DSK veröffentlicht neue Orientierungshilfe für Direktmarketing

Im Februar 2022 hat die Datenschutzkonferenz (DSK) eine neue Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Die Orientierungshilfe baut auf der Orientierungshilfe 2018 und den Regelungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) auf und richtet sich an all die Personen und Unternehmen, deren Geschäftsmodell die Verarbeitung personenbezogener Daten zu Werbezwecken umfasst.

Die DSGVO selbst enthält keine einschlägigen Regelungen für Direktwerbung, weshalb die Orientierungshilfe einen besonderen Stellenwert für Werbebetreibende hat. Ebenso wird beispielsweise der Begriff „Werbung“ oder „Direktwerbung“ in der Orientierungshilfe definiert. Diese Definition kann allerdings lediglich die Meinung der DSK widerspiegeln und ist keine EU-weit geltende Legaldefinition.

Im Wesentlich behandelt die Orientierungshilfe fünf Themenbereiche:

  • Interessensabwägung bei Direktwerbung
  • Informationspflichten
  • Einwilligung in die Datenverarbeitung für Direktwerbung
  • Spezielle Sachverhalte bei der Datenverarbeitung für Direktwerbung
  • Werbewiderspruch

Interessenabwägung bei Direktwerbung

Die Orientierungshilfe bejaht eine Verarbeitung personenbezogener Daten für Direktwerbung aufgrund eines berechtigten Interesses nach Erwägungsgrund 47 DSGVO.

Die in Deutschland wichtigste Regelung zum Thema Direktwerbung findet sich vermutlich in § 7 UWG . Wenn dieses Gesetz einen bestimmten Kontaktweg zu den betroffenen Personen nicht erlaubt (z. B. telefonische Ansprache), kann die Abwägung nach Art. 6 Abs. 1 lit.f DSGVO nicht zugunsten einer Verarbeitung personenbezogener Daten für Direktwerbung ausfallen.

Auch konkretisiert die Orientierungshilfe den Hinweis zur Nutzung von E-Mail-Adressen von Bestandskunden. Demnach dürfen E-Mail-Adressen, die im Rahmen einer Geschäftsbeziehung erhoben wurden, genutzt werden, wenn bei Datenerhebung der Zweck der E-Mail-Werbung transparent dargelegt wurde. Diese Ansicht der DSK entspricht der Ausnahme des § 7 Abs. 3 UWG.

Telefonwerbung setzt immer eine Einwilligung bei den Verbraucher*innen voraus (siehe § 7 Abs. 1 UWG).

Unabhängig von der Art der Werbung und der verwendeten Rechtsgrundlage, ist immer auch der Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b DSGVO zu beachten. Wurden Daten ursprünglich nicht für Werbezwecke erhoben, muss der Verantwortliche eine Kompatibilitätsprüfung durchführen. Dies bedeutet, dass eine Argumentation gefunden werden muss, die objektiv darlegt, dass der neue Verarbeitungszweck mit dem bisherigen vereinbar ist. Hierbei ist stets auch eine Interessenabwägung durchzuführen, bei der die Regelungen des § 7 UWG zu berücksichtigen sind.

Informationspflichten

Kapitel 2 der Orientierungshilfe befasst sich mit den Informationspflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten zu Werbezwecken. Dieser Teil wurde gegenüber der Orientierungshilfe 2018 umfassend erweitert. Art. 13 DSGVO gibt vor, welche Informationspflichten Werbetreibende zu erfüllen haben. Demnach müssen die Kunden*innen bereits bei Erhebung von personenbezogenen Daten, wie beispielweise für die Teilnahme bei einem Gewinnspiel, über den Zweck der Datenerhebung uns weiteren Verarbeitung informiert werden. Wie und worüber im Detail zu informieren ist, haben wir bereits in einem vorherigen Blogbeitrag beschrieben (siehe hier).

Besonders interessant sind dabei die folgenden Aussagen der DSK:

  • Die Erteilung der Informationen muss nicht individuell für jede Person nachgewiesen werden, sondern es ist ausreichend diese in Prozesse zu etablieren und zu dokumentieren.
  • Werden die personenbezogenen Daten nicht direkt beim Verantwortlichen (Art. 14 DSGVO) erhoben, hat dieser binnen eines Monats seine Informationspflichten gegenüber der Person zu erfüllen bei welcher die Daten erhoben wurden.
  • Der Hinweis auf die Möglichkeit zum Werbewiderspruch muss gemäß Art 21 Abs. 4 DSGVO in getrennter Form und deutlich abgesetzt ausgewiesen werden.

Sofern der Verantwortliche sich wie oben beschrieben für eine Zweckänderung bereits vorliegender Daten entscheidet und zu dem Schluss kommt, dass der neue Verarbeitungszweck (Direktwerbung) mit den bisherigen Verarbeitungszwecken vereinbar ist, müssen die betroffenen Personen gemäß Art. 13 Abs 3 DSGVO hierüber informiert werden, bevor die (Weiter-)Verarbeitung der Daten für den neuen Zweck erfolgt. Es wäre also eine aktive Information der Empfänger*innen der Werbung notwendig.

Einwilligung in die Datenverarbeitung für Direktwerbung

Die Orientierungshilfe stellt deutlich dar, dass eine Einwilligung freiwillig und unmissverständlich erteilt werden muss. Dies muss nicht zwingend in Schriftform erfolgen, jedoch wird empfohlen diese Zustimmung entsprechend zu dokumentieren, denn Verantwortliche müssen in der Lage sein, eine Einwilligung nachzuweisen. Auch hierzu haben bereits einen Artikel veröffentlich (siehe hier). Neben dem Text zur Erfüllung der Informationspflichten, muss die Einwilligung optisch getrennt und hervorgehoben in einem gesonderten Textabschnitt vorliegen. Darüber hinaus ist das Kopplungsverbot gemäß Art. 7 Abs. 4 DSGVO zu berücksichtigen. Das bedeutet, es ist nicht zulässig, die Erfüllung eines Vertrags von einer Einwilligung zu einer Verarbeitung personenbezogener Daten abhängig zu machen, die für die Erfüllung des Vertrags nicht erforderlich ist. So wäre es beispielsweise nicht zulässig, wenn Kund*innen, die in einem Online-Shop etwas bestellen möchten, dazu genötigt werden für den Abschluss der Bestellung in den Empfang eines Newsletters einzuwilligen.

Auch weist die DSK in der Orientierungshilfe auf die Notwendigkeit der Verwendung des Double-Opt-In hin. Bei diesem Verfahren erhält die Person, die eine Einwilligung zum Erhalt von Werbung per elektronischer Post (in der Regel E-Mail) erteilt, zunächst nur eine erneute Rückfrage per E-Mail, ob er die Einwilligung auch tatsächlich erteilen möchte. Um Missbrauch zu vermeiden und sicherzustellen, dass die Einwilligung auch von derjenigen Person erteilt wurde, auf die sich die angegebene E-Mailadresse bezieht, gilt der Einwilligungsprozess erst als abgeschlossen, wenn diese Rückfrage positiv bestätigt wird.

Wichtig ist: Double-Opt-Ins sind weder vom UWG, noch von der DSGVO zwingend vorgesehen. Nach ständiger Rechtsprechung ist dieses Verfahren jedoch notwendig, da ein Versand von Werbung an eine E-Mail-Adresse, die zuvor nicht verifiziert wurde, als unzulässig Werbung angesehen wird.

Die Nachweispflicht gilt auch hier sehr weitreichend. Es ist demnach nicht ausreichend nur die IP- Adresse, über die eine Einwilligung erteilt wird, abzuspeichern. Es müssen auch der genaue Zeitpunkt der Einwilligung sowie der Text der Einwilligung gespeichert und bei Bedarf nachgewiesen werden.

Spezielle Sachverhalte bei der Datenverarbeitung für Direktwerbung

Dann geht die DSK noch auf spezielle und besonders praxisrelevante Beispiele ein. Beispielweise ist es zulässig eine Verarbeitung von Postadressdaten für die Zwecke der eigenen Direktwerbung, die aus der Durchführung von Gewinnspielen gewonnen wurden, auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO durchzuführen. Andererseits ist es nach Auffassung der DSK nicht zulässig, Daten aus den Impressen von Homepages auszulesen und zu Werbezwecken zu nutzen. Hier soll stets das schutzwürdige Interesse der genannten Personen das (unseres Erachtens dennoch vorhandene) berechtigte Interesse der Werbetreibenden überwiegen. Wir halten diese Auffassung für fragwürdig. Dennoch ist es sicherlich interessant, die Auffassung der DSK zu kennen, da Verantwortliche damit werden rechnen müssen, dass eine Aufsichtsbehörde diese Auffassung bei der Prüfung der Zulässigkeit einer durchgeführten Werbeaktion, höchstwahrscheinlich zugrunde legen wird. Verantwortliche müssen also mit aufsichtsrechtlichen Maßnahmen der Behörden rechnen und die Rechtmäßigkeit der durchgeführten Maßnahme gegebenenfalls gerichtlich überprüfen lassen.

Widerruf der Einwilligung und Werbewiderspruch

Wie bereits bekannt, muss eine Einwilligung jederzeit und ohne weitere Voraussetzungen widerrufen werden können (Art. 7 Abs. 3 DSGVO). Auf dieses Recht ist die betroffene Person bereits bei der Einholung der Einwilligung zwingend hinzuweisen. Bei einem Werbewiderspruch wurde der Wunsch bislang sinnvoller Weise in einer entsprechenden Sperrdatei festgehalten Damit ist sichergestellt, dass auch bei der Beschaffung von Daten, beispielsweise über diesbezüglich spezialisierte Broker, die betroffene Person nicht entgegen dem Widerspruch weiter Werbung erhält. Die neue Orientierungshilfe legt fest, sofern eine Person ausdrücklich die Löschung Ihrer Daten wünscht, müssen sämtliche Daten gelöscht werden und es sollte darauf hingewiesen werden, dass die Person gegebenenfalls wieder Werbung erhalten kann.

Diese Ansicht der DSK überrascht zunächst, erscheint nach einiger Überlegung aber denklogisch richtig. Die betroffene Person hat ein Recht auf Löschung und im Zweifelsfall muss diesem Anliegen auch nachgekommen werden. In Art. 17 DSGVO wird dies unmissverständlich festgelegt. Ein Problem tritt hauptsächlich deshalb auf, weil betroffene Personen bei der Formulierung ihrer Betroffenenrechte häufig nicht sauber unterscheiden zwischen „Löschen“ und „Sperren“ und ihnen in vielen Fällen die jeweiligen Konsequenzen nicht bewusst sind. Wir empfehlen daher regelmäßig, bei allen Anfragen, die nicht eindeutig formuliert sind, die zu Werbezwecken verwendeten Kontaktdaten zunächst lediglich in eine Sperrliste einzutragen, der betroffenen Person die Unterschiede und Folgen von „Löschen“ und „Sperren“ zu erläutern und anzubieten, dass selbstverständlich auch eine Löschung möglich ist, sofern die betroffene Person dies möchte.

Fazit

Die Orientierungshilfe Direktwerbung hat einige Aspekte der vorherigen Orientierungshilfe übernommen, jedoch wurden auch einige Anforderungen, insbesondere hinsichtlich der Direktwerbung, strenger formuliert als zuvor. Dies bezieht sich im Wesentlichen auf das Thema der Interessenabwägung und die Transparenzanforderung sowie die Umsetzung des Widerrufs bzw. des Widerspruchs. Wir empfehlen, anhand der bestehenden Anforderungen, zu prüfen, ob die Prozesse, so wie Sie im Unternehmen aktuell umgesetzt sind, datenschutzkonform sind. Ist dies nicht der Fall, besteht Handlungsbedarf.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.