E-Mail-Marketing und Datenschutz: Was ist erlaubt?

Die Werbung mit E-Mails ist eine beliebte Form des Marketings, die eine große Bedeutung für Unternehmen gewonnen hat. Mit Newslettern und anderen Varianten des E-Mail-Marketings lassen sich erfolgreich und zugleich kostengünstig Kunden binden, indem effektiv Neuigkeiten, Angebote oder Gewinnspiele verbreitet werden können. Ohne gesetzliche Regulierungen kommt der Bereich E-Mail-Marketing allerdings nicht aus. Die datenschutzrechtlichen Vorgaben und wie sie effektiv umgesetzt werden können erläutern wir Ihnen in diesem Beitrag.

Rechtliche Grundlagen von E-Mail-Marketing

Die datenschutzrechtlichen Vorgaben ergeben sich in erster Linie aus der Datenschutz-Grundverordnung (DSGVO). Auf den ersten Blick mag nicht immer klar sein, weshalb Datenschutzrecht überhaupt beachtet werden muss, wenn Unternehmen nur in regelmäßigen Abständen die neuesten Produkte an die E-Mail-Adressen aus einer Kundenliste versenden. Doch die DSGVO findet immer Anwendung, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Verarbeitung stellt daneben praktisch jeden Vorgang mit solchen Daten dar, wie beispielsweise das Erheben, Ordnen, Speichern oder auch nur Verwenden dieser (vgl. Art. 4 Nr. 2 DSGVO). Damit fällt ein Vorgang wie die Nutzung von (personenbezogenen) Daten wie Name und E-Mail-Adresse beim Newsletter-Versand eindeutig in den Regelungsbereich der DSGVO.

Die Wahl der richtigen Rechtsgrundlage

Aufgrund des sogenannten Verbots mit Erlaubnisvorbehalt für die Verarbeitung personenbezogener Daten benötigt man also in jedem Fall eine Rechtsgrundlage, damit die Erfassung der E-Mail-Adresse oder ihre Verwendung durch den Nachrichtenversand rechtlich zulässig ist. Die grundlegenden Rechtsgrundlagen des Datenschutzrechts sind in Art. 6 Abs. 1 DSGVO aufgelistet worden. Die Einwilligung ist hier nur einer von mehreren Erlaubnistatbeständen, die in Frage kommen. Das gilt grundsätzlich auch für das E-Mail-Marketing.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Berechtigte Interessen des Werbetreibenden

Beispielsweise ist es möglich, die Datenverarbeitung auch auf das Vorliegen berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO zu stützen. Das ist im Sinne dieser Vorschrift dann zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person der Verarbeitung entgegenstehen. Der Erwägungsgrund 47 der DSGVO stellt ausdrücklich klar, dass Formen des Direktmarketings wie die E-Mail-Marketing ein berechtigtes Interesse darstellen können. Dennoch bedarf es in jedem Einzelfall gesondert einer Abwägung der Interessen des Verantwortlichen und jenen des Betroffenen, in die nach EW 47 die „vernünftigen Erwartungen der betroffenen Person“ mit einbezogen werden müssen. Diese hängen von der Beziehung der betroffenen Personen zum Verantwortlichen ab und können daher ganz unterschiedlich aussehen. Für die Aufsichtsbehörden müssen auch die Wertungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) mitbedacht werden, wenn es sich um Werbung im rechtlichen Sinne handelt. Das ist allerdings häufig der Fall, da Werbung als jede Kommunikation zum Zwecke der Absatzförderung und damit sehr weit definiert wird. Dazu gehören also neben dem beliebten Newsletter-Versand auch Aufforderungen zur Umfrageteilnahme, das Abfragen von Kunden-Feedbacks oder die Werbung für weitere Produkte im Rahmen einer Bestellbestätigung. Wenn sie mittelbar absatzfördernd sind, können auch Einladungen zu Infoveranstaltungen als Werbung eingestuft werden.

Wenn das UWG für die geplante Werbemaßnahme eine Einwilligungspflicht vorsieht, überwiegen tendenziell eher die Interessen der betroffenen Personen zu Ungunsten des werbenden Unternehmens. Dann sollte für die E-Mail-Marketing auch datenschutzrechtlich eine Einwilligung herangezogen werden. Die Einwilligungspflicht ist für das UWG im Übrigen der Regelfall, solange die Empfänger keine Bestandskunden sind (vgl. § 7 UWG). Auf der anderen Seite dürften die Interessen des werbenden Unternehmens überwiegen, wenn die Ausnahme für Bestandskundenwerbung im UWG greift. Das UWG sollte an dieser Stelle also auch im Rahmen der datenschutzrechtlichen Bewertung nicht unberücksichtigt bleiben.

Email Marketing und Telefonwerbung Datenschutz

Die Einwilligung im E-Mail-Marketing

Unternehmen sollten also damit rechnen, im Rahmen von Newsletter-Marketing eine vorherige Einwilligung nach Art. 6 Abs. 1 lit. a, 7 DSGVO einholen zu müssen. Für die Form der Einwilligung sollte das sogenannte Double-Opt-In-Verfahren verwendet werden. Hier muss darauf geachtet werden, dass eine aktive Zustimmung erfolgt (kein Opt-Out, etwa durch vorangekreuzte Kästchen) und dass eine Bestätigungsmail an die angegebene Adresse mit einem individuellen Aktivierungslink versendet wird. Auf diese Weise ist auch der Nachweis der Einwilligung sichergestellt. Zudem muss die Informiertheit des Kunden gewährleistet sein, indem er auf alle Umstände der Einwilligung deutlich sichtbar hingewiesen wird. Dazu zählen unter anderem die Identität des Versenders, die Verarbeitungszwecke sowie die Widerrufsmöglichkeit der Einwilligung des Empfängers. Diese ist jederzeit frei widerruflich und sollte über einen einfachen Link am Ende der E-Mail ausgeübt werden können.

Weiterhin ist die Freiwilligkeit der Einwilligung wichtig. Dazu muss für die Empfänger eine echte Wahlmöglichkeit bestehen, d. h. es dürfen durch eine fehlende Einwilligung keine spürbaren Nachteile entstehen. In diesem Zusammenhang ist auch das Kopplungsverbot zu beachten:

Exkurs: Kopplungsverbot und Gewinnspiele

Aufgrund des sog. Kopplungsverbots darf im Rahmen eines Vertrags dessen Erfüllung nicht von der Einwilligung in eine Verarbeitung personenbezogener Daten abhängig gemacht werden, die für die Vertragserfüllung gar nicht erforderlich ist. Was im Rahmen von Werbung danach erlaubt und was unzulässig ist, ist in vielen Fällen nicht eindeutig geklärt und daher umstritten. Im Zweifel ist daher zu empfehlen, Werbeeinwilligungen nicht von bestimmten Bedingungen abhängig zu machen. Nach einem vielbeachteten Urteil des OLG Frankfurt (Urt. v. 27.06.2019, Az.: 6 U 6/19) ist allerdings die Praxis, die Teilnahme an Gewinnspielen an die Einwilligung in Werbemaßnahmen (im Fall ging es um Werbeanrufe) zu knüpfen, als zulässig anzusehen. In der Praxis ist entscheidend, dass die Begründung sich auch auf den eigenen Fall anwenden lässt: Das OLG Frankfurt argumentierte nämlich, dass niemand zur Einwilligung und Datenpreisgabe gezwungen wurde, da jeder selbst und frei über die Gewinnspielteilnahme entscheiden konnte.

Der Inhalt der Einwilligung

Um den inhaltlichen Einwilligungserfordernissen gerecht zu werden, sollten Unternehmen eine verständliche, in klarer und einfacher Sprache abgefasste Erklärung leicht zugänglich bereitstellen (vgl. Art. 7 Abs. 2 DSGVO). Sie sollte alle wichtigen Informationen rund um die Einwilligung und die Datenverarbeitungen enthalten. Dazu gehören die beworbenen Angebote, das werbende Unternehmen, um welche Art der (E-Mail-)Marketing es sich handelt sowie der Hinweis auf die Widerrufsmöglichkeit. Diese sollte darüber hinaus so einfach wie die Erklärung der Einwilligung möglich sein. Der Inhalt der Werbemail sollte sich dann auf das beschränken, worin eingewilligt wurde. Die Werbung für andere Produktkategorien beispielsweise kann schnell eine Verarbeitung der E-Mail-Adresse ohne gültige Rechtsgrundlage und damit ein Rechtsverstoß sein.


Mehr zum Thema

Interessenbasierte Kundenansprache: E-Mail-Marketing nach DSGVO & UWG
E-Mail-Marketing ohne Einwilligung – was ist erlaubt?
DSGVO & Newsletter-Marketing: Was sind die Dos und Don´ts?


Die Informationspflichten im E-Mail-Marketing beachten

Unabhängig davon, auf welche Rechtsgrundlage die Datenverarbeitung gestützt wird, muss in jedem Fall darauf geachtet werden, dass die Informationspflichten nach Art. 13 DSGVO umgesetzt werden. Werbende Unternehmen müssen die Empfänger bereits bei der Erhebung der E-Mail-Adresse oder sonstiger Kontaktdaten zu Werbezwecken umfassend über die Erhebung und Verwendung der Daten informieren. Die Informationen müssen auch in der Datenschutzerklärung aufgeführt werden. Unternehmen müssen ausführlich über die beabsichtigte Datenerhebung und Datenverarbeitung informieren. Einzelheiten bietet dazu die Auflistung des Art. 13 Abs. 1 DSGVO, die zu den erforderlichen Informationen beispielsweise Kontaktdaten des Verantwortlichen, Rechtsgrundlage und Zwecke der Verarbeitung oder die Speicherdauer zählt. Empfänger von E-Mail-Marketing (und aller anderen Arten von Direktmarketing) haben zudem immer ein umfassendes Widerspruchsrecht aus Art. 21 DSGVO. Auf dieses müssen sie ebenfalls hingewiesen werden.

Personalisierte Werbung, Tracking & Co: Was ist noch erlaubt?

Vielfach werden nicht mehr bloß einfache Textnachrichten versendet, sondern Unternehmen nutzen häufig Tracking Pixel oder andere Technologien, um zum Beispiel Informationen zu erfassen, ob und zu welchem Zeitpunkt die versendete Werbemail oder darin enthaltene Links geöffnet wurden. Auch kann die IP-Adresse übermittelt werden. Diese kann dann einem Kunden und seinen bevorzugt angesehenen oder bestellten Produkten zugeordnet werden, um anschließend individualisierte Werbenachrichten zu versenden. Das ist grundsätzlich auch erlaubt, aber an erhöhte Anforderungen gebunden als die standardmäßige und nicht individualisierte Werbung. Zunächst ist zu beachten, dass in diesen Fällen zwingend eine Einwilligung einzuholen ist. Gleiches gilt übrigens für die Erstellung von Kundenprofilen bei Marketingmaßnahmen. Tracking und Profilbildung sind also grundsätzlich möglich, solange sie auf eine Einwilligung gestützt werden – diese sollte aber sehr sorgfältig umgesetzt werden. Das gilt zum Beispiel auch für die Nutzung von Facebook Custom Audience mit dem Upload von Kundenlisten. An dieser Stelle sollten Unternehmen besonders sorgfältig achten, dass die eingesetzten Technologien den Werbeempfängern transparent mitgeteilt wurden, sodass diese eine bewusste und vollständig informierte Einwilligung erteilen können.

Die Frage, wie lange einmal erfasste E-Mail-Adressen genutzt werden dürfen, kann nicht pauschal beantwortet werden. Unternehmen sollten sich daran orientieren, ob die Datenverarbeitung (immer noch) erforderlich ist. Auch dürfte eine Einwilligung, auf deren Grundlage bereits seit Jahren keine Daten mehr verarbeitet wurden, eher nicht mehr als Rechtsgrundlage zulässig sein. Hier muss jeweils im Einzelfall mit Blick auf die Geschäftsbeziehung zwischen Unternehmen und Werbeempfänger abgewogen werden. Die E-Mail-Adressen von Kunden, die sich für einen Newsletter eingetragen, aber nicht den Aktivierungslink angeklickt haben, sollten spätestens nach zwei Wochen gelöscht werden.

In den Fällen, in denen externe Dienstleister für diese Zwecke eingesetzt werden, müssen Vereinbarungen über eine Auftragsverarbeitung nach Art. 28 DSGVO bzw. über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO getroffen werden. Unternehmen sollten nur Dienstleister beauftragen, die die erforderlichen technischen und organisatorischen Maßnahmen gewährleisten können, um die notwendige Sicherheit der Verarbeitung gewährleisten zu können. Auch für Dienstleister, bei welchen personenbezogene Daten in die USA übermittelt werden, gelten seit dem Urteil „Schrems II“ des Europäischen Gerichtshofs (EuGH) erhöhte Anforderungen.

Datentransfers ins Ausland: Das „Schrems II“-Urteil

Unternehmen, die in der Vergangenheit selbst oder über eingeschaltete Dienstleister Datentransfers in die USA veranlasst hatten, konnten sich in den meisten Fällen auf die Rechtsgrundlage des Privacy Shields verlassen. Neben jenen aus Art. 6 Abs. 1 DSGVO bildete dieser als Angemessenheitsbeschluss eine Rechtsgrundlage speziell für Datenübermittlungen in die USA. Nach Art. 45 DSGVO kann die EU-Kommission einen solchen Beschluss fassen und das Datenschutzniveau in einem Drittstaat als angemessen feststellen, sodass Datenübermittlungen in diesen Drittstaat rechtlich zulässig sind. Für US-Unternehmen als Datenempfänger, die über den Privacy Shield zertifiziert waren, ermöglichte der Privacy Shield so rechtskonforme Datenübermittlungen. Der EuGH erklärte den Privacy Shield allerdings für ungültig. Unter anderem, weil US-Behörden über Gesetze wie FISA 702 weitreichende Zugriffsbefugnisse auf personenbezogene Daten zu Zwecken der nationalen Sicherheit einräumen und es dagegen keine ausreichenden Schutzgarantien gibt. Daher müssen Unternehmen jetzt – wie bei anderen Staaten außerhalb von EU und EWR auch – auf sog. Standardvertragsklauseln (SCC) zurückgreifen und für jeden Einzelfall in eigener Verantwortung prüfen, ob das Empfängerland sowie die konkreten Datenverarbeitungen durch ein ausreichendes Datenschutzniveau abgesichert sind, das dem der EU vergleichbar ist. Dafür müssen zusätzliche Maßnahmen, unter Umständen auch mit dem Unternehmen gemeinsam, das die Daten im Drittland empfängt, umgesetzt werden. Zu diesen zählen zum Beispiel ergänzende Vertragspflichten wie die umgehende Information eines behördlichen Zugriffs, die Ende-zu-Ende-Verschlüsselung der Daten oder Löschpflichten im Bedarfsfall. Die Prüfungen und Maßnahmen müssen umfassend dokumentiert werden. Es ist daher empfehlenswert, Datentransfers in Drittstaaten zu vermeiden und Dienstleister mit dem Sitz in der EU auszuwählen, sofern diese Lösung praktikabel ist.

Fazit

Neben anderen rechtlichen Regulierungen wie beispielweise aus dem Wettbewerbsrecht sollte beim E-Mail-Marketing der Fokus auch auf die datenschutzrechtlichen Vorgaben gelegt werden. Wie gezeigt, lassen sich beide Bereiche aber nicht gänzlich trennen, sodass auch Wertungen aus dem UWG mit in die datenschutzrechtliche Beurteilung mit einfließen. Wie alle Verstöße gegen die DSGVO sind auch Verletzungen der im Beitrag genannten Voraussetzungen bußgeldbewehrt oder können mit Abmahnungen belegt werden. Zudem stehen in vielen Fällen den betroffenen Personen Schadensersatzansprüche zu. Vor allem, da Rechtsverstöße aufgrund fehlerhafter Einwilligungserklärungen oder eines mangelhaften Widerrufsmanagements gut vermeidbar sind, sollte im Vorfeld sorgfältig auf die Einhaltung der Vorgaben geachtet werden. Auf diese Weise kann E-Mail-Marketing erfolgreich und rechtskonform betrieben werden.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.