Auswirkungen der DSGVO auf das E-Mail-Marketing
Ab dem 25. Mai 2018 gelten die Bestimmungen der Datenschutzgrundverordnung (DSGVO). Darin wird der Datenschutz für Europa vereinheitlicht und soll die personenbezogenen Daten der EU- Bürger schützen. Unternehmen müssen die Regelungen der DSGVO zu diesem Zeitpunkt umgesetzt haben. Es stellt sich somit für alle, die mit solchen Daten umgehen, die Frage, wie sich die rechtlichen Rahmenbedingungen verändern. Nach alter Rechtslage sind das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und das Gesetz gegen den unlauteren Wettbewerb (UWG) zu beachten.
Nationales Recht: In der Regel Einwilligung erforderlich
Der Grundsatz des deutschen Datenschutzrechts ist gemäß § 4 Abs. 1 BDSG, dass personenbezogene Daten nur erhoben, verarbeitet oder genutzt werden dürfen, wenn sich hierfür im BDSG oder einem anderen Gesetz eine Erlaubnis findet oder der Betroffene eingewilligt hat (Verbot mit Erlaubnisvorbehalt). Bei den für das E-Mail-Marketing erforderlichen Daten handelt es sich um Informationen über eine bestimmte oder bestimmbare natürliche Person und daher um personenbezogene Daten. Die Verarbeitung von personenbezogenen Daten zu Werbezwecken erfordert nach § 28 Abs. 3 BDSG grundsätzlich eine hierauf bezogene Einwilligung des Betroffenen. Eine Nutzung solcher Daten für E-Mail-Werbung erfordert gemäß § 7 UWG darüber hinaus eine Einwilligung zur Werbung durch eine Ansprache per E-Mail, weil eine unverlangte E-Mailwerbung als unzumutbare Belästigung aufgefasst wird. Eine E-Mailwerbung ohne Einwilligung, die nicht nur die Nutzung der Daten zu Werbezwecken, sondern zusätzlich auch eine Werbung durch E-Mailansprache gestattet, stellt damit einen abmahnfähigen Wettbewerbsverstoß dar. Um diese Haftung abzuschwächen, findet sich in § 7 UWG jedoch eine Ausnahme von der Einwilligungspflicht. Danach dürfen E-Mails auch ohne ausdrückliche Einwilligung versendet werden, wenn ein Händler im Zusammenhang mit einem Verkauf von Waren oder Dienstleistungen die E-Mailadresse erhalten hat, der Händler die Adresse nur zur Werbung für eigene und ähnliche Produkte verwendet, der Kunde noch nicht widersprochen hat und bei jeder Verwendung auf die Widerspruchsmöglichkeit hingewiesen wird. Für alle anderen Fälle ist eine konkrete Einwilligung erforderlich. Diese Einwilligung muss dabei so gestaltet werden, dass Sie möglichst rechtssicher und vor allem auch im Streitfall beweisbar ist. Nach § 4a Abs. 1 BDSG muss die Einwilligung auf einer freien Entscheidung basieren und es muss auf den Zweck der Datenerhebung und auf die Folgen der Verweigerung der Einwilligung hingewiesen werden. Nach § 28 Abs. 3a BDSG ist grundsätzliche die Schriftform erforderlich. Diese Informationen dürfen dabei auch nicht versteckt werden, sondern müssen optisch von gleichzeitig abgegebenen Erklärungen getrennt werden. Um die für den Datennutzer wichtige Beweisbarkeit zu erreichen, kommt grundsätzlich nur das sog. Double-Opt-In-Verfahren in Betracht. Dabei wird dem Werbeempfänger, nachdem er seine Daten beim Werbenden hinterlassen hat, zunächst eine Bestätigungsmail geschickt. In dieser Mail muss der Empfänger seine Einwilligung dann noch einmal durch Anklicken eines Links zum Ausdruck bringen. Daneben muss gemäß § 13 TMG jeder Webseitenbetreiber in einer Datenschutzerklärung zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form darüber aufklären, welche Daten er zu welchem Zweck erhebt und ob die Daten auch in Ländern außerhalb der EU bzw. des EWR verarbeitet werden.
EU-DSGVO: Einwilligungs- und Informationspflicht
Durch die kommende DSGVO ist die (dann formlose, aber nachweispflichtige) Einwilligung in die Werbung weiterhin eine valide Rechtsgrundlage, ggf. kann die Werbung aber auch auf den Tatbestand der Wahrnehmung berechtigter Interessen gestützt werden. In diesem Fall ist der Betroffene entsprechend zu informieren und auf sein Widerspruchsrecht hingewiesen werden. Es ist eine weitere Neuregelung der EU in Vorbereitung (ePrivacy-Verordnung). Diese Verordnung wird voraussichtlich frühestens zum Ende des Jahres 2018 in Kraft treten und ggf. zusätzliche Bedingungen für internetbasierte Services vorsehen. Insoweit muss das Gesetzgebungsverfahren weiter beobachtet werden, um ggf. auf neue Anforderungen zu reagieren. Für alle anderen Fälle gilt es zwingend, die beschriebenen erforderlichen Einwilligungen des Nutzers einzuholen. Auch hier ist auf das Double-Opt-In-Verfahren zu achten, da sich sonst Nachweisprobleme ergeben könnten.
Nur geringe Änderungen
Bezüglich des Widerrufsrechts gibt es durch Einführung des sog. „Simplizitätsgebotes“, rein formal eine Neuerung. Denn danach muss der Widerruf der Einwilligung genau so leicht zu bewerkstelligen sein, wie die Einwilligung selbst. Dieses Simplizitätsgebot wird jedoch bereits dadurch erfüllt, dass ein „Unsubscribe-Link“ an das Ende jeder Mail gestellt wird. Diese bereits gängige Praxis sorgt dafür, dass dieses Gebot in der Praxis nicht zu großen Schwierigkeiten führen dürfte. In der Datenschutzerklärung muss gemäß Art.13 Abs. 1 DSGVO zusätzlich zu den bisher nötigen Angaben die Rechtsgrundlage für die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO angegeben werden. Dies wäre für das E-Mail-Marketing der Art. 6 Abs. 1 lit. a) DSGVO. Die bloße Angabe des Art. 6 genügt dabei nicht, da die unterschiedlichen Rechtsgrundlagen alle in Art. 6 Abs. 1 genannt sind. Zusammenfassend lässt sich feststellen, dass sich mit der kommenden DSGVO mit Ausnahme des zusätzlichen Erlaubnistatbestandes „Wahrnehmung berechtigter Interessen“ und den Formerleichterungen für die Einwilligung keine Veränderungen für das E-Mail-Marketing ergeben. Neu sind auch die Informationspflichten nach Art. 13 und 14 DSGVO, die eine Anpassung der Datenschutzhinweise erfordern.