Ist es ausreichend, wenn die Aufklärung über die Drittlandsverarbeitung in den Datenschutzhinweisen ausführlicher und bei dem Hinweis-Text etwas sparsamer erfolgt?

Beispiel mit folgendem Wortlaut:

Ja, ich möchte News per E-Mail zugesendet bekommen. Ich bin damit einverstanden, dass eine Datenverarbeitung auch außerhalb der EU stattfinden könnte. Weiterführende Detail finden Sie in unseren Datenschutzhinweisen. Diese Einwilligung kann ich jederzeit widerrufen.

Antwort: das ist eine Frage der Informiertheit der Einwilligung:

Die Einwilligung hat in informierter Weise zu erfolgen. In ErwGr. 42 der DS-GVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind und die betroffene Person mindestens darüber in formiert wird, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. DSGVO).

Darüber hinaus ist die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.

Ergebnis: Abwägungsfrage!

Wir halten den Hinweistext gerade noch für zulässig (wegen der besseren Lesbarkeit), wenn der verlinkte Text dann vollständig ist. Vielleicht sollte zusätzlich im Hinweistext vor allem die Rechtsfolge beschrieben werden, was mit den pbD in den USA passiert. 

Stand: 30.11.2022

In welchen Fällen kommt man bei Kontaktformularen oder Newsletter Anmeldungen ohne Check-Boxen aus?

Check-Boxen sind ein beliebtes und sinnvolles Tool um

Datenschutzrechtlich sind Check-Boxen nicht zwingend erforderlich, aber sinnvoll (Dokumentationsmöglichkeit!). Grundsätzlich reicht es auch aus, dem Benutzer einen gut sichtbaren Hinweis auf die Datenschutzerklärung zu geben, bevor dieser das Webformular absendet. Ein Bestätigen, dass der Nutzer die Datenschutzerklärung auch wirklich gelesen hat, ist nicht erforderlich.

Mehr Infos hier

Ohne Check-Boxen kommt man insbesondere auch dann aus, wenn man die Verarbeitung nicht auf eine Einwilligung des Nutzers, sondern auf eine andere Rechtsgrundlage, z.B. sein berechtigtes Interesse an der Verarbeitung stützt bzw. stützten darf.


Dies kommt namentlich bei sog. „Bestandskunden“ in Betracht (§ 7 Abs. 3 UWG). Hier kann eine Verarbeitung auch ohne eine Einwilligung zulässig sein (siehe dazu auch LiiDU FAQ-Seite unter der Frage „Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?“).


Beachte aber, dass auch hier eine Check-Box für den Nachweis der Informationserteilung nach Art. 13 DSGVO sinnvoll ist. Die Informationen nach Art. 13 DSGVO sind unabhängig von der Rechtsgrundlage, auf die die Verarbeitung gestützt würde, zu erteilen.

Abseits des Bestandskunden-Privilegs ist für den

die Einholung einer Einwilligung Pflicht. Der Double Opt-In ist dabei die in der Praxis am meisten verbreitete Lösung. Hier schickt der Verantwortliche dem Nutzer eine E-Mail, mit der er diesen auffordert, die Kontaktaufnahme zu bestätigen.

Ohne Double-Opt-In kommt man bei Newslettern nur aus, wenn die Einwilligung auf andere Weise erfolgt (z.B. E-Mail, Liste auf Messe, etc.).

Im Gegensatz dazu ist beim

die Einholung einer Einwilligung KEINE Pflicht.

Das gilt dann, wenn alleiniger Zweck der Verarbeitung die Bearbeitung der über das Kontaktformular gestellte Anfrage ist. Diese Verarbeitung ist von anderen Rechtsgrundlagen gedeckt, v.a. das berechtigte Interesse des Seitenbetreibers an der Bearbeitung der Anfrage.

Eine Check-Box ist damit ebenfalls nicht zwingend notwendig. Es genügt ein gut sichtbarer Hinweis im Kontaktformular in der Nähe des „Sende-Buttons“, dass auf die Datenschutzerklärung hingewiesen und diese verlinkt wird. 

Ändert sich die Situation, falls die Daten in ein Ticket-System laufen
(Zendesk), welches zwar einen Serverstandort in Europa hat, aber deren Hauptsitz in den USA liegt?

Die Anbindung von Zendesk erfolgt in der Regel über Cookies. Hier müssen dann alle Vorgaben zum Thema rechtswirksame Cookie-Einbindung eingehalten werden. Eine datenschutzrechtliche Einwilligung des Nutzers der Website nach § 25 TTDSG, Art. 6 Abs.1 lit. a DSGVO ist damit in jedem Fall Pflicht.

Nicht vergessen:

Stand: 30.11.2022

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?

Wann dürfen Newsletter verschickt werden?

Werbe-Newsletter sind grundsätzlich nach § 7 Abs. 2 Nr. 2 UWG nur mit vorheriger ausdrücklicher Einwilligung des Adressaten zulässig. Hiervon macht § 7 Abs. 3 UWG eine Ausnahme für sog. Bestandskunden. Dies sind Kunden, von denen der Unternehmer, die Email-Adresse im Rahmen eines Verkaufs von Waren oder Dienstleistungen erhalten hat. Bei solchen Bestandskunden darf ein Newsletter an die angegebene Email-Adresse versendet werden, wenn der Kunde dieser Verwendung nicht widersprochen hat und in jeder einzelnen Newsletter-Email auf sein Widerspruchsrecht hingewiesen wird. Des Weiteren darf sich der Newsletter nur auf eigene und ähnliche Waren oder Dienstleistungen beziehen.

Datenschutzrechtlich ist die Newsletter-Werbung gemäß Artikel 6 Abs. 1 S. 1 lit. a DSGVO mit Einwilligung zulässig. Wie Erw. 47 S. 7 DSGVO klarstellt, kann die Direktwerbung aber auch als berechtigtes Interesse nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO betrachtet werden. Artikel 6 Abs. 1 S. 1 lit. f DSGVO kann also insbesondere dann in Betracht kommen, wenn es sich bei den Adressaten des Newsletters um Bestandskunden handelt.

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen bzw. geht das überhaupt?

Zur Zusammenlegung von Newslettern:

Gegen eine Zusammenlegung von Newslettern sprechen keine Bedenken, wenn die oben genannten Voraussetzungen erfüllt wurden. Hat der Kunde dem Erhalt des Newsletters wirksam zugestimmt oder kann sich der Versender auf das Bestandskundenprivileg und das berechtigte Interesse berufen, ist die Zusammenlegung mehrerer Newsletter zu einem einzigen weder wettbewerbsrechtlich noch datenschutzrechtlich zu beanstanden. Die Zusammenlegung erfolgt zum Zwecke der (effektivere) Direktwerbung und dürfte damit von der Einwilligung des Betroffenen zur Direktwerbung sowie von dem berechtigten Interesse gedeckt sein. Eine Offenlegung der persönlichen Daten an weitere Dritte erfolgt bei der Zusammenlegung ebenso wenig (auf BCC achten!).

Vorsicht: Beruft sich der Werbende auf das Bestandskundenprivileg, bleibt zu beachten, dass dieses nur bei der Werbung mit ähnlichen Produkten eingreift. Daher ist bei der Zusammenlegung der Newsletter zu beachten, dass auch danach der Kunde nur Werbung bezüglich ähnlichen Waren oder Dienstleistungen erhält (Verwandtschaft der Themen).

Was ist bei Verarbeitung der Abonnentendaten bei einem externen Dienstleister zu beachten?

Findet die Adressdatenverwaltung über ein einen externen Dienstleister statt, muss sichergestellt werden, dass der Dienstleister die Vorgaben der DSGVO einhält und eine korrekte Verarbeitung der personenbezogenen Daten stattfindet.

Stand: 19.10.2022

Wie muss die Abmeldung vom Newsletter gestaltet sein?

Art. 7 DSGVO - Bedingungen für die Einwilligung

  1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
  2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
  3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
  4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Muss eine One-Click-Lösung umgesetzt werden oder darf z.B. eine Abfrage des Grundes sowie die erneute Eingabe der Email-Adresse für die Abmeldung erfolgen?

Art. 7 Abs. 3 S. 4 DSGVO regelt datenschutzrechtlich, dass die Abbestellung eines Newsletters genau so einfach durchzuführen ist, wie die Einwilligung. Die Einwilligung zum Newsletter-Empfang ist zwingend über ein Double-Opt in Verfahren (§ 7 Abs. 2 Nr. 3 UWG) einzuholen, damit der Datenverarbeiter stets nachweisen kann, dass die betroffene Person ausdrücklich damit einverstanden ist, dass ihre personenbezogenen Daten verarbeitet werden und keine wettbewerbswidrige Handlung bzw. keine „unzumutbare Belästigung“ stattfindet.

Eine One-Click-Lösung zur Abmeldung ist gesetzlich nicht vorgeschrieben, wird in der Praxis aber überwiegend empfohlen.

Nach Art. 7 Abs. 3 S. 4 DSGVO ist es rein datenschutzrechtlich also zulässig, dass der Widerruf mit zwei Klicks (z.B. Anklicken des Abmeldelinks in der Mail + Anklicken auf „Wollen Sie sich wirklich abmelden?) durchgeführt wird, sofern die Einwilligung auch mit zwei Klicks durchgeführt wurde. Weitere Schritte, wie z.B. die Pflicht sich mit einem Kunden-Log-In in ein Portal einzuloggen, um sich aus dem Newsletter Verteiler auszutragen zu können, dürften eher unzulässig sein. Gerade das Wettbewerbsrecht ist hier nutzerfreundlich auszulegen.

Die Abfrage eines Grundes bzw. die erneute Eingabe der E-Mail-Adresse für die Abmeldung ist dann zulässig, wenn dies hinsichtlich der Einfachheit der Abmeldung, mit der Einfachheit der Einwilligung gleichzusetzen ist.

Ab wann darf nach erfolgter Abmeldung vom Newsletter wirklich kein Newsletter gesandt werden?

Art. 7 DSGVO - Bedingungen für die Einwilligung

...3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein....

Die Abmeldung vom Newsletter ist also unverzüglich umzusetzen. Erfolgt ein erneuter Newsletter-Versand, obwohl eine Abmeldung erfolgte (und damit auch ein Widerruf der Verarbeitung personenbezogener Daten), ist dies als unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG einzustufen und als unzulässige Datenverarbeitung nach DSGVO. Der Newsletter-Versender ist also in der Pflicht, den Kunden unverzüglich von der Verteilerliste zu streichen, sobald sich ein Kunde vom Newsletter abgemeldet hat. Eine weitere Mail auch am selben Tag ist unzulässig. Der Versender hat dafür Sorge zu tragen, dass die technischen Möglichkeiten so gestaltet sind, dass ab dem Zeitpunkt der Abmeldung keine weitere Mail mehr versendet wird. Der ehemalige Newsletter-Abonnent hat zudem das Recht, seine personenbezogenen Daten auf Wunsch aus der Datenbank löschen zu lassen.

Stand: 21.09.2022