FAQ zur neuen DSGVO
Die Uhr tickt: Zum 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Sie gilt unmittelbar in allen Mitgliedsstaaten der Europäischen Union. Nationale Regelungen, wie das bisherige Bundesdatenschutzgesetz (BDSG) oder auch teilweise das Telemediengesetz (TMG) sind nicht mehr anwendbar. Über diverse Öffnungsklauseln lässt die DSGVO jedoch weiterhin nationale Regelungen zu. In Deutschland tritt daher ebenfalls zum 25.05.2018 ein neues Bundesdatenschutzgesetz mit ergänzenden Regelungen in Kraft. Während Datenschutz im E-Mail-Marketing früher vielleicht nicht ganz als vordringlichstes Thema betrachtet wurde, werden die Konsequenzen für Verstöße jetzt drastisch erhöht. Je nachdem, gegen welche Vorschrift verstoßen wird, können ab Mai 2018 Bußgelder bis zu einer Höhe von 10 Millionen oder 20 Millionen EUR verhängt werden oder sogar hin Höhe von 2 Prozent oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Der Verstoß gegen die Regelungen zur Einholung einer Werbe-Einwilligung gehört dabei zu den Verstößen, die mit bis zu 20 Millionen EUR oder 4 Prozent des Jahresumsatzes geahndet werden können. Der Beitrag zeigt die Neuerungen auf, die im Lead-Management per E-Mail zu beachten sind.
1. Kann E-Mail-Werbung zukünftig ohne Einwilligung auf der Grundlage eines berechtigten Interesses betrieben werden?
Auch nach der neuen DSGVO gilt das, was schon nach altem Datenschutzrecht galt: Es ist alles verboten, außer es liegt eine Einwilligung vor oder es gibt eine gesetzliche Grundlage. Diese Regelung finden sich auch in Art. 6 DSGVO wieder. Danach können Daten weiterhin zu Werbezwecken im E-Mail-Marketing auf der Grundlage einer Einwilligung des Adressaten verarbeitet und genutzt werden. Die DSGVO regelt allerdings auch, dass die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen zulässig sein kann. Aus Erwägungsgrund 47 ergibt sich, dass Direktwerbung eines Unternehmens grundsätzlich zu den berechtigten Interessen zu zählen ist. Soweit es das E-Mail-Marketing betrifft, ist es jedoch vollkommen unerheblich, ob die DSGVO eine Datenverarbeitung zu Werbezwecken auf der Grundlage eines berechtigten Interesses erlaubt oder nicht. Es ist schon fraglich, ob ein Werbeunternehmen in diesem Bereich überhaupt ein überwiegendes Interesse gegenüber dem Interesse des Adressaten ins Feld führen kann, keine belästigende Mails zu erhalten. In jedem Falle erlaubt § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) es bereits nicht, Werbe-E-Mails ohne eine ausdrückliche, vorherige Einwilligung des Adressaten zu versenden. Hier hilft also das berechtigte Interesse nicht weiter, sondern die Einwilligungen müssen schon deshalb eingeholt werden, um nicht teuer wegen eines Wettbewerbsverstoßes abgemahnt zu werden. Und: An dieser Systematik des Einwilligungsvorbehalts wird sich auch nichts ändern, sollte zusätzlich zur neuen DSGVO die neue Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (E-Privacy-VO) in Kraft treten. Diese liegt derzeit im Entwurf vor und soll die DSGVO spezialgesetzlich ergänzen. Die E-Privacy-VO enthält eine Regelung zum E-Mail-Marketing, die der des aktuellen, deutschen Wettbewerbsrechts entspricht. Im aktuellen Entwurf ist für die elektronische Kommunikation ebenfalls ein Einwilligungserfordernis vorgesehen (Art. 16 Abs. 1 Privacy-VO). Selbst wenn also die E-Privacy-VO die neue DSGVO ergänzen und das deutsche Wettbewerbsrecht im E-Mail-Marketing als vorrangig verdrängen sollte, bleibt es inhaltlich bei der Regelung, dass grundsätzlich eine Einwilligung einzuholen ist.
2. Gibt es Unterschiede zwischen B2C- und B2B-Adressaten?
Die datenschutzrechtlichen Regelungen gelten unabhängig davon, ob die Daten eines Verbrauchers oder eines Firmenkunden verarbeitet werden. Es geht jeweils um die Daten einer natürlichen Person und die Verarbeitung personenbezogener Daten und dieser Bereich ist durch die neue DSGVO geregelt (Art. 1 Abs. 1 DSGVO). Auch in Firmen hat man es mit Personen als Ansprechpartnern zu tun und deren Daten wie etwa Namen oder E-Mail-Adressen dürfen gleichfalls nicht ohne datenschutzrechtliche Einwilligung zum Zwecke der Lead-Generierung oder des E-Mail-Marketings verarbeitet werden. Davon ausgenommen sind reine Firmendaten wie zum Beispiel ein Firmenname oder eine Firmenadresse. Aber der Name des Geschäftsführers oder auch die E-Mail-Adresse info@ zählt dann schon wieder zu den personenbezogenen Daten. Aber selbst wenn Firmendaten in einem Verteiler gespeichert sind, heißt das noch nicht, dass dem Unternehmen auch E-Mails zugesendet werden dürfen. Wettbewerbsrechtlich ist trotzdem immer noch eine vorherige, ausdrückliche Einwilligung des Adressaten erforderlich (§ 7 Abs. 2 Nr. 3 UWG). Diese Vorschrift macht keinerlei Unterschied zwischen B2C- und B2B-Adressaten.
3. Gibt es Ausnahmen für Bestandskunden?
Die DSGVO macht keinen Unterschied zwischen der Behandlung von personenbezogenen Daten von Interessenten und solchen von Bestandskunden. Vielmehr gilt hier der Zweckbindungsgrundsatz aus Art. 5 Abs. 1 b DSGVO. Danach dürfen personenbezogene Daten nur zu dem festgelegten Zweck verarbeitet werden. Zwar gibt es die Möglichkeit einer Datenverarbeitung zum Zwecke der Erfüllung eines Vertrags (Art. 6 Abs. 1 b DSGVO). Dann dürfen die Daten aber nur zur jeweiligen Auftrags- oder Bestellabwicklung genutzt werden. Wird der Zweck geändert oder erweitert, z. B. in Richtung Werbung und E-Mail-Marketing, ist für die weitergehende Datenverarbeitung die vorherige Einwilligung des Adressaten erforderlich. Das Wettbewerbsrecht enthält in § 7 Abs. 3 UWG eine Ausnahme für die Versendung von Werbe-E-Mails an Bestandskunden, die jedoch für Interessenten und sonstige Kontakte nicht gilt. Danach ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post dann nicht anzunehmen, wenn diese Voraussetzungen zusammen erfüllt sind: 1. Sie müssen die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden selbst erhalten haben. Das ist der Fall, wenn der Kunde Ihnen seine E-Mail-Adresse zur Abwicklung einer Bestellung zur Verfügung gestellt hat. 2. Sie verwenden die E-Mail-Adresse konkret nur zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen. Beispiel: Der Kunde hatte bereits Bekleidung bei Ihnen bestellt. Dann dürfen Sie ihm Angebote zu Bekleidung zusenden, aber nicht zu Gartenzubehör. 3. Der Kunde darf der Verwendung seiner E-Mail-Adresse zu Werbezwecken bislang nicht widersprochen haben. Das wäre der Fall, wenn der Kunde sich über einen Abmeldelink von Ihrem Verteiler abgemeldet hat oder Ihnen eine entsprechende E-Mail zugeschickt hätte, wonach er keine weiteren Mails mehr erhalten möchte. 4. Der Kunde muss bei Erhebung der Adresse –wenn er beispielsweise das Bestellformular ausfüllt und seine E-Mail-Adresse einträgt - und [b]bei jeder Verwendung klar und deutlich darauf hingewiesen werden, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. In der Praxis scheitern Unternehmen in der Regel an der vierten Voraussetzung, da die meisten Online-Formulare nicht den erforderlichen Hinweis auf die Nutzung der E-Mail-Adresse zu Werbezwecken enthalten. Sind die Anforderungen der Ausnahmeregelung daher bei Ihnen nicht erfüllt, bleibt es bei dem Grundsatz, dass immer das vorherige ausdrückliche Einverständnis des Betroffenen einzuholen ist, wenn Sie mit ihm kommunizieren wollen. Sollte die E-Privacy-VO mit ihren spezialgesetzlichen Regelungen auch zur E-Mail-Kommunikation entsprechend dem vorliegenden Entwurf in Kraft treten, könnte die nationale Regelung in § 7 Abs. 3 UWG dadurch verdrängt werden. Aber auch dann ergibt sich keine Änderung in der Behandlung von Bestandkunden. Die dazu in Art. 16 Abs. 2 E-Privacy-VO geregelte Ausnahme für Bestandskunden entspricht praktisch der oben dargestellten Regelung im deutschen Wettbewerbsrecht unter § 7 Abs. 3 UWG.
4. Wie muss die Einwilligung in E-Mail-Werbung nach der neuen DSGVO eingeholt werden?
Das Einholen der Einwilligung für die Datenverarbeitung ist in Art. 7 und 8 DSGVO sowie § 51 BDSG n. F. geregelt. Danach muss der Adressat der Mails beim Einholen der Einwilligung, also direkt im Onlineformular, darüber informiert werden, • dass er seine Einwilligung jederzeit widerrufen kann, • zu welchem Zweck die Datenverarbeitung erfolgt (z. B. Newsletter-Versendung, Werbe-Mail-Versendung) • und wer der Verantwortliche ist. Die Einwilligung muss nachweisbar sein. Damit stellt das Double-Opt-in-Verfahren das einzig rechtssichere Verfahren zum Einholen von digitalen Werbe-Einwilligungen dar, da der Nachweis technisch anders nicht geführt werden kann. Für das Einholen von digitalen Einwilligungen sollten Checkboxen in die Onlineformulare integriert werden. Man kann nur dann auf Checkboxen verzichten, wenn das Onlineformular sich nur auf eine einzige Einwilligung bezieht, z. B. ein Formular nur für die Anmeldung zu einem Newsletter. Dann kann die Einwilligung grundsätzlich auch durch das Anklicken des Absende-Buttons bestätigt werden. Ist aber die Werbe-Einwilligung in anderen Formularen integriert, z. B. in ein Bestellformular, ist jedenfalls dann eine Checkbox erforderlich. In Erwägungsgrund 32 zur DSGVO ist die Einwilligung durch eine „eindeutige bestätigende Handlung“ gefordert und die Option des Anklickens eines Kästchens dort ausdrücklich genannt. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar. Für die Leadgenerierung über ein Download-Angebot kann die Einwilligungserklärung beispielsweise so eingeholt werden: Die Einwilligungserklärung sollte direkt in das Onlineformular platziert werden und die genannten Anforderungen (Hinweis auf das Widerrufsrecht, Zweck der Datenverarbeitung, Verantwortlicher) erfüllen: „Ja, ich bin damit einverstanden, dass mir die Firma XY Informationen und Angebote zum Thema XY per E-Mail zusendet. Ich weiß, dass ich die Einwilligung jederzeit widerrufen kann.“