Die meisten Einwilligungen in die Werbung per E-Mail werden im Internet eingeholt. Dies geschieht in aller Regel über Web-Formulare. Eine neue Orientierungshilfe der Datenschutzbehörden gibt Anlass, auf ein paar rechtliche Aspekte hinzuweisen. Von Dr. Martin Schirmbacher, HÄRTING Rechtsanwälte.
Der Düsseldorfer Kreis ist der Zusammenschluss der Aufsichtsbehörden für den Datenschutz im privatwirtschaftlichen Bereich. Dieser hat im März eine Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen veröffentlicht. Wenngleich das Papier in erster Linie Papierformulare im Blick hat, gibt es doch auch ausdrückliche Hinweise für die Datensammlung in Online-Formularen. Eine solche Meinungsäußerung kann geltendes Recht nicht ändern und ist auch nicht verbindlich. Sie gibt aber Unternehmen eine Hilfestellung bei schwierigen datenschutzrechtlichen Fragestellungen und zeigt zugleich, welche Aspekte den Behörden besonders wichtig ist.
Datenschutzrechtliche Einwilligung ist nicht gleich Datenschutzerklärung
Noch immer geht es bei den Begrifflichkeiten zu oft durcheinander. Eine datenschutzrechtliche Einwilligung ist die Erklärung des Nutzers, mit einer bestimmten Verwendung seiner personenbezogenen Daten einverstanden zu sein. Eine Datenschutzerklärung ist dagegen die Erklärung des Unternehmens, die Daten in einer bestimmten Weise (und nicht anders) verwenden zu wollen. Dies sollte sich auch in der Begrifflichkeit auf der Website wiederfinden.
Eindeutige Formulierungen
Zurecht weisen die Datenschützer darauf hin, dass sich das schon in den Überschriften deutlich werden muss. Gibt es überhaupt eine Überschrift sollte diese „Einwilligung“ oder „Datenschutzrechtliche Einwilligungsklausel“, nicht aber „Datenschutzerklärung“ oder „Hinweis zum Datenschutz“ lauten.
Auch der Einwilligungstext selbst muss eindeutig formuliert sein. Es muss eine Erklärung des Nutzers sein, nicht eine Erläuterung. In Ordnung ist daher: „Ich bin einverstanden, dass…“ oder „Ich willige ein, dass …“. Nicht ausreichend ist es dagegen, wenn formuliert wird: „Mir ist bekannt, dass …“.
Bei der Einwilligung in das E-Mail-Marketing muss es sich um ein echtes Opt-in handeln. Schon das Gesetz gegen unlauteren Wettbewerb verlangt eine ausdrückliche Einwilligung. Eine vorangekreuztes Häkchen genügt dem nicht.
Platzierung
Die Einwilligung in die Werbung per E-Mail muss mit Absendung des Formulars erfolgen. Der Einwilligungstext sollte daher auch in unmittelbarer Nähe des Formulars befinden. Nicht ausreichend ist es beispielsweise, wenn die Einwilligung in den AGB versteckt wird. Soll eine datenschutzrechtliche Einwilligungserklärung ausnahmsweise doch in andere Erklärungen eingebettet werden, muss sie dort hervorgehoben werden. Die Datenschützer geben dafür verschiedene Möglichkeiten an: Fettdruck, Schriftart oder Schriftgröße, farbliche Gestaltung der Schrift oder des Hintergrundes oder eine Umrahmung der Erklärung.
Zusätzliche Datenschutzerklärung
In jedem Fall erforderlich ist eine zusätzliche Datenschutzerklärung. § 13 Absatz 1 des Telemediengesetzes (TMG) verlangt eine Aufklärung über die Art der erhobenen Daten und den genauen Umgang damit. Werden daher E-Mail-Adressen für Werbezwecke gesammelt, muss das dem Nutzer mitgeteilt werden.
Außerdem muss auf die Widerrufsmöglichkeit hingewiesen werden. Die Einwilligung kann jederzeit – mit Wirkung für die Zukunft – widerrufen werden. Darüber ist der Nutzer zu informieren. Weil diese Information dauerhaft abrufbar sein muss, sollte sie in die Datenschutzerklärung aufgenommen werden, die über die Website abrufbar ist.
Auch sollte die Einwilligung protokolliert werden. Hierzu muss sich insbesondere rekonstruieren lassen, welcher Einwilligungstext im Zeitpunkt der Einwilligung auf der Website fand.
Verschlüsselung?
Ein Thema, das in der Ausarbeitung der Datenschutzbehörden ausgespart bleibt, ist der Punkt Verschlüsselung von Web-Formularen. Immer wieder machen Meldungen die Runde, dass mit Abmahnungen rechnen müsse, wer auf eine SSL- bzw TLS-Verschlüsselung von Online-Formularen verzichte, mit denen personenbezogene Daten erhoben werden.
Wie immer bei Warnungen vor Abmahnungen ist jedoch ein wenig Vorsicht angebracht. Es ist keineswegs so, dass es in nennenswertem Umfang Abmahnung gibt, weil es an einer Verschlüsselung von Webformularen fehlt. Zum einen ist noch offen, ob es überhaupt eine Verschlüsselungspflicht gibt. Und zum anderen ist mehr als fraglich, ob Wettbewerber einen solchen Verstoß mit Erfolg abmahnen könnten.
Zutreffend ist aber, dass die Datenschützer in Bayern in der Vergangenheit angekündigt haben, gegen unverschlüsselte Webformulare vorzugehen. Dabei beruft sich die Behörde auf § 13 Absatz 7 TMG. Danach haben Website-Betreiber „soweit dies technisch möglich und wirtschaftlich zumutbar ist … durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die technische Infrastruktur möglich ist. Außerdem bedarf es eines Schutzes gegen Datenschutzverletzungen und auch gegen Störungen, die auf Angriffen von außen beruhen. Maßgabelich ist dabei der Stand der Technik. In Satz 3 wird dann ausdrücklich auf „als sicher anerkannte Verschlüsselungsverfahren“ Bezug genommen.
Technisch möglich ist der Einsatz eines Verschlüsselungsverfahrens allemal. Fraglich ist, ob sein Einsatz auch wirtschaftlich zumutbar ist. Hierbei kommt es auf den Einzelfall an. Je sensibler die abgefragten Daten sind, umso eher sind auch höhere Kosten zumutbar. Je umsatzstärker das Unternehmen ist, umso eher sind Kosten für eine Verschlüsselung zumutbar.
Ob die Datenschutzbehörden sich tatsächlich auf den Standpunkt stellen, dass auch bei der bloßen Übermittlung von E-Mail-Adressen eine Verschlüsselung notwendig ist, ist nicht bekannt. Zu beachten ist dabei sicherlich, dass die anschließende werbende Kommunikation auch unverschlüsselt erfolgt. Andererseits sind die Kosten eben auch für kleinere Unternehmen in der Regel tragbar.
Immerhin drohen Bußgelder; theoretisch in Höhe von bis zu 50.000,- Euro. Insofern sollte – wer es nicht darauf ankommen lassen möchte – auch bei Online-Formularen, mit denen Adressen für das E-Mail-Marketing abgefragt werden, eine Verschlüsselung einführen.
Fazit
Formulare zur Newsletter-Einwilligung sind leicht erstellt. Die Anforderungen, die die Datenschutzbehörden stellen, sind vergleichsweise einfach einzuhalten. Einzig die Verschlüsselung mag für das eine oder andere Unternehmen eine Hürde darstellen.
Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht in der auf Medien und Technologie spezialisierten Kanzlei HÄRTING Rechtsanwälte und Autor des Buches Online-Marketing und Recht. Seinen Blog zum Recht im Online Marketing finden Sie unter www.online-marketing-recht.de. Nähere Angaben zu seiner Person gibt es unter http://www.haerting.de/de/team/dr-martin-schirmbacher.