DSGVO: Was man über Alt-Einwilligungen wissen muss
Die Datenschutz-Grundverordnung ist ab dem 25.05.2018 anzuwenden. Ab diesem Zeitpunkt regelt sie, welche Anforderungen das Datenschutzrecht an eine Einwilligung stellt. Das hat auch Bedeutung für das E-Mail-Marketing. Was bedeutet Datenschutz-Grundverordnung? Die Datenschutz-Grundverordnung ist – wie der Name schon sagt – ein allgemeines Datenschutzgesetz. Die Datenschutz-Grundverordnung (DSGVO) gilt als EU-Verordnung aber in allen EU-Mitgliedstaaten unmittelbar. Das bedeutet, dass es keines deutschen Umsetzungsgesetzes bedarf. Sie hat auch Anwendungsvorrang vor jeder nationalen Regelung. Wenn also in Bezug auf den Schutz personenbezogener Daten die DSGVO und ein nationales Recht kollidieren, dann gilt die DSGVO. Die DSGVO sieht allerdings für spezielle Bereiche auch vor, dass nationale Gestaltungsspielräume bestehen. Für das Marketing ist aber alles datenschutzrechtlich Relevante in der DSGVO geregelt. Die DSGVO lässt aber den Regelungsbereich der Datenschutzrichtlinie 2002/58/EG (sog. ePrivacy-Verordnung) unverändert, was für das Marketing relevant werden kann, weil hierauf die Regelung in § 7 UWG zur Direktwerbung beruhen (siehe hierzu den Beitrag: BGH: Anforderungen an eine Einwilligung in E-Mail-Marketing). Kurzum: Das deutsche Datenschutzrecht im Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (§§ 11 ff. TMG) wird durch die DSGVO verdrängt. Der Text der DSGVO regelt unmittelbar das für das Marketing relevante Datenschutzrecht. DSGVO: Kein Bestandsschutz für Alt-Einwilligungen Die DSGVO stellt klar, dass es nicht per se einen Bestandsschutz für Alt-Einwilligungen gibt – das ist die schlechte Nachricht. Aber andererseits fordert sich auch nicht, dass alle Einwilligungen neu eingeholt werden müssen – das ist die gute Nachricht. Die DSGVO regelt explizit Folgendes in Erwägungsgrund 171: „Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“ Das bedeutet: Alte Werbe-Einwilligungen sind auch unter der DSGVO wirksam, wenn sie den Anforderungen des Art. 4 Nr. 11, Art. 7 und Art. 8 DSGVO genügen. Was bedeutet das konkret? Abstrakt lässt sich nicht beantworten, ob eine Werbe-Einwilligung weitergilt. Das hängt von ihrer konkreten Gestaltung ab. Aber gut gemachte und heute rechtskonforme Einwilligungen haben gute Chance auf Bestand. Das ergibt sich aus Folgendem: Die in Art. 4 Nr. 11 DSGVO definierten Anforderungen an eine Einwilligung sind recht eng an die Anforderungen der Datenschutzrichtlinie 95/46/EG angelehnt. Gerade diese Anforderungen legt der deutsche BGH aber bereits seit Oktober 2012 als Anforderung an die Wirksamkeit einer Werbe-Einwilligung zugrunde (siehe hierzu den Beitrag: BGH: Anforderungen an eine Einwilligung in E-Mail-Marketing). Mit anderen Worten: Diese Anforderungen sind nicht vollkommen neu. Gut gestaltete Einwilligungen sollten daher diese zukünftigen Anforderungen der DSGVO erfüllen können. Eine wesentliche Neuerung für Einwilligungen ist in der DSGVO, dass nach Art. 7 Abs. 3 DSGVO der Betroffene auf sein Recht zum Widerruf der Einwilligung hinzuweisen ist. Während dies bisher im deutschen Datenschutzrecht für allgemeine Einwilligungen nicht zwingend war, ist es aber jedenfalls seit September 2009 aufgrund von § 28 Abs. 4 BDSG für Werbe-Einwilligungen gefordert worden. Auch diese Anforderung ist also für die Einwilligung nicht ganz neu. Zusammengefasst: Eine abstrakte Bewertung, ob bestehende Einwilligungen den Anforderungen der DS-GOV genügen, ist nicht möglich, weil es auf den konkreten Text ankommt. Allerdings wurden gerade bei Werbe-Einwilligungen bereits bisher der DSGVO entsprechende Anforderungen zugrunde gelegt. Daher ist die Chance hoch, dass bereits bestehende Einwilligungen die zukünftigen Anforderungen erfüllen. Wie gehen Sie vor? Allein wegen des vorstehend Gesagten darauf zu vertrauen, dass alles weiterhin gut geht, ist zu risikoreich. So können Sie vorgehen, wenn Sie das Risiko bewerten und vermeiden wollen: 1. Delta-Abgleich: Prüfen Sie die vorhandene(n) Werbe-Einwilligung(en) anhand der DSGVO! 2. Ergibt sich ein Delta, müssen Sie die Einwilligungen anpassen! Und zwar für die Zukunft möglichst kurzfristig. Aber eben auch die Alt-Einwilligungen. Für die Anpassung für die Zukunft gibt es verschiedene Szenarien: Harter „Cut“ zu einem bestimmten Stichtag oder Testphasen für verschiedene Gestaltungen der Einwilligung. Die Überführung von Alt-Einwilligungen, die unter der DSGVO nicht mehr gültig sein werden, erfordert „Fingerspitzengefühl“ und muss strategisch geplant werden. Hierfür gibt es nicht das eine Vorgehensmodell. Fazit: Handeln Sie jetzt! Die Datenschutz-Grundverordnung zwingt nicht sicher zu Änderung der Einwilligung und zu einem Neu-Einholen bei Bestandsfällen. Aber andererseits enthält sie auch keinen Bestandsschutz für Alt-Einwilligungen. Sie müssen daher jetzt prüfen, wo Sie mit Ihren Einwilligungen stehen. Denn Unwissenheit ist der größte Risikofaktor!