Modernes Newsletter-Marketing versucht, die Kunden zielgenau anzusprechen. Geschieht die Selektion der Empfänger für einen konkreten Newsletterinhalt dabei ohne Einwilligung der Betroffenen, kann das einen DSGVO-Verstoß darstellen. Aktuelle Beispiele zeigen, dass sich die Datenschutzaufsichtsbehörden sehr für das Thema interessieren. Wichtig ist, das Thema vorab zu erkennen und zu prüfen, ob und wenn ja wie eine Einwilligung der Betroffenen in das Werbescoring eingeholt werden kann.
Jüngere Bußgelder von Datenschutzaufsichtsbehörden zur Werbeselektion haben ein vergleichsweise altes Thema wieder auf die Agenda in Marketingabteilungen gehoben. Die Landesdatenschutzbehörde in Niedersachsen hat gegen eine Bank ein Bußgeld in Höhe von 900.000,- Euro verhängt, weil die Daten aktiver und ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet und mit Daten einer Wirtschaftauskunftei angereichert wurden, um die Kunden gezielt werblich anzusprechen. Die britische Aufsichtsbehörde ICO hat gegen einen Händler von Medizinprodukten ein Bußgeld von 1,35 Mio Pfund verhängt, weil dieser Bestandsdaten gezielte für die Bewerbung seiner Produkte ausgewertet hatte. Das ist lediglich die Spitze des Eisbergs. In der Praxis ist der Beratungsbedarf groß – das Risiko auch nicht vernachlässigbar.
Worum geht es?
Werbescoring ist die Individualisierung von Werbung zum Beispiel im Newsletter anhand von Informationen über die Adressaten. Die Individualisierung kann dabei einerseits die Auswahl der richtigen Abonnenten für einen bestimmten Inhalt betreffen und andererseits in der Personalisierung des Newsletters selbst bestehen. Die Grenzen verschwimmen allerdings.
Rechtlich gibt es dabei eine Vielzahl von Themenkomplexen zu beachten:
- Zum einen müssen natürlich die Daten DSGVO-konform erhoben werden.
- Bei online auf der Website oder der Nutzung des Newsletters erhobene Tracking-Daten stellt sich die Frage nach der Notwendigkeit einer Cookie-Einwilligung.
- Die Selektion zu Werbezwecken muss schon bei Erhebung der Daten mitgedacht werden. Anderenfalls kann das eine Zweckänderung sein.
- Außerdem braucht es eine Rechtsgrundlage für die einzelnen Verarbeitungsphasen: Schwierig und nur im Einzelfall zu entscheiden ist vor allem, ob die Werbeselektion einer Einwilligung bedarf.
- Die Informationspflichten nach Art. 13 DSGVO sind einzuhalten.
- Wie immer müssen ausreichende technische und organisatorische Maßnahmen eingehalten und die einzelnen UseCases dokumentiert werden.
Transparenz ist wichtig
Es empfiehlt sich, die Nutzung der erhobenen Daten zu Werbezwecken schon bei Erhebung transparent zu machen und die Betroffenen entsprechend zu informieren. Eine spätere Zweckänderung ist nicht ausgeschlossen, aber muss gesondert gerechtfertigt werden.
Gespenst Art. 22 DSGVO
Auch wenn dies vor allem von den Datenschutzaufsichtsbehörden teilweise anders gesehen wurde: Profiling für die Werbung ist kein Fall von Art. 22 Abs. 1 DSGVO. Die Vorschrift gilt nur für (automatisierte) Entscheidungen, die gegenüber dem Betroffenen rechtliche Wirkung entfalten oder diesen in ähnlich erheblicher Weise beeinträchtigen. Mit der (Nicht-) Auslieferung von Werbung ist keine Entscheidung verbunden, ob mit dem Adressaten der Werbung ein konkreter Vertrag geschlossen werden soll oder nicht. Deshalb ergibt sich aus Art. 22 DSGVO keine Einwilligungsbedürftigkeit.
Braucht es für die Selektion einer gesonderten Einwilligung?
Bekanntlich braucht die Werbung per E-Mail einer Einwilligung des Empfängers. Davon regelmäßig nicht umfasst ist aber die Nutzung vorhandener Daten zu Selektionszwecken. Es stellt sich also die Frage, ob hier eine Einwilligung einzuholen ist, die auch diesen Aspekt umfasst.
Die Datenschutzbehörden sind beim Profiling sehr streng. Aus der aktuellen Orientierungshilfe zur Datenverarbeitung für Werbezwecke ergibt sich, dass ein Werbescoring lediglich anhand eines Merkmals noch zulässig sein soll. Eingriffsintensivere Maßnahmen wie „automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen,“ bedürften dagegen regelmäßig einer Einwilligung. Die Behörden gehen davon aus, dass die Betroffenen „in der Regel“ nicht damit rechneten, dass mehr als ein Selektionskriterium für die Aussteuerung von Werbung zum Einsatz komme.
Diese Auslegung lässt sich mit der DSGVO kaum vereinbaren. Klar ist, dass eine Werbeselektion grundsätzlich auch ohne Einwilligung zulässig sein muss. Art. 21 Abs. 2 2. Hs. DSGVO sieht für das Profiling explizit ein Widerspruchsrecht vor. Schon hieraus lässt sich schließen, das Profiling – insbesondere ein solches zu Werbezwecken – grundsätzlich ohne Einwilligung des Betroffenen möglich sein muss. Richtig ist aber auch, dass nicht jedes Profiling ohne Einwilligung der Betroffenen zulässig ist. Insbesondere wenn sich aus der Werbung (bzw. als Folge der Selektion) Rückschlüsse auf die umworbene Person ziehen lassen, wenn diese also zum vielbeschworenen gläsernen Kunden wird, ist die Grenze erreicht, in deren sich ein Werbescoring mit berechtigten Interessen nicht mehr rechtfertigen lässt und eine Einwilligung erforderlich ist.
Wo liegt die Grenze?
Wann genau diese Grenze erreicht ist, ist für jeden einzelnen Usecase anhand einer Interessenabwägung zu ermitteln. Dabei sind die Kriterien, die für eine Zulässigkeit der Nutzung der Informationen sprechen und solche, die dagegen sprechen, miteinander abzuwägen.
Starre Kriterien lassen sich kaum finden. In aller Regel wird aber eine Selektion anhand besonderer Kategorien personenbezogener Daten (etwa Gesundheitsdaten) unzulässig sein. Das Erstellen von Werbeprofilen zu minderjährigen Betroffenen sollte generell tabu sein.
Daneben kommen eine Vielzahl von Kriterien in Betracht:
- Anzahl der Datenfelder
- Herkunft der Daten (eigene Quellen vs. Fremddaten)
- Medienbrüche
- Negative Kriterien vs. positive Kriterien
- Art der verwendeten Informationen
Die Abwägung im Einzelfall ist schwierig und muss gut begründet werden.
…und wenn eine Einwilligung eingeholt werden muss?
Soll eine Einwilligung eingeholt werden, ist zwischen der Einwilligung in die Werbung poer E-Mail und die datenschutzrechtliche Einwilligung in das Profiling zu unterscheiden. Es spricht aber alles dafür, dass diese beiden Einwilligungen gemeinsam eingeholt werden können. Wer seine Einwilligung in einen personalisierten Newsletter erteilt, tut dies freiwillig.
Bei der Formulierung der Einwilligungserklärung sollte sorgsam gearbeitet werden. Zum Beispiel sollte darauf geachtet werden, dass auch bei Nichterteilung der Einwilligung Raum für eine „Minimal-Profilbildung“ bleibt und nicht die Nichterteilung der Einwilligung als Opt-out zu werten ist.
Dokumentation ist wichtig!
Wichtig ist, dass die konkrete Art und Intensität des Profilings dokumentiert wird. Jeder einzelne Usecase sollte beschrieben und kurz dargelegt werden, auf welcher Rechtsgrundlage die Verarbeitung der Daten erfolgt und warum (im Falle der Rechtfertigung mit berechtigten Interessen) die Abwägung zu Gunsten des Werbenden ausgeht.
In einem Webinar haben wir erläutert, welche Aspekte bei der Personalisierung von Werbung (hier nachzuhören) beachtet werden müssen und wie die Abwägung im Einzelfall aussehen kann.