Aktuell in CR

"Let's Stay in Touch" - Direktwerbung unter der DSGVO (Plath/Grages, CR 2018, 770)

Anfang November 2018 hat die Datenschutzkonferenz (DSK) ihre datenschutzrechtlichen Wertungen zur Direktwerbung vorgestellt. Darin geben die deutschen Datenschutzbehörden Antworten auf Fragen wie: Ist die Werbeansprache seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) nur noch mit Einwilligung möglich? Der Beitrag stellt das DSK-Papier vor und analysiert die einzelnen Positionen, indem jeweils der Ansatz der Behörden erst skiziert und dann „auf gleicher Flughöhe“ kritisch gewürdigt wird.

Eine kritische Bewertung der Orientierungshilfe der Aufsichtsbehörde

Inhaltsverzeichnis:

I. Werbung unter der DSGVO

1. Weiter Werbebegriff

2. Keine gesetzlichen Detailregelungen

3. Verhältnis der DSGVO zum UWG

II. Interessenabwägung als Rechtfertigung

1. Ermittlung der gegenläufigen Interessen

2. Individualisierung der Werbesendungen

3. Profilbildung für Werbesendungen

4. Bildung komplexer Werbescores

5. Zulässigkeit des Adresshandels

6. Implikationen durch eine Zweckänderung

7. Anforderungen an die Nutzungsdauer von Kontaktdaten

III. Typische Fallgruppen - Bewertung spezifischer Werbekonstellationen

1. Datenerhebung durch Preisausschreiben und Kataloganforderunen

2. Beipackwerbung

3. Freundschaftswerbung

4. Empfehlungswerbung

5. Verwendung von Kontaktdaten aus einem Impressum

IV. Einfluss der Wertungen des UWG

1. Verhältnis der gesetzlichen Wertungen

2. Werbung auf Grundlage on E-Mail-Adressen

3. Werbung auf Grundlage von Telefonanrufen

V. Umsetzung des Widerspruchsrechts

1. Werbewiderspruch und Wunsch nach Datenlöschung

2. Adressat des Widerspruchs

3. Unterrichtung über das Werbewiderspruchsrecht

4. Umsetzungsfrist des Werbewiderspruchs

VI. Erfüllung der Informationspflichten

1. Information bei der Datenerhebung

2. Information im Falle der Dritterhebung

3. Umgang mit "Altfällen"

4. Informationspflichten bei Frendadressenbewerbung

VII. Einwilligung als Rechtfertigung

1. Gestaltung der Einwilligung

2. Raum für konkludente Einwilligungen: Anwendungsfall Visitenkarten

3. Elektronische Einwilligungen: Double-Opt-In

4. Anwendung und Grenzen eines Koppelungsverbots

5. Zeitliche Geltung der Einwilligung

6. Einwilligung als Voraussetzung der werblichen Nutzung sensibler Daten

VIII. Zusammenfassung und Ausblick

---

I. Werbung unter der DSGVO

[3] Mit der Frage, ob und in welchen Grenzen die Direktwerbung mit der DSGVO vereinbar ist, hat sich mittlerweile wohl jedes Unternehmen beschäftigen müssen. Im Rahmen einer gewissen „Datenschutzhysterie“ schien es plötzlich naheliegend, dass sämtliche Kontakte auf einen Schlag ihren Wert verloren haben bzw. nur über eine Re-Consent-Kampagne mit E‑Mails der Kategorie „Let’s Stay in Touch“ gerettet werden könnten. Dies zeigt: Die Verunsicherung über die Zulässigkeit von Direktwerbung unter der DSGVO war und ist groß.

[4] In diesem Klima ist es begrüßenswert, dass seit Anfang November 2018 die konsolidierte Stellungnahme der DSK vorliegt. Das unter dem sperrigen Titel „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ ¹  verfasste Papier sorgt aber auch für neuen Zündstoff. Denn damit liegt nun eine klare Positionierung der Behörden vor, wann die Unternehmen ggf. mit Bußgeldern rechnen müssen. Erfreulicherweise spricht aus dem DSK-Papier nicht nur ein Verständnis für relevante Themen, sondern auch das Bemühen um einen angemessenen Ausgleich zwischen den Interessen der werbenden Unternehmen und der betroffenen Personen. In Grenzbereichen nehmen die Behörden allerdings Auffassungen ein, die Anlass zur Diskussion geben. Im Übrigen können die deutschen Behörden ohnehin nicht letztverbindlich über die Auslegung der DSGVO entscheiden. Es bleibt abzuwarten, wie der Europäische Datenschutzausschuss die Thematik bewerten wird. ²  Und klar ist auch: Das letzte Wort haben die Gerichte.

1) Weiter Werbebegriff

[5] Auffassung der Aufsichtsbehörden : Ausgangspunkt für die Bewertung der Zulässigkeit von Werbemaßnahmen nach der DSGVO ist zunächst die Frage, was unter dem Begriff der „Werbung“ zu verstehen ist. Das DSK-Papier verweist hierzu auf Art. 2 lit. a) der Richtlinie über irreführende und vergleichende Werbung. Dort ist Werbung definiert als „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“.

[6] Kritische Würdigung:  Den Ausführungen des DSK-Papiers ist im Grundsatz zuzustimmen. Zunächst ist zu begrüßen, dass die Behörden mit dem Hinweis auf die Richtlinie eine „europäische“ Auslegung verfolgen, während das DSK-Papier an anderen Stellen vielfach eine sehr „deutschrechtliche“ Sichtweise erkennen lässt. Auch ist es zutreffend, dass grundsätzlich ein weiter Werbebegriff anzulegen ist. Insofern sei darauf hingewiesen, dass der Begriff der „Werbung“ sowohl die Bewerbung eigener Waren und Dienstleistungen wie auch die Bewerbung von Angeboten Dritter umfasst. ³

[7] Allerdings erfordert die Qualifikation einer Maßnahme dennoch stets eine Einzelfallbetrachtung. So ist z.B. mit Blick auf Kundenzufriedenheitsbefragungen und vergleichbare Maßnahmen im konkreten Fall zu verifizieren, ob nicht doch die Durchführung eines Vertragsverhältnisses mit dem Kunden im Vordergrund steht. ⁴  Wenn ein Unternehmen Newsletter zu Neuheiten seines Produktportfolios versendet, mag dies als Werbung zu qualifizieren sein. Eine andere Bewertung kann sich aber ergeben, wenn das Unternehmen einen Kunden auf potentiell sicherheitsrelevante Neuerungen eines bereits von diesem Kunden erworbenen Produkts aufmerksam macht. Auch mag es Fälle geben, bei denen die Versorgung mit Informationen gerade zum Kern des Vertrages gehört. Zu denken ist an einen Maklervertrag, der gerade darauf gerichtet ist, dem Kunden fortlaufend neue Angebote zu übersenden.

2) Keine gesetzlichen Detailregelungen

[8] Auffassung der Aufsichtsbehörden:  Die Behörden weisen darauf hin, dass mit der DSGVO die detaillierten Regelungen des alten Bundesdatenschutzgesetzes (BDSG-alt) zur Verarbeitung für Zwecke der Direktwerbung weggefallen seien. Grundlage für die Beurteilung der Zulässigkeit sei in der DSGVO, abgesehen von einer Einwilligung der betroffenen Person, die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO.

[9] Kritische Würdigung:  Es ist richtig, dass die Zulässigkeit von Werbemaßnahmen unter der DSGVO im Regelfall letztlich von einer mitunter komplexen und von der konkreten Maßnahme bestimmten Interessenabwägung abhängt. ⁵  Gleichwohl ist klarzustellen, dass die DSGVO keine zwingende Beschränkung auf die Erlaubnisnormen aus Art. 6 Abs. 1 Satz 1 lit. a) (Einwilligung) und lit. f) (Interesseabwägung) enthält. So mag es im Einzelfall durchaus auch vertragliche Anknüpfungspunkte geben, etwa wenn Werbebotschaften aktiv abonniert werden (vgl. Art. 6 Abs. 1 Satz 1 lit. b) DSGVO).

[10] Im Anwendungsbereich der Rechtfertigung über die Interessenabwägung muss die Verarbeitung zunächst zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein. ⁶  Dieses Tatbestandsmerkmal wird in aller Regel problemlos zu bejahen sein, denn natürlich verfolgen Unternehmen und sonstige Verantwortliche berechtigte Interessen, wenn sie sich um den Absatz ihrer Produkte bemühen. Dies ist im vielzitierten Erwägungsgrund 47 zur DSGVO ausdrücklich hinterlegt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

[11] Fraglich bleibt aber stets, ob nicht im Einzelfall die Interessen der betroffenen Person überwiegen. Allein an dieser Frage hängt dann die Bewertung der Direktwerbung. In diesem Zusammenhang ist relevant, dass die DSGVO sich – anders als im DSK-Papier suggeriert – durchaus explizit zur Frage der Direktwerbung äußert. Denn in Art. 21 Abs. 2 und 3 DSGVO findet sich ausdrücklich das Recht des Betroffenen, der Verarbeitung für Zwecke der Direktwerbung zu widersprechen und diese damit zu stoppen. Zwar ist den Aufsichtsbehörden zuzugestehen, dass diese Norm keine Ermächtigungsgrundlage für Werbezwecke darstellt. Allerdings folgt aus der Norm, dass sich der Verordnungsgeber für ein Opt-out-Modell entschieden hat, was im Rahmen der Interessenabwägung zu berücksichtigen ist. ⁷  In diesem Sinne muss also die Direktwerbung zur Wahrung eines berechtigten Interesses des Verantwortlichen erforderlich sein, ohne dass die Interessen der betroffenen Person überwiegen – regelmäßig dient aber eben das „scharfe Schwert“ des Widerspruchsrechts der Wahrung der potentiell gegenläufigen Interessen in der Weise, dass grundsätzlich ein weiter Maßstab bei der Bemessung der Zulässigkeit von Werbemaßnahmen anzulegen ist. ⁸

3) Verhältnis der DSGVO zum UWG

[12] Auffassung der Aufsichtsbehörden:  Die Aufsichtsbehörden orientieren sich im DSK-Papier immer wieder an den Wertungen des § 7 UWG. Dort ist insbesondere geregelt, unter welchen Voraussetzungen die Versendung von Werbenachrichten eine „unzumutbare Belästigung“ darstellt, und in welchen Fällen daher eine Einwilligung erforderlich ist.

[13] Kritische Würdigung:  Dies wirft zunächst die Frage auf, ob das UWG neben der DSGVO anwendbar bleibt (soweit deren Regelungsbereich betroffen ist). Die Regelung des § 7 UWG beruht auf der ePrivacy-Richtlinie. Das Verhältnis zwischen ePrivacy-Richtlinie und DSGVO ist in Art. 95 DSGVO ausdrücklich geregelt, und zwar wie folgt: „Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“

[14] Nach derzeitigem Diskussionsstand wird daher weitgehend einhellig davon ausgegangen, dass der Vorrang der ePrivacy-Richtlinie und damit des § 7 UWG weiterhin gilt. Und so wird es auch in dem DSK-Papier vertreten, hier dann ohne weitere Begründung. Allerdings folgt aus der Fortgeltung des UWG neben der DSGVO nicht zwingend, dass stets ein Gleichlauf der beiden Gesetze anzunehmen wäre. Denn der Verordnungsgeber hat sich bei Erlass der DSGVO gerade nicht dafür entschieden, hinsichtlich der Zulässigkeit der Verarbeitung auf die ePrivacy-Richtlinie zu verweisen. Vielmehr hat er unter der DSGVO ein eigenständiges Regime etabliert.

[15] Für die Praxis stellt sich dann die weitere Frage, ob der Streit um das Verhältnis zwischen UWG und DSGVO am Ende rein akademischer Natur ist. ⁹  Praktisch mag diese Abgrenzung weniger relevant erscheinen, da eine unter dem UWG problematische Werbemaßnahme im Zweifel nicht umgesetzt wird. Auf den zweiten Blick ist aber das Haftungsrisiko ein wesentlicher Aspekt: Wenn im Einzelfall doch eine UWG-widrige Maßnahme durchgeführt wurde, führt der Verstoß gegen das Lauterkeitsrecht nicht zwangsläufig in das Bußgeldrisiko der DSGVO. Weitere Implikationen ergeben sich z.B. im Hinblick darauf, welche Parteien gegen etwaige Verletzungen vorgehen können. ¹⁰

II. Interessenabwägung als Rechtfertigung

1) Ermittlung der gegenläufigen Interessen

[16] Auffassung der Aufsichtsbehörden:  Hinsichtlich der vorzunehmenden Interessenabwägung verweist das DSK-Papier auf Erwägungsgrund 47 DSGVO, aus dem sich ergibt, dass die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zum Verantwortlichen beruhen, zu berücksichtigen sind. Damit sei auf die subjektiven Erwartungen der betroffenen Person im Einzelfall abzustellen. Daneben sei nach Ansicht der Aufsichtsbehörden aber auch zu fragen, was objektiv „vernünftigerweise“ erwartet werden könne. Entscheidend sei, ob die Verarbeitung für Werbezwecke in der gegebenen Sozialsphäre typischerweise akzeptiert oder abgelehnt werde. Die naheliegenden Erwartungen der betroffenen Person werden außerdem entscheidend durch die Informationen nach Art. 13 und 14 DSGVO bestimmt. Daraus ziehen die Aufsichtsbehörden folgenden Schluss: „Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.“

[17] Kritische Würdigung:  Der Auffassung der Aufsichtsbehörden zu diesem Komplex ist grundsätzlich zuzustimmen. Maßgeblich für die Beurteilung der Zulässigkeit von Werbemaßnahmen ist in erster Linie die Erwartungshaltung des Betroffenen. Und da der Verantwortliche nicht immer die individuellen Motivationslagen beurteilen kann (und diese unter der DSGVO auch nicht zur Erfüllung seiner Pflichten recherchieren soll), ist regelmäßig die Orientierung an den Erwartungen eines „Durchschnittsbetroffenen“ geboten.

[18] Zu begrüßen ist die Feststellung des DSK-Papiers, wonach dessen Erwartungshaltung – in gewissen Grenzen – gesteuert werden kann, indem „transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung“ informiert wird. Für die Praxis ist anzuraten, entsprechende Hinweise aufzunehmen. Nach der hier vertretenen Ansicht ist es zur Wahrung des Transparenzgedankens ausreichend, entsprechende Informationen im Rahmen der allgemeinen Hinweise zu erteilen, etwa in der Datenschutzerklärung und/oder den AGB einer Website oder eines Onlineshops. ¹¹  Nicht unbedingt erforderlich ist etwa ein gesonderter Hinweis auf die werbliche Nutzung in der Nähe der Eingabemaske oder eine Hervorhebung der beabsichtigten Werbenutzung im Rahmen des Hinweistextes. Es ist nämlich zu beachten, dass es hier um Hinweise nach Art. 13 bzw. Art. 14 DSGVO geht. Und damit gilt ein weniger strenger Maßstab als im Rahmen der Dokumentation einer informierten Einwilligung. Vor diesem Hintergrund ist es grundsätzlich ausreichend, wenn ein genereller Hinweis auf die Verarbeitung zu Werbezwecken erfolgt. Es liegt dann im Ermessen der werbenden Unternehmen, den Text weiter zu präzisieren, um ggf. ein Maß an Transparenz zu erzeugen, das auch „qualifizierte“ Werbemaßnahmen (Scoring, Adresshandel) legitimieren kann.

2) Individualisierung der Werbesendungen

[19] Auffassung der Aufsichtsbehörden:  Das DSK-Papier enthält folgende grobe Standardkonstellationen, in denen nach Ansicht der Aufsichtsbehörden die Interessen des Verantwortlichen in der Praxis überwiegen:

[20] Zulässig sei die Werbung regelmäßig dann, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weiterer Produkte des Verantwortlichen zugesendet werde. Zudem sei die Werbung regelmäßig zulässig, wenn es anhand eines Selektionskriteriums zu einer Einteilung in Werbegruppen komme, ohne dass sich aus der Selektion ein „zusätzlicher Erkenntnisgewinn“ ergebe.

[21] Kritische Würdigung:  Diese Einschätzungen erscheinen im Ergebnis richtig, die Abgrenzung zu anderen – dann vermeintlich nicht mehr zulässigen – Konstellationen aber zu eng. Offenbar stellen die Aufsichtsbehörden in besonderer Weise auf das Merkmal der „Selektion“ ab. So sei eine Maßnahme gegenüber Kunden „ohne Selektion“ im Grunde zulässig. Eine Maßnahme „mit Selektion“ sei aber nur dann noch zulässig, wenn diese (lediglich) der Einteilung in Werbegruppen (z.B. „sportinteressiert“) diene.

[22] Als zusätzliche Standardkonstellation kann aber auch eine weitere Selektion zur segmentierten Aussteuerung durchaus zulässig sein, soweit der Betroffene informiert und das Verfahren durch geeignete Sicherheitsmaßnahmen sowie eine angemessene Datenbasis (z.B. die Bestellhistorie) grundsätzlich an den DSGVO-Vorgaben ausgerichtet ist. Denn die Kunden dürfen und müssen unter diesen Voraussetzungen damit rechnen, bedarfsgerechte Werbung zu erhalten. ¹²

3) Profilbildung für Werbesendungen

[23] Auffassung der Aufsichtsbehörden:  Eine strenge Abgrenzung zu nicht mehr zulässigen Maßnahmen wollen die Aufsichtsbehörden im Bereich solcher Selektionsmaßnahmen ziehen, die zu „zusätzlichen Erkenntnisgewinnen“ führen. Abgestellt wird auf Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile oder Verhaltensprognosen bzw. -analysen. Solche Maßnahmen sprechen nach Ansicht der Aufsichtsbehörden dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiege. Zur Begründung führen die Behörden an, dass es sich in diesen Fällen um „Profiling“ handele, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung erforderlich mache.

[24] Kritische Würdigung:  Dieser Einschätzung kann jedenfalls in ihrer Absolutheit nicht gefolgt werden. Denn die Aufsichtsbehörden setzen sich in Widerspruch zu ihrer eigenen Aussage:  ...

Hier direkt weiterlesen im juris PartnerModul IT-Recht