EU-Datenschutz-Grundverordnung: Das ändert sich beim E-Mailmarketing

activeMind AG - E-Mail-Marketing in der EU-Datenschutz-Grundverordnung

Die europäische Datenschutz-Grundverordnung (DSGVO) tritt im Mai 2018 in Kraft und ersetzt weitgehend das derzeit geltende Datenschutzrecht – einschließlich der Vorgaben für das E-Mailmarketing. Welche wichtigen Änderungen gibt es? Und wo besteht seitens des Gesetzgebers noch Klärungsbedarf?

Die aktuelle Rechtslage beim E-Mail-Marketing

Derzeit gelten strenge Datenschutzregeln für die Verarbeitung von Daten für Marketingzwecke. So dürfen ohne Einwilligung eines Bestandkunden zunächst einmal nur sogenannte Listendaten für Werbezwecke genutzt werden. Hierzu gehören Berufs-, Branchen- oder Geschäftsbezeichnung, Name, Titel bzw. akademischer Grad, Anschrift und Geburtsjahr. Die E-Mailadresse darf unter bestimmten Voraussetzungen einer solchen Liste hinzugespeichert werden. Damit ist jedoch noch nicht gesagt, ob der Betroffene über seine E-Mailadresse auch werblich angesprochen werden darf.

Denn neben dem Datenschutzrecht ist im Falle von E-Mailmarketing stets auch das Lauterkeitsrecht zu beachten. Dieses lässt E-Mailwerbung ohne vorherige ausdrückliche Einwilligung nur zu, wenn mit ihr eigene Produkte beworben werden, die dem ursprünglich vom Kunden gekauften Produkt ähnlich sind. Bei der Erhebung der Adresse muss zudem über die beabsichtigte Bewerbung informiert werden. Damit ist der Anwendungsbereich für E-Mailwerbung ohne Einwilligung nach geltendem Recht eng und auch etwas schwammig (Wann ist ein Produkt noch ähnlich?), weshalb die meisten Unternehmen in der Praxis bereits aus Gründen der Rechtssicherheit eine Einwilligung des Betroffenen einholen.

Eine Einwilligung ist nur rechtswirksam, wenn der Gegenstandsbereich der Einwilligung konkret und abschließend beschrieben ist. So machen zu weit gefasste und nur vage beschriebene Werbezwecke, wie sie u.a. bei Facebook & Co. zu finden sind, die Einwilligung unwirksam. Transparenz bedeutet auch, dass die Person die Einwilligungserklärung nicht „überlesen“ kann, weil sie zwischen anderen Erklärungstexten versteckt ist. Darüber hinaus muss die Einwilligung freiwillig erfolgen. Das Freiwilligkeitsgebot ist dann missachtet, wenn der Erhalt einer Leistung in rechtswidriger Weise von der Einwilligung in die Datenverarbeitung abhängig gemacht wird. Ob eine rechtswidrige „Kopplung“ vorliegt, kann wiederum nur im Einzelfall gesagt werden.

Das Lauterkeitsrecht verlangt zudem eine ausdrückliche Einwilligung – also eine Einwilligung, die auf der aktiven Handlung des Betroffenen beruht. Vorangekreuzte Checkboxen scheiden daher aus. Das werbende Unternehmen muss schließlich im Zweifel belegen können, dass es eine Einwilligung in die E-Mailwerbung auch wirklich von der beworbenen Person – und nicht von einer anderen Person – erhalten hat. Dies lässt sich rechtskonform mithilfe des Double-Opt-in-Verfahrens bewerkstelligen, d. h. die Person erhält erst dann eine Werbe-E-Mail, wenn sie in einer werbefreien E-Mail einen Bestätigungslink angeklickt hat. Zum anderen muss die Einwilligung, sofern sie elektronisch erteilt wird, protokolliert werden und für den Betroffenen jederzeit abrufbar sein.

EU-Datenschutz-Grundverordnung: Werbung als legitimes Interesse

Das starre und gleichzeitig oft schwammige Listenprivileg sorgte und sorgt in der Praxis immer wieder für Rechtsunsicherheit und in der datenschutzrechtlichen Literatur für Unmut. So verzichtet der größte deutsche Datenschutzkommentar demonstrativ auf eine Kommentierung der Listenprivileg-Erweiterung, die die Nutzung der E-Mailadresse gestattet. Die EU-Datenschutz-Grundverordnung enthält keine dem Listenprivileg vergleichbare komplizierte Regelung. Nach ihr ist die Verwendung von Daten für Direktwerbungszwecke nicht mehr – wie aktuell – nur ausnahmsweise und in „schwammigem Rahmen“ zulässig, sondern vielmehr grundsätzlich erlaubt. Dies folgt aus dem letzten Satz des Erwägungsgrundes 47 der Datenschutzgrundverordnung, in der das Interesse des Unternehmens an Direktwerbung ausdrücklich als ein berechtigtes Interesse des Unternehmens anerkannt wird.

Die berechtigten Interessen sind grundsätzlich mit den schutzwürdigen Interessen des Betroffenen abzuwägen. Allerdings überwiegt das berechtigte Interesse des Unternehmens gemäß Erwägungsgrund 47 DSGVO regelmäßig bereits dann, wenn der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung [für Werbezwecke] erfolgen wird“. Eine solche Erwartungshaltung sollte zu bejahen sein, wenn der Betroffene gemäß Artikel 13 Abs. 1c DSGVO bei der Datenerhebung über die Zwecke, für die die Daten verarbeitet werden sollen, sowie über die einschlägige Rechtsgrundlage (in diesem Fall Artikel 6 Abs. 1f) informiert wurde.

Neben den – gelockerten – datenschutzrechtlichen Anforderungen an eine Nutzung von Daten für Werbezwecke müssen allerdings auch weiterhin die – unverändert strengen – lauterkeitsrechtlichen Anforderungen berücksichtigt werden. An der Vorgabe, dass ausschließlich eigene ähnliche Produkte beworben werden dürfen, ändert sich daher auch mit der Datenschutzgrundverordnung zunächst einmal nichts. Angesichts der Aufweichung der datenschutzrechtlichen Werbeerlaubnis bleibt allerdings zu hoffen, dass auch im Lauterkeitsrecht eine marketingfreundliche Öffnung erfolgt. Denn andernfalls würde die datenschutzrechtliche Öffnung in der E-Mail-Werbepraxis leerlaufen.

Die oben skizzierten Anforderungen an eine rechtskonforme Einwilligung bleiben mit der europäischen Datenschutzgrundverordnung grundsätzlich erhalten. Ausdrücklich normiert ist zudem die Pflicht des Unternehmens, die Einwilligung nachweisen zu können (Art. 7 Abs. 1 DSGVO) – das Double-Opt-in-Verfahren lässt grüßen.

Die aktuelle Rechtslage bei der E-Mail-Auswertung

Die Auswertung der Nutzung ausgesandter Werbe-E-Mails ist z. B. durch individualisierte Ein-Pixel-Bilder möglich, die beim Empfang der E-Mail vom Server des werbenden Unternehmens nachgeladen werden. Beim Abruf des Bildes kann u.a. die IP-Adresse, der E-Mailclient und der Abrufzeitpunkt festgehalten werden. Auch ist es möglich, in der E-Mail enthaltene Links auf Angebote des werbenden Unternehmens zu individualisieren, sodass nachvollziehbar wird, wer einen bestimmten Link angeklickt und sich für das verlinkte Produkt interessiert hat.

Da jedenfalls solche E-Mailadressen, die den Vor- und Nachnamen der Person enthalten, nach geltendem Recht als personenbezogen angesehen werden, kann das werbende Unternehmen mithilfe des Pixels bzw. der Links personenbezogene Daten erheben. Möglich ist jedoch auch eine anonymisierte Analyse der E-Mailnutzung. Diese ist datenschutzrechtlich unproblematisch. Wird dagegen eine individualisierte Nutzungsauswertung angestrebt, muss nach geltendem Recht zwischen einer pseudonymisierten und einer personalisierten Auswertung unterschieden werden.

Eine personalisierte Auswertung darf nur mit Einwilligung der Person erfolgen. Die Einwilligung muss, um wirksam zu sein, die oben beschriebenen Kriterien erfüllen. Wichtig ist insbesondere, dass der Nutzer genau darüber aufgeklärt wird, welche konkreten Daten erhoben werden oder für welchen konkreten Zweck sie genutzt werden sollen.  Die Einwilligung muss ferner bewusst erfolgen – z. B. durch Setzen eines Häkchens – und jederzeit abrufbar sein, dem Nutzer also zur Verfügung gestellt werden können.

Eine pseudonymisierte Auswertung erfolgt nach geltendem Recht dann, wenn Daten, die den E-Mailempfänger unmittelbar identifizieren würden – hierzu gehört die IP-Adresse und meist auch die E-Mailadresse – getrennt von den Daten zur E-Mailnutzung gespeichert werden. Es muss organisatorisch und technisch sichergestellt sein, dass die Daten über die Nutzung der Werbe-E-Mail – z. B. wann ein bestimmter E-Mailadressat die Werbe-E-Mail geöffnet hat – nicht mit identifizierenden Merkmalen wie der E-Mailadresse zusammengeführt werden können. Die für sich genommen anonymen Daten zur Nutzung der E-Mail durch einen bestimmten E-Mailadressaten dürfen jedoch einer bestimmten ID zugeordnet werden – dem Pseudonym. Das Pseudonym ermöglicht es somit, trotz fehlender identifizierender Daten wie der E-Mailadresse oder der IP-Adresse, die Nutzungsdaten einem bestimmten Nutzer zuzuordnen.

Ob pseudonymisierte Nutzungsprofile aus datenschutzrechtlicher Sicht trotz fehlender „Klardaten“ personenbezogen sind – und damit grundsätzlich dem Datenschutzrecht unterfallen – oder aber als anonymisiert anzusehen ist, war bis zur Verabschiedung der Datenschutz-Grundverordnung umstritten.

EU-Datenschutz-Grundverordnung: Klarheit bei Identifiern, Unklarheit beim Profiling

Die Datenschutzgrundverordnung schafft zunächst einmal Klarheit über die Personenbezogenheit von pseudonymisierten Nutzungsprofilen: Art. 4 Nr. 1 DSGVO sieht die namentliche Identifizierung nur noch als eine von vielen möglichen Identifizierungsformen an. So gilt eine natürliche Person auch dann als identifizierbar, wenn sie direkt oder indirekt einer Kennnummer oder einer Online-Kennung zugeordnet werden kann. Gerade dies ist Absicht pseudonymisierter Nutzungsprofile.

Noch unklar ist allerdings, ob, wie es das Telemediengesetz (noch) fordert, die Zusammenführung von pseudonymisierten Daten mit „Klardaten“ – also zum Beispiel dem Namen einer Person – ohne Einwilligung des Nutzers erfolgen darf. Würde die entsprechende Regelung im Telemediengesetz von der Datenschutzgrundverordnung vollständig ersetzt, könnte die Profilbildung ggf. auf das oben beschriebene berechtigte Interesse des Unternehmens gestützt werden. Eine Trennung zwischen Klardaten und pseudonymisierten Daten ist in der Datenschutzgrundverordnung ausdrücklich nicht vorgesehen. Diese könnte sich allenfalls aus dem Datensparsamkeitsgrundsatz ergeben, dessen Missachtung mit der EU-Datenschutz-Grundverordnung erstmals ein hohes Bußgeld zur Folge haben kann.

Würde das telemedienrechtliche Zusammenführungsverbot tatsächlich fallen, würde damit das bestehende deutsche Datenschutzniveau in Deutschland beträchtlich unterschritten. Die deutschen Datenschutzbehörden haben daher bereits in einer gemeinsamen Stellungnahme Nachbesserungen gefordert. Die Datenschutz-Grundverordnung gewährt dem deutschen Gesetzgeber allerdings einen gewissen Ausgestaltungsspielraum. Daher ist damit zu rechnen, dass das Zusammenführungsverbot des TMG zumindest im Grundgedanken bestehen bleiben wird, so dass ohne Einwilligung des Nutzers auch zukünftig lediglich die pseudonymisierte E-Mailauswertung gestattet bleibt. An den oben skizzierten Anforderungen an eine rechtskonforme Einwilligung wird sich dagegen nichts ändern.

Bleibt unverändert: Widerspruch macht Verarbeitung und Nutzung unzulässig

Sowohl der Versand von Werbe-E-Mails als auch das Tracking der E-Mailnutzung ist unzulässig, wenn der Betroffene der Werbung bzw. dem Tracking widersprochen hat. Daran ändert sich auch mit der Datenschutz-Grundverordnung nichts. Der Widerspruch gegen Direktwerbung ist in Artikel 21 Abs. 2, 3 DSGVO ausdrücklich geregelt.

Der E-Mail-Empfänger muss dem E-Mailempfang jederzeit widersprechen können und muss darüber bei der Erhebung der E-Mailadresse informiert werden. Informiert werden muss bei der Erhebung der Adresse auch darüber, dass diese für Werbezwecke genutzt werden soll.

Die Datenschutzgrundverordnung beinhaltet in Artikel 13 deutlich umfangreichere Informationspflichten als das geltende Recht. Zur rechtkonformen Umsetzung (z. B. durch entsprechende Ausgestaltung der Website-Datenschutzerklärung) sollte unbedingt ein Datenschutzexperte hinzugezogen werden.

Höhere Bußgelder bei rechtswidrigem E-Mailmarketing drohen

Die vielleicht wichtigste Neuerung im Datenschutzrecht für Unternehmen ist die krasse Anhebung der Bußgeld-Maximalgrenzen. So kann eine rechtswidrige E-Mail-Datenverarbeitung derzeit noch mit bis zu 300.000 Euro bestraft werden, wenn für die Verarbeitung keine Rechtsgrundlage (mehr) besteht. Dies ist z.B. dann der Fall, wenn der Beworbene der E-Mailwerbung widersprochen hat. Werden beim Tracking der E-Mailnutzung die Nutzungsdaten mit den identifizierenden Daten zusammengeführt, droht derzeit ein Bußgeld von bis zu 50.000 Euro.

Dagegen kann eine rechtswidrige Erhebung und / oder Verarbeitung der E-Mailadresse nach der Datenschutzgrundverordnung mit bis zu 20.000.000 Euro oder im Falle eines Unternehmens mit bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

Bitte bewerten Sie diese Inhalte!
[24 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.