IPT Germany

DSK zum Thema der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung

By /

Von Verena Grentzenberg, Jan Spittka, Katharina Pauls und Salome Peters

Die Datenschutzkonferenz (DSK), das Koordinationsgremium der deutschen Datenschutzbehörden, hat eine neue Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der DSGVO veröffentlicht. In dieser wird unter anderem auf den Begriff der Werbung, die Zulässigkeit des Profiling und die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb (UWG) im Rahmen der datenschutzrechtlichen Interessenabwägung eingegangen. Außerdem enthält das Papier Ausführungen zu Informationspflichten und den Anforderungen an Einwilligungen im Zusammenhang mit Werbung.

English Summary:

The Data Protection Conference (DSK), the coordination group of the German data protection authorities, has published a new guideline on the processing of personal data for direct marketing purposes under the GDPR. Among other things the guideline deals with the definition of advertising, the lawfulness of profiling and the applicability of the German Act against Unfair Competition (UWG) in the context of a balancing test under data protection law. Additionally the paper contains guidance on information obligations and the conditions for consent in the context of marketing.

Begriff der Werbung

Zunächst befasst sich die DSK in ihrer Orientierungshilfe mit dem Begriff der Werbung. Zur Auslegung dieses Begriffs zieht sie Art. 2 lit. a der EU-Richtlinie 2006/114/EG (über irreführende und vergleichende Werbung) heran. Darin wird Werbung definiert als “jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern”. Die DSK stellt weiterhin fest, dass dieser weite Begriff der Werbung auch von Gerichten angewandt werde (wobei unklar bleibt, auf welche Entscheidungen sich die DSK hier konkret bezieht). Demzufolge, so die DSK, stellten z.B. auch Zufriedenheitsnachfragen bei Kunden nach einem Geschäftsabschluss, Geburtstags- und Weihnachtsmailings Werbung dar.

Werbung im Sinne der DSGVO ist nach dem Verständnis der DSK darüber hinaus auch die Kontaktaufnahme durch Parteien, Verbände und Vereine oder karitative und soziale Organisationen, um ihre Ziele bekanntzugeben oder zu fördern.

Datenschutzrechtliche Zulässigkeit der Direktwerbung

Die DSGVO enthält im Gegensatz zum alten BDSG keine Detailregelung zur Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung mehr. Die DSK bewertet die Zulässigkeit der Verarbeitung von Daten für Werbezwecke daher nunmehr auf Basis der Interessenabwägung gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Für diese Abwägung im konkreten Einzelfall sei, so die DSK, entscheidend, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung “in bestimmten Bereichen (…) typischerweise akzeptiert oder abgelehnt” werde. Die DSK benennt dann einige Praxisfälle, die Grobkategorien für die Abwägung aufzeigen sollen. So sollen zum Beispiel schutzwürdige Interessen grundsätzlich nicht überwiegen, wenn Kunden postalisch ein Werbekatalog zugesandt wird (entweder ohne Selektion oder mit Selektion anhand einer bloßen Einteilung der Kunden in Werbegruppen).

Die Übermittlung von Daten an Dritte für Werbezwecke oder die Nutzung von Daten für Fremdwerbung sind nach Auffassung der DSK nicht per se unzulässig. Wie nach altem Recht erwartet die DSK in diesen Fällen allerdings, dass der Verantwortliche im Sinne der DSGVO und das werbende Unternehmen (sowie bei Übermittlungen an Dritte: die Quelle der Daten) aus der Werbung eindeutig hervorgehen. Dabei müsse der Verantwortliche mit ladungsfähiger Anschrift und einschließlich einer E-Mail-Adresse benannt werden.

Zulässigkeit des Profiling

In den Praxisfällen geht die DSK insbesondere auf die Zulässigkeit des sogenannten Profiling ein. Unter Profiling versteht die DSK unter anderem automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensanalysen und -prognosen, die zu mehr Erkenntnissen führen als zu einer bloßen Einteilung in Werbegruppen. Eingriffsintensives Profiling kann nach Auffassung der Datenschutzbehörden nicht mehr auf Art. 6 Abs. 1 Satz 1 lit. f DSGVO gestützt werden, da das Interesse der betroffenen Personen am Ausschluss der Datenverarbeitung hier überwiege. In diesen Fällen müsse stattdessen vorab eine Einwilligung der betroffenen Personen eingeholt werden.

Verhältnis von DSGVO und UWG

Für die Beurteilung der datenschutzrechtlichen Zulässigkeit der Direktwerbung zieht die DSK darüber hinaus die Wertungen des Wettbewerbsrechts, konkret des Gesetzes gegen unlauteren Wettbewerb (UWG), heran. § 7 UWG regelt, wann die Kontaktaufnahme zum Zweck der Direktwerbung eine unzumutbare Belästigung darstellt. Ist ein Kontaktweg durch das UWG versperrt, sei auch die mit der – dann unzulässigen – Kontaktaufnahme verbundene Datenverarbeitung nicht mehr auf Basis einer Interessenabwägung möglich. Werden für den unzulässigen Kontakt personenbezogene Daten verwendet, liege damit gleichzeitig ein – bußgeldbewehrter – DSGVO-Verstoß vor.

Auch die DSK anerkennt allerdings, dass im Rahmen der Ausnahme für Bestandskunden (nach § 7 Abs. 3 UWG) E-Mail Werbung auch ohne Einwilligung möglich sein kann. In solchen Fällen soll dann die damit einhergehende Datenverarbeitung auf Basis der Interessenabwägung und damit ebenfalls ohne Einwilligung zulässig sein

Zweckänderung

Wenn personenbezogene Daten nicht bereits auch zu Zwecken der Werbung erhoben wurden, erwartet die DSK, dass die Vorgaben für Zweckänderungen nach Art. 6 Abs. 4 DSGVO eingehalten werden: In einem sogenannten Kompatibilitätstest muss geprüft werden, ob die Verwendung für Werbung noch mit den ursprünglichen Zwecken vereinbar ist. Kriterien für den Test liefert die DSK allerdings nicht.

Informationspflichten

Die DSK unterstützt den Vorschlag des Europäischen Datenschutzausschusses (EDSA, Nachfolger der Artikel 29-Datenschutzgruppe) für ein zweistufiges Informationsmodell, da rein praktisch nicht immer die Möglichkeit bestehe, der betroffenen Person alle Informationen vollständig zukommen zu lassen.

Folgende Informationspflichten aus Art. 13 Abs. 1 und 2 DSGVO müssen der Ansicht der DSK regelmäßig auf erster Stufe umgesetzt werden:

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlage in Schlagworten
  • Angabe des berechtigten Interesses, soweit die Verarbeitung darauf beruht
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • Übermittlung in Drittstaaten
  • Widerspruchsrecht nach Art. 21 DSGVO
  • Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 DSGVO

Damit weicht die DSK in doppelter Hinsicht von den Empfehlungen des EDSA ab: Einerseits erwartet sie, dass deutlich mehr Informationen auf der ersten Stufe mitgeteilt werden (wie z. B. Rechtsgrundlage, Empfänger, Übermittlung in Drittstaaten). Zum anderen verlangt sie – anders als der EDSA – nicht, dass die betroffenen Personen bereits auf der ersten Stufe über sämtliche Betroffenenrechte informiert werden. Vielmehr reicht ihr hier eine Information über das Widerspruchsrecht nach Art. 21 DSGVO aus. Verantwortliche, die nicht nur in Deutschland tätig sind, werden sich daher entscheiden müssen, wessen Empfehlungen sie folgen (oder versuchen, den Erwartungen von EDSA und DSK zu entsprechen).

Die DSK erwartet, dass betroffene Personen, deren Daten vor Wirksamwerden der DSGVO erhoben wurden und die daher noch nicht die Informationen nach Art. 13, 14 DSGVO erhalten haben, nachträglich informiert werden. Dabei geht die DSK interessanterweise nicht davon aus, dass dies bis zum Ablauf der Übergangsfrist zum 25. Mai 2018 hätte geschehen müssen. Vielmehr soll es offenbar ausreichen, wenn die neuen Informationspflichten “bei den künftigen Kontakten mit den betroffenen Personen … in angemessener Weise umgesetzt oder nachgereicht werden”.

Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung

Darüber hinaus befasst sich die DSK in ihrer Orientierungshilfe ausführlich mit den Anforderungen an eine wirksame Einwilligung in Datenverarbeitung. Hierbei äußert sich die DSK insbesondere zu den Informationen, die der betroffenen Person bei Abgabe einer Einwilligung zwingend vorliegen müssen, damit die Einwilligung „in informierter Weise“ erteilt werden kann. Hierzu zählt sie – im Einklang mit der Rechtsprechung – insbesondere Angaben zum Kontaktweg (E-Mail, Fax, Telefon), zum Werbegenstand (Produkte und Dienstleistungen) sowie zu den werbeberechtigten Unternehmen.

Des Weiteren rät die DSK Verantwortlichen dazu, Einwilligungen regelmäßig in Schriftform mit handschriftlicher Unterschrift, mindestens jedoch in Textform (z.B. per E-Mail) einzuholen, um deren Vorliegen nachweisen zu können.

Wenig überraschend ist die Erwartung der DSK, dass Einwilligungen stets in einem gesonderten Text oder Textabschnitt einzuholen seien. Die „versteckte“ Einwilligung in einem Vertrag ist also nicht bloß in zivilrechtlicher, sondern auch in datenschutzrechtlicher Hinsicht unzulänglich.

Im Übrigen verweist die DSK auf anerkannte Prinzipien wie das Double-Opt-In-Verfahren für den Nachweis von E-Mail-Einwilligungen. Wie bereits die EDSA weist die DSK darauf hin, dass zur Dokumentation des Verfahrens die Speicherung der IP-Adresse nicht ausreiche. Vielmehr müssten der gesamte Opt-In Vorgang und der Inhalt der Einwilligung protokolliert werden.

Die DSK weist weiterhin darauf hin, dass der Gesetzgeber keine konkrete Frist bezüglich der Frage vorgesehen hat, wie lange Kontaktdaten nach dem letzten aktiven Direktwerbekontakt zu einer betroffenen Person noch verwendet werden dürfen, um diese für Werbezwecke zu reaktivieren. Die Rechtsprechung erkenne teilweise jedoch keine unbegrenzte Gültigkeit der einmal erteilten Einwilligung an. Insoweit verweist die DSK auf eine Entscheidung des Landgerichts München I, in der dieses eine vor 17 Monaten erteilte, aber bisher nicht genutzte Einwilligung zur E-Mail-Werbung, nicht mehr als rechtliche Grundlage für die Versendung von Werbe E-Mails anerkannt hatte. Diese Zeitspanne könne nach Auffassung der DSK daher im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als Orientierung herangezogen werden, wenn nach einer längeren Pause die Kontaktdaten der Person wieder für Werbezwecke verarbeitet werden sollen.

Insbesondere für Unternehmen im B2B-Bereich interessant sein dürfte, dass nach Ansicht der DSK Visitenkarten, die auf Messen oder sonstigen Veranstaltungen ausdrücklich zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme hinterlassen werden, eine wirksame Einwilligung darstellen können – vorausgesetzt, der Verantwortliche könne diese Einwilligung auch nachweisen.

Widerspruchsrecht gegen Direktmarketing

Die DSK erteilt darüber hinaus noch einige Hinweise zum Widerspruchsrecht nach Art. 21 DSGVO:

Personen, die einen Werbewiderspruch erheben, sollen z. B. darüber informiert werden, falls sie in eine Werbesperrdatei aufgenommen werden. Und betroffene Personen, die vollständige Löschung ihrer Daten verlangen, sollen darüber informiert werden, dass sie beim Ankauf von Fremddaten eventuell wieder Werbung erhalten werden. Wie bereits vor der DSGVO anerkennen die Datenschutzbehörden, dass es für Unternehmen unzumutbar sein kann, Werbewidersprüche umzusetzen, nachdem eine Werbeaktion bereits angelaufen ist. In diesem Fall empfehlen die Behörden aber, die betroffenen Personen hierüber unter Angabe eines möglichst genau bezeichneten und “kurzen” Zeitraums, in dem sie noch Werbung erhalten können, zu informieren.

Spezielle Sachverhalte

Die DSK hat sich darüber hinaus für einige spezielle Sachverhalte näher mit der Zulässigkeit der Datenverarbeitung auseinandersetzt, auf die hier nicht näher eingegangen werden soll:

  • Veröffentlichung von Kontaktdaten in Rufnummernverzeichnissen
  • Datenerhebung anlässlich von Preisausschreiben, Katalog-/Prospektanforderungen
  • Keine Verwendung der Daten aus dem Impressum für Werbezwecke
  • Vertragliche Informationen, die gleichzeitig auch werbliche Informationen enthalten (“Beipack-Werbung”)
  • Direktwerbung anhand von Dritten erlangten Postadressdaten (“Freundschaftswerbung”)
  • Empfehlungswerbung
Linkedin-in Twitter Facebook-f Instagram Youtube Weixin

© 2019 DLA Piper. DLA Piper is a global law firm operating through various separate and distinct legal entities. For further information about these entities and DLA Piper's structure, please refer to the Legal Notices page. All rights reserved. Attorney advertising.