3 große Irrtümer im E-Mail-Marketing und Datenschutz
E-Mail-Marketng und Datenschutz: Seit Geltung der Datenschutzgrundverordnung (DSGVO) sind das E-Mail-Marketing und die Leadgenerierung für Marketiers nicht gerade einfacher geworden. Es stellen sich jetzt Fragen wie „Über welchen Kanal darf ich den Lead kontaktieren?“, „Darf ich das Klickverhalten speichern?“ oder „Welche Daten kann ich für unser E-Mail-Marketing nutzen?“
Kompliziert ist es auch, weil nicht nur das Datenschutzrecht zu beachten ist, denn parallel dazu gelten für deutsche Unternehmen außerdem das Gesetz gegen den unlauteren Wettbewerb (UWG) sowie das Bürgerliche Gesetzbuch (BGB) weiter. Die Konsequenzen bei Verstößen sind dabei ganz unterschiedlich: Wer unbefugt Daten verarbeitet, unzulässige E-Mails verschickt oder unerlaubt Werbeanrufe tätigt, dem drohen nicht nur Bußgelder der Datenschutzbehörden nach der DSGVO wegen unzulässiger Datenverarbeitung. Er könnte auch unter anderem von Mitbewerbern, Abmahnvereinen oder Verbraucherschutzverbänden wettbewerbsrechtlich abgemahnt werden. Hinzu kommt, dass die Empfänger der E-Mails oder die Angerufenen ebenfalls zivilrechtlich Unterlassung verlangen und kostenpflichtig abmahnen können. Dabei stellen wir in der täglichen Beratungspraxis immer wieder fest, dass rechtlich im E-Mail-Marketing immer wieder dieselben Irrtümer bestehen:
Irrtum 1: Firmendaten können einfach gespeichert und genutzt werden
Das ist falsch. Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Dazu gehören zwar nach Art. 1 DSGVO und Erwägungsgrund 14 DSGVO nicht die Daten einer juristischen Person an sich (Beispiel: Name und Adresse der Beispielsfirma XY GmbH). Allerdings unterscheidet die Verordnung nicht zwischen personenbezogenen Daten aus dem Bereich B2C (Business-to-Consumer) oder B2B (Business-to-Business). Damit können grundsätzlich auch Daten von geschäftlichen Kontakten personenbezogen sein. Es muss aber ein sog. Personenbezug gegeben sein, d. h. eine natürliche Person hinter den Daten stehen. Das ist insbesondere dann der Fall, wenn der Name einer Person in der E-Mailadresse verwendet wird.
Irrtum 2: Bestandsdaten kann ich im E-Mail-Marketing und Datenschutz immer für Werbe-Mails nutzen
Das kommt darauf an. Beim E-Mail-Marketing und Datenschutz darf eine wichtige Vorschrift nicht vergessen werden: § 7 UWG regelt die Frage, über welchen Kanal ein Empfänger von Werbung angesprochen werden darf und ob dafür eine Einwilligung erforderlich ist. Im Verhältnis zur DSGVO ergibt dabei folgende Rechtslage:
Nach § 7 Abs. 2 Nr. 3 UWG dürfen E-Mails nur dann an Emfänger versendet werden, wenn diese dazu zuvor ausdücklich eingewilligt haben. Das Gesetz unterscheidet insoweit übrgens nicht zwischen B2C- und B2B-Empfängern.
Es gibt Fälle, in denen E-Mails ohne Einwilligung versendet werden dürfen. § 7 Abs. 3 UWG lässt das unter engen Voraussetzungen an Bestandskunden zu:
- Das Unternehme hat die Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden erhalten UND
- das Unternehmen verwendet die Adresse ausschließlich zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen UND
- der Kunde hat der Verwendung bislang nicht widersprochen UND
- der Kunde wurde bei Erhebung der Adresse auf die geplante Verwendung auch zu Zwecken der eigenen E-Mail-Werbung und die Widerspruchsmöglichkeit hingewiesen.
E-Mail Marketing und Datenschutz: Die DSGVO regelt parallel dazu die Frage, ob Daten überhaupt zu Werbezwecken verarbeitet werden dürfen.
Die Verarbeitung von Daten zum Zwecke der Kontaktaufnahme zu einem Interessenten, Kunden oder sonstigen Geschäftspartner erfordert datenschutzrechtlich – vollkommen unabhängig von § 7 UWG – entweder eine gesetzliche Grundlage oder die vorherige Einwilligung des Betroffenen nach der DSGVO:
(1) Zur Durchführung vorvertraglicher Maßnahmen auf eine Anfrage eines Interessenten hin oder zur Erfüllung eines Vertrags dürfen personenbezogene Daten bereits nach dem Gesetz verarbeitet werden, ohne dass es einer vorherigen Einwilligung des Betroffenen bedarf (Art. 6 Abs. 1 lit. b DSGVO).
Beispiele:
- jemand fragt per E-Mail nach einem Angebot;
- über das Kontaktformular der Webseite wird ein Katalog bestellt;
- eine Bestellung aus dem Onlineshop wird abgewickelt und der Käufer erhält die Bestell-Eingangsbestätigung, Auftragsbestätigung oder Rechnung per E-Mail.
Hier muss der Betroffene nicht jeweils erst gefragt werden, ob er mit der Speicherung seiner Daten einverstanden ist, damit seine Anfrage beantwortet oder seine Bestellung bearbeitet werden kann. Allerdings dürfen die Kontaktdaten des Betroffenen nicht automatisch auch zu Werbezwecken gespeichert und später für die Leadgenerierung genutzt werden.
(2) Sollen Daten von Interessenten und Kunden darüber hinaus auch zu Werbezwecken genutzt werden, ist das nur mit einer speziellen Werbe-Einwilligung zulässig (Art. 6 Abs. 1 lit. a DSGVO) oder es besteht ein überwiegendes berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO):
Die DSK geht in einer im November 2018 veröffentlichten Orientierungshilfe ( hier unter Ziffer 1.4.1.) etwa davon aus, dass ein Unternehmen, dass für die Versendung von Werbemails keine Einwilligung benötigt, da die Voraussetzungen der Ausnahme nach nach § 7 Abs. 3 UWG erfüllt sind, auch datenschutzrechtlich keine Einwilligung einholen muss. In einem solchen Fall dürfen die Daten dafür auch nach der DSGVO ohne vorherige Einwilligung verarbeitet und auf Grundlage eines berechtigten Interesses für das E-Mail-Marketing genutzt werden.
Irrtum 3: Tracking erfordert nach der neuen ePrivacy-Verordnung immer eine Einwilligung
Das ist falsch. Die ePrivay-Verordnung ist überhaupt noch nicht in Kraft getreten – und es wird offensichtlich auch noch ein bisschen dauern. Der Bundesverband Digitale Wirtschaft (BVDW) hat dazu eine sehr schöne Grafik zu den zeitlichen Abläufen erarbeitet, die ständig aktualisiert wird. Danach ist mit einem Inkrafttreten der E-Privacy-Verordnung aktuell nicht vor 2023/2024 zu rechnen.
UPDATE: Dass das Tracking des Öffnungs- und Klickverhaltens von E-Mail-Empfängern und das Speichern in einem Profil eine Einwilligung erfordert, kann man mittlerweile jedoch aus dem Urteil des Bundesgerichtshofs vom 28.05.2020 herauslesen, über das wir hier im Blog berichtet haben.
Auch die Meinung der DSK war es von Anfang an,dass sowohl die Analyse des Öffnungs- und Klickverhaltens, als auch das darauf basierende Versenden von personalisierten E-Mails eine vorherige Werbe-Einwilligung des Empfängers erfordert. Die DSK hatte zum Tracking bereits am 26. April 2018 ein Positionspapier veröffentlicht, wonach in diesen Fällen immer eine Einwilligung des Betroffenen benötigt wird. Auch in der schon oben erwähnen Orientierungshilfe heißt es unter Ziffer 1.3 zur Tracking-Thematik:
„Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, sprechen hingegen dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. In diesen Fällen handelt es sich um Profiling, dass nicht mehr auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht. Das Widerspruchsrecht des Art. 21 DSGVO reicht dann nicht aus.“
Bildnachweis für diesen Beitrag: © mpix-foto – stock.adobe.com
Das könnte Sie ebenfalls zum Thema E-Mail-Marketing und Datenschutz interessieren: