DSGVO: Was ändert sich in Bezug auf Newsletter-Werbung?
Ab dem 25. Mai 2018 gilt die DSGVO in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen der DSGVO zu diesem Zeitpunkt umgesetzt haben.
Die DSGVO hat enormen Einfluss auf das Datenschutzrecht. Einige Vorschriften des BDSG und des TMG werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des bisherigen Datenschutzrechts werden durch die DSGVO vollständig ersetzt. Welche Änderungen es konkret beim Newsletter-Marketing ab dem 25. Mai 2018 geben wird, erläutern wir im Folgenden.
Datenschutz nur bei personenbezogenen Daten
Die DSGVO soll ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten schaffen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Bei Daten, die typischerweise bei einer Newsletter-Anmeldung abgefragt werden (wie Name und E-Mail-Adresse), liegt ein Personenbezug eindeutig vor. Insoweit ändert sich durch die DSGVO nichts im Vergleich zur bisherigen Rechtslage in Deutschland.
Rechtfertigung der Datenerhebung
Damit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn:
· sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
· der Nutzer eingewilligt hat.
Auch die DSGVO schreibt damit ein Verbot mit Erlaubnisvorbehalt fest.
Keine Einwilligung bei Direktwerbung
Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung der Webseitenuser, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreibers ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Es muss also zunächst ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist.
Der Begriff des „berechtigten Interesses“ wird in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO weit verstanden.
Als Beispiel für ein berechtigtes Interesse nennt Erwägungsgrund 47 zur DSGVO das Bestehen eines (Rechts-)Verhältnisses zwischen Verantwortlichem und Betroffenem, wobei insbesondere das Interesse des Verantwortlichen an Direktwerbung genannt wird, worunter auch der Versand von Newsletter-Werbung fallen kann.
Dieser „kann“ als einem berechtigten Interesse dienend qualifiziert werden (Erwägungsgrund 47 Satz 7 zur DSGVO, vgl. dazu auch Frenzel in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 6 DSGVO Rn. 28).
Diese doch recht schwammigen Aussagen helfen bei der Ermittlung des berechtigten Interesses des Händlers an E-Mail-Werbung nur bedingt weiter. Abhilfe schafft an dieser Stelle jedoch Art. 95 DSGVO. Danach gilt der § 7 Abs. 3 UWG als „besondere Regelung“ aus der ePrivacy-Richtlinie (Art. 13 2002/58/EG) auch weiterhin. Das bedeutet: § 7 Abs. 3 UWG bleibt auch unter der DSGVO erhalten, mit der Folge, dass Newsletter-Werbung im Rahmen bestehender Kundenverhältnisse weiterhin ohne Einwilligung möglich sein wird.
Liegen also kumulativ die Voraussetzungen des § 7 Abs. 3 UWG vor, benötigen Online-Händler auch ab dem 25. Mai 2018 keine Einwilligung ihrer Kunden in den Newsletter-Versand.
Achtung: Art. 21 DSGVO verlangt – ebenso wie § 7 Abs. 3 UWG – ausdrücklich, dass die beworbene Person im Falle der Direktwerbung das Recht hat, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten einzulegen.
In allen anderen Fällen: Einwilligung in die Datenerhebung erforderlich
Liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor, ist auch nach der DSGVO eine Einwilligung des betroffenen Kunden notwendig. Konkret normiert Art. 6 Abs. 1 Uabs. 1 lit. a DSGVO, dass die Datenverarbeitung rechtmäßig ist, wenn der Newsletter-Interessent seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
Informierte Einwilligung notwendig
Was die DSGVO konkret unter einer Einwilligung versteht, wird in Art. 4 Nr. 11 DSGVO definiert. Danach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung.
Die DSGVO verlangt somit (wie das BDSG und das TMG) eine aufgeklärte Willenserklärung des Users in die Datenerhebung und -Verarbeitung. Die Einwilligung darf nicht pauschal, bspw. in Form einer Blanko-Einwilligung erfolgen. Sie muss vielmehr erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden (vgl. Erwägungsgrund 32 zur DSGVO, dazu auch Ernst in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 4 DSGVO Rn. 78).
Diese sind möglichst genau zu bestimmen und müssen dem User eine informierte Entscheidung ermöglichen, seine Einwilligung im konkreten Fall zu erteilen oder zu versagen.
Opt-Out-Verfahren ist unzulässig
Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Erforderlich ist lediglich eine eindeutig bestätigende Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dem Erfordernis einer eindeutig bestätigenden Handlung entspricht etwa das Anklicken eines Kästchens beim Besuch einer Internetseite. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten keine Einwilligung darstellen (vgl. Erwägungsgrund 32 zur DSGVO).
Für Newsletter-Marketing folgt daraus: Das Opt-Out-Verfahren ist nach der DSGVO unzulässig (vgl. dazu auch Stemmer in: BeckOK Datenschutzrecht 2017, Art. 7 DSGVO Rn. 83). Erforderlich ist vielmehr eine eindeutig bestätigende Handlung, bei der die betroffene Person von sich aus tätig werden muss, etwa indem sie ein nicht vorangekreuztes Kästchen anklicken muss (Opt-in-Verfahren).
Nachweispflicht: Double-Opt-In und elektronische Protokollierung
Art. 7 DSGVO normiert darüber hinaus weitere formelle und materielle Anforderungen an eine wirksame Einwilligung. Nach Art. 7 Abs. 1 DSGVO muss der Webseitenbetreiber nachweisen, dass der Webseitenuser in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat (vgl. auch Erwägungsgrund 42 zur DSGVO).
Wie der Nachweis der Einwilligung konkret zu erbringen ist, lässt die Vorschrift offen. Da die DSGVO das Datenschutzniveau in den Mitgliedstaaten anheben soll (Erwägungsgrund 10 der DSGVO), dürften auch nach der DSGVO sowohl das Single-Opt-In als auch das Confirmed-Opt-In-Verfahren nicht ausreichend sein, um den Nachweis der Einwilligung zu erbringen. Diese Verfahren wurden von deutschen Gerichten bereits nach der jetzigen Rechtslage als nicht ausreichend erachtet, um die Einwilligung des betroffenen Kunden nachzuweisen (siehe hierzu der Beitrag http://www.it-recht-kanzlei.de/newsletter-einwilligung-nachweis.html). Shop-Betreiber sollten dementsprechend weiterhin auf das Double-Opt-In-Verfahren zurückgreifen. Dieses bietet die rechtssicherste Möglichkeit, eine beweisbare Einwilligung einzuholen.
Im Rahmen von E-Mail-Marketing sollte zudem weiterhin darauf geachtet werden, dass der Time-Stamp (Datum und Uhrzeit) und die IP-Daten der Eintragung protokolliert und so abgespeichert werden, dass das Protokoll jederzeit ausgedruckt und notfalls bei Gericht vorgelegt werden kann. Eine solche elektronische Protokollierung der Einwilligung dürfte den Anforderungen der Nachweispflicht genügen (Stemmer in: BeckOK Datenschutzrecht 2017, Art. 7 DSGVO Rn. 88).
Widerrufsrecht
Wie im deutschen Datenschutzrecht muss auch nach der DSGVO die betroffene Person eine einmal erteilte Einwilligung jederzeit widerrufen können (Art. 7 Abs. 3 DSGVO). Von ihrem Widerrufsrecht ist sie vor Abgabe der Einwilligung in Kenntnis zu setzen.
Der Newsletter-Abonnent muss also noch vor Abgabe seiner Einwilligung über sein Widerrufsrecht informiert werden.
Neu ist jedoch die Verpflichtung der Shop-Betreiber zur Einhaltung des „Simplizitätsgebots“. Das bedeutet: Der Widerruf der Einwilligung muss „so einfach“ sein „wie die Erteilung der Einwilligung“. Unzulässig wäre bspw., wenn ein Unternehmen für die Einwilligung einen bestimmten Ansprechpartner bestimmen würde und die Einwilligung nur diesem gegenüber widerrufen werden kann (vgl. Ernst in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 7 DSGVO Rn. 17).
Im Rahmen von Newsletter-Werbung dürfte dem Simplizitätsgebot wohl dadurch hinreichend Rechnung getragen werden, dass jeder Mail am Ende ein eigener „Unsubscribe-Link“ beigestellt wird, dessen bloße Betätigung der Datenverarbeitung Einhalt gebietet.
Zwischenfazit zur Einwilligung
Shop-Betreiber, die auf Newsletter-Marketing setzen, können aufatmen: Die Anforderungen, die die DSGVO an eine rechtswirksame Einwilligung stellt, entsprechen ganz überwiegend denen schon bislang geltenden Regelungen. Neu ist lediglich das Simplizitätsgebot, dessen Einhaltung beim Newsletter-Marketing jedoch bereits jetzt Standard ist.
Achtung: Altbestand von Daten kann weiterhin genutzt werden
Mit Auslaufen der Übergangsfristen zum 25. Mai 2018 treten die besonderen Einwilligungsbestimmungen der DSGVO an die Stelle der bis dato geltenden nationalen Vorschriften. Dies führt insbesondere zu der Frage, wie mit den bis zu diesem Zeitpunkt unter Geltung der alten Rechtslage in den Mitgliedsstaaten wirksam eingeholten Einwilligungen umgegangen werden soll. Fraglich ist also insbesondere, ob Shop-Betreiber, die bereits auf Grundlage der alten Rechtslage (nach dem BDSG und dem TMG) wirksame Einwilligungen eingeholt haben, eine neue Einwilligung einholen müssen.
Der europäische Gesetzgeber hat sich zugunsten der Verarbeiter für eine Fortgeltung der bereits eingeholten datenschutzrechtlichen Einwilligungen entschieden. Shop-Betreiber müssen also keine neue Einwilligung einholen, wenn sie bereits eine wirksame Einwilligung eingeholt haben. Dies ergibt sich aus dem Erwägungsgrund 171 zur DSGVO. Voraussetzung ist allerdings, dass
· die Einwilligungen auf Grundlage des geltenden BDSG und des TMG wirksam eingeholt wurden und
· die erteilten Einwilligungen auch den Bedingungen der DSGVO entsprechen.
Da sich die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland überwiegend überschneiden, entfällt im Online-Handel in der Regel die Notwendigkeit, zum 25. Mai 2018 von jedem Newsletter-Abonnenten, dessen Daten bereits mit Einwilligung verarbeitet werden, erneut eine Einwilligung einzuholen.
Datenschutzerklärung
Eine Einwilligung in die Newsletter-Werbung alleine genügt den rechtlichen Anforderungen allerdings noch nicht.
Shop-Betreiber müssen zusätzlich zur Einwilligung in einer Datenschutzerklärung ausführlich über die Datenerhebung und Datenverarbeitung informieren.
Art. 13 Abs. 1 DSGVO zählt dafür einen Katalog an Pflichtinformationen auf, die eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG , der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten.
Ein Unternehmen, das auf Newsletter-Marketing setzt, muss in der Datenschutzerklärung insbesondere folgende Informationen aufführen: