252017Apr

Neue EU Datenschutzgrundverordnung (DSGVO) – Teil 3

EU Datenschutzgrundverordnung:
Das neue europäische Datenschutzrecht und die Auswirkungen auf das E-Mail-Marketing (Teil 3)

Rechtsanwalt David Oberbeck informiert über die neue EU Datenschutzgrundverordnung (DSGVO)Mit der EU Datenschutzgrundverordnung (DSGVO) kommen zahlreiche Neuerungen auf die Unternehmen zu. In Teil 1 haben wir uns mit den Grundlagen der Datenverarbeitung und den Sanktionen beschäftigt. Teil 2 befasste sich mit der Auftragsdatenverarbeitung, dem internationalen Datentransfer und den Auswirkungen auf Tracking und Cookies. Im letzten Teil dieser Reihe schauen wir uns die neuen Voraussetzungen für eine datenschutzrechtliche Einwilligung an. Welche Auswirkung hat dies auf Newsletter-Anmeldeformulare? Welche Daten darf ich als Pflichtfelder abfragen? Und über welchen Zeitraum ist eine Einwilligungserklärung gültig?

Datenschutzbeauftragter und Rechtsanwalt David Oberbeck gibt Ihnen mit der Beitragsreihe einen ersten Überblick über die Bestimmungen, die für Sie in der Praxis relevant sind.


Neue EU DatenschutzgrundverordnungTeil 3:
Datenschutzrechtliche Einwilligung


✍ Die Einwilligung nach der DSGVO

Kernelement einer zulässigen Datenverarbeitung ist zukünftig die Einwilligungserklärung der Betroffenen. Die Einwilligungstext muss nach Art. 7 DSGVO in verständlicher und einfacher Sprache formuliert und klar von anderen Sachverhalten getrennt werden. Zudem muss die Erklärung freiwillig erfolgen.

Einwilligungserklärung nach der DSGVOEs lässt sich somit erst einmal feststellen, dass die Einwilligungserklärung nach der DSGVO für das E-Mail-Marketing keine grundlegenden Neuerungen bereithält. Bereits erteilte und nach jetziger Rechtslage gültige Einwilligungserklärungen dürften mit Geltung der DSGVO somit weiterhin bestehen bleiben. Dies lässt sich auch einem aktuellen Beschluss des Düsseldorfer Kreises, einem gemeinsamen Gremium aller deutschen Aufsichtsbehörden für den Datenschutz, entnehmen. Danach gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der EU Datenschutzgrundverordnung entsprechen.

Nach Ansicht der Behörden erfüllen bisher rechtswirksame Einwilligungen grundsätzlich diese Bedingungen. Allerdings müsste für die Fortdauer der bestehenden Einwilligungen die Altersgrenze von mindestens 16 Jahren (Schutz des Kindeswohls nach Artikel 8 DSGVO) sowie die Freiwilligkeit (Koppelungsverbot) berücksichtigt worden sein. Insbesondere das Koppelungsverbot könnte bei älteren Einwilligungserklärungen zu Problemen führen, da es nach bestehender Rechtslage weitaus weniger streng ausgestaltet ist.


✍ Das neue Koppelungsverbot

Kopplungsverbot der DSGVOWie bereits erwähnt, erhält das Koppelungsverbot in der DSGVO ein wesentlich stärkeres Gewicht. Danach gilt eine Einwilligung als unfreiwillig, wenn sie in Hinsicht auf solche personenbezogenen Daten erfolgt, die für die eigentliche Vertragserfüllung nicht erforderlich sind. Die Koppelung von Leistung und Datenschutzeinwilligung soll demnach unzulässig sein, wenn dem Nutzer bei der Anmeldung zu einer Dienstleistung keine Wahl gelassen wird.

Das neue Koppelungsverbot ist für das E-Mail-Marketing dahingehend bedeutsam, dass in der Praxis häufig die Anmeldung zum Newsletter, neben der E-Mail-Adresse, noch mit weiteren Pflichtangaben (z.B. Name, Geschlecht, Alter etc.) verbunden wird. Nach der EU Datenschutzgrundverordnung besteht hierbei die Gefahr, dass gekoppelte Einwilligungen unzulässig sind und deren Einholung ggf. mit Sanktionen (Bußgeldern) durch Aufsichtsbehörden belegt werden können. Zur Vermeidung von Risiken, sollten demnach die Pflichtfelder bei der Anmeldung zum Newsletter zukünftig auf ein Minimum beschränkt werden.


✍ Nachweis der Einwilligung

Nachweis der EinwilligungStützt sich eine Datenverarbeitung auf eine Einwilligung, muss das Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO).

Auch wenn die Nachweispflicht bereits nach bestehender Rechtslage zwingend erforderlich ist, wird sie in der DSGVO nunmehr erstmals ausdrücklich benannt. Gleichwohl fehlt ein Hinweis, auf welchem Weg der Nachweis ausreichend erbracht ist. Für das E-Mail-Marketing bedeutet dies, dass auch zukünftig auf Beweisinstrumente wie das Double-Opt-In-Verfahren und die Protokollierung von Anmeldeprozessen nicht verzichtet werden kann. Ohne belegbaren Nachweis ist die Einwilligung quasi nicht existent, da sie vor Gericht nicht hinreichend bewiesen werden kann.


✍ Geltung der Einwilligung

Von jeher umstritten ist die Geltungsdauer erteilter Einwilligungserklärungen. Um es gleich vorweg zu sagen: Auch dies wird weder in der DSGVO noch im finalen Entwurf der ePrivacy-VO ausdrücklich geregelt. Allerdings gibt Art. 9 der ePrivacy-Verordnung konkrete Vorgaben zum Widerruf und sich darauf beziehende Hinweise.

Geltung der Einwilligung nach DGSVOZukünftig müssen Nutzer in periodischen Intervallen von sechs Monaten auf diese Widerrufsmöglichkeit hingewiesen werden. Bei einer regelmäßigen Nutzung eines Newsletters ist dies unproblematisch, da in jeder Werbemail regelmäßig Abmeldelinks enthalten sind. Bleiben E-Mail-Adressen hingegen über einen längeren Zeitraum ungenutzt, müssen Nutzer alle sechs Monate darauf hingewiesen werden, dass die abgegebene Einwilligungserklärung widerruflich ist.

Wird diese Frist versäumt, besteht die Gefahr, dass abgegebene Erklärungen automatisch ihre Wirksamkeit verlieren. Erstmals könnte somit aus dieser Hinweispflicht eine Geltungsdauer von datenschutzrechtlichen Einwilligungserklärungen für das E-Mail-Marketing abgeleitet werden.


✍ Ausnahmen für Newsletter an eigene Kunden bleiben bestehen

Bereits nach geltender Gesetzeslage ist eine Werbemail an eigene Kunden ohne Einwilligung erlaubt, wenn die Anforderungen des § 7 Absatz 3 UWG beachtet werden. Diese Ausnahme ist jedoch an sehr strenge Voraussetzungen gebunden, die in der Praxis häufig wenig beachtet oder bewusst überstrapaziert werden.

Der europäische Gesetzgeber hat sich aber zur Beibehaltung dieser Ausnahme entschieden und im Entwurf der ePrivacy-VO in Art. 16 Absatz 2 eine ähnliche Vorschrift für Bestandskunden festgeschrieben. Danach ist eine Einwilligung im E-Mail-Marketing weiterhin entbehrlich, wenn die E-Mail-Adresse im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Einklang mit der DSGVO erhoben wurde und zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwendet wird. Der Kunde muss dabei klar und deutlich darauf hingewiesen werden, einer solchen Nutzung kostenlos und auf einfache Weise widersprechen zu können. Das Widerspruchsrecht muss bei Erlangung der Angaben und bei jedem Versand einer Nachricht beachtet werden.

Es bleibt somit weitestgehend bei der bisherigen Praxis. Die Herausforderung wird weiterhin bleiben, dass Unternehmen das Widerspruchsrecht bereits „bei Erlangung“ der E-Mail-Adresse beachten müssen. Ob dieser Hinweis innerhalb einer Datenschutzerklärung „versteckt“ werden darf oder gesondert erteilt werden muss, muss die Rechtsprechung durch Auslegung ermitteln. Dabei sei hier auch darauf hingewiesen, dass die ePrivacy-Verordnung noch im Entwurfsstadium steckt und etwaige Änderungen des Gesetzestextes nicht ausgeschlossen werden können.


✍ Weitere Hinweispflichten

Hinweise zum Datenschutz sind bereits auf Websites gängige Praxis und nach den Vorgaben des Telemediengesetzes verpflichtend. Die DSGVO ersetzt diese Hinweispflichten durch neue Regelungen in den Artikeln 13 und 14 DSGVO.

Bei der Einholung von Erklärungen müssen zukünftig u.a. die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, eine mögliche Übermittlung in Drittländer und die Dauer der Speicherung informiert werden.

Elektronisch lässt sich dies mit einer Bestätigung der (auf das neue Recht angepassten) Datenschutzerklärung erledigen. Werden hingegen Erklärungen schriftlich eingeholt, müssten Unternehmen mit zusätzlichen Textbausteinen auf die Verwendung der erhobenen Daten gesondert hinweisen. Dies belastet nicht nur die Unternehmen, sondern dürfte im Regelfall auch die Verbraucher überfordern, die sich durch immer umfangreichere Texthinweise arbeiten müssen.

 
Fazit: Das E-Mail-Marketing wird auch zukünftig ohne ausdrückliche Einwilligungserklärung der Nutzer kaum funktionieren. Dabei bleiben elektronisch eingeholte Erklärungen, die über Double Opt-In verifiziert wurden, nach bisheriger Auffassung weiterhin gültig. Probleme könnten nur dann auftreten, wenn das Koppelungsverbot bei bestehenden Einwilligungserklärungen missachtet wurde.

Das neue Koppelungsverbot verbietet zukünftig die Erhebung von Daten, welche für den Newsletter nicht benötigt werden. Unternehmen sind hier gut beraten ihre Registrierungsformulare hinsichtlich der Pflichtangaben rechtlich prüfen zu lassen.

Die Geltungsdauer der Einwilligungserklärung ist weiterhin nicht gesetzlich geregelt. Aus den neuen Regelungen zum Widerspruchsrecht innerhalb der ePrivacy-VO könnte jedoch eine maximale Geltungsdauer von sechs Monaten abgeleitet werden.

In jedem Fall müssen sich Unternehmen mit den neuen Hinweispflichten auseinandersetzen und ihre Datenschutzerklärungen auf Websites und Textbausteine auf Formularen anpassen lassen.




In Teil 1 erfahren Sie alles Wissenswerte zu den Grundlagen der neuen EU Datenschutzgrundverordnung.
In Teil 2 geht es um die Schwerpunkte Datentransfer & Tracking in der Digitalbranche.

David Oberbeck, Partner bei Herting Oberbeck RAe in Hamburg, www.datenschutzkanzlei.de


Bildquellen: ©Fotolia/marog-pixcells, ©Shutterstock/SaschaPreussner, ©iStock/hocus-focus,©iStock/Serg

Beitrag kommentieren

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.