11 Min

Werbliche Ansprache und Datenschutz – Darauf kommt es an

Dürfen wir unsere Werbung als Unternehmen überhaupt noch an potenzielle Kunden oder Bestandskunden schicken? Und wenn ja, unter welchen Voraussetzungen? Was sollten Unternehmen tun, um auf der sicheren Seite zu sein? Diese und viele weitere Fragen verunsichern viele Akteure seit Einführung der DS-GVO. Dabei sind die neuen Regelungen im Grundsatz klar: sie sorgen zum Wohle aller für mehr Sicherheit und den angemessenen Schutz persönlicher Daten. Die wichtigsten Fragen, Antworten und Tipps im Überblick.

Das Wichtigste in Kürze

  • Das Verarbeiten personenbezogener Daten zum Zwecke der werblichen Ansprache ist nur zulässig, wenn die Rechtsgrundlagen dafür gegeben sind.
  • Gemäß DS-GVO gibt es nur zwei Rechtsgrundlagen, die eine werbliche Ansprache legitimieren können: die Einwilligung oder ein überwiegendes Interesse.
  • Verstöße werden von Aufsichtsbehörden und Justiz inzwischen verstärkt geahndet.
  • Es macht rechtlich keinen Unterschied, ob die Ansprache per Telefon, E-Mail oder Post erfolgt – eine Rechtsgrundlage ist Pflicht!

In diesem Beitrag

Die werbliche Kundenansprache war auch schon vor Inkrafttreten der DS-GVO ein besonders prominentes Datenschutzthema. Welche Regelungen galten damals eigentlich?

Die werbliche Ansprache war unter Datenschützern schon vor Inkrafttreten der DS-GVO ein breit diskutiertes Thema. Maßgeblich war bis 2018 das Bundesdatenschutzgesetzt (BDSG) in der alten Fassung. Dieses erlaubte die Nutzung personenbezogener Daten zum Zwecke der Werbung ebenfalls nur bei Vorliegen einer entsprechenden Einwilligung. Der wesentliche Unterschied zur heutigen Rechtslage? In § 28 BDSG waren Ausnahmen von diesem Einwilligungserfordernis definiert. Dazu zählte auch das sogenannte „Listenprivileg“. Dabei handelte es sich um eine datenschutzrechtliche Ausnahmeregelung, die Unternehmen die Verarbeitung oder Nutzung listenmäßig oder sonst zusammengefasste(r) Daten für Zwecke der Werbung erlaubte.

Im Vergleich zu heute war diese Lösung restriktiver, weil Werbung nur in den engen Grenzen des § 28 BDSG möglich war. Andererseits machten die explizit genannten Ausnahmen die Zulässigkeitsprüfung der werblichen Ansprache einfacher. Mit dem Inkrafttreten der DS-GVO ist § 28 BDSG entfallen.

Wie sieht es heute aus, welche Rechtsgrundlagen definiert die DS-GVO als Leitplanken für die werbliche Kundenansprache?

Die DS-GVO hat die Zulässigkeit der werblichen Ansprache für deutsche Unternehmen neu definiert. Das bis zum Inkrafttreten der DS-GVO geltende Listenprivileg und damit verbundene Wettbewerbsnachteile gegenüber Unternehmen aus anderen Mitgliedstaaten der EU sind weggefallen. Doch erleichtert die DS-GVO die werbliche Ansprache auch?

„Es kommt darauf an“ lautet die Antwort von Datenschützern. Denn heute müssen sich Unternehmen im ersten Schritt überlegen, welcher Kontaktweg für die werbliche Ansprache genutzt werden soll (z.B. E-Mail, Anrufe, Post). Danach sind die Zielgruppen klar zu definieren – differenziert nach Interessenten, Bestandskunden, Geschäftspartner. Erst wenn beide Merkmale feststehen, kann bestimmt werden, ob die werbliche Ansprache im konkreten Fall auf die Einwilligung oder auf Interessensabwägung gestützt wird.

So ist das Einholen einer Einwilligung in werbliche Ansprachen möglicherweise nicht erforderlich, wenn Bestandskunden angesprochen werden sollen. Bei Interessenten muss sie dagegen zwingend vorliegen. Entscheidend ist immer die jeweilige Konstellation.

Welche Kriterien müssen Einwilligungen erfüllen, um rechtskonform zu sein?

Als rechtskonform gilt eine Einwilligung nur dann, wenn sie in informierter Weise und bezogen auf den konkreten Einzelfall freiwillig abgegeben wird. Doch der Reihe nach.

In informierter Weise heißt, dass sämtliche Informationen zur Datenverarbeitung transparent und erkennbar dargestellt werden. Übertragen auf die Werbung bedeutet dies, dass über die Art der Werbung (z.B. E-Mail, SMS, Brief oder Telefon) sowie über die angebotenen Produkte und Dienstleistungen informiert wird. Der Betroffene soll auch erkennen können, welche Unternehmen für ihre Produkte werben. Detailliert geregelt sind die Informationspflichten in Art. 13 DS-GVO.

Ein weiterer zentraler Aspekt ist die Freiwilligkeit. Im Rahmen der Werbung soll dieses Erfordernis durch Opt-In in Form einer Check-Box umgesetzt werden. Mit dem aktiven Setzen eines Häkchens bekundet der Kunde oder Interessent, dass er die Einwilligung freiwillig erteilt und dass diese tatsächlich von ihm stammt. Der Einwilligungstext und ein Link zu allen datenschutzrechtlich relevanten Informationen sollten direkt neben der Check-Box stehen erkennbar abgesetzt von anderen Erklärungen. So ist für Kunden oder Interessenten unmissverständlich klar, dass sie mit dem Setzen des Häkchens ihre Einwilligung geben. Diese darf zudem nicht pauschal, sondern nur für den Einzelfall eingeholt werden.

Im Hinblick auf die Freiwilligkeit sei noch das sogenannte Koppelungsverbot erwähnt. So ist es laut Art. 7 Abs. 4 DS-GVO nicht zulässig, die Einwilligung zur Voraussetzung für eine Vertragserfüllung zu machen, sofern die Verarbeitung der betreffenden Daten für die Vertragserfüllung nicht notwendig ist. Beispiel: Möchte ein Kunde eine Reise buchen, ist es zur Erfüllung der vertraglichen Hauptleistung nicht nötig, dass er in diesem Zusammenhang eine Einwilligung zur Datenverarbeitung für nachfolgende Glücksspielangebote erteilt.

Wichtig ist auch, dass die Einwilligung in klarer und einfacher Sprache formuliert ist. Zwingend erforderlich ist ein Hinweis auf das jederzeitige Widerrufsrecht. Und last but not least – die Unternehmen haben das Vorliegen einer Einwilligung nachzuweisen. Dies kann mithilfe des unternehmenseigenen CRM-Systems bzw. durch die Einhaltung des Double-Opt-In-Verfahrens erfüllt werden.

Wann können sich Unternehmen auf ein überwiegendes Interesse als Rechtsgrundlage berufen?

Eine Einwilligung ist nur in den Fällen nicht erforderlich, in denen sich Unternehmen auf ihr berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO berufen können.

Dieser besagt:

„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Ob dieses im Einzelfall das Kundeninteresse überwiegt oder mit diesem gleichwertig ist auch dies würde als Rechtfertigung genügen – hängt von der jeweiligen Konstellation ab. Hier ist in jedem Fall eine sorgfältige Interessensabwägung nötig, die zwingend zu dokumentieren ist. Nur so können die Unternehmen ihrer Rechenschaftspflicht nachkommen.

Auf B2B-Ebene, im Dialog von Unternehmen zu Unternehmen, sind die Spielräume am größten.

Beispiel: Ist ein Unternehmen mit einem Geschäftskunden regelmäßig beratend im Gespräch, dürfte es datenschutzrechtlich unbedenklich sein, diesen anzurufen und ihn im Rahmen der Beratung über eine Produktneuentwicklung zu informieren, die für ihn von Nutzen sein könnte.

Das berechtigte Interesse des Unternehmens kann auch im Fall der Verarbeitung von Endverbraucherdaten überwiegen. Etwa für werbliche Angebote an Bestandskunden, sofern das Unternehmen zuvor transparent gemäß der Informationspflichten nach Art. 13 DS-GVO auf die Datennutzung zu werblichen Zwecken hingewiesen hat.

Wichtig ist, dass sich die Datennutzung für die betroffene Person in einem zu erwartenden Rahmen bewegt und mit der klar kommunizierten Möglichkeit zum Widerspruch verknüpft ist.

Außerdem wichtig: Widerspricht der Kunde, dürfen seine personenbezogenen Daten für diese Zwecke nicht mehr verarbeitet werden und sind zwingend in eine Werbesperrliste des werbenden Unternehmens aufzunehmen. Durch Datenabgleich kann einem Datenschutzverstoß durch werbliche Ansprache trotz eines bestehenden Widerrufs vorgebeugt werden.

Apropos Interessenabwägung: Was ist, wenn Unternehmen durch Profiling die Interessen der Angesprochenen genau treffen?

Natürlich dürfen Unternehmen eigene Nutzer- bzw. Interessentenprofile auf Basis rechtmäßig erhobener Daten erstellen – zum Beispiel mithilfe von Algorithmen. Ein solches Profiling darf aber keinesfalls auf Art 6 Abs. 1 S. 1 lit. f DS-GVO gestützt werden.

Im Gegenteil: Gerade bei der für ein Profiling erforderlichen Form der Datenverarbeitung muss der Betroffene zuvor explizit eingewilligt und dieser Form der Datenverarbeitung zugestimmt haben. Sprich: Unternehmen, die personenbezogene Daten für das Profiling nutzen möchten, müssen dies transparent als eine Möglichkeit der Datennutzung ankündigen und die Einwilligung dazu haben.

Wie genau sehen Aufsicht und Justiz eigentlich hin, werden Verstöße konsequent geahndet?

Verstöße können hohe Bußgelder zur Folge haben. Und die anfängliche Schonfrist nach Einführung der DS-GVO im Jahr 2018 scheint inzwischen abgelaufen zu sein. Darauf deuten prominente Fälle hin, wie jüngst etwa ein Verfahren gegen die AOK Baden-Württemberg. Der Krankenversicherer hatte ein Gewinnspiel durchgeführt und die erhoben Daten anschließend für werbliche Ansprachen genutzt. Technisch und organisatorisch war aber offenbar nicht sichergestellt, dass nur Gewinnspielteilnehmer angeschrieben wurden, von denen auch explizite Einwilligungen vorlagen. Die zuständige Landesbehörde in Baden-Württemberg erhob daraufhin ein Bußgeld in Höhe von 1,24 Millionen Euro.

Macht es rechtlich einen Unterschied, ob die werbliche Ansprache per Telefon, E-Mail oder Post erfolgt?

Im Grundsatz gilt: Unternehmen müssen für die Verarbeitung personenbezogener Daten zum Zwecke der werblichen Ansprache immer eine Rechtsgrundlage haben. Ganz gleich, ob die Ansprache per E-Mail, Telefon oder Post erfolgt. Die Rechtsgrundlagen sind in der DS-GVO definiert. Wenn es um die Bewertung der Schwere von Verstößen geht, macht die Wahl des Kommunikationskanals jedoch sehr wohl einen Unterschied.

Anrufe per Telefon sind gravierende Eingriffe in die Privatsphäre. Angerufene Personen haben kaum eine Chance, dem Dialog zu entgehen. Als weniger schwerwiegend gelten werbliche Ansprachen per E-Mail und erst recht per Post. Auch wenn die Datenverarbeitung zum Zwecke der Ansprache nie ohne eine Einwilligung oder eine Rechtsgrundlage erfolgen darf.

Darüber hinaus gibt es für Unternehmen noch Sonderregelungen zur werblichen Ansprache, die im § 7 des Gesetzes gegen unlauteren Wettbewerb (UWG) stehen. Hier wird explizit etwa der Einsatz von automatischen Anrufmaschinen, Call-Centern und Faxgeräten angesprochen. Bei diesen Kommunikationskanälen muss die Einwilligung der betroffenen Person zwingend vorliegen. Wichtig zu wissen: DS-GVO und UWG sind zwei voneinander unabhängige Rechtsgebiete. Bestimmte Datenverarbeitungen können datenschutzrechtlich zulässig und gleichwohl wettbewerbswidrig sein. Zwar enthält § 7 UWG auch persönlichkeitsschützende Merkmale, das primäre Ziel der Norm ist es allerdings, unlauteren geschäftlichen Praktiken vorzubeugen. Aus diesem Grund darf auf diese Norm nicht tiefer eingegangen werden. Das UWG ist ein Gesetz, für das externe Datenschutzbeauftragte kein Beratungsmandat haben.

Wie lange sind Einwilligungen in die Verarbeitung personenbezogener Daten gültig?

Ein offizielles Verfallsdatum ist nicht definiert. Allerdings gibt es Stimmen in der Rechtsprechung, denen zufolge Einwilligungen auch nicht bedingungslos unbegrenzt gültig sein können. So hat das Landgericht München eine Einwilligung für ungültig erklärt, die ein Unternehmen zwar eingeholt, aber erstmalig erst anderthalb Jahre später als Rechtsgrundlage für eine werbliche Ansprache genutzt hatte.

Fazit

Das Bewusstsein für einen sensiblen und rechtskonformen Umgang mit personenbezogenen Daten wächst. Umso mehr sollten Unternehmen in ihre Datenschutzprozesse investieren und sich damit als verlässlicher Partner im Markt positionieren. Zum Wohle aller Kunden und Geschäftspartner sowie der eigenen Marktposition.

5 Praxistipps für datenschutzkonforme werbliche Ansprache

  1. Nutzen Sie als Unternehmen ein Opt-in Verfahren mit Check-Boxen zum Einholen von Einwilligungen. Verlinken Sie den Einwilligungstext unbedingt mit allen relevanten Informationen zur beabsichtigten Datenverarbeitung. Das ist der Goldstandard.

  2. Um auf der sicheren Seite zu sein, müssen Sie alle Einwilligungen sauber dokumentieren. Am besten gelingt dies per Double-Opt-in. Interessenten setzen ihr Einwilligungs-Häkchen, erhalten dazu eine Nachricht per E-Mail oder SMS und bestätigen diese über einen Bestätigungslink. Der gesamte Vorgang wird mit allen Nachrichten im unternehmenseigenen CRM-System abgelegt.

  3. Sorgen Sie für maximale Transparenz und kommunizieren Sie das gesetzlich verbürgte Widerspruchrecht, indem Sie die Möglichkeit zum Opt-out konsequent anbieten.

  4. Unternehmenskunden verfügen meist über allgemeine E-Mail-Postfächer (info@...). Darüber sind werbliche Ansprachen im üblichen Rahmen grundsätzlich unbedenklich. Selbst in diesen Fällen sollte jede werbliche Ansprache jedoch gut überlegt sein.

  5. Sie möchten Kontakt zu Neukunden aufbauen? Dann sorgen Sie dafür, dass diese aktiv auf Sie zukommen. Zum Beispiel auf Messen, oder weil sie über Fachbeiträge, Blogartikel oder nicht personalisiert verteilte Flyer aufmerksam werden.


Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Wojciech Kleta Wojciech Kleta
Wojciech Kleta

Senior Privacy Consultant

Wojciech Kleta ist ein erfahrener Volljurist und zertifizierter Datenschutzbeauftragter. Im Rahmen seiner Tätigkeit als Senior Privacy Consultant bei DataGuard berät er kleine und mittelständische Unternehmen aus der Handels-, Immobilien-, und Gesundheitsbranche. Zuvor war er unter anderem als Jurist bei einer Big-Four-Gesellschaft tätig und wirkte bei juristischen Projekten zur Compliance-Beratung mit. Weitere praktische Erfahrungen sammelte Kleta als juristischer Mitarbeiter bei einem polnischen Industrieunternehmen und bei diversen deutschen Anwaltskanzleien. Sein Jurastudium absolvierte er an der Europa-Universität Viadrina und der Universität Gent.

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000