Call vereinbaren
Kontakt

DSGVO: Ist Dein Marketing fit für das EU-Datenschutzrecht?

DSGVO: Ist Dein Marketing fit für das EU-Datenschutzrecht?

Suchmaschinenanfragen mit Bezug auf die EU-Datenschutzgrundverordnung haben zuletzt um 215 % zugenommen.

Das ist wenig verwunderlich, denn ab Mai 2018 gilt in der gesamten EU für alle Unternehmen, die in der EU Waren und Dienstleistungen anbieten, die neue EU-Datenschutzverordnung, kurz DSGVO. Diese stärkt die Rechte von Verbrauchern und erhöht die Bußgelder für Verstöße auf bis zu 20 Mio. Euro. Ist Ihr Marketing bereits fit für das EU-Datenschutzrecht?

Die EU-Datenschutzgrundverordnung gilt unmittelbar und direkt in allen Mitgliedsstaaten. Auch tritt ab dem 25. Mai 2018 zeitgleich das neue Bundesdatenschutzgesetz in Kraft, das die europäische Verordnung nur noch partiell ergänzt, wo diese es ausdrücklich zulässt.

dsgvo-verstoesse

DSGVO: Was ändert sich im Bereich Marketing/ Werbung?

Altes Recht

Die Datenschutzgrundverordnung enthält nun im Gegensatz zum alten Bundesdatenschutzgesetz (etwa in § 28 Abs. 3 BDSG) keine speziellen Regelungen mehr für den Bereich der Werbung (allenfalls zum Widerspruchsrecht gegen Direktwerbung in Art. 21 Abs. 2, 3 DSGVO).

Nach den Regelungen des alten Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) war bzw. ist die Verarbeitung von personenbezogenen Daten nur zulässig, wenn diese aufgrund einer gesetzlichen Grundlage erlaubt ist, oder der Betroffene eingewilligt hat.

Neues Recht

Einwilligung

Die allgemeinen Rechtsgrundlagen für eine rechtmäßige Datenverarbeitung sind vor allem in Art. 6 der DSGVO geregelt. Die für das Marketing wichtigste Grundlage stellt auch hier die Einwilligung des Betroffenen dar (Art. 6 Abs. 1 a) DSGVO).

Rechtsgrundlage ohne Einwilligung?

Art. 6 Abs. 1 f) DSGVO bietet eine Rechtsgrundlage zur Verarbeitung, wenn die Verarbeitung zur Wahrung der berechtigten Interessen (des Verantwortlichen) erforderlich ist und dem keine Interessen des Betroffenen entgegenstehen. In den sogenannten Erwägungsgründen zur Datenschutzgrundverordnung findet sich in Nr. 47 (am Ende) der Hinweis, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als ein berechtigtes Interesse betrachtet werden kann.

Daraus ergibt sich, dass (Direkt-)Werbung nach der Datenschutzgrundverordnung in folgenden Fällen zulässig sein kann:

  1. Wie bislang, wenn eine ausdrückliche Einwilligung der von der Verarbeitung betroffenen Person vorliegt (Art. 6 Abs. 1 a) DSGVO), oder
  2. wenn eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen (also desjenigen der die Daten verarbeitet) oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Rechtsgrundlage Art. 6 Abs. 1 f) DSGVO).
werbung-zulaessigkeit

Interessenabwägung

Ebenfalls aus dem Erwägungsgrund Nr. 47 ergibt sich, dass für diese Interessenabwägung zu berücksichtigen ist, ob die betroffene Person im Zeitpunkt der Erhebung der Daten angesichts der Umstände, unter denen sie erfolgte, vernünftigerweise absehen konnte, dass möglicherweise eine Verarbeitung der Daten für diesen Zweck erfolgen wird.

Sofern also keine Einwilligung für die werbliche Nutzung vorliegt, kann die Werbung zwar nach einer positiven Interessenabwägung auch auf die genannte gesetzliche Rechtsgrundlage gestützt werden. Dies birgt jedoch erhebliche Rechtsunsicherheit, denn noch ist nicht ausreichend festgelegt, wann genau die Voraussetzungen eigentlich genau vorliegen. Kriterien bzw. Voraussetzungen sind aber insbesondere folgende Punkte:

  1. Betroffene sind über die Datenerhebung und die Zwecke der Verarbeitung zu informieren (Informationspflicht aus Art. 13, 14 DSGVO). Ein transparenter und eindeutiger Hinweis über die vorgesehene, werbliche Nutzung der Daten sollte also zwingend vor Erhebung der Daten erfolgen. Denn nur dann kann z.B. der Kunde auch damit rechnen, dass seine Daten entsprechend verwendet werden.
  2. Überdies sollte die betroffene Person auch über Ihre Rechte informiert werden. So ist für die Interessenabwägung auch relevant, dass die betroffene Person darauf hingewiesen wird, der Verarbeitung jederzeit widersprechen zu können (Art. 21 Abs. 2, 4 DSGVO).
  3. Besteht bereits eine vertragliche Beziehung zu dem Betroffenen, ist dies ebenfalls positiv für die Interessenabwägung des Werbenden.
  4. Weiterhin gelten folgende Grundsätze der DSGVO:
    • a. Die Verarbeitung muss fair und transparent sein. Die Verarbeitung seiner Daten zu Werbungszwecken muss dem Betroffenen transparent mitgeteilt werden.
    • b. Die Daten dürfen nur für die bereits bei der Erhebung festgelegten Zwecke verwendet werden, also nicht anderweitig verarbeitet werden.
    • c. Der Umfang der verarbeiteten Daten muss dem Zweck angemessen und auf ein notwendiges Maß beschränkt sein. Es dürfen dafür nur so viele personenbezogene Daten verarbeitet werden, wie tatsächlich benötigt werden (z.B. E-Mail-Adresse und Name).
    • d. Die Daten müssen sachlich richtig und aktuell sein.
    • e. Die Daten sind nur für die Dauer zu speichern, für die sie tatsächlich zum festgelegten Zweck benötigt werden. Werden die Daten nicht mehr benötigt, z.B. nach einem Widerspruch durch den Betroffenen, sind diese Daten zu löschen.
    • f. Die Sicherheit der Daten bei der Verarbeitung ist durch technisch-organisatorische Maßnahmen zu gewährleisten (Integrität und Vertraulichkeit); im Klartext: Es ist für eine sicherere Verarbeitung und Aufbewahrung der Daten zu sorgen.

Je intensiver sich die Datenverarbeitung auf die Interessen der betroffenen Person auswirkt, umso eher fällt die Interessenabwägung zugunsten der betroffenen Person aus und damit gegen eine Verarbeitung.

Besonders sensible Daten

Sofern personenbezogene Daten aus den Bereichen der in Art. 9 DSGVO genannten Kategorien, z. B. zu politischen Meinungen oder Gesundheit verarbeitet werden, ist dies für werbliche Zwecke ausschließlich auf Basis einer Einwilligung möglich (Art. 9 Abs. 2 a) DSGVO). Dies sollte insbesondere von Apotheken, Optikern u. ä. berücksichtigt werden.

Abweichende gesetzliche Regelungen, insbesondere UWG

Auch unter der Datenschutzgrundverordnung müssen zudem die Regelungen anderer gesetzlicher Bestimmungen eingehalten werden, sofern sie mit der Verordnung vereinbar sind. So ist z. B. bei der Telefonwerbung eine ausdrückliche Einwilligung weiterhin erforderlich (§ 7 Abs. 1, 2 UWG). Die Direktwerbung mittels „elektronischer Post“, vor allem also E-Mail-Newslettern, ist gemäß § 7 Abs. 3 nur dann zulässig, wenn

  1. der Unternehmer die elektronische Adresse mit dem Verkauf von Waren oder Dienstleistungen vom Kunden erhalten hat,
  2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  3. der Kunde der Verarbeitung nicht widersprochen hat und
  4. der Kunde bei der Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann.

Der Anwendungsbereich für Direktwerbung auf Rechtsgrundlage einer Abwägung der berechtigten Unternehmensinteressen (Art. 6 Abs. 1 f) DSGVO) ist also nicht nur mit Rechtsunsicherheit verbunden, sondern hat auch nur einen eingeschränkten Anwendungsbereich, da die Voraussetzungen zusammen mit denen von § 7 Abs. 3 UWG vorliegen müssen.

Ausblick:

Auch steht noch eine weitere Neuregelung bevor: Die E-Privacy-Verordnung. Diese wird voraussichtlich 2019 in Kraft treten und auch eine Regelung zur Direktwerbung beinhalten. Nach dem derzeit bekannten Stand ist vorgesehen, dass es einer Einwilligung der Endnutzer bedarf.

eu-dsgvo-datenschutz

Allerdings darf für Kunden im Zusammenhang mit den Produkten und Dienstleistungen auch für ähnliche Produkte und Leistungen Werbung gemacht werden, wenn dieser nicht widersprochen wird – insofern gleicht diese Regelung der bestehenden in § 7 Abs. 3 UWG.
Künftig werden zudem Zustimmungen für das Tracking auf Webseiten benötigt, unabhängig davon, ob die Daten dann anonymisiert werden. Es wird spätestens dann nur noch die Double-Opt-In-Lösung für werbliche E-Mails (Newsletter) zulässig sein. Die Möglichkeiten zum rechtmäßigen Einsatz von Cookies werden eingeschränkt.

Fazit: Direktwerbung nur mit Einwilligung

Es ist also dringend zu empfehlen, Direktwerbung nur einzusetzen, wenn der Betroffene hierzu ausdrücklich eingewilligt hat, sofern nicht alle gesetzlichen Voraussetzungen hinreichend eingehalten werden können (§7 Abs. 3 UWG, Art. 6 Abs. 1 f) DSGVO, E-Privacy-Verordnung).

Voraussetzungen einer Einwilligung

Welche Voraussetzungen eine Einwilligung erfüllen muss, regelt Art. 7 DSGVO:

  1. Der Verantwortliche muss nachweisen können, dass tatsächlich eine Einwilligung des Betroffenen vorliegt, diese ist also entsprechend zu dokumentieren.
  2. Die Informationen zur Einwilligung müssen in verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache erfolgen.
  3. Es besteht zudem für die betroffene Person jederzeit das Recht, die Einwilligung zu widerrufen. Dieser Widerruf muss genauso einfach wie die Einwilligung selbst erfolgen können.
  4. Die Einwilligung muss freiwillig erfolgen, d.h. es ist auch relevant, dass die Erfüllung eines Vertrages, z. B. die Erbringung einer Dienstleistung nicht von der Einwilligung abhängig ist, wenn eine solche nicht unbedingt für die Erfüllung des Vertrages erforderlich ist.

Übrigens: Wird eine Leistung in dem Sinne kostenlos angeboten, dass keine Zahlung, aber stattdessen eine Eintragung in den E-Mail-Newsletter erforderlich ist, muss auch dies dem Betroffenen klar und verständlich mitgeteilt werden.

Fortgeltung bestehender Einwilligungen

Eine Einwilligung die bereits nach dem „alten“ Datenschutzrecht (bisheriges BDSG) erteilt worden ist, gilt fort, sofern sie den o. g. Anforderungen genügt (Erwägungsgrund 171 zur Datenschutzgrundverordnung).

Tipp:

Aufgrund der vielen Fragen des Einzelfalls, der stetigen Ausgestaltung der neuen Bestimmungen und auch der weitreichenden, allgemeinen (Dokumentations-) Pflichten aus der DSGVO empfiehlt sich die individuelle Beratung zum Thema Datenschutz, z. B. bei einem spezialisieren Rechtsanwalt. Auch die Bestellung eines (externen) Datenschutzbeauftragten ist häufig empfehlenswert, sofern nicht ohnehin die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Über den Autor

Über den Autor

Julian Grabbe ist als Rechtsanwalt im Bereich IT-Recht und Datenschutzrecht bei der Jentzsch IT Rechtsanwaltsgesellschaft tätig. Er berät Unternehmen vor allem im Bereich IT-Vertragsrecht und der DSGVO-Compliance. Auf Anfrage steht er gern als externer Datenschutzbeauftragter zur Verfügung.

Ergänzende Artikel

Artikel teilen