Beiträge

Gastblog: 3 Punkte, die im E-Mail-Marketing alles zulässig oder unzulässig machen

Seit Geltung der Datenschutzgrundverordnung (DSGVO) sind das E-Mail-Marketing und die Leadgenerierung für Marketiers nicht gerade einfacher geworden.
Es stellen sich jetzt Fragen wie „Über welchen Kanal darf ich den Lead kontaktieren?“, „Darf ich das Klickverhalten speichern?“ oder „Welche Daten kann ich für unser E-Mail-Marketing nutzen?

Kompliziert ist es auch, weil nicht nur das Datenschutzrecht zu beachten ist, denn parallel dazu gelten für deutsche Unternehmen außerdem das Gesetz gegen den unlauteren Wettbewerb (UWG) sowie das Bürgerliche Gesetzbuch (BGB) weiter.

Die Konsequenzen bei Verstößen sind dabei ganz unterschiedlich: Wer unbefugt Daten verarbeitet, unzulässige E-Mails verschickt oder unerlaubt Werbeanrufe tätigt, dem drohen nicht nur Bußgelder der Datenschutzbehörden nach der DSGVO wegen unzulässiger Datenverarbeitung. Er könnte auch unter anderem von Mitbewerbern, Abmahnvereinen oder Verbraucherschutzverbänden wettbewerbsrechtlich abgemahnt werden. Hinzu kommt, dass die Empfänger der E-Mails oder die Angerufenen ebenfalls zivilrechtlich Unterlassung verlangen und kostenpflichtig abmahnen können.

1. Auch Firmendaten können personenbezogene Daten sein

Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Dazu gehören zwar nach Art. 1 DSGVO und Erwägungsgrund 14 DSGVO nicht die Daten einer juristischen Person an sich (Beispiel: Name und Adresse der Beispielsfirma XY GmbH). Allerdings unterscheidet die Verordnung nicht zwischen personenbezogenen Daten aus dem Bereich B2C (Business-to-Consumer) oder B2B (Business-to-Business). Damit können grundsätzlich auch Daten von geschäftlichen Kontakten personenbezogen sein. Es muss aber ein sog. Personenbezug gegeben sein, d. h. eine natürliche Person hinter den Daten stehen. Das ist zum Beispiel dann der Fall, wenn der Name einer Person in der E-Mailadresse verwendet wird.

2. Die Nutzung von Daten zu Werbezwecken benötigt eine eigene Rechtsgrundlage

Die Verarbeitung von Daten zum Zwecke der Kontaktaufnahme zu einem Interessenten, Kunden oder sonstigen Geschäftspartner erfordert entweder eine gesetzliche Grundlage oder die vorherige Einwilligung des Betroffenen:

Zur Durchführung vorvertraglicher Maßnahmen auf eine Anfrage des Betroffenen hin oder zur Erfüllung eines Vertrags dürfen personenbezogene Daten bereits nach dem Gesetz verarbeitet werden, ohne dass es einer vorherigen Einwilligung des Betroffenen bedarf.

(Art. 6 Abs. 1 lit. b DSGVO)

Beispiele:

  • jemand fragt per E-Mail nach einem Angebot;
  • über das Kontaktformular der Webseite wird ein Katalog bestellt;
  • eine Bestellung aus dem Onlineshop wird abgewickelt und der Käufer erhält die Bestell-Eingangsbestätigung, Auftragsbestätigung oder Rechnung per E-Mail.

Hier muss der Betroffene nicht jeweils erst gefragt werden, ob er mit der Speicherung seiner Daten einverstanden ist, damit seine Anfrage beantwortet oder seine Bestellung bearbeitet werden kann.
Allerdings dürfen die Kontaktdaten des Betroffenen nicht automatisch auch zu Werbezwecken gespeichert und später für die Leadgenerierung genutzt werden.

Sollen Daten von Interessenten und Kunden auch zu Werbezwecken genutzt werden, ist das nur mit einer speziellen Werbe-Einwilligung zulässig (Art. 6 Abs. 1 lit. a DSGVO) oder es besteht ein überwiegendes berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO):

Profiling und personalisierte Kundemails: wann eine spezielle Werbe-Einwilligung nötig ist.

Es gibt Fälle, in denen E-Mails ohne Einwilligung versendet werden dürfen. § 7 Abs. 3 UWG lässt das zum Beispiel unter bestimmten Voraussetzungen an Bestandskunden zu. Dann dürfen die Daten dafür auch nach DSGVO ohne besondere Einwilligung verarbeitet und auf Grundlage eines berechtigten Interesses verarbeitet werden.
Gleiches gilt beim Versand von Werbung auf dem Postweg, der ebenfalls nach § 7 UWG ohne Einwilligung des Empfängers zulässig ist.

Wie die Datenschutzbehörden das sehen, hat die Datenschutzkonferenz (DSK) im November 2018 in einer Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf) veröffentlicht. Danach soll es zulässig sein, die aus eigenen Gewinnspielen oder Prospekt- und Kataloganfragen generierten Postadressen für die Direktwerbung ohne Einwilligung der Betroffenen zu nutzen (vgl. Ziffer 4.2).

Wer jedenfalls E-Mails an Interessenten verschicken will, nicht die Voraussetzungen für das Versenden an Mails an Bestandskunden nach § 7 Abs. 3 UWG erfüllt oder auch telefonisch mit Interessenten in Kontakt treten will, sollte dazu jeweils eine Einwilligung einholen. Dafür bieten sich die Kontaktformulare oder Bestell- und Registrierungsformulare an, in denen jeweils eine eigene Checkbox mit einem entsprechenden Einwilligungstext eingefügt wird.

3. Wer ganz rechtssicher sein will, holt für das Tracking eine Einwilligung ein

Wird das Öffnungs- und Klickverhalten des Empfängers getrackt, in einem Profil gespeichert und werden auf dieser Basis personalisierte E-Mail versendet, stellt sich die Frage, ob dafür eine Extra-Einwilligung eingeholt werden muss oder ob ein überwiegendes berechtigtes Interesse ausreichend sein kann.

Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, sprechen hingegen dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. In diesen Fällen handelt es sich um Profiling, das nicht mehr auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht. Das Widerspruchsrecht des Art. 21 DSGVO reicht dann nicht aus.“

(vgl. Ziffer 1.3 der Orientierungshilfe)
  • Nach einer Gegenmeinung und auch nach der von uns vertretenen Auffassung spricht jedoch viel dafür, die bloße Analyse des Öffnungs- und Klickverhaltens auch ohne Einwilligung zuzulassen. Die DSGVO erkennt in Art. 21 Abs. 1 und 2 DSGVO ausdrücklich an, dass „Profiling“ zum Betreiben von Direktwerbung auch im Rahmen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann. Dort ist das Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen auf der Grundlage eines berechtigten Interesses geregelt und das „Profiling“ wird dort explizit genannt.

„Die wirtschaftlichen Interessen eines Unternehmens und die damit zusammenhängenden Marketinginteressen sind als ein berechtigtes Interesse einzuordnen (vgl. Erwägungsgrund 47 DSGVO zum „Direktmarketing“). Gleiches muss daher für das Ziel gelten, möglichst passgenaue und auf die Interessen des Empfängers ausgerichtete Werbebotschaften versenden zu können. Eine Abwägung mit den Interessen des Betroffenen ergibt dann, dass diesem eher nur solche Informationen zugeleitet werden, die seinen Interessen entsprechen, womit der Belästigungsfaktor niedrig gehalten wird. Außerdem ist das Speichern des Öffnungs- und Klickverhaltens für den Betroffenen in einem Dateiprofil nicht überraschend, insbesondere dann nicht, wenn über das Tracking in der Datenschutzinformation umfassend informiert wird.“

(Art. 21 Abs. 1 und 2 DSGVO)

Es stehen sich damit zwei Meinungen gegenüber und ob eine Einwilligung für Tracking erforderlich ist oder nicht, wird irgendwann durch die Rechtsprechung geklärt werden müssen.

Wer möglichst risikolos vorgehen will, sollte der Auffassung der DSK folgen und auch für das Tracking eine spezielle Einwilligung des Betroffenen einholen. Der Einwilligungstext im Onlineformular bezieht sich dann mit einer ersten Checkbox auf die Einwilligung für den Empfang von Werbe-E-Mails nach § 7 Abs. 2 Nr. 3 UWG und mit einer zweiten Checkbox auf die Einwilligung zum Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens.

Wer der Gegenmeinung folgen möchte, muss eine detaillierte Interessenabwägung vornehmen, diese im Verarbeitungsverzeichnis des Unternehmens sorgfältig begründen und in der Datenschutzerklärung genauestens darüber informieren. Außerdem ist eine Opt-Möglichkeit zu implementieren. Es wird dann nur eine datenschutzrechtliche bzw. wettbewerbsrechtliche Einwilligung für die Verarbeitung der Namens- und Adressdaten zum Zwecke der Versendung von Werbe-E-Mails eingeholt, das Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens des Empfängers erfolgt dann aber auf der Grundlage eines berechtigten Interesses.

Diese Punkte und individuelle Fragen beantworten wir am 28.2. 2019 ab 11 Uhr persönlich und live im Webinar der OXID Academy
„Legal-Update: Rechtssicher mit Lead-Generierung und E-Mail-Marketing“.

Autor

>>Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: Facebook Fanpages und Custom Audiences – Was ist noch erlaubt?

In letzter Zeit hat die Rechtsprechung durch zwei Urteile von sich Reden gemacht, die Shopbetreiber mit einer Facebook Fanpage und solche, die Custom Audiences nutzen, in rechtliche Schwierigkeiten gebracht haben.

Zum einen entschied das Verwaltungsgerichtes Bayreuth, dass Facebook Custom Audiences from your List ohne Einwilligung der Kunden gegen Datenschutzrecht verstößt (>>Beschluss vom 08.05.2018, Az.: B 1 S 18.105)

Zum anderen stufte der Europäische Gerichtshof (EuGH) die Betreiber von Facebook-Fanpages als Verantwortliche für den Datenschutz ein (>>Urteil vom 05.06.2018, Az. C-210/16), obwohl sie keinen Einfluss auf das haben, was Facebook datenschutzrechtlich tut oder nicht.
Es stellt sich daher die Frage, wie sich Shopbetreiber aktuell zu den beiden Themen verhalten sollen.

1. Facebook Custom Audiences

Was ist was?

Bei Facebook Custom Audiences (Fb.CA) ist zwischen zwei Varianten zu unterscheiden:

Über die Variante „Kundenliste“ ist es möglich selbst erstellte Kundenlisten mit Facebook Nutzern abzugleichen, um auf Facebook gezielte Werbekampagnen für Kunden durchzuführen.
Hierbei werden zum Beispiel E-Mailadressen oder Telefonnummern in den Facebook Adverts Manager im eigenen Unternehmensaccount hochgeladen und so durch den Shopbetreiber an Facebook übermittelt.

Bei der Nutzung der Variante „über Pixel“ wird ein sogenanntes Tracking-Pixel von Facebook auf Ihrer Webseite eingebaut. Durch das Pixel werden Cookies gesetzt. Mithilfe der Informationen aus den Cookies erfährt Facebook, welche seiner Nutzer die Webseite mit dem Pixel besucht haben und zeigt diesen bei Nutzung von Facebook Werbung der Webseite an.
Ist zusätzlich die Funktion „erweiterter Datenabgleich“ aktiviert, werden die erzeugten Informationen außerdem mit über die Webseite erhobenen Daten angereichert und an Facebook übertragen. Dies können z.B. E-Mail-Adressen, Telefonnummern, Nutzerkontodaten oder Ähnliches sein.

Rechtliche Lage

Der Dienst Fb.CA „Kundenliste“ sollte zukünftig nur noch mit Einwilligung des Nutzers verwendet werden.
Mit Beschluss vom 08.05.2018 bestätigt das Verwaltungsgericht Bayreuth eine entsprechende Anordnung des Bayrischen Landesbeauftragten für Datenschutz (BayLDA), nach der ein Einsatz dieses Marketing Werkzeuges ohne Einwilligung des Nutzers unzulässig ist. Die Anordnung erging vor Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO), berücksichtigt aber bereits vorsorglich die neue Rechtslage. Da die DSGVO den Schutz der Betroffenen grundsätzlich erweitert, ist davon auszugehen, dass die Anordnung auch einer gerichtlichen Überprüfung auf der Grundlage des neuen Datenschutzrechts standhalten würde. Eine Nutzung des Dienstes trotz fehlender Einwilligung der Betroffenen kann daher zu Abmahnungen und Bußgeldern führen.

Für die Nutzung von Fb. CA „über Pixel“ mit aktiviertem erweiterten Datenabgleich, ist aufgrund der Übertragung der angereicherten Daten an Facebook ebenfalls eine Einwilligung einzuholen.
Auch die Nutzung von Fb. CA „über Pixel“ ohne Zusatzfunktion ist zumindest nach einer >>Stellungnahme der Datenschutzkonferenz vom 26.04.2018 ohne vorherige Einwilligung der Betroffenen unzulässig, denn nach Meinung der Datenschützer erfordert der Einsatz von Tracking-Diensten jeglicher Art immer eine vorherige Einwilligung. Wer als Shopbetreiber also jegliches Risiko ausschließen möchte, sollte beim Einsatz von Fb.CA in allen Varianten immer eine Einwilligung einholen.

Allerdings gibt es noch keine gerichtlichen Entscheidungen zu dieser Thematik.
Nach unserer Einschätzung sollte die Nutzung von Fb.CA zumindest in der einfachen Pixel-Variante (also ohne jeglichen Datenabgleich) auch ohne vorherige Einwilligung auf der Grundlage eines berechtigten Interesses gemäß Art. 6 Abs. 1 f DSGVO möglich sein.
Voraussetzung wäre jedoch, dass die Webseitenbesucher in der Datenschutzerklärung umfassend informiert werden und ihnen eine Opt-Out-Möglichkeit angeboten wird. Wir meinen, dass durchaus auch grundlegende, statistische Analysefunktionen künftig unter ein berechtigtes Interesse fallen und somit keiner Einwilligung der Betroffenen bedürfen.

In allen Fällen ist in der Datenschutzerklärung umfassend über die Verwendung der Dienste zu informieren.

Was müssen Sie tun?

Holen Sie für die Nutzung von Facebook Custom Audiences „Kundenliste“ die Einwilligung der Nutzer für die Datenverarbeitung ein. Sofern Sie den Dienst Facebook Custom Audiences „Pixel“ mit erweitertem Datenabgleich nutzen wollen, holen Sie bitte auch hier eine Einwilligung der Webseitenbesucher ein. Die Einwilligungen können in beiden Fällen über ein sogenanntes Cookie-Banner abgefragt werden. Bitte stellen Sie sicher, dass bereits vor dem Setzen des ersten Cookies eine Zustimmung vorliegt.

Zusätzlich muss den Nutzern in allen Varianten die Möglichkeit geboten werden Ihre Einwilligung zu widerrufen. Bei der Gestaltung der Widerrufsmöglichkeit sollten die entsprechenden >>„Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience“ des BayLDA beachtet werden.
Ein Widerruf soll demnach durch Setzen eines Opt-Out-Cookies erfolgen. Dieses verhindert das Setzen von Tracking-Cookies und sollte unbegrenzte Gültigkeit besitzen. Nach Setzen des Opt-Out-Cookies darf keinerlei weiterer Datenverkehr mit Facebook stattfinden.
Der Webseitenbetreiber muss selbst eine geeignete Opt-Out-Lösung implementieren und darf nicht einfach auf Facebook verweisen. 

2. Facebook Fanpages

Das rechtliche Problem

Nachdem der EuGH sowohl Facebook als auch die Betreiber von Fanpages als „Verantwortliche“ im Sinne des Datenschutzrechts eingeordnet hatte, musste Facebook reagieren.
Die DSGVO sieht in Art. 26 ausdrücklich vor, dass bei mehreren Verantwortlichen vertraglich festgelegt werden muss, „wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht und wer welchen Informationspflichten […] nachkommt.

Wie hat Facebook reagiert?

Am 11.09.2018 hat die Facebook die Allgemeinen Geschäftsbedingungen geändert und um die entsprechenden Regelungen ergänzt. Im >>„Page Controller Addendum“ wird jetzt geregelt, dass Facebook mit dem Fanpage-Betreiber gemeinsam verantwortlich ist und die Verantwortung für die Bereiche Informationspflichten (Art. 12 – 13 DSGVO), Betroffenenrechte (Art. 15 – 22 DSGVO) und Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO) übernimmt. 

Was müssen Sie tun?

Der Fanpage-Betreiber selbst muss nur noch eine umfassende Datenschutzinformation in die eigene Fanpage integrieren mit Infos dazu, zu welchem Zweck bzw. auf welcher Rechtsgrundlage welche personenbezogenen Daten verarbeitet werden.

Außerdem ist anzugeben, dass Facebook ein gemeinsam Verantwortlicher ist und es sollte auf die Datenschutzinformation von Facebook hingewiesen und verlinkt werden.

Schließlich muss darüber informiert werden, welche Rechte ein Betroffener gegenüber Facebook geltend machen kann und wie er dazu vorzugehen hat. Auch hier kann auf die entsprechenden Infos bei Facebook hingewiesen und verlinkt werden.

Autor

>>Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Neue Informationspflichten für Onlinehändler

Gastblog: Neue DSGVO – Was Shopbetreiber jetzt tun müssen!

Neues EU-Datenschutzrecht ab Mai 2018 – Das sind die To Dos für Onlinehändler

Die Datenschutzgrundverordnung (DSGVO) tritt zum 25.05.2018 in allen Mitgliedsländern der Europäischen Union in Kraft. Soweit danach noch nationale Regelungen möglich, hat Deutschland bereits ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet, das ebenfalls zum 25.05.2018 in Kraft tritt. Es gibt weitreichende Änderungen, um die sich Onlinehändler, die sich bislang noch gar nicht mit dem Thema beschäftigt haben, jetzt dringend kümmern müssen. Denn: Während Datenschutz bislang eher unter dem Motto „nice to have“ gehandhabt wurde, drohen jetzt mit der DSGVO extrem hohe Bußgelder für denjenigen, der sich nicht an die Vorschriften hält. Je nach Verstoß können hier zukünftig bis zu 10 Mio. EUR bzw. 20 Mio. EUR oder bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes verhängt werden.

 

1. To do: Führen eines Verfahrensverzeichnisses

Bis 25.05.2018 muss ein „Verzeichnis von Verarbeitungstätigkeiten“ vorhanden sein, dass auf Anfrage, etwa im Rahmen eines Audits der Datenschutzbehörde, vorgelegt werden kann. Es gibt zwar eine Einschränkung der Dokumentationspflichten für kleine Unternehmen mit weniger als 250 Mitarbeitern, u. a. wenn die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Davon kann jedoch auch selbst bei kleinen Shopbetreibern nicht die Rede sein, denn sie verarbeiten täglich die Bestelldaten ihrer Kunden. Auch sie müssen daher künftig alle Systeme und Verfahren auflisten, mit denen personenbezogene Daten verarbeitet werden. Beispiele: E-Mail-Software, CRM, Newsletter-Systeme, Analyse-Systeme (IP-Adresse!), Personal-Management-Systeme. Es muss u. a. aufgeführt werden, was der Zweck der jeweiligen Datenverarbeitung ist, welche Kategorien von betroffenen Personen und personenbezogenen Daten es gibt, welche Fristen für die Löschung der Daten vorgesehen sind, ob Daten in Drittstaaten übermittelt werden und welche technischen und organisatorischen Maßnahmen die Datensicherheit gewährleisten.

 

2. To do: Anpassen der Auftragsdatenverarbeitungsverträge

Beispiele für Auftragsverarbeitungen sind etwa die Nutzung von Cloud-Anwendungen wie Lohnbuchhaltung, CRM, Mailing-Systeme, eines externen Call-Centers für den Kundenservice, Durchführung von Gewinnspielen über eine externe Agentur oder das Managed Hosting von Webseiten/Onlineshops oder oder auch von Google Analytics. Immer dann, wenn die eigenen Kundendaten an Dritte zur Verarbeitung weitergegeben werden, ist auch nach jetzigem Recht bereits ein Auftragsdatenverarbeitungsvertrag nach § 11 BDSG abzuschließen. Die bisherige „Auftragsdatenverarbeitung“ wird jetzt zur „Auftragsverarbeitung“ und bringt neue Pflichten auch für den Auftragsverarbeiter mit sich. Während früher einfach nur Weisungsverhältnis zwischen dem Auftragsgeber und dem Auftragsnehmer bestand und der Auftragsgeber der verantwortliche „Herr der Daten” war, ist mit der DSGVO jetzt nur noch ein Auftragsverhältnis über die Datenverarbeitung erforderlich. Der Auftragsnehmer ist zwar immer noch weisungsgebunden, hat jetzt jedoch eigene Pflichten – auch gegenüber der Datenschutzbehörde – und haftet selbst neben dem Auftragsgeber.

Sämtliche bisherigen Auftragsdatenverarbeitungsverträge sind auf die neuen Pflichten und technischen und organisatorischen Maßnahmen hin zu aktualisieren. Die DSGVO sieht dazu auch Standardvertragsklauseln vor, die jedoch noch nicht vorliegen. Shopbetreiber können aber bereits jetzt schon einmal listen, welche Verträge es bei ihnen gibt und auch schon die vorhandenen Zertifizierungen überprüfen.

 

Die neue DSGVO 2018

 

3. To do: Überprüfung aller Erlaubnistatbestände und Einwilligungsprozesse

Wie bisher darf eine Datenverarbeitung nur erfolgen, wenn ein sog. Erlaubnistatbestand greift. Das können sein:
• die Einwilligung des Betroffenen,
• das berechtigtes Interesse des Unternehmers
• die Erfüllung vertraglicher Pflichten,
• die Beantwortung vorvertraglicher Anfragen,
• die Erfüllung gesetzlicher Verpflichtungen.

Wie bisher dürfen Daten zur Erfüllung vertraglicher Pflichten wie die Abwicklung einer Bestellung ohne besondere Einwilligung des Kunden verarbeitet werden. Gleiches gilt für die Beantwortung vorvertraglicher Anfragen, wenn etwa ein Interessent sich über das Kontaktformular der Webseite meldet. Die Erfüllung gesetzlicher Pflichten betrifft etwa die steuerrechtlichen Aufbewahrungspflichten. Zu Marketingzwecken dürfen Daten bei Vorliegen einer Einwilligung oder einem berechtigten Interesse verarbeitet und genutzt werden. Das berechtigte Interesse wird aber einen weiteren Anwendungsbereich haben als das bisher nach deutschem Recht der Fall ist. So erkennt die DSGVO beispielsweise die Werbeinteressen der Onlinebranche als ein berechtigtes Interesse an. In einem Erwägungsgrund wird ausdrücklich klargestellt, dass die Durchführung von Direktmarketing als berechtigtes Interesse betrachtet werden kann. Neben dem Einwilligungserfordernis wird also das „berechtigte Interesse“ an der Datenverarbeitung praktisch eine größere Rolle im Marketing spielen. Aber: Das Wettbewerbsrecht gilt weiterhin. E-Mail-Marketing wird daher zukünftig trotzdem immer nur mit vorherigem, ausdrücklichem Einverständnis des betroffenen zulässig sein und kann nicht einfach auf das berechtigte Interesse gestützt werden.

 

4. To Do: Anpassung der Einwilligungen

Einwilligungen können zukünftig formlos mündlich, elektronisch oder schriftlich eingeholt werden. Allerdings müssen Unternehmen das Vorliegen einer Einwilligung künftig nachweisen können. Sie müssen also schriftlich oder digital protokolliert werden. Digitale Einwilligungen sollten mit einer nicht vorab angeklickten Checkbox mit Double-Opt-In eingeholt werden. Außerdem muss der Betroffene bei der Einwilligung auf sein Widerrufsrecht hingewiesen werden.

 

5. To do: Stellen Sie sich auf die Betroffenenrechte ein

Nutzer und Kunden sind über eine Datenschutzinformation im Shop über ihre Betroffenenrechte zu informieren. Sie haben im Rahmen der DSGVO ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde. Diese Rechte sind nicht alle neu. Neu sind allerdings die Konsequenzen, wenn der Shopbetreiber nicht innerhalb einer Frist von einem Monat auf entsprechende Anfragen von Betroffenen reagiert, denn dann können Bußgelder verhängt werden. Es ist daher erforderlich, alle Mitarbeiter für das Thema zu sensibilisieren, denn es muss jedem klar sein, dass jede Anfrage die einmonatige Frist in Gang setzt. Es sollten in größeren Unternehmen daher Organisationsanweisungen formuliert werden. Eine weitere Möglichkeit ist auch, ein Onlineformular für die Anfragen auf die Webseite zu stellen, zum Beispiel direkt in die Datenschutzinformation, um eingehende Anfrage möglichst zu kanalisieren. Betroffene sind allerdings nicht verpflichtet, das Formular zu nutzen. Auch auf E-Mail-Anfragen oder Anfragen per Telefon oder Fax muss daher fristgerecht reagiert werden.

 

6. To Do: Anpassung der Rechtstexte

Es bestehen teilweise neue Informationspflichten für Shopbetreiber als „Verantwortliche“, die eine Anpassung der Werbe-Einwilligungstexte, der Datenschutzinformation, der Allgemeinen Geschäftsbedingungen und der sonstigen Informationstexte im Shop erforderlichen machen können. Der Kunde ist zu informieren über die Zwecke und die jeweilige Rechtsgrundlage für die Datenverarbeitung, ob ein Datentransfer in Drittstaaten erfolgt einschließlich der Angabe der jeweiligen Rechtsgrundlage, die Dauer der Datenspeicherung, das Bestehen des Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde.

 

Autor

Sabine Heukrodt-Bauer

Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

 

Die neue Datenschutzverordnung kommt

Gastblog: DSGVO – Die neue Datenschutzgrundverordnung

Die neue Datenschutzverordnung kommtÄhnlich der Verbraucherrechterichtlinie für das Widerrufsrecht steht 2018 eine große Herausforderung für den Datenschutz in Form der Datenschutzgrundverordnung (kurz: DSGVO) für Händler an. Nach langer Prozedur beschloss das EU-Parlament am 14. April 2016 eine Harmonisierung des Datenschutzes innerhalb der Europäischen Union. Damit ist ein Ende der verschiedenen Datenschutzgesetze in den EU-Staaten in Sicht. Dies bringt Vorteile und gleichzeitig auch Pflichten für Händler. Die DSGVO muss ab dem 25.05.2018 angewendet werden.

Nach einer Händlerbund-Studie hat ein Drittel der Händler noch nie von der DSGVO gehört hat. Die verbleibenden sechs Monate sind deshalb gut genutzt, wenn man sich mit den nachfolgenden Änderungen vertraut macht:

 

Änderung der Datenschutzerklärung

Die Datenschutzerklärung ist schon jetzt ein zentraler Punkt auf Webseiten. Grund: Der Schutz von personenbezogenen Daten stellt ein hohes Gut dar. In Zukunft werden die Anforderungen an die Informationserteilung jedoch steigen. In Artikel 12 der EU-DSGVO heißt es, dass Informationen dann „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ sind. Das bedeutet, dass die Datenschutzerklärung zwangsläufig länger und umfassender als bisher wird. Ebenfalls wird es wesentliche Änderungen bezüglich der Tracking-, Analyse und Remarketing-Tools geben, die ebenfalls Erwähnung in der Datenschutzerklärung finden.

 

Newsletterversand

Für die Zusendung von Werbe-E-Mails ist schon jetzt eine Einwilligung des Empfängers notwendig. Nach dem Eintragen der E-Mail-Adresse erhält der potenzielle Abonnent dann bei dem empfohlenen “Double-Opt-In” Verfahren eine werbefreie Bestätigungsmail inkl. Aktivierungslink. Erst nach Aktivierung des Links gilt die Einwilligung als erteilt. Mit der neuen DSGVO wird Bewährtes beibehalten und damit die Freiwilligkeit zur Einwilligung in den Vordergrund gerückt.

 

Recht der Datenportablität

Mit der neuen DSGVO sollen sich Daten von Nutzern einfach, sicher und schnell übertragen lassen. Dies wird als Recht für Nutzer eingeführt. Mit der neuen Datenschutzgrundverordnung soll es daher Nutzern ermöglicht werden, einfacher auf persönliche Daten zuzugreifen und diese bei Bedarf auf andere Dienstleister übertragen zu können – besonders im Bezug auf soziale Netzwerke wie Facebook. Es können zukünftig allerdings auch andere Dienstleistungsunternehmen betroffen sein.

 

Bußgelder und Sanktionen

Die Datenschutzgrundverordnung sieht auch neue Sanktionen bei Verstößen vor. Dazu enthält sie auch eigene Bußgeld- und Sanktionsmöglichkeiten. Und diese haben es bei Nichtbefolgung in sich. Das Bußgeld darf nun bis zu 4 % des Jahresumsatzes bzw. 20 Millionen Euro betragen. Die DSGVO verfügt nun über mehr Abschreckungswirkung bei Missachtung des Datenschutzes als es bisher der Fall war.

 

Cookies, Social Media Plugins

Diese zwei so wichtigen Themen tauchen in der Liste der Änderungen nicht auf und dies aus einem simplen Grund. Sie werden in der DSGVO nicht ausdrücklich erwähnt. Für sie gelten daher die allgemeinen Grundsätze: Personenbezogene Daten von Internet-Surfern dürfen nur verarbeitet werden, wenn der Betroffene darin einwilligt oder eine andere gesetzliche Grundlage besteht.

 

Für Händler sind zur Vorbereitung folgende Punkte wichtig:

● Prüfen Sie, welche Einwilligungen Sie in Ihrem Shop einholen und ob diese den neuen Anforderungen genügen.
● Behalten Sie im Auge, wie die neuen Vorgaben für die Datenschutzerklärung umzusetzen sind.
● Verfolgen Sie die aktuellen Entwicklungen bezüglich der korrekten Verwendung von Tracking- und Remarketing-Tools.

 

Der Händlerbund hilft!

Händlerbund-Mitglieder erhalten alle Informationen zur rechtskonformen Umsetzung der europaweit geltenden Datenschutzgrundverordnung. Die verbleibende Übergangszeit bis zum Stichtag 25. Mai 2018 sollte nicht davon abhalten, sich bereits jetzt mit den Änderungen auseinanderzusetzen.

 

Die neue Datenschutzverordnung kommt

 

Autor

Ivan Bremers HändlerbundIvan Bremers ist Volljurist und seit 2017 für den Händlerbund als juristischer Redakteur tätig. Im Bereich E-Commerce berichtet er regelmäßig zu Rechtsthemen, welche die Branche bewegen. Daneben ist er als Referent auf Veranstaltungen rund um das Thema E-Commerce unterwegs.