Newsletter-Einwilligung: Double-Opt-In durch Sandbox ausgehebelt

[IITR – 23.07.21] Der Einsatz von modernen E-Mail-Security-Lösungen stellt die Anbieter von E-Mail-Newsletter-Versand-Tools zunehmend vor die Herausforderung, einen wirksamen Prozess zur Einholung der Einwilligung im Rahmen des Double-Opt-in-Verfahrens zu etablieren. Denn Tools zur Prüfung eingehender E-Mails aktivieren ohne aktive Nutzerhandlung die Newsletter-Eintragung automatisch.

Neben der EU-Datenschutzgrundverordnung (DS-GVO) ist bei der werblichen Ansprache per E-Mail auch das Gesetz gegen den unlauteren Wettbewerb (UWG) zu berücksichtigten.

Konkret regelt § 7 Abs. 2 Nr. 3 UWG, dass eine unzumutbare Belästigung stets anzunehmen ist bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt.

Verifizierung der Newsletter-Eintragung über zweite Verifizierungs-E-Mail

Derzeit läuft der Prozess zur Anmeldung für einen E-Mail-Newsletter regelmäßig so ab, dass der Adressat (das ist derjenige, der einen E-Mail-Newsletter beziehen möchte) durch Eingabe seiner E-Mail-Adresse in das E-Mail-Adresseingabefeld auf der Webseite eines Anbieters den Newsletter bestellt. Damit der Newsletter-Anbieter sicher sein kann, dass der Adressat seine E-Mail-Adresse tatsächlich selbst eingegeben hat und den Newsletter tatsächlich beziehen will, erfolgt regelmäßig eine Verifizierung der E-Mail-Adresse durch eine sogenannte „Double-Opt-In E-Mail“.

Hier muss der Adressat dann durch das Anklicken eines in einer zweiten Verifizierungs-E-Mail vorhandenen Link bestätigen, dass der tatsächlich der Adressat ist und dass er auch wirklich den Newsletter per E-Mail erhalten möchte.

Sandbox löst Aktivierung selbst aus

Beim Einsatz einer modernen E-Mail-Security in Form einer Sandbox ist die Wirksamkeit eines derart eingeholten „Double-Opt-In“ fraglich.

Um dem E-Mail-Empfänger bestmöglich vor Schadsoftware zu schützen führt die Sandbox im Rahmen der Security-Prüfung sowohl alle in einer E-Mail enthaltenen Links als auch etwaige Datei-Anhänge in einer technisch besonders gesicherten Umgebung aus mit dem Ziel, gefährliche Webseiten (z.B. Phishing-Seiten) oder gefährliche Software mit Schadcode zu identifizieren und zu eliminieren.

Das Auslösen eines Double-Opt-In im Rahmen einer solchen technischen Prüfung stellt nach meiner Auffassung keine wirksame Einwilligung des Adressaten dar, da es hierbei an einer tatsächlich durch den Adressaten vorgenommenen Willenshandlung fehlt. Auch kann so nicht mit Sicherheit festgestellt werden, ob der E-Mail-Empfänger tatsächlich die Eintragung in den Newsletter gewünscht hat oder nicht.

Technische Anpassung an Verifizierungs-E-Mail erforderlich

Anbieter von E-Mail-Newsletter-Versand-Tools sollten Ihre Prozesse zur Einholung der Einwilligung eines Adressaten im Rahmen des Double-Opt-in-Verfahrens überarbeiten, um das Risiko eines Missbrauchs durch Dritte auszuschließen.

Dies könnte z.B. dadurch sichergestellt werden, dass der Adressat beim Anklicken des Links in der Double-Opt-In E-Mail lediglich auf eine Webseite geleitet wird, auf der er eine aktive Eingabe vornehmen muss. Wichtig ist hierbei, dass die aktive Eingabe nicht technisch von der Sandbox vorgenommen werden kann.

Autor: Ralf Zlamal