Schreckgespenst DSGVO: Ist das E-Mail-Marketing nun tot?

Beitrag aus Ausgabe 74 / Oktober 2018
Recht
Martin Schirmbacher

ist Partner bei HÄRTING Rechtsanwälte, Berlin.

Provokante Frage, klare Antwort: Nein, das E-Mail-Marketing ist quicklebendig. Die Auswirkungen der Datenschutzgrundverordnung, die seit Mai dieses Jahres in der gesamten Europäischen Union gilt, sind sogar vergleichsweise überschaubar. Die in der DSGVO vorgesehenen horrenden Bußgelder, die überall für hektische Betriebsamkeit gesorgt haben, werden im E-Mail-Marketing eher nicht verhängt. Was aber sind die konkreten Vorgaben der DSGVO und was ändert sich dadurch für das E-Mail-Marketing von Unternehmen? 10 Fragen und Antworten. Von Dr. Martin Schirmbacher

1. UWG und DSGVO: Was gilt?

Das Verhältnis zwischen dem Gesetz gegen den unlauteren Wettbewerb (UWG) und der Datenschutzgrundverordnung (DSGVO) ist im Detail sehr komplex. Über Einzelheiten werden die Gerichte noch entscheiden müssen. So ist zum Beispiel nicht völlig zweifelsfrei, ob ein Datenschutzverstoß zugleich ein Wettbewerbsverstoß ist.

Im Grundsatz besteht aber weitgehend Einigkeit, dass Wettbewerbsrecht und Datenschutzrecht nebeneinander gelten. Wer Werbung per E-Mail machen möchte, muss aus wettbewerbsrechtlicher Sicht grundsätzlich eine Einwilligung des Empfängers haben. Dabei ist irrelevant, ob eine natürliche Person angesprochen oder etwa ein Funktionspostfach adressiert wird. Handelt es sich – wie in den weit überwiegenden Fällen – um eine personalisierte E-Mail-Adresse, muss zusätzlich das Datenschutzrecht beachtet werden. Anknüpfungspunkt ist hier die Nutzung des personenbezogenen Datums E-Mail-Adresse für den Zweck der Werbung. Hierfür ist eine Rechtfertigung erforderlich, die sich aus der Einwilligung des Empfängers ergeben oder auf berechtigten Interessen beruhen kann.

Datenschutzrechtliche Bußgelder können nur für Datenschutzverstöße verhängt werden. Ob eine werbende E-Mail eine Wettbewerbsverletzung ist, ist dabei für die Einschätzung nach DSGVO ohne Belang. Dies liegt daran, dass die DSGVO EU-weit einheitlich anzuwenden und auszulegen ist. Nationales Recht, etwa der Versand von Werbung per E-Mail an Unternehmenskunden, muss dabei außen vor bleiben. Dabei ändert die DSGVO die Rechtslage nach UWG nicht.

2. Brauchen wir nun neue Opt-ins?

Nein! Vor dem 25. Mai 2018 erteilte Einwilligungen erlöschen nicht. Einwilligungen erlöschen auch nicht einfach durch Zeitablauf. Die DSGVO enthält einen ausdrücklichen Passus, wonach in der Vergangenheit erteilte Einwilligungen unter der DSGVO fortgelten, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht. Dies zeigt, dass man sich auf Alteinwilligungen auch dann berufen kann, wenn sie nicht zu 100 % der DSGVO entsprechen. Es genügt, wenn sie dies der Art nach tun.

Der Düsseldorfer Kreis, der Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, hat in seiner ersten offiziellen Stellungnahme zur DSGVO auch festgehalten, dass Einwilligungen, die BDSG-konform eingeholt wurden, grundsätzlich fortgelten. Bestanden also rechtsgültige Einwilligungen, gab und gibt es keinen Grund, diese neu einzuholen.

Selbst wenn alte Einwilligungen nicht zweifelsfrei dokumentiert und nachweisbar sind, muss das Newsletter-Marketing wegen der DSGVO nicht per se eingestellt werden. Nach der DSGVO lässt sich eine Datenverarbeitung auch mit berechtigten Interessen des Unternehmens rechtfertigen, solange entgegenstehende Interessen des Betroffenen nicht überwiegen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Wer in der Vergangenheit ein – wie auch immer geartetes – Opt-in erteilt und seitdem regelmäßig Newsletter erhalten hat, hat allen Grund anzunehmen, dass dies auch weiterhin so sein wird. Insofern mag in der Aussendung früher wie jetzt ein UWG-Verstoß liegen, ein Verstoß gegen die DSGVO ist damit nicht notwendig verbunden.

3. Unsere Re-Opt-in-Kampagne war ein Desaster: Was nun?

Viele Unternehmen haben sich unmittelbar vor dem 25. Mai selbst ein gravierendes Problem geschaffen. Angesteckt von der allgemeinen DSGVO-Hysterie wurden hektisch Re-Opt-in-Kampagnen gefahren und die Nutzer gebeten, ein bereits erteiltes Opt-in zu erneuern. In mehr oder minder blumigen Worten wurde den Empfängern angekündigt, dass die Adressen leider gelöscht werden müssten, wenn der geschätzte Nutzer nicht zu erkennen gebe, dass er weiterhin die interessanten Neuigkeiten und spannenden Angebote erhalten möchte.

Viele E-Marketer mussten nun feststellen, dass auch die am schönsten formulierten Bitten um ein erneutes Opt-in zum besten Versandzeitpunkt mit der wirkungsvollsten Betreffzeile nicht wirklich gut konvertierten. Daher stellt sich Frage, ob man doch den gesamten Verteiler weiter bespielen kann.

Eine Berufung auf die Einwilligung ist dabei gefährlich. Schließlich hat das Unternehmen zu erkennen gegeben, dass es selbst meint, kein ausreichendes Opt-in zu haben (und um ein erneutes Opt-in bittet). Genügt die alte Einwilligung nicht den Anforderungen der DSGVO, besteht ohne eine Nachfrage die Möglichkeit, mit berechtigten Interessen des Unternehmens und den vernünftigen Erwartungen des Nutzers zu argumentieren. Wer monatelang einen Newsletter eines Unternehmens erhalten hat, wird im Zweifel damit rechnen, dass dies auch weiterhin der Fall ist. Nutzer allerdings, die auf eine Nachfrage, ob sie weiterhin Werbung erhalten wollen, nicht reagiert haben, können dagegen vernünftigerweise nicht damit rechnen, weiter Werbung per E-Mail zu erhalten. Wer gefragt wird, ob er weiterhin werbende E-Mails erhalten möchte, und die Ankündigung erhält, dass die Daten anderenfalls gelöscht würden, rechnet sicher nicht damit, weiterhin im Verteiler des Unternehmens zu sein, wenn er auf diese Frage nicht reagiert.

Wer daher um ein neues Opt-in gebeten und dieses nicht erhalten hat, hat schlechte Karten, den Verteiler weiterhin legal zu betreiben.

4. Was ist mit der Ausnahme für Bestandskunden?

Es ist ein weitverbreiteter Irrglaube, an Bestandskunden könnte – jedenfalls im B2B-Bereich – auch ohne ausdrückliche Einwilligung Werbung per E-Mail versendet werden. Richtig ist, dass das Gesetz in § 7 Abs. 3 UWG eine Hintertür für den Versand von Werbung per E-Mail an bestehende Kunden vorsieht. Die E-Mail-Werbung ist nach § 7 Abs. 3 UWG nur zulässig, wenn die dort genannten vier Voraussetzungen kumulativ vorliegen. Insbesondere die Ähnlichkeit der beworbenen Produkte und der Hinweis auf die Widerrufsmöglichkeit schon bei Erhebung der E-Mail-Adresse sind üblicherweise Stolpersteine, an denen eine Berufung auf die Ausnahmebestimmung in der Praxis scheitert.

Die datenschutzrechtliche Situation ist unabhängig von der Rechtslage nach UWG zu beurteilen. Entscheidend ist, ob der Empfänger mit der Nutzung seiner E-Mail-Adresse zu Werbezwecken rechnen durfte. Hier hält die DSGVO fest, dass das Direktmarketing grundsätzlich ein berechtigtes Interesse sein kann und bei der Frage der vernünftigen Erwartungen jedenfalls mitentscheidend sei, ob eine Kundenbeziehung bestehe. Dies spricht dafür, jedenfalls in den Fällen von § 7 Abs. 3 UWG auch eine datenschutzrechtliche Zulässigkeit anzunehmen.

5. Braucht unsere Datenschutzerklärung nun eine Check-Box?

Nein! Immer wieder hört man seit dem Frühjahr, die DSGVO verlange eine Checkbox für die Datenschutzerklärung. Die Newsletter-Abonnenten müssten neben der Einwilligung in den Newsletter-Versand die Datenschutzbestimmungen ausdrücklich akzeptieren.

Das ist falsch. Eine Datenschutzerklärung bedarf auch weiterhin keiner ausdrücklichen Zustimmung des Nutzers. Die Datenschutzerklärung ist eine Erklärung des Unternehmens über den Umgang mit den personenbezogenen Daten der Nutzer. Um eine Zustimmung der Nutzer geht es hier nicht.

6. Neue Leads von der Messe: Brauchen wir eine Einwilligung für die Speicherung von Visitenkarten?

Nein! Große Verunsicherung herrscht im Mittelstand über den Umgang mit Messeleads. Auf der einen Seite Key-Accounter, die ohne Vertun dort weiter machten, wo sie vor dem Pfingsturlaub aufgehört haben, auf der anderen Seite Compliance-Anleitungen, die den Vertrieb am liebsten vollständig einstellen würden, die Verunsicherung ist jedenfalls groß. Immer wieder erhält man nun im Anschluss an Konferenzen oder Messen E-Mails von Neukontakten, denen man die Visitenkarte überreicht hat.

Eine Einwilligung in die Datenspeicherung ist nicht erforderlich. Visitenkarten werden zu einem bestimmten Zweck und mit einer bestimmten Erwartung übergeben. Wer seine Karte seinem Gesprächspartner im Anschluss an ein persönliches Gespräch überreicht, wird damit rechnen, dass das Gegenüber die Informationen in irgendeiner Form verwertet, jedenfalls aber einmal in sein CRM-System oder sein Outlook übernimmt. Dies ist ohne Weiteres von den berechtigten Interessen des Unternehmens gedeckt.

Eine andere Frage ist, ob über die Datenverarbeitung und die Dauer der Speicherung informiert werden muss. Nach dem Gesetz ist das vorgesehen. Erfolgte eine Information über die Datenverarbeitung nicht schon direkt vor Ort, muss in der Tat eine entsprechende Belehrung erfolgen. Dies kann durchaus per E-Mail im Nachgang zu dem Messebesuch geschehen. Häufig wird man diese Mail mit dem vertrieblichen Follow-up verbinden können.

7. Eine Kopplung ist doch nun aber verboten, oder?

Seit den ersten Entwürfen zur DSGVO wird das Thema Kopplungsverbot heftig diskutiert. Gemeint ist das gesetzliche Verbot, die Erteilung einer Einwilligung an den Vertragsabschluss derart zu knüpfen, dass der Kunde den Vertrag nicht schließen kann, ohne die Einwilligung zu erteilen. In Art. 7 Abs. 4 DSGVO findet sich nun ein Kompromiss: Bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, soll dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags von der Einwilligung abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist. Es ist also kein Kopplungsverbot, sondern eine Auslegungshilfe. Wird gekoppelt, muss man sich genau anschauen, ob die Einwilligung dennoch als freiwillig erteilt angesehen werden muss.

Damit sind jedenfalls solche Einwilligungen unwirksam, die erst im Laufe der Vertragsdurchführung erteilt werden müssen, damit der Kunde seine Leistung erhält. Andererseits sind etwa Whitepaper-Downloads gegen Newsletter-Einwilligung klar zulässig. Niemand ist darauf angewiesen, ein kostenfreies Whitepaper herunterladen.

Auch eine Gewinnspielteilnahme kann man weiterhin von der Erteilung einer Einwilligung abhängig machen. Wenn transparent dargestellt wird, welche Daten zu welchen Zwecken aufgrund der Einwilligung verarbeitet werden sollen, gibt es keinen Grund, an der Freiwilligkeit zu zweifeln.

Anders ist das, wenn ein Kunde den gesamten Bestellprozess eines Online-Händlers durchläuft und quasi an der Kasse nicht weiter kommt, wenn er nicht seine Werbeeinwilligung erteilt.

8. Was folgt aus der DSGVO für Personalisierung von E-Mail-Werbung?

Wie schon nach altem Recht bedarf jede Verarbeitung personenbezogener Daten einer Rechtfertigung. Diese kann sich zum Beispiel aus berechtigten Interessen des Unternehmens oder einer Einwilligung des Empfängers ergeben. Fehlt die Rechtfertigung, ist die Personalisierung verboten.

Ob eine Einwilligung notwendig ist oder die Individualisierung auf Unternehmensinteressen gestützt werden kann, hängt von den vernünftigen Erwartungen des Empfängers ab. Dass zum Beispiel mit seinem Namen angesprochen wird, wer seinen Namen bei der Registrierung freiwillig angegeben hat, braucht keine Einwilligung. Auch das Tracken von Öffnungsraten sollte nicht einwilligungsbedürftig sein.

Zu Unrecht meinen die Datenschutzbehörden, dass jede Bildung von Nutzerprofilen generell einwilligungsbedürftig sei. Das lässt sich der DSGVO nicht entnehmen. Im Gegenteil: In Art. 21 Abs. 1 S. 1 ist explizit ein Widerspruchsrecht für auf berechtigte Interessen gestütztes Profiling geregelt. Wäre jede Profilbildung einwilligungsbedürftig, bedürfte es dieser Vorschrift nicht.

Geht die Profilbildung weiter, werden etwa Daten verschiedener Kanäle zusammengeführt, und kann der Kunde damit vernünftigerweise nicht rechnen, braucht es eine Einwilligung. Diese kann schon bei der Registrierung für den Newsletter eingeholt werden („Ja, ich möchte Ihren auf mich zugeschnittenen Newsletter erhalten.“). Dabei sollte jedenfalls in der Datenschutzerklärung transparent gemacht werden, welche Daten für die Personalisierung genutzt werden. Dies setzt vor allem voraus, dass ein konkreter Plan für die Auswertung der Daten existiert.

9. Ist die DSGVO das Aus für E-Mail-Marketing-Anbieter aus den USA?

Pauschal kann man das nicht sagen. Allgemein gilt, dass auch US-Tools eingesetzt werden können, wenn dort ein angemessenes Datenschutzniveau gilt, das diese Anbieter etwa mit einer Unterwerfung unter das Privacy Shield dokumentieren können. Zusätzlich muss eine Vereinbarung über die Datenverarbeitung im Auftrag (AV-Vereinbarung) geschlossen werden. Wenn die US-Anbieter sich auf den EU-Markt einlassen und die entsprechenden Voraussetzungen schaffen, ist die Tatsache, dass sie ihren Sitz in den USA haben, letztlich kein riesiges Problem.

Sowohl das Privacy Shield als auch die sogenannten Standardvertragsklauseln werden derzeit mit Klagen vor dem Europäischen Gerichtshof angegriffen. Es ist nicht auszuschließen, dass der EuGH – wie einst bei Safe Harbor – zu dem Ergebnis kommt, dass die gewährten Datenschutzgarantien nicht ausreichen, und ein Datentransfer in die USA aufgrund dieser Rechtsinstrumente für unzulässig erklärt. Dann muss eine Alternative her, wobei damit zu rechnen ist, dass auch dann pragmatische Lösungen für einen Übergang gefunden werden. Wem dies zu unsicher ist, der sollte Anbieter mit Sitz innerhalb der Europäischen Union in Betracht ziehen.

10. Und jenseits des E-Mail-Marketings: Braucht nun auch die postalische Ansprache ein Opt-in?

Nein. Postalische Mailings können weiterhin ohne Einwilligung versendet werden. Zwar ist das alte Listenprivileg aus § 28 Abs. 3 BDSG in der DSGVO nicht mehr erwähnt, jedoch greifen auch hier berechtigte Interessen des werbenden Unternehmens. Die Direktwerbung ist in der DSGVO explizit als mögliches berechtigtes Interesse erwähnt. Solange der Kunde von seiner Opt-out-Möglichkeit keinen Gebrauch gemacht hat, dürfen Adressdaten für die Postwerbung genutzt werden.

Fazit

Die Auswirkungen der DSGVO auf das E-Mail-Marketing sind deutlich geringer als der Hype, der gerade im Direktmarketing um die DSGVO gemacht wurde. Wie auch nach altem Recht ist die Nutzung personenbezogener E-Mail-Adressen zu Werbezwecken nicht nur ein UWG-Verstoß, sondern häufig auch eine Datenschutzverletzung, wenn kein Opt-in vorliegt. Einzige gravierende Änderung sind die potenziellen Bußgelder für eine Datenschutzverletzung. Doch hier gilt: Es gibt deutlich schwerere Datenschutzverletzungen als die Nutzung personenbezogener Daten zu Werbezwecken. Dass hier horrende Bußgelder verhängt werden, ist nicht zu befürchten. Grund zur Panik besteht daher jedenfalls nicht. Das zeigen auch die Monate, die bisher weitgehend ereignisfrei seit dem Wirksamwerden der DSGVO vergangen sind.

In der Diskussion unterbelichtet ist eine positive Änderung: Zum Teil kann man das Direktmarketing auf berechtigte Unternehmensinteressen stützen und auch ohne nachgewiesenen Opt-in datenschutzkonform werben. Ein etwaiger Verstoß gegen § 7 Abs. 2 Nr. 3 UWG bleibt davon unberührt, kann aber nicht mit den Mitteln des Datenschutzrechts sanktioniert werden.

Spannend? Dieser Artikel ist im suchradar #74 erschienen

Lesen Sie weitere spannende Artikel aus der Ausgabe „Online-Marketing-Strategien für kleine Shops: Wie David gegen Goliath gewinnen kann“! Entweder online oder als PDF-Magazin.

Kostenlos als PDF-Version Alle Artikel aus der Ausgabe ansehen