Die Datenschutzgrundverordnung hat in den letzten Monaten für viel Wirbel gesorgt, auch unter E-Mail-Marketern. Dabei sind die tatsächlichen Auswirkungen der DSGVO geringer, als vielfach kolportiert. Die deutsche Datenschutzkonferenz (DSK), der Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, hat nun eine neue Orientierungshilfe herausgeben, mit man sich als Online-Marketing-Experte befassen sollte.
Vorweg ist wichtig zu wissen, dass die Orientierungshilfen der DSK eine Behördenmeinung sind. Natürlich ist wichtig zu wissen, was die Aufsichtsbehörden zu einem bestimmten Punkt meinen – die Äußerungen sind aber weder verbindlich noch immer richtig. Jeder muss sich also seine eigene Meinung bilden. Dies werden auch die Gerichte tun, die möglicherweise mit der Auslegung einzelner Bestimmungen der DSGVO befasst sind.
UWG und DSGVO
Das Verhältnis zwischen dem Gesetz gegen den unlauteren Wettbewerb (UWG) und der Datenschutzgrundverordnung (DSGVO) ist im Detail sehr komplex. Über Einzelheiten werden die Gerichte noch entscheiden müssen. So ist zum Beispiel nicht völlig zweifelsfrei, ob ein Datenschutzverstoß zugleich ein Wettbewerbsverstoß ist.
Im Grundsatz besteht aber weitgehend Einigkeit, dass Wettbewerbsrecht und Datenschutzrecht nebeneinander gelten. Wer Werbung per E-Mail machen möchte, muss aus wettbewerbsrechtlicher Sicht grundsätzlich eine Einwilligung des Empfängers haben. Dabei ist irrelevant, ob eine natürliche Person angesprochen oder etwa ein Funktionspostfach adressiert wird. Handelt es sich – wie in den weit überwiegenden Fällen – um eine personalisierte E-Mail-Adresse, muss zusätzlich das Datenschutzrecht beachtet werden. Anknüpfungspunkt ist hier die Nutzung des personenbezogenen Datums E-Mail-Adresse für den Zweck der Werbung. Hierfür ist eine Rechtfertigung erforderlich, die sich aus der Einwilligung des Empfängers ergeben oder auf berechtigten Interessen beruhen kann.
Datenschutzrechtliche Bußgelder können nur für Datenschutzverstöße verhängt werden. Ob eine werbende E-Mail eine Wettbewerbsverletzung ist, ist dabei für die Einschätzung nach DSGVO ohne Belang. Dies liegt daran, dass die DSGVO EU-weit einheitlich anzuwenden und auszulegen ist. Nationales Recht, etwa der Versand von Werbung per E-Mail an Unternehmenskunden muss dabei außen vor bleiben. Dabei ändert die DSGVO die Rechtslage nach UWG nicht.
Das sehen die Aufsichtsbehörden anders und meinen, dass stets auch ein Datenschutzverstoß vorliegt, wenn ein bestimmter Kontaktweg zu einer betroffenen Person nach UWG nicht erlaubt ist (S. 5). Auf die Tatsache, dass dies dazu führen kann, dass eine Nutzung von Daten für die Direktwerbung in Deutschland unzulässig ist, anderenorts in der EU aber nicht, geht die DSK nicht ein.
Bestandskundenwerbung
Es ist ein weitverbreiteter Irrglaube, an Bestandskunden könnte – jedenfalls im B2B-Bereich – auch ohne ausdrückliche Einwilligung Werbung per E-Mail versendet werden. Richtig ist, dass das Gesetz in § 7 Abs. 3 UWG eine Hintertür für den Versand von Werbung per E-Mail an bestehende Kunden vorsieht. Die E-Mail-Werbung ist nach § 7 Abs. 3 UWG nur zulässig, wenn die dort genannten vier Voraussetzungen kumulativ vorliegen. Insbesondere die Ähnlichkeit der beworbenen Produkte und der Hinweis auf die Widerrufsmöglichkeit schon bei Erhebung der E-Mail-Adresse sind üblicherweise Stolpersteine, an denen eine Berufung auf die Ausnahmebestimmung in der Praxis scheitert.
Die datenschutzrechtliche Situation ist – anders als dies die Behörden meinen – unabhängig von der Rechtslage nach UWG zu beurteilen. Entscheidend ist, ob der Empfänger mit der Nutzung seiner E-Mail-Adresse zu Werbezwecken rechnen durfte. Hier hält die DSGVO fest, dass das Direktmarketing grundsätzlich ein berechtigtes Interesse sein kann und bei der Frage der vernünftigen Erwartungen jedenfalls mitentscheidend sei, ob eine Kundenbeziehung bestehe.
Auch die Datenschutzbehörden sprechen sich dafür aus, dass in den Fällen von § 7 Abs. 3 UWG auch eine datenschutzrechtliche Zulässigkeit angenommen werden kann. Wichtig ist, dass der Kunde – wie auch nach UWG – darüber informiert wird, dass seine E-Mail-Adresse für Werbezwecke verwendet werden wird.
Einwilligungen nach UWG und DSGVO
Daran, dass die E-Mail-Werbung nach UWG grundsätzlich eine Einwilligung voraussetzt, ändert die DSGVO nichts. Allerdings enthält auch die DSGVO Regelungen zur Wirksamkeit von Einwilligungen, die eingehalten sein müssen.
Erforderlich ist nach Art.. 4 Nr. 11 und Art. 7 Abs. 2 DSGVO eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung in einer klaren und einfachen Sprache oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.
Dabei ist nicht mehr erforderlich, dass die Einwilligung grundsätzlich schriftlich eingeholt wird. Die Behörden weisen in ihrem Papier darauf hin, der Werbende das Vorliegen einer Einwilligung nachweisen können müssen. Daher wird empfohlen, „sich regelmäßig um eine Einwilligung in Schriftform mit handschriftlicher Unterschrift oder mindestens in Textform (z. B. E-Mail) zu bemühen.“ (S. 8 f.). Das geht an der Realität vorbei und lässt zudem außer Betracht, dass auch bei unterschriebenen Einwilligungserklärungen die Zuordnung einer E-Mail-Adresse zu dem Einwilligenden nicht zweifelsfrei nachgewiesen werden kann.
Zwar empfehlen die Behörden bei elektronisch eingeholten Einwilligungen ein Double-Opt-in-Verfahren (S. 9). Eine solche Empfehlung wird für auf anderem Wege erklärte Einwilligung aber nicht abgeben. Das ist insbesondere für aus Messen erhobene Adressen wichtig. Gleichwohl sollte überall dort, wo ein DOI-Verfahren ohne große Konversionsverluste eingesetzt werden kann, davon Gebrauch gemacht werden.
Übergabe von Visitenkarten
Große Verunsicherung herrscht im Mittelstand über den Umgang mit Messeleads. Immer wieder erhält man nun im Anschluss an Konferenzen oder Messen E-Mails von Neukontakten, denen man die Visitenkarte überreicht hat. Die Behörden weisen kurz und knapp darauf hin, dass „Visitenkarten, die von den betroffenen Personen auf Messen oder sonstigen Veranstaltungen ausdrücklich zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme hinterlassen werden, … eine wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO darstellen“ können. Erforderlich sei aber, dass die Nachweisbarkeit der Einwilligung gegeben ist (S. 9).
Fakt ist zunächst, dass eine Einwilligung in die Speicherung der auf der übergebenen Visitenkarte enthaltenen Daten nicht erforderlich ist. Visitenkarten werden zu einem bestimmten Zweck und mit einer bestimmten Erwartung übergeben. Wer seine Karte seinem Gesprächspartner im Anschluss an ein persönliches Gespräch überreicht, rechnet damit, dass der gegenüber die Informationen in irgendeiner Form verwertet, jedenfalls aber einmal in sein CRM-System oder sein Outlook übernimmt. Dies ist ohne Weiteres von den berechtigten Interessen des Unternehmens gedeckt.
Eine andere Frage ist, ob über die Datenverarbeitung und die Dauer der Speicherung informiert werden muss. Nach dem Gesetz ist das vorgesehen. Erfolgte eine Information über die Datenverarbeitung nicht schon direkt vor Ort, muss in der Tat eine entsprechende Belehrung erfolgen. Dies kann durchaus per E-Mail im Nachgang zu dem Messebesuch geschehen. Häufig wird man diese Mail mit dem vertrieblichen Follow-Up verbinden können.
Kopplungsverbot
Seit den ersten Entwürfen zur DSGVO wird das Thema Kopplungsverbot heftig diskutiert. Gemeint ist das gesetzliche Verbot, die Erteilung einer Einwilligung an den Vertragsabschluss derart zu knüpfen, dass der Kunde den Vertrag nicht schließen kann, ohne die Einwilligung zu erteilen. In Art. 7 Abs. 4 DSGVO findet sich nun ein Kompromiss: Bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, soll dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags von der Einwilligung abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist. Es ist also kein Kopplungsverbot, sondern eine Auslegungshilfe. Wird gekoppelt, muss man sich genau anschauen, ob die Einwilligung dennoch als freiwillig erteilt angesehen werden muss.
Damit sind jedenfalls solche Einwilligungen unwirksam, die erst im Laufe der Vertragsdurchführung erteilt werden müssen, damit der Kunde seine Leistung erhält. Andererseits sind etwa Whitepaper-Downloads gegen Newsletter-Einwilligung klar zulässig. Niemand ist darauf angewiesen, ein kostenfreies Whitepaper herunterladen.
Auch eine Gewinnspielteilnahme kann man weiterhin von der Erteilung einer Einwilligung abhängig machen. Wenn transparent dargestellt wird, welche Daten zu welchen Zwecken aufgrund der Einwilligung verarbeitet werden sollen, gibt es keinen Grund, an der Freiwilligkeit zu zweifeln.
Anders ist das, wenn ein Kunde den gesamten Bestellprozess eines Online-Händlers durchläuft und quasi an der Kasse nicht weiter kommt, wenn er nicht seine Werbeeinwilligung erteilt.
Die Datenschutzbehörden sprechen zwar von einem Kopplungsverbot (S. 9), stellen aber auch auf die Freiwilligkeit ab. Ein wirkliches Verbot jeder Kopplung gibt es aber nicht.
Verfall von Einwilligungen
Immer wieder diskutiert wird, ob Einwilligungen irgendwann verfallen können. Auch das Papier der DSK verweist auf untergerichtliche Rechtsprechung, wonach eine Einwilligung 17 Monate nach deren Erteilung erlöschen soll, wenn sie nicht genutzt wird (S. 10 und S. 12). Dafür gibt es aber keinerlei Grundlage – weder nach UWG, noch nach der DSGVO.
Dementsprechend hat der Bundesgerichtshof – von den Datenschutzbehörden offenbar übersehen – am 1.2.2018 entschieden, dass § 7 Abs. 3 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Einwilligungen erlöschen daher grundsätzlich nicht durch Zeitablauf.
Mögliche Nutzungsdauer von Kontaktinformation
Eine andere Frage ist, wie lange vorhandene Daten für die werbliche Ansprache genutzt werden dürfen. Auch hier meinen die Behörden, dass eine Berechtigung nach gewisser Zeit erlischt (S. 12).
Daran ist richtig, dass eine Berufung auf berechtigte Interessen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO nur solange zulässig ist, wie der Empfänger mit der werblichen Ansprache rechnen kann. Irgendwann werden seine Interessen an der Nichtnutzung der Daten zu Werbezwecken die Interessen des Unternehmens überwiegen. Wann das der Fall ist, hängt von vielen Faktoren ab. So wird B2B mit einer längeren Nutzungsdauer zu rechnen sein, als im Verbraucherverkehr. Klare Fristen gibt es keine. Das UWG kennt im Übrigen keine Beschränkung (§ 7 Abs. 3 UWG).
Profilbildung und DSGVO
Wie schon nach altem Recht bedarf jede Verarbeitung personenbezogener Daten einer Rechtfertigung. Diese kann sich zum Beispiel aus berechtigten Interessen des Unternehmens oder einer Einwilligung des Empfängers ergeben. Fehlt die Rechtfertigung, ist die Personalisierung verboten.
Ob eine Einwilligung notwendig ist oder die Individualisierung auf Unternehmensinteressen gestützt werden kann, hängt von den vernünftigen Erwartungen des Empfängers ab. Dass zum Beispiel mit seinem Namen angesprochen wird, wer seinen Namen bei der Registrierung freiwillig angegeben hat, braucht keine Einwilligung. Auch das Tracken von Öffnungsraten sollte nicht einwilligungsbedürftig sein.
Die Behörden stellen sich zu Recht auf den Standpunkt, dass eine Werbeselektion anhand von Werbegruppen ohne Einwilligung zulässig ist (S. 4 f.). Lediglich eingriffsintensivere Maßnahmen, etwa automatisierte Selektionsverfahren zur Erstellung detaillierter Profile bedürften einer Einwilligung. Das klingt weniger streng als in dem Papier zum Tracking, bei dem die Behörden noch der Ansicht waren, dass jede Bildung von Nutzerprofilen generell einwilligungsbedürftig sei.
Das lässt sich der DSGVO nicht entnehmen. Im Gegenteil: die In Art. 21 Abs. 1 S. 1 ist explizit ein Widerspruchsrecht für auf berechtigte Interessen gestütztes Profiling geregelt. Wäre jede Profilbildung einwilligungsbedürftig, bräuchte es dieser Vorschrift nicht.
Geht die Profilbildung weiter, werden etwa Daten verschiedener Kanäle zusammengeführt, und kann der Kunde damit vernünftigerweise nicht rechnen, braucht es eine Einwilligung. Diese kann schon bei der Registrierung für den Newsletter eingeholt werden („Ja, ich möchte Ihren auf mich zugeschnittenen Newsletter erhalten.“). Dabei sollte jedenfalls in der Datenschutzerklärung transparent gemacht werden, welche Daten für die Personalisierung genutzt werden. Dies setzt vor allem voraus, dass ein konkreter Plan für die Auswertung der Daten existiert.
Fazit
Die Auswirkungen der DSGVO auf das E-Mail-Marketing sind deutlich geringer, als der Hype, der gerade im Direktmarketing um die DSGVO gemacht wurde. Dies zeigt letztlich auch die Stellungnahme der Aufsichtsbehörden zum Direktmarketing. Wie auch nach altem Recht, ist die Nutzung personenbezogener E-Mail-Adressen zu Werbezwecken nicht nur ein UWG-Verstoß, sondern häufig auch eine Datenschutzverletzung, wenn kein Opt-in vorliegt. Einzige gravierende Änderung sind die potenziellen Bußgelder für eine Datenschutzverletzung. Doch hier gilt: Es gibt deutlich schwerere Datenschutzverletzungen als die Nutzung personenbezogener Daten zu Werbezwecken. Dass hier horrende Bußgelder verhängt werden, ist nicht zu befürchten. Grund zur Panik besteht daher jedenfalls nicht. Das zeigen auch die Monate, die bisher weitgehend ereignisfrei seit dem Wirksamwerden der DSGVO vergangen sind.