Einwilligungen für personalisiertes E-Mail-Marketing

Längst geht es beim E-Mail-Marketing nicht mehr nur um den Versand von werblichen Inhalten an einen Verteiler von Empfängern, die sich für den Newsletter angemeldet haben. Vielmehr sollen die Inhalte an die spezifischen Bedürfnisse eines jeden Empfängers ausgerichtet sein. Neben den wettbewerbs- und datenschutzrechtlichen Anforderungen kommt nun mit der Entscheidung des EuGH zu „Planet49“ und den damit verbundenen Aussage zum Einsatz von Cookies ein weiterer Aspekt zum Tragen, der im Grundsatz nicht neu ist, aber seit der Entscheidung des EuGH mehr Beachtung findet.

Opt-In als Grundsatz

Klar ist zunächst, dass die werbliche Ansprache per E-Mail gemäß § 7 Abs. 2 Nr. 3 UWG stets der vorherigen ausdrücklichen Einwilligung bedarf. Das bedeutet, es bedarf eines Opt-In. Der Empfänger muss aktiv bestätigen, dass er tatsächlich den betreffenden Newsletter wünscht. Eine vorausgewählte Checkbox ist etwa unzulässig. Jedenfalls in Deutschland hat sich das Double-Opt-In-Verfahren durchgesetzt.

In einfach gelagerten Fällen kann es ausreichend sein, wenn die Einwilligung schlichtweg mittels Eingabe der E-Mail-Adresse abgefragt wird. Sollen auch Dritte berechtigte werden, ist das nicht mehr ausreichend. Vorsicht gilt auch, wenn zwar nicht Dritte zum Versand berechtigte werden, letztlich aber mit einem Mailing der Absatz von Dritten gefördert werden soll.

Eine Ausnahme vom Grundsatz normiert § 7 Abs. 3 UWG für die sogenannte Bestandskundenwerbung. Die Voraussetzungen sind jedoch vergleichsweise eng und in der Praxis werden immer wieder Fehler gemacht. Insbesondere fehlt es an einem ausreichenden Hinweis auf die jederzeitige Widerspruchsmöglichkeit. Dieser Hinweis muss unter anderem bei Erhebung der E-Mail-Adresse gegeben sein und hat dabei nichts in AGB oder Datenschutzhinweise zu suchen.

Offene Personalisierung

Soll der Empfänger direkt mit Anrede und Namen angesprochen werden, müssen hierfür weitere Informationen abgefragt werden.

Ebenso wie die E-Mail-Adresse selbst, handelt es sich bei dem Namen eines Empfängers um ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO. Die Verarbeitung von personenbezogenen Daten bedarf der datenschutzrechtlichen Rechtfertigung nach Art. 6 Abs. 1 S. 1 DSGVO. Die Rechtfertigung lässt sich über eine Einwilligung nach Buchstabe a) abbilden. Diese wird zusammen mit dem Opt-In nach dem UWG abgefragt, ohne dass es hierfür einer gesonderten Formulierung bedarf.

Zurückhaltung ist geboten, wenn es darum geht, neben der E-Mail-Adresse weitere Pflichtangaben abzufragen. Für den Newsletterversand ist nur diese zwingend erforderlich.

Insbesondere wenn zusätzlich nicht nur der Name abgefragt wird, sondern weitere Informationen (z.B. Interessen, Standort), bedarf es einer darauf bezogenen konkreten Formulierung der Einwilligungserklärung (z.B. „…, um Ihnen personalisierte Informationen anhand Ihrer Interesse zu übersenden.“).

Weitgehend risikofrei handelt, wer die Möglichkeit personalisierter Inhalte mit einer zusätzlichen Einwilligung abfragt, um dies als entsprechende Option anzubieten.

In jedem Fall muss der Umstand einer Verarbeitung von personenbezogenen Daten im Rahmen des E-Mail-Marketing nebst Hinweis auf die jederzeitige Abmeldemöglichkeit in den Datenschutzhinweisen aufgenommen werden.

Personalisierte Bestandskundenwerbung

Personalisiertes E-Mail-Marketing gegenüber Bestandskunden möchte natürlich auch auf eine datenschutzrechtliche Einwilligung verzichten. Ganz überwiegend anerkannt ist dies aufgrund von berechtigten Interesse im Grundsatz möglich. Nach Art. 6 Abs. 1 S. 1 lit a) DSGVO ist die Verarbeitung von personenbezogenen Daten zulässig, wenn diese zur Wahrung berechtigter Interesse des Werbenden erforderlich ist, sofern nicht die Interessen des betroffenen Empfängers überwiegen. Dabei wird Direktwerbung als ein berechtigtes Interesse von der DSGVO anerkannt.

Wesentlich im konkreten Fall ist, dass der Kunde im Checkout-Prozess klar und deutlich darüber informiert wird, auf Grundlage welcher zusätzlichen Informationen (z.B. Kaufhistorie) die Inhalte eines Mailings gestaltet werden. Wichtig ist auch hierbei, dass die Anforderungen des § 7 Abs. 3 UWG beachtet werden und die Inhalte sich etwa nur auf ähnliche Waren beziehen. Kann dies nicht sichergestellt werden, muss doch eine Einwilligung abgefragt werden.

Personalisierung mittels Tracking-Dienste

Insbesondere die bekannten E-Mail-Marketing-Dienstleister bieten Lösungen an, um die Mailinginhalten aufgrund des vorherigen Verhaltens der Empfänger zu gestalten. Neben der Kaufhistorie und den Kundenstammdaten kommen insbesondere Produktinhalte in Betracht, die der Kunde sich angesehen hat, ohne einen entsprechenden Kauf zu tätigen. In diesem Zusammenhang werden Cookies oder ähnliche Technologien eingesetzt.

Dabei wurde seit jeher insbesondere von den Aufsichtsbehörden kritisch betrachtet, wenn für den Einsatz von Tracking-Diensten keine Einwilligung abgefragt wird, sondern vielmehr die Datenverarbeitung im Zusammenhang mit dem Dienst auf berechtigte Interessen gestützt wurde. Letzteres gilt jedoch zumindest für vertretbar. Auch hierbei wird es darauf ankommen, dass bei den Empfängern eine gewisse Erwartungshaltung durch entsprechende Informationen entwickelt wird.

Sofern es nicht um eine Bestandskundenwerbung geht, kann man sich zudem auf den Standpunkt stellen, dass der Einsatz von Tracking-Diensten praktischerweise mittels Einwilligung zu rechtfertigen ist, weil eine solche ohnehin abgefragt wird. Wichtig ist dann aber, dass der Einwilligungstext dies auch hergibt.

Erfordernis einer Cookie-Einwilligung

Geregelt ist dies in Art. 5 der so genannten ePrivacy-Richtlinie, die festhält, dass es einer Einwilligung für Cookies bedarf, die nicht unbedingt erforderlich sind, damit der Dienst zur Verfügung gestellt werden kann. Allerdings wurde dies nie wirklich in Deutschland umgesetzt.

Der EuGH hat nun ausdrücklich Folgendes entschieden (Urteil v. 1.10.2019, Az. C-673/17)

  • Maßgeblich ist die ePrivacy-Richtlinie, wobei sich die Frage der Wirksamkeit der Einwilligungserklärung anhand der inzwischen außer Kraft getretenen Datenschutzrichtlinie und der DSGVO bemisst.
  • Nach der ePrivacy-Richtlinie i.V.m. der DSRL bzw. der DSGVO liegt keine wirksame Einwilligung vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
  • Dies gilt unabhängig davon, ob es sich bei den im Endgerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
  • Zu den zwingenden Informationen, die dem Nutzer zu erteilen sind, gehören Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können.

Was das nun für Deutschland bedeutet, hat der EuGH allerdings nicht entschieden. Er hat insbesondere auch nicht entschieden, ob es auch einer Einwilligung nach der DSGVO bedarf (und damit der hohe Bußgeldrahmen eröffnet ist).

Das Verfahren geht nun vor dem BGH weiter und es ist nicht zu erwarten, dass der BGH riesige Überraschungen bereiten wird. Zudem ist damit zu rechnen, dass der Gesetzgeber kurzfristig tätig wird und das Erfordernis eines Opt-Ins festschreibt. Dabei darf man auf die Einzelheiten und möglichen Spielräume gespannt sein.

Was bedeutet das konkret?

  1. Wer personalisiertes E-Mail-Marketing betreibt, kommt im Grundsatz (wie generell beim E-Mail-Marketing) nicht um eine Einwilligung herum.
  2. Wer Risiken vermeiden möchte, fragt im Zusammenhang mit der Werbeeinwilligung auch den Einsatz von Tracking-Diensten unter Einsatz von Cookies ab, die spezifische Inhalte für den Empfänger ermöglichen.
  3. Um sich hierbei nicht angreifbar zu machen, müssen mehrere Einwilligungen abgefragt werden. Ob hierbei eine Kopplung zulässig ist, ist derzeit nicht geklärt.
  4. Denkbar ist es auch, dahingehend zu argumentieren, dass nur ein personalisiertes Werbe-Mailing angeboten wird, welches gerade den Einsatz von Tracking und Cookies erforderlich macht. Insbesondere mit Blick auf eine einwilligungsfreie Bestandskundenwerbung ist eine solche Sichtweise praxistauglich, wenn auch nicht ohne rechtliche Risiken.
  5. In jedem Fall bedarf es klarer und deutlicher Informationen zu den Verarbeitungsvorgängen und dem Einsatz von Cookies. Eine gesonderte Cookie-Policy ist hierbei nicht zwingend. In der Regel ist es ausreichend, wenn die Informationen in den Datenschutzhinweisen zu finden sind.
  6. Der Einsatz eines Cookie-Consent-Management-Tools ist nicht zwingend, insbesondere wenn eine wirksame Cookie-Einwilligung im Zusammenhang mit der Newsletter-Anmeldung abgefragt wird. Der Einsatz wird sich häufig jedoch anbieten, weil auch andere Cookies zum Einsatz kommen.
  7. Es ist vertretbar, mit konkreten Änderungen (etwa hinsichtlich Cookie-Bannern oder Cookie-Management-Tools) zunächst das Urteil des BGH in der Sache und auch eine etwaige Gesetzes-Novelle abzuwarten.
Hat Ihnen der Beitrag gefallen? Dann teilen Sie ihn doch mit anderen:
Der RSS-Feed für Kommentare zu diesem Artikel. Die TrackBack URI dieses Artikel.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hat Ihnen der Beitrag gefallen? Dann teilen Sie ihn doch mit anderen: