DSGVO
Was ist die Datenschutzgrundverordnung und ab wann ist sie zu beachten?
Die Datenschutzgrundverordnung (DSGVO) ist die neue europäische Regelung für den Datenschutz, die ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union gilt. Bislang war das Datenschutzrecht in der Europäischen Union in der sogenannten Datenschutz-Richtlinie geregelt, welche dann von jedem Mitgliedstaat in nationales Recht umgesetzt werden musste. In Deutschland wurde dies im Bundesdatenschutzgesetz geregelt. Der Nachteil der Richtlinie war, dass sie in den Mitgliedstaaten sehr unterschiedlich umgesetzt wurde und es daher von Mitgliedstaat zu Mitgliedstaat sehr unterschiedliche Regelungen und zum Teil sogar ein ganz unterschiedliches Datenschutzniveau gab. Durch die Verordnung sollen diese unterschiedlichen Regelungen nun angeglichen und das Datenschutzrecht in der Europäischen Union harmonisiert werden. Bei einigen wenigen Themen eröffnet die DSGVO den Mitgliedstaaten jedoch die Möglichkeit, eigene Regelungen zu treffen. Grund dafür ist zum einen, dass die Europäische Union nicht in allen Bereichen über die entsprechende Gesetzgebungskompetenz verfügt (z.B. Datenverarbeitung für Zwecke der Strafverfolgung). Zum anderen konnten sich die Mitgliedstaaten nicht in allen Punkten einigen, zum Beispiel bei der Frage, welche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Der deutsche Gesetzgeber hat daher neben der DSGVO auch ein nationales Gesetz zum Datenschutzrecht erlassen, das sogenannte Bundesdatenschutzgesetz 2018 oder auch „BDSG neu“ (BDSG 2018). Das BDSG 2018 regelt unter anderem eine erweitere Bestellpflicht für einen Datenschutzbeauftragten sowie den Bereich des Beschäftigtendatenschutzes.
WAS REGELT DIE DSGVO?
Die DSGVO regelt die Zulässigkeit der Verarbeitung personenbezogener Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Dabei kann es sich zum Beispiel um einen Namen, eine Adresse, eine Kennnummer, Standortdaten oder auch eine IP-Adresse handeln. Verarbeitung meint jeden Vorgang im Zusammenhang mit personenbezogenen Daten – egal ob mit oder ohne Hilfe automatisierter Verfahren, z.B. das Erheben, das Erfassen, das Speichern, die Verwendung oder die Übermittlung personenbezogener Daten.
Wie bisher gilt auch im neuen Datenschutzrecht ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass jede Verarbeitung personenbezogener Daten einer Rechtfertigung bedarf. Neu sind vor allem die deutlich erweiterten Informations- und Dokumentationspflichten, aber auch der Bußgeldrahmen.
Was hat das mit E-Mail-Marketing zu tun?
Auch beim E-Mail-Marketing werden zahlreiche personenbezogene Daten verwendet, insbesondere natürlich die E-Mail-Adresse, aber gegebenenfalls auch weitere Daten wie der Name oder das Geburtsdatum. Diese personenbezogenen Daten werden vielfach verarbeitet – angefangen bei der Erhebung (z.B. Newsletter-Bestellung auf der Website), über die Speicherung bis hin zur Nutzung (Versendung des Newsletters, Auswertung Nutzerverhalten). Zudem werden beim E-Mail-Marketing oft Dienstleister eingebunden, an welche die personenbezogenen Daten übertragen werden. Für jeden einzelnen dieser Verarbeitungsschritte benötigt man eine Rechtfertigung und muss dies im Zweifel auch beweisen können.
Welche Rechtfertigungsgründe kommen für das E-Mail-Marketing in Betracht?
Die DSGVO sieht in Art. 6 grundsätzlich sechs Rechtfertigungsgründe vor. Davon kommen beim E-Mail-Marketing im Wesentlichen zwei in Betracht: die Einwilligung sowie die Verarbeitung im berechtigten Interesse. Die Einwilligung setzt voraus, dass die betroffene Person zuvor hinreichend über den jeweiligen Zweck und Umfang der Datenverarbeitung informiert wurde und die Einwilligung freiwillig erfolgt. Dies wäre beispielsweise nicht der Fall, wenn die betroffene Person durch eine unzulässige Kopplung mit anderen Erklärungen (z.B. Teilnahme an einem Gewinnspiel) zur Abgabe der Einwilligung verleitet wird. Die betroffene Person darf die Einwilligung jederzeit widerrufen, worauf sie bei Erteilung der Einwilligung auch hinzuweisen ist.
Weiterhin dürfen Daten verarbeitet werden, wenn dies zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder einesDritten erforderlich ist. Dies gilt allerdings nur, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten derbetroffenen Person überwiegen,insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Nach den Erwägungsgründen zur DSGVO gilt die Direktwerbung ausdrücklich als ein berechtigtes Interesse, welches die Datenverarbeitung rechtfertigen kann. Der Verantwortliche hat jedoch eine Interessenabwägung zwischen diesem berechtigten Interesse und den gegenüberstehenden Interessen der betroffenen Person vorzunehmen. Dabei ist vor allem von Relevanz, welche vernünftigen Erwartungen die betroffene Person an die Datenverarbeitung haben durfte. Dies wiederum hängt beispielsweise davon ab, wie die betroffene Person informiert wurde, ob es mit ihr bereits eine Kundenbeziehung gibt und ob die Verarbeitung dem Zweck angemessen ist. Bei besonders eingriffsintensive Maßnahmen wie der Bildung eines Werbeprofils mit Informationen aus sozialen Netzwerken fällt diese Abwägung in der Regel zugunsten der betroffenen Person aus. Als Rechtfertigung kommt dann nur die Einwilligung in Betracht.
In welchem Verhältnis steht die DSGVO zum Wettbewerbsrecht?
Neben der DSGVO enthält auch das Wettbewerbsrecht verschiedene Vorgaben zur werblichen Ansprache. Konkret regelt das Gesetz gegen den unlauteren Wettbewerb (UWG), wann eine unzumutbare Belästigung für den Adressaten von Werbung vorliegt. Für die Werbung mittels E-Mail verlangt das UWG in der Regel das Vorliegen einer Einwilligung. Lediglich unter ganz bestimmten Voraussetzungen ist im Rahmen einer bestehenden Kundenbeziehung auch eine Werbung mittels E-Mail ohne Einwilligung möglich. Darüber hinaus muss die Identität des Absenders erkennbar sein und eine Adresse angegeben werden, unter welcher man die Werbung abbestellen kann.
Auch die Regelung des UWG zur Zulässigkeit der E-Mail-Werbung beruht zu großen Teilen auf einer europäischen Richtlinie, der sogenannten ePrivacy-Richtlinie. Da diese Richtlinie ebenso überarbeitungsbedürftig ist wie die alte Datenschutz-Richtlinie, arbeitet der europäische Gesetzgeber gegenwärtig an einer Neuregelung in Form einer ePrivacy-Verordnung. Ursprünglich war geplant, dass diese Verordnung zeitgleich mit der DSGVO in Kraft tritt. Das Gesetzgebungsverfahren zog sich jedoch länger hin und ist bis heute nicht abgeschlossen. Es ist mithin durchaus denkbar, dass der Bereich der E-Mail-Werbung durch die ePrivacy-Verordnung in den kommenden Jahren noch einmal eine Neuregelung erfährt.
Zum Verhältnis der DSGVO zur ePrivacy-Richtlinie respektive der späteren ePrivacy-Verordnung heißt es in der DSGVO, dass durch die DSGVO keine zusätzlichen Pflichten auferlegt werden sollen. Die Zulässigkeit der Datenverarbeitung nach wettbewerbsrechtlichen Vorschriften spricht daher in der Regel auch für eine Zulässigkeit dieser Verarbeitung nach der DSGVO. Die Neuregelungen der DSGVO als solche haben daher nur bedingt Auswirkungen auf den Rechtfertigungsgrund beim E-Mail-Marketing – wichtigster Anknüpfungspunkt bleibt weiterhin vor allem das Wettbewerbsrecht.
Welche Auswirkungen hat die DSGVO in der Praxis des E-Mail-Marketings?
Bei der Frage, ob das eigene E-Mail-Marketing den Anforderungen der DSGVO genügt, ist zunächst zu prüfen, ob für alle Verarbeitungsschritte ein hinreichender Rechtfertigungsgrund existiert. Für den eigentlichen Versand der E-Mail-Werbung wird dies – schon wegen der weiterhin bestehenden Anforderungen des Wettbewerbsrechts – eine Einwilligung sein. Diese Rechtsgrundlage ist auch entsprechend zu dokumentieren, insbesondere im Verzeichnis der Verarbeitungstätigkeiten, welches nahezu jedes Unternehmen nach der DSGVO führen muss.
Darüber hinaus liegt ein ganz besonderer Schwerpunkt der DSGVO auf der Transparenz der Datenverarbeitung. Dies führt zu einer umfassenden Erweiterung der Informationspflichten bei Erhebung der Daten.
Wie setze ich die Informationspflichten um?
Nach der DSGVO muss die betroffene Person zukünftig bei jeder Erhebung personenbezogener Daten umfassend über die Datenverarbeitung informiert werden. Zu den Pflichtinformationen zählen Name und Kontaktdaten des für die Verarbeitung Verantwortlichen sowie gegebenenfalls des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung und deren Rechtsgrundlage, gegebenenfalls die berechtigten Interessen, auf die sich der Verantwortliche stützt sowie gegebenenfalls die Empfänger der Daten.
Diese Informationen müssen beispielsweise bei jeder Bestellung eines Newsletters gegeben werden – typischerweise durch einen deutlichen Hinweis auf die Datenschutzerklärung. In Folge der erweiterten Informationspflichten bedürfen zudem die meisten Datenschutzerklärungen einer umfassenden Überarbeitung und Ergänzung.
Was muss ich im Hinblick auf Minderjährige beachten?
Nach der DSGVO gelten besonders strenge Anforderungen für die Verarbeitung personenbezogener Daten von Minderjährigen. Hat ein Minderjähriger das 16. Lebensjahr noch nicht vollendet, bedarf jede Datenverarbeitung der ausdrücklichen Zustimmung der Eltern. Die Mitgliedstaaten können dafür eine niedrigere Altersgrenze vorsehen, welche jedoch nicht unter Vollendung des 13. Lebensjahrs liegen darf. Deutschland hat von dieser Möglichkeit bislang keinen Gebrauch gemacht, so dass in Deutschland zunächst die Altersgrenze von 16 Jahren gilt.
Gerade im Bereich des Online- oder E-Mail-Marketings stößt diese Regelung auf enorme Umsetzungsprobleme. Denn das Einholen einer wirksamen und nachweisbaren Einwilligung der Eltern ist hier äußerst schwierig. In der Praxis werden dabei beispielsweise Video-Ident-Verfahren diskutiert, welche jedoch einen enormen (Kosten-)Aufwand bedeuten. Viele Anbieter schließen daher in ihren Nutzungsbedingungen Minderjährige unter 16 Jahren schlicht von der Nutzung ihrer Dienste aus oder fragen bei der ersten Kontaktaufnahme das Alter ab. Dass derartige Maßnahmen leicht zu umgehen sind, liegt auf der Hand. Hier bleibt abzuwarten, wie sich die Datenschutzbehörden und Gerichte positionieren werden.
Kann ich meine Bestandsdaten weiterhin nutzen oder brauche ich eine neue Einwilligung?
Bisher erteilte Einwilligungen gelten auch unter der DSGVO fort, sofern sie nach der Art den Bedingungen der Datenschutzgrundverordnung entsprechen. Besonders wichtig ist dabei, dass die Einwilligung freiwillig erfolgte und beispielsweise nicht in unzulässiger Weise mit anderen Leistungen gekoppelt wurde. Generelle Aussagen lassen sich an dieser Stelle nur sehr schwer treffen – es kommt hier auf den konkreten Einzelfall und insbesondere auf die Frage, ob denn die bisherige Datenverarbeitung rechtskonform erfolgte an.
Ist eine Auswertung des Nutzerverhaltens beim E-Mail-Marketing zulässig?
Auch die Auswertung des Nutzerverhaltens bedarf als eigenständiger Verarbeitungsschritt einer gesonderten Rechtfertigung, welche mit dem Versand des Newsletters nicht zwingend identisch sein muss. Rechtsgrundlage kann auch hier eine Einwilligung oder eine Verarbeitung im berechtigten Interesse sein. In letzterem Fall ist wiederum eine sorgfältige Interessenabwägung unter Berücksichtigung der vernünftigen Erwartungen der betroffenen Person erforderlich. Für ein eventuelles Überwiegen der Interessen des Betroffenen könnte dabei eine unternehmens- oder geräteübergreifende Auswertung des Nutzerverhaltens sprechen.
Sowohl bei der Einwilligung als auch bei der Rechtfertigung über berechtigte Interessen ist eine klare und transparente Information der betroffenen Personen unerlässlich. Hier genügt keinesfalls ein versteckter Hinweis in den Datenschutzbedingungen, sondern bereits bei Erteilung der Einwilligung muss deutlich werden, dass eine Auswertung des Nutzerverhaltens stattfindet.
Brauche ich eine besondere vertragliche Regelung mit meinem E-Mail-Marketing-Anbieter?
E-Mail-Marketing-Anbieter werden typischerweise als sogenannte Auftragsverarbeiter tätig. Das bedeutet, dass sie die personenbezogenen Daten ausschließlich im Auftrag und auf Weisung des Verantwortlichen übertragen. Damit es für eine Übertragung der Daten zum E-Mail-Marketing-Anbieter keiner gesonderten Rechtfertigung bedarf, muss neben dem eigentlichen Vertrag unbedingt eine Vereinbarung zur Auftragsverarbeitung geschlossen werden, die den Anforderungen des Art. 28 DSGVO genügt.
Was muss ich beachten, wenn mein E-Mail-Marketing-Anbieter außerhalb der Europäischen Union sitzt?
Nicht überall auf der Welt gibt es ein ähnliches Datenschutzniveau. Die DSGVO fordert daher im Falle einer Übertragung personenbezogener Daten in ein sogenanntes Drittland eine zusätzliche Rechtfertigung. Drittländer sind alle Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums. Als Rechtfertigung kommt bei Beauftragung eines Dienstleisters in einem Drittland insbesondere der Abschluss von sogenannten Standarddatenschutzklauseln in Betracht. Dabei handelt es sich um einen von der Kommission ausgearbeiteten Standardvertrag mit entsprechenden datenschutzrechtlichen Garantien. Zudem müssen die betroffenen Personen über den Datentransfer in ein Drittland informiert werden.