Deutsche Datenschutzbehörden veröffentlichen neue Orientierungshilfe zur Datenverarbeitung für Werbezwecke unter der DSGVO

Vom 6. bis 8.11.2018 trafen sich die deutschen Aufsichtsbehörden zu der 96. Konferenz der Datenschutzkonferenz (DSK). Auf dieser Konferenz haben die Behörden auch die für die Praxis sehr relevante Orientierungshilfe zur Datenverarbeitung für Werbezwecke (pdf) überarbeitet und beschlossen.

Die Orientierungshilfe ist recht umfangreich (14 Seiten), daher möchte ich hier nur ein paar Punkte daraus ansprechen.

Die DSK weist darauf hin, dass Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung nach der DSGVO

abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO

ist. Die Darstellung der DSK mutet leider so an, als ob sie davon ausgeht, dass tatsächlich nur diese beiden Erlaubnistatbestände bei der Verarbeitung für Werbezwecke einschlägig wären. Dies würde aber einer Sperrung der anderen Erlaubnistatbestände (z.B. Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO) mit sich bringen, die so in der DSGVO nicht angelegt ist und auch durch den EuGH zur vormaligen Datenschutz-Richtlinie im Rahmen der Auslegung des TMG als europarechtswidrig angesehen wurde.

Hinsichtlich der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO geht die DSK davon aus, dass sowohl

  • die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind (siehe ErwG 47 DSGVO), als auch
  • zu fragen ist, was objektiv vernünftigerweise erwarten werden kann und darf. Entscheidend sei daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Hinsichtlich der Erwartungen der betroffenen Person geht die DSK davon aus, dass diese auch durch die Informationen nach Art. 13 und 14 DSGVO geformt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Diese Klarstellung ist meines Erachtens als positiv anzusehen, denn sie zeigt, dass die DSK davon ausgeht, dass Unternehmen die Erwartungen der Betroffenen durchaus selbst gestalten können. Zumindest zu einem gewissen Teil. Denn die DSK fügt direkt hinzu, dass die

Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Sehr relevant sind dann die von der DSK aufgestellten Praxisfälle zur Interessenabwägung:

  • Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weitere Produkte des Verantwortlichen zugesendet wird.
  • Auch bei der Nutzung eines Selektionskriteriums zur Einteilung in Werbegruppen und wen sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt, wird die Interessenabwägung in der Regel ebenfalls zugunsten des Verantwortlichen ausfallen.
  • Im Fall von eingriffsintensiveren Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, überwiege jedoch nach Ansicht der DSK ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung.

Den letztgenannten Fall sieht die DSK als „Profiling“ an, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht.

Interessant ist auch die Auslegung der Vorschriften der DSGVO im Hinblick auf die Wechselwirkung mit dem UWG. Nach Auffassung der DSK sind

auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen.

Hinsichtlich der Bestandskundenwerbung (§ 7 Abs. 3 UWG) bestätigt die DSK, dass die damit verbundene Datenverarbeitung auf der Grundlage einer Interessenabwägung zulässig ist. Überwiegende schutzwürdige Interessen

sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hinsichtlich der Telefonwerbung, für Anrufe bei Verbrauchern, weist die DSK darauf hin, dass das UWG (§ 7 Abs. 2 Nr. 2) keine Ausnahme vom Einwilligungserfordernis vorsieht. Hieraus leitet die DSK ab, dass

ein solches Nutzen von Telefonnummern ohne vorherige Einwilligung wegen der besonderen Auswirkungen dieser Werbeform (stärkere Belästigung/Störung) datenschutzrechtlich an den überwiegenden schutzwürdigen Interessen der betroffenen Personen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO scheitert.

Es wird also deutlich, dass die DSK die wettbewerbsrechtlichen Anforderungen des UWG in die Interessenabwägung nach der DSGVO mit hineinliest. Diese Ansicht mag man nicht unbedingt teilen, etwa mit dem Argument, dass es sich um zwei verschiedene Gesetze und auch zugrundeliegende europäischen Gesetze handelt (einmal die RL 2002/58/EG und zum anderen DSGVO), die nebeneinander und voneinander getrennt anzuwenden und zu prüfen sind.

Daneben geht die DSK auch auf die nach Art. 13 und 14 DSGVO zu erteilenden Informationen ein. Hier weisen die Aufsichtsbehörden darauf hin, dass zwar grundsätzlich zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO zu informieren ist. Allerdings bestehe nicht immer die Möglichkeit, der betroffenen Person alle Informationen auf einmal vollständig zu erteilen. In diesem Fall spricht sich die DSK für die Umsetzung eines zweistufigen Informationsmodells aus.

Hinsichtlich der Nachweisbarkeit einer Einwilligung empfehlen die Behörden, das Double-Opt-In-Verfahren zu nutzen. Wie der Nachweis inhaltlich gestaltet sein soll, geben die Behörden nicht vor. Jedoch weisen sie darauf hin, dass die Anforderungen des Art. 5 Abs. 2 DSGVO und des BGH (Urteil vom 10. Februar 2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind.

Das bloße Abspeichern der IP-Adressen von Anschlussinhabern und die Behauptung, dass von diesen eine Einwilligung vorliege, genügen dem BGH nicht. Der Nachweis der Einwilligung erfordert mehr, z. B. die Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.

Zuletzt möchte ich noch darauf hinwiesen, dass die Behörden auf den „Verfall“ von Einwilligungen eingehen. Die Aufsichtsbehörden weisen darauf hin, dass die Zivilgerichte

bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit“ sehen. Dazu wird auf das LG München I (Urteil vom 8. April 2010, Az. 17 HK O 138/10) verweisen).

Leider weisen die Aufsichtsbehörden in diesem Zusammenhang nicht auf ein aktuelleres Urteil des BGH (Urteil vom 1.2.2018 – III ZR 196/17) hin. In diesem Urteil entschied der BGH zu § 7 UWG:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

Google ändert Nutzungsbedingungen – was es zu beachten gilt

Heute gab Google bekannt, dass es mit Wirkung zum 11. November 2013 neue Nutzungsbedingungen in all seinen Diensten verwenden wird.

Die Zusammenfassung der Änderungen (für Personen mit, wörtlich, „Abneigung gegen Juristendeutsch“) führt als wohl aus Sicht der Nutzer wichtigsten Punkt die folgende Anpassung auf:

Zunächst erläutern wir, wie und in welchem Rahmen Ihr Profilname und Foto in Google-Produkten erscheinen kann, etwa in Erfahrungsberichten, Bewertungen, Werbung oder in anderen kommerziellen Kontexten.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Digitale Wirtschaft: Britischer Ausschuss tadelt Google und unterstützt Online-Werbung

Die Mitglieder des Ausschusses für Kultur, Medien und Sport des Britischen Unterhauses haben in einem Bericht (Supporting the creative economy) vom 26.09.2013 unter anderem ihre Ansichten zur Entwicklung der digitalen Wirtschaft in Großbritannien dargelegt.

Dabei geht es auch um Probleme und Herausforderungen auf dem Gebiet des Urheberrechts und des Datenschutzrechts, sowie um Implikationen für britische Unternehmen der kreativen und digitalen Wirtschaft.
Continue reading

OLG Hamburg: Abmahnung bei fehlenden Datenschutzhinweisen

Das OLG Hamburg hat mit Urteil vom 27.06.2013 (Az. 3 U 26/12) unter anderem entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs (so die gesetzliche Pflicht aus § 13 Abs. 1 S. 1 TMG) erteilt. Fehlen diese notwendigen Informationen im Rahmen der Vorhaltung einer Eingabemöglichkeit von Nutzerdaten (hier um Informationen zu erhalten bzw. ein Blutzuckermessgerät testen zu können), so verstößt dieses Verhalten nicht nur gegen das Datenschutzrecht, sondern berechtigt Wettbewerber auch dazu, den Webseitenbetreiber abzumahnen.

Diese Entscheidung ist deshalb interessant, weil es in der Rechtsprechung und der Literatur allgemein umstritten ist, inwiefern und wenn ja welche datenschutzrechtlichen Vorschriften einen Wettbewerbsbezug aufweisen und bei einer Verletzung solcher Vorschriften der Diensteanbieter eventuell durch Wettbewerber abgemahnt werden kann.
Continue reading

Unter der Datenschutzlupe: soziales Netzwerk „Path“

Das soziale Netzwerk „Path“ wird, entgegen mancher Unkenrufe, immer beliebter. Nach Angaben des Mitbegründers hat die Mitgliederzahl die 10 Millionenmarke überschritten und jede Woche kämen ca. 1 Millionen neue Nutzer hinzu.

Der Dienst

Die Grundidee von Path und ein wichtiger Unterschied etwa zu Facebook, ist eine Begrenzung der Kontakte auf maximal 150. Es soll sich um ein Netzwerk und einen Informationsaustausch innerhalb der Familie und engster Freunde handeln. Der Dienst ist vor allem auf die Nutzung über die App, entweder auf iOS oder Android-Geräten, ausgelegt. Zu anfangs noch ohne eigenes Eins-zu-Eins-Nachrichtensystem, wurde dies mit der neuesten Version hinzugefügt, ebenso etwa wie in verschiedenen Nachrichten-Apps immer beliebter werdende besondere Zeichen oder Sticker zum versenden. Zu recht beliebt und daher auch von Konkurrenten übernommen ist die App vor allem für ihre Nutzerfreundlichkeit und das ansprechende Design.
Continue reading

Google Universal Analytics – was ändert sich und was gilt es zu beachten?

Google bietet für eine begrenzte Zahl von Beta-Nutzern seit kurzem eine erweiterte Möglichkeit der Auswertung von Nutzerdaten: Universal Analytics.

Dieses Feature „sammelt Tracking-Daten nicht nur auf Websites, sondern auch auf beliebigen anderen Geräten, und sendet diese“ an das jeweilige Analytics-Konto des Nutzers. Erforderlich ist dafür die Einbindung eines neu bereit gestellten Java-Scripts (analytics.js). Der Dienst basiert auf dem sog. Measurement Protocol.

Im Prinzip geht es darum, dass auf der Ebene der Datenerhebung mehr Informationen gesammelt werden und zur Analyse genutzt werden können. Diese Daten sollen nun nicht mehr nur von Webseiten stammen, sondern von allen benutzten Geräten der Kunden, etwa Mobiltelefonen, Spielekonsolen oder Tablets.
Continue reading

Verkauf von Kundendaten? – bahn.bonus in der Kritik

In einer heutigen Vorabmeldung berichtet Spiegel-Online darüber, dass die Deutsche Bahn mit ihrem neuen Kundenbindungsprogramm (bahn.bonus) personenbezogene Informationen von Bahnkunden erheben und speichern möchte, um diese dann an Kooperationspartner für gezielte Werbung zu „verkaufen“.

Nach einer ersten Durchsicht der dem bahn.bonus-Programm zugrundeliegenden Datenschutzhinweise erscheint aber fraglich, woher der Spiegel diese Informationen nimmt.
Continue reading

Online-Bürgebeteiligung nur mit Werbung? – Die CDU und das Kopplungsverbot

Die CDU als rechtswidriger Datensammler? Nach den Berichten der letzten Tage in den Medien konnte man der Meinung sein, dass die Partei mit ihrer neuen Kampagne „Was mir am Herzen liegt“, sich über geltendes Datenschutzrecht hinweg setzt und die Teilnehmer zu einer „abgenötigten“ Einwilligung zwingt.

Auf der Internetseite zu der Kampagne besteht für jeden Bürger, mindestens unter Angabe von Vorname, Nachname und der E-Mail Adresse, die Möglichkeit, seine Meinung zu einem bestimmten politischen Thema an die CDU zu übermitteln. Die Einwilligung in die dort bereitgehaltene Datenschutzerklärung ist verpflichtend und beinhaltet das Einverständnis in den Erhalt von Informationsmaterial der CDU, sowohl per Post als auch per E-Mail. Es geht also auch um Werbung, wobei die CDU der Ansicht ist, dass „Informationsmaterial“ nicht mit „Werbung“ gleichzusetzen sei.
Continue reading