Gastblog: 3 Punkte, die im E-Mail-Marketing alles zulässig oder unzulässig machen

Seit Geltung der Datenschutzgrundverordnung (DSGVO) sind das E-Mail-Marketing und die Leadgenerierung für Marketiers nicht gerade einfacher geworden.
Es stellen sich jetzt Fragen wie „Über welchen Kanal darf ich den Lead kontaktieren?“, „Darf ich das Klickverhalten speichern?“ oder „Welche Daten kann ich für unser E-Mail-Marketing nutzen?

Kompliziert ist es auch, weil nicht nur das Datenschutzrecht zu beachten ist, denn parallel dazu gelten für deutsche Unternehmen außerdem das Gesetz gegen den unlauteren Wettbewerb (UWG) sowie das Bürgerliche Gesetzbuch (BGB) weiter.

Die Konsequenzen bei Verstößen sind dabei ganz unterschiedlich: Wer unbefugt Daten verarbeitet, unzulässige E-Mails verschickt oder unerlaubt Werbeanrufe tätigt, dem drohen nicht nur Bußgelder der Datenschutzbehörden nach der DSGVO wegen unzulässiger Datenverarbeitung. Er könnte auch unter anderem von Mitbewerbern, Abmahnvereinen oder Verbraucherschutzverbänden wettbewerbsrechtlich abgemahnt werden. Hinzu kommt, dass die Empfänger der E-Mails oder die Angerufenen ebenfalls zivilrechtlich Unterlassung verlangen und kostenpflichtig abmahnen können.

1. Auch Firmendaten können personenbezogene Daten sein

Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Dazu gehören zwar nach Art. 1 DSGVO und Erwägungsgrund 14 DSGVO nicht die Daten einer juristischen Person an sich (Beispiel: Name und Adresse der Beispielsfirma XY GmbH). Allerdings unterscheidet die Verordnung nicht zwischen personenbezogenen Daten aus dem Bereich B2C (Business-to-Consumer) oder B2B (Business-to-Business). Damit können grundsätzlich auch Daten von geschäftlichen Kontakten personenbezogen sein. Es muss aber ein sog. Personenbezug gegeben sein, d. h. eine natürliche Person hinter den Daten stehen. Das ist zum Beispiel dann der Fall, wenn der Name einer Person in der E-Mailadresse verwendet wird.

2. Die Nutzung von Daten zu Werbezwecken benötigt eine eigene Rechtsgrundlage

Die Verarbeitung von Daten zum Zwecke der Kontaktaufnahme zu einem Interessenten, Kunden oder sonstigen Geschäftspartner erfordert entweder eine gesetzliche Grundlage oder die vorherige Einwilligung des Betroffenen:

Zur Durchführung vorvertraglicher Maßnahmen auf eine Anfrage des Betroffenen hin oder zur Erfüllung eines Vertrags dürfen personenbezogene Daten bereits nach dem Gesetz verarbeitet werden, ohne dass es einer vorherigen Einwilligung des Betroffenen bedarf.

(Art. 6 Abs. 1 lit. b DSGVO)

Beispiele:

  • jemand fragt per E-Mail nach einem Angebot;
  • über das Kontaktformular der Webseite wird ein Katalog bestellt;
  • eine Bestellung aus dem Onlineshop wird abgewickelt und der Käufer erhält die Bestell-Eingangsbestätigung, Auftragsbestätigung oder Rechnung per E-Mail.

Hier muss der Betroffene nicht jeweils erst gefragt werden, ob er mit der Speicherung seiner Daten einverstanden ist, damit seine Anfrage beantwortet oder seine Bestellung bearbeitet werden kann.
Allerdings dürfen die Kontaktdaten des Betroffenen nicht automatisch auch zu Werbezwecken gespeichert und später für die Leadgenerierung genutzt werden.

Sollen Daten von Interessenten und Kunden auch zu Werbezwecken genutzt werden, ist das nur mit einer speziellen Werbe-Einwilligung zulässig (Art. 6 Abs. 1 lit. a DSGVO) oder es besteht ein überwiegendes berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO):

Profiling und personalisierte Kundemails: wann eine spezielle Werbe-Einwilligung nötig ist.

Es gibt Fälle, in denen E-Mails ohne Einwilligung versendet werden dürfen. § 7 Abs. 3 UWG lässt das zum Beispiel unter bestimmten Voraussetzungen an Bestandskunden zu. Dann dürfen die Daten dafür auch nach DSGVO ohne besondere Einwilligung verarbeitet und auf Grundlage eines berechtigten Interesses verarbeitet werden.
Gleiches gilt beim Versand von Werbung auf dem Postweg, der ebenfalls nach § 7 UWG ohne Einwilligung des Empfängers zulässig ist.

Wie die Datenschutzbehörden das sehen, hat die Datenschutzkonferenz (DSK) im November 2018 in einer Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf) veröffentlicht. Danach soll es zulässig sein, die aus eigenen Gewinnspielen oder Prospekt- und Kataloganfragen generierten Postadressen für die Direktwerbung ohne Einwilligung der Betroffenen zu nutzen (vgl. Ziffer 4.2).

Wer jedenfalls E-Mails an Interessenten verschicken will, nicht die Voraussetzungen für das Versenden an Mails an Bestandskunden nach § 7 Abs. 3 UWG erfüllt oder auch telefonisch mit Interessenten in Kontakt treten will, sollte dazu jeweils eine Einwilligung einholen. Dafür bieten sich die Kontaktformulare oder Bestell- und Registrierungsformulare an, in denen jeweils eine eigene Checkbox mit einem entsprechenden Einwilligungstext eingefügt wird.

3. Wer ganz rechtssicher sein will, holt für das Tracking eine Einwilligung ein

Wird das Öffnungs- und Klickverhalten des Empfängers getrackt, in einem Profil gespeichert und werden auf dieser Basis personalisierte E-Mail versendet, stellt sich die Frage, ob dafür eine Extra-Einwilligung eingeholt werden muss oder ob ein überwiegendes berechtigtes Interesse ausreichend sein kann.

Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, sprechen hingegen dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. In diesen Fällen handelt es sich um Profiling, das nicht mehr auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht. Das Widerspruchsrecht des Art. 21 DSGVO reicht dann nicht aus.“

(vgl. Ziffer 1.3 der Orientierungshilfe)
  • Nach einer Gegenmeinung und auch nach der von uns vertretenen Auffassung spricht jedoch viel dafür, die bloße Analyse des Öffnungs- und Klickverhaltens auch ohne Einwilligung zuzulassen. Die DSGVO erkennt in Art. 21 Abs. 1 und 2 DSGVO ausdrücklich an, dass „Profiling“ zum Betreiben von Direktwerbung auch im Rahmen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann. Dort ist das Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen auf der Grundlage eines berechtigten Interesses geregelt und das „Profiling“ wird dort explizit genannt.

„Die wirtschaftlichen Interessen eines Unternehmens und die damit zusammenhängenden Marketinginteressen sind als ein berechtigtes Interesse einzuordnen (vgl. Erwägungsgrund 47 DSGVO zum „Direktmarketing“). Gleiches muss daher für das Ziel gelten, möglichst passgenaue und auf die Interessen des Empfängers ausgerichtete Werbebotschaften versenden zu können. Eine Abwägung mit den Interessen des Betroffenen ergibt dann, dass diesem eher nur solche Informationen zugeleitet werden, die seinen Interessen entsprechen, womit der Belästigungsfaktor niedrig gehalten wird. Außerdem ist das Speichern des Öffnungs- und Klickverhaltens für den Betroffenen in einem Dateiprofil nicht überraschend, insbesondere dann nicht, wenn über das Tracking in der Datenschutzinformation umfassend informiert wird.“

(Art. 21 Abs. 1 und 2 DSGVO)

Es stehen sich damit zwei Meinungen gegenüber und ob eine Einwilligung für Tracking erforderlich ist oder nicht, wird irgendwann durch die Rechtsprechung geklärt werden müssen.

Wer möglichst risikolos vorgehen will, sollte der Auffassung der DSK folgen und auch für das Tracking eine spezielle Einwilligung des Betroffenen einholen. Der Einwilligungstext im Onlineformular bezieht sich dann mit einer ersten Checkbox auf die Einwilligung für den Empfang von Werbe-E-Mails nach § 7 Abs. 2 Nr. 3 UWG und mit einer zweiten Checkbox auf die Einwilligung zum Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens.

Wer der Gegenmeinung folgen möchte, muss eine detaillierte Interessenabwägung vornehmen, diese im Verarbeitungsverzeichnis des Unternehmens sorgfältig begründen und in der Datenschutzerklärung genauestens darüber informieren. Außerdem ist eine Opt-Möglichkeit zu implementieren. Es wird dann nur eine datenschutzrechtliche bzw. wettbewerbsrechtliche Einwilligung für die Verarbeitung der Namens- und Adressdaten zum Zwecke der Versendung von Werbe-E-Mails eingeholt, das Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens des Empfängers erfolgt dann aber auf der Grundlage eines berechtigten Interesses.

Diese Punkte und individuelle Fragen beantworten wir am 28.2. 2019 ab 11 Uhr persönlich und live im Webinar der OXID Academy
„Legal-Update: Rechtssicher mit Lead-Generierung und E-Mail-Marketing“.

Autor

>>Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.