Vielen Dank für dein Interesse an den Datenschutzhinweisen für den E-Mail-Newsletter!
Warum diese Hinweise?
Ich möchte, dass du umfassend und transparent über den Schutz deiner personenbezogenen Daten informiert wirst.
Und natürlich ist es zudem eine rechtliche Pflicht, dich über Zweck, Art und Umfang der Datenverarbeitung zu informieren.
Wo & wie werden die Daten verarbeitet
Aktuell nutzen wir „Kit“ als Newsletter-Tool. Kit ist ein Service der Kit, Inc. mit Sitz in den USA. Die Daten werden in Rechenzentren von Amazon AWS verarbeitet.
Mit „Kit“ haben wir einen Auftragsverarbeitungsvertrag abgeschlossen, der den Vorgaben von Art. 28 DSGVO entspricht.
Das angemessene Datenschutzniveau wird über die Zertifizierung von „Kit“ im Rahmen des EU-U.S. Data Privacy Frameworks gewährleistet.
Künftige Wechsel von Anbietern
Wichtig: Ich habe schon in der Vergangenheit häufiger Anbieter für Newsletter-Versand gewechselt. Und ich kann und möchte das auch für die Zukunft nicht ausschließen. Hier kann sich also immer mal wieder etwas ändern.
Welche personenbezogenen Daten werden verarbeitet?
Diese Daten werden von uns für die Verwaltung und den Versand des Newsletters verarbeitet:
- Deine E-Mail-Adresse
- Datum der Eintragung
- Art der Eintragung (Website, manuell etc.)
- ggf. Öffnungsraten von E-Mails
- „Klickraten“ in E-Mails
- Status zu „Bounces“ oder sonstigen Zustellproblemen
Wie lange werden deine Daten gespeichert?
Wir verarbeiten deine personenbezogenen Daten für die Dauer deines Newsletter-Abonnements. Solltest du den Newsletter abbestellen oder ein sonstiger Grund zu einer Beendigung des Newsletter-Abonnements (Zustellprobleme) geführt haben, speichern wir die Daten noch für eine Dauer von bis zu drei Jahren.
Warum? Vor allem, um sicherstellen zu können, dass bei Abmeldungen vom Newsletter keine erneute Anmeldung erfolgen und somit unerwünschte Zusendungen unterdrückt werden können. Diest dient auch der Einhaltung der Vorgaben von § 7 UWG:
Ferner kommt es häufiger dazu, dass sich Leserinnen und Leser des Newsletters bei uns melden und nachfragen, warum sie den Newsletter nicht mehr erhalten. Wir können dann zumindest für einen längeren Zeitraum klären, woran es liegt, dass der Newsletter dich nicht mehr erreicht.
Wenn wir deine Daten löschen sollen, kannst du dich jederzeit an uns wenden.
Tracking von Öffnungs- und Klickraten
Wir „tracken“ Öffnungs- und Klickraten. Besser gesagt: Wir lassen tracken. Denn deaktivieren können wir die Funktion nicht.
Warum werden Öffnungs- und Klickraten getracked?
Warum ist das so? Ein E-Mail-Versanddienstleister muss, um eine hohe Zustellbarkeit von E-Mails (keine Unterdrückung durch Spamfilter etc.) gewährleisten zu können, über eine hohe „Reputation“ verfügen. Dies erreicht man, indem man Kunden hat, die eine hohe Qualität von E-Mails gewährleisten. Also E-Mails versenden, die die Empfänger haben wollen. Für die sie sich also z.B. bewusst angemeldet („Newsletter) haben oder die sie „gut“ finden. Und über die sie sich nicht beschweren.
Die „Reputation“ wird in Zeiten, in denen nur wenige große Anbieter (wie z.B. Google mit Gmail) darüber entscheiden, ob Newsletter das E-Mail-Postfach der Empfängerin oder des Empfängers erreichen, immer wichtiger.
Wir nutzen das Tracking von Klicks auf Links (oder das Tracking von Öffnungsraten) insbesondere, um festzustellen, ob du als Leserin oder Leser mit den Inhalten des Newsletter interagierst. Wir werden nichtaktive Leserinnen und Leser automatisch nach einer Inaktivität von mehreren Monaten vom Newsletter-Verteiler streichen, um die „Reputation“ zu schützen und eine hohe Zustellbarkeit des Newsletters zu gewährleisten.
Wenn dir das alles nicht passt (was ich gut verstehen kann), dann kannst du den Newsletter nicht abonnieren. Ohne Zustimmung wird es also nicht gehen.
Ich möchte aus dieser „Reputationsproblematik“ aber auch eine Tugend machen. Wenn das Tracking sein muss, dann kann ich es mir auch zunutze machen. Denn es bietet auch weitere Optionen. Als Anwalt berate ich eine Reihe von Unternehmen im Bereich des Marketing, speziell auch des Online- und E-Mail-Marketings. Und da ist es schon hilfreich, wenn ich weiß, ob und wie z.B. sog. A/B-Test sinnvoll gemacht werden können, wie man Segmente gut bilden kann etc.
„Eat your own dogfood“… heißt es ja auch bei den Amerikanern. Und da ich mit der Datenschutz-Guru GmbH auch Leistungen verkaufe und Marketing betreibe, nutzen wir das dann hier also auch. Aber „in Maßen“ und so wie ich meine, dass man es auf Basis einer Interessenabwägung vertreten kann. Ich möchte hier also auf „vernünftigen Erwartungen“ von dir als betroffener Person abstellen. Ich werde kein „sleazy“-Marketing machen, sondern sinnvolles Marketing. Ohne aufdringlich zu sein.
Und natürlich nutzen uns die Öffnungs- und vor allem Klickraten auch in anderen Bereichen etwas. Denn so können wir z.B. bestimmte Funktionen im Newsletter (Auslösen von Automationen etc.) realisieren.
Rechtsgrundlage der Verarbeitung von Öffnungs- und Klickraten
Es gibt in unserem Fall mehrere Rechtsgrundlagen für die Verarbeitung von Öffnungs- und Klickraten. Einige vertreten, dass hier eine Einwilligung zwingend ist. Im Falle von „Kit“ halte ich das nicht für korrekt.
Die Verarbeitung ist hier schon für Zwecke des Vertragsverhältnisses bzw. vertragsähnlichen Nutzungsverhältnis (Newsletterbezug) erforderlich. Rechtsgrundlage hierfür kann also Art. 6 Abs. 1 lit. b) DSGVO sein, da die Verarbeitung von Öffnungs- und Klickraten erforderlich ist, um den Newsletter an dich versenden zu können.
Unabhängig davon halte ich im konkreten Fall von „Kit“ die Verarbeitung der Öffnungs- und Klickraten auch auf Basis einer Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO) für zulässig. Unser Interesse an der Datenverarbeitung ist insoweit sehr hoch, weil wir die E-Mails an dich nicht ohne diese Funktion erbringen können. Du kannst dieser Verarbeitung natürlich jederzeit widersprechen, indem du dich einfach von dem Newsletter abmeldest. Einen Link zur Abmeldung findest du am Ende jeder E-Mail. Ansonsten kannst du dich natürlich auch jederzeit direkt an uns wenden.
Schließlich setzen wir seit dem 12.02.2023 zusätzlich aber auch auf eine Einwilligung der Newsletter-Abonnentinnen und Abonnenten und weisen insoweit bei der Anmeldung des Newsletters darauf hin.
Drittlandsverarbeitung
Bei der Verarbeitung der Daten bei unserem Newsletter-Serviceprovider („kit“) werden die Daten in den USA verarbeitet.
Das angemessene Datenschutzniveau wird aktuell durch die Zertifizierung von „kit“ im Rahmen des EU-U.S. Data Privacy Frameworks gewährleistet.
Einer gesonderten Rechtsgrundlage für die Drittlandsverarbeitung bedarf es aktuell nicht.
Seit dem 06.11.2024 holen wir uns vorsorglich bei Neuanmeldungen zum Newsletter eine Einwilligung für die Drittlandsverarbeitung i.S.d. Art. 49 Abs. 1 lit. a) DSGVO.
Warum? Durch den Regierungswechsel in den USA könnte es sein, dass es zu Änderungen kommt, die Auswirkungen auf das Fortbestehen der zwischen der EU und den USA geschlossenen Vereinbarungen zum EU-U.S. Data Privacy Frameworks haben können.
Ein angemessenes Datenschutzniveau wäre dann in den USA über diesen Mechanismus nicht mehr gewährleistet. Auch wenn dann ersatzweise die sog. EU-Standardvertragsklauseln für den Drittlandstransfer mit dem US-Anbieter und uns abgeschlossen werden würden, könnte das dann erforderliche Transfer Impact Assessment (TIA) zu dem Ergebnis kommen, dass ein angemessener Schutz der Daten formal nicht gewährleistet werden könnte.
Daher holen wir für diesen Fall vorsorglich deine Einwilligung bei der Newsletteranmeldung ein.
Warum müssen es denn die USA sein?
Als der Newsletter 2008 startete wurde schon ein US-Dienstleister genutzt (Mailchimp), weil es in der EU keine brauchbaren Alternativen gab.
In den letzten Jahren haben wir etliche Anbieter aus der EU ausprobiert. Die Erfahrungen waren leider immer noch eher ernüchternd. In der Regel fehlen brauchbare, gut dokumentierte und performante Schnittstellen, die wir zu unserem Server benötigen.
Teilweise werden auch meine persönlichen Anforderungen an die Daten- und Informationssicherheit nicht erfüllt. Manchmal scheiterte auch einfach an schlechtem Support oder so schlechten Verträgen, dass die Dienstleister schon aus dem Grund nicht in die engere Wahl kamen.
Wir haben dann auch drei verschiedene Alternativen getestet, um den Newsletter über eigene Server zu versenden (via Sendy, Mailcoach und FluentCRM). Die sind alle leider mehr oder weniger kläglich gescheitert, weil die E-Mails nicht verlässlich versendet wurden und es Beschwerden gab. Letztlich war es auch immer viel „Gefrickel“, wozu ich letztlich dann weder Zeit noch Lust hatte.
Wir haben dann einen weiteren Versuch mit Mailerlite unternehmen, einem Dienst aus der EU. Ich kann Mailerlite in Teilbereichen empfehlen. Es gibt aber auch Probleme und in zwei Bereichen, die ich nicht konkret nennen möchte, auch unterschiedliche Auffassungen zur Einhaltung von Anforderungen aus der DSGVO und dem UWG.
Jedenfalls nutzen wir jetzt aktuell „Kit“ (früher: Convertkit). Warum? Weil Mandanten, deren Professionalität ich schätze, vorher zu Kit gewechselt sind und der Anbieter für mich einen guten Eindruck macht und die Compliance-Probleme, die mich bei Mailerlite gestört haben, dort nicht auftreten.
Wie ist das mit dem angemessenen Datenschutzniveau in den USA?
Aktuell wird das von der DSGVO geforderte angemessene Datenschutzniveau im Drittland USA im Hinblick auf die Nutzung von „kit“ durch die Zertifizierung des Anbieters im Rahmen des EU-U.S. Data Privacy Frameworks gewährleistet.
Sollte der entsprechende Beschluss der EU-Kommission in der Zukunft nicht weiter Bestand haben, werden wir mit „kit“ die sog. EU-Standardvertragsklauseln abschließen.
Bei dem dann erforderlichen Transfer Impact Assessment würden wir zu dem Ergebnis kommen, dass ein angemessenes Datenschutzniveau gewährleistet werden kann. Warum? Weil wir nur die E-Mail-Adresse als Identifizierungsmerkmal verarbeiten lassen. Zu jedem E-Mail-Kontakt werden dann über sog. „Tags“ Zuordnungen zu Newsletter-Listen (z.B. „Datenschutz-Tipps“ getroffen. Außerdem können wir über Tags z.B. auch Webinaranmeldungen oder andere Aktionsangebote von uns zuordnen.
Wir werden nie Tags dazu zu nutzen, um Persönlichkeitsprofile oder anderen Pseudo-Marketing-Klimbim zu erstellen.
Ansonsten fallen dann noch die Öffnungs- und Klickraten sowie Versanddaten an.
Insgesamt wird man hier von einem geringen Schutzbedarf der Daten ausgehen können, sodass in der Gesamtschau ein angemessenes Datenschutzniveau durch die von „kit“ getroffenen technischen und organisatorischen Maßnahmen gewährleistet würde.
Werbung
Eine Weitergabe von personenbezogenen Daten an Dritte für Zwecke von Werbung, Markt- oder Meinungsforschung findet nicht statt.
Ich erlaube mir lediglich, ggf. auf eigene Dienstleistungen oder Angebote hinzuweisen. Das ist neben der Informationsvermittlung – da bin ich ehrlich – selbstverständlich auch Zweck der Liste.
Du musst mich nicht beauftragen, du brauchst auch nichts zu kaufen, und ich bin darauf auch nicht primär aus. Aber wenn du mich bzw. meine Informationen ein bisschen magst und hieraus Aufträge für mich generiert werden, dann freue ich mich darüber. Und wenn nicht, dann ist das auch völlig okay.
Und ja ich empfehle auch immer mal Produkte oder Dienstleistungen von anderen Unternehmen oder Personen. Einfach, weil ich sie gut oder empfehlenswert finde.
Und schließlich weise ich auch immer wieder mal auf Angebote von anderen Unternehmen von mir hin, die zu unserer Unternehmensgruppe bzw. zu meiner Kanzlei gehören. Und ich erwähne auch ansonsten Unternehmen und Dienstleistungen, die ich einfach gut finde (und nein, wir arbeiten niemals mit Provisionen oder ähnlichen geldwerten Vorteilen). Wenn dich das stört, dann melde dich einfach ab. Ist nur ein Klick. Allerdings verpasst du dann den Rest. 😉
Wenn du aus der Liste gelöscht werden willst
In jeder Newsletter-E-Mail ist ein Hinweis darauf enthalten, wie du deine E-Mail-Adresse löschen lassen kannst.
Alternativ kannst du dich jederzeit an unseren Support wenden:
support (at) datenschutz-guru (punkt) de
Natürlich auch für andere Fragen zum Schutz deiner personenbezogenen Daten und insbesondere auch bei Wahrnehmung deiner Betroffenenrechte.
Apropos: Im Hinblick auf die sonstigen Informationspflichten nach der DSGVO verweise ich auf meine allgemeinen Datenschutzhinweise.
Stand: 06.11.2024