Dürfen wir unsere Werbung als Unternehmen überhaupt noch an potenzielle Kunden oder Bestandskunden schicken? Und wenn ja, unter welchen Voraussetzungen? Was sollten Unternehmen tun, um auf der sicheren Seite zu sein? Diese und viele weitere Fragen verunsichern viele Akteure seit Einführung der DSGVO. Dabei sind die neuen Regelungen im Grundsatz klar: sie sorgen zum Wohle aller für mehr Sicherheit und den angemessenen Schutz persönlicher Daten. Die wichtigsten Fragen, Antworten und Tipps im Überblick.
Das Wichtigste in Kürze
- Das Verarbeiten personenbezogener Daten zum Zwecke der werblichen Ansprache ist nur zulässig, wenn die Rechtsgrundlagen dafür gegeben sind.
- Gemäß DSGVO gibt es nur zwei Rechtsgrundlagen, die eine werbliche Ansprache legitimieren können: die Einwilligung oder ein überwiegendes Interesse.
- Verstöße werden von Aufsichtsbehörden und Justiz inzwischen verstärkt geahndet.
- Es macht rechtlich keinen Unterschied, ob die Ansprache per Telefon, E-Mail oder Post erfolgt – eine Rechtsgrundlage ist Pflicht
Welche Regelungen es bereits vor der DSGVO gab
Die werbliche Ansprache war unter Datenschützern schon vor Inkrafttreten der DSGVO ein breit diskutiertes Thema. Maßgeblich war bis 2018 das Bundesdatenschutzgesetzt (BDSG) in der alten Fassung. Dieses erlaubte die Nutzung personenbezogener Daten zum Zwecke der Werbung ebenfalls nur bei Vorliegen einer entsprechenden Einwilligung.
Der wesentliche Unterschied zur heutigen Rechtslage? In § 28 BDSG waren Ausnahmen von diesem Einwilligungserfordernis definiert. Dazu zählte auch das sogenannte „Listenprivileg“. Dabei handelte es sich um eine datenschutzrechtliche Ausnahmeregelung, die Unternehmen die Verarbeitung oder Nutzung „listenmäßig oder sonst zusammengefasste(r) Daten“ für Zwecke der Werbung erlaubte.
Im Vergleich zu heute war diese Lösung restriktiver, weil Werbung nur in den engen Grenzen des § 28 BDSG möglich war. Andererseits machten die explizit genannten Ausnahmen die Zulässigkeitsprüfung der werblichen Ansprache einfacher. Mit dem Inkrafttreten der DSGVO ist § 28 BDSG entfallen.
Mehr zum Thema in diesem Beitrag: 5 Tipps, um Einwilligungen DSGVO-konform einzuholen.
Welche Rechtsgrundlagen definiert die DSGVO für die werbliche Ansprache?
Die DSGVO hat die Zulässigkeit der werblichen Ansprache für deutsche Unternehmen neu definiert. Das bis zum Inkrafttreten der DSGVO geltende Listenprivileg und damit verbundene Wettbewerbsnachteile gegenüber Unternehmen aus anderen Mitgliedstaaten der EU sind weggefallen. Doch erleichtert die DSGVO die werbliche Ansprache auch?
„Es kommt darauf an“ lautet die Antwort von Datenschützern. Denn heute müssen sich Unternehmen im ersten Schritt überlegen, welcher Kontaktweg für die werbliche Ansprache genutzt werden soll (z.B. E-Mail, Anrufe, Post). Danach sind die Zielgruppen klar zu definieren – differenziert nach Interessenten, Bestandskunden, Geschäftspartner. Erst wenn beide Merkmale feststehen, kann bestimmt werden, ob die werbliche Ansprache im konkreten Fall auf die Einwilligung oder auf Interessensabwägung gestützt wird.
So ist das Einholen einer Einwilligung in werbliche Ansprachen möglicherweise nicht erforderlich, wenn Bestandskunden angesprochen werden sollen. Bei Interessenten muss sie dagegen zwingend vorliegen. Entscheidend ist immer die jeweilige Konstellation.
Kriterien für Einwilligungen im Datenschutz
Als rechtskonform gilt eine Einwilligung nur dann, wenn sie in informierter Weise und bezogen auf den konkreten Einzelfall freiwillig abgegeben wird. Doch der Reihe nach.
In informierter Weise heißt, dass sämtliche Informationen zur Datenverarbeitung transparent und erkennbar dargestellt werden. Übertragen auf die Werbung bedeutet dies, dass über die Art der Werbung (z.B. E-Mail, SMS, Brief oder Telefon) sowie über die angebotenen Produkte und Dienstleistungen informiert wird. Der Betroffene soll auch erkennen können, welche Unternehmen für ihre Produkte werben. Detailliert geregelt sind die Informationspflichten in Art. 13 DSGVO.
Ein weiterer zentraler Aspekt ist die Freiwilligkeit. Im Rahmen der Werbung soll dieses Erfordernis durch Opt-In in Form einer Check-Box umgesetzt werden. Mit dem aktiven Setzen eines Häkchens bekundet der Kunde oder Interessent, dass er die Einwilligung freiwillig erteilt und dass diese tatsächlich von ihm stammt. Der Einwilligungstext und ein Link zu allen datenschutzrechtlich relevanten Informationen sollten direkt neben der Check-Box stehen – erkennbar abgesetzt von anderen Erklärungen. So ist für Kunden oder Interessenten unmissverständlich klar, dass sie mit dem Setzen des Häkchens ihre Einwilligung geben. Diese darf zudem nicht pauschal, sondern nur für den Einzelfall eingeholt werden.
Im Hinblick auf die Freiwilligkeit sei noch das sogenannte Koppelungsverbot erwähnt. So ist es laut Art. 7 Abs. 4 DSGVO nicht zulässig, die Einwilligung zur Voraussetzung für eine Vertragserfüllung zu machen, sofern die Verarbeitung der betreffenden Daten für die Vertragserfüllung nicht notwendig ist. Beispiel: Möchte ein Kunde eine Reise buchen, ist es zur Erfüllung der vertraglichen Hauptleistung nicht nötig, dass er in diesem Zusammenhang eine Einwilligung zur Datenverarbeitung für nachfolgende Glücksspielangebote erteilt.
Wichtig ist auch, dass die Einwilligung in klarer und einfacher Sprache formuliert ist. Zwingend erforderlich ist ein Hinweis auf das jederzeitige Widerrufsrecht. Und last but not least – die Unternehmen haben das Vorliegen einer Einwilligung nachzuweisen. Dies kann mithilfe des unternehmenseigenen CRM-Systems bzw. durch die Einhaltung des Double-Opt-In-Verfahrens erfüllt werden.
5 Praxistipps für datenschutzkonforme werbliche Ansprache
- Nutzen Sie als Unternehmen ein Opt-in Verfahren mit Check-Boxen zum Einholen von Einwilligungen. Verlinken Sie den Einwilligungstext unbedingt mit allen relevanten Informationen zur beabsichtigten Datenverarbeitung. Das ist der Goldstandard.
- Um auf der sicheren Seite zu sein, müssen Sie alle Einwilligungen sauber dokumentieren. Am besten gelingt dies per Double-Opt-in. Interessenten setzen ihr Einwilligungs-Häkchen, erhalten dazu eine Nachricht per E-Mail oder SMS und bestätigen diese über einen Bestätigungslink. Der gesamte Vorgang wird mit allen Nachrichten im unternehmenseigenen CRM-System abgelegt.
- Sorgen Sie für maximale Transparenz und kommunizieren Sie das gesetzlich verbürgte Widerspruchrecht, indem Sie die Möglichkeit zum Opt-out konsequent anbieten.
- Unternehmenskunden verfügen meist über allgemeine E-Mail-Postfächer (info@...). Darüber sind werbliche Ansprachen im üblichen Rahmen grundsätzlich unbedenklich. Selbst in diesen Fällen sollte jede werbliche Ansprache jedoch gut überlegt sein.
- Sie möchten Kontakt zu Neukunden aufbauen? Dann sorgen Sie dafür, dass diese aktiv auf Sie zukommen. Zum Beispiel auf Messen, oder weil sie über Fachbeiträge, Blogartikel oder nicht personalisiert verteilte Flyer aufmerksam werden.
Wann gilt ein „berechtigtes Interesse“ als Rechtsgrundlage?
Eine Einwilligung ist nur in den Fällen nicht erforderlich, in denen sich Unternehmen auf ihr berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO berufen können.
Dieser besagt:
„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Ob dieses im Einzelfall das Kundeninteresse überwiegt oder mit diesem gleichwertig ist – auch dies würde als Rechtfertigung genügen – hängt von der jeweiligen Konstellation ab. Hier ist in jedem Fall eine sorgfältige Interessensabwägung nötig, die zwingend zu dokumentieren ist. Nur so können die Unternehmen ihrer Rechenschaftspflicht nachkommen.
Auf B2B-Ebene, im Dialog von Unternehmen zu Unternehmen, sind die Spielräume am größten.
Beispiel: Ist ein Unternehmen mit einem Geschäftskunden regelmäßig beratend im Gespräch, dürfte es datenschutzrechtlich unbedenklich sein, diesen anzurufen und ihn im Rahmen der Beratung über eine Produktneuentwicklung zu informieren, die für ihn von Nutzen sein könnte.
Das berechtigte Interesse des Unternehmens kann auch im Fall der Verarbeitung von Endverbraucherdaten überwiegen. Etwa für werbliche Angebote an Bestandskunden, sofern das Unternehmen zuvor transparent gemäß der Informationspflichten nach Art. 13 DSGVO auf die Datennutzung zu werblichen Zwecken hingewiesen hat.
Wichtig ist, dass sich die Datennutzung für die betroffene Person in einem zu erwartenden Rahmen bewegt und mit der klar kommunizierten Möglichkeit zum Widerspruch verknüpft ist.
Außerdem wichtig: Widerspricht der Kunde, dürfen seine personenbezogenen Daten für diese Zwecke nicht mehr verarbeitet werden und sind zwingend in eine Werbesperrliste des werbenden Unternehmens aufzunehmen. Durch Datenabgleich kann einem Datenschutzverstoß durch werbliche Ansprache trotz eines bestehenden Widerrufs vorgebeugt werden.
Apropos Interessenabwägung: Was ist, wenn Unternehmen durch Profiling die Interessen der Angesprochenen genau treffen?
Natürlich dürfen Unternehmen eigene Nutzer- bzw. Interessentenprofile auf Basis rechtmäßig erhobener Daten erstellen – zum Beispiel mithilfe von Algorithmen. Ein solches Profiling darf aber keinesfalls auf Art 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden.
Im Gegenteil: Gerade bei der für ein Profiling erforderlichen Form der Datenverarbeitung muss der Betroffene zuvor explizit eingewilligt und dieser Form der Datenverarbeitung zugestimmt haben. Sprich: Unternehmen, die personenbezogene Daten für das Profiling nutzen möchten, müssen dies transparent als eine Möglichkeit der Datennutzung ankündigen und die Einwilligung dazu haben.
Wie genau sehen Aufsichtsbehörden und Justiz eigentlich hin?
Verstöße können hohe Bußgelder zur Folge haben. Und die anfängliche Schonfrist nach Einführung der DSGVO im Jahr 2018 scheint inzwischen abgelaufen zu sein. Darauf deuten prominente Fälle hin, wie jüngst etwa ein Verfahren gegen die AOK Baden-Württemberg. Der Krankenversicherer hatte ein Gewinnspiel durchgeführt und die erhoben Daten anschließend für werbliche Ansprachen genutzt. Technisch und organisatorisch war aber offenbar nicht sichergestellt, dass nur Gewinnspielteilnehmer angeschrieben wurden, von denen auch explizite Einwilligungen vorlagen. Die zuständige Landesbehörde in Baden-Württemberg erhob daraufhin ein Bußgeld in Höhe von 1,24 Millionen Euro.
Macht es rechtlich einen Unterschied, ob die werbliche Ansprache per Telefon, E-Mail oder Post erfolgt?
Im Grundsatz gilt: Unternehmen müssen für die Verarbeitung personenbezogener Daten zum Zwecke der werblichen Ansprache immer eine Rechtsgrundlage haben. Ganz gleich, ob die Ansprache per E-Mail, Telefon oder Post erfolgt. Die Rechtsgrundlagen sind in der DSGVO definiert. Wenn es um die Bewertung der Schwere von Verstößen geht, macht die Wahl des Kommunikationskanals jedoch sehr wohl einen Unterschied.
Anrufe per Telefon sind gravierende Eingriffe in die Privatsphäre. Angerufene Personen haben kaum eine Chance, dem Dialog zu entgehen. Als weniger schwerwiegend gelten werbliche Ansprachen per E-Mail und erst recht per Post. Auch wenn die Datenverarbeitung zum Zwecke der Ansprache nie ohne eine Einwilligung oder eine Rechtsgrundlage erfolgen darf.
Darüber hinaus gibt es für Unternehmen noch Sonderregelungen zur werblichen Ansprache, die im § 7 des Gesetzes gegen unlauteren Wettbewerb (UWG) stehen. Hier wird explizit etwa der Einsatz von automatischen Anrufmaschinen, Call-Centern und Faxgeräten angesprochen. Bei diesen Kommunikationskanälen muss die Einwilligung der betroffenen Person zwingend vorliegen.
Wichtig zu wissen: DSGVO und UWG sind zwei voneinander unabhängige Rechtsgebiete. Bestimmte Datenverarbeitungen können datenschutzrechtlich zulässig und gleichwohl wettbewerbswidrig sein. Zwar enthält § 7 UWG auch persönlichkeitsschützende Merkmale, das primäre Ziel der Norm ist es allerdings, unlauteren geschäftlichen Praktiken vorzubeugen. Aus diesem Grund darf auf diese Norm nicht tiefer eingegangen werden. Das UWG ist ein Gesetz, für das externe Datenschutzbeauftragte kein Beratungsmandat haben.
Wie lange sind Einwilligungen in die Verarbeitung personenbezogener Daten gültig?
Ein offizielles Verfallsdatum ist nicht definiert. Allerdings gibt es Stimmen in der Rechtsprechung, denen zufolge Einwilligungen auch nicht bedingungslos unbegrenzt gültig sein können. So hat das Landgericht München eine Einwilligung für ungültig erklärt, die ein Unternehmen zwar eingeholt, aber erstmalig erst anderthalb Jahre später als Rechtsgrundlage für eine werbliche Ansprache genutzt hatte.
Für bestimmte Kategorien personenbezogener Daten gibt es zudem bestimmte Löschfristen. Mehr dazu in unserem Beitrag zu den Löschfristen nach DSGVO.
Fazit
Das Bewusstsein für einen sensiblen und rechtskonformen Umgang mit personenbezogenen Daten wächst. Umso mehr sollten Unternehmen in ihre Datenschutzprozesse investieren und sich damit als verlässlicher Partner im Markt positionieren. Zum Wohle aller Kunden und Geschäftspartner sowie der eigenen Marktposition.
In diesem Beitrag diskutieren wir 3 potenzielle Ideen für zukunftsfähiges Marketing ohne Cookies.
Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen.
Die Top 6 der Datenschutzfehler von Unternehmen
In diesem E-Book erklären wir Ihnen die häufigsten Fehler im Datenschutz und wie Sie diese vermeiden.
Jetzt kostenlos herunterladen