Werbung und Online Marketing in der Datenschutzgrundverordnung
Die ab dem 25. Mai 2018 in der gesamten EU geltende Datenschutzgrundverordnung (DSGVO) verspricht vor allem für international tätige Unternehmen im Online-Bereich wesentliche Vereinfachungen, da über nationale Grenzen hinweg dieselben Bestimmungen angewendet werden. Dennoch herrscht derzeit Verunsicherung, weil Erfahrungen im praktischen Umgang mit den neuen Vorschriften fehlen und die Auslegung sich nicht auf eine gefestigte Rechtsprechung oder eine behördliche Praxis stützen kann. Auch existieren für nationale Gesetzgeber weiterhin Spielräume für eigene Regelungen, beispielsweise mit Blick auf die Betroffenenrechte oder die Gewährung von Rechtsschutz gegenüber staatlichen Sanktionen. Etwaige Rechtsverstöße wiegen jedoch schwer, da die DSGVO in diesen Fällen signifikant höhere Bußgelder androht, als dies bisher im Datenschutzrecht der Fall war.
Mit dem folgenden Überblick sollen die wesentlichen Änderungen im Bereich der Werbung und des Online-Marketings dargestellt werden. Alte und neue Prinzipien werden gegenübergestellt und besonders relevante Einzelprobleme beleuchtet. Dadurch können sich Unternehmen auf den geänderten rechtlichen Rahmen einstellen und werden für die zentralen zukünftigen Fragestellungen sensibilisiert.
1) Aktuelle Anforderungen nach deutschem Recht
Bislang galt im deutschen Recht, dass die Nutzung von personenbezogenen Daten zu Zwecken der Werbung bzw. des Marketings grundsätzlich untersagt sind, sofern nicht ausnahmsweise ein Erlaubnistatbestand vorlag. Eine Marketingmaßnahme musste sich demnach entweder auf eine besondere gesetzliche Erlaubnis oder eine explizite Einwilligung des Betroffenen stützen, um zulässig zu sein. Das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG) regeln diesbezüglich die Details. Davon unabhängig sind die Vorschriften des Gesetzes gegen den unlauteren Wettbewerb zu beachten, die auch nach Einführung der DSGVO weiterhin gültig sein werden.
Im Anwendungsbereich des BDSG darf der Umgang mit personenbezogenen Daten zu eigenen geschäftlichen Zwecken nur unter engen Voraussetzungen erfolgen, sofern der Betroffene nicht zuvor eingewilligt hat.
28 Abs. 1 BDSG nennt erstens den Fall eines Rechtsgeschäfts mit einer Person, in dessen Rahmen die Daten verarbeitet werden dürfen. Zweitens kann die Wahrung eigener berechtigter Interessen den Umgang mit personenbezogenen Daten legitimieren, solange eine Interessenabwägung nicht das Gegenteil ergibt. Schließlich dürfen Daten insbesondere dann verarbeitet werden, wenn sie allgemein zugänglich sind und keine schutzwürdigen Interessen des Betroffenen dagegensprechen.
28 Abs. 3 BDSG geht speziell auf den Verwendungszweck der Werbung ein. Neben der Einwilligung ist die Verarbeitung von lediglich listenmäßig erfassten Daten zulässig (sog. „Listendatenprivileg“). Die Werbung muss hierbei grundsätzlich auf eigene Angebote des Werbenden bezogen sein, und es dürfen wiederum keine Interessen des Betroffenen entgegenstehen.
Soweit im Online-Bereich pseudonyme Nutzungsprofile erstellt werden sollen, ist § 15 Abs. 3 TMG zu beachten. Diese Norm stellt die gesetzliche Grundlage für das im Online-Bereich allgegenwärtige Tracking dar. Zulässige Zwecke pseudonymer Nutzungsprofile sind Werbung, Marktforschung und die bedarfsgerechte Gestaltung des Angebots. Die Betroffenen dürfen jedoch ausschließlich per Pseudonym erfasst werden, der wirkliche Name und die damit zusammenhängenden personenbezogenen Daten müssen vom Pseudonym strikt getrennt werden. Die Zusammenführung ist bußgeldbewährt. Betroffenen ist außerdem stets ein Widerspruchsrecht gegen die Datennutzung einzuräumen (Opt-out).
2) Grundlegende Neuerungen der DSGVO
Die DSGVO vereinfacht die deutschen Regelungen insofern, als sie keine spezielle Systematik für die Zulässigkeit von Werbung enthält. Im Grundsatz sind daher die allgemeinen Bestimmungen für die Verarbeitung personenbezogener Daten anzuwenden. Aufgrund von Art. 21 und Art. 6 DSGVO lassen sich dennoch spezielle Aussagen treffen.
Die DSGVO stellt im Hinblick auf die Zulässigkeit der Verarbeitung noch stärker als das BDSG auf eine Interessenabwägung und die Möglichkeit des Betroffenen zum Widerspruch ab.
Art. 21 DSGVO ist die einzige Norm, die den Begriff der „Werbung“ ausdrücklich verwendet. Demnach kann der Betroffene gegen die Verarbeitung von Daten zu Zwecken der Direktwerbung und gegen das damit verbundene Profiling jederzeit Widerspruch einlegen.
Ein „Listendatenprivileg“ findet sich in den neuen Vorschriften nicht mehr. Zukünftig wird die Rechtmäßigkeit der Verarbeitung der Daten anhand der allgemeinen Vorschrift von Art. 6 DSGVO gemessen werden. Für den Bereich der Werbung und des Online-Marketings ist hier Abs. 1 f) DSGVO von besonderer Relevanz. Demnach hat die Verarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ zu sein, und eine Interessenabwägung darf nicht zu dem Ergebnis führen, dass die Verarbeitung unzulässig ist. Aus den stets zu berücksichtigenden Erwägungsgründen der DSGVO (Nr. 47) ergibt sich, dass Direktwerbung in der Regel ein solches berechtigtes Interesse darstellt.
Demnach ist die rechtliche Prüfung scheinbar einfacher als zuvor: Der Betroffene darf der Direktwerbung nicht widersprochen haben, und seine Interessen dürfen in einer Abwägung nicht überwiegen. Der Werbende muss lediglich nachweisen, dass er diese Interessenabwägung tatsächlich durchgeführt hat und das Ergebnis zu seinen Gunsten ausfällt. Gerade der letzte Punkt dürfte jedoch für Unternehmen problematisch sein, da Erfahrungswerte und gefestigte Rechtsauffassungen ebenso wie eine Rechtsprechung auf Grundlage der DSGVO weitestgehend fehlen. Um die Transparenz der Interessensabwägung herzustellen, muss die verarbeitende Stelle die in die Abwägung einfließenden Interessen insbesondere gem. Art. 13 Abs. 1 d) gegenüber dem Betroffenen ausdrücklich benennen. Dies kann beispielsweise im Rahmen der Datenschutzerklärung erfolgen.
3) Ausgewählte spezielle Neuerungen
Alternativ kann die Verarbeitung zu Werbezwecken auch weiterhin auf die Einwilligung des Betroffenen gestützt werden. Doch da die Vorgaben an die Einwilligung strenger und teilweise für den Verwender unsicherer geworden sind, wird diese zukünftig wohlmöglich eine untergeordnete Rolle spielen. Hier gelten insbesondere neue Informations- und Dokumentationspflichten. Der Betroffene muss ab Mai 2018 immer auf die Möglichkeit des Widerrufs hingewiesen werden, vgl. Art. 7 Abs. 3 DSGVO. Das BDSG sah bisher keine derartige, flächendeckende Hinweispflicht vor. Art. 12 DSGVO verlangt zudem, dass die Informationen, die dem Betroffenen zur Verfügung zu stellen sind, in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorliegen müssen. Nach Art. 13 DSGVO sind wie bereits oben erwähnt zudem die berechtigten Interessen des Werbenden ausdrücklich zu benennen (vgl. Erwägungsgrund 42). Eine Problematik im Rahmen der Freiwilligkeit der Einwilligung wird in Art. 7 Abs. 4 DSGVO angesprochen. Die Einwilligung kann insbesondere dann unwirksam sein, wenn sie aufgrund eines Ungleichgewichts zwischen Verantwortlichem und Betroffenem erteilt wurde. Erwägungsgrund 43 nennt exemplarisch die Datenverarbeitung durch eine Behörde. Doch dem Text der Regelung in Art. 7 DSGVO lässt sich auch entnehmen, dass die Kopplung der Erbringung einer Dienstleistung mit einer hierfür nicht notwendigen Datenerhebung oder -verarbeitung gegen die Freiwilligkeit sprechen kann. Weitergehend wird die Freiwilligkeit auch dann verneint, wenn der Betroffene seine Einwilligung nicht nach einzelnen Verarbeitungsvorgängen getrennt erteilen kann, obwohl dies im konkreten Fall angebracht wäre. Verstöße gegen diese Vorschriften können gem. Art. 83 Abs. 5 DSGVO mit bis zu 20 Mio. EURO oder 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens sanktioniert werden.
Die Form der Einwilligung richtet sich in erster Linie nach Erwägungsgrund 32. Darin wird auf eine „eindeutige bestätigende Handlung“ verwiesen. Exemplarisch werden schriftliche, elektronische oder auch mündliche Erklärungen genannt. Wie bisher genügen nicht Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit des Betroffenen. Da der Erwägungsgrund jedoch auch „andere Erklärungen oder Verhaltensweise[n]“ erfasst, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“, besteht in diesem Zusammenhang durchaus Raum für innovative Ansätze, soweit diese von den Ordnungsbehörden im Einzelfall akzeptiert werden. Auch die derzeit noch in der Verhandlung befindliche ePrivacyVO, die zukünftig das TMG ersetzen wird, wird diesbezüglich zu berücksichtigen sein.
Das Profiling (definiert in Art. 4 Nr. 4 DSGVO) wird in Art. 21-23 DSGVO und in Erwägungsgrund 71 angesprochen. Letzterer steht rein automatisierten Entscheidungen entgegen, „soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Trotz der noch ausstehenden Klärung dieser Fragen kann als wenig wahrscheinlich gelten, dass hiervon auch personalisierte Werbung erfasst sein wird. Eine „erhebliche Beeinträchtigung“ wird darin im Regelfall jedoch nicht zu erkennen sein. Vielmehr kann argumentiert werden, dass personalisierte Werbung gemäß Art. 22 Abs. 2 DSGVO grundsätzlich zulässig ist. Inwieweit diese Auffassung vonseiten der Behörden und der Rechtsprechung gestützt wird, bleibt jedoch abzuwarten.
4) Fazit / Handlungsempfehlung
Die Zulässigkeit von Maßnahmen zur Werbung und Online-Marketing richten sich wesentlich nach einer Interessenabwägung und der Einhaltung gesteigerter Informations- und Dokumentationspflichten, deren Kriterien durch die Aufsichtsbehörden oder durch die Rechtsprechung noch konkretisiert werden. Aktuelle Bestimmungen und Rechtsprechung bieten zwar eine gewisse Orientierung, können allein jedoch nicht für die angesichts der hohen Bußgelddrohungen notwendige Rechtssicherheit sorgen. In diesem Zusammenhang muss auch die Entwicklung auf nationaler Ebene intensiv beobachtet werden. Nach Art. 23 DSGVO kommen den nationalen Gesetzgebern Spielräume hinsichtlich der Betroffenenrechte zu. Ein finaler aussagekräftiger Gesetzentwurf der Bundesregierung liegt jedoch bislang nicht vor. Insgesamt besteht damit für die praktische Anwendung der DSGVO ein hoher Klärungsbedarf, der eine sorgfältige Beobachtung aktueller Entwicklungen sowie eine dementsprechend qualifizierte Beratung nahelegt. Insbesondere kann diese helfen Einwilligungserklärungen zu identifizieren, die zukünftig durch eine Interessenabwägung ersetzt werden können und zwingende Einwilligungserklärungen so zu gestalten, dass sie auch nach dem 25. Mai 2018 nahtlos fortgelten. Diese Möglichkeit der frühzeitigen Anpassung an die veränderten Anforderungen sieht die DSGVO in Erwägungsgrund 177 ausdrücklich vor.
Mit dem folgenden Überblick sollen die wesentlichen Änderungen im Bereich der Werbung und des Online-Marketings dargestellt werden. Alte und neue Prinzipien werden gegenübergestellt und besonders relevante Einzelprobleme beleuchtet. Dadurch können sich Unternehmen auf den geänderten rechtlichen Rahmen einstellen und werden für die zentralen zukünftigen Fragestellungen sensibilisiert.
1) Aktuelle Anforderungen nach deutschem Recht
Bislang galt im deutschen Recht, dass die Nutzung von personenbezogenen Daten zu Zwecken der Werbung bzw. des Marketings grundsätzlich untersagt sind, sofern nicht ausnahmsweise ein Erlaubnistatbestand vorlag. Eine Marketingmaßnahme musste sich demnach entweder auf eine besondere gesetzliche Erlaubnis oder eine explizite Einwilligung des Betroffenen stützen, um zulässig zu sein. Das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG) regeln diesbezüglich die Details. Davon unabhängig sind die Vorschriften des Gesetzes gegen den unlauteren Wettbewerb zu beachten, die auch nach Einführung der DSGVO weiterhin gültig sein werden.
Im Anwendungsbereich des BDSG darf der Umgang mit personenbezogenen Daten zu eigenen geschäftlichen Zwecken nur unter engen Voraussetzungen erfolgen, sofern der Betroffene nicht zuvor eingewilligt hat.
28 Abs. 1 BDSG nennt erstens den Fall eines Rechtsgeschäfts mit einer Person, in dessen Rahmen die Daten verarbeitet werden dürfen. Zweitens kann die Wahrung eigener berechtigter Interessen den Umgang mit personenbezogenen Daten legitimieren, solange eine Interessenabwägung nicht das Gegenteil ergibt. Schließlich dürfen Daten insbesondere dann verarbeitet werden, wenn sie allgemein zugänglich sind und keine schutzwürdigen Interessen des Betroffenen dagegensprechen.
28 Abs. 3 BDSG geht speziell auf den Verwendungszweck der Werbung ein. Neben der Einwilligung ist die Verarbeitung von lediglich listenmäßig erfassten Daten zulässig (sog. „Listendatenprivileg“). Die Werbung muss hierbei grundsätzlich auf eigene Angebote des Werbenden bezogen sein, und es dürfen wiederum keine Interessen des Betroffenen entgegenstehen.
Soweit im Online-Bereich pseudonyme Nutzungsprofile erstellt werden sollen, ist § 15 Abs. 3 TMG zu beachten. Diese Norm stellt die gesetzliche Grundlage für das im Online-Bereich allgegenwärtige Tracking dar. Zulässige Zwecke pseudonymer Nutzungsprofile sind Werbung, Marktforschung und die bedarfsgerechte Gestaltung des Angebots. Die Betroffenen dürfen jedoch ausschließlich per Pseudonym erfasst werden, der wirkliche Name und die damit zusammenhängenden personenbezogenen Daten müssen vom Pseudonym strikt getrennt werden. Die Zusammenführung ist bußgeldbewährt. Betroffenen ist außerdem stets ein Widerspruchsrecht gegen die Datennutzung einzuräumen (Opt-out).
2) Grundlegende Neuerungen der DSGVO
Die DSGVO vereinfacht die deutschen Regelungen insofern, als sie keine spezielle Systematik für die Zulässigkeit von Werbung enthält. Im Grundsatz sind daher die allgemeinen Bestimmungen für die Verarbeitung personenbezogener Daten anzuwenden. Aufgrund von Art. 21 und Art. 6 DSGVO lassen sich dennoch spezielle Aussagen treffen.
Die DSGVO stellt im Hinblick auf die Zulässigkeit der Verarbeitung noch stärker als das BDSG auf eine Interessenabwägung und die Möglichkeit des Betroffenen zum Widerspruch ab.
Art. 21 DSGVO ist die einzige Norm, die den Begriff der „Werbung“ ausdrücklich verwendet. Demnach kann der Betroffene gegen die Verarbeitung von Daten zu Zwecken der Direktwerbung und gegen das damit verbundene Profiling jederzeit Widerspruch einlegen.
Ein „Listendatenprivileg“ findet sich in den neuen Vorschriften nicht mehr. Zukünftig wird die Rechtmäßigkeit der Verarbeitung der Daten anhand der allgemeinen Vorschrift von Art. 6 DSGVO gemessen werden. Für den Bereich der Werbung und des Online-Marketings ist hier Abs. 1 f) DSGVO von besonderer Relevanz. Demnach hat die Verarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ zu sein, und eine Interessenabwägung darf nicht zu dem Ergebnis führen, dass die Verarbeitung unzulässig ist. Aus den stets zu berücksichtigenden Erwägungsgründen der DSGVO (Nr. 47) ergibt sich, dass Direktwerbung in der Regel ein solches berechtigtes Interesse darstellt.
Demnach ist die rechtliche Prüfung scheinbar einfacher als zuvor: Der Betroffene darf der Direktwerbung nicht widersprochen haben, und seine Interessen dürfen in einer Abwägung nicht überwiegen. Der Werbende muss lediglich nachweisen, dass er diese Interessenabwägung tatsächlich durchgeführt hat und das Ergebnis zu seinen Gunsten ausfällt. Gerade der letzte Punkt dürfte jedoch für Unternehmen problematisch sein, da Erfahrungswerte und gefestigte Rechtsauffassungen ebenso wie eine Rechtsprechung auf Grundlage der DSGVO weitestgehend fehlen. Um die Transparenz der Interessensabwägung herzustellen, muss die verarbeitende Stelle die in die Abwägung einfließenden Interessen insbesondere gem. Art. 13 Abs. 1 d) gegenüber dem Betroffenen ausdrücklich benennen. Dies kann beispielsweise im Rahmen der Datenschutzerklärung erfolgen.
3) Ausgewählte spezielle Neuerungen
Alternativ kann die Verarbeitung zu Werbezwecken auch weiterhin auf die Einwilligung des Betroffenen gestützt werden. Doch da die Vorgaben an die Einwilligung strenger und teilweise für den Verwender unsicherer geworden sind, wird diese zukünftig wohlmöglich eine untergeordnete Rolle spielen. Hier gelten insbesondere neue Informations- und Dokumentationspflichten. Der Betroffene muss ab Mai 2018 immer auf die Möglichkeit des Widerrufs hingewiesen werden, vgl. Art. 7 Abs. 3 DSGVO. Das BDSG sah bisher keine derartige, flächendeckende Hinweispflicht vor. Art. 12 DSGVO verlangt zudem, dass die Informationen, die dem Betroffenen zur Verfügung zu stellen sind, in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorliegen müssen. Nach Art. 13 DSGVO sind wie bereits oben erwähnt zudem die berechtigten Interessen des Werbenden ausdrücklich zu benennen (vgl. Erwägungsgrund 42). Eine Problematik im Rahmen der Freiwilligkeit der Einwilligung wird in Art. 7 Abs. 4 DSGVO angesprochen. Die Einwilligung kann insbesondere dann unwirksam sein, wenn sie aufgrund eines Ungleichgewichts zwischen Verantwortlichem und Betroffenem erteilt wurde. Erwägungsgrund 43 nennt exemplarisch die Datenverarbeitung durch eine Behörde. Doch dem Text der Regelung in Art. 7 DSGVO lässt sich auch entnehmen, dass die Kopplung der Erbringung einer Dienstleistung mit einer hierfür nicht notwendigen Datenerhebung oder -verarbeitung gegen die Freiwilligkeit sprechen kann. Weitergehend wird die Freiwilligkeit auch dann verneint, wenn der Betroffene seine Einwilligung nicht nach einzelnen Verarbeitungsvorgängen getrennt erteilen kann, obwohl dies im konkreten Fall angebracht wäre. Verstöße gegen diese Vorschriften können gem. Art. 83 Abs. 5 DSGVO mit bis zu 20 Mio. EURO oder 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens sanktioniert werden.
Die Form der Einwilligung richtet sich in erster Linie nach Erwägungsgrund 32. Darin wird auf eine „eindeutige bestätigende Handlung“ verwiesen. Exemplarisch werden schriftliche, elektronische oder auch mündliche Erklärungen genannt. Wie bisher genügen nicht Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit des Betroffenen. Da der Erwägungsgrund jedoch auch „andere Erklärungen oder Verhaltensweise[n]“ erfasst, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“, besteht in diesem Zusammenhang durchaus Raum für innovative Ansätze, soweit diese von den Ordnungsbehörden im Einzelfall akzeptiert werden. Auch die derzeit noch in der Verhandlung befindliche ePrivacyVO, die zukünftig das TMG ersetzen wird, wird diesbezüglich zu berücksichtigen sein.
Das Profiling (definiert in Art. 4 Nr. 4 DSGVO) wird in Art. 21-23 DSGVO und in Erwägungsgrund 71 angesprochen. Letzterer steht rein automatisierten Entscheidungen entgegen, „soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Trotz der noch ausstehenden Klärung dieser Fragen kann als wenig wahrscheinlich gelten, dass hiervon auch personalisierte Werbung erfasst sein wird. Eine „erhebliche Beeinträchtigung“ wird darin im Regelfall jedoch nicht zu erkennen sein. Vielmehr kann argumentiert werden, dass personalisierte Werbung gemäß Art. 22 Abs. 2 DSGVO grundsätzlich zulässig ist. Inwieweit diese Auffassung vonseiten der Behörden und der Rechtsprechung gestützt wird, bleibt jedoch abzuwarten.
4) Fazit / Handlungsempfehlung
Die Zulässigkeit von Maßnahmen zur Werbung und Online-Marketing richten sich wesentlich nach einer Interessenabwägung und der Einhaltung gesteigerter Informations- und Dokumentationspflichten, deren Kriterien durch die Aufsichtsbehörden oder durch die Rechtsprechung noch konkretisiert werden. Aktuelle Bestimmungen und Rechtsprechung bieten zwar eine gewisse Orientierung, können allein jedoch nicht für die angesichts der hohen Bußgelddrohungen notwendige Rechtssicherheit sorgen. In diesem Zusammenhang muss auch die Entwicklung auf nationaler Ebene intensiv beobachtet werden. Nach Art. 23 DSGVO kommen den nationalen Gesetzgebern Spielräume hinsichtlich der Betroffenenrechte zu. Ein finaler aussagekräftiger Gesetzentwurf der Bundesregierung liegt jedoch bislang nicht vor. Insgesamt besteht damit für die praktische Anwendung der DSGVO ein hoher Klärungsbedarf, der eine sorgfältige Beobachtung aktueller Entwicklungen sowie eine dementsprechend qualifizierte Beratung nahelegt. Insbesondere kann diese helfen Einwilligungserklärungen zu identifizieren, die zukünftig durch eine Interessenabwägung ersetzt werden können und zwingende Einwilligungserklärungen so zu gestalten, dass sie auch nach dem 25. Mai 2018 nahtlos fortgelten. Diese Möglichkeit der frühzeitigen Anpassung an die veränderten Anforderungen sieht die DSGVO in Erwägungsgrund 177 ausdrücklich vor.