IITR Datenschutz Blog

Newsletter-Einwilligung: Double-Opt-In durch Sandbox ausgehebelt

23.07.2021

IITR Information[IITR – 23.07.21] Der Einsatz von modernen E-Mail-Security-Lösungen stellt die Anbieter von E-Mail-Newsletter-Versand-Tools zunehmend vor die Herausforderung, einen wirksamen Prozess zur Einholung der Einwilligung im Rahmen des Double-Opt-in-Verfahrens zu etablieren. Denn Tools zur Prüfung eingehender E-Mails aktivieren ohne aktive Nutzerhandlung die Newsletter-Eintragung automatisch.

Neben der EU-Datenschutzgrundverordnung (DS-GVO) ist bei der werblichen Ansprache per E-Mail auch das Gesetz gegen den unlauteren Wettbewerb (UWG) zu berücksichtigten.

Konkret regelt § 7 Abs. 2 Nr. 3 UWG, dass eine unzumutbare Belästigung stets anzunehmen ist bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt.

Verifizierung der Newsletter-Eintragung über zweite Verifizierungs-E-Mail

Derzeit läuft der Prozess zur Anmeldung für einen E-Mail-Newsletter regelmäßig so ab, dass der Adressat (das ist derjenige, der einen E-Mail-Newsletter beziehen möchte) durch Eingabe seiner E-Mail-Adresse in das E-Mail-Adresseingabefeld auf der Webseite eines Anbieters den Newsletter bestellt. Damit der Newsletter-Anbieter sicher sein kann, dass der Adressat seine E-Mail-Adresse tatsächlich selbst eingegeben hat und den Newsletter tatsächlich beziehen will, erfolgt regelmäßig eine Verifizierung der E-Mail-Adresse durch eine sogenannte „Double-Opt-In E-Mail“.

Hier muss der Adressat dann durch das Anklicken eines in einer zweiten Verifizierungs-E-Mail vorhandenen Link bestätigen, dass der tatsächlich der Adressat ist und dass er auch wirklich den Newsletter per E-Mail erhalten möchte.

Sandbox löst Aktivierung selbst aus

Beim Einsatz einer modernen E-Mail-Security in Form einer Sandbox ist die Wirksamkeit eines derart eingeholten „Double-Opt-In“ fraglich.

Um dem E-Mail-Empfänger bestmöglich vor Schadsoftware zu schützen führt die Sandbox im Rahmen der Security-Prüfung sowohl alle in einer E-Mail enthaltenen Links als auch etwaige Datei-Anhänge in einer technisch besonders gesicherten Umgebung aus mit dem Ziel, gefährliche Webseiten (z.B. Phishing-Seiten) oder gefährliche Software mit Schadcode zu identifizieren und zu eliminieren.

Das Auslösen eines Double-Opt-In im Rahmen einer solchen technischen Prüfung stellt nach meiner Auffassung keine wirksame Einwilligung des Adressaten dar, da es hierbei an einer tatsächlich durch den Adressaten vorgenommenen Willenshandlung fehlt. Auch kann so nicht mit Sicherheit festgestellt werden, ob der E-Mail-Empfänger tatsächlich die Eintragung in den Newsletter gewünscht hat oder nicht.

Technische Anpassung an Verifizierungs-E-Mail erforderlich

Anbieter von E-Mail-Newsletter-Versand-Tools sollten Ihre Prozesse zur Einholung der Einwilligung eines Adressaten im Rahmen des Double-Opt-in-Verfahrens überarbeiten, um das Risiko eines Missbrauchs durch Dritte auszuschließen.

Dies könnte z.B. dadurch sichergestellt werden, dass der Adressat beim Anklicken des Links in der Double-Opt-In E-Mail lediglich auf eine Webseite geleitet wird, auf der er eine aktive Eingabe vornehmen muss. Wichtig ist hierbei, dass die aktive Eingabe nicht technisch von der Sandbox vorgenommen werden kann.

Autor: Ralf Zlamal

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

1 Kommentar zu diesem Beitrag:

Stefan Meyer

Das Einrichten/Installieren einer solchen „Sandboxah erfolgt durch Betreiben des Nutzers selbst. Hier muss der mündige Nutzer eben wissen (oder bestenfalls bei der Installation darauf hingewiesen werden), dass die Möglichkeit der automatischen Bestätigung von Newslettern besteht.
Es ist doch auch nichts anders, wenn ich meine Mailbox anderen zugänglich mache (Assistenz, Partner, …) und die dann den Link klicken.

Sorry, aber ich fürchte, der Tipp hier bleibt Rechtstheorie, die in der Praxis keine Anwendung finden wird. Nutzen und Risiko stehen in keinem Verhältnis. Nicht nur der Implementierungsaufwand steht dagegen. Insbesondere wird der Anwender noch weniger Abonnenten gewinnen, wenn der Nutzer keine Captcha eingeben will oder gar kann…

Oder gibt es ein anhängiges Verfahren?
Und von welchen „Sandbox“ Produkten genau sprechen wir?

Danke!

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif