von Bea Brünen

E-Mail-Marketing 2018: Was ändert sich durch die DSGVO in Bezug auf Newsletter?

News vom 28.08.2017, 09:52 Uhr | Keine Kommentare

Auch in Zeiten enormer Popularität von Facebook, Twitter und Co gehören Newsletter zu den erfolgreichsten Marketing-Tools im E-Commerce. Daran wird sich auch im Jahr 2018 nichts ändern. Für frischen Wind sorgt im kommenden Jahr jedoch die Datenschutzgrundverordnung (DSGVO). Welche rechtlichen Neuerungen die DSGVO für Newsletter-Werbung bereithält, erfahren Sie im Folgenden.

A. Bisherige Rechtslage nach dem BDSG, TMG und UWG

Ob und wie Shop-Betreiber Newsletter an (potenzielle) Kunden versenden dürfen, regeln bislang das Telemediengesetz (TMG), das Bundesdatenschutzgesetz (BDSG) und das Gesetz gegen den unlauteren Wettbewerb (UWG).

I. Einwilligung in Newsletter-Versand erforderlich

Im Datenschutzrecht gilt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn

  • und soweit das BDSG dies erlaubt,
  • eine spezielle gesetzliche Regelung dies erlaubt,
  • der Betroffene in die Datenverarbeitung eingewilligt hat.

Es ist also alles verboten, was nicht ausdrücklich erlaubt ist (sog. Verbot mit Erlaubnisvorbehalt). Dabei fallen unter personenbezogene Daten grundsätzlich alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann. Dazu gehören unter anderem Kontaktdaten wie der Name und die E-Mail-Adresse.

Für E-Mail-Marketing folgt daraus: Trägt der Verbraucher seinen Namen und seine E-Mail-Adresse auf der Webseite des Shop-Betreibers ein, um sich für den Newsletter anzumelden, erhebt der Händler personenbezogene Daten. Um diese Daten erheben zu dürfen, benötigt der Händler eine Einwilligung des betroffenen Kunden. Fehlt diese, dürfen Händler keinen Newsletter rausschicken. Die E-Mail-Werbung ist dann rechtswidrig.

Daneben ergibt sich auch aus § 7 Abs. 2 Nr. 3 UWG, dass ein Newsletter nur dann im Postfach eines Verbrauchers landen darf, wenn dieser zuvor ausdrücklich in den Versand eingewilligt hat. Hat er seine Einwilligung nicht erteilt, ist die elektronische Post eine „unzumutbare Belästigung“ und damit wettbewerbswidriger Spam (vgl. dazu https://www.it-recht-kanzlei.de/Thema/e-mail-werbung-newsletter-leitfaden.html).

II. Ausnahmen vom Einwilligungserfordernis nach § 7 Abs. 3 UWG

In § 7 Abs. 3 UWG wird jedoch eine Ausnahme vom Einwilligungserfordernis des Adressaten in die Zusendung elektronischer Post gemacht. Danach soll es dem Händler im Rahmen bestehender Kundenbeziehungen möglich sein, für den Absatz ähnlicher Waren und Dienstleistungen per E-Mail zu werben, ohne die Einwilligung des Kunden eingeholt zu haben. Hintergrund dieser Regelung ist, dass der Durchschnittskunde die Werbung eines Händlers für ähnliche Produkte in der Regel nicht als Belästigung auffasst.

§ 7 Abs. 3 UWG setzt voraus, dass

  • der Händler die E-Mail-Adresse eines Kunden im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,
  • er diese Adresse zur Direktwerbung (bspw. E-Mail-Marketing) für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Kunde der Nutzung seiner E-Mail-Adresse nicht widersprochen hat und
  • der Kunde bereits bei Eingabe seiner E-Mail-Adresse und in jedem Newsletter klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen

entstehen.

Sämtliche vier Voraussetzungen müssen erfüllt sein, damit die E-Mail-Werbung ohne vorherige ausdrückliche Einwilligung gerechtfertigt ist. Wird auch nur einer dieser Anforderungen nicht entsprochen, ist die E-Mail-Werbung wettbewerbswidrig.

1

III. Nachweis der Einwilligung

Liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor, muss der Händler stets die Einwilligung des Kunden einholen, bevor er den Newsletter losschickt. Doch auch die rechtssicherste Einwilligung des potenziellen Kunden bringt dem Händler nichts, wenn er diese im Streitfall nicht beweisen kann. Das werbende Unternehmen muss vor Gericht darlegen und ggf. beweisen, dass der Werbeempfänger seine Einwilligung in den Erhalt von Werbemails erteilt hat. Kann das Unternehmen den Nachweis nicht erbringen, geht das Gericht davon aus, dass die Einwilligung nicht erteilt wurde und die Werbung rechtswidrig ist.

Das Double Opt-In-Verfahren gilt grundsätzlich als einzige Möglichkeit, eine Einwilligungserklärung des Empfängers beweiskräftig zu beschaffen. Auch das bayerische Landesamt für Datenschutzaufsicht empfiehlt das Double-Opt-In-Verfahren für den Nachweis elektronisch eingeholter Einwilligungen (https://www.lda.bayern.de/media/ah_werbung.pdf, S. 11).

Beim Double-Opt-In-Verfahren muss der Werbeempfänger nach der Eintragung seiner E-Mail-Adresse und ggf. der sonstigen Daten seine Einwilligung durch Anklicken eines Links in der Bestätigungsmail nochmal bestätigen. Erst dann ist das Zusenden von Werbung zulässig. Reagiert der Empfänger auf die Begrüßungsmail nicht, gilt dies als Ablehnung.

IV. Aufklärung in der Datenschutzerklärung

Daneben muss der Händler die Newsletter-Interessierten stets umfassend in einer Datenschutzerklärung aufklären. Konkret verlangt § 13 Abs. 1 Telemediengesetz (TMG), dass Shop-Betreiber die Verbraucher zu Beginn des Nutzungsvorgangs

  • über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten,
  • über die Verarbeitung seiner Daten,
  • in allgemein verständlicher Form unterrichten.

B. DSGVO: Was ändert sich in Bezug auf Newsletter-Werbung?

Ab dem 25. Mai 2018 gilt die DSGVO in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen der DSGVO zu diesem Zeitpunkt umgesetzt haben.

Die DSGVO hat enormen Einfluss auf das Datenschutzrecht. Einige Vorschriften des BDSG und des TMG werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des bisherigen Datenschutzrechts werden durch die DSGVO vollständig ersetzt. Welche Änderungen es konkret beim Newsletter-Marketing ab dem 25. Mai 2018 geben wird, erläutern wir im Folgenden.

I. Datenschutz nur bei personenbezogenen Daten

Die DSGVO soll ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten schaffen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Bei Daten, die typischerweise bei einer Newsletter-Anmeldung abgefragt werden (wie Name und E-Mail-Adresse), liegt ein Personenbezug eindeutig vor. Insoweit ändert sich durch die DSGVO nichts im Vergleich zur bisherigen Rechtslage in Deutschland.

II. Rechtfertigung der Datenerhebung

Damit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn

  • sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
  • der Nutzer eingewilligt hat.

Auch die DSGVO schreibt damit ein Verbot mit Erlaubnisvorbehalt fest.

III. Keine Einwilligung bei Direktwerbung

Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung der Webseitenuser, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreibers ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Es muss also zunächst ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist. Der Begriff des „berechtigten Interesses“ wird in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO weit verstanden. Als Beispiel für ein berechtigtes Interesse nennt Erwägungsgrund 47 zur DSGVO das Bestehen eines (Rechts-)Verhältnisses zwischen Verantwortlichem und Betroffenem, wobei insbesondere das Interesse des Verantwortlichen an Direktwerbung genannt wird, worunter auch der Versand von Newsletter-Werbung fallen kann. Dieser „kann“ als einem berechtigten Interesse dienend qualifiziert werden (Erwägungsgrund 47 Satz 7 zur DSGVO, vgl. dazu auch Frenzel in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 6 DSGVO Rn. 28).

Diese doch recht schwammigen Aussagen helfen bei der Ermittlung des berechtigten Interesses des Händlers an E-Mail-Werbung nur bedingt weiter. Abhilfe schafft an dieser Stelle jedoch Art. 95 DSGVO. Danach gilt der § 7 Abs. 3 UWG als „besondere Regelung“ aus der ePrivacy-Richtlinie (Art. 13 2002/58/EG) auch weiterhin. Das bedeutet: § 7 Abs. 3 UWG bleibt auch unter der DSGVO erhalten, mit der Folge, dass Newsletter-Werbung im Rahmen bestehender Kundenverhältnisse weiterhin ohne Einwilligung möglich sein wird.

Liegen also kumulativ die Voraussetzungen des § 7 Abs. 3 UWG vor, benötigen Online-Händler auch ab dem 25. Mai 2018 keine Einwilligung ihrer Kunden in den Newsletter-Versand.

Achtung: Art. 21 DSGVO verlangt – ebenso wie § 7 Abs. 3 UWG – ausdrücklich, dass die beworbene Person im Falle der Direktwerbung das Recht hat, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten einzulegen.

IV. In allen anderen Fällen: Einwilligung in die Datenerhebung erforderlich

Liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor, ist auch nach der DSGVO eine Einwilligung des betroffenen Kunden notwendig. Konkret normiert Art. 6 Abs. 1 Uabs. 1 lit. a DSGVO, dass die Datenverarbeitung rechtmäßig ist, wenn der Newsletter-Interessent seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

a. Informierte Einwilligung notwendig

Was die DSGVO konkret unter einer Einwilligung versteht, wird in Art. 4 Nr. 11 DSGVO definiert. Danach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung.

Die DSGVO verlangt somit (wie das BDSG und das TMG) eine aufgeklärte Willenserklärung des Users in die Datenerhebung und -verarbeitung. Die Einwilligung darf nicht pauschal, bspw. in Form einer Blanko-Einwilligung erfolgen. Sie muss vielmehr erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden (vgl. Erwägungsgrund 32 zur DSGVO, dazu auch Ernst in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 4 DSGVO Rn. 78). Diese sind möglichst genau zu bestimmen und müssen dem User eine informierte Entscheidung ermöglichen, seine Einwilligung im konkreten Fall zu erteilen oder zu versagen.

b. Opt-Out-Verfahren ist unzulässig

Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Erforderlich ist lediglich eine eindeutig bestätigende Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dem Erfordernis einer eindeutig bestätigenden Handlung entspricht etwa das Anklicken eines Kästchens beim Besuch einer Internetseite. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten keine Einwilligung darstellen (vgl. Erwägungsgrund 32 zur DSGVO).

Für Newsletter-Marketing folgt daraus: Das Opt-Out-Verfahren ist nach der DSGVO unzulässig (vgl. dazu auch Stemmer in: BeckOK Datenschutzrecht 2017, Art. 7 DSGVO Rn. 83). Erforderlich ist vielmehr eine eindeutig bestätigende Handlung, bei der die betroffene Person von sich aus tätig werden muss, etwa indem sie ein nicht vorangekreuztes Kästchen anklicken muss (Opt-in-Verfahren).

c. Nachweispflicht: Double-Opt-In und elektronische Protokollierung

Art. 7 DSGVO normiert darüber hinaus weitere formelle und materielle Anforderungen an eine wirksame Einwilligung. Nach Art. 7 Abs. 1 DSGVO muss der Webseitenbetreiber nachweisen, dass der Webseitenuser in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat (vgl. auch Erwägungsgrund 42 zur DSGVO).

Wie der Nachweis der Einwilligung konkret zu erbringen ist, lässt die Vorschrift offen. Da die DSGVO das Datenschutzniveau in den Mitgliedstaaten anheben soll (Erwägungsgrund 10 der DSGVO), dürften auch nach der DSGVO sowohl das Single-Opt-In als auch das Confirmed-Opt-In-Verfahren nicht ausreichend sein, um den Nachweis der Einwilligung zu erbringen. Diese Verfahren wurden von deutschen Gerichten bereits nach der jetzigen Rechtslage als nicht ausreichend erachtet, um die Einwilligung des betroffenen Kunden nachzuweisen (siehe hierzu der Beitrag http://www.it-recht-kanzlei.de/newsletter-einwilligung-nachweis.html). Shop-Betreiber sollten dementsprechend weiterhin auf das Double-Opt-In-Verfahren zurückgreifen. Dieses bietet die rechtssicherste Möglichkeit, eine beweisbare Einwilligung einzuholen.

Im Rahmen von E-Mail-Marketing sollte zudem weiterhin darauf geachtet werden, dass der Time-Stamp (Datum und Uhrzeit) und die IP-Daten der Eintragung protokolliert und so abgespeichert werden, dass das Protokoll jederzeit ausgedruckt und notfalls bei Gericht vorgelegt werden kann. Eine solche elektronische Protokollierung der Einwilligung dürfte den Anforderungen der Nachweispflicht genügen (Stemmer in: BeckOK Datenschutzrecht 2017, Art. 7 DSGVO Rn. 88).

d. Widerrufsrecht

Wie im deutschen Datenschutzrecht muss auch nach der DSGVO die betroffene Person eine einmal erteilte Einwilligung jederzeit widerrufen können (Art. 7 Abs. 3 DSGVO). Von ihrem Widerrufsrecht ist sie vor Abgabe der Einwilligung in Kenntnis zu setzen. Der Newsletter-Abonnent muss also noch vor Abgabe seiner Einwilligung über sein Widerrufsrecht informiert werden.

Neu ist jedoch die Verpflichtung der Shop-Betreiber zur Einhaltung des „Simplizitätsgebots“. Das bedeutet: Der Widerruf der Einwilligung muss „so einfach“ sein „wie die Erteilung der Einwilligung“. Unzulässig wäre bspw., wenn ein Unternehmen für die Einwilligung einen bestimmten Ansprechpartner bestimmen würde und die Einwilligung nur diesem gegenüber widerrufen werden kann (vgl. Ernst in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 7 DSGVO Rn. 17).

Im Rahmen von Newsletter-Werbung dürfte dem Simplizitätsgebot wohl dadurch hinreichend Rechnung getragen werden, dass jeder Mail am Ende ein eigener „Unsubscribe-Link“ beigestellt wird, dessen bloße Betätigung der Datenverarbeitung Einhalt gebietet.

e. Zwischenfazit zur Einwilligung

Shop-Betreiber, die auf Newsletter-Marketing setzen, können aufatmen: Die Anforderungen, die die DSGVO an eine rechtswirksame Einwilligung stellt, entsprechen ganz überwiegend denen schon bislang geltenden Regelungen. Neu ist lediglich das Simplizitätsgebot, dessen Einhaltung beim Newsletter-Marketing jedoch bereits jetzt Standard ist.

V. Achtung: Altbestand von Daten kann weiterhin genutzt werden

Mit Auslaufen der Übergangsfristen zum 25. Mai 2018 treten die besonderen Einwilligungsbestimmungen der DSGVO an die Stelle der bis dato geltenden nationalen Vorschriften. Dies führt insbesondere zu der Frage, wie mit den bis zu diesem Zeitpunkt unter Geltung der alten Rechtslage in den Mitgliedsstaaten wirksam eingeholten Einwilligungen umgegangen werden soll. Fraglich ist also insbesondere, ob Shop-Betreiber, die bereits auf Grundlage der alten Rechtslage (nach dem BDSG und dem TMG) wirksame Einwilligungen eingeholt haben, eine neue Einwilligung einholen müssen.

Der europäische Gesetzgeber hat sich zugunsten der Verarbeiter für eine Fortgeltung der bereits eingeholten datenschutzrechtlichen Einwilligungen entschieden. Shop-Betreiber müssen also keine neue Einwilligung einholen, wenn sie bereits eine wirksame Einwilligung eingeholt haben. Dies ergibt sich aus dem Erwägungsgrund 171 zur DSGVO. Voraussetzung ist allerdings, dass

  • die Einwilligungen auf Grundlage des geltenden BDSG und des TMG wirksam eingeholt wurden und
  • die erteilten Einwilligungen auch den Bedingungen der DSGVO entsprechen.

Da sich die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland überwiegend überschneiden, entfällt im Online-Handel in der Regel die Notwendigkeit, zum 25. Mai 2018 von jedem Newsletter-Abonnenten, dessen Daten bereits mit Einwilligung verarbeitet werden, erneut eine Einwilligung einzuholen.

IV. Datenschutzerklärung

Eine Einwilligung in die Newsletter-Werbung alleine genügt den rechtlichen Anforderungen allerdings noch nicht. Shop-Betreiber müssen zusätzlich zur Einwilligung in einer Datenschutzerklärung ausführlich über die Datenerhebung und Datenverarbeitung informieren.

Art. 13 Abs. 1 DSGVO zählt dafür einen Katalog an Pflichtinformationen auf, die eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG, der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten.

Ein Unternehmen, das auf Newsletter-Marketing setzt, muss in der Datenschutzerklärung insbesondere folgende Informationen aufführen:

  • Informationen über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  • Nennung der Rechtsgrundlage für die Datenverarbeitung. Beim Newsletter-Marketing ist somit Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO in der Datenschutzerklärung aufzuführen. Die pauschale Angabe von Art. 6 DSGVO als Rechtsgrundlage genügt den Anforderungen des Art. 13 Abs. 1 DSGVO nicht (Paal in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 13 DSGVO Rn. 16).
  • Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • Informationen über das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird

Weitergehende Informationen zur Datenschutzerklärung, insbesondere dazu, welche Form die Datenschutzerklärung haben muss und zu welchem Zeitpunkt die Informationen gegeben werden müssen, erhalten Sie im Artikel „Datenschutzerklärung 2018: Was ändert sich durch die DSGVO?“.

C. Empfehlung der IT-Recht Kanzlei

Die DSGVO hat nur begrenzte Auswirkungen auf die rechtliche Zulässigkeit von Newsletter-Marketing. Shop-Betreiber, die bislang auf das Double-Opt-In-Verfahren gesetzt und die Einwilligung ausreichend protokolliert haben, werden damit auch ab dem 25. Mai 2018 rechtssicher fahren. Allerdings muss die Datenschutzerklärung entsprechend angepasst werden. Hier ist insbesondere darauf zu achten, dass die Rechtsgrundlage der Datenverarbeitung angegeben wird.

Bildquelle:
© frender - Fotolia.com
Autor:
Bea Brünen
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2017 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller