Beim E-Mailmarketing sind neben datenschutzrechtlichen auch lauterkeitsrechtliche Anforderungen zu berücksichtigen. Wer nicht nur E-Mails versenden, sondern auch die E-Mailnutzung durch den Empfänger analysieren möchte, braucht auch hierfür eine Rechtsgrundlage. Die wichtigsten Punkte zum datenschutzkonformen E-Mailmarketing finden Sie in unserer Kurzanleitung.

E-Mail-Versand (1): Werbung als berechtigtes Interesse

Das starre und gleichzeitig oft schwammige sogenannte Listenprivileg, das bei Werbung unter dem alten Bundesdatenschutzgesetz zu berücksichtigen war, sorgte in der Praxis immer wieder für Rechtsunsicherheit und in der datenschutzrechtlichen Literatur für Unmut.

Die EU-Datenschutz-Grundverordnung (DSGVO) enthält keine dem Listenprivileg vergleichbare komplizierte Regelung mehr. Nach ihr ist die Verwendung von Daten für Direktwerbungszwecke nicht mehr nur ausnahmsweise und im „schwammigem Rahmen“ zulässig, sondern vielmehr grundsätzlich erlaubt. Dies folgt aus dem letzten Satz von Erwägungsgrund 47 DSGVO, in dem das Interesse des Unternehmens an Direktwerbung ausdrücklich als ein berechtigtes Interesse des Unternehmens anerkannt wird.

Die berechtigten Interessen sind grundsätzlich mit den schutzwürdigen Interessen des Betroffenen abzuwägen. Allerdings überwiegt das berechtigte Interesse des Unternehmens gemäß Erwägungsgrund 47 DSGVO regelmäßig bereits dann, wenn der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung [für Werbezwecke] erfolgen wird“. Eine solche Erwartungshaltung sollte zu bejahen sein, wenn der Betroffene gemäß Art. 13 Abs. 1 lit. c DSGVO bei der Datenerhebung über die Zwecke, für die die Daten verarbeitet werden sollen, sowie über die einschlägige Rechtsgrundlage (in diesem Fall Art. 6 Abs. 1 lit. f DSGVO) sowie über das berechtigte Interesse informiert wurde.

Neben den – gelockerten – datenschutzrechtlichen Anforderungen an eine Nutzung von Daten für Werbezwecke müssen allerdings auch weiterhin die – unverändert strengen – lauterkeitsrechtlichen Anforderungen berücksichtigt werden. Dieses lässt E-Mailwerbung ohne vorherige ausdrückliche Einwilligung nur zu, wenn mit ihr ausschließlich eigene Produkte beworben werden, die dem ursprünglich vom Kunden gekauften Produkt ähnlich sind. Bei der Erhebung der Adresse muss zudem über die beabsichtigte Bewerbung informiert werden. Damit ist der Anwendungsbereich für E-Mailwerbung ohne Einwilligung eng und auch etwas schwammig (Wann ist ein Produkt noch ähnlich?), weshalb die meisten Unternehmen in der Praxis bereits aus Gründen der Rechtssicherheit eine Einwilligung des Betroffenen einholen.

E-Mail-Versand (2): Werbung mit Einwilligung

Eine Einwilligung ist nur rechtswirksam, wenn der Gegenstandsbereich der Einwilligung konkret und abschließend beschrieben ist. So machen zu weit gefasste und nur vage beschriebene Werbezwecke, wie sie u. a. bei Facebook & Co. zu finden sind, die Einwilligung unwirksam. Transparenz bedeutet auch, dass die Person die Einwilligungserklärung nicht „überlesen“ kann, weil sie zwischen anderen Erklärungstexten versteckt ist. Darüber hinaus muss die Einwilligung freiwillig erfolgen. Das Freiwilligkeitsgebot ist dann missachtet, wenn der Erhalt einer Leistung in rechtswidriger Weise von der Einwilligung in die Datenverarbeitung abhängig gemacht wird. Ob eine rechtswidrige „Kopplung“ vorliegt, kann wiederum nur im Einzelfall gesagt werden (siehe unser Ratgeber zum Kopplungsprüfungsgebot).

Lauterkeits- und Datenschutzrecht verlangen zudem eine ausdrückliche Einwilligung – also eine Einwilligung, die auf der aktiven Handlung des Betroffenen beruht. Vorangekreuzte Checkboxen scheiden daher aus. Das werbende Unternehmen muss schließlich im Zweifel belegen können, dass es eine Einwilligung in die E-Mailwerbung auch wirklich von der beworbenen Person – und nicht von einer anderen Person – erhalten hat (Art. 7 Abs. 1 DSGVO). Dies lässt sich rechtskonform mithilfe des Double-Opt-in-Verfahrens bewerkstelligen, d. h. die Person erhält erst dann eine Werbe-E-Mail, wenn sie in einer werbefreien E-Mail einen Bestätigungslink angeklickt hat. Zum anderen muss die Einwilligung, sofern sie elektronisch erteilt wird, protokolliert werden und für den Betroffenen jederzeit abrufbar sein.

E-Mail-Auswertung: anonymisiertes, pseudonymisiertes und direkt identifizierendes Tracking

Die Auswertung der Nutzung ausgesandter Werbe-E-Mails ist z. B. durch individualisierte Ein-Pixel-Bilder möglich, die beim Empfang der E-Mail vom Server des werbenden Unternehmens nachgeladen werden. Beim Abruf des Bildes kann u. a. die IP-Adresse, der E-Mailclient und der Abrufzeitpunkt festgehalten werden. Auch ist es möglich, in der E-Mail enthaltene Links auf Angebote des werbenden Unternehmens zu individualisieren, sodass nachvollziehbar wird, wer einen bestimmten Link angeklickt und sich für das verlinkte Produkt interessiert hat.

Da jedenfalls solche E-Mailadressen, die den Vor- und Nachnamen der Person enthalten als personenbezogen anzusehen sind, kann das werbende Unternehmen mithilfe des Pixels bzw. der Links personenbezogene Daten erheben. Möglich ist jedoch auch eine anonymisierte Analyse der E-Mailnutzung. Diese ist datenschutzrechtlich unproblematisch. Wird dagegen eine individualisierte Nutzungsauswertung angestrebt, muss zwischen einer pseudonymisierten und einer direkt identifizierenden Auswertung unterschieden werden.

Eine direkt identifizierende Auswertung darf nur mit Einwilligung der Person erfolgen. Die Einwilligung muss, um wirksam zu sein, die oben beschriebenen Kriterien erfüllen. Wichtig ist insbesondere, dass der Nutzer genau darüber aufgeklärt wird, welche konkreten Daten erhoben werden oder für welchen konkreten Zweck sie genutzt werden sollen.  Die Einwilligung muss ferner bewusst erfolgen – z. B. durch Setzen eines Häkchens – und jederzeit abrufbar sein, dem Nutzer also zur Verfügung gestellt werden können.

Eine pseudonymisierte Auswertung erfolgt dann, wenn Daten, die den E-Mailempfänger unmittelbar identifizieren würden – hierzu gehört die IP-Adresse und meist auch die E-Mailadresse – getrennt von den Daten zur E-Mailnutzung gespeichert werden. Es muss organisatorisch und technisch sichergestellt sein, dass die Daten über die Nutzung der Werbe-E-Mail – z. B. wann ein bestimmter E-Mailadressat die Werbe-E-Mail geöffnet hat – nicht mit identifizierenden Merkmalen wie der E-Mailadresse zusammengeführt werden können.

Die für sich genommen anonymen Daten zur Nutzung der E-Mail durch einen bestimmten E-Mailadressaten dürfen jedoch einer bestimmten ID zugeordnet werden – dem Pseudonym. Das Pseudonym ermöglicht es somit, trotz fehlender identifizierender Daten wie der E-Mailadresse oder der IP-Adresse, die Nutzungsdaten einem bestimmten Nutzer zuzuordnen. Bei ausreichender Pseudonymisierung kann die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden; es bedarf also keiner Einwilligung des Betroffenen.

Ob pseudonymisierte Nutzungsprofile aus datenschutzrechtlicher Sicht trotz fehlender „Klardaten“ überhaupt personenbezogen sind – und damit dem Datenschutzrecht unterfallen – oder aber als anonymisiert anzusehen sind, war bis zur Verabschiedung der Datenschutz-Grundverordnung umstritten. Die DSGVO schafft nun Klarheit über die Personenbezogenheit von pseudonymisierten Nutzungsprofilen: Art. 4 Nr. 1 DSGVO sieht die namentliche Identifizierung nur noch als eine von vielen möglichen Identifizierungsformen an. So gilt eine natürliche Person auch dann als identifizierbar, wenn sie direkt oder indirekt einer Kennnummer oder einer Online-Kennung zugeordnet werden kann. Gerade dies ist Absicht pseudonymisierter Nutzungsprofile.

Widerspruch macht Verarbeitung unzulässig

Sowohl der Versand von Werbe-E-Mails als auch das Tracking der E-Mailnutzung ist unzulässig, wenn der Betroffene der Werbung bzw. dem Tracking widersprochen hat. Der Widerspruch gegen Direktwerbung ist in Art. 21 Abs. 2, 3 DSGVO ausdrücklich geregelt.

Der E-Mail-Empfänger muss dem E-Mailempfang jederzeit widersprechen können und muss darüber bei der Erhebung der E-Mailadresse informiert werden. Informiert werden muss bei der Erhebung der Adresse auch darüber, dass diese für Werbezwecke genutzt werden soll.

Darüber hinaus beinhaltet die DSGVO in Artikel 13 deutlich umfangreichere Informationspflichten als das frühere deutsche Datenschutzrecht. Zur rechtkonformen Umsetzung (z. B. durch entsprechende Ausgestaltung der Website-Datenschutzerklärung) sollte unbedingt ein Datenschutzexperte hinzugezogen werden.

Hohe Bußgelder bei rechtswidrigem E-Mailmarketing drohen

Die vielleicht wichtigste Neuerung im Datenschutzrecht für Unternehmen ist die krasse Anhebung der Bußgeld-Maximalgrenzen.

Eine rechtswidrige Verarbeitung der E-Mailadresse nach DSGVO kann mit bis zu 20 Mio. Euro oder im Falle eines Unternehmens mit bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Eine rechtswidrige Verarbeitung liegt z. B. schon dann vor, wenn der Beworbene der E-Mailwerbung widersprochen hat.

Bitte bewerten Sie diese Inhalte!
[27 Bewertung(en)/ratings]

Dieser aktualisierte Artikel wurde zuerst am 26. Juli 2016 veröffentlicht.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.