Anforderungen an den Versand von Massen-Werbe-E-Mails. So müssen alle Mails z.B. einen list-unsubscribe Link (siehe RFC2369) im Header enthalten.

Wer über ein Callcenter bzw. eine Hotline mit seinen Kunden in Kontakt steht, muss sicherstellen, dass auch Abmeldungen, die hier telefonisch eingehen, zügig verarbeitet werden und nicht etwa „untergehen“.

Laut den AGB von XQueue (Maileon Betreiber) sind die Vertragspartner unter anderem verpflichtet sicherzustellen, dass:

„4.1 …die Möglichkeit eines Widerrufs der Einwilligung in den Newsletterversand entsprechend den aktuellen Bestimmungen realisiert wurde…“.