Moin!

Mir geht es konkret um die Anmeldung zu einem Newsletter auf einer gewerblichen Website.

Die Sache ist relativ simpel:

Formular mit Mailadressen-Eintragungsmöglichkeit.

Wenn dort eine Adresse eingetragen wird, dann wird exact EINMAL an die Adresse eine Mail mit einer Zufallszahl gesendet als Link, die diese Mail freischaltet, wenn der Mailempfänger dem Link folgt.

Andernfalls wird keine weitere Mail an den Empfänger geschickt, insbesondere nicht mehrfach der Link wiederholt (ob man nach einer gewissen Zeit dieser Belästigungssperre die Mail-Adresse wieder löscht, dürfen die Datenschutzbeauftragten klären).

Sofern in der Link-Mail außer der Anfrage zur Bestätigung der Zusendung von Newslettern nichts werbliches drinsteht, ist diese Mail keine Werbung.

Und schon hast du ein "confirmed-opt-in"-Verfahren erstellt, bei dem dir nur relativ wenige Leute ans Bein pissen werden.

Insbesondere kannst du beim potentiellen Mailempfänger ja nur in Form einer Mail um Erlaubnis fragen, deshalb ist es erstens wichtig, so eine Mail nicht unlimitiert von der Website schicken zu können, und zweitens ist wichtig, dass darin keinerlei als Werbung zu verstehender Text steht. Für die Werbung ist Zeit, wenn der Newsletter bestätigt wurde. Und sowas wissen mittlerweile auch die Gerichte.

Das gegenwärtig allseits verwendete Double-Opt-In Verfahren ist in meinen Augen alles andere als "ideal". Zumal es ja schon einige Urteile im Bezug auf die Bestätigungs Mail gibt, die dieses Verfahren im Zweifelsfall alles andere als 100%ig rechtssicher erscheinen lassen.

"double-opt-in" ist ein schlechter Begriff. Was genau meinst du? Spammer benutzen ihn gerne, um zu kaschieren, dass man einfach nur zweimal auf der Webseite "ja, ich will" klicken/tippen musste. Doppelt hält aber nicht besser.

Abgesehen davon, dass man im Streitfall auch noch in der Beweispflicht ist, und daher eine genaue Protokollierung der Einwilligung des Empfängers benötigt, die ja in sich wiederum auch schon weder ganz einfach, noch rechtlich ganz unbedenklich ist, braucht.

Die geloggte Einwilligung, also zum einen das Loggen von Zeitpunkt und IP-Adresse des Webseitenbesuchers (im Zweifel auch weiterer Details, je nach Grad der Paranoia) beim Eintragen der Mail, als auch beim Bestätigen des Mail-Links, kann bei Verfahren natürlich helfen.

Im Zweifel wird es zu so einem Verfahren nicht kommen. Warum willst du dich mit Stinkstiefeln streiten? Vermutlich ist deren erster Schritt, einen T5F-Brief zu schicken. Das beantwortest du mit dem Logfile-Auszug. Wenn sie parallel oder danach äußern, keinen Newsletter zu wollen: DELETE, und Mailadresse auf ewig sperren. Fertig.

Pragmatisch denken!

Und die Möglichkeit, dass jeder x-beliebige irgendeine E-Mail-Adresse auf der Seite eintragen kann, ist ja auch nicht "der wahre Jakob" ...!

Ist so. Ist unumgänglich. Deswegen schickst du ja die Mail mit dem Bestätigungslink, dessen Zufallszahl nur der Mailempfänger (und alle Mailserver auf dem Weg dazwischen) kennt. Unwahrscheinlich, dass jemand diese Zufallszahl raten kann.

Wäre natürlich schlau, ein Brute-Force zum Freischalten der Mailadresse serverseitig zu erkennen und dann die Mail dauerhaft zu sperren. Je nach Grad deiner Paranoia.

Die mehr oder weniger einzige Alternative, die imho alle rechtlichen Anforderungen erfüllt, wäre die Variante, dass der Abonnement selber eine E-Mail schickt.

Mail-Absender sind fälschbar. Damit hast du nichts gewonnen. Das ist genauso schlecht, wie das Eintragen und automatische Versenden des Newsletters, ohne Bestätigungsmail mit Link.

Diese müsste bereits einen entsprechenden Text (... willige ich ein, bis auf Widerruf, den Newsletter der Fa. XYZ per E-Mail an diese meine Adresse zu erhalten ...) enthalten. Zusätzlich könnte man auch einen entsprechenden Datenschutzhinweis mit einbauen und was sonst noch so erforderlich sein sollte.

Das kann dir der Mailabsendefälscher alles problemlos in seiner Mail schreiben. Funktioniert nicht.

Aus meiner Sicht hätte man aber mit dieser Variante das Problem der "Identitätskontrolle" nicht, und auch bezüglich der Protokollierung bräuchte man nur die E-Mail archivieren (plus ggf. Mailserver-Log).

Fail.

Den "Nachteil", dass diese Variante nur funktioniert, wenn auf dem verwendeten System überhaupt ein E-Mail-Client vorhanden ist, würde ich dabei in Kauf nehmen.

Wie gesagt: Fälschbar. Und technisch schwieriger anbindbar an das übliche PHP-Webhosting, denn plötzlich brauchst du ein Mailpostfach, das nicht zugespammt werden sollte, das von deinem Newsletterserver aus abfragbar erreichbar ist.

Leider konnte ich bisher via Google nichts wirklich hilfreiches dazu finden. :-(

Suche "confirmed opt-in". Und "T5F" auch gleich, wenn du schon mal da bist.

- Sven Rautenberg