Um den Mai 2018 wiederholten sich scheinbar unendliche E-Mails, die den Empfänger zur Abgabe einer Einwilligung zwecks weiterer Kontaktaufnahme aufforderten. Unzählige Unternehmen sprangen auf den Zug auf, um im Rahmen der aufkommenden DSGVO mehr oder weniger sämtlichen Kontakten erstmalig oder vorsorglich erneut eine datenschutzkonforme Einwilligung abzuringen. Bei Vielen dürfte sich schnell Ernüchterung angesichts der wenigen Rückmeldungen eingestellt haben. Was also tun? Ein Blick nach Österreich zeigt, dass ein einfach weiter Machen rechtlich keine Lösung ist.
Die Datenschutzbehörde unserer südlichen Nachbarn entschied über eine Beschwerde und stellte fest, dass der betroffene Empfänger dadurch im Grundrecht auf Datenschutz verletzt wurde, als ihm nach der Re-Opt-In-Aufforderunge eine Werbe-E-Mail übersandt wurde, obwohl keine Einwilligung hierzu vorlag (GZ: DSB-D130.033/0003-DSB/2019 vom 7.3.2019).
Worum ging es?
Die Beschwerdegegnerin, ein Unternehmen mit Niederlassung in den USA und einer Vertretung mit Sitz in den Niederlanden, sendete dem in Österreich wohnhaften Beschwerdeführer eine E-Mail mit der Bitte um Einwilligung zur weiteren Kontaktaufnahme. Obwohl Letzterer dieser Bitte nicht nachging und keine entsprechende Einwilligung abgab, schickte ihm das Unternehmen zwei Monate später eine E-Mail zu Werbezwecken.
Der betroffene Empfänger wendete sich daraufhin an die Datenschutzbehörde in Österreich, um feststellen zu lassen, dass das werbende Unternehmen durch das Senden diese Werbe-E-Mail ohne seine vorherige Einwilligung seine Daten rechtswidrig verarbeite und somit sein Grundrecht auf Datenschutz verletze.
Nur am Rande ging es um die Frage, wie das Unternehmen an die Kontaktdaten gelangte. Scheinbar hatte sich der betroffene Empfänger bereits 2014 zur Teilnahme an einer Marketingveranstaltung des Unternehmens angemeldet.
Maßgebliches Recht
Die Behörde stellte zunächst fest, dass die Zulässigkeit einer Zusendung von E-Mail-Werbung nicht nach der DSGVO, sondern nach den Umsetzungsnormen von Art. 13 Abs. 1 der e-Datenschutzrichtlinie zu messen ist. In Deutschland ist das Art. 7 Abs. 2 Nr. 3 UWG und in Österreich § 107 Abs. 1 TKG 2003. Den europäischen Vorgaben entsprechend gehen beide Normen gleich und verlangen eine vorherige Einwilligung für den Versand von Werbe-E-Mails. Daran habe sich auch durch die DSGVO nichts geändert. Dies ergäbe sich aus Art. 95 DSGVO:
„Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“
Trotzdem konnte der Betroffene eine Datenschutzbeschwerde gemäß Art. 77 Abs. 1 DSGVO einlegen, da in dem Verstoß gegen das TKG 2003 bzw. die e-Datenschutz-RL „gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG und auch eine Verletzung jener Bestimmungen der DSGVO vorliegen [kann], die dem Verantwortlichen keine zusätzlichen Pflichten iSv Art. 95 DSGVO auferlegen“.
Anders gesagt, E-Mail-Werbung ohne Einwilligung ist und war auch ohne DSGVO regelmäßig ein Rechtsverstoß. Im Rahmen einer Beschwerde gegenüber der Aufsichtsbehörde muss die betroffene Persone aber eine Verletzung von Datenschutzregeln geltend machen. Die Datenschutzbehörde stellt hier nun fest, dass dies zusätzlich der Fall sein kann. Dabei wird es nicht darauf ankommen, welche Normen eine betroffene Person als verletzt ansieht, solange eine Verletzung ihrer Datenschutzrechte vorliegt. In Österreich heißt das „sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG führen kann.“
Was ist mit „Grundrecht auf Datenschutz“ gemeint?
Laut Datenschutzbehörde ergebe sich aus der DSGVO allgemein ein Grundrecht auf Datenschutz. Die Verordnung stehe zudem in einem engen Verhältnis zu Art. 8 Abs. 1 der EU-GRC. Dies ergebe sich aus dem Erwägungsgrund 1 der DSGVO: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union […] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
Daher könne der Beschwerdeführer bei dem vorliegenden internationalen Sachverhalt sein Beschwerderecht nach Art. 77 Abs. 1 DSGVO neben der Geltendmachung der Verletzung von Betroffenenrechten nach Kapitel III DSGVO zusätzlich auch auf § 1 Abs. 1 DSG iVm Art. 8 Abs. 1 EU-GRC stützen.
Da die DSGVO auch Private direkt verpflichten kann, geht die Datenschutzbehörde zudem davon aus, dass dem Grundrecht auf Datenschutz eine sogenannte Horizontalwirkung zukommt. Betroffene können folglich auch gegen private Rechtsträger eine Beschwerde nach Art. 77 Abs. 1 DSGVO einbringen und diese Beschwerde auf eine Verletzung von Art. 8 Abs. 1 EU-GRC stützen.
Wie entschied die Datenschutzbehörde über die Rechtmäßigkeit der Verarbeitung?
Nach Art. 13 Abs. 1 der e-Datenschutz-RL ist vor dem Versand von elektronischer Post eine Einwilligung der betroffenen Person einzuholen. Die Richtlinie selbst enthält dazu keine näheren Erläuterungen oder Bestimmungen. Sie verweist jedoch hinsichtlich des Begriffes der „Einwilligung“ auf die Richtlinie 95/46/EG (Datenschutz-Richtlinie) und somit nach ihrer Abschaffung und der Einführung der DSGVO gemäß Art. 94 Abs. 2 DSGVO auf Art. 4 Nr. 11 DSGVO.
Danach ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Eine solche Einwilligung für den Erhalt von E-Mails zu Werbezwecken wurde vom Beschwerdeführer nicht erteilt, sodass im Ergebnis die personenbezogenen Daten des Beschwerdeführers in Form seiner E-Mail-Adresse unrechtmäßig verarbeitet wurden. Folglich liegt eine Verletzung von § 1 Abs. 1 DSG iVm Art. 8 Abs. 1 EU-GRC vor und die Beschwerde hatte Erfolg.
Eine alternative Rechtfertigung (etwa mit berechtigten Interessen) sieht die Behörde als ausgeschlossen an.
Fazit
Aus einem vergleichsweise einfachen Sachverhalt zaubert die Behörde eine schwerwiegende Begründung zur Festellung der Rechtsverletzung. Offenbar tat sich die Behörde in Österreich schwer damit, eine eigene Zuständigkeit einfach zu begründen. In Deutschland würden die Datenschutzbehörden wohl weniger Begründungsaufwand betreiben.
Die Behörde bestätigt, was vielfach bereits vertreten wurde:
- Die zulässige Versendung einer Werbe-E-Mail bestimmt sich nach § 7 Abs. 2 Nr. 3 UWG (= Opt-In-Pflicht). Die DSGVO hat insofern keine neue Rechtslage geschaffen.
- Wer kein Opt-In nachweisen kann, lebt gefährlich mit Re-Opt-In-Kampagnen. Denn bereit die E-Mail mit der Opt-In-Nachfragen ist unzulässig
- Wer ein Opt-In nachweisen kann, benötigt kein Re-Opt-In
- Die Verarbeitung von Kontaktdaten für die Versendung von Werbe-E-Mails unterliegt der DSGVO. Sofern es an der Rechtfertigung für die Erhebung, Speicherung und weitere Verwendung der E-Mail-Adressen fehlt, liegt auch eine Datenschutzverletzung vor. Hierzu ist eine Beschwerde bei der zuständigen Aufsichtsbehörde möglich.
- Wer ein Re-Opt-In anfragt und keine Reaktion erhält, für den sind die betroffenen E-Mail-Adressen verbrannt und es muss eine sofortige Löschung erfolgen.