Eine Untersuchung des E-Mail-Marketings in Deutschland durch absolit Dr. Schwarz Consulting aus dem Jahr 2019 zeigt, dass viele Unternehmen ein hohes rechtliches Risiko bei der Versendung von Newslettern eingehen. Neben dem bisher bereits bestehenden Risiko einer kostenpflichtigen Abmahnung durch einen Wettbewerber hat insbesondere die europäische Datenschutzgrundverordnung (DSGVO) dieses Risiko verschärft. Jetzt müssen Unternehmen deutlich höhere Bußgelder fürchten: 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist.
Die Datenschutzaufsichtsbehörden können innerhalb dieses Bußgeldrahmens ein Bußgeld verhängen. In den vergangenen zwei Jahren sind immer mehr Fälle bekannt geworden, in denen die Datenschutzaufsichtsbehörden tatsächlich Bußgelder verhängt haben. In Anbetracht der Höhe der Bußgelder ist Unternehmen dringend zu raten, ihr Direktmarketing zu überprüfen und gegebenenfalls nachzubessern. In diesem Beitrag erklären wir Ihnen die häufigsten Fehler und wie sie sich vermeiden lassen.
Lesetipp: Bußgelder in Höhe von einer halben Milliarden Euro verhängt
Beachtung des Datenschutz- und Wettbewerbsrechts
Aus Sicht der werbetreibenden Unternehmen hat die DSGVO die Situation für das Direktmarketing erheblich verschärft. Dabei bringt die DSGVO in diesem Bereich nichts wesentlich Neues. Die eigentlichen und engeren Grenzen für E-Mail-Werbung ergeben sich nach wie vor aus dem Gesetz gegen den unlauteren Wettbewerb (UWG). Es zeigt sich aber, dass viele Unternehmen die darin vorgesehenen Anforderungen nicht kennen oder ausreichend berücksichtigen.
Da allerdings bei der kommerziellen Kontaktaufnahme regelmäßig auch personenbezogene Daten verarbeitet werden, muss zusätzlich die DSGVO beachtet werden. Dementsprechend bedarf es stets auch einer Rechtsgrundlage zur Verarbeitung der Daten. Entscheidend aus der Sicht des Werbenden ist es, stets beide Gesetze zu berücksichtigen und umzusetzen, um nicht einem erhöhten rechtlichen Risiko ausgesetzt zu sein.
Keine Einwilligung des Empfängers
Nach dem UWG muss der E-Mail-Empfänger in den Empfang von Werbe-E-Mails grundsätzlich eingewilligt haben. Verwendet ein Verbraucher die auf einer Website von einem Unternehmen bereitgestellte Weiterempfehlungsfunktion, kann auch diese Verwendung einwilligungsbedürftige E-Mail-Werbung darstellen. Ebenso kann bereits eine Zufriedenheitsabfrage bei Kunden Werbung darstellen, da das Unternehmen damit sein Bemühen um den Kunden zeigt. Das dürfte regelmäßig auch gelten, wenn mit der Zufriedenheitsabfrage eine Rechnung versendet wird.
Ein späterer Widerruf steht einer fehlenden Einwilligung gleich. Dies gilt unabhängig davon, ob es sich um einen Verbraucher (B2C) oder Unternehmer (B2B) handelt. Ist eine Einwilligung erforderlich, empfiehlt es sich, diese gleich so auszugestalten, dass die Einwilligung den Anforderungen des UWG und der DSGVO genügt. Damit muss sie das Einverständnis zum Erhalt von E-Mail-Werbung sowie die damit einhergehende Datenverarbeitung abdecken. Denn mit jeder verschickten Werbe-E-Mail werden immer auch personenbezogene Daten verarbeitet.
Ist Inbox-Werbung eine elektronische Post?
Neben klassischer E-Mail-Werbung könnte in Zukunft auch die Inbox-Werbung eine Einwilligung erfordern. Bei der Inbox-Werbung blendet ein rein werbefinanzierter Free-Mail-Dienst im Postfach des Empfängers Werbenachrichten ein, die in herkömmliche, listenförmig dargestellte Mails eingebettet werden. Die Werbenachrichten sind grau hinterlegt und mit dem Hinweis Anzeige versehen. Sie besitzen weder Absender noch Datum und lassen sich auch nicht weiterleiten, archivieren oder speichern.
Nach Vorlage des Bundesgerichtshofs ist ein Verfahren beim EuGH zu der Frage anhängig, ob die Inbox-Werbung eine Werbenachricht unter Verwendung elektronischer Post darstellt. Entscheidend für den Ausgang sind die zwei Fragen des BGH, nämlich ob ein Verschicken vorliegt und ob es für das Abrufen ausreicht, dass die Inbox-Werbung infolge des Aufrufens der Internetseite des E-Mail-Accounts eingeblendet wird. Im Hinblick auf das Verschicken liegt die Besonderheit darin, dass die Nachricht automatisiert in der Inbox eines ausgesuchten Nutzers eingeblendet wird und nicht von einem anderen Nutzer an seine elektronische Anschrift versendet wird. Die Auswahl des Nutzers erfolgt stattdessen nach dem Zufallsprinzip.
Der Klärungsbedarf für die zweite Frage erwächst daraus, dass es an einer willentlichen Auslösung des Empfängers fehlt. Nach den Schlussanträgen des Generalanwalts ist eine Einordnung als einwilligungsbedürftige Werbenachricht unter Verwendung elektronischer Post im Sinne des UWG wahrscheinlich. Er ordnet die Inbox-Werbung mit Blick auf eine funktionale Auslegung als elektronischen Post ein. Insbesondere misst er der Bestimmung des Empfängers nach dem Zufallsprinzip keine Bedeutung zu. Für ihn liegt das maßgebliche Kriterium darin, dass die Adressaten wie bei der elektronischen Post durch die Positionierung in ihrer Inbox tatsächlich in ihrer Privatsphäre erreicht werden. Auch sieht er einen deutlichen Unterschied zu Werbebannern darin, dass durch die Positionierung der Inbox-Werbung eine Verwechslungsgefahr mit privaten E-Mails nicht auszuschließen ist.
Sollte der EuGH dem Generalanwalt folgen und die Inbox-Werbung der E-Mail als elektronischer Post gleichsetzen, so müsste auch für die Inbox-Werbung eine entsprechende Einwilligung eingeholt werden, die den vorgenannten Grundsätzen entspricht. Auch könnten zukünftig weitere Formen der Online-Werbung jenseits der Individualkommunikation, bei denen Werbung auf dafür gedachten Flächen eingespielt wird, eine Einwilligung erfordern.
Missachtung der Datenminimierung
Bei der Einholung der Einwilligung der Empfänger muss aus datenschutzrechtlicher Sicht unbedingt der Grundsatz der Datenminimierung beachtet werden. Dieser besagt im Wesentlichen, dass lediglich die Daten erhoben werden dürfen, die für die Zusendung der Werbung unbedingt notwendig sind ("So viele Daten wie nötig, so wenig Daten wie möglich").
Relevant wird dieser Grundsatz, wenn die Einwilligungserklärung gestaltet wird. Hier gilt es darauf zu achten, welche Datenfelder optionale Angaben enthalten und welche Datenfelder Pflichtfelder sind. Letztere dürfen in den meisten Fällen lediglich die E-Mail Adresse und gegebenenfalls der Name sowie die Anrede sein. Selbst darüber kann man schon streiten, denn tatsächlich erforderlich ist lediglich die E-Mail-Adresse; auf eine persönliche Anrede kann verzichtet werden.
Doch so streng sind auch die Datenschutzaufsichtsbehörden nicht. Sie halten eine personalisierte Ansprache noch für erforderlich. Weitere Pflichtfelder, beispielsweise zur Angabe der Postadresse des Empfängers, seinen Interessen oder ähnlichen Aspekten, sind in der Regel nicht zulässig und verstoßen gegen die DSGVO.
Fehlende Nachweisbarkeit der Einwilligung
Damit ein Unternehmen die personenbezogenen Daten verarbeiten und Werbe-E-Mails versenden darf, genügt es nicht zu behaupten, man habe eine Einwilligungserklärung eingeholt. Die Beweislast dafür trägt das jeweilige Unternehmen. Es muss im Rahmen seiner datenschutzrechtlichen Rechenschaftspflicht nachweisen, dass es die Vorgaben der DSGVO erfüllt.
Hat ein Unternehmen die Werbeeinwilligungen nicht per Double-Opt-In oder in Form eines unterschriebenen Formulars dokumentiert und kann daher nicht nachweisen, auf welcher Rechtsgrundlage es berechtigt ist, die personenbezogenen Daten zu verarbeiten, drohen die immensen Bußgelder der Datenschutzgrundverordnung oder eine Abmahnung nach UWG. Dies gilt erst recht, wenn das Unternehmen die Einwilligung überhaupt nicht eingeholt hat.
Lesetipp: DSGVO-konformes E-Mail-Marketing
Um die Einwilligung wirksam einzuholen, sollten Unternehmen das Double-Opt-In-Verfahren einsetzen. Dieses Verfahren ermöglicht es nachzuweisen, dass die Einwilligung tatsächlich vom Inhaber der E-Mail-Adresse abgegeben wurde. Der Interessent meldet sich auf der Seite des Unternehmens für einen Newsletter an und gibt auf der Webseite u.a. seine E-Mail-Adresse ein.
Sendet er das Formular ab, erhält er automatisch eine E-Mail an die hinterlegte E-Mail-Adresse. In dieser E-Mail ist ein Link hinterlegt, den der Empfänger anklicken muss. Durch das Anklicken des Links bestätigt er, dass er tatsächlich auf das E-Mail-Postfach zugreifen kann. Erst dann ist die Einwilligung wirksam erteilt. Mit diesem Verfahren wird verhindert, dass Dritte wahllos E-Mail-Adressen in die Formulare eingeben und für Werbenewsletter anmelden können. Das Unternehmen muss diesen Vorgang dokumentieren, um den Nachweis führen zu können.
Dies gilt übrigens auch dann, wenn die Adressen von einem Adresshändler gekauft wurden. Unter der DSGVO sind dem Adresshandel deutlich engere Grenzen gezogen worden: das sog. Listenprivileg ist weggefallen. Damit ist der Adresshandel nur noch zulässig, wenn eine dokumentierte Einwilligungserklärung vorliegt. Für den Erwerber der Adressen muss diese Einwilligungserklärung aber auch die beabsichtigten Verwendungszwecke abdecken - und dies mit einem ausreichenden Grad an Information für den Betroffenen. Und natürlich muss die Einwilligungserklärung nachgewiesen werden können. Die ist mit dem Adresshändler abzustimmen.
Keine Datenschutzerklärung
Vor der Erhebung von personenbezogenen Daten, wie der E-Mail Adresse eines Empfängers, muss die betroffene Person stets über die datenschutzrechtlichen Informationspflichten aufgeklärt werden. Dies geschieht in der Regel über eine Datenschutzerklärung. Die Mindestangaben dieser Erklärung ergeben sich aus Art. 13 DSGVO. Darin sollten insbesondere Informationen zur Geltendmachung der Betroffenenrechte enthalten sein. Versäumt ein Unternehmen diese Pflicht, liegt bereits ein Datenschutzverstoß vor.
Lesetipp: Digitalmartketing und DSGVO
Zudem muss die Einwilligungserklärung hinreichend deutlich machen, wie und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und welche Form der Werbung beabsichtigt ist. Allgemeine Ausführung, wie "zu Marketingzwecken" oder für "Werbemaßnahmen", genügen nicht. Eine solche Einwilligung ist unwirksam. Das Unternehmen muss detailliert beschreiben, was es hier beabsichtigt.
Bestehende Kundenbeziehung - Einwilligung erforderlich?
Grundsätzlich besteht im Rahmen des Wettbewerbsrecht die Möglichkeit, Empfänger ohne die Einwilligung für kommerzielle Zwecke elektronisch zu kontaktieren. Allerdings gilt dies nur in sehr engen Grenzen. Das UWG erlaubt die Werbung per elektronischer Post ausnahmsweise auch ohne Einwilligung, wenn
ein Unternehmer die E-Mail-Adresse des Empfängers im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat.
der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwenden möchte.
der Empfänger der Verwendung nicht widersprochen hat.
der Empfänger bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Hierbei geht es um die klassische Bestandskundenwerbung. Demnach muss der Empfänger der E-Mail bereits Kunde bei dem Unternehmen (gewesen) sein, damit der Versand rechtmäßig sein kann. Unternehmen innerhalb eines Konzernverbunds werden dabei übrigens nicht berücksichtigt: das Privileg gilt ausschließlich zugunsten der Gesellschaft, die eine Kundenbeziehung aufgebaut hat.
Lesetipp: So entwickeln Systemhäuser ihre Bestandskunden weiter
Ferner ist auch nach der DSGVO die Einwilligung nicht immer zwingend erforderlich. Das neue Datenschutzrecht erlaubt es, personenbezogene Daten zu verarbeiten, wenn die betroffene Person nicht eingewilligt hat. Dies ist insbesondere der Fall, wenn die berechtigen Interessen des Verantwortlichen die Interessen der betroffenen Person überwiegen. Dies wird man annehmen können, wenn die Direktwerbung an einen Bestandskunden gesendet werden kann und die vorstehenden Voraussetzungen des UWG erfüllt sind. Hilfestellung gibt hier die neue Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung.
Fehlende Opt-Out Möglichkeit
Egal ob die E-Mail-Werbung auf Basis der Werbeeinwilligung oder im Rahmen der Bestandskundenwerbung erfolgt, muss dem Empfänger stets die Möglichkeit gegeben werden, den (weiteren) Empfang von E-Mails zu beenden. Rechtlich gesehen ist der Empfänger jederzeit dazu berechtigt, seine Einwilligung zu widerrufen oder der Verwendung seiner Daten zu widersprechen. In jeder Werbe-Mail des Unternehmens sollte dem Empfänger daher die Möglichkeit gegeben werden, sein Opt-Out zu erklären, beziehungsweise sich vom Newsletter abzumelden.
Keine Löschung der Daten
Gerade nachdem ein Empfänger sich vom Newsletter abgemeldet hat, sollte aus Sicht des Unternehmens beachtet werden, dass dieses gegebenenfalls dazu verpflichtet ist, die personenbezogenen Daten zu löschen. Denn das Datenschutzrecht sieht vor, dass personenbezogene Daten gelöscht werden müssen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind.
Lesetipp: Kinderleicht Newsletter erstellen - 10 Tipps
Dies gilt insbesondere dann, wenn ein Unternehmen nicht mehr feststellen kann, woher die Daten überhaupt stammen oder zu welchem Zweck diese gespeichert wurden. Dann greift stets die Löschpflicht, sofern keine anderen gesetzlichen Aufbewahrungspflichten bestehen. Unternehmen kommen damit nicht umhin, ihre CRM-Systeme zu analysieren und irrelevante Kontakte zu löschen.
Gleichzeitig stellt dies Unternehmen vor das Problem, eine "Blacklist" mit Kunden zu führen, die sich gegen den Erhalt von E-Mail-Werbung entschieden haben, gleichzeitig aber deren Daten löschen zu müssen. Die Datenschutzaufsichtsbehörden empfehlen hier ein gestuftes Vorgehen: in der Datenschutzerklärung ist der Betroffene darauf hinzuweisen, dass das Unternehmen seine personenbezogenen Daten in einer Blacklist speichert, wenn er der E-Mail-Werbung widerspricht. Erst wenn er die Löschung der Daten begehrt, werden diese tatsächlich gelöscht. (bw)