E-Mail-Marketing-Recht & Datenschutz: Drei große Irrtümer
Gastbeitrag von Sabine Heukrodt-Bauer
Seit Geltung der Datenschutzgrundverordnung (DSGVO) sind das EMail-Marketing und die Leadgenerierung für Marketiers nicht gerade einfacher geworden.
Es stellen sich jetzt Fragen wie "Über welchen Kanal darf ich den Lead kontaktieren?", "Darf ich das Klickverhalten speichern?" oder "Welche Daten kann ich für unser E-Mail-Marketing nutzen?" Kompliziert ist es auch, weil nicht nur das Datenschutzrecht zu beachten ist, denn parallel dazu gelten für deutsche Unternehmen außerdem das Gesetz gegen den unlauteren Wettbewerb (UWG) sowie das Bürgerliche Gesetzbuch (BGB) weiter. Die Konsequenzen bei Verstößen sind dabei ganz unterschiedlich: Wer unbefugt Daten verarbeitet, unzulässige E-Mails verschickt oder unerlaubt Werbeanrufe tätigt, dem drohen nicht nur Bußgelder der Datenschutzbehörden nach der DSGVO wegen unzulässiger Datenverarbeitung. Er könnte auch unter anderem von Mitbewerbern, Abmahnvereinen oder Verbraucherschutzverbänden wettbewerbsrechtlich abgemahnt werden. Hinzu kommt, dass die Empfänger der E-Mails oder die Angerufenen ebenfalls zivilrechtlich Unterlassung verlangen und kostenpflichtig abmahnen können. Dabei stellen wir in der täglichen Beratungspraxis immer wieder fest, dass rechtlich im E-Mail-Marketing immer wieder dieselben Irrtümer bestehen:
Irrtum 1: Firmendaten können einfach gespeichert und genutzt werden
Das ist falsch. Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Dazu gehören zwar nach Art. 1 DSGVO und Erwägungsgrund 14 DSGVO nicht die Daten einer juristischen Person an sich (Beispiel: Name und Adresse der Beispielsfirma XY GmbH). Allerdings unterscheidet die Verordnung nicht zwischen personenbezogenen Daten aus dem Bereich B2C (Business-to-Consumer) oder B2B (Business-to-Business). Damit können grundsätzlich auch Daten von geschäftlichen Kontakten personenbezogen sein. Es muss aber ein sog. Personenbezug gegeben sein, d. h. eine natürliche Person hinter den Daten stehen. Das ist insbesondere dann der Fall, wenn der Name einer Person in der EMailadresse verwendet wird.Irrtum 2: Bestandsdaten kann ich immer für Werbe-Mails nutzen
Das kommt darauf an. Die Verarbeitung von Daten zum Zwecke der Kontaktaufnahme zu einem Interessenten, Kunden oder sonstigen Geschäftspartner erfordert entweder eine gesetzliche Grundlage oder die vorherige Einwilligung des Betroffenen:(1) Zur Durchführung vorvertraglicher Maßnahmen auf eine Anfrage eines Interessenten hin oder zur Erfüllung eines Vertrags dürfen personenbezogene Daten bereits nach dem Gesetz verarbeitet werden, ohne dass es einer vorherigen Einwilligung des Betroffenen bedarf (Art. 6 Abs. 1 lit. b DSGVO
).
Beispiele:
- jemand fragt per E-Mail nach einem Angebot;
- über das Kontaktformular der Webseite wird ein Katalog bestellt;
- eine Bestellung aus dem Onlineshop wird abgewickelt und der Käufer erhält die Bestell-Eingangsbestätigung, Auftragsbestätigung oder Rechnung per E-Mail.
Hier muss der Betroffene nicht jeweils erst gefragt werden, ob er mit der Speicherung seiner Daten einverstanden ist, damit seine Anfrage beantwortet oder seine Bestellung bearbeitet werden kann. Allerdings dürfen die Kontaktdaten des Betroffenen nicht automatisch auch zu Werbezwecken gespeichert und später für die Leadgenerierung genutzt werden.
(2) Sollen Daten von Interessenten und Kunden darüber hinaus auch zu Werbezwecken genutzt werden, ist das nur mit einer speziellen Werbe-Einwilligung zulässig (Art. 6 Abs. 1 lit. a DSGVO ) oder es besteht ein überwiegendes berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO ):
Es gibt Fälle, in denen E-Mails ohne Einwilligung versendet werden dürfen. § 7 Abs. 3 UWG lässt das zum Beispiel unter bestimmten Voraussetzungen an Bestandskunden zu:
- Das Unternehme hat die Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden erhalten UND
- das Unternehmen verwendet die Adresse ausschließlich zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen UND
- der Kunde hat der Verwendung bislang nicht widersprochen UND
- der Kunde wurde bei Erhebung der Adresse auf die geplante Verwendung auch zu Zwecken der eigenen EMail-Werbung und die Widerspruchsmöglichkeit hingewiesen.
Wer aber Werbe-E-Mails an Interessenten verschicken will oder nicht alle Voraussetzungen für das Versenden von Mails an Bestandskunden nach § 7 Abs. 3 UWG erfüllt, muss dazu jeweils vorher eine Einwilligung einholen. Dafür bieten sich die Kontaktformulare oder Bestell- und Registrierungsformulare an, in denen jeweils eine eigene Checkbox mit einem entsprechenden Einwilligungstext eingefügt wird.
Irrtum 3: Tracking erfordert nach der neuen ePrivacy-Verordnung immer eine Einwilligung
Das ist falsch. Die ePrivay-Verordnung ist überhaupt noch nicht in Kraft getreten - und es wird offensichtlich auch noch ein bisschen dauern. Der Bundesverband Digitale Wirtschaft (BVDW) hat dazu eine sehr schöne Grafik zu den zeitlichen Abläufen erarbeitet, die ständig aktualisiert wird. Danach ist mit einem Inkrafttreten der E-Privacy-Verordnung nicht vor 2020 zu rechnen.Ob das Tracking des Öffnungs- und Klickverhaltens von E-Mail-Empfängern und das Speichern in einem Profil eine Einwilligung erfordert oder nicht, richtet sich daher aktuell ausschließlich nach den allgemeinen Regelungen in der DSGVO. Bei der Verarbeitung von Daten zu Werbezwecken kommt neben der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO grundsätzlich auch ein überwiegendes berechtigtes Interesse in Betracht (Art. 6 Abs. 1 lit. F DSGVO ).
Nach Meinung der DSK benötigt sowohl die Analyse des Öffnungs- und Klickverhaltens, als auch das darauf basierende Versenden von personalisierten E-Mails eine vorherige Werbe-Einwilligung des Empfängers. Die DSK hatte zum Tracking bereits am 26. April 2018 ein Positionspapier" veröffentlicht, wonach in diesen Fällen immer eine Einwilligung des Betroffenen benötigt wird. Auch in der schon oben erwähnen Orientierungshilfe heißt es unter Ziffer 1.3 zur Tracking-Thematik:
"Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, sprechen hingegen dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. In diesen Fällen handelt es sich um Profiling, dass nicht mehr auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht. Das Widerspruchsrecht des Art. 21 DSGVO reicht dann nicht aus."
Nach einer Gegenmeinung spricht jedoch auch viel dafür, die bloße Analyse des Öffnungs- und Klickverhaltensauch ohne Einwilligung zuzulassen:
- Die DSGVO erkennt in Art. 21 Abs. 1 und 2 DSGVO ausdrücklich an, dass "Profiling" zum Betreiben von Direktwerbung auch im Rahmen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann. Dort ist das Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen auf der Grundlage eines berechtigten Interesses geregelt und das "Profiling" wird dort explizit genannt.
- Die wirtschaftlichen Interessen eines Unternehmens und die damit zusammenhängenden Marketinginteressen sind außerdem nach Erwägungsgrund 47 DSGVO als ein berechtigtes Interesse anzuerkennen. Gleiches muss daher auch für das Ziel gelten, möglichst passgenaue und auf die Interessen des Empfängers ausgerichtete Werbebotschaften versenden zu können. Eine Abwägung mit den Interessen des Betroffenen ergibt dann, dass diesem eher nur solche Informationen zugeleitet werden, die seinen Interessen entsprechen, womit der Belästigungsfaktor niedrig gehalten wird. Außerdem ist das Speichern des Öffnungs- und Klickverhaltens für den Betroffenen in einem Dateiprofil nicht überraschend, insbesondere dann nicht, wenn über das Tracking in der Datenschutzinformation umfassend informiert wird.
Es stehen sich damit zwei Meinungen gegenüber und ob eine Einwilligung für Tracking erforderlich ist oder nicht, wird irgendwann durch die Rechtsprechung geklärt werden müssen.
Wer möglichst risikolos vorgehen will, sollte der Auffassung der DSK folgen und auch für das Tracking eine spezielle Einwilligung des Betroffenen einholen. Der Einwilligungstext im Onlineformular bezieht sich dann mit einer ersten Checkbox auf die Einwilligung für den Empfang von Werbe-E-Mails nach § 7 Abs. 2 Nr. 3 UWG
und mit einer zweiten Checkbox auf die Einwilligung zum Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens.
Wer der Gegenmeinung folgen möchte, muss eine detaillierte Interessenabwägung vornehmen, diese im Verarbeitungsverzeichnis des Unternehmens sorgfältig begründen und in der Datenschutzerklärung umfassend darüber informieren. Außerdem ist eine Opt-Out-Möglichkeit zu implementieren. Es wird dann nur eine wettbewerbsrechtliche bzw. datenschutzrechtliche Einwilligung für die Verarbeitung der Namens- und Adressdaten zum Zwecke der Versendung von Werbe-E-Mails eingeholt, das Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens des Empfängers erfolgt dann aber auf der Grundlage eines berechtigten Interesses.
>h2>E-Book zum Thema herunterladenSie wollen mehr zum Thema erfahren? Dann holen Sie sich jetzt das kostenlose E-Book "E-Mail-Marketing und Lead Management rechtskonform gestalten"
.
Dieser Gastbeitrag ist von Sabine Heukrodt-Bauer , LL.M. Fachanwältin für Informationstechnologierecht (IT-Recht) Fachanwältin für gewerblichen Rechtsschutz