Was ist MailPoet?
MailPoet ist ein Newsletter-Plugin für WordPress. Unternehmen können darüber direkt aus WordPress heraus E-Mails an ihre Kunden und Abonnenten verschicken. Was müssen sie datenschutzrechtlich beachten, wenn sie das Tool verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist MailPoet datenschutzrechtlich relevant?
MailPoet erhebt Userdaten wie
- E-Mails,
- gegebenenfalls Namen,
- IP-Adressen,
- Informationen zum Browser und
- Informationen zur Öffnungs- und Klickrate versendeter Mails.
Dabei handelt es sich zum Teil um personenbezogene Daten. Seitenbetreiber müssen daher besondere datenschutzrechtliche Pflichten beachten.
MailPoet datenschutzkonform verwenden
Damit Unternehmen MailPoet gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) verwenden, müssen sie diese Pflichten erfüllen:
User-Einwilligung einholen
Bevor Seitenbetreiber MailPoet nutzen, um darüber E-Mails an Kunden zu verschicken, benötigen sie ihre Einwilligung dafür. Diese müssen sie per Double-Opt-In-Verfahren einholen. Das heißt: Nutzer müssen die Mail-Anmeldung aktiv per Opt-In – beispielsweise durch das Ankreuzen einer Checkbox – bestätigen. Gleichzeitig müssen Unternehmen Nutzer darüber aufklären, dass sie ihre Einwilligung jederzeit widerrufen können.
Unternehmen können Usern jetzt eine erste Mail zuschicken. Diese darf jedoch nur darüber aufklären, dass sich User für einen Newsletter angemeldet haben. Und: Dass sie die Anmeldung noch einmal per Klick auf einen Link bestätigen müssen. Klicken Nutzer auf diesen Link, haben Unternehmen rechtskräftig ihre Einwilligung in den Mailversand eingeholt.
Vertrag zur Auftragsverarbeitung abschließen?
Grundsätzlich benötigen Seitenbetreiber bei MailPoet keinen Vertrag zur Auftragsverarbeitung (AV-Vertrag). Denn: Sie können den gesamten Newsletter-Service auf ihrem eigenen Server unter WordPress hosten.
Verwenden Unternehmen eine umfangreichere Newsletter-Liste, kann es sein, dass sie auf einen externen, auf den Mailversand ausgelegten Server wechseln müssen. Dann müssen sie einen AV-Vertrag abschließen.
Datenschutzerklärung anpassen
Unternehmen erheben über MailPoet personenbezogene Daten. Das müssen sie in ihrer Datenschutzerklärung aufführen. Dabei sollten sie erwähnen,
- warum sie personenbezogene Daten über MailPoet erheben,
- wie lange sie diese Daten speichern wollen,
- welche Rechtsgrundlage ihnen das erlaubt und
- dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.
Auskunftspflicht beachten
Unternehmen müssen Nutzern ihre über MailPoet erhobenen Daten in einem gängigen, strukturierten Format zur Verfügung stellen, wenn sie dies einfordern. Das schreibt ihnen die Auskunftspflicht der DSGVO vor.
Löschpflicht beachten
Unternehmen müssen Userdaten löschen, wenn Nutzer dies einfordern. Sie müssen die Daten auch entfernen, wenn sich User von einem Newsletter abmelden. Denn: Die Daten erfüllen dann keinen Zweck mehr. Unternehmen dürfen sie dann nicht mehr aufbewahren. Wie sie ein abmahnsicheres E-Mail-Marketing auf die Beine stellen, zeigt unser Beitrag zum Erstellen und Versenden von Newslettern.
Rechtsprechung zu MailPoet
Für MailPoet ist diese Rechtsprechung relevant:
Bundesgerichtshof zum Double-Opt-In-Verfahren
Unternehmen müssen das Double-Opt-In-Verfahren nutzen, um eine Einwilligung von Usern in einen Newsletter-Versand einzuholen. Das legte der Bundesgerichtshof (BGH) am 10.02.2011 in einem Urteil fest (Az. I ZR 164/09).
Oberlandesgericht Düsseldorf zum Double-Opt-In-Verfahren
Das Oberlandesgericht (OLG) Düsseldorf bestätigte die Entscheidung des BGH. Dabei entschied es im März 2016, dass Seitenbetreiber beim Double-Opt-In-Verfahren Nutzern eine Mail zuschicken dürfen, die die Anmeldung in einen Newsletter-Versand bestätigt (Az. I-15 U 64/15).
Niederländische Aufsichtsbehörde zur Auskunfts- und Löschpflicht
Unternehmen dürfen Nutzern keine allzu großen Hürden in den Weg stellen, um ihre Daten einzusehen oder löschen zu lassen. Das stellte eine niederländische Aufsichtsbehörde im Februar 2022 fest. Ein Medienunternehmen hatte für jede Auskunfts- und Löschanfrage ein Foto des Personalausweises verlangt, um die Identität der Kunden festzustellen. Dabei verwies das Unternehmen auch nicht darauf, dass Kunden irrelevante Daten im Ausweis unkenntlich machen können. Für diesen DSGVO-Verstoß sprach die Aufsichtsbehörde eine Strafe in Höhe von 525.000 Euro aus. Das Medienunternehmen ist mit dem Urteil nicht einverstanden. Es hat Einspruch eingelegt.