Datenschutz - Was ist beim Online-Marketing zu beachten?
Dieser Fachartikel erschien im Leitfaden Online-Marketing
http://buchblog.marketing-boerse.de
http://www.marketing-boerse.de/Info/details/LeitfadenOM
Online-Marketing umfasst begrifflich eine Vielzahl von Gestaltungsmöglichkeiten und Spielarten des Marketings. Darunter sind viele, die nur die Beachtung des Gewerblichen Rechtsschutzes erforderlich machen. Das sogenannte Keyword- Advertising benötigt typischerweise keine personenbezogenen Daten und wird daher rechtlich in erster Linie nach dem Gewerblichen Rechtsschutz bewertet. Das E-Mail-Marketing ist ohne E-Mail-Adresse und damit ohne personenbezogene Daten nicht möglich; außerdem soll der Empfänger persönlich angesprochen werden. Bei der Analyse des Nutzungsverhaltens als Bestandteil des Online-Marketings – sei es schlicht in Form der Erfassung des Ursprungs des Nutzers, durch ein Banner oder eine Suchmaschine generiert, sei es in Form des Besucherverhaltens oder sei es in Form des Ziels beim Verlassen der Internetseite – spielen personenbezogene Daten eine Rolle. Sind personenbezogene Daten tangiert, muss an das Datenschutzrecht gedacht werden.
Das Verständnis des Datenschutzrechts wird dadurch erschwert, dass in Deutschland gerade mit Blick auf das Online-Marketing grundsätzlich drei verschiedene Datenschutzgesetze zur Anwendung kommen können: das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG). Zum Teil weisen diese Gesetze unterschiedliche Regelungen auf. Zwei Aspekte sind jedoch allen gemeinsam: Es muss um personenbezogene Daten gehen. Es sind die drei Grundsätze Erlaubnisvorbehalt, Transparenz und Freiwilligkeit zu beachten. Diese grundlegenden Aspekte werden zunächst einleitend beleuchtet, um ein Grundverständnis zu schaffen, bevor auf die speziellen Aspekte des Online-Marketings eingegangen wird.
Datenschutzrecht - Wann ist es zu beachten?
Das Datenschutzrecht ist zu beachten, sofern und soweit personenbezogene Daten erhoben oder verwendet werden. Hierunter fallen alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Entscheidend ist die Zuordnung zu einem Namen. Die Informationen allein über ein Unternehmen fallen nicht unter das Datenschutzgesetz. Das Datenschutzrecht ist beim Umgang mit diesen Daten allerdings zu beachten, wenn zu einem Unternehmen auch eine Ansprechperson erfasst wird. Denn die Informationen in dem Datensatz können dieser Person zugeordnet werden.
Beispiel E-Mail-Adresse:
Sobald einer E-Mail-Adresse der Name eines Menschen zugeordnet werden kann, ist ein personenbezogenes Datum gegeben. Bei jeder E-Mail-Adresse, die aus einem Namen einer natürlichen Person gebildet ist wie zum Beispiel jenseckhardt@beispielsfirma.de oder info@jenseckhardt.de, ist das allein schon deshalb ein personenbezogenes Datum. Wenn einer sonstigen E-Mail-Adresse ein Name zugeordnet werden kann, ist dies ebenfalls der Fall. Dies gilt insbesondere für die Fälle, in denen zum Beispiel eine anonyme Firmen-E-Mail-Adresse, wie einkauf@beispielsfirma.de, der zuständigen Person – durch die Erhebung weiterer oder aufgrund bereits vorhandener Daten – namentlich zugeordnet werden kann.
In der Praxis kommt es im Ergebnis auf diese Unterscheidung nicht entscheidend an. Denn bei Online-Anmeldungen lässt sich nicht zwischen personalisierten und anderen E-Mail-Adressen unterscheiden. Praktisch kann daher nur einheitlich das Datenschutzrecht beachtet werden.
Weitere Beispiele:
Auch bei Telefonnummern ist von einem personenbezogen Datum auszugehen, weil sie durch Auskunftsinformationen typischerweise einem Menschen zugeordnet werden können.
Bei IP-Adressen ist hingegen zu differenzieren. Dynamische IP-Adressen sind nicht immer personenbezogene Informationen. Anders als bei einer Telefonrufnummer ist nämlich die Zuordnung zu einem Namen nicht jedem möglich. Diese Einschränkung gilt natürlich nicht, wenn das Unternehmen, das die dynamische IP-Adresse erfasst, gleichzeitig auch die Zuweisung der IP-Adresse zu seinem Kunden vornimmt.
Soweit sogenannte Cookies Bestandteile wie Benutzernamen oder statische IP-Adressen enthalten oder sonst einen Menschen identifizieren, ist von der Personen-bezogenheit auszugehen. Bei der Erfassung von dynamischen IP-Adressen mittels Cookies ist wie zuvor dargestellt zu unterscheiden. Wird hingegen lediglich die Information über die verwendete Sprache erfasst, liegt jedenfalls nicht per se eine Personenbezogenheit vor. Die Besonderheit bei Cookies ist, dass es zu einer Selbstidentifikation des Nutzers kommen und dadurch das Cookie zu einem personenbezogenen Datum werden kann. Zu einer solche Selbstidentifikation kann es kommen, wenn unter Nutzung des Cookies eine Bestellung, eine namentliche Anmeldung oder auch der Versand einer E-Mail erfolgt [1]. Im praktischen Ergebnis gilt aber auch: Kann nicht zwischen personenbezogenen und nicht personenbezogenen Daten differenziert werden, muss insgesamt das Daten-schutzrecht beachtet werden.
Grundsätze des Datenschutzrechts
Der entscheidende Grundsatz des Datenschutzrechts lässt sich so umschreiben: Alles ist verboten, es sei denn, es ist konkret erlaubt. Der Fachbegriff hierfür lautet Erlaubnisvorbehalt. Jede Erhebung oder Verwendung von personenbezogenen Daten – bildlich gesprochen: jeder „Verarbeitungsschritt“ – muss für sich zulässig sein.
Für die Verwendung personenbezogener Daten bedarf es daher entweder einer Erlaubnis im Gesetz oder der Einwilligung des Betroffenen. Die Einwilligung eines Dritten genügt grundsätzlich nicht. Für die Verwendung personenbezogener Daten bedeutet das, dass der Umgang mit den Kundendaten aus datenschutzrechtlicher Sicht in seine einzelnen Schritte zerlegt und grundsätzlich jeder Schritt auf seine Abdeckung durch Erlaubnis – durch Gesetz oder durch Einwilligung – überprüft werden muss. Wenn zum Beispiel die Verwendung der E-Mail-Adresse für die Zusendung von Werbung zulässig ist, ist nicht automatisch auch die Auswertung der Reaktion auf die Werbung zulässig.
Aus der Sicht des Online-Marketings besteht der Vorteil einer gesetzlichen Erlaub-nis klar darin, dass eine Einwilligung beim Adressaten nicht eingeholt werden muss. Der Nachteil einer gesetzlichen Erlaubnis besteht darin, dass diese auch den begrenzten Umfang der zulässigen Nutzung festlegt. Bei der Einwilligung des Adressaten hingegen hat es der Werbende in der Hand, durch die Gestaltung des Einwilligungstextes den Umfang der zulässigen Nutzung zu bestimmen.
Transparenz – Wie und wann muss der Betroffene informiert werden?
Das Datenschutzrecht sieht allgemeine Hinweispflichten vor. Der Betroffene soll informiert werden, dass und wie Informationen über ihn erhoben und verwendet werden. Die Information soll ihn – so die Vorstellung des Gesetzgebers – in die Lage versetzen, sein Verhalten entsprechend dieser Information auszurichten.
Der Betroffene muss konkret über Zweck, Art und Umfang der Erhebung und Verwendung seiner Daten sowie darüber, wer diese Daten erhebt, unterrichtet werden. Konkret zu unterrichten bedeutet, dem Nutzer mit den an ihn gerichteten Informationen verständlich zu machen, zu welchem Zweck er seine Daten mitteilt und was mit diesen Daten geschieht. Unzureichend, weil nichts sagend, ist: „Wir verwenden Ihre Daten nur entsprechend dem geltenden Datenschutzrecht.“ An dem Erfordernis einer konkreten Unterrichtung als Voraussetzung einer wirksamen Einwilligung scheitert auch die Einholung einer „allumfassenden“, weil damit zu unbestimmten Einwilligung wie zum Beispiel die Formulierung „Wir verwenden Ihre Daten für die Werbung.“
Nach dem TMG muss der Inhalt dieser Unterrichtung für den Nutzer jederzeit abrufbar sein [2]. Da sich verschiedene technische Gestaltungsmöglichkeiten anbieten, werden die grundsätzlichen Anforderungen an die jederzeitige Abrufbarkeit dargestellt. Abrufbarkeit bedeutet, dass das werbende Unternehmen die konkrete Unterrichtung zum Lesen bereithalten muss. Das macht es erforderlich, dass der Hinweis nicht nur im Zeitpunkt der Kenntnisnahme für den Nutzer vorhanden ist, sondern zu jedem beliebigen Zeitpunkt.
Die Unterrichtung muss nach dem TMG zu Beginn des Nutzungsvorgangs erfolgen [3]. Eine solche Gestaltungsmöglichkeit besteht beispielsweise darin, die Unterrichtung in einer Datenschutzerklärung – manchmal auch als „Privacy Policy“ bezeichnet – auf der Internetseite bereitzuhalten. Der Hinweis sollte – gegebenenfalls durch einen entsprechend bezeichneten Link - auf der Startseite stehen.
Die „Privacy Policy“ auf den Internetseiten kann aber auch zur Stolperfalle werden. Nämlich dann, wenn dort eine über das gesetzlich Erforderliche hinaus gehende Verpflichtung zum Datenschutz erfolgt und das tatsächlich nicht eingehalten werden kann oder im Laufe der Zeit nicht mehr eingehalten werden soll. Dann kann der Verstoß gegen die Selbstverpflichtung eine Abmahnung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) begründen. Die „Privacy Policy“ sollte also – über das gesetzlich Erforderliche hinaus - nur Verpflichtungen enthalten, die auch langfristig erfüllt werden können (und sollen).
Auch der Text einer Einwilligungserklärung kann zusätzlich in die „Privacy Policy“ aufgenommen werden. Damit kann das Erfordernis der jederzeitigen Abrufbarkeit des Einwilligungstextes umgesetzt werden. Niemals ersetzt der Hinweistext in der „Privacy Policy“ aber den Hinweistext im Rahmen einer Einwilligung.
Transparenz – Besonderheit bei der Verwendung von Cookies
In § 13 Abs. 1 S. 2 TMG ist eine Besonderheit für den Zeitpunkt zur Unterrichtung bei der Verwendung sogenannter Cookies enthalten. Falls das Cookie die Erhebung oder Verwendung personenbezogener Daten vorbereitet, hat die Information über den Einsatz eines Cookies „zu Beginn“ des Einsatzes zu erfolgen. Hierfür genügt es, dass das Cookie möglicherweise später zu einem Menschen in Zusammenhang gebracht wird, auch wenn das Cookie zum Zeitpunkt des „Ablegens“ auf der Festplatte des Nutzers eigentlich noch kein personenbezogenes Datum ist. Das Cookie muss zum Zeitpunkt des Setzens nur ein potentiell personenbezogenes Datum sein, um die Hinweispflicht auszulösen. Das ist eine Besonderheit, weil das Datenschutzrecht eigentlich überhaupt erst Anwendung findet, wenn der Personenbezug bereits gegeben ist.
Der Hinweis muss vor dem Einsatz, also vor dem „Ablegen“ des Cookies gegeben werden. Praktisch muss der Hinweis so rechtzeitig erfolgen, dass der Betroffene die spätere Identifikation noch verhindern kann [1]. Der Inhalt des Hinweises richtet sich nach den – oben unter der Überschrift „Transparenz“ dargestellten – allgemeinen Regelungen.
Die Zulässigkeit der Verwendung von Cookies im konkreten Einzelfall ist in § 13 datenschutzrechtliche Abs. 1 S. 2 TMG nicht geregelt. Es gilt der allgemeine Erlaubnisvorbehalt (hierzu siehe oben), wenn ein personenbezogenes Datum erhoben oder verwendet wird [1]. Vereinfacht gilt: Die Verwendung von Cookies kann als Nutzungsdaten gesetzlich zulässig sein. Als Nutzungsdaten sind die Informationen zu betrachten, die während der Nutzung des Telemediendienstes, also insbesondere der Interaktion mit dem Diensteanbieter, entstehen. Das gilt auch für Warenkorbfunktionen, die zur Nutzung des Dienstes erforderlich sind. Jeder darüber hinaus gehende Einsatz von Cookies bedarf allerdings der Einwilligung des Betroffenen. Dann gelten die Anforderungen an die Hinweise und die Bestätigung im Rahmen von Einwilligungen.
Freiwilligkeit
Gegen den allgemeinen Grundsatz der Freiwilligkeit wird dann verstoßen, wenn der Betroffene keine Entscheidungsalternative hat, ob seine personenbezogenen Daten verwendet werden. In diesem Kontext stellt sich die Frage nach Einwilligungen in AGB und bereits „aktivierten Häkchen“. Darauf wird im Kapitel E-Mail-Marketing – Rechtliche Rahmenbedingungen näher eingegangen. Im TMG hat der Grundsatz der Freiwilligkeit eine besondere Ausprägung in Form des sogenannten Koppelungsverbots gefunden, auf das im Folgenden noch näher eingegangen wird.
Unterschiedliche Datenschutzgesetze
Das Datenschutzrecht in Deutschland ist gerade mit Blick auf das Online-Marketing nicht leicht zu erfassen. Denn in diesem Bereich können grund-sätzlich drei verschiedene Datenschutzgesetze zur Anwendung kommen: das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG). Die Abgrenzung ist gesetzlich nicht so eindeutig geregelt, dass sie in der Praxis tatsächlich einfach umsetzbar wäre. Vereinfacht lassen sich die Anwendungsbereiche wie folgt abgrenzen:
TK-Datenschutz: Transportebene – also die Daten, welche zur Übertragung einer E-Mail oder zum Aufbau einer Internetverbindung erforderlich sind.
TMG: Anwendungsebene – Die Anwendungsebene baut auf die Transportebene auf. Beispielsweise gilt für die Anwendung Web-Mail-Dienst oder Internetpräsenz das TMG.
BDSG: Inhaltsdaten – Beispielsweise der Textinhalt einer E-Mail oder der Inhalt eines Telefonats. Das BDSG kommt auch im gesamten Offline-Bereich zur Anwendung.
Welche Ebene gilt, bestimmt sich danach, in welchem Verhältnis das anbietende Unternehmen zu demjenigen steht, dessen Daten genutzt werden sollen, und auf welchem Weg die Daten erhoben werden. Es können mehrere Ebenen gleichzeitig betroffen sein. Beim Online-Marketing ist aber regelmäßig die Ebene des TMG entscheidend; eine pauschale Einstufung ist aber nicht möglich. Dies gilt insbesondere auch für das E-Mail-Marketing und die Online-Erhebung. In den Vordergrund der vorliegenden Darstellung wird daher das TMG gestellt.
Unterschiede zwischen TKG, TMG und BDSG
Warum die Unterscheidung in der Praxis von Bedeutung sein kann, zeigt sich an folgenden Beispielen:
E-Mail-Marketing ist nach dem TMG nur auf der Grundlage einer Einwilligung zulässig. Im TKG hingegen existiert eine Regelung, die eine einwilligungsfreie Werbung ähnlich dem § 7 Abs. 3 UWG vorsieht.
Nach dem TMG ist unter dem Vorbehalt der Pseudonymisierung die Erstellung von Nutzungsprofilen zulässig. Nach dem TKG hingegen nur bei Anonymisierung und entsprechender Einwilligung des Betroffenen.
Sonder- und Beispielsfall: Online-Marketing ohne Einwilligung, insbesondere E-Mail-Marketing
Eine unerfreuliche Fehlleistung des Gesetzgebers ist, dass in dem 2007 in Kraft getretenen TMG keine Regelung enthalten ist, welche der in § 7 Abs. 3 UWG entspricht. Danach ist unter bestimmten Voraussetzungen E-Mail-Werbung ohne Einwilligung zulässig (siehe Kapitel E-Mail-Marketing – Rechtliche Rahmen-bedingungen). Im TKG (§ 95 Abs. 2 TKG) ist eine vergleichbare, wenn auch nicht wortgleiche Regelung 2004 eingeführt worden.
Unerfreulich ist diese Fehlleistung des Gesetzgebers deshalb, weil die Regelungen in § 7 Abs. 3 UWG - und § 95 Abs. 2 TKG - auf Art. 13 der EU-Datenschutzrichtlinie über elektronische Kommunikation zurückgehen. Nach dieser Richtlinie hätte eine entsprechende Regelung auch im TMG eingefügt werden müssen [4]. Im Falle einer gerichtlichen Auseinandersetzung kann – vereinfacht dargestellt – daher mit dem „vorrangigen“ EU-Recht argumentiert werden.
Aus datenschutzrechtlicher Sicht ist das Ausnutzen der Regelung des § 7 Abs. 3 UWG im Anwendungsbereich des TMG mit (unberechtigten) Risiken behaftet. Das Risiko ergibt sich daraus, dass es derzeit in der Praxis schwer sein dürfte, ein Gericht oder eine Aufsichtsbehörde davon zu überzeugen, ein Gesetz entgegen dem Wortlaut, aber EU-richtlinienkonform, anzuwenden.
Einwilligung – Spezielle Anforderungen des Datenschutzrechts
Allen drei im Online-Marketing primär relevanten Datenschutzgesetzen ist gemeinsam, dass eine Einwilligung in jedem Fall genügt, um die Erhebung und Verwendung von personenbezogenen Daten zu gestatten. Damit kann durch den Umfang der Einwilligung die Erhebung und Verwendung in gewissen Grenzen gesteuert werden.
Wann worauf geachtet werden muss
Aus datenschutzrechtlicher Sicht kommt es auf eine Einwilligung unter zwei Voraussetzungen an, nämlich wenn 1. eine Erhebung und Verwendung von personen-bezogenen Daten und 2. abweichend von gesetzlichen Zulässigkeitsregelungen beziehungsweise darüber hinaus erfolgen soll.
Auf eine Einwilligungsregelung sollte aber auch nur dann zurückgegriffen werden, wenn die geplante Erhebung und Verwendung nicht gesetzlich zulässig ist. Denn wird eine Einwilligung abgefragt und diese verweigert, dann muss dies auch respektiert werden. So selbstverständlich das klingt, so unangenehm ist das dann, wenn eine Einwilligung für eine Erhebung oder Verwendung abgefragt wird, die bereits gesetzlich zulässig ist. Ein Unterlaufen der verweigerten Einwilligung unter Berufung auf die gesetzliche Erlaubnis könnte rechtlich angegriffen werden. Insbesondere unter dem Aspekt, dass dem Betroffenen vorgegaukelt wird, dass er durch die Verweigerung der Einwilligung auf die Erhebung und Verwendung seiner Daten Einfluss nehmen könnte. Gleichwohl darf nicht verkannt werden, dass es gerade im Datenschutzbereich immer wieder Fälle gibt, in denen nicht sicher beurteilt werden kann, ob die gesetzliche Erlaubnis greift. In diesen Fällen kann es sinnvoll sein, dennoch die Einwilligung einzuholen.
Gestaltungsmöglichkeit - Text bestimmt den Umfang der Einwilligung!
Der Umfang der zulässigen Erhebung und Verwendung bestimmt sich nach der Einwilligung. Also bestimmt der Text den Umfang der Einwilligung. Den Text wiederum kann der Werbende gestalten. Der Werbende ist aber auch an diesen Umfang gebunden, weshalb eine „enge“ Einwilligung ihn unangemessen behindern kann.
Die Ausgestaltung der Erklärung als „allumfassende“ Einwilligung ist hierbei jedoch kein gangbarer Weg. Denn der Umfang des Zulässigen unterliegt gesetzlichen „Grenzen“. Werden diese „Grenzen“ überschritten, ist die Einwilligung unwirksam. Das bedeutet dann nichts anderes, als dass keine Einwilligung vorliegt.
Die Konsequenz ist, dass vor der Gestaltung der Einwilligung geklärt werden sollte, wofür die Daten konkret verwendet werden sollen. Denn nur so kann die konkret geeignete Einwilligungserklärung formuliert werden.
Inhaltliche und formale Anforderungen an die Einwilligung
Die inhaltlichen Anforderungen wirken sich unmittelbar oder mittelbar als Begrenzung des zulässigen Umfangs einer Einwilligungserklärung aus. Bei der Gestaltung der Einwilligung sind sowohl inhaltliche als auch formale Vorgaben umzusetzen.
Inhalt der Einwilligung – Die Unterrichtung
Der Text der Einwilligung kann sich mit der allgemeinen Unterrichtung/Hinweispflicht überschneiden, ist aber nicht inhaltsgleich. Der entscheidende Unterschied ist, dass die allgemeine Unterrichtung nur darüber informiert, was bereits gesetzlich zulässig ist. Der Umfang der danach zulässigen Verwendung kann allein mit einer Unterrichtung, welcher der Betroffene nicht zustimmt – und nicht zustimmen muss – nicht erweitert werden.
Der Text der Einwilligung legt hingegen – über die gesetzlichen Erlaubnistatbestände hinaus – den Rahmen einer zulässigen Erhebung und Verwendung von personen-bezogenen Daten fest; vorausgesetzt der Betroffene stimmt zu. Dementsprechend muss dem Betroffenen der Text der Einwilligung vor einer entsprechenden Zustimmungserklärung bekannt gemacht werden und es muss dann eine Reaktion erfolgen, die als seine Zustimmung gewertet werden kann.
Als Beispiel: Wird im Rahmen einer gesetzlichen Erlaubnis eine E-Mail-Adresse zur Werbung verwendet (§ 95 Abs. 2 TKG), muss der Betroffene zwar hierüber unterrichtet werden, er muss der Verwendung aber nicht gesondert zustimmen. Soll seine E-Mail-Adresse jedoch über den gesetzlichen Zulässigkeitstatbestand hinaus verwendet werden, dann muss der Betroffene eine gesonderte Einwilligungserklärung abgeben; tut er dies nicht, darf die Adresse trotz Unterrichtung nicht verwendet werden.
Der Unterschied hat aber auch Auswirkungen auf die Verwendung von personenbezogenen Daten.
Denn wird gegen die allgemeine Informationspflicht verstoßen, ist die Erhebung und Verwendung der personenbezogenen Daten im Rahmen der gesetzlichen Erlaubnis weiterhin zulässig; das Unterlassen der Unterrichtung muss aber beseitigt werden. Unterbleibt hingegen die Unterrichtung im Rahmen der Einwilligung oder ist sie unvollständig, dann ist die Erhebung und Verwendung der Daten in diesem Umfang unzulässig. Im schlimmsten Fall sind die entsprechenden Daten zu löschen.
Die Unterrichtung im Rahmen der Einwilligung bedeutet mitzuteilen, was mit den Daten geschehen soll. Mit dem Text der Einwilligung wird also festgelegt, wofür, für wen und durch wen geworben werden darf. Der Kunde muss konkret über Zweck, Art und Umfang der Erhebung und Verwendung seiner Daten sowie darüber, wer diese Daten erhebt, unterrichtet werden. Konkret zu unterrichten bedeutet dabei, dem Nutzer auf der Grundlage der Informationen verständlich zu machen, zu welchem Zweck er seine Daten mitteilt und was mit diesen Daten geschieht. Unzureichend sind nichts sagende, aber vor allem auch „allumfassende“ Einwilligungen wie zum Beispiel „Wir verwenden Ihre Daten für die Werbung und geben sie auch an unsere Partner weiter..“. Denn der Betroffene kann nicht ernstlich erkennen, was mit seinen Daten geschieht und damit dem auch nicht zustimmen.
Wichtig: Der Interessierte muss den Text zur Kenntnis nehmen können, bevor er seine Einwilligung – zum Beispiel durch das Anklicken eines Bestätigungsbuttons – zum Ausdruck bringt. Ein Ablauf nach dem Muster „Zustimmen, dann Text anzeigen“ würde nicht zu einer wirksamen Einwilligung führen.
Form der Einwilligung - Die elektronische Einwilligung
Nach dem Bundesdatenschutzgesetz muss die Einwilligung grundsätzlich der Schriftform genügen. Schriftlich bedeutet die eigenhändige Unterschrift des Betroffenen. Nach dem BDSG kann bei „besonderen Umständen“ ausnahmsweise auch eine andere Form angemessen sein. Eine typische Konstellation sind Telefongespräche; hier stellt sich dann aber das Problem der Nachweisbarkeit der telefonisch erklärten Einwilligung.
Das TMG und das TKG lassen auch die elektronische Erklärung der Einwilligung zu. Die Voraussetzungen sind, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann [5, 6].
Die Einwilligung muss also durch ein aktives Tun ausgelöst werden. Dies kann ein „Maus-Klick“, ein Tastendruck oder das Ausfüllen eines Freifeldes – zum Beispiel durch Eintragung der E-Mail-Adresse – sein. Es muss protokolliert werden, wer der Urheber der Einwilligung ist. Wegen des Grundsatzes der Datensparsamkeit muss hierfür die Angabe der E-Mail-Adresse genügen. Des Weiteren muss der Zeitpunkt sowie der unveränderte Text der Einwilligungserklärung protokolliert werden. Die Informationen sollten für die Dauer des Nutzungsverhältnisses vorgehalten werden.
Für die jederzeitige Abrufbarkeit gilt das bereits oben Erläuterte entsprechend. Für den Fall, dass der Einwilligungstext im Laufe der Zeit verändert wird, müssen alle Einwilligungserklärungen, und nicht nur die aktuelle, abrufbar sein. Aufgrund der Protokollierung der Einwilligung sollte im Falle einer Nachfrage des Kunden auch später noch feststellbar sein, welche Erklärung für den jeweiligen Kunden gilt.
Recht zum Widerruf
Nach § 13 Abs. 2 Nr. 4 TMG / § 94 Nr. 4 TKG muss der Nutzer seine Einwilligung jederzeit widerrufen können. § 13 Abs. 3 TMG regelt für Telemediendienste zusätzlich, dass der Nutzer vor der Erklärung seiner Einwilligung auf sein Recht zum jederzeitigen Widerruf der Einwilligung hingewiesen werden muss. Aus dem Hinweis muss sich ergeben, dass ein Widerrufsrecht besteht, der Nutzer es zu jedem Zeitpunkt mit Wirkung für die Zukunft ausüben kann und wem gegenüber er es geltend machen kann. Das bedeutet, dass der Hinweis so erfolgen muss, dass er die Entscheidung des Nutzers noch beeinflussen kann. Der Hinweis sollte daher räumlich vor beziehungsweise oberhalb des Eintragungsfeldes oder des Bestätigungsbuttons angebracht werden, so dass der Kunde diesen Hinweis immer logisch vor dem letzten Akt der Anmeldung zur Kenntnis nimmt. Eine besondere Hervorhebung ist nach dem TMG nicht erforderlich, solange die Kenntnisnahme durch den Kunden gewährleistet ist. Dieser Hinweis muss außerdem jederzeit für den Nutzer abrufbar sein. Die jederzeitige Abrufbarkeit kann genauso gestaltet werden wie oben im Rahmen der Einwilligung beschrieben.
Nach dem TKG besteht eine solche Hinweispflicht nicht. Der Hinweis sollte jedoch gleichwohl erfolgen, da er sich inzwischen eingebürgert hat. Im Übrigen dürfte im Fall einer Auseinandersetzung ein Gericht geneigt sein, eine Hinweispflicht trotz fehlender ausdrücklicher gesetzlicher Pflicht zum Hinweis anzunehmen.
Ferner besteht nach § 28 Abs. 4 BDSG die allgemeine Pflicht, den Betroffenen über sein Widerrufsrecht bezüglich der Verwendung seiner Daten für Werbung zu informieren.
Das Gesetz enthält keine konkreten Angaben darüber, wie der Betroffene den Widerruf auszugestalten hat. Allerdings sind in diesem Zusammenhang auch die Vorgaben des Wettbewerbsrechts zu berücksichtigen. Denn ebenso wie eine einheitliche Einwilligung gestaltet werden kann, kann und sollte auch der Hinweis auf die Widerrufsmöglichkeit einheitlich gestaltet sein. Die eröffneten Gestaltungs-möglichkeiten sind im Kontext des E-Mail-Marketings auch im Kapitel E-Mail-Marketing - Rechtliche Rahmenbedingungen dargestellt.
Inhaltliche Anforderungen an die Einwilligung und inhaltliche Grenzen
Als besondere Ausprägung des Erfordernisses der Freiwilligkeit ist in § 12 Kopplungsverbot geregelt. Danach Abs. 3 TMG ausdrücklich das sogenannte ist es verboten, die Erbringung der Dienstleistung von der Einwilligung in die Verarbeitung oder Nutzung der Daten für einen anderen Zweck abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu dieser Dienstleistung nicht oder nicht in zumutbarer Weise möglich ist. Aber auch im übrigen Datenschutzrecht ist dieser Grundsatz zu beachten.
Die Regelung greift ein, falls eine Verwendung der personenbezogenen Daten für zwei verschiedene Zwecke erfolgen soll. Dies ist beispielsweise der Fall, wenn dem Kunden ein regelmäßig erscheinender E-Mail-Newsletter angeboten wird, aber die Zusendung des Newsletters davon abhängig gemacht wird, dass dem Kunden auch (andere) Werbung per E-Mail zugesandt werden darf. Dasselbe gilt, falls die Nutzung einer Internetplattform von der Einwilligung in die Zusendung von Werbung abhängig gemacht wird. Allein die Anwendbarkeit des sogenannten Kopplungsverbots bedeutet aber noch nicht, dass die Kopplung auch unzulässig ist.
Die Rechtsprechung hat die Anforderungen an einen Verstoß gegen das Kopplungs-verbot zwischenzeitlich zunehmend konkretisiert. Ob ein anderer Zugang im Sinne der Regelung besteht, wird in Bezug auf die Art des Dienstes bestimmt; es kommt also nicht darauf an, dass der konkret angebotene Dienst anderweitig zugänglich ist. Weitere Voraussetzung ist, dass dem Werbenden für diese Art des Dienstes eine Monopolstellung zukommt. Letztlich liegt die Beweislast für diese Voraussetzungen eines Verstoßes gegen das Kopplungsverbot beim Beschwerdeführer.
Je nach konkreter Situation sind aber selbst bei einer Monopolstellung Umge-staltungen des Leistungsangebots denkbar, die dem Kunden eine zweite, alternative Nutzungsmöglichkeit derselben Dienstleistung eröffnen und damit im Rahmen der ersten, ursprünglichen Nutzungsmöglichkeit die Verwendung der Daten auch zu anderen Zwecken ermöglichen.
Anonymität und Datensparsamkeit
Die Angabe beliebiger, den Werbenden interessierenden, personenbezogener Daten darf nicht zur Voraussetzung der Nutzung des Dienstes, beispielsweise des Newsletters, gemacht werden. Das Datenschutzrecht ist an dem Grundsatz der Datensparsamkeit und -vermeidung ausgerichtet. Die Zielvorstellung des Datenschutzrechts ist, dass über den Einzelnen so wenig Daten wie möglich erhoben und verwendet werden.
Das TMG verlangt, dass dem Nutzer eine anonyme oder pseudonyme Nutzung ermöglicht wird, soweit dies technisch möglich und zumutbar ist [7]. Der Nutzer ist hierüber auch zu informieren. Nur die für die Nutzung des Dienstes erforderlichen Angaben dürfen als Pflichtangaben ausgestaltet sein. Beim E-Mail-Marketing – also auch bei einem Newsletter – dürfen nur die zur Zusendung der E-Mail erforderlichen Felder als Pflichtfelder eingerichtet werden; im Regelfall ist das allein die E-Mail-Adresse. Praktisch bedeutet dies, dass bereits die Angabe der Anrede oder die Angabe des Namens neben der E-Mail-Adresse als freiwillige Angabe ausgestaltet sein muss.
Trotzdem muss auf zusätzliche Abfragen nicht verzichtet werden. Es ist nämlich nicht verboten, weitere Informationen als freiwillige Angaben abzufragen.
Werbeerlaubnis als AGB-Klausel und „aktivierte Häkchen“
Die Ausführungen im Kapitel E-Mail-Marketing - Rechtliche Rahmenbedingungen zu Werbeerlaubnissen in AGB und „aktivierten Häkchen“ im Rahmen des E-Mail-Marketing gelten aus datenschutzrechtlicher Sicht entsprechend.
Datenschutzrecht oder: Was gilt nach der Erhebung der Daten?
Mit der Erhebung der E-Mail-Adressen enden nicht die rechtlichen Anforderungen. Allein die zulässige Erhebung der personenbezogenen Daten legitimiert nicht die beliebige Verwendung dieser, sondern nur eine Verwendung entsprechend dem ursprünglichen Zweck. Sollen die personenbezogenen Daten hingegen zu einem anderen Zweck als dem ursprünglich genannten verwendet werden, kommt wieder der Grundsatz des Erlaubnisvorbehalts zum Tragen.
Was ist zu tun, falls eine davon abweichende oder darüber hinaus gehende Verwen-dung der Daten erfolgen soll? Eine pauschale Antwort hierauf ist nicht möglich, da es konkret auf die geplante Nutzung ankommt. Denn nur anhand dieser kann festgestellt werden, ob beispielsweise aufgrund der Interessensabwägungs-klausel nach § 28 BDSG eine andere Verwendung ohne erneute Einwilligung zulässig ist. Generell sollte jedoch von dem Grundsatz ausgegangen werden, dass nur eine solche Verwendung zulässig ist, die eindeutig von der Einwilligung abgedeckt ist. Werden weitere Informationen zu den bereits vorhandenen personenbezogenen Daten hinzugefügt, dann gelten auch für das Hinzufügen dieser Informationen grundsätzlich dieselben Anforderungen wie bei der erstmaligen Erhebung von Daten über die Person.
Nutzungsprofile
Auch für die Anreicherung der Kundendaten mit weiteren Informationen, wie bei der Erstellung von Nutzungsprofilen, gilt, dass dies nur zulässig ist, falls eine gesetzliche Erlaubnis oder die Einwilligung des Betroffenen greift. Aus datenschutzrechtlicher Sicht gibt es im Grundsatz drei Abstufungen der Anreicherung:
• die Erstellung personenbezogener Nutzungsprofile darf grundsätzlich nur mit Einwilligung erfolgen.
• pseudonymisierte Nutzungsprofile sind unter bestimmten gesetzlichen Voraussetzungen bis zum Widerspruch des Betroffenen zulässig.
• anonymisierte Nutzungsprofile unterliegen – mangels Personenbezug - keiner datenschutzrechtlichen Beschränkung.
Für das E-Mail-Marketing bedeutet das, dass das Zusammenführen der Daten über das Nutzungsverhalten mit den Daten des Inhabers der E-Mail-Adresse nur auf der Grundlage einer Einwilligung des Betroffenen, das heißt des Inhabers der E-Mail-Adresse, zulässig ist. Hierunter fällt jede zusätzliche Information, die erfasst wird, beispielsweise auch das Öffnen der E-Mail oder ein Klick-Verhalten.
Nach § 15 Abs. 3 TMG ist die Erstellung von Nutzungsprofilen zur Werbung und zur Marktforschung gesetzlich erlaubt, sofern drei Voraussetzungen gemeinsam beachtet werden:
• Es müssen Pseudonyme verwendet werden.
• Der Betroffene ist im Zuge der Erhebung seiner Daten auf sein Widerspruchsrecht gegen die Erstellung von Nutzungs- profilen hingewiesen worden; ein nachträglicher Hinweis genügt nicht.
• Das Nutzungsprofil darf nicht mit dem Träger des Pseudonyms zusammengeführt werden.
Ein Pseudonym ist gegeben, wenn der Name und andere Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck ersetzt werden, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
Aus dem Hinweis auf das Widerspruchsrecht ergibt sich, dass der Betroffene auch darüber zu informieren ist, dass Nutzungsprofile erstellt werden. Der Hinweis muss zu Beginn der Nutzung des Dienstes durch den Betroffenen, also am besten zusammen mit der Einwilligung in die Werbung, erfolgen. Ein Hinweis nach der Erstellung der Nutzungsprofile genügt nicht. Um den Kunden nicht vor die „Alles-oder-Nichts“-Wahl zu stellen, sollte er die Möglichkeit haben, diese Profilierung sofort abzulehnen.
Für die anonymen Nutzungsprofile muss die Anonymität bereits bei der Erhe-bung der Information, beispielsweise des Öffnens der E-Mail oder des Klick-Verhaltens, gegeben sein. Anonyme Auswertungen bedürfen grundsätzlich keiner datenschutzrechtlichen Erlaubnis, denn mit der Anonymisierung ist das Datenschutzrecht eigentlich nicht mehr anwendbar. Anonymisiert sind die Daten dann, wenn die personenbezogenen Daten derart verändert sind, dass die Informationen einer bestimmten oder bestimmbaren natürlichen Person nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können. Im Anwendungsbereich des TKG dürfen Nutzungsprofile auch nicht pseudonymisiert erstellt werden. Die Erstellung von Nutzungsprofilen bedarf vielmehr der Einwilligung des Betroffenen.
Je nachdem, ob und welche Art der Profilierung erfolgen soll, muss diese bereits bei der Gestaltung des Einwilligungstextes berücksichtigt werden. Personenbezogene Nutzungsprofile sind im Rahmen des TMG und des TKG nur mit Einwilligung des Betroffenen zulässig.
Nutzung „fremder“ Adressen
Für die Nutzung „fremder“ E-Mail-Adressen zur Werbung für eigene Leistungen sind verschiedene rechtliche Konstruktionen und auch verschiedene tatsächliche Ausgestaltungen denkbar. Grundvoraussetzung für eine rechtskonforme Nutzung „fremder“ E-Mail-Adressen ist zunächst, dass die rechtliche Konstruktion und die tatsächliche Ausgestaltung übereinstimmen. Kurioserweise ist dies nicht stets der Fall.
Aufgrund der vielen verschiedenen Möglichkeiten zur Gestaltung sind an dieser Stelle nur allgemeine Hinweise zur Nutzung „fremder“ Adressen sinnvoll und möglich.
Die Einwilligung des Betroffenen, die der Anbieter dieser Adressen eingeholt haben sollte, muss so ausgestaltet sein, dass auch Werbung von einem Dritten zulässig ist. Das heißt nicht zwingend, dass die Werbung eigenständig zugesendet werden darf. Was konkret zulässig ist, hängt von der Ausgestaltung der Einwilligung ab. Der Betroffene muss aber in jedem Fall zugestimmt haben, dass ihm nicht nur Werbung des Unternehmens zugesandt wird, welches die Adressen erhoben hat.
Bei der Nutzung dieser Adressen muss sich das nutzende Unternehmen auf die Zusage des bereitstellenden Unternehmens verlassen, dass die Einwilligung vorliegt. Deshalb sollte die vertragliche Zusicherung enthalten sein, dass die erforderliche Erlaubnis für eine Nutzung dieser Adressen durch Dritte eingeholt wurde und durch das bereitstellende Unternehmen gegebenenfalls bewiesen werden kann. Um die Risikoverteilung eindeutig zu gestalten, sollte des Weiteren mit dem Anbieter eine Freistellung vereinbart werden, falls diese Zusicherung nicht eingehalten wird. Das heißt, das bereitstellende Unternehmen verpflichtet sich, alle Schäden und Kosten zu ersetzen, die entstehen, falls diese Zusicherung nicht eingehalten wird. Die Freistellung sollte insbesondere die Pflicht vorsehen, das werbende Unternehmen für den Fall einer Auseinandersetzung zu unterstützen und die Kosten hierfür, insbesondere Prozess- und Verfahrenskosten, zu übernehmen.
Eine Freistellungsvereinbarung bewirkt aber nicht, dass der Werbende gegenüber dem Anspruch des Betroffenen „aus dem Schneider“ ist. Auch wenn „fremde“ Adressen genutzt werden, haftet das werbende Unternehmen gegenüber dem Empfänger, falls die erforderliche Einwilligung nicht nachgewiesen werden kann. Das heißt, das werbende Unternehmen ist zur Abgabe einer Unterlassungserklärung verpflichtet. Hieran ändert auch eine Freistellungsvereinbarung mit dem Unter-nehmen, das die E-Mail-Adressen bereitgestellt hat, nichts. Diese befreit nur von den finanziellen Folgen.
Die vorstehenden Hinweise gehen in erster Linie davon aus, dass in der versandten E-Mail allein Werbung von dem werbenden Unternehmen enthalten ist. Sie gelten im Grundsatz zwar auch, falls Werbung lediglich als untergeordneter Bestandteil in einen E-Mail-Informationsdienst eingebunden wird, allerdings – je nach konkreter Ausgestaltung – mit veränderten Anforderungen an den Umfang der Einwilligung.
Auskunfts-, Löschungs- und Berichtigungspflichten
Die einmal erhobenen personenbezogenen Daten dürfen nicht auf immer und ewig gespeichert werden. Im Übrigen dürfte mit der Zeit auch die Qualität der Daten nachlassen.
Während der datenschutzrechtliche Auskunftsanspruch nur auf Verlangen des Betroffenen zu erfüllen ist, ist die Löschungspflicht als eigenständig einzuhaltende Pflicht zu verstehen. Gleichwohl kann aber auch die Löschung durch den Betroffenen als Anspruch geltend gemacht werden. Regelmäßig geht dem Löschungsanspruch – und auch dem Berichtigungsanspruch – aber das Auskunftsverlangen voraus. Wird also ein Auskunftsanspruch gestellt, sollte das Unternehmen stets auch die beiden anderen Ansprüche „im Hinterkopf“ haben.
Auskunftsansprüche
Nach § 34 BDSG hat grundsätzlich der Betroffene einen Anspruch, unentgeltlich Auskunft über die von ihm gespeicherten Daten zu erhalten. Das erfasst auch den Ursprung und an wen die Daten eventuell weitergegeben worden sind. In Ausnahmefällen kann die Auskunft zum Schutz von Geschäftsgeheimnissen verweigert werden. Nach BDSG und TKG ist die Auskunft grundsätzlich schrift-lich zu erteilen. Nach § 13 Abs. 7 TMG kann die Auskunft auf Verlangen des Anfragenden auch elektronisch erteilt werden.
Die Auskunftspflicht ist keine generelle unaufgeforderte Informationspflicht. In welcher Form das Auskunftsverlangen gestellt werden muss, ist gesetzlich nicht geregelt. Es dürfen aber keine unangemessenen Hürden gestellt werden. Gleichwohl sollte in jedem Fall auf einem schriftlichen, also unterschriebenen, Auskunftsbegehren bestanden werden, um den Missbrauch durch unberechtigte Dritte zu unterbinden. Denn datenschutzrechtlich ist der potentiell Auskunftspflichtige zum Schutz der bei ihm gespeicherten personenbezogenen Daten verpflichtet.
Löschungspflichten
Das Datenschutzrecht geht grundsätzlich davon aus, dass die personenbezogenen Daten zu löschen sind, wenn sie nicht mehr erforderlich sind. Diese Erforderlichkeit und damit der Zeitpunkt der Löschung bestimmt sich nach dem Zweck, für welchen die Daten erhoben worden sind. Dementsprechend können auch zulässige Zweckänderungen nach der Erhebung der Daten genauso wie gesetzliche oder vertragliche Speicherpflichten eine Verlängerung der Speicherdauer bewirken.
Personenbezogene Daten, deren Speicherung unzulässig ist, sind ebenfalls zu löschen. Im Extremfall kann dies die Löschung der gesamten Datenbank zur Konsequenz haben, wenn die Daten unzulässig erhoben wurden! Denn können einzelne, unzulässig erhobene Daten aus der „Gesamtmenge“ der erhobenen Daten nicht (einzeln) aussortiert werden, muss unter Umständen die gesamte „Werbedatenbank“ gelöscht werden, um rechtmäßige Zustände zu schaffen.
Zu beachten ist allerdings, dass der Einzelne den Löschungsanspruch nur in Bezug auf seine Daten geltend machen kann. Allerdings können die Datenschutzaufsichts-behörden darüber hinaus die Löschung aller nicht nachweisbar zulässig gespeicherten Daten erzwingen.
Berichtigungspflichten
Derjenige, über den Daten gespeichert sind, hat auch Anspruch darauf, dass die über ihn gespeicherten Daten richtig sind. Das Gesetz sieht daher vor, dass nicht korrekte, gespeicherte Daten zu berichtigen sind. So banal das klingt, so häufig wird das nicht hinreichend beachtet.
Gefahren bei Verstößen gegen das Datenschutzrecht
Die Pflicht zum Löschen unzulässig gespeicherter Daten wurde bereits angesprochen. Verstöße gegen die Datenschutzbestimmungen sind sowohl nach dem BDSG als auch nach dem TMG und dem TKG auch mit Bußgeldern bedroht. Die maximalen Bußgeldspannen reichen von 50.000 bis 300.000 Euro. In Extremfällen können Verstöße auch als Straftaten (mit Haft- und Geldstrafen) verfolgt werden.
Wettbewerbsrechtliche Abmahnungen unmittelbar gestützt auf Verstöße gegen Datenschutzbestimmungen kommen praktisch nicht mehr in Betracht. Bei Einwilligungen hat sich jedoch – insbesondere in der Praxis der abmahnberechtigten Verbände – eingebürgert, die Einwilligungstexte über den „Umweg“ des AGB-Rechts anzugreifen und dementsprechend abzumahnen.
Zusammenfassung
Im Kern sind die rechtlichen Vorgaben von zwei Grundsätzen geprägt:
Transparenz – Der Kunde muss darüber informiert werden, in was er einwilligt und was mit seinen Daten geschieht!
Einwilligung und Freiwilligkeit – Dem Kunden darf eine Einwilligung weder „untergeschoben“ noch „abgepresst“ werden!
Literatur
[1] Jens Eckhardt: Datenschutzerklärungen und Hinweise auf Cookies, S. 46 ff, ITRB 2005.
[2] § 13 Abs. 1 S. 3 Telemediengesetz (TMG)
[3] § 13 Abs. 1 S. 1 Telemediengesetz (TMG)
[4] Jens Eckhardt: Datenschutzrichtlinie für elektronische Kommunikation - Auswirkungen auf Werbung mittels elektronischer Post, S. 557 ff, MMR 2003.
[5] § 13 Abs. 2 Telemediengesetz (TMG)
[6] § 94 Telekommunikationsgesetz (TKG)
[7] § 13 Abs. 6 Telemediengesetz (TMG)
http://buchblog.marketing-boerse.de
http://www.marketing-boerse.de/Info/details/LeitfadenOM
Online-Marketing umfasst begrifflich eine Vielzahl von Gestaltungsmöglichkeiten und Spielarten des Marketings. Darunter sind viele, die nur die Beachtung des Gewerblichen Rechtsschutzes erforderlich machen. Das sogenannte Keyword- Advertising benötigt typischerweise keine personenbezogenen Daten und wird daher rechtlich in erster Linie nach dem Gewerblichen Rechtsschutz bewertet. Das E-Mail-Marketing ist ohne E-Mail-Adresse und damit ohne personenbezogene Daten nicht möglich; außerdem soll der Empfänger persönlich angesprochen werden. Bei der Analyse des Nutzungsverhaltens als Bestandteil des Online-Marketings – sei es schlicht in Form der Erfassung des Ursprungs des Nutzers, durch ein Banner oder eine Suchmaschine generiert, sei es in Form des Besucherverhaltens oder sei es in Form des Ziels beim Verlassen der Internetseite – spielen personenbezogene Daten eine Rolle. Sind personenbezogene Daten tangiert, muss an das Datenschutzrecht gedacht werden.
Das Verständnis des Datenschutzrechts wird dadurch erschwert, dass in Deutschland gerade mit Blick auf das Online-Marketing grundsätzlich drei verschiedene Datenschutzgesetze zur Anwendung kommen können: das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG). Zum Teil weisen diese Gesetze unterschiedliche Regelungen auf. Zwei Aspekte sind jedoch allen gemeinsam: Es muss um personenbezogene Daten gehen. Es sind die drei Grundsätze Erlaubnisvorbehalt, Transparenz und Freiwilligkeit zu beachten. Diese grundlegenden Aspekte werden zunächst einleitend beleuchtet, um ein Grundverständnis zu schaffen, bevor auf die speziellen Aspekte des Online-Marketings eingegangen wird.
Datenschutzrecht - Wann ist es zu beachten?
Das Datenschutzrecht ist zu beachten, sofern und soweit personenbezogene Daten erhoben oder verwendet werden. Hierunter fallen alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Entscheidend ist die Zuordnung zu einem Namen. Die Informationen allein über ein Unternehmen fallen nicht unter das Datenschutzgesetz. Das Datenschutzrecht ist beim Umgang mit diesen Daten allerdings zu beachten, wenn zu einem Unternehmen auch eine Ansprechperson erfasst wird. Denn die Informationen in dem Datensatz können dieser Person zugeordnet werden.
Beispiel E-Mail-Adresse:
Sobald einer E-Mail-Adresse der Name eines Menschen zugeordnet werden kann, ist ein personenbezogenes Datum gegeben. Bei jeder E-Mail-Adresse, die aus einem Namen einer natürlichen Person gebildet ist wie zum Beispiel jenseckhardt@beispielsfirma.de oder info@jenseckhardt.de, ist das allein schon deshalb ein personenbezogenes Datum. Wenn einer sonstigen E-Mail-Adresse ein Name zugeordnet werden kann, ist dies ebenfalls der Fall. Dies gilt insbesondere für die Fälle, in denen zum Beispiel eine anonyme Firmen-E-Mail-Adresse, wie einkauf@beispielsfirma.de, der zuständigen Person – durch die Erhebung weiterer oder aufgrund bereits vorhandener Daten – namentlich zugeordnet werden kann.
In der Praxis kommt es im Ergebnis auf diese Unterscheidung nicht entscheidend an. Denn bei Online-Anmeldungen lässt sich nicht zwischen personalisierten und anderen E-Mail-Adressen unterscheiden. Praktisch kann daher nur einheitlich das Datenschutzrecht beachtet werden.
Weitere Beispiele:
Auch bei Telefonnummern ist von einem personenbezogen Datum auszugehen, weil sie durch Auskunftsinformationen typischerweise einem Menschen zugeordnet werden können.
Bei IP-Adressen ist hingegen zu differenzieren. Dynamische IP-Adressen sind nicht immer personenbezogene Informationen. Anders als bei einer Telefonrufnummer ist nämlich die Zuordnung zu einem Namen nicht jedem möglich. Diese Einschränkung gilt natürlich nicht, wenn das Unternehmen, das die dynamische IP-Adresse erfasst, gleichzeitig auch die Zuweisung der IP-Adresse zu seinem Kunden vornimmt.
Soweit sogenannte Cookies Bestandteile wie Benutzernamen oder statische IP-Adressen enthalten oder sonst einen Menschen identifizieren, ist von der Personen-bezogenheit auszugehen. Bei der Erfassung von dynamischen IP-Adressen mittels Cookies ist wie zuvor dargestellt zu unterscheiden. Wird hingegen lediglich die Information über die verwendete Sprache erfasst, liegt jedenfalls nicht per se eine Personenbezogenheit vor. Die Besonderheit bei Cookies ist, dass es zu einer Selbstidentifikation des Nutzers kommen und dadurch das Cookie zu einem personenbezogenen Datum werden kann. Zu einer solche Selbstidentifikation kann es kommen, wenn unter Nutzung des Cookies eine Bestellung, eine namentliche Anmeldung oder auch der Versand einer E-Mail erfolgt [1]. Im praktischen Ergebnis gilt aber auch: Kann nicht zwischen personenbezogenen und nicht personenbezogenen Daten differenziert werden, muss insgesamt das Daten-schutzrecht beachtet werden.
Grundsätze des Datenschutzrechts
Der entscheidende Grundsatz des Datenschutzrechts lässt sich so umschreiben: Alles ist verboten, es sei denn, es ist konkret erlaubt. Der Fachbegriff hierfür lautet Erlaubnisvorbehalt. Jede Erhebung oder Verwendung von personenbezogenen Daten – bildlich gesprochen: jeder „Verarbeitungsschritt“ – muss für sich zulässig sein.
Für die Verwendung personenbezogener Daten bedarf es daher entweder einer Erlaubnis im Gesetz oder der Einwilligung des Betroffenen. Die Einwilligung eines Dritten genügt grundsätzlich nicht. Für die Verwendung personenbezogener Daten bedeutet das, dass der Umgang mit den Kundendaten aus datenschutzrechtlicher Sicht in seine einzelnen Schritte zerlegt und grundsätzlich jeder Schritt auf seine Abdeckung durch Erlaubnis – durch Gesetz oder durch Einwilligung – überprüft werden muss. Wenn zum Beispiel die Verwendung der E-Mail-Adresse für die Zusendung von Werbung zulässig ist, ist nicht automatisch auch die Auswertung der Reaktion auf die Werbung zulässig.
Aus der Sicht des Online-Marketings besteht der Vorteil einer gesetzlichen Erlaub-nis klar darin, dass eine Einwilligung beim Adressaten nicht eingeholt werden muss. Der Nachteil einer gesetzlichen Erlaubnis besteht darin, dass diese auch den begrenzten Umfang der zulässigen Nutzung festlegt. Bei der Einwilligung des Adressaten hingegen hat es der Werbende in der Hand, durch die Gestaltung des Einwilligungstextes den Umfang der zulässigen Nutzung zu bestimmen.
Transparenz – Wie und wann muss der Betroffene informiert werden?
Das Datenschutzrecht sieht allgemeine Hinweispflichten vor. Der Betroffene soll informiert werden, dass und wie Informationen über ihn erhoben und verwendet werden. Die Information soll ihn – so die Vorstellung des Gesetzgebers – in die Lage versetzen, sein Verhalten entsprechend dieser Information auszurichten.
Der Betroffene muss konkret über Zweck, Art und Umfang der Erhebung und Verwendung seiner Daten sowie darüber, wer diese Daten erhebt, unterrichtet werden. Konkret zu unterrichten bedeutet, dem Nutzer mit den an ihn gerichteten Informationen verständlich zu machen, zu welchem Zweck er seine Daten mitteilt und was mit diesen Daten geschieht. Unzureichend, weil nichts sagend, ist: „Wir verwenden Ihre Daten nur entsprechend dem geltenden Datenschutzrecht.“ An dem Erfordernis einer konkreten Unterrichtung als Voraussetzung einer wirksamen Einwilligung scheitert auch die Einholung einer „allumfassenden“, weil damit zu unbestimmten Einwilligung wie zum Beispiel die Formulierung „Wir verwenden Ihre Daten für die Werbung.“
Nach dem TMG muss der Inhalt dieser Unterrichtung für den Nutzer jederzeit abrufbar sein [2]. Da sich verschiedene technische Gestaltungsmöglichkeiten anbieten, werden die grundsätzlichen Anforderungen an die jederzeitige Abrufbarkeit dargestellt. Abrufbarkeit bedeutet, dass das werbende Unternehmen die konkrete Unterrichtung zum Lesen bereithalten muss. Das macht es erforderlich, dass der Hinweis nicht nur im Zeitpunkt der Kenntnisnahme für den Nutzer vorhanden ist, sondern zu jedem beliebigen Zeitpunkt.
Die Unterrichtung muss nach dem TMG zu Beginn des Nutzungsvorgangs erfolgen [3]. Eine solche Gestaltungsmöglichkeit besteht beispielsweise darin, die Unterrichtung in einer Datenschutzerklärung – manchmal auch als „Privacy Policy“ bezeichnet – auf der Internetseite bereitzuhalten. Der Hinweis sollte – gegebenenfalls durch einen entsprechend bezeichneten Link - auf der Startseite stehen.
Die „Privacy Policy“ auf den Internetseiten kann aber auch zur Stolperfalle werden. Nämlich dann, wenn dort eine über das gesetzlich Erforderliche hinaus gehende Verpflichtung zum Datenschutz erfolgt und das tatsächlich nicht eingehalten werden kann oder im Laufe der Zeit nicht mehr eingehalten werden soll. Dann kann der Verstoß gegen die Selbstverpflichtung eine Abmahnung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) begründen. Die „Privacy Policy“ sollte also – über das gesetzlich Erforderliche hinaus - nur Verpflichtungen enthalten, die auch langfristig erfüllt werden können (und sollen).
Auch der Text einer Einwilligungserklärung kann zusätzlich in die „Privacy Policy“ aufgenommen werden. Damit kann das Erfordernis der jederzeitigen Abrufbarkeit des Einwilligungstextes umgesetzt werden. Niemals ersetzt der Hinweistext in der „Privacy Policy“ aber den Hinweistext im Rahmen einer Einwilligung.
Transparenz – Besonderheit bei der Verwendung von Cookies
In § 13 Abs. 1 S. 2 TMG ist eine Besonderheit für den Zeitpunkt zur Unterrichtung bei der Verwendung sogenannter Cookies enthalten. Falls das Cookie die Erhebung oder Verwendung personenbezogener Daten vorbereitet, hat die Information über den Einsatz eines Cookies „zu Beginn“ des Einsatzes zu erfolgen. Hierfür genügt es, dass das Cookie möglicherweise später zu einem Menschen in Zusammenhang gebracht wird, auch wenn das Cookie zum Zeitpunkt des „Ablegens“ auf der Festplatte des Nutzers eigentlich noch kein personenbezogenes Datum ist. Das Cookie muss zum Zeitpunkt des Setzens nur ein potentiell personenbezogenes Datum sein, um die Hinweispflicht auszulösen. Das ist eine Besonderheit, weil das Datenschutzrecht eigentlich überhaupt erst Anwendung findet, wenn der Personenbezug bereits gegeben ist.
Der Hinweis muss vor dem Einsatz, also vor dem „Ablegen“ des Cookies gegeben werden. Praktisch muss der Hinweis so rechtzeitig erfolgen, dass der Betroffene die spätere Identifikation noch verhindern kann [1]. Der Inhalt des Hinweises richtet sich nach den – oben unter der Überschrift „Transparenz“ dargestellten – allgemeinen Regelungen.
Die Zulässigkeit der Verwendung von Cookies im konkreten Einzelfall ist in § 13 datenschutzrechtliche Abs. 1 S. 2 TMG nicht geregelt. Es gilt der allgemeine Erlaubnisvorbehalt (hierzu siehe oben), wenn ein personenbezogenes Datum erhoben oder verwendet wird [1]. Vereinfacht gilt: Die Verwendung von Cookies kann als Nutzungsdaten gesetzlich zulässig sein. Als Nutzungsdaten sind die Informationen zu betrachten, die während der Nutzung des Telemediendienstes, also insbesondere der Interaktion mit dem Diensteanbieter, entstehen. Das gilt auch für Warenkorbfunktionen, die zur Nutzung des Dienstes erforderlich sind. Jeder darüber hinaus gehende Einsatz von Cookies bedarf allerdings der Einwilligung des Betroffenen. Dann gelten die Anforderungen an die Hinweise und die Bestätigung im Rahmen von Einwilligungen.
Freiwilligkeit
Gegen den allgemeinen Grundsatz der Freiwilligkeit wird dann verstoßen, wenn der Betroffene keine Entscheidungsalternative hat, ob seine personenbezogenen Daten verwendet werden. In diesem Kontext stellt sich die Frage nach Einwilligungen in AGB und bereits „aktivierten Häkchen“. Darauf wird im Kapitel E-Mail-Marketing – Rechtliche Rahmenbedingungen näher eingegangen. Im TMG hat der Grundsatz der Freiwilligkeit eine besondere Ausprägung in Form des sogenannten Koppelungsverbots gefunden, auf das im Folgenden noch näher eingegangen wird.
Unterschiedliche Datenschutzgesetze
Das Datenschutzrecht in Deutschland ist gerade mit Blick auf das Online-Marketing nicht leicht zu erfassen. Denn in diesem Bereich können grund-sätzlich drei verschiedene Datenschutzgesetze zur Anwendung kommen: das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG). Die Abgrenzung ist gesetzlich nicht so eindeutig geregelt, dass sie in der Praxis tatsächlich einfach umsetzbar wäre. Vereinfacht lassen sich die Anwendungsbereiche wie folgt abgrenzen:
TK-Datenschutz: Transportebene – also die Daten, welche zur Übertragung einer E-Mail oder zum Aufbau einer Internetverbindung erforderlich sind.
TMG: Anwendungsebene – Die Anwendungsebene baut auf die Transportebene auf. Beispielsweise gilt für die Anwendung Web-Mail-Dienst oder Internetpräsenz das TMG.
BDSG: Inhaltsdaten – Beispielsweise der Textinhalt einer E-Mail oder der Inhalt eines Telefonats. Das BDSG kommt auch im gesamten Offline-Bereich zur Anwendung.
Welche Ebene gilt, bestimmt sich danach, in welchem Verhältnis das anbietende Unternehmen zu demjenigen steht, dessen Daten genutzt werden sollen, und auf welchem Weg die Daten erhoben werden. Es können mehrere Ebenen gleichzeitig betroffen sein. Beim Online-Marketing ist aber regelmäßig die Ebene des TMG entscheidend; eine pauschale Einstufung ist aber nicht möglich. Dies gilt insbesondere auch für das E-Mail-Marketing und die Online-Erhebung. In den Vordergrund der vorliegenden Darstellung wird daher das TMG gestellt.
Unterschiede zwischen TKG, TMG und BDSG
Warum die Unterscheidung in der Praxis von Bedeutung sein kann, zeigt sich an folgenden Beispielen:
E-Mail-Marketing ist nach dem TMG nur auf der Grundlage einer Einwilligung zulässig. Im TKG hingegen existiert eine Regelung, die eine einwilligungsfreie Werbung ähnlich dem § 7 Abs. 3 UWG vorsieht.
Nach dem TMG ist unter dem Vorbehalt der Pseudonymisierung die Erstellung von Nutzungsprofilen zulässig. Nach dem TKG hingegen nur bei Anonymisierung und entsprechender Einwilligung des Betroffenen.
Sonder- und Beispielsfall: Online-Marketing ohne Einwilligung, insbesondere E-Mail-Marketing
Eine unerfreuliche Fehlleistung des Gesetzgebers ist, dass in dem 2007 in Kraft getretenen TMG keine Regelung enthalten ist, welche der in § 7 Abs. 3 UWG entspricht. Danach ist unter bestimmten Voraussetzungen E-Mail-Werbung ohne Einwilligung zulässig (siehe Kapitel E-Mail-Marketing – Rechtliche Rahmen-bedingungen). Im TKG (§ 95 Abs. 2 TKG) ist eine vergleichbare, wenn auch nicht wortgleiche Regelung 2004 eingeführt worden.
Unerfreulich ist diese Fehlleistung des Gesetzgebers deshalb, weil die Regelungen in § 7 Abs. 3 UWG - und § 95 Abs. 2 TKG - auf Art. 13 der EU-Datenschutzrichtlinie über elektronische Kommunikation zurückgehen. Nach dieser Richtlinie hätte eine entsprechende Regelung auch im TMG eingefügt werden müssen [4]. Im Falle einer gerichtlichen Auseinandersetzung kann – vereinfacht dargestellt – daher mit dem „vorrangigen“ EU-Recht argumentiert werden.
Aus datenschutzrechtlicher Sicht ist das Ausnutzen der Regelung des § 7 Abs. 3 UWG im Anwendungsbereich des TMG mit (unberechtigten) Risiken behaftet. Das Risiko ergibt sich daraus, dass es derzeit in der Praxis schwer sein dürfte, ein Gericht oder eine Aufsichtsbehörde davon zu überzeugen, ein Gesetz entgegen dem Wortlaut, aber EU-richtlinienkonform, anzuwenden.
Einwilligung – Spezielle Anforderungen des Datenschutzrechts
Allen drei im Online-Marketing primär relevanten Datenschutzgesetzen ist gemeinsam, dass eine Einwilligung in jedem Fall genügt, um die Erhebung und Verwendung von personenbezogenen Daten zu gestatten. Damit kann durch den Umfang der Einwilligung die Erhebung und Verwendung in gewissen Grenzen gesteuert werden.
Wann worauf geachtet werden muss
Aus datenschutzrechtlicher Sicht kommt es auf eine Einwilligung unter zwei Voraussetzungen an, nämlich wenn 1. eine Erhebung und Verwendung von personen-bezogenen Daten und 2. abweichend von gesetzlichen Zulässigkeitsregelungen beziehungsweise darüber hinaus erfolgen soll.
Auf eine Einwilligungsregelung sollte aber auch nur dann zurückgegriffen werden, wenn die geplante Erhebung und Verwendung nicht gesetzlich zulässig ist. Denn wird eine Einwilligung abgefragt und diese verweigert, dann muss dies auch respektiert werden. So selbstverständlich das klingt, so unangenehm ist das dann, wenn eine Einwilligung für eine Erhebung oder Verwendung abgefragt wird, die bereits gesetzlich zulässig ist. Ein Unterlaufen der verweigerten Einwilligung unter Berufung auf die gesetzliche Erlaubnis könnte rechtlich angegriffen werden. Insbesondere unter dem Aspekt, dass dem Betroffenen vorgegaukelt wird, dass er durch die Verweigerung der Einwilligung auf die Erhebung und Verwendung seiner Daten Einfluss nehmen könnte. Gleichwohl darf nicht verkannt werden, dass es gerade im Datenschutzbereich immer wieder Fälle gibt, in denen nicht sicher beurteilt werden kann, ob die gesetzliche Erlaubnis greift. In diesen Fällen kann es sinnvoll sein, dennoch die Einwilligung einzuholen.
Gestaltungsmöglichkeit - Text bestimmt den Umfang der Einwilligung!
Der Umfang der zulässigen Erhebung und Verwendung bestimmt sich nach der Einwilligung. Also bestimmt der Text den Umfang der Einwilligung. Den Text wiederum kann der Werbende gestalten. Der Werbende ist aber auch an diesen Umfang gebunden, weshalb eine „enge“ Einwilligung ihn unangemessen behindern kann.
Die Ausgestaltung der Erklärung als „allumfassende“ Einwilligung ist hierbei jedoch kein gangbarer Weg. Denn der Umfang des Zulässigen unterliegt gesetzlichen „Grenzen“. Werden diese „Grenzen“ überschritten, ist die Einwilligung unwirksam. Das bedeutet dann nichts anderes, als dass keine Einwilligung vorliegt.
Die Konsequenz ist, dass vor der Gestaltung der Einwilligung geklärt werden sollte, wofür die Daten konkret verwendet werden sollen. Denn nur so kann die konkret geeignete Einwilligungserklärung formuliert werden.
Inhaltliche und formale Anforderungen an die Einwilligung
Die inhaltlichen Anforderungen wirken sich unmittelbar oder mittelbar als Begrenzung des zulässigen Umfangs einer Einwilligungserklärung aus. Bei der Gestaltung der Einwilligung sind sowohl inhaltliche als auch formale Vorgaben umzusetzen.
Inhalt der Einwilligung – Die Unterrichtung
Der Text der Einwilligung kann sich mit der allgemeinen Unterrichtung/Hinweispflicht überschneiden, ist aber nicht inhaltsgleich. Der entscheidende Unterschied ist, dass die allgemeine Unterrichtung nur darüber informiert, was bereits gesetzlich zulässig ist. Der Umfang der danach zulässigen Verwendung kann allein mit einer Unterrichtung, welcher der Betroffene nicht zustimmt – und nicht zustimmen muss – nicht erweitert werden.
Der Text der Einwilligung legt hingegen – über die gesetzlichen Erlaubnistatbestände hinaus – den Rahmen einer zulässigen Erhebung und Verwendung von personen-bezogenen Daten fest; vorausgesetzt der Betroffene stimmt zu. Dementsprechend muss dem Betroffenen der Text der Einwilligung vor einer entsprechenden Zustimmungserklärung bekannt gemacht werden und es muss dann eine Reaktion erfolgen, die als seine Zustimmung gewertet werden kann.
Als Beispiel: Wird im Rahmen einer gesetzlichen Erlaubnis eine E-Mail-Adresse zur Werbung verwendet (§ 95 Abs. 2 TKG), muss der Betroffene zwar hierüber unterrichtet werden, er muss der Verwendung aber nicht gesondert zustimmen. Soll seine E-Mail-Adresse jedoch über den gesetzlichen Zulässigkeitstatbestand hinaus verwendet werden, dann muss der Betroffene eine gesonderte Einwilligungserklärung abgeben; tut er dies nicht, darf die Adresse trotz Unterrichtung nicht verwendet werden.
Der Unterschied hat aber auch Auswirkungen auf die Verwendung von personenbezogenen Daten.
Denn wird gegen die allgemeine Informationspflicht verstoßen, ist die Erhebung und Verwendung der personenbezogenen Daten im Rahmen der gesetzlichen Erlaubnis weiterhin zulässig; das Unterlassen der Unterrichtung muss aber beseitigt werden. Unterbleibt hingegen die Unterrichtung im Rahmen der Einwilligung oder ist sie unvollständig, dann ist die Erhebung und Verwendung der Daten in diesem Umfang unzulässig. Im schlimmsten Fall sind die entsprechenden Daten zu löschen.
Die Unterrichtung im Rahmen der Einwilligung bedeutet mitzuteilen, was mit den Daten geschehen soll. Mit dem Text der Einwilligung wird also festgelegt, wofür, für wen und durch wen geworben werden darf. Der Kunde muss konkret über Zweck, Art und Umfang der Erhebung und Verwendung seiner Daten sowie darüber, wer diese Daten erhebt, unterrichtet werden. Konkret zu unterrichten bedeutet dabei, dem Nutzer auf der Grundlage der Informationen verständlich zu machen, zu welchem Zweck er seine Daten mitteilt und was mit diesen Daten geschieht. Unzureichend sind nichts sagende, aber vor allem auch „allumfassende“ Einwilligungen wie zum Beispiel „Wir verwenden Ihre Daten für die Werbung und geben sie auch an unsere Partner weiter..“. Denn der Betroffene kann nicht ernstlich erkennen, was mit seinen Daten geschieht und damit dem auch nicht zustimmen.
Wichtig: Der Interessierte muss den Text zur Kenntnis nehmen können, bevor er seine Einwilligung – zum Beispiel durch das Anklicken eines Bestätigungsbuttons – zum Ausdruck bringt. Ein Ablauf nach dem Muster „Zustimmen, dann Text anzeigen“ würde nicht zu einer wirksamen Einwilligung führen.
Form der Einwilligung - Die elektronische Einwilligung
Nach dem Bundesdatenschutzgesetz muss die Einwilligung grundsätzlich der Schriftform genügen. Schriftlich bedeutet die eigenhändige Unterschrift des Betroffenen. Nach dem BDSG kann bei „besonderen Umständen“ ausnahmsweise auch eine andere Form angemessen sein. Eine typische Konstellation sind Telefongespräche; hier stellt sich dann aber das Problem der Nachweisbarkeit der telefonisch erklärten Einwilligung.
Das TMG und das TKG lassen auch die elektronische Erklärung der Einwilligung zu. Die Voraussetzungen sind, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann [5, 6].
Die Einwilligung muss also durch ein aktives Tun ausgelöst werden. Dies kann ein „Maus-Klick“, ein Tastendruck oder das Ausfüllen eines Freifeldes – zum Beispiel durch Eintragung der E-Mail-Adresse – sein. Es muss protokolliert werden, wer der Urheber der Einwilligung ist. Wegen des Grundsatzes der Datensparsamkeit muss hierfür die Angabe der E-Mail-Adresse genügen. Des Weiteren muss der Zeitpunkt sowie der unveränderte Text der Einwilligungserklärung protokolliert werden. Die Informationen sollten für die Dauer des Nutzungsverhältnisses vorgehalten werden.
Für die jederzeitige Abrufbarkeit gilt das bereits oben Erläuterte entsprechend. Für den Fall, dass der Einwilligungstext im Laufe der Zeit verändert wird, müssen alle Einwilligungserklärungen, und nicht nur die aktuelle, abrufbar sein. Aufgrund der Protokollierung der Einwilligung sollte im Falle einer Nachfrage des Kunden auch später noch feststellbar sein, welche Erklärung für den jeweiligen Kunden gilt.
Recht zum Widerruf
Nach § 13 Abs. 2 Nr. 4 TMG / § 94 Nr. 4 TKG muss der Nutzer seine Einwilligung jederzeit widerrufen können. § 13 Abs. 3 TMG regelt für Telemediendienste zusätzlich, dass der Nutzer vor der Erklärung seiner Einwilligung auf sein Recht zum jederzeitigen Widerruf der Einwilligung hingewiesen werden muss. Aus dem Hinweis muss sich ergeben, dass ein Widerrufsrecht besteht, der Nutzer es zu jedem Zeitpunkt mit Wirkung für die Zukunft ausüben kann und wem gegenüber er es geltend machen kann. Das bedeutet, dass der Hinweis so erfolgen muss, dass er die Entscheidung des Nutzers noch beeinflussen kann. Der Hinweis sollte daher räumlich vor beziehungsweise oberhalb des Eintragungsfeldes oder des Bestätigungsbuttons angebracht werden, so dass der Kunde diesen Hinweis immer logisch vor dem letzten Akt der Anmeldung zur Kenntnis nimmt. Eine besondere Hervorhebung ist nach dem TMG nicht erforderlich, solange die Kenntnisnahme durch den Kunden gewährleistet ist. Dieser Hinweis muss außerdem jederzeit für den Nutzer abrufbar sein. Die jederzeitige Abrufbarkeit kann genauso gestaltet werden wie oben im Rahmen der Einwilligung beschrieben.
Nach dem TKG besteht eine solche Hinweispflicht nicht. Der Hinweis sollte jedoch gleichwohl erfolgen, da er sich inzwischen eingebürgert hat. Im Übrigen dürfte im Fall einer Auseinandersetzung ein Gericht geneigt sein, eine Hinweispflicht trotz fehlender ausdrücklicher gesetzlicher Pflicht zum Hinweis anzunehmen.
Ferner besteht nach § 28 Abs. 4 BDSG die allgemeine Pflicht, den Betroffenen über sein Widerrufsrecht bezüglich der Verwendung seiner Daten für Werbung zu informieren.
Das Gesetz enthält keine konkreten Angaben darüber, wie der Betroffene den Widerruf auszugestalten hat. Allerdings sind in diesem Zusammenhang auch die Vorgaben des Wettbewerbsrechts zu berücksichtigen. Denn ebenso wie eine einheitliche Einwilligung gestaltet werden kann, kann und sollte auch der Hinweis auf die Widerrufsmöglichkeit einheitlich gestaltet sein. Die eröffneten Gestaltungs-möglichkeiten sind im Kontext des E-Mail-Marketings auch im Kapitel E-Mail-Marketing - Rechtliche Rahmenbedingungen dargestellt.
Inhaltliche Anforderungen an die Einwilligung und inhaltliche Grenzen
Als besondere Ausprägung des Erfordernisses der Freiwilligkeit ist in § 12 Kopplungsverbot geregelt. Danach Abs. 3 TMG ausdrücklich das sogenannte ist es verboten, die Erbringung der Dienstleistung von der Einwilligung in die Verarbeitung oder Nutzung der Daten für einen anderen Zweck abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu dieser Dienstleistung nicht oder nicht in zumutbarer Weise möglich ist. Aber auch im übrigen Datenschutzrecht ist dieser Grundsatz zu beachten.
Die Regelung greift ein, falls eine Verwendung der personenbezogenen Daten für zwei verschiedene Zwecke erfolgen soll. Dies ist beispielsweise der Fall, wenn dem Kunden ein regelmäßig erscheinender E-Mail-Newsletter angeboten wird, aber die Zusendung des Newsletters davon abhängig gemacht wird, dass dem Kunden auch (andere) Werbung per E-Mail zugesandt werden darf. Dasselbe gilt, falls die Nutzung einer Internetplattform von der Einwilligung in die Zusendung von Werbung abhängig gemacht wird. Allein die Anwendbarkeit des sogenannten Kopplungsverbots bedeutet aber noch nicht, dass die Kopplung auch unzulässig ist.
Die Rechtsprechung hat die Anforderungen an einen Verstoß gegen das Kopplungs-verbot zwischenzeitlich zunehmend konkretisiert. Ob ein anderer Zugang im Sinne der Regelung besteht, wird in Bezug auf die Art des Dienstes bestimmt; es kommt also nicht darauf an, dass der konkret angebotene Dienst anderweitig zugänglich ist. Weitere Voraussetzung ist, dass dem Werbenden für diese Art des Dienstes eine Monopolstellung zukommt. Letztlich liegt die Beweislast für diese Voraussetzungen eines Verstoßes gegen das Kopplungsverbot beim Beschwerdeführer.
Je nach konkreter Situation sind aber selbst bei einer Monopolstellung Umge-staltungen des Leistungsangebots denkbar, die dem Kunden eine zweite, alternative Nutzungsmöglichkeit derselben Dienstleistung eröffnen und damit im Rahmen der ersten, ursprünglichen Nutzungsmöglichkeit die Verwendung der Daten auch zu anderen Zwecken ermöglichen.
Anonymität und Datensparsamkeit
Die Angabe beliebiger, den Werbenden interessierenden, personenbezogener Daten darf nicht zur Voraussetzung der Nutzung des Dienstes, beispielsweise des Newsletters, gemacht werden. Das Datenschutzrecht ist an dem Grundsatz der Datensparsamkeit und -vermeidung ausgerichtet. Die Zielvorstellung des Datenschutzrechts ist, dass über den Einzelnen so wenig Daten wie möglich erhoben und verwendet werden.
Das TMG verlangt, dass dem Nutzer eine anonyme oder pseudonyme Nutzung ermöglicht wird, soweit dies technisch möglich und zumutbar ist [7]. Der Nutzer ist hierüber auch zu informieren. Nur die für die Nutzung des Dienstes erforderlichen Angaben dürfen als Pflichtangaben ausgestaltet sein. Beim E-Mail-Marketing – also auch bei einem Newsletter – dürfen nur die zur Zusendung der E-Mail erforderlichen Felder als Pflichtfelder eingerichtet werden; im Regelfall ist das allein die E-Mail-Adresse. Praktisch bedeutet dies, dass bereits die Angabe der Anrede oder die Angabe des Namens neben der E-Mail-Adresse als freiwillige Angabe ausgestaltet sein muss.
Trotzdem muss auf zusätzliche Abfragen nicht verzichtet werden. Es ist nämlich nicht verboten, weitere Informationen als freiwillige Angaben abzufragen.
Werbeerlaubnis als AGB-Klausel und „aktivierte Häkchen“
Die Ausführungen im Kapitel E-Mail-Marketing - Rechtliche Rahmenbedingungen zu Werbeerlaubnissen in AGB und „aktivierten Häkchen“ im Rahmen des E-Mail-Marketing gelten aus datenschutzrechtlicher Sicht entsprechend.
Datenschutzrecht oder: Was gilt nach der Erhebung der Daten?
Mit der Erhebung der E-Mail-Adressen enden nicht die rechtlichen Anforderungen. Allein die zulässige Erhebung der personenbezogenen Daten legitimiert nicht die beliebige Verwendung dieser, sondern nur eine Verwendung entsprechend dem ursprünglichen Zweck. Sollen die personenbezogenen Daten hingegen zu einem anderen Zweck als dem ursprünglich genannten verwendet werden, kommt wieder der Grundsatz des Erlaubnisvorbehalts zum Tragen.
Was ist zu tun, falls eine davon abweichende oder darüber hinaus gehende Verwen-dung der Daten erfolgen soll? Eine pauschale Antwort hierauf ist nicht möglich, da es konkret auf die geplante Nutzung ankommt. Denn nur anhand dieser kann festgestellt werden, ob beispielsweise aufgrund der Interessensabwägungs-klausel nach § 28 BDSG eine andere Verwendung ohne erneute Einwilligung zulässig ist. Generell sollte jedoch von dem Grundsatz ausgegangen werden, dass nur eine solche Verwendung zulässig ist, die eindeutig von der Einwilligung abgedeckt ist. Werden weitere Informationen zu den bereits vorhandenen personenbezogenen Daten hinzugefügt, dann gelten auch für das Hinzufügen dieser Informationen grundsätzlich dieselben Anforderungen wie bei der erstmaligen Erhebung von Daten über die Person.
Nutzungsprofile
Auch für die Anreicherung der Kundendaten mit weiteren Informationen, wie bei der Erstellung von Nutzungsprofilen, gilt, dass dies nur zulässig ist, falls eine gesetzliche Erlaubnis oder die Einwilligung des Betroffenen greift. Aus datenschutzrechtlicher Sicht gibt es im Grundsatz drei Abstufungen der Anreicherung:
• die Erstellung personenbezogener Nutzungsprofile darf grundsätzlich nur mit Einwilligung erfolgen.
• pseudonymisierte Nutzungsprofile sind unter bestimmten gesetzlichen Voraussetzungen bis zum Widerspruch des Betroffenen zulässig.
• anonymisierte Nutzungsprofile unterliegen – mangels Personenbezug - keiner datenschutzrechtlichen Beschränkung.
Für das E-Mail-Marketing bedeutet das, dass das Zusammenführen der Daten über das Nutzungsverhalten mit den Daten des Inhabers der E-Mail-Adresse nur auf der Grundlage einer Einwilligung des Betroffenen, das heißt des Inhabers der E-Mail-Adresse, zulässig ist. Hierunter fällt jede zusätzliche Information, die erfasst wird, beispielsweise auch das Öffnen der E-Mail oder ein Klick-Verhalten.
Nach § 15 Abs. 3 TMG ist die Erstellung von Nutzungsprofilen zur Werbung und zur Marktforschung gesetzlich erlaubt, sofern drei Voraussetzungen gemeinsam beachtet werden:
• Es müssen Pseudonyme verwendet werden.
• Der Betroffene ist im Zuge der Erhebung seiner Daten auf sein Widerspruchsrecht gegen die Erstellung von Nutzungs- profilen hingewiesen worden; ein nachträglicher Hinweis genügt nicht.
• Das Nutzungsprofil darf nicht mit dem Träger des Pseudonyms zusammengeführt werden.
Ein Pseudonym ist gegeben, wenn der Name und andere Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck ersetzt werden, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
Aus dem Hinweis auf das Widerspruchsrecht ergibt sich, dass der Betroffene auch darüber zu informieren ist, dass Nutzungsprofile erstellt werden. Der Hinweis muss zu Beginn der Nutzung des Dienstes durch den Betroffenen, also am besten zusammen mit der Einwilligung in die Werbung, erfolgen. Ein Hinweis nach der Erstellung der Nutzungsprofile genügt nicht. Um den Kunden nicht vor die „Alles-oder-Nichts“-Wahl zu stellen, sollte er die Möglichkeit haben, diese Profilierung sofort abzulehnen.
Für die anonymen Nutzungsprofile muss die Anonymität bereits bei der Erhe-bung der Information, beispielsweise des Öffnens der E-Mail oder des Klick-Verhaltens, gegeben sein. Anonyme Auswertungen bedürfen grundsätzlich keiner datenschutzrechtlichen Erlaubnis, denn mit der Anonymisierung ist das Datenschutzrecht eigentlich nicht mehr anwendbar. Anonymisiert sind die Daten dann, wenn die personenbezogenen Daten derart verändert sind, dass die Informationen einer bestimmten oder bestimmbaren natürlichen Person nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können. Im Anwendungsbereich des TKG dürfen Nutzungsprofile auch nicht pseudonymisiert erstellt werden. Die Erstellung von Nutzungsprofilen bedarf vielmehr der Einwilligung des Betroffenen.
Je nachdem, ob und welche Art der Profilierung erfolgen soll, muss diese bereits bei der Gestaltung des Einwilligungstextes berücksichtigt werden. Personenbezogene Nutzungsprofile sind im Rahmen des TMG und des TKG nur mit Einwilligung des Betroffenen zulässig.
Nutzung „fremder“ Adressen
Für die Nutzung „fremder“ E-Mail-Adressen zur Werbung für eigene Leistungen sind verschiedene rechtliche Konstruktionen und auch verschiedene tatsächliche Ausgestaltungen denkbar. Grundvoraussetzung für eine rechtskonforme Nutzung „fremder“ E-Mail-Adressen ist zunächst, dass die rechtliche Konstruktion und die tatsächliche Ausgestaltung übereinstimmen. Kurioserweise ist dies nicht stets der Fall.
Aufgrund der vielen verschiedenen Möglichkeiten zur Gestaltung sind an dieser Stelle nur allgemeine Hinweise zur Nutzung „fremder“ Adressen sinnvoll und möglich.
Die Einwilligung des Betroffenen, die der Anbieter dieser Adressen eingeholt haben sollte, muss so ausgestaltet sein, dass auch Werbung von einem Dritten zulässig ist. Das heißt nicht zwingend, dass die Werbung eigenständig zugesendet werden darf. Was konkret zulässig ist, hängt von der Ausgestaltung der Einwilligung ab. Der Betroffene muss aber in jedem Fall zugestimmt haben, dass ihm nicht nur Werbung des Unternehmens zugesandt wird, welches die Adressen erhoben hat.
Bei der Nutzung dieser Adressen muss sich das nutzende Unternehmen auf die Zusage des bereitstellenden Unternehmens verlassen, dass die Einwilligung vorliegt. Deshalb sollte die vertragliche Zusicherung enthalten sein, dass die erforderliche Erlaubnis für eine Nutzung dieser Adressen durch Dritte eingeholt wurde und durch das bereitstellende Unternehmen gegebenenfalls bewiesen werden kann. Um die Risikoverteilung eindeutig zu gestalten, sollte des Weiteren mit dem Anbieter eine Freistellung vereinbart werden, falls diese Zusicherung nicht eingehalten wird. Das heißt, das bereitstellende Unternehmen verpflichtet sich, alle Schäden und Kosten zu ersetzen, die entstehen, falls diese Zusicherung nicht eingehalten wird. Die Freistellung sollte insbesondere die Pflicht vorsehen, das werbende Unternehmen für den Fall einer Auseinandersetzung zu unterstützen und die Kosten hierfür, insbesondere Prozess- und Verfahrenskosten, zu übernehmen.
Eine Freistellungsvereinbarung bewirkt aber nicht, dass der Werbende gegenüber dem Anspruch des Betroffenen „aus dem Schneider“ ist. Auch wenn „fremde“ Adressen genutzt werden, haftet das werbende Unternehmen gegenüber dem Empfänger, falls die erforderliche Einwilligung nicht nachgewiesen werden kann. Das heißt, das werbende Unternehmen ist zur Abgabe einer Unterlassungserklärung verpflichtet. Hieran ändert auch eine Freistellungsvereinbarung mit dem Unter-nehmen, das die E-Mail-Adressen bereitgestellt hat, nichts. Diese befreit nur von den finanziellen Folgen.
Die vorstehenden Hinweise gehen in erster Linie davon aus, dass in der versandten E-Mail allein Werbung von dem werbenden Unternehmen enthalten ist. Sie gelten im Grundsatz zwar auch, falls Werbung lediglich als untergeordneter Bestandteil in einen E-Mail-Informationsdienst eingebunden wird, allerdings – je nach konkreter Ausgestaltung – mit veränderten Anforderungen an den Umfang der Einwilligung.
Auskunfts-, Löschungs- und Berichtigungspflichten
Die einmal erhobenen personenbezogenen Daten dürfen nicht auf immer und ewig gespeichert werden. Im Übrigen dürfte mit der Zeit auch die Qualität der Daten nachlassen.
Während der datenschutzrechtliche Auskunftsanspruch nur auf Verlangen des Betroffenen zu erfüllen ist, ist die Löschungspflicht als eigenständig einzuhaltende Pflicht zu verstehen. Gleichwohl kann aber auch die Löschung durch den Betroffenen als Anspruch geltend gemacht werden. Regelmäßig geht dem Löschungsanspruch – und auch dem Berichtigungsanspruch – aber das Auskunftsverlangen voraus. Wird also ein Auskunftsanspruch gestellt, sollte das Unternehmen stets auch die beiden anderen Ansprüche „im Hinterkopf“ haben.
Auskunftsansprüche
Nach § 34 BDSG hat grundsätzlich der Betroffene einen Anspruch, unentgeltlich Auskunft über die von ihm gespeicherten Daten zu erhalten. Das erfasst auch den Ursprung und an wen die Daten eventuell weitergegeben worden sind. In Ausnahmefällen kann die Auskunft zum Schutz von Geschäftsgeheimnissen verweigert werden. Nach BDSG und TKG ist die Auskunft grundsätzlich schrift-lich zu erteilen. Nach § 13 Abs. 7 TMG kann die Auskunft auf Verlangen des Anfragenden auch elektronisch erteilt werden.
Die Auskunftspflicht ist keine generelle unaufgeforderte Informationspflicht. In welcher Form das Auskunftsverlangen gestellt werden muss, ist gesetzlich nicht geregelt. Es dürfen aber keine unangemessenen Hürden gestellt werden. Gleichwohl sollte in jedem Fall auf einem schriftlichen, also unterschriebenen, Auskunftsbegehren bestanden werden, um den Missbrauch durch unberechtigte Dritte zu unterbinden. Denn datenschutzrechtlich ist der potentiell Auskunftspflichtige zum Schutz der bei ihm gespeicherten personenbezogenen Daten verpflichtet.
Löschungspflichten
Das Datenschutzrecht geht grundsätzlich davon aus, dass die personenbezogenen Daten zu löschen sind, wenn sie nicht mehr erforderlich sind. Diese Erforderlichkeit und damit der Zeitpunkt der Löschung bestimmt sich nach dem Zweck, für welchen die Daten erhoben worden sind. Dementsprechend können auch zulässige Zweckänderungen nach der Erhebung der Daten genauso wie gesetzliche oder vertragliche Speicherpflichten eine Verlängerung der Speicherdauer bewirken.
Personenbezogene Daten, deren Speicherung unzulässig ist, sind ebenfalls zu löschen. Im Extremfall kann dies die Löschung der gesamten Datenbank zur Konsequenz haben, wenn die Daten unzulässig erhoben wurden! Denn können einzelne, unzulässig erhobene Daten aus der „Gesamtmenge“ der erhobenen Daten nicht (einzeln) aussortiert werden, muss unter Umständen die gesamte „Werbedatenbank“ gelöscht werden, um rechtmäßige Zustände zu schaffen.
Zu beachten ist allerdings, dass der Einzelne den Löschungsanspruch nur in Bezug auf seine Daten geltend machen kann. Allerdings können die Datenschutzaufsichts-behörden darüber hinaus die Löschung aller nicht nachweisbar zulässig gespeicherten Daten erzwingen.
Berichtigungspflichten
Derjenige, über den Daten gespeichert sind, hat auch Anspruch darauf, dass die über ihn gespeicherten Daten richtig sind. Das Gesetz sieht daher vor, dass nicht korrekte, gespeicherte Daten zu berichtigen sind. So banal das klingt, so häufig wird das nicht hinreichend beachtet.
Gefahren bei Verstößen gegen das Datenschutzrecht
Die Pflicht zum Löschen unzulässig gespeicherter Daten wurde bereits angesprochen. Verstöße gegen die Datenschutzbestimmungen sind sowohl nach dem BDSG als auch nach dem TMG und dem TKG auch mit Bußgeldern bedroht. Die maximalen Bußgeldspannen reichen von 50.000 bis 300.000 Euro. In Extremfällen können Verstöße auch als Straftaten (mit Haft- und Geldstrafen) verfolgt werden.
Wettbewerbsrechtliche Abmahnungen unmittelbar gestützt auf Verstöße gegen Datenschutzbestimmungen kommen praktisch nicht mehr in Betracht. Bei Einwilligungen hat sich jedoch – insbesondere in der Praxis der abmahnberechtigten Verbände – eingebürgert, die Einwilligungstexte über den „Umweg“ des AGB-Rechts anzugreifen und dementsprechend abzumahnen.
Zusammenfassung
Im Kern sind die rechtlichen Vorgaben von zwei Grundsätzen geprägt:
Transparenz – Der Kunde muss darüber informiert werden, in was er einwilligt und was mit seinen Daten geschieht!
Einwilligung und Freiwilligkeit – Dem Kunden darf eine Einwilligung weder „untergeschoben“ noch „abgepresst“ werden!
Literatur
[1] Jens Eckhardt: Datenschutzerklärungen und Hinweise auf Cookies, S. 46 ff, ITRB 2005.
[2] § 13 Abs. 1 S. 3 Telemediengesetz (TMG)
[3] § 13 Abs. 1 S. 1 Telemediengesetz (TMG)
[4] Jens Eckhardt: Datenschutzrichtlinie für elektronische Kommunikation - Auswirkungen auf Werbung mittels elektronischer Post, S. 557 ff, MMR 2003.
[5] § 13 Abs. 2 Telemediengesetz (TMG)
[6] § 94 Telekommunikationsgesetz (TKG)
[7] § 13 Abs. 6 Telemediengesetz (TMG)