Alles neu macht der Mai - Online-Marketing nach der Datenschutzgrundverordnung

01.12.2017

Ab 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (kurz: DSGVO). Die verbleibende kurze Zeit sollten Unternehmen nutzen, ihre Marketingmaßnahmen an das neue Recht anzupassen. Der folgende Beitrag stellt die wichtigsten Änderungen im Online-Marketing vor und zeigt auf, worauf sich die Werbewirtschaft einstellen muss, um einen Verstoß gegen die DSGVO und damit hohe Bußgelder zu vermeiden.

Keine Spezialregeln zum Online-Marketing in der DSGVO

Wer in der DSGVO nach speziellen Regelungen für das Online-Marketing sucht, wird enttäuscht. Stattdessen findet man allgemeine Bestimmungen mit Schachtelsätzen und unbestimmten Rechtsbegriffen, die für den Anwender den Umgang mit der – zugegebenermaßen – etwas spröden Materie des Datenschutzrechts nicht unbedingt erleichtern. Das führt zu einer gewissen Rechtsunsicherheit. Die wichtigste Änderung ist, dass die Erhebung und Nutzung von personenbezogenen Daten für Werbezwecke künftig wohl verstärkt auf „berechtigte Interessen“ gestützt werden (muss), weil die Anforderungen an eine wirksame Einwilligung der Betroffenen deutlich angehoben werden. Nach der DSGVO ist es nicht mehr so einfach wie bisher möglich, Werbebotschaften auf eine Einwilligung zu stützen. Außerdem werden die Informations- und Aufklärungspflichten für werbende Unternehmen erhöht. Dies geht einher mit einer deutlichen Ausweitung der Rechte der Betroffenen auf Auskunft, worauf Unternehmen vorbereitet sein sollten.

Anforderungen an Einwilligungen werden verschärft

Wer Werbung im Netz künftig auf eine Einwilligung der Adressaten stützen will, der hat einige Hürden zu überwinden. Die Einwilligung muss eine eindeutig bestätigende Handlung sein (opt-in). Stillschweigen oder Untätigkeit der Betroffenen reichen nicht aus. Auch voreingestellte Häkchen, die der Betroffene wegklicken muss, sind nicht (mehr) zulässig. Eine wirksame Einwilligung setzt künftig voraus, dass der Adressat vor der Erteilung umfassend, leicht verständlich und transparent über die Verarbeitung seiner personenbezogenen Daten für Werbezwecke in Datenschutzerklärungen informiert wird. Es sollte darauf geachtet werden, dass die Adressaten vor Erteilung der Einwilligung durch geeignete Menüführung auf der jeweiligen Website die Datenschutzerklärung leicht finden, lesen und akzeptieren können. In dieser Datenschutzerklärung muss auch gesondert über ein jederzeitiges Widerrufsrecht der Betroffenen aufgeklärt werden. Widerruft der Werbeadressat seine Einwilligung, die technisch so einfach ermöglicht werden muss wie die Einwilligung selbst, dürfen an ihn keine Werbesendungen mehr verschickt werden. Bei Kindern und Jugendlichen unter 16 Jahren ist zwingend die Einwilligung bzw. Zustimmung zur Einwilligung der Erziehungsberechtigten erforderlich. Der Werbende trägt die Nachweispflicht, dass eine wirksame Einwilligung erteilt wurde und muss dies transparent gegenüber den Betroffenen und den Behörden auf Anfrage nachweisen können. Der Nachweis der Zustimmung durch die Eltern bei Jugendlichen unter 16 Jahren wird nicht einfach werden, so dass so manche Werbeaktion, die sich – zumindest auch – an Kinder und Jugendliche richtet, künftig schwieriger werden wird. Dies wird besonders Unternehmen im Bereich sozialer Medien vor neue Herausforderungen stellen. Die Einwilligung kann zwar auch in AGBs enthalten sein, muss aber – ähnlich wie dies gegenwärtig z.B. bei dem Widerrufsrecht für Verbraucher der Fall ist – optisch deutlich hervorgehoben werden. Besonders nachteilig ist, dass eine wirksame Einwilligung nur vorliegt, wenn diese „freiwillig“ erteilt wird. Nach Art. 7 Abs. 4 DSGVO führt praktisch schon jeder Nachteil, der mit einer verweigerten Einwilligung verbunden ist, zu einer „unfreiwilligen“ Einwilligung, z.B. dann, wenn die Verarbeitung der Daten für Werbezwecke zur Durchführung eines Vertrages nicht erforderlich ist. Dadurch wird es schwieriger werden, sich die Einwilligung für Werbezwecke mit der Gewährung von Vorteilen wie Gewinnchancen, kostenlosen Downloads oder Zugang zu sozialen Netzwerken etc. zu „erkaufen“. Denn für die Teilnahme an einem Gewinnspiel oder für den kostenlosen Erwerb eines E-Books ist die Einwilligung in die Verarbeitung der Daten zu Werbezwecken in der Regel nicht erforderlich.

Zu beachten ist auch, dass bisher erteilte Einwilligungen nach der DSGVO nur weiter gelten, wenn die Anforderungen der DSGVO eingehalten werden. Bei der Prüfung wird besonders darauf zu achten sein, ob die jeweilige Einwilligung freiwillig erfolgt ist und die Altersgrenze von 16 Jahren beachtet wurde.

Berechtigte Interessen als Rechtfertigungsgrund

Neben einer Einwilligung kann die Verarbeitung von personenbezogenen Daten zulässig sein, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die schutzwürdigen Belange der Betroffenen nicht überwiegen. Um dies beurteilen zu können, ist eine Abwägung der Interessen erforderlich. Aufgrund der gesteigerten Anforderungen an eine wirksame Einwilligung wird dieser Rechtfertigungsgrund wichtig werden. Die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) hat im Sommer 2017 eine erst Orientierungshilfe veröffentlicht (https://www.lda.bayern.de/media/dsk_kpnr_3_werbung.pdf). Ausgangspunkt ist der Grundsatz, dass Direktwerbung durch ein berechtigtes Interesse gedeckt sein kann (Erw.-Grund 47 DSGVO), aber nicht muss. Die Interessenabwägung muss die „vernünftigen Erwartungen“ der Betroffenen in die konkrete Verarbeitung seiner Daten zu Werbezwecken berücksichtigen. Mit anderen Worten: Rechnet der Betroffene in dem konkreten Fall mit einer Verarbeitung seiner Daten für Werbezwecke? Bestandskunden werden dies eher erwarten als Neukunden. Vor allem aber hängt die Erwartungshaltung der Betroffenen und damit letztlich die Zulässigkeit der Verarbeitung seiner Daten für Werbezwecke von einer vorherigen ausführlichen und transparenten Aufklärung ab, die in einer leicht zugänglichen Datenschutzerklärung enthalten sein sollte. Wichtig ist dabei, dass der Nutzer über sein jederzeitiges Widerspruchsrecht informiert wird. In die Abwägung muss auch einfließen, ob sich die Werbung – zumindest auch – an Kinder und Jugendliche (unter 16 Jahre) richtet. Denn dann gelten höhere Anforderungen.

Besonders geschützte Datenkategorien wie z.B. Gesundheitsdaten dürfen nur bei ausdrücklicher Einwilligung der Betroffenen für Werbezwecke verarbeitet werden. Dies betrifft z.B. die gesamte Gesundheits- und Fitnessbranche. Für das E-Mail-Marketing ändert sich im Grundsatz – zunächst – wenig, da weiterhin die Grenzen nach § 7 UWG beachtet werden müssen, eine Werbeansprache per E-Mail an Neukunden also nur bei vorheriger Einwilligung möglich ist.

Offen ist gegenwärtig, ob die Anforderungen an die Erstellung von Nutzerprofilen aufgrund Webtracking verschärft werden. Dies betrifft auch die Gestaltung von Cookie-Bannern. Hier wird bald die sog. E-Privacy-Verordnung, die den Datenschutz im Bereich der elektronischen Kommunikation regelt, eine wichtige Rolle spielen und die DSGVO überlagern. Gegenwärtig ist absehbar, dass verstärkt auf opt-in-Erfordernisse gesetzt wird, für die bisher eher opt-out-Lösungen vorgesehen sind. Es wird also auch speziell im Online-Marketing durch die E-Privacy-VO wahrscheinlich noch zu weiteren Verschärfungen kommen. Ob diese VO zeitgleich mit der DSGVO ab 25.05.2018 gelten oder später in Kraft treten wird, ist aktuell noch nicht absehbar.

Was bleibt zu tun?

Unternehmen sollten die verbleibende Zeit bis Mai 2018 nutzen, sich auf die neuen Anforderungen einzustellen. Dazu gehört eine Prüfung sämtlicher Werbe-Einwilligungen anhand der Vorgaben nach der DSGVO. Ferner müssen die Datenschutzerklärungen, Nutzungsbedingungen (AGB) überarbeitet werden. Jedes Unternehmen sollte Verarbeitungsverzeichnisse erstellen und prüfen, ob die Verarbeitung der Nutzerdaten für Werbezwecke berechtigten Interessen dienen kann. Die Menüführung für die Einholung von Einwilligungen auf Webseiten muss angepasst werden. Nicht zuletzt sind Workflows zu erstellen, um die Betroffenenrechte, insbesondere den Widerruf von Einwilligungen, den Widerspruch gegen die Datenverarbeitung sowie Ansprüche auf Auskunft und Löschung der Daten, im Bedarfsfall rasch umsetzen zu können.

Alle Meldungen im Überblick