Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Auch in Zeiten enormer Popularität von Facebook, Twitter und Co gehören Newsletter zu den erfolgreichsten Marketing-Tools im E-Commerce. Daran wird sich auch im Jahr 2018 nichts ändern. Für frischen Wind sorgt im kommenden Jahr jedoch die Datenschutzgrundverordnung (DSGVO). Welche rechtlichen Neuerungen die DSGVO für Newsletter-Werbung bereithält, erfahren Sie im folgenden Gastbeitrag der IT Recht Kanzlei München.
DATENSCHUTZ NUR BEI PERSONENBEZOGENEN DATEN
Die DSGVO soll ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten schaffen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Bei Daten, die typischerweise bei einer Newsletter-Anmeldung abgefragt werden (wie Name und E-Mail-Adresse), liegt ein Personenbezug eindeutig vor. Insoweit ändert sich durch die DSGVO nichts im Vergleich zur bisherigen Rechtslage in Deutschland
RECHTFERTIGUNG DER DATENERHEBUNG
Damit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn
- sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
- der Nutzer eingewilligt hat.
Auch die DSGVO schreibt damit ein Verbot mit Erlaubnisvorbehalt fest.
KEINE EINWILLIGUNG BEI DIREKTWERBUNG
Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung der Webseitenuser, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreibers ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie
- „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“
sind,
- „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“
Es muss also zunächst ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist. Der Begriff des „berechtigten Interesses“ wird in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO weit verstanden. Als Beispiel für ein berechtigtes Interesse nennt Erwägungsgrund 47 zur DSGVO das Bestehen eines (Rechts-)Verhältnisses zwischen Verantwortlichem und Betroffenem, wobei insbesondere das Interesse des Verantwortlichen an Direktwerbung genannt wird, worunter auch der Versand von Newsletter-Werbung fallen kann. Dieser „kann“ als einem berechtigten Interesse dienend qualifiziert werden (Erwägungsgrund 47 Satz 7 zur DSGVO, vgl. dazu auch Frenzel in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 6 DSGVO Rn. 28).
Diese doch recht schwammigen Aussagen helfen bei der Ermittlung des berechtigten Interesses des Händlers an E-Mail-Werbung nur bedingt weiter. Abhilfe schafft an dieser Stelle jedoch Art. 95 DSGVO. Danach gilt der § 7 Abs. 3 UWG als „besondere Regelung“ aus der ePrivacy-Richtlinie (Art. 13 2002/58/EG) auch weiterhin. Das bedeutet: § 7 Abs. 3 UWG bleibt auch unter der DSGVO erhalten, mit der Folge, dass Newsletter-Werbung im Rahmen bestehender Kundenverhältnisse weiterhin ohne Einwilligung möglich sein wird.
Liegen also kumulativ die Voraussetzungen des § 7 Abs. 3 UWG vor, benötigen Online-Händler auch ab dem 25. Mai 2018 keine Einwilligung ihrer Kunden in den Newsletter-Versand.
Achtung: Art. 21 DSGVO verlangt – ebenso wie § 7 Abs. 3 UWG – ausdrücklich, dass die beworbene Person im Falle der Direktwerbung das Recht hat, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten einzulegen.
ANSONSTEN: EINWILLIGUNG ERFORDERLICH!
Liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor, ist auch nach der DSGVO eine Einwilligung des betroffenen Kunden notwendig. Konkret normiert Art. 6 Abs. 1 Uabs. 1 lit. a DSGVO, dass die Datenverarbeitung rechtmäßig ist, wenn der Newsletter-Interessent seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
Informierte Einwilligung notwendig
Was die DSGVO konkret unter einer Einwilligung versteht, wird in Art. 4 Nr. 11 DSGVO definiert. Danach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung.
Die DSGVO verlangt somit (wie das BDSG und das TMG) eine aufgeklärte Willenserklärung des Users in die Datenerhebung und -verarbeitung. Die Einwilligung darf nicht pauschal, bspw. in Form einer Blanko-Einwilligung erfolgen. Sie muss vielmehr erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden (vgl. Erwägungsgrund 32 zur DSGVO, dazu auch Ernst in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 4 DSGVO Rn. 78). Diese sind möglichst genau zu bestimmen und müssen dem User eine informierte Entscheidung ermöglichen, seine Einwilligung im konkreten Fall zu erteilen oder zu versagen.
Opt-Out-Verfahren ist unzulässig
Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Erforderlich ist lediglich eine eindeutig bestätigende Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dem Erfordernis einer eindeutig bestätigenden Handlung entspricht etwa das Anklicken eines Kästchens beim Besuch einer Internetseite. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten keine Einwilligung darstellen (vgl. Erwägungsgrund 32 zur DSGVO).
Für Newsletter-Marketing folgt daraus: Das Opt-Out-Verfahren ist nach der DSGVO unzulässig (vgl. dazu auch Stemmer in: BeckOK Datenschutzrecht 2017, Art. 7 DSGVO Rn. 83). Erforderlich ist vielmehr eine eindeutig bestätigende Handlung, bei der die betroffene Person von sich aus tätig werden muss, etwa indem sie ein nicht vorangekreuztes Kästchen anklicken muss (Opt-in-Verfahren).
Nachweispflicht: Double-Opt-In und elektronische Protokollierung
Art. 7 DSGVO normiert darüber hinaus weitere formelle und materielle Anforderungen an eine wirksame Einwilligung. Nach Art. 7 Abs. 1 DSGVO muss der Webseitenbetreiber nachweisen, dass der Webseitenuser in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat (vgl. auch Erwägungsgrund 42 zur DSGVO).
Wie der Nachweis der Einwilligung konkret zu erbringen ist, lässt die Vorschrift offen. Da die DSGVO das Datenschutzniveau in den Mitgliedstaaten anheben soll (Erwägungsgrund 10 der DSGVO), dürften auch nach der DSGVO sowohl das Single-Opt-In als auch das Confirmed-Opt-In-Verfahren nicht ausreichend sein, um den Nachweis der Einwilligung zu erbringen. Diese Verfahren wurden von deutschen Gerichten bereits nach der jetzigen Rechtslage als nicht ausreichend erachtet, um die Einwilligung des betroffenen Kunden nachzuweisen (siehe hierzu der Beitrag http://www.it-recht-kanzlei.de/newsletter-einwilligung-nachweis.html). Shop-Betreiber sollten dementsprechend weiterhin auf das Double-Opt-In-Verfahren zurückgreifen. Dieses bietet die rechtssicherste Möglichkeit, eine beweisbare Einwilligung einzuholen.
Im Rahmen von E-Mail-Marketing sollte zudem weiterhin darauf geachtet werden, dass der Time-Stamp (Datum und Uhrzeit) und die IP-Daten der Eintragung protokolliert und so abgespeichert werden, dass das Protokoll jederzeit ausgedruckt und notfalls bei Gericht vorgelegt werden kann. Eine solche elektronische Protokollierung der Einwilligung dürfte den Anforderungen der Nachweispflicht genügen (Stemmer in: BeckOK Datenschutzrecht 2017, Art. 7 DSGVO Rn. 88).
Widerrufsrecht
Wie im deutschen Datenschutzrecht muss auch nach der DSGVO die betroffene Person eine einmal erteilte Einwilligung jederzeit widerrufen können (Art. 7 Abs. 3 DSGVO). Von ihrem Widerrufsrecht ist sie vor Abgabe der Einwilligung in Kenntnis zu setzen. Der Newsletter-Abonnent muss also noch vor Abgabe seiner Einwilligung über sein Widerrufsrecht informiert werden.
Neu ist jedoch die Verpflichtung der Shop-Betreiber zur Einhaltung des „Simplizitätsgebots“. Das bedeutet: Der Widerruf der Einwilligung muss „so einfach“ sein „wie die Erteilung der Einwilligung„. Unzulässig wäre bspw., wenn ein Unternehmen für die Einwilligung einen bestimmten Ansprechpartner bestimmen würde und die Einwilligung nur diesem gegenüber widerrufen werden kann (vgl. Ernst in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 7 DSGVO Rn. 17).
Im Rahmen von Newsletter-Werbung dürfte dem Simplizitätsgebot wohl dadurch hinreichend Rechnung getragen werden, dass jeder Mail am Ende ein eigener „Unsubscribe-Link“ beigestellt wird, dessen bloße Betätigung der Datenverarbeitung Einhalt gebietet.
Zwischenfazit zur Einwilligung
Shop-Betreiber, die auf Newsletter-Marketing setzen, können aufatmen: Die Anforderungen, die die DSGVO an eine rechtswirksame Einwilligung stellt, entsprechen ganz überwiegend denen schon bislang geltenden Regelungen. Neu ist lediglich das Simplizitätsgebot, dessen Einhaltung beim Newsletter-Marketing jedoch bereits jetzt Standard ist.
ACHTUNG: ALTBESTAND AN DATEN DARF WEITER GENUTZT WERDEN
Mit Auslaufen der Übergangsfristen zum 25. Mai 2018 treten die besonderen Einwilligungsbestimmungen der DSGVO an die Stelle der bis dato geltenden nationalen Vorschriften. Dies führt insbesondere zu der Frage, wie mit den bis zu diesem Zeitpunkt unter Geltung der alten Rechtslage in den Mitgliedsstaaten wirksam eingeholten Einwilligungen umgegangen werden soll. Fraglich ist also insbesondere, ob Shop-Betreiber, die bereits auf Grundlage der alten Rechtslage (nach dem BDSG und dem TMG) wirksame Einwilligungen eingeholt haben, eine neue Einwilligung einholen müssen.
Der europäische Gesetzgeber hat sich zugunsten der Verarbeiter für eine Fortgeltung der bereits eingeholten datenschutzrechtlichen Einwilligungen entschieden. Shop-Betreiber müssen also keine neue Einwilligung einholen, wenn sie bereits eine wirksame Einwilligung eingeholt haben. Dies ergibt sich aus dem Erwägungsgrund 171 zur DSGVO. Voraussetzung ist allerdings, dass
- die Einwilligungen auf Grundlage des geltenden BDSG und des TMG wirksam eingeholt wurden und
- die erteilten Einwilligungen auch den Bedingungen der DSGVO entsprechen.
Da sich die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland überwiegend überschneiden, entfällt im Online-Handel in der Regel die Notwendigkeit, zum 25. Mai 2018 von jedem Newsletter-Abonnenten, dessen Daten bereits mit Einwilligung verarbeitet werden, erneut eine Einwilligung einzuholen.
Den vollständigen Artikel finden Sie HIER auf den Seiten der IT Recht Kanzlei München.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz