Wojciech Kleta

Wojciech Kleta

Dürfen Unternehmen überhaupt noch Werbung an potenzielle Kunden oder Bestandskunden schicken? Falls ja: Unter welchen Voraussetzungen? Und was sollten Firmen tun, um auf der sicheren Seite zu sein? Diese und weitere Fragen verunsichern viele Akteure seit Einführung der DSGVO. Hier finden Sie die wichtigsten Fragen, Antworten und Tipps.

Werfen wir einen Blick in die Vergangenheit: Die werbliche Ansprache war unter Datenschützern schon vor Inkrafttreten der DSGVO ein viel diskutiertes Thema. Bis 2018 galt das Bundesdatenschutzgesetzt (BDSG) in der alten Fassung. Dieses erlaubte die Nutzung personenbezogener Daten zum Zwecke der Werbung ebenfalls nur bei Vorliegen einer entsprechenden Einwilligung. Der wesentliche Unterschied zur heutigen Rechtslage: In § 28 BDSG waren Ausnahmen von diesem Einwilligungserfordernis definiert. Dazu zählte auch das sogenannte „Listenprivileg“. Dabei handelte es sich um eine datenschutzrechtliche Ausnahmeregelung, die Unternehmen die Verarbeitung oder Nutzung „listenmäßig oder sonst zusammengefasste(r) Daten“ für Zwecke der Werbung erlaubte. Im Vergleich zu heute war diese Lösung restriktiver, weil Werbung nur in den engen, nicht immer eindeutigen Grenzen des § 28 BDSG möglich war. Seit dem Inkrafttreten der DSGVO gilt § 28 BDSG nicht mehr.

Wie es heute mit der DSGVO aussieht

Die DSGVO definiert die Zulässigkeit der werblichen Ansprache für deutsche Firmen neu. Das bis zu ihrem Inkrafttreten geltende Listenprivileg und die damit verbundenen Wettbewerbsnachteile gegenüber Unternehmen aus anderen EU-Mitgliedstaaten fallen weg. Doch erleichtert die DSGVO die werbliche Ansprache auch? Die Antwort von Datenschützern lautet: kommt darauf an. Denn heute müssen sich Firmen im ersten Schritt überlegen, welchen Kontaktweg sie für die werbliche Ansprache nutzen wollen (beispielsweise E-Mails, Anrufe, Postweg). Danach sind die Zielgruppen klar zu definieren – differenziert nach Interessenten, Bestandskunden und Geschäftspartnern. Erst wenn beide Merkmale feststehen, kann bestimmt werden, ob sich die werbliche Ansprache im konkreten Fall auf die Einwilligung oder Art. 6 Abs. 1 S. 1 lit. f DSGVO(Interessensabwägung) stützt. So ist das Einholen einer Einwilligung in werbliche Ansprachen möglicherweise nicht erforderlich, wenn Bestandskunden angesprochen werden sollen. Bei Interessenten muss sie dagegen zwingend vorliegen. Es entscheidet immer die jeweilige Konstellation.

Kriterien für die Rechtskonformität von Einwilligungen

Als rechtskonform gilt eine Einwilligung nur dann, wenn sie in informierter Weise und bezogen auf den konkreten Einzelfall freiwillig abgegeben wird. In informierter Weise heißt, dass sämtliche Informationen zur Datenverarbeitung transparent und erkennbar dargestellt werden. Das Unternehmen muss über die Art der Werbung (wie E-Mail, SMS, Brief oder Telefon) sowie über die angebotenen Produkte und Dienstleistungen informieren. Der Betroffene soll auch erkennen können, welche Firmen für ihre Produkte werben. Artikel 13 DSGVO regelt die Informationspflichten detailliert.

Einen weiteren, zentralen Aspekt bildet die Freiwilligkeit. Gemäß Erwägungsgrund 43 liegt diese vor, wenn der Kunde eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Technisch soll dieses Erfordernis durch ein Opt-In in Form einer Check-Box umgesetzt werden. Mit dem aktiven Setzen eines Häkchens bekundet der Kunde oder Interessent, dass er die Einwilligung freiwillig erteilt und dass diese tatsächlich von ihm stammt. Der Einwilligungstext und ein Link zu allen datenschutzrechtlich relevanten Informationen sollten direkt neben der Check-Box stehen, und zwar erkennbar abgesetzt von anderen Erklärungen. So ist für Kunden oder Interessenten unmissverständlich klar, dass sie mit dem Setzen des Häkchens ihre Einwilligung geben. Diese darf zudem nicht pauschal, sondern nur für den Einzelfall eingeholt werden. Im Hinblick auf die Freiwilligkeit sei noch das sogenannte Koppelungsverbot erwähnt. So ist es laut Art. 7 Abs. 4 DSGVO nicht zulässig, die Einwilligung zur Voraussetzung für eine Vertragserfüllung zu machen, sofern die Verarbeitung der betreffenden Daten für die Vertragserfüllung nicht notwendig ist. Möchte ein Kunde beispielsweise eine Reise buchen, ist es zur Erfüllung der vertraglichen Hauptleistung nicht nötig, dass er in diesem Zusammenhang eine Einwilligung zur Datenverarbeitung für nachfolgende Glücksspielangebote erteilt.

Die Einwilligung muss zudem in klarer und einfacher Sprache formuliert sein. Außerdem muss sie einen Hinweis auf das jederzeitige Widerrufsrecht enthalten. Die Unternehmen müssen darüber hinaus das Vorliegen einer Einwilligung nachweisen. Dies kann mithilfe des unternehmenseigenen CRM-Systems oder durch die Einhaltung des Double-Opt-In-Verfahrens geschehen.

Wann die Werbung zur „Wahrung der berechtigten Interessen“ eines Unternehmens erfolgen darf

Eine Einwilligung ist in den Fällen nicht erforderlich, in denen die Interessenabwägung des Art. 6 Abs. 1 S. 1 lit. f DSGVO zu Gunsten des werbenden Unternehmens ausfällt. So besagt Art. 6 Abs. 1 S. 1 lit. f DSGVO: „Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ Ob das schutzwürdige Interesse des Kunden im Einzelfall das berechtigte Interesse des Unternehmens überwiegt oder mit diesem gleichwertig ist (auch dies würde als Rechtfertigung genügen), hängt von der jeweiligen Konstellation ab. Hier muss eine Interessenabwägung stattfinden, die zwingend zu dokumentieren ist. Nur so können die Unternehmen ihrer Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO nachkommen.

Auf B2B-Ebene, im Dialog von Firma zu Firma, gibt es die größten Spielräume. Ist ein Unternehmen mit einem Geschäftskunden regelmäßig beratend im Gespräch, dürfte es datenschutzrechtlich unbedenklich sein, diesen anzurufen und ihn im Rahmen der Beratung über eine Produktneuentwicklung zu informieren. Auch im Fall der Verarbeitung von Endverbraucherdaten können die schutzwürdigen Interessen der Kunden hinter das Werbeinteresse des Betriebs zurücktreten. Etwa bei werblichen Angeboten, die an Bestandskunden gerichtet werden, sofern das Unternehmen zuvor transparent gemäß der Informationspflichten nach Art. 13 DSGVO auf die Datennutzung zu werblichen Zwecken hingewiesen hat. Wichtig ist, dass sich die Datennutzung für die betroffene Person in einem zu erwartenden Rahmen bewegt – mit der klar kommunizierten Möglichkeit zum Widerspruch. Dabei sind die persönlichkeitsschützenden Komponenten des § 7 des Gesetzes über den unlauteren Wettbewerb (UWG) zu berücksichtigen (mehr dazu später).  Ebenso wichtig: Widerspricht der Kunde, dürfen seine personenbezogenen Daten für diese Zwecke nicht mehr verarbeitet werden und sind zwingend in eine Werbesperrliste des werbenden Unternehmens aufzunehmen, worüber der Kunde zu informieren ist. Durch Datenabgleich kann einem Datenschutzverstoß durch werbliche Ansprache trotz eines bestehenden Widerrufs vorgebeugt werden.

Wenn Profiling die Interessen der Angesprochenen genau trifft

Selbstverständlich dürfen Firmen eigene Nutzer- und Interessentenprofile auf Basis rechtmäßig erhobener Daten erstellen, etwa mithilfe von Algorithmen. Ein solches Profiling darf sich aber keinesfalls auf Art 6 Abs. 1 S. 1 lit. f DSGVO stützen. Im Gegenteil: Gerade bei der für ein Profiling erforderlichen Form der Datenverarbeitung muss der Betroffene zuvor explizit in diese Form der Datenverarbeitung eingewilligt haben. Firmen, die personenbezogene Daten für das Profiling nutzen möchten, müssen dies transparent als eine Möglichkeit der Datennutzung ankündigen und die Einwilligung dazu erhalten.

Ahndung von Verstößen

Verstöße können viel Geld kosten – die anfängliche (inoffizielle) Schonfrist nach Einführung der DSGVO im Jahr 2018 scheint inzwischen abgelaufen zu sein. Darauf deuten prominente Fälle hin, wie jüngst etwa ein Verfahren gegen die AOK Baden-Württemberg zeigt. Der Krankenversicherer hatte ein Gewinnspiel durchgeführt und die erhobenen Daten anschließend für werbliche Ansprachen genutzt. Technisch und organisatorisch war aber offenbar nicht sichergestellt, dass nur Gewinnspielteilnehmer angeschrieben wurden, von denen auch explizite Einwilligungen vorlagen. Die zuständige Landesbehörde in Baden-Württemberg erhob daraufhin ein Bußgeld in Höhe von 1,24 Millionen Euro.

Rechtliche Unterschiede: Ansprache per Telefon, E-Mail und Post

Grundsätzlich gilt: Unternehmen müssen für die Verarbeitung personenbezogener Daten zum Zwecke der werblichen Ansprache immer eine Rechtsgrundlage haben. Dabei spielt es keine Rolle, ob die Ansprache per E-Mail, Telefon oder Post erfolgt. Die DSGVO definiert die Rechtsgrundlagen. Wenn es um die Bewertung der Schwere von Verstößen geht, macht die Wahl des Kommunikationskanals jedoch sehr wohl einen Unterschied. Telefonanrufe gelten als gravierende Eingriffe in die Privatsphäre. Angerufene Personen können dem Dialog kaum entgehen. Als weniger schwerwiegend werden werbliche Ansprachen per E-Mail und erst recht per Post eingestuft. Auch wenn die Datenverarbeitung zum Zwecke der Ansprache nie ohne eine Einwilligung oder eine Rechtsgrundlage erfolgen darf.

Darüber hinaus existieren für Unternehmen noch Sonderregelungen zur werblichen Ansprache, die im § 7 des Gesetzes gegen unlauteren Wettbewerb (UWG) stehen. Hier wird explizit etwa der Einsatz von automatischen Anrufmaschinen, Callcentern und Faxgeräten angesprochen. Bei diesen Kommunikationskanälen muss die Einwilligung der betroffenen Person zwingend vorliegen. Wichtig zu wissen: DSGVO und UWG sind zwei voneinander unabhängige Rechtsgebiete. Bestimmte Datenverarbeitungen können datenschutzrechtlich zulässig und gleichwohl wettbewerbswidrig sein. Zwar enthält § 7 UWG auch persönlichkeitsschützende Merkmale, das primäre Ziel der Norm ist es allerdings, unlauteren geschäftlichen Praktiken vorzubeugen. Aus diesem Grund ist das UWG ein Gesetz, für das externe Datenschutzbeauftragte nur in sehr beschränktem – eben datenschutzrechtlichem – Umfang Beratungsmandat haben.

Gültigkeitsdauer von Einwilligungen in die Verarbeitung personenbezogener Daten

Ein offizielles Verfallsdatum ist nicht definiert. Allerdings gibt es Stimmen in der Rechtsprechung, denen zufolge Einwilligungen nicht bedingungslos unbegrenzt gültig sein können. So hat das Landgericht München eine Einwilligung für unwirksam erklärt, die ein Unternehmen zwar eingeholt, aber erstmalig erst anderthalb Jahre später als Rechtsgrundlage für eine werbliche Ansprache genutzt hatte.

Praxistipps für die datenschutzkonforme werbliche Ansprache

Nutzen Sie als Unternehmen ein Opt-in Verfahren mit Check-Boxen zum Einholen von Einwilligungen. Verlinken Sie den Einwilligungstext unbedingt mit allen relevanten Informationen zur beabsichtigten Datenverarbeitung. Dokumentieren Sie zudem alle Einwilligungen sauber. Am besten gelingt dies per Double-Opt-in. Interessenten setzen ihr Einwilligungshäkchen, erhalten dazu eine Nachricht per E-Mail oder SMS und bestätigen diese über einen Bestätigungslink. Sorgen Sie darüber hinaus für maximale Transparenz und kommunizieren Sie das gesetzlich verbürgte Widerspruchrecht, indem Sie die Möglichkeit zum Opt-out konsequent anbieten. Unternehmenskunden verfügen meist über allgemeine E-Mail-Postfächer (info@…). Darüber sind werbliche Ansprachen im üblichen Rahmen grundsätzlich unbedenklich. Selbst in diesen Fällen sollte jede werbliche Ansprache jedoch gut überlegt sein. Wer Neukunden finden möchte, sollte dafür sorgen, dass diese auf die Firma zugehen können, weil sie zum Beispiel über Fachbeiträge, Blogartikel oder nicht personalisiert verteilte Flyer aufmerksam geworden sind.

Fazit

Das Verarbeiten personenbezogener Daten zum Zwecke der werblichen Ansprache ist nur zulässig, wenn die Rechtsgrundlagen dafür gegeben sind. Das Bewusstsein für einen sensiblen und rechtskonformen Umgang mit personenbezogenen Daten wächst, da Verstöße von Aufsichtsbehörden und Justiz immer stärker bestraft werden. Umso mehr sollten Unternehmen in ihre Datenschutzprozesse investieren und sich so als verlässlicher Partner im Markt positionieren.