Datenschutznovelle zwingt Unternehmen zur Überprüfung ihres Permission Marketings
Die Zustimmung des Empfängers für den Erhalt von Werbung per E-Mail ist eine der zentralen Voraussetzungen im Permission Marketing. Doch sowohl im B2C- wie auch im B2B-Bereich unterliegt eben diese Zustimmung rechtlichen Formalien und der Notwendigkeit eines Nachweises.
Eigentlich ein einfaches Prinzip. Doch in der Realität herrschen oft Unwissenheit und Gedankenlosigkeit. Mit rechtlichen wie wirtschaftlichen Folgen. Denn abgesehen von juristischen Konsequenzen im Einzelfall ist hierdurch die künftige Nutzung bestehender Adressbestände und damit auch ein erheblicher Unternehmenswert in Gefahr. Trotzdem sind die Datenschutzbelehrungen sowie die Erhebung und Speicherung von Datennutzungserklärungen im Permission Marketing in vielen Unternehmen noch unzureichend. So ist nach einer Befragung des E-CRM Anbieters artegic jedem zweiten E-Mail Marketing betreibenden Unternehmen in der Industrie unklar, ob die Zustimmungen zum Permission Marketing rechtssicher eingeholt und gespeichert werden.
Auch Burkhard Danckert, Rechtsanwalt der Kanzlei LDM Lehner, Dänekamp & Mayer sieht die Probleme in der Praxis: „Es zeigt sich immer wieder, dass Datenschutz in deutschen Unternehmen nur wenig Beachtung findet. Typisch war in der Vergangenheit, dass den betroffenen Unternehmen oft nicht klar war, dass die rechtmäßige Nutzung von personenbezogenen Daten regelmäßig einer schriftlichen Einwilligung der Betroffenen bedurfte. Ohne eine solche Einwilligung ist und bleibt die Verwendung personenbezogener Daten aber grundsätzlich verboten. Und durch die Datenschutznovellen I (Scoring) und II (Datenhandel) wurde der Einwilligungsvorbehalt jetzt nochmals verschärft. Die nun zunehmend öffentlich geführte Diskussion über Datenschutz sollte die Unternehmen für das Thema sensibilisieren und ihnen die Chancen verdeutlichen, die in einer für den Kunden vertrauenswürdigen und transparenten Umsetzung der Datenschutzvorschriften liegen.
Öffentliche Diskussion und wirtschaftliche Risiken bringen Unternehmen nun also zweifach in die Pflicht, das Thema Datenschutz aufzuarbeiten. "Datenschutz gibt es nicht erst seit den aktuellen Novellen. Tatsächlich wird vielen Unternehmen erst jetzt bewusst, dass dieses Thema auch einer konkreten Umsetzung im eigenen Hause bedarf", resümiert Stefan von Lieven, CEO des E-CRM Anbieters artegic die Situation.
Eine Aufgabe ist dabei die Frage der Nachweisbarkeit der Zustimmung. Denn auch wenn im Permission Marketing per E-Mail das Double Opt-In Verfahren angewendet wird, so können viele Unternehmen nur einen Zeitpunkt oder eine Quelle angeben - jedoch keine konkreten Daten zur Zustimmung selbst. Beispielsweise welcher Version einer Datenschutzbelehrung zugestimmt wurde oder welche Information im Rahmen des Abonnements angegeben wurden.
Die Schwierigkeit für viele Unternehmen sieht Danckert darin, dass es keine gesetzlich normierten Vorschriften hierfür gibt: „Das erschwert die Situation für E-Mail-Werbende erheblich und führt so lange zu flächendeckender Rechtsunsicherheit. Vor dem Hintergrund, dass die Rechtssicherheit durch Beweisbarkeit erlangt wird, sollte jedoch mindestens die E-Mail-Adresse des Empfängers, die eigene E-Mail mit dem Bestätigungslink an den Kunden und vor allem die Bestätigungs-E-Mail des Kunden einschließlich dessen IP-Adresse und Host gespeichert werden. Auch eine Speicherung des aktivierten Bestätigungslink kann ausreichend sein, sofern eine Verbindung zum Kunden ohne weitere Informationen erkennbar ist.“
Das Konstrukt „Kunden-Verbindung“ und die damit vermuteten Ausnahmen sind ein weiteres Feld für wilde Spekulationen über die rechtlichen Tatsachen. Dabei kommen neben datenschutzrechtlichen Vorschriften auch wettbewerbsrechtliche Regeln ins Spiel: „Bei Bestandskunden (B2C und B2B) ist ausnahmsweise eine Bewerbung eigener Angebote auch ohne Einwilligung erlaubt, sofern die Daten im Zusammenhang mit Begründung oder Durchführung der Kundenbeziehung erlangt wurden und der Kunde der Zusendung von E-Mails nicht widerspricht“, so Danckert. „Das neue Datenschutzrecht enthält ein so genanntes Listenprivileg, nach welchem Werbung sowohl im Hinblick auf die berufliche Tätigkeit des Betroffenen als auch für eigene Angebote der verantwortlichen Stelle erlaubt ist. Letzteres aber nur dann, wenn die Daten beispielsweise aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden. Unbedingt zu beachten ist, dass im Bereich B2B (ohne Einbeziehung der Bestandskunden) Werbung im Hinblick auf die berufliche Tätigkeit nach dem Datenschutzgesetz zwar erlaubt, genau dieselbe E-Mail-Werbung in der Regel nach den wettbewerbsrechtlichen Vorschriften aber unzulässig ist. Nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ist wie schon bei Bestandskunden die E-Mail-Werbung ohne Einwilligung nur in Ausnahmefällen zulässig. Und bei Nicht-Bestandskunden ist die E-Mail-Werbung ohne explizite Einwilligung generell unzulässig.“
Ein zentrales Thema für die richtige Einholung von Einwilligungen sind juristisch korrekte Datenschutzbelehrungen. Doch hier werden oftmals nur Vorlagen von Dritten übernommen ohne eine Prüfung für die Eignung im eigenen Kontext. „Ich schätze, dass über 90 % der Datenschutzbelehrungen fehlerhaft sind“, resümiert Danckert und erläutert was in einer Datenschutzbelehrung mindestens stehen muss: „Die verpflichtenden Angaben ergeben sich aus § 13 Telemediengesetz (TMG). Danach hat der Unternehmer in der Datenschutzbelehrung über Art, Umfang und Zweck der Erhebung sowie über die Verwendung personenbezogener Daten und die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten. Welche Angaben konkret zu machen sind, hängt immer auch vom konkreten Angebot des Unternehmens ab. Als Leitgedanke gilt, dass der Nutzer mit der Belehrung unmissverständlich in Kenntnis gesetzt wird, was mit seinen Daten passiert. Bei Newslettern ist der Kunde somit z.B. auch über die Häufigkeit der Versendung des Newsletter aufzuklären. Weiter ist der Nutzer unbedingt auf die Widerrufsmöglichkeit hinzuweisen, sofern er eine Einwilligung zur Datenverwendung gegeben hat. Dieser Hinweis muss selbstverständlich auch beim E-Mail-Abonnement gegeben werden. Es muss in diesem Zusammenhang dann auch dargestellt werden, wie das Widerrufsrecht ausgeübt werden kann.“
Datennutzung durch analytische Profilierung des Nutzerverhaltens, beispielsweise das personengenaue Speichern von Öffnungen und Klicks stellt Marketer dabei vor besondere rechtliche Aufgaben. Denn auch wenn Nutzerprofilierung einer der Schlüssel zu besserem Targeting ist, so bleibt das Sammeln von Verhaltensdaten in Deutschland gesetzlich eingeschränkt. Was man berücksichtigen muss, erläutert Rechtsanwalt Danckert: „Aus rechtlicher Sicht ist es unerlässlich, eine Einwilligung des Betroffenen vorliegen zu haben, wenn Nutzungsdaten personenbezogen verarbeitet und genutzt werden sollen. Eine rechtlich wirksame Einwilligung hinsichtlich der Nutzung verhaltensbezogener Daten liegt nur dann vor, wenn der Betroffene in einem eigenen Hinweis explizit und in drucktechnisch deutlicher Form auf die Art, den Umfang und Zweck der Datenerhebung, -verarbeitung und nutzung aufgeklärt wurde und er der Erhebung, Verarbeitung und Nutzung separat zugestimmt hat. Rechtlich nicht ausreichend ist ein versteckter Hinweis in einer anderweitig erlangten Nutzungserlaubnis.“
Es bedarf also z.B. im Kontext eines Anmeldeformulars für einen E-Mail-Newsletter einer separaten (zweiten) Checkbox, die neben dem Abonnement selbst auch die Zustimmung zur personenbezogenen Profilierung einholt. „Hier besteht aber noch großer Bedarf, Aufklärungsarbeit zu leisten und Vertrauen beim Kunden zu generieren. Denn der Betroffene muss davon überzeugt werden, dass die Einwilligung für ihn von Vorteil ist und seine Interessen nachhaltig geschützt sind. Nur dann wird er seine Skepsis gegenüber der Nutzerprofilierung zugunsten von konkret auf ihn zugeschnittenen Newslettern und Werbe-E-Mails aufgeben.“
Viel zu tun und viel zu berücksichtigen also für das E-Mail Marketing. Zumal das neue Datenschutzrecht in der verabschiedeten Fassung widersprüchlich ist und Nachbesserungen seitens des Gesetzgebers erfordert. „Den Unternehmen ist also zu raten, den rechtlich möglichst sichersten Weg einzuschlagen. Um dies zu gewährleisten, wird regelmäßig eine eingehende rechtliche Beratung unerlässlich sein, um die rechtlichen und damit auch die wirtschaftlichen Risiken von Unternehmen einzugrenzen.“, resümiert Danckert.
An dieser Stelle sei auch auf die aktualisierte ECO Checkliste für zulässiges E-Mail Marketing hingewiesen, die nun in einer dritten Überarbeitung erschienen ist und hier heruntergeladen werden kann.
Eine Übersicht der Änderungen im Rahmen der Datenschutznovellen I und II hat der DDV aufbereitet und kommentiert. Das Dokument hakk hier heruntergeladen werden.
Rechtsanwalt Burkhard Danckert ist seit dem Jahr 2006 in der Rechtsanwaltssozietät LDM Lehner, Dänekamp & Mayer mit den Schwerpunkten Recht der neuen Medien, Wettbewerbsrecht und Gesellschaftsrecht tätig. Die Rechtsanwaltssozietät mit Büros in Heidelberg, Düsseldorf und Hamburg wurde 1975 gegründet und verfügt über langjährige Erfahrung im Zusammenhang mit der Beratung und Vertretung nationaler und internationaler Unternehmen im Bereich IT- und TK-Recht. Im Jahr 2008 benannte das e commerce Magazin die Sozietät als eine der wichtigsten IT-Kanzleien Deutschlands.
