Transparenzbericht 2019

Als eine von nur wenigen Schweizer Firmen veröffentlichen wir seit 2017 jährlich einen Transparenzbericht zum Vorjahr (2016, 2017, 2018). Wir versuchen so, Klarheit über die rechtlichen Anfragen zu schaffen, die bei uns von Behörden, Unternehmen und Privatpersonen eintreffen.

Im vergangenen Jahr haben uns insgesamt 33 Anfragen zu bei uns gehosteten Website-Inhalten erreicht. Wer sie gestellt hat, wie wir damit umgegangen sind und um welches Thema sich die Anfrage drehte, zeigen wir nachfolgend auf.

Anfragen zu unzulässigen Inhalten

Anfragen zu unzulässigen Inhalten stammen in der Regel von Privatpersonen und Unternehmen und werden von uns nach dem Code of Conduct Hosting der simsa bzw. des SWICO behandelt. Im Zeitraum vom 01.01.2019 – 31.12.2019 haben wir 23 Anfragen zu unzulässigen Inhalten erhalten:

Anfragesteller

Anfragesteller Anzahl Anfragen
Unternehmen 14
Privatperson 8
Eidgenössische Finanzmarktaufsicht (FINMA) 1

Land des Anfragestellers

Land Anzahl Anfragen
Schweiz 10
USA 5
Italien 3
Grossbritannien 2
Deutschland 1
Niederlande 1
Frankreich 1

Grund der Anfrage

Rechtsgebiet Anzahl Anfragen
Markenrecht 9
Phishing 4
Domain-Inhaberschaft 4
Spam 2
Persönlichkeitsrecht 2
Urheberrecht 1
Unbewilligtes Institut 1

Verfahren nach Code of Conduct

Verfahren Anzahl Anfragen
Notice-and-Notice 17
Notice-and-Takedown 6

Auskunftsersuchen von Behörden

Im Zeitraum 01.01.2019 – 31.12.2019 haben wir 10 Auskunftsersuchen von Behörden erhalten. Dabei handelte es sich um Anfragen der folgenden Instanzen:

Behörde Art der Anfrage Anzahl erhaltener Anfragen Anfragen, bei denen Daten geliefert wurden
Staatsanwaltschaft, Polizei Editionsverfügung
(Art. 263/265 StPO)
5 5
EJPD, ÜPF Rückwirkende Verkehrsdaten, Überwachung des Fernmeldeverkehrs
(Art. 18 Abs. 5 VÜPF)
5 4

Generell

Aus datenschutzrechtlichen Gründen händigen wir Daten nur auf Wunsch unserer Kunden und Kundinnen, beziehungsweise nach erfolgreicher Authentifizierung oder nach Erhalt einer behördlichen Verfügung diverser öffentlicher Einrichtungen (Staatsanwaltschaft, Dienst üPF, Finanzmarktaufsicht) aus.

Dabei wird ein Kunde oder eine Kundin nicht immer informiert. Einige Editionsverfügungen, vor allem von laufenden Untersuchungen, verlangen über einen gewissen Zeitraum Verschwiegenheit. Bei standardmässigen Code-of-Conduct-Fällen werden jeweils der Absender einer Beschwerde, sowie die betroffenen Kundinnen und Kunden kontaktiert.

Fazit

Seit dem Inkrafttreten des neuen «Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs» («Das neue BüPF») im Frühling des vergangenen Jahres erhalten wir entsprechende Anfragen des Dienst ÜPF über ein Online-Portal. Gefühlt hat sich damit die Anzahl der Anfragen etwas erhöht. Ob sich diese Wahrnehmung bestätigt, wird sich erst in den kommenden Jahren zeigen.

Wer sich für weitere Transparenzberichte interessiert, findet auf der Website von Rechtsanwalt Martin Steiger eine Liste mit weiteren Transparenzberichten.

Hackday: Displays für Meetingräume

In losen Abständen veranstaltet unser Software-Engineering-Team interne «Hackdays», während denen sich das gesamte Entwicklungs-Team intensiv mit einem bestimmten Thema auseinandersetzt. Unser Software-Entwickler Max brachte es im Bericht zum Hackday «Sensoren für den Durchblick» auf den Punkt:

Dabei stehen Teamgeist, die Begeisterung für neue Technologien und Spass im Vordergrund, es kann allerdings durchaus vorkommen, dass an solchen Events tolle Projekte entstehen, die später tatsächlich «im realen cyon-Leben» genutzt werden.

Wir dachten uns nun: Was im Software-Engineering-Team für Spass und Zusammenhalt sorgt, muss doch auch in grösserer Dimension anwendbar sein. Gesagt, getan. So wurde der Hackday zum cyon-weiten Anlass. Damit trafen sich beim letzten Event Mitarbeitende aus allen Bereichen in unserer Cafeteria, um an Displays für Meetingräume zu hacken.

Hackday: Displays für Meetingräume.

Die Vorbereitung

Bevor das Thema für den Hackday überhaupt feststand, wurden im ganzen Team Ideen gesammelt, mit welchen Themen wir uns beschäftigen könnten. Anschliessend haben wir darüber abgestimmt, welche Idee das Rennen machen soll. Praktischerweise haben wir damit auch bereits Ideen für weitere Hackdays gesammelt.

Unser Organisator Michael machte sich nun daran, die Idee zu konkretisieren. 4 Handlungsfelder wurden es schliesslich:

  • LED-Strip
    Jedes Display soll mit einem LED-Strip versehen werden, das mittels Farbe den Status eines Raums bereits von weitem erkennen lässt.
  • E-Ink-Display
    Das E-Ink-Display benötigt nur bei einer Veränderung Strom und ist damit äusserst energiesparsam. Selbst bei einem Stromausfall ist sichergestellt, dass niemand die Sitzung verpasst ;)
  • Touchscreen-Display
    Das Display mit eingebauter Touch-Funktion ermöglicht Eingaben durch Benutzerinnen und Benutzer. So lässt sich ein Raum vor Ort auch kurzfristig buchen.
  • Schnittstelle Open-Xchange
    Wir nutzen Open-Xchange zur Verwaltung unserer Termine. Die passende Schnittstelle soll ermöglichen, dass die Displays immer mit den aktuellsten Informationen versorgt werden.

Einkaufsliste

Um die 4 Handlungsfelder abzudecken, war entsprechende Hardware nötig. Unsere Einkaufsliste für den Hackday:

Der Hackday

Pünktlich um 09:00 Uhr trafen sich die Hackday-Teilnehmenden. Nach einem kurzen Intro und der Aufteilung auf 4 Teams ging es auch schon los.

Team LED-Strip

Team LED-Strip kümmerte sich darum, zur richtigen Zeit die richtige Farbe leuchten zu lassen. Üblicherweise wird den LED-Strips eine Fernbedienung mitgeliefert, mit der sich das eigene Wohnzimmer per Knopfdruck in Licht mit der gewünschten Wellenlänge tauchen lässt. Bei uns kam anstatt einer Fernbedienung ein Raspberry Pi zum Einsatz.

Der LED-Strip in Aktion.

Der LED-Strip in Aktion

Glücklicherweise fand das Team nach kurzer Suche eine fixfertige Python-Library, das die Steuerung des LED-Strips massiv vereinfachte. Nun fehlte nur noch die korrekte Pin-Belegung für den Anschluss an den Raspberry Pi und das Team konnte so richtig loslegen. Und trotz sehr wenigen Vorkenntnissen konnte Team LED-Strip nach kurzer Zeit erste Erfolge feiern. Bis am Abend hatte das Team einen funktionstüchtigen Protoytpen gebaut, der den Belegungstatus eines Raumes korrekt anzeigt.

Team E-Ink-Display

E-Ink-Displays, bekannt aus Produkten wie E-Readern, eignen sich für die Anzeige von Informationen, die nicht ständig wechseln. Perfekt also für die Anzeige eines Belegungsstatus. Das von uns verwendete Display wurde mit passendem Raspberry-Pi-«Header» geliefert und konnte so direkt mit dem dafür vorbereiteten Raspberry Pi Zero verbunden werden.

E-Ink-Display zeigt ersten Layout-Entwurf an.

Das E-Ink-Display zeigt den ersten Layout-Entwurf an.

Im Gegensatz zu einem herkömmlichen LCD-Display, das per HDMI angesprochen werden kann, muss auf einem E-Ink-Display «selbst gezeichnet» werden. Team E-Ink-Display verfolgte zu Beginn deshalb 2 Ideen: Das Zeichnen der Informationen mittels entsprechender Software und die Anzeige der Informationen in ASCII-Art, bekannt aus der Kommandozeile. Da das Zeichnen der Informationen aber rasch gut funktionierte, wurde die zweite Idee nicht weiterverfolgt. Dass das Zeichnen gut funktionierte, war übrigens nicht der offiziellen Dokumentation des Displays geschuldet – im Gegenteil, die Doku war praktisch inexistent – sondern vielen guten Beispielen auf Github. Schlussendlich fehlte nur noch eine Anbindung an unsere Groupware-Software, um die sich Team Schnittstelle Open-Xchange vertieft kümmerte.

Team Touchscreen-Display

Das Team, das sich um den Touchscreen-Display kümmerte, hatte schon früh mit Stolpersteinen zu kämpfen. Die vorbereiteten Raspberry Pis waren alle mit Raspbian Buster Lite geflasht worden. Ohne den in dieser Version fehlenden X11-Server, war der Raspberry Pi im Zusammenspiel mit dem Display nicht zu gebrauchen. Team Touchscreen-Display machte sich also als erstes daran, ihren Raspberry Pi mit der Desktop-Version zu flashen. Doch der nächste Stolperstein liess nicht lange auf sich warten. Das Team wollte das Display in Hochkantformat nutzen. Die entsprechenden Änderungen in der Betriebssystem-Konfiguration trugen allerdings nicht die gewünschten Früchte. So zeigte das Display die Inhalte zwar im gewünschten Format an, die Touchscreen-Eingaben landeten jedoch nicht am richtigen Ort. Nach einigen Versuchen entschied man sich für die pragmatische Lösung, doch das Querformat zu nutzen.

Für die Aufbereitung der Groupware-Daten entschied sich das Team für eine kleine Web-Applikation auf Basis des PHP-Micro-Frameworks Slim. Nachdem das Routing mit Slim gebaut war, stellten sich dem Team zwei grundlegende Fragen:

  • Wie kommen wir zu den Daten?
  • In welchem Format müssen diese an das Frontend weitergegeben werden?

Diese beiden Fragen beschäftigten das Team für den Rest des Tages. Vor allem die erste Frage sorgte für rote Köpfe, übrigens auch in den anderen Teams. Gut, kümmerte sich ein dediziertes Team um diese Aufgabe.

Das Touchscreen-Display in der zwischenzeitlich verfeinerten Variante.

Das Touchscreen-Display in der zwischenzeitlich verfeinerten Variante.

Team Schnittstelle Open-Xchange

Das vierte Team in der Runde wandte sich der von uns genutzten Groupware-Software Open-Xchange und deren Schnittstelle zu. In weiser Voraussicht bestand das Team aus zwei Personen, die erfahren im Umgang mit der Open-Xchange-API sind. Zwar nutzen wir in bestehender Software bereits einen API-Client für den Zugriff auf die Groupware-Daten, der allerdings noch auf einer alten API-Version basiert. Die Spezifikation der neuen API stellte das Team vor einige Herausforderungen, was vor allem an Fehlern in der Spezifikation lag. Nachdem diese Probleme aus dem Weg geräumt waren, generierte das Team einen passenden PHP-Client. Doch es traten weitere Probleme im Login-Verfahren auf, die bis zum Ende des Tages nicht vollständig gelöst werden konnten.

Obwohl die anderen Teams damit auf den bereits vorhandenen Client ausweichen mussten, konnte Team Schnittstelle durch das Debugging wertvolles Wissen im Umgang mit Open-Xchange gewinnen.

Das Endprodukt

Gegen 16:15 Uhr legten die Teams einen Endspurt hin und versuchten, die Einzelteile gemeinsam zu einem grossen Ganzen zu verbinden. Das Resultat war eine Belegungsanzeige für unser Sitzungszimmer «Cherry», die seither zuverlässig ihren Dienst tut.

E-Ink-Display und LED-Strip in der Ausprägung «nutzbarer Prototyp».

E-Ink-Display und LED-Strip in der Ausprägung «nutzbarer Prototyp».

An den Ecken und Kanten können wir selbstverständlich noch schleifen und auch das Gewand des Geräts präsentiert sich noch im Stil Prototyp. Eines aber ist klar: Hackdays machen Spass und bringen Mitarbeitende aus verschiedenen Teams näher zusammen. Ausserdem ist es immer wieder verblüffend zu sehen, was an einem einzigen Tag alles erreicht werden kann. Fortsetzung folgt, bestimmt.

Bald mehr Datenschutz für .ch-Domaininhaber

Als in der Europäischen Union Ende Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft trat, verschwanden aus dem WHOIS vieler Domainendungen auch die personenbezogenen Daten der Domaininhaber, wie auch wir damals im Blog berichteten. Mittels WHOIS-Dienst, so etwas wie das öffentliche Domain-Telefonbuch des Internet, lassen sich technische Informationen und, je nachdem, auch personenbezogene Daten zum Inhaber abrufen.

Bald mehr Datenschutz für .ch-Domain-Inhaber.

Wer darauf hoffte, dass damit künftig auch bei .ch-Domains auf die Veröffentlichung von personenbezogenen Daten verzichtet würde, sah sich allerdings getäuscht. Die derzeit geltende Schweizer «Verordnung über die Internet-Domains» schreibt nämlich explizit vor, dass diese Daten im öffentlichen WHOIS-Eintrag der Domain veröffentlicht werden müssen.

.ch-Domains – WHOIS künftig ohne private Daten

Aber jetzt kommt endlich Bewegung in die Sache. In der im Dezember 2019 in die Vernehmlassung geschickten, überarbeiteten Verordnung hat der Bundesrat die Streichung der Publikationspflicht der persönlichen Daten von Privatpersonen explizit vorgesehen. Oder wie es im erläuternden Bericht dazu heisst:

[..] soll der WHOIS-Dienst von «.ch» entsprechend den geltenden Datenschutzbestimmungen angepasst werden, indem künftig die Veröffentlichung personenbezogener Daten der Halterinnen und Halter von Domain-Namen (Name und Adresse der Halter/innen des betreffenden Domain-Namens sowie Name und Adresse der technisch verantwortlichen Person) untersagt [..] wird.

Bei Domainnamen von Privaten sollen damit künftig nur noch technische Infos, etwa die eingetragenen DNS-Server, der Registrar (zum Beispiel cyon) und eine Möglichkeit angezeigt werden, wie der Halter der Domain anonym, etwa durch ein neutrales Formular, kontaktiert werden kann.

Zumindest theoretisch soll der Registry gemäss der überarbeiteten Verordnung aber «die Möglichkeit» gegeben werden, bestimmte personenbezogene Daten zu veröffentlichen. Der erläuternde Bericht nennt dazu die «Identifizierungsangaben» und «Kontaktdaten» eines Domaininhabers, wenn es sich um eine juristische Person – meistens ein Unternehmen – handelt oder wenn Private explizit ihre Zustimmung zur Veröffentlichung gegeben haben.

Die Vernehmlassungsphase läuft noch bis 25. März 2020. Auch wenn die definitive Fassung der neuen «Verordnung über die Internet-Domains» damit also noch etwas auf sich warten lässt, ist die Stossrichtung ziemlich klar.

Rückblick: Das war das cyon-Jahr 2019

Auch im zu Ende gehenden Jahr haben uns wieder eine Vielzahl von Projekten beschäftigt – die einen etwas mehr sichtbar, die anderen etwas weniger.

Das war das cyon-Jahr 2019.

Beschäftigt haben wir uns zum Beispiel mit einer einheitlichen Regelung, wie wir künftig mit veralteten PHP-Versionen umgehen wollen und unseren Kundinnen und Kunden damit etwas mehr Handlungsspielraum geben können. Künftig stellen wir nicht mehr unterstützte PHP-Versionen jeweils noch zwei Jahre über das offizielle Ende der Unterstützung zur Verfügung.

IPv6. Und der Notfall-Service

Neu eingeführt haben wir in diesem Jahr auch unseren Notfall-Service, mit dem wir sicherstellen, dass Kundinnen und Kunden auch ausserhalb unserer offiziellen Supportzeiten auf die gewohnte Unterstützung durch cyon zählen können. Auch die Unterstützung des Internetprotokolls IPv6 auf unseren Servern konnten wir 2019 abschliessen.

10 Jahre «froox»

Und dann war da noch ein Jubiläum. «froox» wurde nämlich 10 Jahre alt. froox, was? Mit «froox» verwalten wir Kundinnen und Kunden genauso wie deren Abos, Rechnungen und vieles mehr. Langjährige Leserinnen und Leser mögen sich vielleicht erinnern: Vor ziemlich genau 10 Jahren haben wir die erste Version von «momo», oder eben «froox», gelauncht und sorgen seither mit viel Automation und übersichtlicher und intuitiver Online-Oberfläche für viele zufriedene Kundinnen und Kunden.

Am Nachfolger von froox arbeiten wir seit einiger Zeit im Hintergrund. Das Projekt trägt als Hommage an das bisherige Tool den gleichen Namen wie damals: «momo». Wie das neue «momo» entsteht, was es in Zukunft zu leisten vermag und wie es aussehen könnte, dazu werden wir berichten, sobald die Zeit reif ist. Doch noch wollen wir keine Erwartungen schüren. Bis Projekt «momo» zeigen wird, was es wirklich kann, wird noch viel Wasser durch Basel fliessen.

Was uns auf die Palme gebracht hat

Nichts. Wirklich… Aber es gab Ereignisse, die uns die tägliche Arbeit etwas schwerer gemacht haben. Sicher zum Beispiel, dass wir im zu Ende gehenden Jahr erstmals auf dem Radar von Phishern aufgetaucht sind. Und das gleich doppelt, denn die Kriminellen nahmen nicht nur unsere Kundinnen und Kunden per E-Mail ins Visier und versuchten, an deren Zugangsdaten zu kommen, sondern auch uns selbst. Mit mehr oder minder kreativen Bestellungen versuchten sie, an möglichst viele Webhosting-Accounts zu gelangen. Doch damit weckten die Phisher nur unseren Kampfgeist und wir setzen uns inzwischen auf diversen (technischen) Ebenen aktiv zur Wehr. Eine im Lauf des Jahres gebildete, interne Anti-Phishing-Taskforce beobachtet die Aktivitäten zudem genau und ergreift, wenn nötig, umgehend entsprechende Massnahmen. Und das mit grossem Erfolg.

Das Jahr 2019 in (ausgewählten) Zahlen:

Zu einem Jahresrückblick gehören immer auch Zahlen. Wir haben uns deshalb auch dieses Jahr auf die Suche nach interessanten Statistiken zu unserem Unternehmen gemacht:

  • Das cyon-Team ist weiter gewachsen. Inzwischen zählen wir 44 cyonistas (davon 4 Lernende), die jeden Tag daran arbeiten, das Internet zu einem besseren Ort zu machen.
  • 53’140 Mal haben wir Support-Anfragen per E-Mail beantwortet. Während 1770 Stunden haben wir unseren Kundinnen und Kunden zudem auf telefonischem Weg Hilfestellung geleistet.
  • Alle sieben Sekunden fand ein Login ins cyon-Webmail statt. Das ergibt aufs Jahr die beeindruckende Zahl von 4’330’000 Logins.
  • Pro Sekunde empfangen unsere Server 9,8 E-Mails und verschicken gleichzeitig 11,4 E-Mails für unsere Kundinnen und Kunden. 17,5 E-Mails weisen unsere Server zudem in derselben Sekunde ab, zum Beispiel wegen Spam oder weil der Empfänger nicht existiert.
  • Insgesamt haben unsere Mitarbeitenden 9300 kostenlose Getränke aus unserem Getränke-Kühlschrank, sowie 256 Liter Milch getrunken. Nicht mitgezählt sind Kaffee und Tee, sowie Wasser mit/ohne aus unserem Wasserspender.
  • Kundinnen und Kunden aus 112 Ländern zählen auf unsere Dienste.
  • 68% aller Rechnungen verschicken wir inzwischen als PDF per E-Mail, 32% der Kundinnen und Kunden wünschen aber nach wie vor Papier. Und wer es sich gerade anders überlegt hat, im my.cyon lässt sich die Versandart der Rechnung per Mausklick umstellen.
  • Wir haben neun Vue-Meetups, einen Contao-Stammtisch und zwei interne Hackdays in unseren Büros beherbergt.
  • Und last but not least: 50 Prozent unseres Gabel-Vorrats in der Cafeteria ist im Laufe des Jahres auf mysteriöse Weise verschwunden. 🤔

Merci

All diese Zahlen und Projekte wären ohne einen ganz wichtigen Punkt nicht das, was sie sind: Sie, liebe Kundinnen und Kunden. Ein grosses Merci für Ihre Unterstützung und Treue im 2019. Wir freuen uns, Sie auch im kommenden Jahr mit unseren Services und Produkten zu versorgen und so zu einem grossen Teil des «Schweizer» Internets beizutragen. Wir wünschen Ihnen und Ihren Liebsten frohe Festtage und einen erfolgreichen Start ins neue Jahr.

Newsletter: So verschickt man digitale Massenwerbung, ohne für Spam bestraft zu werden

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Wie verschickt man einen Newsletter, ohne den Datenschutz zu verletzen oder für Spam bestraft zu werden?

Die Antwort ist einfach: Man bittet die Newsletter-Empfänger zuerst um ihre ausdrückliche und informierte Einwilligung («Opt-in»). Danach lässt man sich diese Einwilligung – wiederum ausdrücklich – bestätigen («Double Opt-in»). Ausserdem verwendet man einen korrekten Absender und weist auf eine problemlose Ablehnungsmöglichkeit hin («Opt-out»).

So verschickt man Newsletter rechtssicher.

Rechtlich gesehen geht es um das Verbot von «Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt», die jemand «fernmeldetechnisch sendet». Gemeint sind beispielsweise E-Mail, Instant Messaging, Social Media-Plattformen und SMS.

Bei der Kommunikation von Unternehmen, die keinen Bezug zu Leistungen für einzelne Kunden hat, ist im Zweifelsfall von «Massenwerbung» auszugehen. Man spricht auch von kommerzieller Kommunikation.

Die schweizerischen Rechtsgrundlagen finden sich insbesondere im Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und im Bundesgesetz über den Datenschutz (DSG).

Inhaltlich ist zu beachten, dass es zahlreiche Regulierungen für Werbung gibt. So ist beispielsweise Werbung für alkoholische Getränke nur unter bestimmten Voraussetzungen erlaubt und die Werbung für Geldspiele ist grundsätzlich verboten.

Wie holt man die Einwilligung ein?

Bei einem E-Mail-Newsletter holt man die Einwilligung («Opt-in») normalerweise über ein Anmelde-Formular ein. Dabei wird informiert, welche Inhalte wie häufig zu erwarten sind, allenfalls auch von Dritten, welche die E-Mail-Adresse erhalten. Erforderlich ist für einen E-Mail-Newsletter nur die E-Mail-Adresse. Andere Angaben wie beispielsweise Vorname und Name oder gar das Geburtsdatum dürfen grundsätzlich nur freiwillig abgefragt werden.

Bei Newslettern über andere Kommunikationskanäle fragt man beispielsweise die Telefonnummer (SMS) ab oder nutzt die Mechanismen der jeweiligen Plattform (Instant Messaging, Social Media).

Bei einem E-Mail-Newsletter werden immer Personendaten bearbeitet. Aus diesem Grund müssen die E-Mail-Empfänger über die Bearbeitung ihrer Daten informiert werden. Am einfachsten wird auf die sowieso vorhandene Datenschutzerklärung verlinkt, die Angaben über den Versand von Mitteilungen enthält.

Siehe dazu auch: Wie erstellt man die perfekte Datenschutzerklärung für eine Website?

Informiert werden muss insbesondere über das Tracking, wie es bei Newslettern gängig, aber den meisten Newsletter-Empfängern nicht bekannt ist. Bei fast jedem Newsletter wird versucht zu erfassen, ob E-Mails geöffnet werden und ob Weblinks angeklickt werden. So kann man E-Mail-Empfänger, die einen Newsletter gar nicht aktiv nutzen, löschen oder den Erfolg von Newsletter-Inhalten messen.

Für Newsletter-Tracking ist in der Schweiz keine Einwilligung der E-Mail-Empfänger erforderlich, sondern die Information genügt. Die Datenschutzerklärung dient der Information, das heisst es wäre falsch, sich die Einwilligung zur Datenschutzerklärung erteilen zu lassen.

Nicht empfehlenswert ist die «Tarnung» einer Newsletter-Anmeldung als Whitepaper-Download. Ein solches Goodie kann verwendet werden, um neue Newsletter-Empfänger zu motivieren, ihre Einwilligung zu erteilen. Allein für einen Whitepaper-Download ist aber eigentlich gar keine E-Mail-Adresse erforderlich, sondern das PDF kann direkt zum Download verlinkt werden.

Auch nicht empfehlenswert ist die «versteckte» Einwilligung als Teil von Allgemeinen Geschäftsbedingungen (AGB). Einerseits ist eine solche Einwilligung voraussichtlich nicht rechtswirksam, andererseits verärgert man die unfreiwilligen E-Mail-Empfänger.

Wie lässt man sich die Einwilligung bestätigen?

Bei einem E-Mail-Newsletter bewährt sich das «Double Opt-in»-Verfahren: Man schickt an die E-Mail-Adresse, die bei der Newsletter-Anmeldung hinterlassen wurde, eine E-Mail mit einem Weblink, der angeklickt werden muss. Erst danach erfolgt der Newsletter-Versand.

Ich halte es für zulässig, eine «Double Opt-in»-E-Mail ein zweites Mal zu senden, wenn eine Newsletter-Anmeldung nicht bestätigt wird.

Bei Newslettern per Instant Messaging oder SMS bittet man um eine spezifische Antwort als Bestätigung, zum Beispiel mit dem Wort «ja».

«Double Opt-in» ist rechtlich gesehen eigentlich gar nicht erforderlich, denn vorgeschrieben ist grundsätzlich nur «Opt-in». Da der Newsletter-Versender aber im Zweifelsfall die Einwilligung in den Newsletter-Empfang beweisen muss, führt häufig kein Weg an «Double Opt-in» vorbei.

Alle seriösen Newsletter-Dienste ermöglichen das «Double Opt-in»-Verfahren. Zum Teil ist «Double Opt-in» sogar obligatorisch, weil Newsletter-Dienste nicht riskieren möchten, als Spam-Dienste zu gelten. Wenn die Reputation der verwendeten IP-Adressen und Mail-Server leidet, erreichen weniger E-Mails ihr Ziel. Auch cyon verbietet Spam ausdrücklich in den Allgemeinen Geschäftsbedingungen (AGB).

Wer einen Newsletter-Dienst verwendet, sollte dieses Outsourcing mit einem sogenannten Auftragsverarbeitungsvertrag (AVV) absichern. Seriöse Newsletter-Anbieter bieten an, einen solchen AVV per Mausklick abzuschliessen oder haben entsprechende Bestimmungen in ihre AGB integriert.

Wie sieht ein korrekter Absender aus?

Es handelt sich um die gleichen Angaben, wie sie im Website-Impressum stehen müssen. Im Wesentlichen also die Firma oder der Name und die Adresse.

Siehe dazu auch: Wer benötigt ein Impressum und was muss darin stehen?

Ich rate davon ab, als Absender-E-Mail-Adresse eine E-Mail-Adresse zu verwenden, die nicht funktioniert («noreply@…» und so weiter). Man verärgert damit Empfänger, die sich auf diesem Weg vom Newsletter abmelden möchten. Und man erschwert Empfängern, die eine Frage stellen möchten oder ein anderes Anliegen haben, den direkten Kontakt.

Was ist eine problemlose Ablehnungsmöglichkeit?

Newsletter-Empfängern soll jederzeit ermöglicht werden, sich problemlos vom Newsletter abmelden zu können («Opt-out»). Bei einem E-Mail-Newsletter sollte die Abmeldung über einen Weblink am Ende der E-Mail mit einem Klick oder Tap erfolgen können.

Es ist nicht empfehlenswert, nochmals zu fragen, ob eine Abmeldung tatsächlich erwünscht sei oder gar die Eingabe der E-Mail-Adresse zu verlangen. Es ist auch nicht empfehlenswert, die Abmeldung anderweitig zu erschweren. Dazu gehören Dark Pattern, die dazu führen, dass Empfänger, die sich abmelden möchten, aus Versehen den Newsletter weiterhin erhalten oder sich gar für weitere Newsletter anmelden.

Hingegen halte ich es für zulässig, zu fragen, ob man sich aus Versehen abgemeldet habe und sich deshalb gleich wieder anmelden wolle. Es muss aber klar ersichtlich sein, dass man nicht die Abmeldung, sondern die erneute Anmeldung bestätigen muss.

Bei anderen Kommunikationskanälen erlaubt man die Abmeldung mit einem bestimmten Wort (Instant Messaging und SMS) oder nutzt die Mechanismen der jeweiligen Social Media-Plattform.

Wie werden Spammer bestraft?

Unlauterer Wettbewerb kann in der Schweiz mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden (Art. 23 Abs. 1 UWG).

In der Praxis fallen die Strafen vergleichsweise tief aus. In einem Fall von Anfang 2019 wurde ein wiederholter Spammer mit einer bedingten Geldstrafe von 15 Tagessätzen, einer Busse von 250 Franken und Verfahrenskosten in Höhe von 410 Franken bestraft.

Allerdings empfinden die meisten Beschuldigten auch ein Strafverfahren, das ohne Strafbefehl oder Verurteilung endet, als «Strafe». Man muss sich von der Polizei oder Staatsanwaltschaft einvernehmen lassen, benötigt einen – kostenpflichtigen – Strafverteidiger und muss Zeit aufwenden. Bei einer Verurteilung droht ausserdem ein Strafregistereintrag.

Mit dem revidierten Datenschutzgesetz drohen in Zukunft Bussen bis zu 250’000 Franken.

Die Schweizerische Lauterkeitskommission reguliert Newsletter mit ihren Grundsätzen «Lauterkeit in der kommerziellen Kommunikation» und behandelte Beschwerden gegen die Verletzung dieser Grundsätze.

Gibt es Ausnahmen?

Ausnahmsweise ist keine Einwilligung erforderlich, wenn ein Unternehmen «beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält» und über den Newsletter informiert sowie «auf die Ablehnungsmöglichkeit hinweist» (Art. 3 Abs. 1 lit. o UWG). In diesem Fall bleibt der Newsletter-Inhalt aber auf «Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen» beschränkt.

Im Streitfall kann es aus Beweisgründen schwierig sein, sich auf diese Ausnahme zu berufen. Es ist empfehlenswert, sich auch von Kunden die Einwilligung in den Newsletter-Versand ausdrücklich erteilen zu lassen. Eine gängige Möglichkeit ist, dass bei einer Bestellung jeweils die AGB und der Newsletter-Empfang bestätigt werden müssen.

Was gilt für Newsletter mit Empfängern im Ausland?

Bei Newslettern, die an Empfänger im Ausland gehen, muss man davon ausgehen, dass das dortige Recht gilt. Bei Empfängern in Deutschland gelten beispielsweise unter anderem das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG), das deutsche Telemediengesetz (TMG) und die Datenschutz-Grundverordnung (DSGVO).

In der Folge kann Spam nicht nur wesentlich härter bestraft werden als in der Schweiz. Es drohen auch kostenpflichtige Abmahnungen und unerwünschter Kontakt mit Datenschutz-Aufsichtsbehörden.

Mit konsequentem «Double Opt-in» und einer passenden Datenschutzerklärung, die nicht nur Schweizer Recht, sondern auch die Datenschutz-Grundverordnung (DSGVO) berücksichtigt, können sich Newsletter-Versender in der Schweiz vor Rechtsfolgen im europäischen Ausland schützen. Die Einwilligung kann im Anwendungsbereich der DSGVO insbesondere auch das Tracking betreffen.

Es lohnt sich, die Voraussetzungen für legale Newsletter im Ausland zu prüfen. So kann in Deutschland bereits eine E-Mail zur Befragung der Kundenzufriedenheit als Spam gelten.

Siehe dazu auch: Leitlinien: Wann gilt die DSGVO / GDPR in der Schweiz und anderswo ausserhalb der EU?

Ausländische Newsletter-Empfänger können ausgeschlossen werden. Am einfachsten ist der Ausschluss, wenn bei der Anmeldung ausdrücklich die Schweiz als Land bestätigt werden muss.

Wie geht man mit E-Mail-Adressen ohne Einwilligung um?

Die rechtssichere Antwort lautet, dass man E-Mail-Adressen, für die keine beweisbare Einwilligung in den Newsletter-Versand vorliegt, löschen muss.

In der Praxis geht man häufig das Risiko ein, solche E-Mail-Adressen zu «retten», indem man die Einwilligung nachträglich einholt. Wer geschickt kommuniziert, kann es schaffen, einen wesentlichen Teil der E-Mail-Adressen zu retten.

Allerdings gehen viele E-Mail-Versender derart ungeschickt vor, dass sie nicht nur daran scheitern, die benötigten nachträglichen Einwilligungen zu erhalten, sondern sie verärgern sogar die E-Mail-Empfänger. Dadurch erhöht sich das rechtliche Risiko, denn verärgerte E-Mail-Empfänger neigen dazu, Abmahnungen versenden zu lassen oder sich bei Datenschutz-Aufsichtsbehörden und Staatsanwaltschaften zu beschweren.

In jedem Fall muss beachtet werden, dass bereits die E-Mail, mit der man versucht, die fehlende Einwilligung nachträglich einzuholen, unzulässig ist. «Einmal ist kein Mal» gilt bei Spam nicht!

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.