DSGVO-Löschpflicht für nicht per Double-Opt-In bestätigte Newsletter-Mailadressen?

Der Versand von E-Mail-Newslettern ist nur bei vorheriger ausdrücklicher Einwilligung des Empfängers zulässig. Um sicherzustellen, dass die bei der Newsletter-Anmeldung verwendete Mailadresse auch tatsächliche diejenige des Anmelders ist, setzt die Einwilligung das Double-Opt-In voraus. Erst durch Aktivierung eines Links in einer Anmelde-Bestätigungsmail darf der Newsletter-Versand gestartet werden. Doch wie verhält es sich mit für den Newsletter eingetragenen Mailadressen, die nicht zeitig per Double-Opt-In bestätigt werden? Sind diese nach der DSGVO zu löschen? Antwort gibt der aktuelle Beitrag der IT-Recht Kanzlei.

Art. 17 Abs. 1 lit. a DSGVO schreibt die eigeninitiative und unverzügliche Löschung von personenbezogenen Daten auch ohne vorherigen Antrag des Betroffenen immer dann vor, wenn diese Daten für die Zwecke der Erhebung nicht mehr notwendig sind.

E-Mail-Adressen von Privaten stellen immer personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO dar, weil sie einer konkreten Person zugeordnet sind und mithin zumindest indirekt deren Identifizierung ermöglichen. Meldet sich eine Person zu einem E-Mail-Newsletter an, wird zumindest deren Mailadresse vom Versender erhoben und zunächst zum Zwecke der Durchführung des Double-Opt-In-Verfahrens gespeichert und verwendet.

Die originäre Anmeldung zu einem Newsletter durch Eintragung einer Mailadresse kann allerdings noch nicht als unbedingte Einwilligung in Erhalt der werblichen Kommunikation verstanden werden, weil im Wege des Double-Opt-Ins ein zweiter Verifizierungsschritt erforderlich ist. Insofern ist sicherzustellen, dass die eingetragene Mailadresse auch tatsächlich zum informationswilligen Empfänger gehört. Dies geschieht über die Zusendung eines Bestätigungslinks an die eingetragene Adresse, dessen Anklicken erst den Einwilligungsprozess abschließt und den Newsletter-Versand in zulässiger Weise einleitet.

Wird nun eine Mailadresse zwar für einen Newsletter-Versand eingetragen, aber sodann nicht über die zweite Stufe des Double-Opt-Ins, also den Bestätigungslink, binnen einer angemessenen Frist auch verifiziert, ist grundsätzlich auf ein Abstandnehmen von der Einwilligungserteilung in den Newsletter-Versand zu schließen.

Dies kann einerseits darin begründet liegen, dass eine Adresse eingetragen wurde, welche nicht dem Eintragenden, sondern einer anderen Person gehört. Andererseits wäre auch der Rückschluss möglich, dass sich der Eintragende schlichtweg im Nachgang doch gegen den Newsletter entschieden und mithin den Bestätigungslink nicht aktiviert hat.

Ungeachtet der Motive muss bei Nichtaktivierung des Bestätigungslinks im Rahmen der Newsletter-Anmeldung nach Ablauf einer gewissen Zeit davon ausgegangen werden, dass der Erhalt des Newsletters nicht (mehr) gewünscht ist.

Mithin ist in diesen Fällen die Erhebung (als Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO) der originär eingetragenen Mailadresse für den Zweck des Newsletter-Versandes nicht mehr erforderlich. Eine hinreichendes Double-Opt-In-Verfahren wurde nämlich nicht abgeschlossen. Dies löst eine korrespondierende Löschpflicht gemäß Art. 17 Abs. 1 lit. a DSGVO aus.

Freilich kann aber auf ein Abstandnehmen vom Newsletter-Erhalt erst vernünftig geschlossen werden, wenn der Double-Opt-In-Bestätigungslink auch nach Verstreichenlassen einer angemessenen Reaktionszeit nicht aktiviert wurde. Für angemessen kann ein Zeitraum von  ca. 3 Wochen erachtet werden.