Direktmarketing stellt heutzutage eines der wichtigsten Kommunikationsinstrumente eines Unternehmens dar, wenn es darum geht, bestehende oder potenzielle Kunden gezielt anzusprechen. Allerdings müssen je nach Vertriebskanal unterschiedliche gesetzliche Regelungen beachtet werden. Unter Werbung ist grundsätzlich jede Äußerung zu verstehen, die im Rahmen der geschäftlichen Tätigkeit mit dem Ziel erfolgt, den Warenabsatz oder die Erbringung von Dienst- oder Werkleistungen zu fördern. Somit fallen auch Zufriedenheitsnachfragen beim Kunden, ebenso wie Geburtstags- oder Weihnachtsgrüße unter den weit gefassten Begriff von Werbung. Direktwerbung kennzeichnet sich dadurch aus, dass es zu einer unmittelbaren Kontaktaufnahme mit dem bestehenden oder potenziellen Kunden kommt. Diese erfolgt klassischerweise postalisch, per E-Mail, Telefon oder Fax.
Keine expliziten Regelungen zu Werbung in der DSGVO
In der Datenschutzgrundverordnung finden sich keine detaillierten Bestimmungen, die Direktmarketingmaßnahmen regeln. Da es zur Durchführung von Direktwerbung einer Verarbeitung personenbezogener Daten der Zielperson bedarf, gilt es auch rechtliche Vorgaben der DSGVO zu beachten. Ob die Datenverarbeitung für Zwecke der Direktwerbung im konkreten Fall zulässig ist, lässt sich insoweit entweder auf Grundlage einer wirksam erteilten transparenten Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO oder anhand einer Interessenabwägung im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO beurteilen. Dass eine Verarbeitung personenbezogener Daten, die einem berechtigten Interesse des Werbenden dient, bei Direktwerbung grundsätzlich als Rechtsgrundlage in Betracht kommt, kann Erwägungsgrund 47 DSGVO entnommen werden.
Interessenabwägung im konkreten Einzelfall
Gemäß der DSGVO muss die Abwägung konkret für den Einzelfall vorgenommen werden. Dabei sind die Interessen des Verantwortlichen bzw. eines Dritten gegen die Interessen der betroffenen Person abzuwägen. Dafür genügt es nicht auf abstrakte oder vergleichbare Sachverhalte abzustellen, ohne die jeweiligen Besonderheiten des konkreten Einzelfalls, d.h. des konkreten Werbevorhabens, zu berücksichtigen.
Zudem muss die Verarbeitung personenbezogener Daten für die Wahrung der berechtigten Interessen des werbenden Verantwortlichen erforderlich sein.
Auch die vernünftigen subjektiven Erwartungen der von der Werbung betroffenen Person im Hinblick auf die Beziehung zum werbenden Verantwortlichen sind bei der Interessenabwägung zu berücksichtigen.
In objektiver Hinsicht ist laut der DSK (Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) darüber hinaus entscheidend, ob die Datenverarbeitung zu Direktwerbezwecken im Bereich der Sozialsphäre, die von zwischenmenschlicher sozialer Interaktion geprägt ist, als angemessen akzeptiert wird oder nicht.
Ein Überwiegen der Interessen und Grundrechte der betroffenen Person gegenüber dem Interesse des Verantwortlichen an der Durchführung von Werbemaßnahmen kommt regelmäßig dann in Betracht, wenn diese vernünftigerweise mit keiner weiteren Verarbeitung ihrer personenbezogenen Daten, insbesondere zu Werbezwecken, rechnen muss. Daran vermag der Verantwortliche nichts zu ändern, indem er diese negative Erwartungshaltung im Zuge der Erfüllung der Informationspflichten im Sinne der DSGVO (Art. 13 und 14 DSGVO) durch entsprechende Ankündigung einer Datenverarbeitung zu Werbezwecken beseitigt. Auch die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO sind für die Interessenabwägung heranzuziehen. Danach ist in der Interessenabwägung zu berücksichtigen, ob die Verarbeitung personenbezogener Daten des Betroffenen in rechtmäßiger Weise, zu einem angemessenen Zweck und in einer für die betroffene Person nachvollziehbaren Weise erfolgt.
Postalische Direktwerbung nach Kundenkontakt
Sendet der/die Verantwortliche nach Abschluss eines Kauf- oder Dienstleistungsvertrages, ohne zu selektieren, allen Kunden postalisch einen Werbekatalog oder ein Werbeschreiben zu, um weitere Produkte oder Dienstleistungen zu bewerben, kann in der Regel nicht von einem Überwiegen schutzwürdiger Interessen der betroffenen Personen ausgegangen werden.
Wird im Vorfeld eine Selektion vorgenommen, um beispielsweise Kunden anhand ihres Wohnortes in Werbegruppen einzuteilen und findet darüber hinaus kein Erkenntnisgewinn durch Individualisierung der Zielpersonen (sog. Profiling) statt, kann in der Regel angenommen werden, dass eine Interessenabwägung zugunsten des Verantwortlichen ausfallen wird.
Unzulässige profilbasierte Direktwerbung
Werden automatisierte Selektionsverfahren angewendet, um detaillierte Verhaltensprofile und -analysen der Zielperson zu erstellen, die einen zusätzlichen Erkenntnisgewinn ermöglichen, handelt es sich um sog. Profiling, das nicht mehr auf berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann, sodass von einem überwiegendem Interesse des Betroffenen am Ausschluss von einer solch weitreichenden Datenverarbeitung auszugehen ist. In einem solchen Fall würde nur eine ausdrückliche Einwilligung der betroffenen Person als Rechtsgrundlage infrage kommen. Ein einfacher Verweis des Verantwortlichen auf die Möglichkeit des Widerspruchs (Art. 21 DSGVO) gegen die weitere Datenverarbeitung reicht nicht aus. Zu einem Überwiegen der schutzwürdigen Betroffeneninteressen führt auch die Erstellung von Profilen mithilfe von externen Datenquellen, wie beispielsweise Informationen aus Social-Media-Netzwerken, um diese im Anschluss für die Durchführung von Direktwerbung zu nutzen.
Berücksichtigung von Wettbewerbsrecht
Auch das Gesetz gegen den unlauteren Wettbewerb (UWG) spielt eine große Rolle bei der Beurteilung, ob und unter welchen Voraussetzungen Direktwerbung zulässig ist. Daher sind im Rahmen der datenschutzrechtlichen Bewertung einer Datenverarbeitung i.S.d. DSGVO für Zwecke der Direktwerbung auch die in den Schutzvorschriften des Wettbewerbsrechts enthaltenen Wertungen für die jeweils entsprechende Werbeform (Telefon, E-Mail, Fax etc.) zu berücksichtigen. Grund dafür ist, dass eine Verarbeitung personenbezogener Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO nur zulässig ist, wenn das Interesse oder die Grundrechte und Grundfreiheiten der beworbenen Person nicht überwiegen. In welchen Fällen von einer unzumutbaren Belästigung der betroffenen Person auszugehen und eine Werbemaßnahme dieser Art unzulässig ist, regelt § 7 UWG. Ist danach ein bestimmter Kontaktweg zu der beworbenen Person nicht gestattet, kann schon gar kein berechtigtes Interesse des werbenden Verantwortlichen vorliegen.
E-Mail-Werbung gegenüber Bestandskunden
Hat der Verantwortliche eine E-Mail-Adresse im Rahmen einer vertraglichen Beziehung unmittelbar von der betroffenen Person erhalten und verwendet er diese Adresse für Zwecke der Direktwerbung für eigene ähnliche Waren oder Dienstleistungen, so überwiegen die schutzwürdigen Interessen der betroffenen Person dann nicht, wenn sie dieser Verwendung nicht widersprochen hat und bei jeder Verwendung über ihr Widerspruchsrecht informiert wird (§ 7 Abs. 3 UWG). Liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor, kann die Nutzung von E-Mail-Adressen zu Werbezwecken nur auf Grundlage einer Einwilligung erfolgen. Da § 7 UWG neben Art. 6 DSGVO Anwendung findet, ist eine wettbewerbsrechtliche Einwilligung nach § 7 UWG stets an den Regelungen der DSGVO zu messen. Die betroffene Person muss bereits bei der Erhebung der E-Mail-Adresse gem. Art. 13 Abs. 1 lit. c) DSGVO transparent darüber informiert worden sein, dass die Datenerhebung unter anderem zum Zwecke der E-Mail-Werbung erfolgt. Gemäß Art. 5 Abs. 2 DSGVO muss der Verantwortliche unter Umständen nachweisen können, dass es sich bei der E-Mail-Adresse, die er für Werbe-Mails verwendet hat, um eine E-Mail-Adresse eines Bestandskunden handelt.
Telefon- und E-Mail-Werbung gegenüber Verbrauchern
Gegenstand von Beschwerden, die im Zusammenhang mit Direktwerbung stehen, gehen in den meisten Fällen von telefonisch oder E-Mail-gestützten Marketingmaßnahmen aus, denen kein geschäftlicher Kontakt zwischen Verantwortlichem und der von der Werbebotschaft betroffenen Person vorausgeht. Aufgrund des stark belästigenden Charakters kann ein solches Vorgehen nicht auf berechtigtes Interesse des werbenden Unternehmens nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden, da das schutzwürdige Interesse der betroffenen Person aufgrund der besonderen Auswirkungen dieser Werbeart die Interessen des werbenden Unternehmens überwiegt. Insoweit wird die datenschutzrechtliche Zulässigkeit der Werbemaßnahme durch den wettbewerbsrechtlichen Vorbehalt aus Art. 7 Abs. 2 oder 3 UWG determiniert, sodass im Vorfeld eine wirksame Einwilligung des Werbeadressaten eingeholt werden und in angemessener Form dokumentiert werden muss. Der Nachweis ist ab dem Zeitpunkt der Einwilligungserteilung sowie nach jeder erneuten Verwendung der Einwilligung fünf Jahre lang aufzubewahren.
Telefon- und E-Mail-Werbung gegenüber Geschäftsleuten
Im Gegensatz zur Datenschutzgrundverordnung unterscheidet das Wettbewerbsrecht in bestimmten Fällen zwischen Unternehmer und Verbraucher.
Zwar besteht auch im B2B-Bereich das Einwilligungserfordernis nach § 7 Abs. 2 Nr. 2 UWG (z.B. für eine Verarbeitung personenbezogener Daten von Newsletter-Abonnenten oder einer Kontaktdatenspeicherung von Geschäftskunden). Allerdings geht man hier nicht von vornherein von einem Überwiegen schutzwürdiger Interessen des beworbenen Unternehmers nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO aus.
Änderung des Zwecks der Datenverarbeitung
Vorsicht sei geboten, wenn Daten, die ursprünglich nicht (auch) zu Werbezwecken erhoben wurden, zukünftig für solche verwendet werden sollen. Sofern keine Einwilligung in die zweckändernde Datennutzung vorliegt, muss der Verantwortliche einen sog. Kompatibilitätstest durchführen, der den Anforderungen des Art. 6 Abs. 4 DSGVO entsprechen muss. Dieser soll Aufschluss darüber geben, ob die Verarbeitung der Daten zu Werbezwecken mit der ursprünglichen Zweckbestimmung kompatibel ist.
Informationspflichten
Zeitpunkt der Informationserteilung: Datenerhebung unmittelbar bei der betroffenen Person
Für den Zeitpunkt der Erteilung der Pflichtinformationen kommt es darauf an, ob die personenbezogenen Daten unmittelbar bei der betroffenen Person erhoben werden. Werden vom Verantwortlichen personenbezogene Daten, beispielsweise im Rahmen des Abschlusses eines Kauf- oder Werkvertrages, unmittelbar bei der betroffenen Person erhoben und hat der Verantwortliche bereits in diesem Zeitpunkt die Absicht, diese Daten für eine geplante oder in Betracht kommende Verarbeitung für Direktwerbezwecke zu verwenden, ist die betroffene Person gem. Art. 13 Abs. 1 und Abs. 2 DSGVO bereits in diesem konkreten Zeitpunkt transparent darüber zu informieren. Möchte der Verantwortliche erst nachträglich die bereits erhobenen personenbezogenen Daten für Zwecke der Direktwerbung verwenden, so ist er gem. Art. 13 Abs. 3 DSGVO verpflichtet die Zielperson im Vorfeld darüber zu informieren.
Zeitpunkt der Informationserteilung: Erhebung personenbezogener Daten bei Dritten
Werden personenbezogene Daten nicht bei der betroffenen Person selbst erhoben und wird eine Datenverarbeitung zum Zwecke der Direktwerbung beabsichtigt, gilt es die Informationspflichten des Art. 14 Abs. 1 und Abs. 2 DSGVO zu beachten. Danach ist zwar keine unverzügliche Informationserteilung gefordert, jedoch sollte diese zum Zeitpunkt der ersten Kontaktaufnahme (Zusendung eines Werbeprospekts) bzw. spätestens aber innerhalb eines Monats nach Erhalt der personenbezogenen Daten stattgefunden haben.
Informationserteilung bei Werbezusendung
Soll die Informationserteilung im Zuge des ersten Werbekontakts erfolgen, müssen beide Komponenten eindeutig getrennt voneinander platziert werden, sodass die Pflichtinformationen deutlich herausgestellt sind.
Pflichtinformationen nach Art. 13 Abs. 1 und Abs. 2 DSGVO
Bei der Erhebung personenbezogener Daten sollten zwingend folgende Pflichtinformationen nach Art. 13 Abs. 1 und Abs. 2 DSGVO mitgeteilt werden:
- Name des Verantwortlichen, einschließlich der Kontaktdaten (konkrete juristische Person bzw. Firma mit ladungsfähiger Anschrift sowie E-Mail-Adresse)
- Kontaktdaten des betrieblichen Datenschutzbeauftragten (falls vorhanden)
- Zwecke der Verarbeitung personenbezogener Daten und jeweilige Rechtsgrundlage
- Angabe des berechtigten Interesses, wenn die Verarbeitung darauf gestützt wird
- Empfängerkategorie oder Empfänger der personenbezogenen Daten
- Ggf. Absicht der Datenübermittlung in Drittstaaten oder internationale Organisationen und weitere nähere Informationen
- Speicherdauer der personenbezogenen Daten
- Widerrufsmöglichkeit einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)
- Betroffenenrechte (Auskunftsrecht nach Art. 15 DSGVO, Beschwerderecht gem. Art. 77 DSGVO, Widerspruchsrecht nach Art. 21 DSGVO, Informationen über das Bestehen einer Verpflichtung zur Bereitstellung und potenzielle Folgen der Nichtbereitstellung, Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling)
Werbewiderspruch, Art. 21 Abs. 2 – Abs. 4 DSGVO
Nicht zu vernachlässigen ist der Hinweis auf die Möglichkeit eines Werbewiderspruchs. Gem. Art. 21 Abs. 4 DSGVO müssen betroffene Personen in leicht verständlicher Form auf die Möglichkeit des Widerspruchs gegen eine Verarbeitung ihrer personenbezogenen Daten für Werbezwecke einschließlich eines potenziellen Profilings aufmerksam gemacht werden. Dabei muss die Information über die Widerspruchsmöglichkeit in einer von anderen Informationen getrennten Form erfolgen, sodass damit gerechnet werden kann, dass die betroffene Person von dem Hinweis auf das Werbewiderspruchsrecht tatsächlich Kenntnis erlangt. Dieses als umfassend zu verstehende Widerspruchsrecht bezieht sich nicht nur auf die weitere Durchführung von Werbemaßnahmen, sondern auch auf die Weitergabe der Adressdaten der betroffenen Person.
Datenerhebungen vor Wirksamwerden der DSGVO
Grundsätzlich stellen Art. 13 und 14 DSGVO ihrem Wortlaut nach lediglich auf Datenerhebungen ab, die erst nach dem Wirksamwerden der DSGVO am 25. Mai 2018 stattgefunden haben oder seit dem Zeitpunkt stattfinden. Jedoch müssen laut DSK auch Bestandskunden, deren Daten vor dem Wirksamwerden der DSGVO erhoben wurden, entsprechend Art. 13 Abs. 1 und Abs. 2 oder Art. 14 DSGVO bei zukünftigen Kontakten umfassend darüber informiert werden, wenn von ihnen ggf. weitere personenbezogenen Daten neu erhoben werden, Änderungen im Datenbestand stattfinden oder im Hinblick auf vorhandene Daten eine Änderung des Verarbeitungszwecks erfolgen soll. Kommt es zu einer Änderung des Verarbeitungszwecks, sind sie gem. Art. 13 Abs. 3 oder Art. 14 Abs. 4 DSGVO auch darüber im Vorfeld der Weiterverarbeitung umfassend zu informieren.
Aktualisierung und Erweiterung der Informationen gegenüber Bestandskunden
Über die Informationspflichten der Art. 13 und 14 DSGVO hinaus, ist der Verantwortliche zur transparenten Datenverarbeitung gemäß Art. 5 Abs. 1 lit. a) DSGVO verpflichtet. Dies erfordert unter anderem auch eine regelmäßige Aktualisierung und Erweiterung der Pflichtinformationen gegenüber Bestandskunden entsprechend den Vorgaben der DSGVO. Eine solche kann bereits mithilfe einer Veröffentlichung auf der Website des Unternehmens vorgenommen werden. Dies trägt nicht nur zur Erleichterung von Informationspflichten im Streitfall bei, sondern kann auch zur Reduzierung des Risikos von Schadenersatzansprüchen und Bußgeldern beitragen.
