Bußgeld in Höhe von 310.000 EUR: Einkauf und Verwendung von Datensätzen (Leads) für Werbezwecke ohne rechtmäßige Einwilligung

Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 310.000 EUR gegen das Unternehmen FORIOU erlassen, weil das Unternehmen personenbezogene Datensätze ohne Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für Marketingzwecke verwendet hat (Pressemitteilung der CNIL). Der konkrete Fall an sich mag „wenig spannend“ klingen, jedoch sind die der Entscheidung zugrunde liegenden Ansichten der CNIL generell praxisrelevant für den Umgang mit Daten von Kunden oder potentiellen Neukunden.

Entscheidung der CNIL

FORIOU führt telefonische Akquisitionskampagnen durch, um die von ihm vermarkteten Treueprogramme und -karten zu bewerben. Die Daten der potentiellen Interessenten kauft das Unternehmen von Datenmaklern und Betreibern von Websites für Gewinnspiele und Produkttests. Im Grunde also ein recht alltäglicher Vorgang in der heutigen digitalen Wirtschaft – der Einkauf von Leads / Datensätzen für Werbezwecke.

Die CNIL stellte im Rahmen einer Untersuchung jedoch fest, dass FORIOU keine Rechtsgrundlage, in Form einer wirksamen Einwilligung nach Art. 6 Abs. 1 a) DSGVO, für die Verwendung der Daten nachweisen konnte. Hierbei lag der Fehler nicht nur bei dem werbenden Unternehmen selbst – die Datensätze / Leads waren quasi schon ohne ausreichende Rechtsgrundlage erhoben und mit diesem Makel der „Rechtswidrigkeit“ an FORIOU verkauft worden. Folgende Verstöße legte die CNIL dem Unternehmen zur Last:

  • Irreführende Darstellung der Formulare zur Datenerhebung und Einholung einer (unwirksamen) Einwilligung bei den Datenlieferanten.
  • Die Zustimmungs-Schaltflächen, mit denen die Betroffenen die Einwilligung in die Weitergabe und werbliche Nutzung ihrer Daten erteilen sollten, wurden (durch ihre Größe, Farbe, Überschrift und Position) viel größer und deutlicher hervorgehoben, als die Ablehnungsmöglichkeit.
  • Zudem ist FORIOU, als Käufer der Daten, nach der DSGVO verpflichtet, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung erteilt haben.
  • Zwar habe FORIOU seinen Datenlieferanten im Vorfeld bestimmte vertragliche Anforderungen auferlegt – diese jedoch im weiteren Verlauf nicht wirksam kontrolliert.
  • Zudem wurde FORIOU nicht in jedem Formular als Partner / Unternehmen erwähnt, welches die Daten für werbliche Nutzungszwecke erhält.

Fazit

Die Entscheidung der CNIL knüpft inhaltlich an die festgestellten Verstöße im vergangenen Bußgeldverfahren gegen das Unternehmen CRITEO an. Für die Praxis bedeutet dies, dass Unternehmen, wenn sie personenbezogene Daten von Datenlieferanten, Partnern oder auch Konzerngesellschaften erhalten, stets selbst dafür Sorge tragen müssen, dass eine Rechtsgrundlage für den intendierten Nutzungszweck vorhanden ist.

AG München: Zeitlicher Ablauf von Newsletter-Einwilligungen – 4 Jahre Inaktivität nach Vertragsende führen zur Unwirksamkeit

Das AG München entschied in einem Urteil vom 14.02.2023 (Az. 161 C 12736/22), dass der Versand von E-Mail-Werbung wegen fehlender Einwilligung unzulässig sei, da diese Einwilligung infolge Zeitablaufs unwirksam wurde.

Sachverhalt

Der Kläger war bis zum Jahr 2017 Mitglied in einem Golfclub und im Rahmen dieser Mitgliedschaft wohl auch Inhaber eines Accounts bei der Beklagten. Zu diesem Zeitpunkt lag eine ausdrückliche Einwilligung in die Zusendung von Newslettern unstreitig vor. Gleichzeitig geht das AG davon aus, dass das Abonnement wohl an eine Mitgliedschaft in dem Golfclub gekoppelt war.

Nach Ende der Mitgliedschaft im Golfclub sendete die Beklagte dem Kläger keine Newsletter mehr zu, bis der Kläger zum Ende des Jahres 2021, nach Ende der Kooperation der Beklagten mit dem Deutschen Golf Verband, doch wieder einen Newsletter erhielt. Innerhalb der vergangen vier Jahre nutzte der Kläger weder seinen Account bei der Beklagten, noch erhielt er E-Mails.

Entscheidung des Gerichts

Das AG geht davon aus, dass die ursprünglich erteilte Einwilligung „angesichts der Umstände des Einzelfalls infolge Zeitablaufs nicht mehr wirksam“ war.

Das Gericht stellt dar, dass die Frage, ob und ab wann eine ursprünglich erteilte Einwilligung nicht mehr wirksam ist, in der Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt sei. Hierzu zitiert das AG auch verschiedenste Ansichten in Rechtsprechung und Literatur.

Das AG bezieht sich in seinen Gründen vor allem auf das BGH-Urteil vom 01.02.2018 (Az. III ZR 196/17). Dort entschied der BGH, dass § 7 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Daher erlischt eine Einwilligung grundsätzlich nicht durch Zeitablauf. In dem konkreten Fall hatte sich der BGH aber mit der Konstellation zu befassen, dass die streitgegenständliche Einwilligung ohnehin nur auf maximal 2 Jahre nach Vertragsbeendigung begrenzt war. Während dieses überschaubaren Zeitraums, so der BGH, könne bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse in Erhalt der E-Mails ausgegangen werden.

Das AG musste nun aber zu einem etwas anderen Sachverhalt entscheiden: 4 Jahre waren nach Ende der Mitgliedschaft vergangen und zudem in dieser Zeit gar keine Newsletter versendet worden. Das AG stützt sich in seiner Begründung vor allem auf die vom BGH angeführten „fortbestehenden Interessen“ des Einwilligenden.

Selbst wenn man davon ausgeht, dass eine Einwilligung grundsätzlich zeitlich unbegrenzt gilt, so ist hier nach den Umständen des Einzelfalls nicht mehr von einem Fortbestehen der Einwilligung des Klägers auszugehen.“

Relevante Faktoren sind für das AG der lange Zeitraum von 4 Jahren, ohne Erhalt von Newslettern und fehlende Nutzung des Mitgliedskontos.

Aus diesen Gründen „durfte die Beklagte nicht davon ausgehen, die Einwilligung des Klägers bestehe fort. Sie hätte sich vielmehr zunächst erkundigen müssen, ob dies noch der Fall war“.

Fazit

2 Jahre nach Vertragsende ok, 4 Jahre zu lang? Das könnte man nun evtl. als Leitlinie mitnehmen, wenn es um die Frage der zeitlichen Wirksamkeit von Einwilligungen geht. Jedoch sollte man beachten, dass die Entscheidungen des BGH und hier des AG auf Sachverhaltsebene nicht deckungsgleich und daher auch nicht einfach aufeinander übertragbar sind. Insbesondere ist im Fall des AG nicht klar, wie die Einwilligung konkret ausgestaltet war (ob also, wie beim BGH, in dem Einwilligungstext selbst auf den Zeitraum der Verwendung für den Newsletter hingewiesen wurde).

Europäischer Datenschutzbeauftragter: Newsletter-Dienst, der die Übermittlung von Daten in Drittländer beinhaltet, mit ausdrücklicher Zustimmung möglich

Diese Woche hat der EDSB seinen jüngsten Jahresbericht (PDF) veröffentlicht.

In dem Bericht (S. 75) informiert der EDSB über ein Beratungsersuchen einer europäischen Institution (EUI). Die EUI nutzte einen Newsletter-Dienst, bei dem interessierte Personen den Newsletter über die Website der EUI abonnieren konnten, „auf der Grundlage ihrer Zustimmung“ und „nachdem sie sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken) erhalten hatten“.

Der Dienstleister der EUI war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Eine in der Praxis sehr oft anzutreffende Konstellation.

Nach Ansicht des EDSB ist die Inanspruchnahme eines solchen Dienstes nicht per se rechtswidrig. Auch die Datenübermittlung in die USA ist für sich kein Ausschlusskriterium. Jedoch nennt der EDSB einige Anforderungen, die es seiner Ansicht nach zu erfüllen gilt. Im konkreten Fall befasst sich die Aufsichtsbehörde mit der Ausnahmevorschrift des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725. Diese gilt zwar nur für öffentliche Stellen der EU. Jedoch sind die Regelungen zum Teil deckungsgleich mit jenen der DSGVO. Daher sind die Hinweise des EDSB auch für eine Anwendung von Art. 49 Abs. 1 lit. a DSGVO relevant.

Der EDSB legt einige spezifische Anforderungen fest:

  • Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss die EUI sicherstellen, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten
  • Die Informationen müssen die Risiken der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
  • Die EUI muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen (zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)

Der EDSB verlangt also zwei, wohl separate Einwilligungen der Betroffenen. Eine für den Newsletter als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Generalanwalt am EuGH: Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln – Einwilligung erforderlich

Am 24. Juni 2021 hat der Generalanwalt (GA) am EuGH in der Rs. C-102/20 seine Schlussanträge vorgestellt. Sollte der EuGH der Begründung des GA folgen, würde dies eine Einwilligungspflicht auf für Inbox-Werbung bedeuten.

Hintergrund

Der BGH legte dem EuGH mit Beschluss vom 30.1.2020 (Az. I ZR 25/19) einige interessante Fragen zur Anwendung der strengen Anforderungen an E-Mail-Werbung auf sog. Inbox-Werbung vor. Fraglich war für den BGH, ob bei dieser Art von Werbeeinblendungen die Voraussetzungen für E-Mail-Werbung ebenso zu beachten sind. Dies würde im Grundsatz eine Einwilligungspflicht nach § 7 Abs. 2 Nr. 3 UWG nach sich ziehen. Auslegungsgrundlage waren in den Vorlagefragen die relevanten europarechtlichen Vorschriften zur Einwilligungspflicht, also Art. 2 Abs. 2 lit. h RL 2002/58/EG (Begriff der „elektronischen Post“) und Art. 13 Abs. 1 RL 2002/58/EG.

In dem zugrundliegenden Verfahren wurde eine Werbeagentur damit beauftragt, Werbeeinblendungen in E‑Mail-Postfächern von Nutzern des kostenlosen E‑Mail-Dienstes T‑Online umzusetzen. Die Werbenachrichten erschienen im privaten Postfach eines Nutzers von T‑Online. In seiner Inbox, d. h. in dem Bereich, in dem die eingegangenen E‑Mails listenförmig angezeigt werden. Die Werbenachrichten waren in eingegangene E‑Mails eingebettet. Im Unterschied zu normalen E‑Mails war die Werbenachricht mit dem Wort „Anzeige“ versehen, grau unterlegt und enthielt weder ein Datum noch einen Absender, konnte nicht archiviert oder weitergeleitet werden und konnte auch nicht mit den vom E‑Mail-Dienstleister zur Verfügung gestellten Möglichkeiten zur Bearbeitung von E‑Mails beantwortet werden. Die Einblendung der Werbenachrichte erfolgte nach dem Zufallsprinzip.

Begründung des GA

Nach Auffassung des GA erfüllt die hier streitgegenständliche Anzeige in den eingegangen Mails das Merkmal der „elektronischen Post“.

Dies ist nach Art. 2 Abs. 2 lit. h RL 2002/58/EG „jede … Text‑, Sprach‑, Ton- oder Bildnachricht“. Nach dem GA ist dieses Merkmal hier durch eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende sicherlich erfüllt (Rz 42).

Zudem muss die Nachricht „über ein öffentliches Kommunikationsnetz [verschickt]“ werden. Zweitens muss diese Nachricht „im Netz oder im Endgerät des Empfängers gespeichert werden“ können. Drittens muss diese Nachricht von ihrem Empfänger abgerufen werden können.

Der GA befürwortet eine Argumentation im Sinne einer funktionalen Auslegung des Begriffs „elektronische Post“, die zu der Annahme führen könnte, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende die Voraussetzungen erfüllt. Auf jeden Fall, so der GA, dürfe dieser Begriff nicht isoliert, sondern müsse unter Berücksichtigung der Bestimmung, in der er verwendet wird, d. h. im vorliegenden Fall des Art. 13 Abs. 1 RL 2002/58/EG, ausgelegt werden.

Daher befasst sich der GA nachfolgend mit den Vorgaben des Art. 13 Abs. 1. Eine Einwilligung bedürfen Nachrichten für die Zwecke der Direktwerbung, d. h. Nachrichten zu kommerziellen Zwecken, die sich direkt und individuell an die Nutzer elektronischer Kommunikationsdienste richten. Zum anderen müssen diese Nachrichten den Nutzern durch „[d]ie Verwendung von automatischen Anruf- und Kommunikationssystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post“ zugehen (Rz. 51). Abzugrenzen sind die Vorgaben des Art. 13 Abs. 1 daher von Werbefenstern oder Bannern, die beim Aufrufen von Internetseiten erscheinen können.

Danach geht der GA zur Auslegung noch auf ErwG 67 der RL 2009/136/EG und ErwG 40 der RL 2002/58/EG ein. Danach ist für den GA deutlich, dass der Unionsgesetzgeber von einem weiten, über E‑Mails allein hinausgehenden Verständnis der elektronischen Kommunikationsmittel, mit denen Direktwerbung durchgeführt wird, ausgehen wollte (Rz. 53).

Danach wird es etwas konkreter und der GA prüft das Vorliegen der Voraussetzungen im konkreten Fall. Entscheidend sei hier, dass die in Rede stehenden Werbenachrichten ihre Adressaten tatsächlich durch die Verwendung elektronischer Post erreichen.

Vorliegend erscheinen die Nachrichten in der Inbox des Kontos eines Nutzers eines E‑Mail-Dienstes, d. h. an einer Stelle, die normalerweise elektronischer Post im engeren Sinne, nämlich privaten E‑Mails, vorbehalten ist.

Der Absender dieser Nachrichten bedient sich somit der elektronischen Post, um den Verbraucher zu erreichen, so dass es sich in Übereinstimmung mit dem 67. Erwägungsgrund der Richtlinie 2009/136, in dessen Licht Art. 13 Abs. 1 der Richtlinie 2002/58 auszulegen ist, tatsächlich um Nachrichten für die Zwecke der Direktwerbung „per elektronischer Post“ handelt.“ (Rz. 54)

Die Einblendung von Nachrichten wie hier, in die Liste privater E‑Mails ist daher nach Ansicht des GA als Verwendung „elektronischer Post“ für die Zwecke der Direktwerbung einzustufen.

Und das bedeutet: es gilt das Einwilligungserfordernis des Art. 13 Abs. 1 RL 2002/58/EG.

Dass die Werbeeinblendungen hier deutlich anders gestaltet sind als normale E-Mails, macht für den GA keinen Unterschied. So argumentiert der GA, dass die streitige Werbung auf derselben Ebene wie private E‑Mails erscheint. Daher komme ihr dieselbe Aufmerksamkeit zu wie die, die der Nutzer diesen privaten E‑Mails widmet. Zudem, so der GA, bestehe die Gefahr einer Verwechslung durch die Nutzer, da die Werbenachrichten Zeilen in der Inbox einnehmen, die normalerweise privaten E‑Mails vorbehalten sind und Ähnlichkeit mit privaten E‑Mails aufweisen (Rz. 55).

Auch der Umstand, dass die Werbenachricht im Gegensatz zu privaten E‑Mails grau unterlegt ist, keinen Speicherplatz einnimmt und nicht die üblichen Funktionalitäten von E‑Mails bietet, ändert für den GA nichts an seiner Einschätzung. Nach seiner Ansicht kann sich aus solchen Werbenachrichten trotzdem eine Beeinträchtigung der Privatsphäre von Nutzern eines E‑Mail-Dienstes ergeben, die Art. 13 Abs. 1 RL 2002/58/EG verhindern möchte (Rz. 56).

Der GA folgert daraus insgesamt:

Daraus folgt, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende meines Erachtens in den Anwendungsbereich von Art. 13 Abs. 1 der Richtlinie 2002/58 fällt. Folglich ist eine solche Maßnahme der Direktwerbung unzulässig, wenn der Empfänger ihr nicht zuvor zugestimmt hat.“ (Rz. 63)

Ausblick

Wenn auch der EuGH der Begründung des GA folgt, müsste Inbox-Werbung in Zukunft nur mit vorheriger Einwilligung angezeigt werden. Eine (enge) Ausnahme mag es noch im Rahmen der Bestandskundenansprache geben (§ 7 Abs. 3 UWG). Die dortigen Voraussetzungen passen auf den hier relevanten Fall aber nicht ganz, denn so verlangt etwa Abs. 3 Nr. 1, dass ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat. Wenn aber Inbox-Werbung nach dem Zufallsprinzip (in Bezug auf de Nutzer) erfolgt, hat der Unternehmer im Zweifel gar nicht die E-Mail-Adresse des Kunden bzw. weiß er nicht, ob der Nutzer auch Kunde ist. Spannend wäre dann die Frage, ob auch die Ausnahmen nach § 7 Abs. 3 UWG (Art. 13 Abs. 2 RL 2002/58/EG) entsprechend technologieneutral ausgelegt werden dürfen.

Deutsche Datenschutzbehörden veröffentlichen neue Orientierungshilfe zur Datenverarbeitung für Werbezwecke unter der DSGVO

Vom 6. bis 8.11.2018 trafen sich die deutschen Aufsichtsbehörden zu der 96. Konferenz der Datenschutzkonferenz (DSK). Auf dieser Konferenz haben die Behörden auch die für die Praxis sehr relevante Orientierungshilfe zur Datenverarbeitung für Werbezwecke (pdf) überarbeitet und beschlossen.

Die Orientierungshilfe ist recht umfangreich (14 Seiten), daher möchte ich hier nur ein paar Punkte daraus ansprechen.

Die DSK weist darauf hin, dass Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung nach der DSGVO

abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO

ist. Die Darstellung der DSK mutet leider so an, als ob sie davon ausgeht, dass tatsächlich nur diese beiden Erlaubnistatbestände bei der Verarbeitung für Werbezwecke einschlägig wären. Dies würde aber einer Sperrung der anderen Erlaubnistatbestände (z.B. Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO) mit sich bringen, die so in der DSGVO nicht angelegt ist und auch durch den EuGH zur vormaligen Datenschutz-Richtlinie im Rahmen der Auslegung des TMG als europarechtswidrig angesehen wurde.

Hinsichtlich der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO geht die DSK davon aus, dass sowohl

  • die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind (siehe ErwG 47 DSGVO), als auch
  • zu fragen ist, was objektiv vernünftigerweise erwarten werden kann und darf. Entscheidend sei daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Hinsichtlich der Erwartungen der betroffenen Person geht die DSK davon aus, dass diese auch durch die Informationen nach Art. 13 und 14 DSGVO geformt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Diese Klarstellung ist meines Erachtens als positiv anzusehen, denn sie zeigt, dass die DSK davon ausgeht, dass Unternehmen die Erwartungen der Betroffenen durchaus selbst gestalten können. Zumindest zu einem gewissen Teil. Denn die DSK fügt direkt hinzu, dass die

Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Sehr relevant sind dann die von der DSK aufgestellten Praxisfälle zur Interessenabwägung:

  • Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weitere Produkte des Verantwortlichen zugesendet wird.
  • Auch bei der Nutzung eines Selektionskriteriums zur Einteilung in Werbegruppen und wen sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt, wird die Interessenabwägung in der Regel ebenfalls zugunsten des Verantwortlichen ausfallen.
  • Im Fall von eingriffsintensiveren Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, überwiege jedoch nach Ansicht der DSK ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung.

Den letztgenannten Fall sieht die DSK als „Profiling“ an, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht.

Interessant ist auch die Auslegung der Vorschriften der DSGVO im Hinblick auf die Wechselwirkung mit dem UWG. Nach Auffassung der DSK sind

auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen.

Hinsichtlich der Bestandskundenwerbung (§ 7 Abs. 3 UWG) bestätigt die DSK, dass die damit verbundene Datenverarbeitung auf der Grundlage einer Interessenabwägung zulässig ist. Überwiegende schutzwürdige Interessen

sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hinsichtlich der Telefonwerbung, für Anrufe bei Verbrauchern, weist die DSK darauf hin, dass das UWG (§ 7 Abs. 2 Nr. 2) keine Ausnahme vom Einwilligungserfordernis vorsieht. Hieraus leitet die DSK ab, dass

ein solches Nutzen von Telefonnummern ohne vorherige Einwilligung wegen der besonderen Auswirkungen dieser Werbeform (stärkere Belästigung/Störung) datenschutzrechtlich an den überwiegenden schutzwürdigen Interessen der betroffenen Personen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO scheitert.

Es wird also deutlich, dass die DSK die wettbewerbsrechtlichen Anforderungen des UWG in die Interessenabwägung nach der DSGVO mit hineinliest. Diese Ansicht mag man nicht unbedingt teilen, etwa mit dem Argument, dass es sich um zwei verschiedene Gesetze und auch zugrundeliegende europäischen Gesetze handelt (einmal die RL 2002/58/EG und zum anderen DSGVO), die nebeneinander und voneinander getrennt anzuwenden und zu prüfen sind.

Daneben geht die DSK auch auf die nach Art. 13 und 14 DSGVO zu erteilenden Informationen ein. Hier weisen die Aufsichtsbehörden darauf hin, dass zwar grundsätzlich zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO zu informieren ist. Allerdings bestehe nicht immer die Möglichkeit, der betroffenen Person alle Informationen auf einmal vollständig zu erteilen. In diesem Fall spricht sich die DSK für die Umsetzung eines zweistufigen Informationsmodells aus.

Hinsichtlich der Nachweisbarkeit einer Einwilligung empfehlen die Behörden, das Double-Opt-In-Verfahren zu nutzen. Wie der Nachweis inhaltlich gestaltet sein soll, geben die Behörden nicht vor. Jedoch weisen sie darauf hin, dass die Anforderungen des Art. 5 Abs. 2 DSGVO und des BGH (Urteil vom 10. Februar 2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind.

Das bloße Abspeichern der IP-Adressen von Anschlussinhabern und die Behauptung, dass von diesen eine Einwilligung vorliege, genügen dem BGH nicht. Der Nachweis der Einwilligung erfordert mehr, z. B. die Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.

Zuletzt möchte ich noch darauf hinwiesen, dass die Behörden auf den „Verfall“ von Einwilligungen eingehen. Die Aufsichtsbehörden weisen darauf hin, dass die Zivilgerichte

bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit“ sehen. Dazu wird auf das LG München I (Urteil vom 8. April 2010, Az. 17 HK O 138/10) verweisen).

Leider weisen die Aufsichtsbehörden in diesem Zusammenhang nicht auf ein aktuelleres Urteil des BGH (Urteil vom 1.2.2018 – III ZR 196/17) hin. In diesem Urteil entschied der BGH zu § 7 UWG:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

Google ändert Nutzungsbedingungen – was es zu beachten gilt

Heute gab Google bekannt, dass es mit Wirkung zum 11. November 2013 neue Nutzungsbedingungen in all seinen Diensten verwenden wird.

Die Zusammenfassung der Änderungen (für Personen mit, wörtlich, „Abneigung gegen Juristendeutsch“) führt als wohl aus Sicht der Nutzer wichtigsten Punkt die folgende Anpassung auf:

Zunächst erläutern wir, wie und in welchem Rahmen Ihr Profilname und Foto in Google-Produkten erscheinen kann, etwa in Erfahrungsberichten, Bewertungen, Werbung oder in anderen kommerziellen Kontexten.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Digitale Wirtschaft: Britischer Ausschuss tadelt Google und unterstützt Online-Werbung

Die Mitglieder des Ausschusses für Kultur, Medien und Sport des Britischen Unterhauses haben in einem Bericht (Supporting the creative economy) vom 26.09.2013 unter anderem ihre Ansichten zur Entwicklung der digitalen Wirtschaft in Großbritannien dargelegt.

Dabei geht es auch um Probleme und Herausforderungen auf dem Gebiet des Urheberrechts und des Datenschutzrechts, sowie um Implikationen für britische Unternehmen der kreativen und digitalen Wirtschaft.
Continue reading