close

UNVERBINDLICHES ERSTGESPRÄCH VEREINBAREN

Oder buchen Sie hier direkt einen Termin

userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Dürfen wir unsere Werbung als Unternehmen überhaupt noch an potenzielle Kunden oder Bestandskunden schicken? Und wenn ja, unter welchen Voraussetzungen? Was sollten Unternehmen tun, um auf der sicheren Seite zu sein? Diese und viele weitere Fragen verunsichern viele Akteure seit Einführung der DS-GVO. Dabei sind die neuen Regelungen im Grundsatz klar: sie sorgen zum Wohle aller für mehr Sicherheit und den angemessenen Schutz persönlicher Daten. Die wichtigsten Fragen, Antworten und Tipps im Überblick. 

Das Wichtigste in Kürze 

  • Das Verarbeiten personenbezogener Daten zum Zwecke der werblichen Ansprache ist nur zulässig, wenn die Rechtsgrundlagen dafür gegeben sind. 
  • Gemäß DS-GVO gibt es nur zwei Rechtsgrundlagendie eine werbliche Ansprache legitimieren können: die Einwilligung oder ein überwiegendes Interesse. 
  • Verstöße werden von Aufsichtsbehörden und Justiz inzwischen verstärkt geahndet. 
  • Es macht rechtlich keinen Unterschied, ob die Ansprache per Telefon, E-Mail oder Post erfolgt – eine Rechtsgrundlage ist Pflicht!

In diesem Beitrag  

 

Die werbliche Kundenansprache war auch schon vor Inkrafttreten der DS-GVO ein besonders prominentes DatenschutzthemaWelche Regelungen galten damals eigentlich?  

Die werbliche Ansprache war unter Datenschützern schon vor Inkrafttreten der DS-GVO ein breit diskutiertes Thema. Maßgeblich war bis 2018 das Bundesdatenschutzgesetzt (BDSG) in der alten Fassung. Dieses erlaubte die Nutzung personenbezogener Daten zum Zwecke der Werbung ebenfalls nur bei Vorliegen einer entsprechenden Einwilligung. Der wesentliche Unterschied zur heutigen RechtslageIn § 28 BDSG waren Ausnahmen von diesem Einwilligungserfordernis definiertDazu zählte auch das sogenannte „Listenprivileg“. Dabei handelte es sich um eine datenschutzrechtliche Ausnahmeregelung, die Unternehmen die Verarbeitung oder Nutzung listenmäßig oder sonst zusammengefasste(r) Daten für Zwecke der Werbung erlaubte.  

Im Vergleich zu heute war diese Lösung restriktiver, weil Werbung nur in den engen Grenzen des § 28 BDSG möglich war. Andererseits machten die explizit genannten Ausnahmen die Zulässigkeitsprüfung der werblichen Ansprache einfacher. Mit dem Inkrafttreten der DS-GVO ist § 28 BDSG entfallen 

Wie sieht es heute aus, welche Rechtsgrundlagen definiert die DS-GVO als Leitplanken für diwerbliche Kundenansprache? 

Die DS-GVO hat die Zulässigkeit der werblichen Ansprache für deutsche Unternehmen neu definiert. Das bis zum Inkrafttreten der DS-GVO geltende Listenprivileg und damit verbundene Wettbewerbsnachteile gegenüber Unternehmen aus anderen Mitgliedstaaten der EU sind weggefallen. Doch erleichtert die DS-GVO die werbliche Ansprache auch 

„Es kommt darauf an“ lautet die Antwort von Datenschützern. Denn heute müssen sich Unternehmen im ersten Schritt überlegen, welcher Kontaktweg für die werbliche Ansprache genutzt werden soll (z.B. E-Mail, Anrufe, Post). Danach sind die Zielgruppen klar zu definieren – differenziert nach Interessenten, Bestandskunden, Geschäftspartner. Erst wenn beide Merkmale feststehen, kann bestimmt werden, ob die werbliche Ansprache im konkreten Fall auf die Einwilligung oder auf Interessensabwägung gestützt wird.  

So ist das Einholen einer Einwilligung in werbliche Ansprachen möglicherweise nicht erforderlich, wenn Bestandskunden angesprochen werden sollen. Bei Interessenten muss sie dagegen zwingend vorliegen. Entscheidend ist immer die jeweilige Konstellation. 

Welche Kriterien müssen Einwilligungen erfüllen, um rechtskonform zu sein? 

Als rechtskonform gilt eine Einwilligung nur dannwenn sie in informierter Weise und bezogen auf den konkreten Einzelfall freiwillig abgegeben wird. Doch der Reihe nach.  

In informierter Weise heißt, dass sämtliche Informationen zur Datenverarbeitung transparent und erkennbar dargestellt werden. Übertragen auf die Werbung bedeutet dies, dass über die Art der Werbung (z.B. E-Mail, SMS, Brief oder Telefon) sowie über die angebotenen Produkte und Dienstleistungen informiert wird. Der Betroffene soll auch erkennen können, welche Unternehmen für ihre Produkte werben. Detailliert geregelt sind die Informationspflichten in Art. 13 DS-GVO.  

Ein weiterer zentraler Aspekt ist die Freiwilligkeit. Im Rahmen der Werbung soll dieses Erfordernis durch Opt-In in Form einer Check-Box umgesetzt werden. Mit dem aktiven Setzen eines Häkchens bekundet der Kunde oder Interessent, dass er die Einwilligung freiwillig erteilt und dass diese tatsächlich von ihm stammt. Der Einwilligungstext und ein Link zu allen datenschutzrechtlich relevanten Informationen sollten direkt neben der Check-Box stehen – erkennbar abgesetzt von anderen ErklärungenSo ist für Kunden oder Interessenten unmissverständlich klar, dass sie mit dem Setzen des Häkchens ihre Einwilligung gebenDiese darf zudem nicht pauschal, sondern nur für den Einzelfall eingeholt werden.  

Im Hinblick auf die Freiwilligkeit sei noch das sogenannte Koppelungsverbot erwähntSo ist es laut Art. 7 Abs. 4 DS-GVO nicht zulässig, die Einwilligung zur Voraussetzung für eine Vertragserfüllung zu machen, sofern die Verarbeitung der betreffenden Daten für die Vertragserfüllung nicht notwendig ist. Beispiel: Möchte ein Kunde eine Reise buchen, ist es zur Erfüllung der vertraglichen Hauptleistung nicht nötigdass er in diesem Zusammenhang eine Einwilligung zur Datenverarbeitung für nachfolgende Glücksspielangebote erteilt.  

Wichtig ist auch, dass die Einwilligung in klarer und einfacher Sprache formuliert ist. Zwingend erforderlich ist ein Hinweis auf das jederzeitige Widerrufsrecht. Und last but not least – die Unternehmen haben das Vorliegen einer Einwilligung nachzuweisen. Dies kann mithilfe des unternehmenseigenen CRM-Systems bzw. durch die Einhaltung des Double-Opt-In-Verfahrens erfüllt werden.  

Wann können sich Unternehmen auf ein überwiegendes Interesse als Rechtsgrundlage berufen?  

Eine Einwilligung ist nur in den Fällen nicht erforderlich, in denen sich Unternehmen auf ihr berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO berufen können. 

Dieser besagt:  

„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ 

 Ob dieses im Einzelfall das Kundeninteresse überwiegt oder mit diesem gleichwertig ist – auch dies würde als Rechtfertigung genügen – hängt von der jeweiligen Konstellation ab. Hier ist in jedem Fall eine sorgfältige Interessensabwägung nötig, die zwingend zu dokumentieren ist. Nur so können die Unternehmen ihrer Rechenschaftspflicht nachkommen. 

Auf B2B-Ebene, im Dialog von Unternehmen zu Unternehmen, sind die Spielräume am größten.  

Beispiel: Ist ein Unternehmen mit einem Geschäftskunden regelmäßig beratend im Gespräch, dürfte es datenschutzrechtlich unbedenklich sein, diesen anzurufen und ihn im Rahmen der Beratung über eine Produktneuentwicklung zu informieren, die für ihn von Nutzen sein könnte.  

Das berechtigte Interesse des Unternehmens kann auch im Fall der Verarbeitung von Endverbraucherdaten überwiegen. Etwfür werbliche Angebote an Bestandskunden, sofern das Unternehmen zuvor transparent gemäß der Informationspflichten nach Art. 13 DS-GVO auf die Datennutzung zu werblichen Zwecken hingewiesen hat.  

Wichtig ist, dass sich die Datennutzung für die betroffene Person in einem zu erwartenden Rahmen bewegt und mit der klar kommunizierten Möglichkeit zum Widerspruch verknüpft ist 

Außerdem wichtig: Widerspricht der Kunde, dürfen seine personenbezogenen Daten für diese Zwecke nicht mehr verarbeitet werden und sind zwingend in eine Werbesperrliste des werbenden Unternehmens aufzunehmen. Durch Datenabgleich kann einem Datenschutzverstoß durch werbliche Ansprache trotz eines bestehenden Widerrufs vorgebeugt werden. 

Apropos Interessenabwägung: Was ist, wenn Unternehmen durch Profiling die Interessen der Angesprochenen genau treffen? 

Natürlich dürfen Unternehmen eigene Nutzer- bzw. Interessentenprofile auf Basis rechtmäßig erhobener Daten erstellen – zum Beispiel mithilfe von Algorithmen. Ein solches Profiling darf aber keinesfalls auf Art 6 Abs. 1 S. 1 lit. f DS-GVO gestützt werden.  

Im Gegenteil: Gerade bei der für ein Profiling erforderlichen Form der Datenverarbeitung muss der Betroffene zuvor explizit eingewilligt und dieser Form der Datenverarbeitung zugestimmt haben. Sprich: Unternehmen, die personenbezogene Daten für das Profiling nutzen möchten, müssen dies transparent als eine Möglichkeit der Datennutzung ankündigen und die Einwilligung dazu haben. 

Wie genau sehen Aufsicht und Justiz eigentlich hin, werden Verstöße konsequent geahndet? 

Verstöße können hohe Bußgelder zur Folge haben. Und die anfängliche Schonfrist nach Einführung der DS-GVO im Jahr 2018 scheint inzwischen abgelaufen zu sein. Darauf deuten prominente Fälle hin, wie jüngst etwa ein Verfahren gegen die AOK Baden-Württemberg. Der Krankenversicherer hatte ein Gewinnspiel durchgeführt und die erhoben Daten anschließend für werbliche Ansprachen genutzt. Technisch und organisatorisch war aber offenbar nicht sichergestellt, dass nur Gewinnspielteilnehmer angeschrieben wurden, von denen auch explizite Einwilligungen vorlagenDie zuständige Landesbehörde in Baden-Württemberg erhob daraufhin ein Bußgeld in Höhe von 1,24 Millionen Euro. 

Macht es rechtlich einen Unterschied, ob die werbliche Ansprache per Telefon, E-Mail oder Post erfolgt? 

Im Grundsatz gilt: Unternehmen müssen für die Verarbeitung personenbezogener Daten zum Zwecke der werblichen Ansprache immer eine Rechtsgrundlage haben. Ganz gleich, ob die Ansprache per E-Mail, Telefon oder Post erfolgt. Die Rechtsgrundlagen sind in der DS-GVO definiert. Wenn es um die Bewertung der Schwere von Verstößen geht, macht die Wahl des Kommunikationskanals jedoch sehr wohl einen Unterschied.  

Anrufe per Telefon sind gravierende Eingriffe in die Privatsphäre. Angerufene Personen haben kaum eine Chance, dem Dialog zu entgehen. Als weniger schwerwiegend gelten werbliche Ansprachen per E-Mail und erst recht per Post. Auch wenn die Datenverarbeitung zum Zwecke der Ansprache nie ohne eine Einwilligung oder eine Rechtsgrundlage erfolgen darf.  

Darüber hinaus gibt es für Unternehmen noch Sonderregelungen zur werblichen Ansprache, die im § 7 des Gesetzes gegen unlauteren Wettbewerb (UWG) stehenHier wird explizit etwa der Einsatz von automatischen Anrufmaschinen, Call-Centern und Faxgeräten angesprochen. Bei diesen Kommunikationskanälen muss die Einwilligung der betroffenen Person zwingend vorliegen. Wichtig zu wissen: DS-GVO und UWG sind zwei voneinander unabhängige Rechtsgebiete. Bestimmte Datenverarbeitungen können datenschutzrechtlich zulässig und gleichwohl wettbewerbswidrig sein. Zwar enthält § 7 UWG auch persönlichkeitsschützende Merkmale, das primäre Ziel der Norm ist es allerdings, unlauteren geschäftlichen Praktiken vorzubeugen. Aus diesem Grund darf auf diese Norm nicht tiefer eingegangen werden. Das UWG ist ein Gesetz, für das externe Datenschutzbeauftragte kein Beratungsmandat haben.   

Wie lange sind Einwilligungen in die Verarbeitung personenbezogener Daten gültig? 

Ein offizielles Verfallsdatum ist nicht definiertAllerdings gibt es Stimmen in der Rechtsprechung, denen zufolge Einwilligungen auch nicht bedingungslos unbegrenzt gültig sein können. So hat das Landgericht München eine Einwilligung für ungültig erklärt, die ein Unternehmen zwar eingeholt, aber erstmalig erst anderthalb Jahre später als Rechtsgrundlage für eine werbliche Ansprache genutzt hatte.  

Fazit 

Das Bewusstsein für einen sensiblen und rechtskonformen Umgang mit personenbezogenen Daten wächst. Umso mehr sollten Unternehmen in ihre Datenschutzprozesse investieren und sich damit als verlässlicher Partner im Markt positionieren. Zum Wohle aller Kunden und Geschäftspartner sowie der eigenen Marktposition.  

 

5 Praxistipps für datenschutzkonforme werbliche Ansprache 

  1. Nutzen Sie als Unternehmen ein Opt-in Verfahren mit Check-Boxen zum Einholen von Einwilligungen. Verlinken Sie den Einwilligungstext unbedingt mit allen relevanten Informationen zur beabsichtigten Datenverarbeitung. Das ist der Goldstandard.

  2. Um auf der sicheren Seite zu sein, müssen Sie alle Einwilligungen sauber dokumentieren. Am besten gelingt dies per Double-Opt-in. Interessenten setzen ihr Einwilligungs-Häkchen, erhalten dazu eine Nachricht per E-Mail oder SMS und bestätigen diese über einen Bestätigungslink. Der gesamte Vorgang wird mit allen Nachrichten im unternehmenseigenen CRM-System abgelegt.

  3. Sorgen Sie für maximale Transparenz und kommunizieren Sie das gesetzlich verbürgte Widerspruchrecht, indem Sie die Möglichkeit zum Opt-out konsequent anbieten.

  4. Unternehmenskunden verfügen meist über allgemeine E-Mail-Postfächer (info@...). Darüber sind werbliche Ansprachen im üblichen Rahmen grundsätzlich unbedenklich. Selbst in diesen Fällen sollte jede werbliche Ansprache jedoch gut überlegt sein.

  5. Sie möchten Kontakt zu Neukunden aufbauen? Dann sorgen Sie dafür, dass diese aktiv auf Sie zukommen. Zum Beispiel auf Messen, oder weil sie über Fachbeiträge, Blogartikel oder nicht personalisiert verteilte Flyer aufmerksam werden. 


Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenloses Erstgespräch vereinbaren

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München