Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines „Newsletter“. Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher kostengünstigen Newsletter werden personenbezogene Daten der Adressaten verwendet, wie insbesondere E-Mail-Adressen. Ab hier schaltet sich dann auch der Datenschutz ein.
- Erforderlichkeit einer Rechtsgrundlage
Für die Verarbeitung von personenbezogenen Daten ist eine Rechtsgrundlage erforderlich (Art. 6 Abs. 1 DSGVO). In Betracht kommen grundsätzlich nur Einwilligungen der betroffenen Personen (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO), weshalb eine öffentliche Stelle für den Versand ihres Newsletters über wirksame Einwilligungen der Adressaten verfügen muss.
- Einwilligung als Rechtsgrundlage
Damit eine Einwilligung wirksam ist, muss sie den Anforderungen der (Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a und Art. 7 Abs. 2 und 3 DSGVO) gerecht werden. Sie muss insbesondere freiwillig, informiert und deutlich sein, sowie auch sich auf eine bestimmte Verarbeitung und einen bestimmten Zweck beziehen. Grundsätzlich wirkt sie bis zu ihrem Widerruf. Da eine Einwilligung freiwillig erteilt werden muss, darf sie nicht im Zusammenhang mit irgendeiner „Belohnung“ erteilt werden (z.B. Teilnahme an einem Gewinnspiel). Im Rahmen ihrer Rechenschaftspflicht aus (Art. 5 Abs. 2 DSGVO) müssen öffentliche Stellen diese Einwilligung auch nachweisen können (Art. 7 Abs. 1 DSGVO).
- Verzeichnis von Verarbeitungstätigkeiten
In das Verzeichnis von Verarbeitungstätigkeiten muss die Verarbeitungstätigkeit mit dem Zweck „Versand eines Newsletters“ nach (Art. 30 DSGVO) in das Verzeichnis eingepflegt werden. Rechtsgrundlage ist auch hier (Art. 6 Abs. 1 lit. a DSGVO).
Die betroffenen Personen sind die Newsletter Abonnenten; zu den Kategorien personenbezogener Daten kommen auch der vollständige Name sowie auch die E-Mail-Adresse hinzu. Gegebenenfalls können noch weitere Angaben ergänzt werden.
Sollte die öffentliche Stelle mit einem Auftragsverarbeiter zusammenarbeiten, ist dies dann auch unter den Kategorien (dritter) Empfänger zu listen (vgl. Art. 28 DSGVO). Der Bezug des Newsletters ist in der Regel auf Dauer angelegt, wobei im Verzeichnis darauf hinzuweisen ist, dass der Datensatz eines Newsletter Abonnenten gelöscht wird, sobald er oder sie die Einwilligung widerruft.
- Informationspflichten
Im Zusammenhang vom Newslettern Versand müssen auch die Informationspflichten nach (Art. 13 DSGVO) erfüllt werden. Die Hinweise zu den in (Art. 13 Abs. 1 und 2 DSGVO) aufgeführten Punkten müssen einfach zur Kenntnis zu nehmen sein. Dies kann durch einen gut sichtbar platzierten und entsprechend bezeichneten Link gewährleistet werden. Des Weiteren muss auch unbedingt über das Widerrufsrecht aufgeklärt werden (Art. 7 Abs. 3 Satz 3 DSGVO).
- Abbestellen des Newsletters
Die Abbestellung des Newsletters bzw. der Widerruf der Einwilligung muss gemäß (Art. 7 Abs. 3 Satz 4 DSGVO) so einfach wie die Erteilung der Einwilligung sein. Nach dem Widerruf sind die personenbezogenen grundsätzlich unverzüglich zu löschen, sofern nicht eine anderweitige Rechtsgrundlage für die Verarbeitung greift. Die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs bleibt unberührt (Art. 7 Abs. 3 Satz 2 DSGVO).
Zusammenfassung
Das Instrument des „Newsletter“ ist kostengünstig und sehr beliebt. Es gilt jedoch einiges zu beachten. Am wichtigsten ist es allerdings, eine wirksame Einwilligung für den Versand einzuholen. Hierbei kann die insidas unterstützend und beratend mitwirken. Gerne überprüfen wir bestehende Einwilligungserklärungen oder erstellen auf Wunsch für Sie eine. Ebenfalls können wir das Verarbeitungsverzeichnis auf seine Richtigkeit für Sie überprüfen.
Quellen
