Newsletter/Mailinglisten unter der DSGVO

  1. Rechtsgrundlage
  2. Informationspflichten


Zurück zur Übersicht

  1. Rechtsgrundlage

    E-Mail-Adressen sind meist als personenbezogene Daten anzusehen, deren Verwendung einer Rechtsgrundlage bedarf.

    a) Gruppen

    Hier sind folgende Gruppen zu unterscheiden:

    • Rundmails an Studierende, die studiumsrelevante Themen zum Inhalt haben (bis hin zur Teilhabe am generellen Universitätsleben, z.B. UniSport Campus Festival), sind Teil der inneruniversitären Kommunikation und dienen letztlich der Erfüllung der gesetzlichen Aufgaben der Universität. Rechtsgrundlage ist darum die gesetzliche Aufgabenerfüllung (§ 3 HG). Einer Einwilligung der Empfänger bedarf es nicht.

    • Rundmails an Beschäftigte, die arbeitsrelevante Themen zum Inhalt haben (bis hin zur Teilhabe am generellen Universitätsleben, z.B. UniSport Campus Festival), sind Teil der inneruniversitären Kommunikation und erfolgen zulässig im Rahmen des Arbeits-/Dienst-verhältnisses. Rechtsgrundlage ist darum § 18 DSG NRW (Datenverarbeitung im Beschäftigungskontext). Einer Einwilligung der Empfänger bedarf es nicht.

    • Sonstige Rundmails, die

    - nicht ausreichend relevant für den internen Empfängerkreis sind oder

    - (auch) an externe Empfänger gerichtet sind oder

    - Sie ohnehin nur an interessierte Kreise senden wollen,

    dürfen nur an Empfänger gesendet werden, die in diese Nutzung ihrer Emailadresse eingewilligt haben. Rechtsgrundlage ist die Einwilligung.

    Seien Sie bitte kritisch bei der Zuordnung Ihrer Newsletter; viele Newsletter fallen wohl in die dritte Gruppe.

    b) Altfälle

    Wenn Sie wissen, dass alle E-Mail-Adressen in Ihrem Verteiler in eine der drei genannten Gruppen fallen, können Sie beruhigt sein und den Verteiler auch zukünftig nutzen.

    Einwilligungen, die nach altem Recht gültig waren, bleiben dies auch weiter. Sie sollten für sich kurz die Prozesse dokumentieren, mit denen Sie den Verteiler aufgebaut haben und wie dabei die Rechtmäßigkeit sichergestellt war/ist. Z.B.: "Anmeldung ist nur über ein Kontaktformular im Internetauftritt bei Kenntnisnahme der Datenschutzerklärung möglich." oder "Anmeldung ist auch durch ausdrückliche Bitte um Aufnahme per Post oder Email möglich. Aufnahmeanträge wurden nicht archiviert. Andere Wege der Aufnahme waren aber durch Anweisung ausdrücklich ausgeschlossen und wurden auch nicht genutzt." Damit kann die Rechtmäßigkeit des Verteilers zumindest plausibel dargelegt werden.

    Nur wenn Sie bei manchen E-Mail-Adressen nicht wissen, ob diese rechtmäßig in den Verteiler genommen wurden, müssen Sie die Inhaber dieser Adressen erneut um Einwilligung bitten. Anderenfalls dürfen Sie diese Adressen künftig nicht weiter verwenden. Wenn Sie nicht wissen, welche E-Mail-Adressen Ihres Verteilers betroffen sind, müssen Sie im Zweifel alle Empfänger um (erneute) Einwilligung bitten.

    c) Einwilligung: Neufälle

    Bitte gestalten Sie Ihren Anmeldeprozess so, dass jede Anmeldung dokumentiert wird.

    d) Zur elektronische Einwilligung

    Es muss sichergestellt sein, dass die Person, die einen Newsletter durch Angabe einer Emailadresse abonniert auch Inhaber der Emailadresse ist. Dies kann auf verschiedene Weisen geschehen. Üblich ist das double-opt-in-Verfahren: An die angegeben Emailadresse wird zunächst eine Bestätigungsbitte geschickt. Erst wenn der Erhalt (etwa durch Anklicken eines Links) bestätigt wurde, wird die Adresse für den Newsletter freigeschaltet. Evtl. kann es bei einem nicht-kommerziellen Newsletter ein single-opt-in ausreichend sein, wenn in der Email auf die Möglichkeit zur einfachen Abbestellung hingewiesen wird. Dies ist aber rechtlich nicht sicher und darum risikobehaftet und wird nicht empfohlen.

  2. Informationspflichten

    Ungeachtet der jeweils einschlägigen Rechtsgrundlage, müssen die betroffenen Personen spätestens zum Zeitpunkt der Datenerhebung gemäß Art. 13, 14 DSGVO informiert werden.

    a) Altfälle

    Die Informationspflicht wird durch eine Datenerhebung nach dem 25.05.2018 ausgelöst. Ich gehe davon aus, dass für den Newsletter nur E-Mail-Adressen gespeichert werden und später keine weiteren Angaben zu einer Person hinzugefügt werden. Dann tritt bei dem rechtmäßig vorhandenen Altbestand keine neue Erhebung ein (der Datenbestand wurde ja bereits vor dem 25.5.2018 erhoben) und es wird eben keine Informationspflicht ausgelöst. Natürlich ist es erlaubt, die alten Empfänger trotzdem nach den neuen Regeln zu informieren.

    b) Neufälle

    Bei jeder Datenerhebung ab dem 25.05.2018 müssen die betroffenen Personen gemäß Art. 13 Abs. 1 und 2 DSGVO informiert werden.

    aa) Newsletter mit Einwilligung

    Bitte prüfen Sie, ob Ihre Newsletter in der allgemeinen Datenschutzerklärung (https://www.uni-wuppertal.de/datenschutz/) ausreichend beschrieben sind.

    Wenn ja, verweisen Sie darauf.

    Wenn nein, ergänzen Sie bitte in einer eigenen Datenschutzerklärung mit einer kurzen Beschreibung folgende Punkte (soweit einschlägig):

    • intern verantwortlichen Stelle,

    • verwendeten Daten,

    • Art der Verarbeitung,

    • Verarbeitungszweck,

    • evtl. Datenweitergabe an Dritte (z.B. Newsletter-Dienstleister im Rahmen einer Auftragsverarbeitung),

    • der Speicherdauer und

    • ggf. der Möglichkeit, diese Verarbeitung wieder zu stoppen.

    Verweisen Sie im Übrigen auf die allgemeine Datenschutzerklärung der Universität.

    bb) Newsletter ohne Einwilligung

    Wenn es sich um einen Newsletter handelt, der an Studierende und/oder Beschäftigte verschickt werden darf, ohne dass deren Einwilligung nötig ist, dann gilt vorstehende Informationspflicht gleichermaßen.

Letzte Änderung: 29.05.2018 - B. Märtin / P. Feuerstein

Weitere Infos über #UniWuppertal: