Newsletter ja, Spam nein: Digitale Massenwerbung rechtssicher verschicken

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Wie kannst du Newsletter und andere digitale Massenwerbung rechtssicher verschicken? Anders gefragt: Wie vermeidest du es, mit deinem Newsletter den Datenschutz zu verletzen oder für Spam bestraft zu werden?

Die Antwort ist einfach: Du bittest die Newsletter-Empfänger:innen zuerst um ihre ausdrückliche und informierte Einwilligung («Opt-in»). Danach lässt du dir diese Einwilligung – wiederum ausdrücklich – bestätigen («Double Opt-in»). Ferner verwendest du immer einen korrekten Absender und weist auf eine problemlose Ablehnungsmöglichkeit hin («Opt-out»-Möglichkeit).

Seth Godin hat den Begriff «Permission Marketing» geprägt.

«Permission Marketing», auf Deutsch in etwa erlaubnisbasiertes Marketing, ist gemäss Seth Godin das Privileg, inhaltlich relevante Mitteilungen an Menschen zu senden, welche diese Mitteilungen tatsächlich erhalten möchten.

Ein respektvoller Umgang mit Menschen ist die beste Möglichkeit, ihre nachhaltige Aufmerksamkeit zu gewinnen. Es geht um Qualität statt Quantität. Es geht um langfristige Bindung statt kurzfristigen scheinbaren Erfolg durch Spam.

Rechtlich gesehen geht es um «Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt», die jemand «fernmeldetechnisch sendet». Gemeint sind Newsletter per E-Mail, aber beispielsweise auch mit WhatsApp und sonstigem Messaging, auf LinkedIn und anderen Social-Media-Plattformen oder per SMS.

Rechtlich gesehen geht es ausserdem um die «Informationspflicht bei der Beschaffung von Personendaten». Du kannst faktisch keine Newsletter versenden, ohne Daten über die Empfänger:innen zu beschaffen und zu bearbeiten.

Allgemeine Kommunikation, die keinen direkten Bezug zu Leistungen für einzelne Kund:innen hat, gilt im Zweifelsfall als «Massenwerbung».

Man spricht auch von kommerzieller Kommunikation oder schlicht von Werbung. Das Gegenteil sind Transaktions-E-Mails an einzelne Kund:innen, beispielsweise im Zusammenhang mit Bestellungen oder zur Information über geänderte Allgemeine Geschäftsbedingungen (AGB).

Mit einer Einwilligung bzw. mit «Opt-in» zu arbeiten, ist auch jenseits der Rechtslage sinnvoll, denn wer möchte Empfänger:innen mit unerwünschten Mitteilungen verärgern?

Die schweizerischen Rechtsgrundlagen finden sich insbesondere im Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und im Bundesgesetz über den Datenschutz (DSG).

Wie holst du die Einwilligung am besten ein?

Bei einem E-Mail-Newsletter holst du die Einwilligung («Opt-in») normalerweise über ein Anmelde-Formular ein.
Du informierst mit dem Anmelde-Formular, welche Inhalte wie häufig zu erwarten sind. Du informierst auch über allfällige Inhalte von Partner:innen und sonstigen Dritten, welche die E-Mail-Adressen der Empfänger:innen von dir erhalten.

Du fragst gleichzeitig die erforderlichen Angaben der künftigen Newsletter-Empfänger:innen ab. Für einen E-Mail-Newsletter ist normalerweise nur die E-Mail-Adresse erforderlich. Andere Angaben, wie beispielsweise Vorname und Name oder gar das Geburtsdatum oder Geschlecht solltest du deshalb nur freiwillig verlangen.

Bei Mitteilungen über andere Kommunikationskanäle fragst du beispielsweise die Telefonnummer (SMS) ab oder nutzt die Mechanismen der jeweiligen Messaging-App bzw. Social-Media-Plattform.

Bei E-Mail-Adressen, die von Datenhändler:innen und anderen Dritten stammen, musst du die eingeholte Einwilligung vertraglich absichern.

Wie musst du über die Bearbeitung von Personendaten informieren? Bei einem E-Mail-Newsletter werden immer Personendaten beschafft und bearbeitet.

Aus diesem Grund müssen die E-Mail-Empfänger:innen ab der Anmeldung über die Bearbeitung ihrer Daten informiert werden. Rechtlicher Hintergrund ist die Informationspflicht gemäss Art. 19 f. DSG.

Am einfachsten wird beim Anmeldeformular und in den einzelnen E-Mails auf die – hoffentlich! – vorhandene allgemeine Datenschutzerklärung verlinkt. Diese Datenschutzerklärung muss unter anderem Angaben über den Versand von Mitteilungen enthalten.

Informiert werden muss aber auch über allfälliges Tracking, wie es bei Newslettern gängig, aber den meisten Newsletter-Empfänger:innen nicht bekannt ist. Bei fast jedem Newsletter wird versucht zu erfassen, ob E-Mails geöffnet und ob Weblinks angeklickt werden. So kannst du den Erfolg deiner verschickten Inhalte messen. Du kannst aber auch E-Mail-Empfänger:innen, die deinen Newsletter nicht aktiv nutzen, im Sinn der Datensparsamkeit löschen.

In der Praxis ist nur noch das Tracking von angeklickten Weblinks aussagekräftig. Viele E-Mail-Dienste rufen Newsletter-E-Mails automatisch ab, um das gezielte Öffnungs-Tracking zu verhindern.

Im Sinn von Datensparsamkeit, Erforderlichkeit und Verhältnismässigkeit sollten nicht mehr aktive E-Mail-Empfänger:innen regelmässig gelöscht werden.

Du sparst damit Kosten beim Newsletter-Versand und erhöhst die Wahrscheinlichkeit, dass die verbleibenden E-Mail-Empfänger:innen die Newsletter-E-Mail zugestellt erhalten. Newsletter-E-Mails, welche die einzelnen Empfänger:innen gar nicht lesen, können deiner «Sender-Reputation» schaden, welche die Wahrscheinlichkeit einer erfolgreichen Zustellung beeinflusst.

Bei einem monatlich erscheinenden Newsletter sollte die Löschung nach sechs bis zwölf Monaten erfolgen, bei einem wöchentlich erscheinenden Newsletter nach drei bis sechs Monaten.

Für Newsletter-Tracking ist in der Schweiz keine Einwilligung der E-Mail-Empfänger:innen erforderlich, sondern die Information genügt. Die Datenschutzerklärung dient der Information, das heisst es wäre falsch, sich eine Einwilligung zur Datenschutzerklärung erteilen zu lassen.

Die Einwilligung der Empfänger:innen kann freiwillig eingeholt werden. Für jede Einwilligung gilt, dass diese freiwillig und informiert erteilt werden muss. Die Ausdrücklichkeit der Einwilligung ist bei einem Newsletter aber ohnehin vorgesehen.

Nicht empfehlenswert ist die «Tarnung» einer Newsletter-Anmeldung als Whitepaper-Download oder dergleichen. Ein solches «Goodie» darf verwendet werden, um neue Newsletter-Empfänger:innen zu motivieren, ihre Einwilligung zu erteilen. Allein für einen Whitepaper-Download ist aber offensichtlich nicht die Angabe einer E-Mail-Adresse erforderlich, sondern die PDF-Datei kann direkt zum Download verlinkt werden.

Auch nicht empfehlenswert ist eine «versteckte» Einwilligung als Teil von Allgemeinen Geschäftsbedingungen (AGB). Einerseits ist eine solche Einwilligung voraussichtlich nicht rechtswirksam, andererseits verärgerst du die unfreiwilligen Empfänger:innen der entsprechenden Mitteilungen.

Wie kannst du dir die Einwilligung bestätigen lassen?

Bei einem E-Mail-Newsletter bewährt sich das «Double Opt-in»-Verfahren.

Du schickst dafür an die E-Mail-Adresse, die bei der Newsletter-Anmeldung hinterlassen wurde, eine E-Mail mit einem Weblink, der angeklickt werden muss. Erst danach erfolgt der Newsletter-Versand.

Ich halte es für zulässig, eine «Double Opt-in»-E-Mail ein zweites Mal zu senden, wenn eine Newsletter-Anmeldung innert nützlicher Frist nicht bestätigt wird.

Bei Newslettern mit Messaging oder per SMS bittest du um eine spezifische Antwort als Bestätigung, beispielsweise mit dem Wort «ja». Das Gleiche gilt für Mitteilungen bei Social-Media-Plattformen.

«Double Opt-in» ist keine rechtliche Pflicht, dient aber als Dokumentation, dass die Einwilligung tatsächlich von der betreffenden Person stammt. Da ein:e Newsletter-Versender:in im Zweifelsfall die Einwilligung in den Newsletter-Empfang beweisen muss, führt normalerweise kein Weg an «Double Opt-in» vorbei.

Kein eigenes «Double Opt-in» ist erforderlich, wenn geeignete Mechanismen von Messaging-Apps oder Social-Media-Plattformen genutzt werden. Je nach Plattform steht eine Newsletter-ähnliche Funktion direkt zur Verfügung oder es können Gruppen verwendet werden, denen interessierte Personen selbst beitreten.

Alle seriösen Newsletter-Dienste ermöglichen das «Double Opt-in»-Verfahren. Zum Teil ist «Double Opt-in» sogar obligatorisch, weil Newsletter-Dienste nicht riskieren möchten, als Spam-Versender:innen zu gelten. Wenn die «Sender-Reputation» der verwendeten IP-Adressen und Mail-Server leidet, erreichen weniger E-Mails ihr Ziel. Auch cyon verbietet Spam ausdrücklich in den Allgemeinen Geschäftsbedingungen (AGB).

Manchmal wird beklagt, die «Double Opt-in»-E-Mails würden die neuen Newsletter-Empfänger:innen nicht immer erreichen. Das stimmt, doch ist es an den Empfänger:innen, den Empfang erwünschter E-Mails sicherzustellen. Wenn ausserdem bereits «Double Opt-in»-E-Mails nicht zugestellt werden, ist naheliegend, dass die Newsletter-E-Mails das gleiche Schicksal erleiden würden.

Wenn du einen Newsletter-Dienst verwendest, musst du dieses Outsourcing mit einem sogenannten Auftragsverarbeitungsvertrag (AVV) absichern (Art. 9 DSG). Auf Englisch wird ein AVV als Data Processing Agreement oder Addendum (DPA) bezeichnet. Seriöse Newsletter-Anbieter:innen bieten an, einen AVV per Mausklick abzuschliessen oder haben entsprechende Bestimmungen in ihre AGB integriert.

Bei Newsletter-Diensten im Ausland musst du für den «Daten-Export» einen angemessenen oder geeigneten Datenschutz sicherstellen (Art. 16 f. DSG). Bei Diensten mit Sitz im Europäischen Wirtschaftsraum (EWR) und einigen wenigen «sicheren Drittstaaten» ist das grundsätzlich ohne weitere Massnahmen der Fall. Bei Diensten in anderen Ländern musst du auf «Standarddatenschutzklauseln», englisch «Standard Contractual Clauses (SCC)» achten, beispielsweise in den USA. Bei amerikanischen Diensten kann ferner das Data Privacy Framework (DPF) helfen.

Wie sieht dein korrekter Absender aus?

Der korrekte Absender umfasst die gleichen Angaben, wie sie im Website-Impressum stehen müssen.

Als E-Mail-Absender erwähnst du die Firma oder den Namen sowie eine gültige E-Mail-Adresse. Im Footer bzw. in der Fusszeile der Newsletter-E-Mails erwähnst du ergänzend die Postadresse.

Ich rate davon ab, als Absender-E-Mail-Adresse eine E-Mail-Adresse zu verwenden, die nicht funktioniert («noreply@…» und dergleichen). Du verärgerst damit Empfänger:innen, die sich auf diesem Weg vom Newsletter abmelden möchten. Ferner erschwerst du Empfänger:innen, die eine Frage stellen möchten oder ein anderes Anliegen haben, den direkten Kontakt mit dir.

Siehe dazu auch: Alle Websites benötigen ein Impressum, aber was genau muss darin stehen?

Was ist eine problemlose Ablehnungsmöglichkeit?

Newsletter-Empfänger:innen sollten jederzeit die Möglichkeit haben, sich problemlos vom Newsletter abmelden zu können («Opt-out»).

Bei einem E-Mail-Newsletter sollte die Abmeldung über einen Weblink am Ende der E-Mail mit einem einzigen Klick oder Tap erfolgen können.

Es ist nicht empfehlenswert, nochmals zu fragen, ob eine Abmeldung tatsächlich erwünscht sei oder gar die Eingabe der E-Mail-Adresse zu verlangen. Es ist auch nicht empfehlenswert, die Abmeldung anderweitig zu erschweren. Dazu gehören «Dark Pattern», die dazu führen, dass Empfänger:innen, die sich abmelden möchten, aus Versehen den Newsletter weiterhin erhalten oder sich gar für weitere Newsletter anmelden.

Hingegen halte ich es für zulässig, zu fragen, ob die Abmeldung aus Versehen erfolgt ist und deshalb eine direkte erneute Anmeldung erwünscht ist. Es muss aber klar ersichtlich sein, dass es nicht um die Bestätigung der Abmeldung, sondern um eine erneute Anmeldung geht.

Bei anderen Kommunikationskanälen funktioniert die Abmeldung mit einem bestimmten Wort oder über die Mechanismen der jeweiligen Messaging-App bzw. Social-Media-Plattform.

Wie werden Spammer:innen bestraft?

Unlauterer Wettbewerb kann in der Schweiz mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden (Art. 23 Abs. 1 UWG).

In der Praxis fallen die Strafen tief aus. In einem Fall aus dem Jahr 2019 wurde ein:e wiederholte:r Spammer:in mit einer bedingten Geldstrafe von 15 Tagessätzen, einer Busse von 250 Franken und Verfahrenskosten in Höhe von 410 Franken bestraft.

Allerdings empfinden die meisten Beschuldigten auch ein Strafverfahren, das ohne Strafbefehl oder Verurteilung endet, als «Strafe». Beschuldigte müssen sich normalerweise von der Polizei oder Staatsanwaltschaft einvernehmen lassen, benötigen eine kostenpflichtige Strafverteidigung und müssen Zeit aufwenden. Bei einer Verurteilung droht ausserdem ein Eintrag im Strafregister.

Mit dem neuen Datenschutzgesetz (DSG) in der Schweiz drohen seit dem 1. September 2023 empfindliche Bussen bis zu 250’000 Franken und Verwaltungsverfahren, beispielsweise für die Verletzung der Informationspflicht (Art. 60 Abs. 1 DSG). Die bislang bekannt gewordenen Bussen liegen aber viel tiefer. In einem Fall aus dem Jahr 2024 wurde eine verantwortliche Person bei einem Unternehmen im Zusammenhang mit Spam mit einer Busse von 200 Franken und Verfahrenskosten in Höhe von 250 Franken bestraft.

Die Schweizerische Lauterkeitskommission (SLK) reguliert Newsletter und überhaupt Werbung mit ihren Grundsätzen «Lauterkeit in der kommerziellen Kommunikation» und behandelt Beschwerden gegen die Verletzung dieser Grundsätze. Diese ist allerdings eine private Selbstregulierungsorganisation der Kommunikationsbranche in der Schweiz und keine staatliche Behörde. Sie kann deshalb keine Bussen verhängen.

Gibt es Ausnahmen von der notwendigen Einwilligung?

Es gibt eine Ausnahme für Werbung an bestehende Kund:innen. Die Ausnahme ist allerdings von geringer praktischer Bedeutung.

Ausnahmsweise ist keine Einwilligung («Opt-in») erforderlich, wenn ein Unternehmen «beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält» und über den Newsletter informiert sowie «auf die Ablehnungsmöglichkeit hinweist» (Art. 3 Abs. 1 lit. o UWG).

In diesem Fall bleibt der Newsletter-Inhalt aber auf «Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen» beschränkt und kann nicht beliebige Inhalte umfassen.

Im Streitfall kann es aus Beweisgründen schwierig sein, sich auf diese Ausnahme zu berufen.

Es ist deshalb empfehlenswert, sich auch von Kund:innen die Einwilligung in den Newsletter-Versand ausdrücklich erteilen zu lassen. Eine gängige Möglichkeit ist, dass bei einer Bestellung jeweils die Allgemeinen Geschäftsbedingungen (AGB) und der Newsletter-Empfang ausdrücklich bestätigt werden müssen.

Was gilt für Newsletter mit Empfänger:innen im Ausland?

Bei Newslettern, die an Empfänger:innen ausserhalb der Schweiz gehen, musst du davon ausgehen, dass das Recht im Land der Empfänger:innen mit seinen Pflichten gilt.

Bei Empfänger:innen in Deutschland gelten beispielsweise unter anderem das dortige Gesetz gegen den unlauteren Wettbewerb (UWG), das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und die europäische Datenschutz-Grundverordnung (DSGVO).

In der Folge kann Spam in Deutschland nicht nur wesentlich härter bestraft werden als in der Schweiz. Es drohen auch kostenpflichtige Abmahnungen, vergleichbar mit deutschen Bilder-Abmahnungen, und unerwünschter Kontakt mit deutschen Datenschutz-Aufsichtsbehörden.
Mit konsequentem «Double Opt-in» und einer passenden Datenschutzerklärung, die nicht nur das schweizerische Recht, sondern auch die DSGVO berücksichtigt, können sich Newsletter-Versender:innen in der Schweiz vor unerwünschten Rechtsfolgen im europäischen Ausland schützen. Gemäss DSGVO ist die ausdrückliche, freiwillige und informierte Einwilligung ein wichtiger Rechtfertigungsgrund, um Personendaten überhaupt bearbeiten zu dürfen (Art. 6 Abs. 1 lit. a DSGVO).

Du erkennst eine DSGVO-konforme Datenschutzerklärung an der ausdrücklich genannten EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO. In einem Fall aus dem Jahr 2022 wurde gegen eine Verantwortliche in Kanada in dieser Hinsicht eine Busse von 645’000 Euro verhängt.

Es lohnt sich, die Voraussetzungen für legale Newsletter im Ausland zu prüfen. So kann in Deutschland bereits eine einzelne E-Mail zur Erfassung der Kundenzufriedenheit als Spam gelten. Mit «Double Opt-in» und einer passenden Datenschutzerklärung ist eine hohe Rechtssicherheit möglich.

Ausländische Newsletter-Empfänger:innen können bei Bedarf ausdrücklich ausgeschlossen werden. Am einfachsten ist der Ausschluss, wenn bei der Anmeldung ausdrücklich die Beschränkung auf den Newsletter-Empfang in der Schweiz bestätigt werden muss.

Wie gehst du mit bereits vorhandenen E-Mail-Adressen ohne dokumentierte Einwilligung um?

Die rechtssichere Antwort lautet, dass du E-Mail-Adressen, für die keine dokumentierte Einwilligung in den Newsletter-Versand vorliegt, löschen musst.

In der Praxis kannst du versuchen, solche E-Mail-Adressen zu «retten», indem du die Einwilligung nachträglich einholst. Das ist ein rechtliches Risiko, aber wenn du geschickt kommunizierst, kann du es schaffen, einen wesentlichen Teil der E-Mail-Adressen zu retten.

Allerdings gehen viele E-Mail-Versender:innen dabei derart ungeschickt vor, dass sie nicht nur daran scheitern, die benötigten nachträglichen Einwilligungen zu erhalten, sondern sie verärgern sogar die E-Mail-Empfänger:innen. Dadurch erhöht sich das rechtliche Risiko, denn verärgerte E-Mail-Empfänger:innen neigen dazu, Abmahnungen versenden zu lassen oder sich bei Datenschutz-Aufsichtsbehörden und Staatsanwaltschaften zu beschweren.

In jedem Fall muss beachtet werden, dass bereits die E-Mail, mit der versucht wird, die fehlende Einwilligung nachträglich einzuholen, eigentlich unzulässig ist. «Einmal ist kein Mal» gilt bei Spam nicht!

Mit «Permission Marketing» im Sinn von Seth Godin bist du auf der sicheren Seite. Es lohnt sich, die dokumentierte, freiwillige und informierte Einwilligung («Opt-in») deiner Newsletter-Empfänger:innen einzuholen.

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine geeignete Fachperson wie beispielsweise einen erfahrenen und qualifizierten Rechtsanwalt.

*) Beim Link handelt es sich um einen Partnerlink. Schliesst du einen Kauf bei Datenschutzpartner ab, erhält cyon eine kleine Provision, ohne dass dir zusätzliche Kosten entstehen. Im Gegenteil: Durch die Nutzung des Gutscheincodes hellocyondsp10 profitierst du sogar von 10 % Rabatt im ersten Jahr.