Stichtag 25. Mai 2018: Die große Re-Opt-in-Kampagne

Täglich landen derzeit in all unseren Inboxes Bitten um eine erneute Bestätigung einer einmal erteilten Werbeeinwilligung. Auch Anwaltskanzleien verschicken munter Re-Opt-in-E-Mails, sogar an Journalisten. Doch ist das wirklich erforderlich? Und was hat das mit dem 25. Mai zu tun?

Hintergrund dieser E-Mails sind die horrenden Strafdrohungen, die die Datenschutzgrundverordnung mit sich bringt, die am 25. Mai wirksam wird. Danach wird mit bis zu 20 Millionen Euro Bußgeld bestraft, wer personenbezogene Daten ohne die nötige Rechtfertigung verarbeitet. Bei großen Unternehmen erhöht sich der Bußgeldrahmen auf bis zu 4 % des weltweiten Jahresumsatzes. Diese Zahlen veranlassen offenbar viele Unternehmen dazu, ihre bisherigen Opt-ins zu überdenken und zur Sicherheit neu einzuholen. Schließlich ist die Nutzung einer E-Mail-Adresse zum Zwecke der Übersendung von Werbung auch eine Verarbeitung personenbezogener Daten, die der Rechtfertigung bedarf.

Alteinwilligungen erlöschen nicht
Allerdings liegt die Rechtfertigung ja in der Regel schon vor, weil die Empfänger in der Vergangenheit ein Opt-in erklärt haben. Dass Einwilligungen nicht durch reinen Zeitablauf erlöschen, hat der BGH gerade erst entschieden.

Außerdem enthält die DSGVO einen Passus, aus dem sich die Fortgeltung von Einwilligungserklärung unmittelbar ergibt. In Erwägungsgrund (171) heißt es, dass in der Vergangenheit erteilte Einwilligungen unter der DSGVO fortgelten, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht. Dies zeigt, dass man sich auf Alteinwilligungen auch dann berufen kann, wenn sie nicht zu 100 % der DSGVO entsprechen. Es genügt, wenn sie dies der Art nach tun.

Der Düsseldorfer Kreis, der Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, hat in seiner ersten offiziellen Stellungnahme zur DSGVO denn auch festgehalten, dass Einwilligungen, die BDSG-konform eingeholt wurden, grundsätzlich fortgelten. Ausnahmen bestünden nur, wenn die Einwilligung gegen das neue Kopplungsverbot verstößt oder sich gezielt an Minderjährige richtet. Dies ist zum Teil auf Kritik gestoßen, weil etwa auch die Widerrufsbelehrung zu einer wirksamen Einwilligung gehöre. Doch auch hierzu gibt es inzwischen anderweitige Verlautbarungen von Behörden. Dass kein expliziter Hinweis auf das Widerrufsrecht gegeben wurde, hindert die Wirksamkeit der Einwilligung nicht. Dies gilt umso mehr, als dies ja für die Betroffenen ein positiver Umstand ist, der sie eher dazu ermutigen wird, ihre Einwilligungen zu erteilen.

Datenschutzrechtlicher Spielraum im E-Mail-Marketing
Gegen eine Neueinholung der Einwilligungen spricht auch, dass die DSGVO einigen Argumentationsspielraum für ein einwilligungsloses Direktmarketing bietet. Klar ist, dass die DSGVO die strengen Anforderungen an die Einwilligung nicht ändert. § 7 Abs. 2 UWG bleibt von der Datenschutzgrundverordnung unberührt.

Allerdings sind die Regelungen der DSGVO autonom aus Sicht des Europarechts und unabhängig vom UWG auszulegen. Nicht jeder UWG-Verstoß ist automatisch ein Datenschutzverstoß und umgekehrt. Nach der DSGVO lässt sich eine Datenverarbeitung auch mit berechtigten Interessen des Unternehmens rechtfertigen, solange entgegenstehende Interessen des Betroffenen nicht überwiegen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Natürlich kann dies das grundsätzliche Einwilligungserfordernis nicht überrunden. Wer jedoch in der Vergangenheit ein – wie auch immer geartetes – Opt-in erteilt und seitdem regelmäßig Newsletter erhalten hat, hat allen Grund anzunehmen, dass dies auch weiterhin so sein wird. Entgegenstehende Interessen der Empfänger überwiegen jedenfalls nicht. Auch bei E-Mails, die bisher als Pressemitteilungen versendet worden sind, wird der Empfänger vernünftiger Weise davon ausgehen können, dass dies auch in Zukunft so sein wird. Insofern mag in der Aussendung jetzt wie später ein UWG-Verstoß liegen, ein Verstoß gegen die DSGVO ist damit nicht notwendig verbunden.

Wer fragt, muss auch ein Nein akzeptieren
Viele E-Marketer, die sich ungeachtet dessen für eine Re-Opt-in-Kampagne entscheiden, werden feststellen, dass auch die am schönsten formulierten Bitten um ein erneutes Opt-in zum besten Versandzeitpunkt mit der tollsten Betreffzeile nicht wirklich gut konvertieren. Conversions von unter 20 % sind eher die Regel, denn die Ausnahme.

Wer allerdings zu erkennen gibt, dass er selbst meint, kein ausreichendes Opt-in zu haben, kann anschließend schlecht behaupten, die alten Einwilligungen seien dennoch gültig. Eine Weiternutzung des alten Verteilers ist nach der Re-Opt-in-Kampagne also unter Umständen deutlich riskanter, als hätte es die Bitte mit der Bestätigung nicht gegeben. Genügt die alte Einwilligung nicht den Anforderungen der DSGVO, besteht ohne die Nachfrage immerhin die Möglichkeit, mit berechtigten Interessen des Unternehmens und den vernünftigen Erwartungen des Nutzers zu argumentieren. Nutzer die auf eine Nachfrage, ob sie weiterhin Werbung erhalten wollen, nicht reagiert haben, können dagegen vernünftiger Weise nicht damit rechnen, weiter Werbung per E-Mail zu erhalten.

Jeder, der um Einwilligungen bittet, muss also mit der Konsequenz des deutlich dezimierten Verteilers leben. Ein kleiner Trick mag sein, die erbetene neue Einwilligung weiter zu fassen, als das alte Opt-in. Hier kann man immerhin argumentieren, dass die Alteinwilligung davon unberührt bleiben sollte. Das lässt sich aber allenfalls bei einer sehr sorgfältigen Formulierung vertreten.

Opt-out-Möglichkeit nutzt nichts
Vereinzelt zu sehen sind E-Mails, die den Nutzern ein Opt-out anbieten („Sie brauchen nichts zu tun, nur wenn unsere Nachrichten nicht mehr erhalten wollen, klicken Sie jetzt hier.“). Das notwendige Opt-in ist das jedoch gerade nicht. Dies gilt für das strenge Erfordernis einer ausdrücklichen Einwilligung nach UWG sowieso. Doch auch datenschutzrechtlich wird sich kaum argumentieren lassen, die Nutzer hätten bewusst auf die E-Mail nicht reagiert und damit eine Einwilligung erteilt. Wer nichts tut, sagt in der Regel nicht „Ja, ich will!“.

Auch die Re-Opt-in-E-Mail ist Werbung
Hinzu kommt, dass natürlich auch die Re-Opt-in-E-Mail Werbung ist, die auch nach geltendem Recht einer Einwilligung bedarf. Jede Bitte um ein Opt-in ist damit jedenfalls wettbewerbswidrig versendete Werbung per E-Mail ohne Einwilligung, also Spam, wenn tatsächlich zuvor kein hinreichendes Opt-in vorlag. Insofern muss jedenfalls mit Abmahnungen rechnen, wer jetzt noch schnell Re-Opt-in-Kampagnen fährt.

Ganz Europa schüttelt den Kopf
Fragt man Rechtsanwaltskollegen außerhalb Deutschlands, ob man etwa E-Mail-Adressen, die nicht per Double-Opt-in verifiziert wurden, nun noch einmal per Re-Opt-in bestätigen lassen sollte, erntet man erstaunte Blicke. Das Double-Opt-in-Verfahren ist eine deutsche Besonderheit, die der Abmahnunsitte in Deutschland geschuldet ist. Im Ausland ist DOI noch immer weitgehend unbekannt. Dementsprechend fällt der Ratschlag häufig auch eindeutig aus: Liegt ein Opt-in vor, braucht es keine neue Opt-in-Kampagne.

Wenn schon denn schon?
Wer sich für eine Neueinholung von Opt-ins entscheidet, steht vor der Frage, ob erneut ein vollständiges Double-Opt-in-Verfahren durchlaufen werden muss. Alternativ kann lediglich eine E-Mail versendet werden, in der der Einwilligungstext eingebunden ist und durch einen Klick auf einen Link verifiziert werden muss. Vereinzelt wird dazu geraten, einfach auf die Landingpage zum Opt-in zu verlinken und das gesamte Verfahren inklusive Check-E-Mail erneut durchlaufen zu lassen. Begründet wird dies damit, dass es sich das Unternehmen nicht einfacher machen dürfe, als habe der Kontakt zu dem Empfänger zuvor noch nicht bestanden.

Dies lässt sich aber kaum begründen. Die Check-Mail und der anschließende Klick im Double-Opt-in-Verfahren dienen allein dazu, Einwilligenden und E-Mail-Adresse miteinander zu verbinden. Es geht darum, die E-Mail-Adresse zu verifizieren, um zu verhindern, dass E-Mail-Adressen unbeteiligter Dritter eingetragen und anschließend mit Werbung versorgt werden. Dieser Schritt ist aber nicht nötig, wenn die E-Mail-Adresse schon verifiziert ist, weil lediglich aus der E-Mail heraus das Opt-in erklärt werden kann. Insofern genügt es jedenfalls, das erneute Opt-in über einen Link in der Re-Opt-in-Mail einzuholen.

Außerdem ist nicht zwingend, den gesamten Verteiler einheitlich zu re-verifizieren. Liegt das Problem mit den Alteinwilligungen beispielsweise allein darin, dass kein DOI durchgeführt wurde, geht es also allein um die Verifizierung der E-Mail-Adresse, müssen die Empfänger, die aus dem Newsletter bestellt oder interagiert haben, nicht noch einmal verifiziert werden. Je nach Konstellation ist die Bestätigung der E-Mail-Adresse dann bereits erfolgt.

Fazit

Die große DSGVO-Hektik unter der E-Mail-Marketers ist nur zum kleinen Teil gerechtfertigt. Wer bisher ordentliche Opt-ins eingeholt hat, muss seinen Verteiler nicht dadurch dezimieren, dass alle Empfänger um ein erneutes Opt-in gebeten werden.

Wer aber Re-Opt-in-Kampagnen fährt, muss konsequent sein und darf unabhängig von der Responsequote nicht dennoch seinen alten Verteiler weiterbedienen. Anders lässt sich das nur argumentieren, wenn die erbetene neue Einwilligung weiter geht, als das frühere Opt-in

Der RSS-Feed für Kommentare zu diesem Artikel. Die TrackBack URI dieses Artikel.

4 comments

  1. Simon says:

    Hallo,

    vielen Dank für diesen sehr informativen Text!

    Eine Nachfrage habe ich aber: Wie sind Newsletter-Einwilligung zu behandeln, die zwar gegen das Kopplungsverbot verstoßen, aber bereits vor dem 25.05.2018 eingeholt wurden? Ich meine also Abonnenten, die sich korrekt über das DOI Verfahren für ein Freebie entschieden haben und in der Folge einen Newsletter erhalten, der thematisch zu diesem Freebie passt.

    Viele Grüße
    Simon

  2. Die Vermutung, dass Alteinwilligungen, die BDSG-konform waren, auch mit der DSGVO im Einklang stehen, gilt in der Tat nicht, wenn die an einen Vertragsschluss gekoppelt waren. Dann muss jeweils geprüft werden, ob die Einwilligung so nach der DSGVO eingeholt werden hätten können.
    Da bin ich in Ihrem Fall optimistisch. Die DSGVO verbietet die Kopplung nicht schlechterdings, sondern nur als Ausfluss des Freiwilligkeitsgebots. Ein Freebie muss man sich nicht runterladen, bei einer transparenten Kopplung halte ich das daher auch für mit der DSGVO vereinbar. Und damit gelten die Einwilligungen auch in diesem Fall weiter. Notwendig ist aber in der Tat eine Einzelfallprüfung.

  3. Simon says:

    Das klingt unmittelbar nachvollziebar. Vielen Dank für die kompetente Antwort!

    Doch gleichzeitig ist es doch erschreckend zu sehen wie viele E-Mail-Marketer sich derzeit im vorauseilenden Gehorsam um die Früchte ihrer langjährigen Arbeit bringen.

    Ich kenn Fälle bei denen durch die unnötigen Re-Optin-Kampagnen rund 80% der Email-Liste verloren ging…

    • Und ich kenne Fälle, wo man bei 12 % liegt und deshalb beschlossen hat, einfach doch mit dem gesamten Verteiler weiter zu machen. Das ist ungefähr das Dümmste, was man machen kann… Dann gibt es sicher keine Mögichkeit, sich aus der DSGVO noch herauszumogeln und zudem hat man es mit verärgerten Kunden/Empfängern zu tun.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.