Neue EU Datenschutzgrundverordnung (DSGVO)

EU Datenschutzgrundverordnung:Das neue europäische Datenschutzrecht und die Auswirkungen auf das E-Mail-Marketing

Europa bekommt ab Mai 2018 ein neues, in Teilen verschärftes Datenschutzrecht – die EU Datenschutzgrundverordnung (DSGVO). Mit Geltung der neuen Gesetzgebung werden die nationalen Datenschutzvorschriften größtenteils abgelöst.

Auch die Regelungen zur elektronischen Kommunikation sollen in einer ePrivacy-Verordnung ebenfalls europaweit vereinheitlicht werden. Das Thema Datenschutz ist häufig unbeliebt, aber allein aufgrund des neuen Sanktionsrahmens von bis zu 20 Millionen Euro Bußgeld, kommen Unternehmen nicht mehr drum herum, sich mit der neuen Gesetzgebung zu befassen.

Datenschutzbeauftragter und Rechtsanwalt David Oberbeck gibt Ihnen mit folgender Beitragsreihe einen ersten Überblick über die Bestimmungen, die für Sie in der Praxis relevant sind.

Datenschutzbeauftragter und Rechtsanwalt David Oberbeck

Teil 1:Grundlagen der neuen EU Datenschutzgrundverordnung

Ein wichtiger Grundsatz des Datenschutzrechts bleibt erhalten:Das Verbot mit Erlaubnisvorbehalt

Der bereits bekannte Grundsatz „personenbezogene Daten dürfen nur mit Einwilligung der Betroffenen oder aufgrund einer rechtlichen Erlaubnis verarbeitet werden“ bleibt auch in der DSGVO bestehen. Insbesondere die Digitalbranche hatte im Gesetzgebungsverfahren darauf hinzuwirken versucht, den Vorbehalt der Einwilligung durch alternative Erlaubnisregelungen aufzuweichen.

Datensicherheit für E-Mail-Marketing

Dies ist ihr jedoch nicht gelungen, weshalb auch zukünftig die Datenverarbeitung von Personen maßgeblich auf dem Einverständnis der Betroffenen beruhen wird.

Ob dies sowohl für Unternehmen wie auch Nutzer hilfreich ist, wird sich zeigen. Im Zeitalter von Tracking, Retargeting und personalisierten Nutzeraccounts, ist die Verarbeitung und Speicherung persönlicher Daten kaum aufzuhalten. Ob Nutzer mit seitenlangen Erklärungen hierbei den Überblick behalten, ist zumindest fraglich. Der Gesetzgeber fordert zudem, dass Einwilligungserklärungen in klarer und einfacher Sprache verfasst und von anderen Sachverhalten klar unterschieden werden. Wie das genau aussieht, wird in einem anderen Beitrag genauer erläutert. Auf die Praxis kommen in jedem Fall umfassende Änderungen bei der Gestaltung und der Abfrage von Datenschutzeinwilligungen zu.

Gesetzliche Ausnahmen

Außerhalb der Einwilligung wird es aber auch weiterhin gesetzliche Erlaubnisse geben, die eine Datenverarbeitung ohne Einwilligung rechtfertigen. Hierzu zählen beispielsweise die Verarbeitung zur Durchführung eines Vertrages, zur Erfüllung einer rechtlichen Verpflichtung und die Verarbeitung zur Wahrung berechtigter Interessen eines Unternehmens – sofern die Interessen und Grundrechte der betroffenen Nutzer nicht überwiegen.

Das Persönlichkeitsrecht der Nutzer wird im Zweifel aber weiterhin Vorrang haben, weshalb sich viele neue (und bereits vorhandene) Geschäftsmodelle nicht auf dieser Basis rechtfertigen lassen. So ist die Verarbeitung des Namens und der Adresse weiterhin erlaubt, wenn diese Informationen für den Versand von Waren benötigt werden. Dagegen wird sich das Nutzertracking zukünftig kaum ohne Einwilligung der Nutzer rechtfertigen lassen. In diesem Fall überwiegt in aller Regel das Persönlichkeitsrecht der Nutzer. Digitale Geschäftsmodelle müssen sich demnach gut überlegen, welche persönlichen Daten sie von Nutzern ohne deren ausdrückliches Einverständnis überhaupt noch verwenden dürfen.

Unternehmen werden auch als Software-Hersteller in die Pflicht genommen

In der EU Datenschutzgrundverordnung finden sich zwei wesentliche Neuerungen zum technischen Datenschutz:
vollste Sicherheit bei Firma und Software - AGNITASZum einen sind Verantwortliche zukünftig gefordert, datenschutzfreundliche Techniken einzusetzen („Privacy by Design“), zum anderen sind Produkte oder Dienstleistungen mit datenschutzfreundlichen Voreinstellungen anzubieten („Privacy by Default“).

Unternehmen müssen danach ihre Datenverarbeitung so gestalten, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Als Beispiel erwähnt die DSGVO dabei die Pseudonymisierung als mögliche Maßnahme zur Datenminimierung.

Grundsatz der Datenminimierung

Darüber hinaus sind Anbieter von Software gefordert, mithilfe technischer Voreinstellungen den Grundsatz der Datenminimierung zu beachten. Dies erstreckt sich auf die Menge der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit (durch Dritte). Bei Nichtbeachtung drohen empfindliche Bußgelder. Die neuen Regelungen zielen klar auf die Verarbeitungspraxis sozialer Netzwerke ab. Diese sind in Zukunft verpflichtet, im Rahmen ihrer Voreinstellungen den kleinstmöglichen Empfängerkreis zu wählen. Allerdings sind natürlich auch alle übrigen Unternehmensformen von den verschärften Regelungen betroffen.

Für die Praxis des E-Mail-Marketings bedeutet dies: Bei der Erhebung von Registrierungsdaten muss beispielsweise verstärkt darauf geachtet werden, ob diese Informationen für die Dienstleistung erforderlich sind. Darüber hinaus könnte der technische Datenschutz auch Einfluss auf das automatisierte Click-Tracking haben.

Informationen müssen maschinenlesbar übergeben werden könnenRecht auf Datenübertragbarkeit

Eine weitere Neuerung der DSGVO ist das „Recht auf Datenübertragbarkeit“. Betroffene haben danach zukünftig das Recht, die durch ein Unternehmen gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das bisherige Auskunftsrecht wird demnach um eine technische Komponente erweitert.

Durch die Regelung erhalten Nutzer zudem das Recht, ihre Daten auf einfachem Weg zu neuen Anbietern übermitteln zu lassen. Durch die Datenübertragung werden vor allem Cloud-Anbieter betroffen sein, die für Ihre Kunden Software-as-a-Service-Dienstleistungen anbieten. Auch Kunden von E-Mail-Marketing-Software könnten theoretisch in den Anwendungsbereich dieser Regelung fallen, wenngleich es recht unwahrscheinlich ist, dass einzelne Endnutzer ihre Anmeldedaten zu anderen Anbietern übertragen lassen werden.

Neue Informationspflichten:Datenschutzerklärungen müssen angepasst werden

Die EU Datenschutzgrundverordnung stärkt in besonderem Maße die Rechte von Nutzern. Diese sollen zu jedem Zeitpunkt genauen Einblick erhalten, welche sie betreffenden Daten in welcher Weise und zu welchem Zweck verwendet werden.rechtssicheres E-Mail-Marketing mit AGNITAS

Die DSGVO geht an dieser Stelle zum Teil deutlich über die bisherigen Regelungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) hinaus. Allerdings gibt es hier eine nationale Öffnungsklausel, die es dem deutschen Gesetzgeber erlaubt, eigene Vorschriften zu den Informationspflichten zu verfassen. Erste Entwürfe zu einem ergänzenden Datenschutzgesetz in Deutschland zeigen bereits, der deutsche Gesetzgeber legt die Öffnungsklausel zugunsten der Unternehmen aus. Es wird sich zeigen, welche konkreten Regelungen nach Beendigung des Gesetzgebungsverfahrens bestehen bleiben.

Anpassung der Datenschutzerklärungen erforderlich

In jedem Fall müssen die Datenschutzerklärungen auf Webseiten bis zum Stichtag entsprechend angepasst werden, was für alle Unternehmen mit Websites (und somit wahrscheinlich auch für ihr Unternehmen) relevant ist. So müssen zukünftig nach der DSGVO beispielsweise die Speicherfristen und die Gründe der Datenerhebung detaillierter benannt werden. Auch die Kontaktdaten des Datenschutzbeauftragten sind zwingend anzugeben.

Regelungen zur Dokumentation werden umfangreicher

NebeDatenschutzrichtlinien für E-Mail-Marketingn den neuen Informationspflichten für Betroffene, müssen Unternehmen zusätzlich eine Reihe von Dokumentationspflichten beachten. Das sogenannte „Verzeichnis von Verarbeitungstätigkeiten“ soll es Aufsichtsbehörden erleichtern, die Erfüllung sämtlicher Pflichten der EU Datenschutzgrundverordnung rückblickend zu kontrollieren.

Ganz neu ist dies aber nicht. Bereits nach dem BDSG müssen Unternehmen sogenannte Verfahrensverzeichnisse führen, die auf Anfrage einer Behörde und auch Betroffenen vorzulegen sind. Neu ist allerdings, dass zukünftig auch Auftragsdatenverarbeiter die Pflicht haben, die im Auftrag durchgeführte Datenverarbeitung entsprechend zu dokumentieren.

Umfangreiche Dokumentationspflichten

Neben dem Verzeichnis von Verarbeitungstätigkeiten müssen Unternehmen auch ihre technischen Sicherheitsvorkehrungen darlegen können. Welche konkreten Sicherheitsmaßnahmen angewendet werden müssen, ist abhängig vom Umfang der Datenverarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Verantwortliche müssen also vorweg eine Risikobewertung ihrer Datenverarbeitung vornehmen. In jedem Fall ist eine fehlende Dokumentation der Sicherheitsvorkehrungen zukünftig bußgeldbewährt. Dass dies richtig teuer werden kann, zeigen die neuen Sanktionsrechte der DSGVO.

Die neuen Sanktionen der DSGVO: Es kann sehr teuer werden!

Derzeit sind nach dem BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die neue europäische Gesetzgebung zum Datenschutz verschärft die bisherigen Sanktionen um ein Vielfaches. Diese erhöhen sich auf Auswirkungen zu mindern, wirken sich darauf aus. Durch den neuen Bußgeldrahmen ist aber davon auszugehen, dass sich in Zukunft Bußgelder nach oben orientieren werden. Neben Reputationsverlusten müssen Unternehmen bei Verstößen gegen das Datenschutzrecht den neuen, verschärften Sanktionsrahmen ständig im Auge behalten.

Bemessungsgrundlage für Sanktionen

Natürlich bekommt nicht jedes Unternehmen zukünftig das Maximalbußgeld aufgebrumpotentielle Strafen bei E-Mail-Marketingmt. Maßstab für die Bewertung sind spezielle Bemessungskriterien, die ebenfalls in der DSGVO festgehalten sind. Hierzu zählen beispielsweise Art, Schwere und Dauer des Verstoßes sowie Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind. Auch der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, wirken sich darauf aus. Durch den neuen Bußgeldrahmen ist aber davon auszugehen, dass sich in Zukunft Bußgelder nach oben orientieren werden. Neben Reputationsverlusten müssen Unternehmen bei Verstößen gegen das Datenschutzrecht den neuen, verschärften Sanktionsrahmen ständig im Auge behalten.

Teil 2:Datentransfer & Tracking in der Digitalbranche

Datenverarbeitung durch Dienstleister oder „in der Cloud“

Die Verarbeitung personenbezogener Daten in einem Unternehmen wird oftmals ganz oder zum Teil von Dritten, sogenannten Auftragsdatenverarbeitern, übernommen. Die Voraussetzungen für diese Zusammenarbeit werden sich nach der DSGVO in einigen Punkten zwar ändern, grundsätzlich bleibt die vertraglich vereinbarte Auslagerung der Datenverarbeitung aber erhalten. Der beauftragte Dienstleister ist auch nach den neuen Regelungen streng weisungsgebunden und darf daher die übermittelten Daten nicht für eigene Zwecke weiterverarbeiten. Das beauftragende Unternehmen muss aus diesem Grund den Auftragsverarbeiter sorgfältig auswählen und kontrollieren.

Vor Beginn der Datenverarbeitung müssen alle Rechte und Pflichten in einem Vertrag vereinbart werden. Erst im Anschluss darf die Auftragsverarbeitung beginnen. In erster Linie ist das Unternehmen, welches die Daten überträgt, für die Einhaltung der gesetzlichen Vorschriften zur Auftragsverarbeitung verantwortlich. Werden die Anforderungen an die Auftragsverarbeitung nicht eingehalten, drohen zukünftig Bußgelder von bis zu 10 Millionen Euro.

Richtlinien für DatentransferDaneben werden zukünftig aber auch die verarbeitenden Dienstleister mehr in die Pflicht genommen. War bis dato die Verantwortlichkeit allein beim übermittelnden Unternehmen, soll nach der EU Datenschutzgrundverordnung nunmehr auch der Auftragsverarbeiter mitverantwortlich sein.

Auf diese Weise erhofft sich der Gesetzgeber, eine bessere Einhaltung der gesetzlichen Regelungen. Da nach der DSGVO neue formelle Pflichten auf die Auftragsverarbeiter zukommen, müssen bestehende Vertragsdokumente angepasst werden. Unternehmen, die ihre Daten durch Dienstleister speichern oder verarbeiten lassen, sollten sich daher darauf einstellen, dass sie mit neuen Verträgen konfrontiert werden. Erste Vertragsentwürfe werden gerade von den Datenschutzverbänden erarbeitet. Ein großer Vorteil ist, dass Verträge ab Mai 2018 ausdrücklich elektronisch geschlossen werden dürfen. Das bisher strenge Schriftformerfordernis (eigenhändige Unterschrift) entfällt somit.

Fazit:

Das Instrument der Auftragsverarbeitung bleibt weitestgehend erhalten. Aufgrund einzelner Änderungen müssen zum Stichtag aber bestehende Vertragsverhältnisse geprüft und ggf. angepasst werden. Nachlässigkeiten sind zukünftig mit weitaus höheren Strafen bedroht.

Unternehmen sollten daher frühzeitig mit der Überprüfung ihrer Dienstleisterverträge beginnen. Hierzu zählen neben klassischen Lettershops auch alle Cloud-Anwendungen, die personenbezogene Daten im Auftrag speichern oder verarbeiten. Sofern Sie für den Versand von Newslettern einen Dienstleister bzw. eine Agentur einsetzen, ist auch dieses Vertragsverhältnis betroffen.

Internationaler Datentransfer:Was ist bei der Nutzung von US-Diensten zu beachten

Ob Google Drive, Dropbox oder Slack – gerade junge Unternehmen aus der Digitalbranche setzen verstärkt auf externe Dienstleister und machen sich wenig Gedanken um den dadurch betroffenen Datenschutz. Durch die Vorherrschaft US-amerikanischer Unternehmen, werden dabei schnell sensible Kundendaten außerhalb der EU verarbeitet. Welche Anforderungen hier zu beachten sind, ist ebenfalls in der DSGVO geregelt.

Anforderungen des internantionalen DatenaustauschsBeabsichtigt ein Unternehmen, personenbezogene Daten an Empfänger im Ausland zu übermitteln, ist zu unterscheiden:

  • Bei einer Datenübertragung zwischen EU-Mitgliedstaaten bzw. Mitgliedsstaaten des EWR sind lediglich die allgemeinen Rechtfertigungstatbestände gültig.
  • Im Falle einer Datenübermittlung in Drittstaaten (z.B. den USA) gelten zusätzliche Anforderungen. Hier unterscheiden sich die Regelungen der EU Datenschutzgrundverordnung allerdings nicht erheblich von der bisherigen Rechtslage.

Im Falle einer Datenübermittlung in Drittstaaten ist eine zweistufige Prüfung vorzunehmen. Zunächst muss, wie bei Datenübermittlungen im Inland bzw. EU-Ausland, ein Rechtfertigungsgrund der DSGVO greifen (etwa die Einwilligung des Betroffenen, überwiegendes berechtigtes Interesse des Unternehmens oder auch Vereinbarung einer Auftragsverarbeitung). Ist dies der Fall, muss in einem zweiten Schritt festgestellt werden, ob bei dem Drittstaat oder zumindest bei dem konkreten Empfänger ein angemessenes Datenschutzniveau vorliegt. Dieser zweite Schritt wird häufig nicht beachtet, was zur generellen Unzulässigkeit der Datenverarbeitung führen kann.

Für die Feststellung der Angemessenheit sieht die DSGVO eine Reihe verschiedener Instrumente vor. Für den Datentransfer in die USA kann noch auf EU-Standardvertragsklauseln und Zertifizierungen wie dem „Privacy Shield“ vertraut werden. Der europäische Gesetzgeber ist also weiterhin bestrebt, den internationalen Datentransfer zu ermöglichen. Allerdings sind diese Instrumente auch mit einem Risiko verbunden. Insbesondere das „Privacy Shield“ steht in der Kritik, was bedeutet, dass die Vereinbarung in naher Zukunft entweder durch den EUGH oder durch das EU-Parlament gekippt werden könnte. Auch die Absicherung mittels EU-Standardvertragsklauseln ist bisher nicht durch den EUGH bestätigt. Schaut man sich das Urteil zu „Safe Harbour“ an, ist auch bei den EU-Standardvertragsklauseln nicht auszuschließen, dass es den europäischen Datenschutzgesetzen nicht standhält.

Fazit:

Es lässt sich feststellen, dass der internationale Datentransfer auch nach den neuen Regelungen möglich, aufgrund der sich stetig wandelnden politischen Lage aber auch mit einem Risiko verbunden bleibt. Eine Nutzung von US-Diensten ist zudem nur dann erlaubt, wenn die grundsätzlichen Regelungen zur Datenverarbeitung in Verbindung mit dem Privacy Shield und / oder EU-Standardvertragsklauseln vollständig eingehalten werden. Nachlässigkeiten können dabei schnell existenzbedrohend sein.

Unzulässige Übermittlungen in Drittstaaten sind zukünftig mit Bußgeldern von 20 Millionen EUR oder bis zu 4% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens bedroht.

Auswirkung auf Tracking und Cookies

Neben der Auslagerung der Datenverarbeitung sind Cookies und Trackingmaßnahmen kaum aus dem Alltag digitaler Unternehmen wegzudenken. Auch hier gibt es beachtenswerte Neuerungen, die in der ebenfalls ab Mai 2018 geplanten ePrivacy-Verordnung in neuer Form gesetzlich geregelt werden sollen.

Bisher gilt in Deutschland für die Verwendung von Cookies das sogenannte Opt-Out-Prinzip. Danach müssen Unternehmen über die Verwendung von Cookies innerhalb einer Datenschutzerklärung informieren und den Nutzern die Möglichkeit geben, der Verwendung dieser Cookies zu widersprechen. In der Praxis hat sich hierfür auch die Verwendung von Cookie-Bannern etabliert. Da diese Regelung von der EU-Kommission für richtlinienkonform erklärt wurde, können Unternehmen bislang darauf setzen. Ab Geltung der ePrivacy-Verordnung (Einführung ist ebenfalls im Mail 2018 geplant), müssen sich Unternehmen aber auf eine Änderung dieser Praxis einstellen.

Der im Januar 2017 bekannt gewordene Entwurf der neuen e-Privacy-Verordnung wird der DSGVO aufgrund speziellerer Regelungen vorgehen. Auf die Digitalbranche kommen mit dem neuen Entwurf erhebliche Veränderungen zu. Nach den dort enthaltenen Regelungen dürfen Cookies grundsätzlich nur nochDatensicherheit mit Einwilligung der Nutzer (Opt-In) verwendet werden. Ausnahmen bestehen nur dann, wenn die Datenerhebung der Ermöglichung von Kommunikation über ein Netzwerk dient oder wenn die Nutzung erforderlich ist, um einen Informationsdienst in Anspruch zu nehmen, dessen Benutzung der Nutzer ausdrücklich verlangt. Das Setzen von Cookies für reine Kommunikationszwecke (z.B. Benutzerprofile oder Warenkorb) ist demnach weiterhin ohne Einwilligung möglich. Auch soll es keiner Einwilligung bedürfen, wenn ein Session Cookie gesetzt wird, welches das Ausfüllen eines mehrseitigen Formulars ermöglicht.

Anders als nach derzeitiger Rechtslage in Deutschland, gilt dies aber nicht für Tracking oder sonstige Nutzerverfolgung. Bei sogenannten Third Party- und anderen Tracking-Cookies ist nach dem derzeitigen Entwurf der e-Privacy-Verordnung zukünftig eine ausdrückliche Einwilligung der Nutzer erforderlich. Die Einwilligung muss zudem jederzeit widerruflich sein. Laut Gesetzesentwurf soll die Einwilligungserklärung dabei auch über die Einstellung des Browsers möglich sein. Ob die Browser-Hersteller hierfür geeignete Instrumente liefern werden, ist aber noch völlig offen. Zudem dürfte aufgrund der Vorgabe „Privacy by Design“, ein generelles Einverständnis nicht vorausgesetzt werden. Nutzer müssten sich demnach konkret für die Speicherung von Third Party-Cookies in ihrem Browser entscheiden. Ob diese Einstellung von Nutzern bewusst gewählt wird, ist mehr als fraglich.

Fazit:

Sofern in Zukunft keine ausdrückliche Einwilligung über den Browser vorliegt, wäre ein Tracking nur dann noch möglich, wenn über einen gesonderten Hinweis auf der Website eine Einwilligung abgefragt wird. Dies wird die digitale Praxis vor erhebliche Herausforderungen stellen.

Auch wenn die ePrivacy-Verordnung noch im Entwurfsstadium steckt, müssen sich Unternehmen auf erhebliche Änderungen einstellen. Dies dürfte im Newsletter-Marketing auch Auswirkungen auf das Click-Tracking haben, da auch hier eine Verfolgung von Nutzern stattfindet. Unternehmen sollten die Gesetzgebung daher im Blick behalten und ihre Websites oder Marketing-Kampagnen entsprechend anpassen.

Teil 3:Datenschutzrechtliche Einwilligung

Kernelement einer zulässigen Datenverarbeitung ist zukünftig die Einwilligungserklärung der Betroffenen. Die Einwilligungstext muss nach Art. 7 DSGVO in verständlicher und einfacher Sprache formuliert und klar von anderen Sachverhalten getrennt werden. Zudem muss die Erklärung freiwillig erfolgen.

Es lässt sich somit erst einmal feststellen, dass die Einwilligungserklärung nach der DSGVO für das E-Mail-Marketing keine grundlegenden Neuerungen bereithält. Bereits erteilte und nach jetziger Rechtslage gültige Einwilligungserklärungen dürften mit Geltung der DSGVO somit weiterhin bestehen bleiben. Dies lässt sich auch einem aktuellen Beschluss des Düsseldorfer Kreises, einem gemeinsamen Gremium aller deutschen Aufsichtsbehörden für den Datenschutz, entnehmen. Danach gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der EU Datenschutzgrundverordnung entsprechen.

Nach Ansicht der Behörden erfüllen bisher rechtswirksame Einwilligungen grundsätzlich diese Bedingungen. Allerdings müsste für die Fortdauer der bestehenden Einwilligungen die Altersgrenze von mindestens 16 Jahren (Schutz des Kindeswohls nach Artikel 8 DSGVO) sowie die Freiwilligkeit (Koppelungsverbot) berücksichtigt worden sein. Insbesondere das Koppelungsverbot könnte bei älteren Einwilligungserklärungen zu Problemen führen, da es nach bestehender Rechtslage weitaus weniger streng ausgestaltet ist.

Das neue Koppelungsverbot

Wie bereits erwähnt, erhält das Koppelungsverbot in der DSGVO ein wesentlich stärkeres Gewicht. Danach gilt Koppelungsverbot bei Datenschutzeine Einwilligung als unfreiwillig, wenn sie in Hinsicht auf solche personenbezogenen Daten erfolgt, die für die eigentliche Vertragserfüllung nicht erforderlich sind. Die Koppelung von Leistung und Datenschutzeinwilligung soll demnach unzulässig sein, wenn dem Nutzer bei der Anmeldung zu einer Dienstleistung keine Wahl gelassen wird.

Das neue Koppelungsverbot ist für das E-Mail-Marketing dahingehend bedeutsam, dass in der Praxis häufig die Anmeldung zum Newsletter, neben der E-Mail-Adresse, noch mit weiteren Pflichtangaben (z.B. Name, Geschlecht, Alter etc.) verbunden wird. Nach der EU Datenschutzgrundverordnung besteht hierbei die Gefahr, dass gekoppelte Einwilligungen unzulässig sind und deren Einholung ggf. mit Sanktionen (Bußgeldern) durch Aufsichtsbehörden belegt werden können. Zur Vermeidung von Risiken, sollten demnach die Pflichtfelder bei der Anmeldung zum Newsletter zukünftig auf ein Minimum beschränkt werden.

Nachweis der Einwilligung

Stützt sich eine Datenverarbeitung auf eine Einwilligung, muss das Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO).Nachweis der Einwilligung

Auch wenn die Nachweispflicht bereits nach bestehender Rechtslage zwingend erforderlich ist, wird sie in der DSGVO nunmehr erstmals ausdrücklich benannt. Gleichwohl fehlt ein Hinweis, auf welchem Weg der Nachweis ausreichend erbracht ist. Für das E-Mail-Marketing bedeutet dies, dass auch zukünftig auf Beweisinstrumente wie das Double-Opt-In-Verfahren und die Protokollierung von Anmeldeprozessen nicht verzichtet werden kann. Ohne belegbaren Nachweis ist die Einwilligung quasi nicht existent, da sie vor Gericht nicht hinreichend bewiesen werden kann.

Geltung der Einwilligung

Von jeher umstritten ist die Geltungsdauer erteilter Einwilligungserklärungen. Um es gleich vorweg zu sagen: Auch Einwilligung haben eine Geltungsdauer von 6 Monatedies wird weder in der DSGVO noch im finalen Entwurf der ePrivacy-VO ausdrücklich geregelt. Allerdings gibt Art. 9 der ePrivacy-Verordnung konkrete Vorgaben zum Widerruf und sich darauf beziehende Hinweise.

Zukünftig müssen Nutzer in periodischen Intervallen von sechs Monaten auf diese Widerrufsmöglichkeit hingewiesen werden. Bei einer regelmäßigen Nutzung eines Newsletters ist dies unproblematisch, da in jeder Werbemail regelmäßig Abmeldelinks enthalten sind. Bleiben E-Mail-Adressen hingegen über einen längeren Zeitraum ungenutzt, müssen Nutzer alle sechs Monate darauf hingewiesen werden, dass die abgegebene Einwilligungserklärung widerruflich ist.

Wird diese Frist versäumt, besteht die Gefahr, dass abgegebene Erklärungen automatisch ihre Wirksamkeit verlieren. Erstmals könnte somit aus dieser Hinweispflicht eine Geltungsdauer von datenschutzrechtlichen Einwilligungserklärungen für das E-Mail-Marketing abgeleitet werden.

Ausnahmen für Newsletter an eigene Kunden bleiben bestehen

Bereits nach geltender Gesetzeslage ist eine Werbemail an eigene Kunden ohne Einwilligung erlaubt, wenn die Anforderungen des § 7 Absatz 3 UWG beachtet werden. Diese Ausnahme ist jedoch an sehr strenge Voraussetzungen gebunden, die in der Praxis häufig wenig beachtet oder bewusst überstrapaziert werden.

Der europäische Gesetzgeber hat sich aber zur Beibehaltung dieser Ausnahme entschieden und im Entwurf der ePrivacy-VO in Art. 16 Absatz 2 eine ähnliche Vorschrift für Bestandskunden festgeschrieben. Danach ist eine Einwilligung im E-Mail-Marketing weiterhin entbehrlich, wenn die E-Mail-Adresse im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Einklang mit der DSGVO erhoben wurde und zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwendet wird. Der Kunde muss dabei klar und deutlich darauf hingewiesen werden, einer solchen Nutzung kostenlos und auf einfache Weise widersprechen zu können. Das Widerspruchsrecht muss bei Erlangung der Angaben und bei jedem Versand einer Nachricht beachtet werden.

Es bleibt somit weitestgehend bei der bisherigen Praxis. Die Herausforderung wird weiterhin bleiben, dass Unternehmen das Widerspruchsrecht bereits „bei Erlangung“ der E-Mail-Adresse beachten müssen. Ob dieser Hinweis innerhalb einer Datenschutzerklärung „versteckt“ werden darf oder gesondert erteilt werden muss, muss die Rechtsprechung durch Auslegung ermitteln. Dabei sei hier auch darauf hingewiesen, dass die ePrivacy-Verordnung noch im Entwurfsstadium steckt und etwaige Änderungen des Gesetzestextes nicht ausgeschlossen werden können.

Weitere Hinweispflichten

Hinweise zum Datenschutz sind bereits auf Websites gängige Praxis und nach den Vorgaben des Telemediengesetzes verpflichtend. Die DSGVO ersetzt diese Hinweispflichten durch neue Regelungen in den Artikeln 13 und 14 DSGVO.

Bei der Einholung von Erklärungen müssen zukünftig u.a. die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, eine mögliche Übermittlung in Drittländer und die Dauer der Speicherung informiert werden.

Elektronisch lässt sich dies mit einer Bestätigung der (auf das neue Recht angepassten) Datenschutzerklärung erledigen. Werden hingegen Erklärungen schriftlich eingeholt, müssten Unternehmen mit zusätzlichen Textbausteinen auf die Verwendung der erhobenen Daten gesondert hinweisen. Dies belastet nicht nur die Unternehmen, sondern dürfte im Regelfall auch die Verbraucher überfordern, die sich durch immer umfangreichere Texthinweise arbeiten müssen.

Fazit:

Das E-Mail-Marketing wird auch zukünftig ohne ausdrückliche Einwilligungserklärung der Nutzer kaum funktionieren. Dabei bleiben elektronisch eingeholte Erklärungen, die über Double Opt-In verifiziert wurden, nach bisheriger Auffassung weiterhin gültig. Probleme könnten nur dann auftreten, wenn das Koppelungsverbot bei bestehenden Einwilligungserklärungen missachtet wurde.

Das neue Koppelungsverbot verbietet zukünftig die Erhebung von Daten, welche für den Newsletter nicht benötigt werden. Unternehmen sind hier gut beraten ihre Registrierungsformulare hinsichtlich der Pflichtangaben rechtlich prüfen zu lassen.

Die Geltungsdauer der Einwilligungserklärung ist weiterhin nicht gesetzlich geregelt. Aus den neuen Regelungen zum Widerspruchsrecht innerhalb der ePrivacy-VO könnte jedoch eine maximale Geltungsdauer von sechs Monaten abgeleitet werden.

In jedem Fall müssen sich Unternehmen mit den neuen Hinweispflichten auseinandersetzen und ihre Datenschutzerklärungen auf Websites und Textbausteine auf Formularen anpassen lassen.