Rechtskonformes E-Mailmarketing nach DSGVO

Beim E-Mailmarketing sind neben datenschutzrechtlichen auch lauterkeitsrechtliche Anforderungen zu berücksichtigen. Wer nicht nur E-Mails versenden, sondern auch die E-Mailnutzung durch den Empfänger analysieren möchte, braucht laut DSGVO (Datenschutz-Grundverordnung) auch hierfür eine Rechtsgrundlage. Die wichtigsten Punkte zum datenschutzkonformen E-Mailmarketing finden Sie in unserer praktischen Anleitung.

E-Mail-Versand (1): Werbung als berechtigtes Interesse

Aus Erwägungsgrund 47 DSGVO letzter Satz folgt, dass das Interesse des Unternehmens an Direktwerbung ausdrücklich als ein berechtigtes Interesse des Unternehmens anerkannt wird. Nicht klar dagegen wird, was alles unter Direktwerbung zu fassen ist. Dies schließt sicherlich den Werbeversand auf dem Postweg und in der Regel auch per elektronischer Post mit ein.

Fest steht, dass die berechtigten Interessen grundsätzlich mit den schutzwürdigen Interessen des Betroffenen abzuwägen sind. Allerdings überwiegt das berechtigte Interesse des Unternehmens gemäß Erwägungsgrund 47 DSGVO regelmäßig bereits dann, wenn der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung [für Werbezwecke] erfolgen wird“. Eine solche Erwartungshaltung sollte zu bejahen sein, wenn der Betroffene informiert wurde

Eine Abwägung im Einzelfall muss in diesen Fällen stets nachweislich vorgelegt werden können. Diese muss dem Einzelfall Rechnung tragen und das überwiegende Interesse des Unternehmens auch tatsächlich belastbar belegen.

Neben den – scheinbar gelockerten – datenschutzrechtlichen Anforderungen an eine Nutzung von Daten für Werbezwecke müssen allerdings auch weiterhin die – unverändert strengen – lauterkeitsrechtlichen Anforderungen berücksichtigt werden. Diese lassen E-Mailwerbung ohne vorherige ausdrückliche Einwilligung nur zu, wenn mit ihr ausschließlich eigene Produkte beworben werden, die dem ursprünglich vom Kunden gekauften Produkt ähnlich sind. Bei der (Erst-)Erhebung der Adresse muss zudem über die beabsichtigte Bewerbung informiert werden. Damit ist der Anwendungsbereich für E-Mailwerbung ohne Einwilligung eng und muss restriktiv verstanden werden. Für die meisten Unternehmen empfiehlt sich in der Praxis bereits aus Gründen der Rechtssicherheit eine Einwilligung des Betroffenen einzuholen.

E-Mail-Versand (2): Werbung mit Einwilligung

Eine Einwilligung ist nur rechtswirksam, wenn der Gegenstandsbereich der Einwilligung konkret und abschließend beschrieben ist. Der zwingende Inhalt einer Einwilligung ist in Art. 7 Abs. 1 DSGVO beschrieben. So machen zu weit gefasste und nur vage beschriebene Werbezwecke, wie sie u. a. bei vielen sozialen Netzwerken zu finden sind, die Einwilligung unwirksam.

Transparenz bedeutet auch, dass die Person die Einwilligungserklärung nicht „überlesen“ kann, weil sie zwischen anderen Erklärungstexten versteckt ist. Darüber hinaus muss die Einwilligung freiwillig erfolgen. Das Freiwilligkeitsgebot ist dann missachtet, wenn der Erhalt einer Leistung in rechtswidriger Weise von der Einwilligung in die Datenverarbeitung abhängig gemacht wird. Ob eine rechtswidrige Kopplung vorliegt, kann wiederum nur im Einzelfall gesagt werden (siehe unser Ratgeber zum Kopplungsprüfungsgebot).

Lauterkeits- und Datenschutzrecht verlangen zudem eine ausdrückliche Einwilligung – also eine Einwilligung, die auf der aktiven Handlung des Betroffenen beruht. Vorangekreuzte Checkboxen scheiden daher aus. Das werbende Unternehmen muss schließlich im Zweifel belegen können, dass es eine Einwilligung in die E-Mailwerbung auch wirklich von der beworbenen Person – und nicht von einer anderen Person – erhalten hat (Art. 7 Abs. 1 DSGVO). Dies lässt sich rechtskonform mithilfe des Double-Opt-in-Verfahrens bewerkstelligen, d. h. die Person erhält erst dann eine Werbe-E-Mail, wenn sie in einer werbefreien E-Mail einen Bestätigungslink angeklickt hat. Zum anderen muss die Einwilligung, sofern sie elektronisch erteilt wird, protokolliert werden und für den Betroffenen jederzeit abrufbar sein.

E-Mail-Versand (3): Lauterkeitsrecht und die sog. „Bestandskundenausnahme“

Neben den datenschutzrechtlichen Bestimmungen sind stets auch die lauterkeitsrechtlichen Einwilligungsanforderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten. Danach bedarf eine Einwilligung in den Erhalt elektronischer Post einer vorherigen und ausdrücklichen Willensbetätigung (§ 7 Abs. 2 Nr. 3 UWG). Ausdrücklich ist dabei gleichbedeutend mit einem nicht vorangekreuzten (Hard) Opt-In.

In dieser Hinsicht ändert sich nichts zur datenschutzrechtlichen Voraussetzung der Einwilligung im Punkt zuvor. Rechtsgrundlage für die Nutzung personenbezogener Daten zu Werbezwecken ist daher regelmäßig die Einwilligung oder das berechtigte Interesse. Stützt man die Werbemaßnahme auf das berechtigte Interesse des Unternehmens, ohne eine Einwilligung einzuholen, kann dies aber im Widerspruch zur wettbewerbsrechtlichen Regelung des § 7 Abs. 2 Nr. 3 UWG stehen, da dies nur vorbehaltlich der strengen Ausnahmen des § 7 Abs. 3 UWG möglich ist, nämlich im Falle der sog. „Bestandskundenausnahme.“

§ 7 Abs. 3 UWG enthält die wichtigste Ausnahme vom grundsätzlichen Verbot, E-Mail-Werbung zu verschicken. Eine Werbe-E-Mail darf danach versandt werden, wenn,

  1. der Werbende zu der E-Mailadresse tatsächlich durch ein Kundenverhältnis, also beim Erwerb einer Ware oder Dienstleistung gelangt,
  2. ausschließlich Produkte beworben werden, die denen des einst verkauften Produktes ähnlich sind und ebenfalls vom Unternehmen stammen,
  3. der Kunde der werblichen Verwendung seiner E-Mailadresse nicht widersprochen hat und
  4. der Kunde bei der Erhebung und bei jeder Werbung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann.

Im Ergebnis: Soweit eine wettbewerbsrechtliche Zulässigkeit nach § 7 Abs. 3 UWG besteht, gibt es die Möglichkeit Vertragskunden auch ohne Einwilligung zu bewerben, wenn die zusätzlichen Voraussetzungen des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO vorliegen (vernünftige Erwartungen des Beworbenen). Dies dürfte im Falle der wettbewerbsrechtlichen Zulässigkeit regelmäßig der Fall sein. Sind die Voraussetzungen des § 7 Abs. 3 UWG nicht erfüllt, kann eine Bewerbung der Person auch in einem Vertragsverhältnis nie ohne Einwilligung erfolgen, da § 7 Abs. 3 UWG in diesem Fall der DSGVO vorgeht.

E-Mail-Auswertung: anonymisiertes, pseudonymisiertes und direkt identifizierendes Tracking

Die Auswertung der Nutzung ausgesandter Werbe-E-Mails ist z. B. durch individualisierte Ein-Pixel-Bilder möglich, die beim Empfang der E-Mail vom Server des werbenden Unternehmens nachgeladen werden. Beim Abruf des Bildes kann u. a. die IP-Adresse, der E-Mailclient und der Abrufzeitpunkt festgehalten werden. Auch ist es möglich, in der E-Mail enthaltene Links auf Angebote des werbenden Unternehmens zu individualisieren, sodass nachvollziehbar wird, wer einen bestimmten Link angeklickt und sich für das verlinkte Produkt interessiert hat.

Da jedenfalls solche E-Mailadressen, die den Vor- und Nachnamen der Person enthalten als personenbezogen anzusehen sind, kann das werbende Unternehmen mithilfe des Pixels bzw. der Links personenbezogene Daten erheben. Möglich ist jedoch auch eine anonymisierte Analyse der E-Mailnutzung. Diese ist datenschutzrechtlich unproblematisch. Wird dagegen eine individualisierte Nutzungsauswertung angestrebt, muss zwischen einer pseudonymisierten und einer direkt identifizierenden Auswertung unterschieden werden.

Eine direkt identifizierende Auswertung darf nur mit Einwilligung der Person erfolgen. Die Einwilligung muss, um wirksam zu sein, die oben beschriebenen Kriterien erfüllen. Wichtig ist insbesondere, dass der Nutzer genau darüber aufgeklärt wird, welche konkreten Daten erhoben werden und für welchen konkreten Zweck sie genutzt werden sollen.

Eine pseudonymisierte Auswertung erfolgt dann, wenn Daten, die den E-Mailempfänger unmittelbar identifizieren würden – hierzu gehört die IP-Adresse und meist auch die E-Mailadresse – getrennt von den Daten zur E-Mailnutzung gespeichert werden. Es muss organisatorisch und technisch sichergestellt sein, dass die Daten über die Nutzung der Werbe-E-Mail – z. B. wann ein bestimmter E-Mailadressat die Werbe-E-Mail geöffnet hat – nicht mit identifizierenden Merkmalen wie der E-Mailadresse zusammengeführt werden können.

Die für sich genommen anonymen Daten zur Nutzung der E-Mail durch einen bestimmten E-Mailadressaten dürfen jedoch einer bestimmten ID zugeordnet werden – dem Pseudonym. Das Pseudonym ermöglicht es somit, trotz fehlender identifizierender Daten wie der E-Mailadresse oder der IP-Adresse, die Nutzungsdaten einem bestimmten Nutzer zuzuordnen. Bei ausreichender Pseudonymisierung kann die Verarbeitung erfolgreich auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden; es bedarf also keiner Einwilligung des Betroffenen. Allerdings bedarf es auch in diesem Fall einer Abwägung im Einzelfall. Oftmals muss in der Praxis hinterfragt werden, ob eine solche Reichweitenmessung im Unternehmen überhaupt mittels der eingesetzten Tools technisch realisiert werden kann.

Ob pseudonymisierte Nutzungsprofile aus datenschutzrechtlicher Sicht trotz fehlender „Klardaten“ überhaupt personenbezogen sind – und damit dem Datenschutzrecht unterfallen – oder aber als anonymisiert anzusehen sind, war bis zur Verabschiedung der Datenschutz-Grundverordnung umstritten. Die DSGVO schafft nun Klarheit über die Personenbezogenheit von pseudonymisierten Nutzungsprofilen: Art. 4 Nr. 1 DSGVO sieht die namentliche Identifizierung nur noch als eine von vielen möglichen Identifizierungsformen an. So gilt eine natürliche Person auch dann als identifizierbar, wenn sie direkt oder indirekt einer Kennnummer oder einer Online-Kennung zugeordnet werden kann. Gerade dies ist Absicht pseudonymisierter Nutzungsprofile.

Widerspruch macht Verarbeitung unzulässig

Sowohl der Versand von Werbe-E-Mails als auch das Tracking der E-Mailnutzung ist unzulässig, wenn der Betroffene der Werbung bzw. dem Tracking widersprochen hat. Der Widerspruch gegen Direktwerbung ist in Art. 21 Abs. 2, 3 DSGVO ausdrücklich geregelt.

Der E-Mail-Empfänger muss dem E-Mailempfang jederzeit widersprechen können und muss darüber bei der Erhebung der E-Mailadresse informiert werden. Informiert werden muss bei der Erhebung der Adresse auch darüber, dass diese für Werbezwecke genutzt werden soll.

Wird das Marketing auf eine Einwilligung gestützt, kann der betroffene Werbeadressat seine Einwilligung(en) jederzeit widerrufen. Auch in diesem Fall müssen alle darauf gestützten Werbemaßnahmen künftig unterlassen werden.

Darüber hinaus beinhaltet die DSGVO in Artikel 13 umfangreiche Informationspflichten. Zur rechtkonformen Umsetzung (z. B. durch entsprechende Ausgestaltung der Website-Datenschutzerklärung) sollte unbedingt ein Experte im Bereich Datenschutz hinzugezogen werden.

Nicht nur hohe Bußgelder bei rechtswidrigem E-Mailmarketing drohen

Eine rechtswidrige Verarbeitung der E-Mailadresse nach DSGVO kann hohe Bußgelder nach sich ziehen, wie die Vergangenheit zeigte. Darüber hinaus kann der E-Mail-Adressat das werbende Unternehmen auch auf Unterlassen verklagen und ferner immateriellen Schadensersatz einfordern. Eine Unterlassungsklage ist zudem auch durch im Wettbewerb stehende Unternehmen denkbar.

Eine rechtswidrige Verarbeitung liegt z. B. schon dann vor, wenn der Beworbene der E-Mailwerbung widersprochen hat oder im Vorfeld keine rechtswirksame Einwilligung eingeholt wurde. Erfolgt der Versand der Werbe-E-Mails mittels der sog. „Bestandskundenausnahme“ müssen alle Voraussetzungen hierfür vorliegen. Da dies in der Praxis mit zahlreichen rechtlichen Fallstricken verbunden ist, empfiehlt es sich vorab den Hausjuristen zu konsultieren oder auf externe juristische Expertise zurückzugreifen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.