Ab 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (kurz: DSGVO). Die verbleibende kurze Zeit sollten Unternehmen nutzen, ihre Marketing-Maßnahmen an das neue Recht anzupassen. Im folgenden Beitrag stellt Dr. Frank Remmertz, Fachanwalt für IT- und Medienrecht die wichtigsten Änderungen im Online-Marketing vor und zeigt auf, worauf sich die Werbewirtschaft einstellen muss, um einen Verstoß gegen die DSGVO und damit hohe Bußgelder zu vermeiden.
Keine Spezialregeln zum Online-Marketing in der DSGVO
Wer in der DSGVO nach speziellen Regelungen für das Online-Marketing sucht, wird enttäuscht. Stattdessen findet man allgemeine Bestimmungen mit Schachtelsätzen und unbestimmten Rechtsbegriffen, die für den Anwender den Umgang mit der – zugegebenermaßen – etwas spröden Materie des Datenschutzrechts nicht unbedingt erleichtern. Das führt zu einer gewissen Rechtsunsicherheit. Die wichtigste Änderung ist, dass die Erhebung und Nutzung von personenbezogenen Daten für Werbezwecke künftig wohl verstärkt auf „berechtigte Interessen“ gestützt werden (muss), weil die Anforderungen an eine wirksame Einwilligung der Betroffenen deutlich angehoben werden. Nach der DSGVO ist es nicht mehr so einfach wie bisher möglich, Werbebotschaften auf eine Einwilligung zu stützen. Außerdem werden die Informations- und Aufklärungspflichten für werbende Unternehmen erhöht. Dies geht einher mit einer deutlichen Ausweitung der Rechte der Betroffenen auf Auskunft, worauf Unternehmen vorbereitet sein sollten.
Anforderungen an Einwilligungen werden verschärft
Datenschutzerklärung muss gut sichtbar sein
Wer Werbung im Netz künftig auf eine Einwilligung der Adressaten stützen will, der hat einige Hürden zu überwinden. Die Einwilligung muss eine eindeutig bestätigende Handlung sein (opt-in). Stillschweigen oder Untätigkeit der Betroffenen reichen nicht aus. Auch voreingestellte Häkchen, die der Betroffene wegklicken muss, sind nicht (mehr) zulässig. Eine wirksame Einwilligung setzt künftig voraus, dass der Adressat vor der Erteilung umfassend, leicht verständlich und transparent über die Verarbeitung seiner personenbezogenen Daten für Werbezwecke in Datenschutzerklärungen informiert wird. Es sollte darauf geachtet werden, dass die Adressaten vor Erteilung der Einwilligung durch geeignete Menüführung auf der jeweiligen Website die Datenschutzerklärung leicht finden, lesen und akzeptieren können.
Einwilligung muss nachgewiesen werden können
In dieser Datenschutzerklärung muss auch gesondert über ein jederzeitiges Widerrufsrecht der Betroffenen aufgeklärt werden. Widerruft der Werbeadressat seine Einwilligung, die technisch so einfach ermöglicht werden muss wie die Einwilligung selbst, dürfen an ihn keine Werbesendungen mehr verschickt werden. Bei Kindern und Jugendlichen unter 16 Jahren ist zwingend die Einwilligung bzw. Zustimmung zur Einwilligung der Erziehungsberechtigten erforderlich.
Der Werbende trägt die Nachweispflicht, dass eine wirksame Einwilligung erteilt wurde und muss dies transparent gegenüber den Betroffenen und den Behörden auf Anfrage nachweisen können. Der Nachweis der Zustimmung durch die Eltern bei Jugendlichen unter 16 Jahren wird nicht einfach werden, so dass so manche Werbeaktion, die sich – zumindest auch – an Kinder und Jugendliche richtet, künftig schwieriger werden wird. Dies wird besonders Unternehmen im Bereich sozialer Medien vor neue Herausforderungen stellen.
Gewinnspiele werden schwieriger
Die Einwilligung kann zwar auch in AGBs enthalten sein, muss aber – ähnlich wie dies gegenwärtig z.B. bei dem Widerrufsrecht für Verbraucher der Fall ist – optisch deutlich hervorgehoben werden. Besonders nachteilig ist, dass eine wirksame Einwilligung nur vorliegt, wenn diese „freiwillig“ erteilt wird. Nach Art. 7 Abs. 4 DSGVO führt praktisch schon jeder Nachteil, der mit einer verweigerten Einwilligung verbunden ist, zu einer „unfreiwilligen“ Einwilligung, z.B. dann, wenn die Verarbeitung der Daten für Werbezwecke zur Durchführung eines Vertrages nicht erforderlich ist.
Dadurch wird es schwieriger werden, sich die Einwilligung für Werbezwecke mit der Gewährung von Vorteilen wie Gewinnchancen, kostenlosen Downloads oder Zugang zu sozialen Netzwerken etc. zu „erkaufen“. Denn für die Teilnahme an einem Gewinnspiel oder für den kostenlosen Erwerb eines E-Books ist die Einwilligung in die Verarbeitung der Daten zu Werbezwecken in der Regel nicht erforderlich.
Zu beachten ist auch, dass bisher erteilte Einwilligungen nach der DSGVO nur weiter gelten, wenn die Anforderungen der DSGVO eingehalten werden. Bei der Prüfung wird besonders darauf zu achten sein, ob die jeweilige Einwilligung freiwillig erfolgt ist und die Altersgrenze von 16 Jahren beachtet wurde.
Berechtigte Interessen als Rechtfertigungsgrund
Neben einer Einwilligung kann die Verarbeitung von personenbezogenen Daten zulässig sein, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die schutzwürdigen Belange der Betroffenen nicht überwiegen. Um dies beurteilen zu können, ist eine Abwägung der Interessen erforderlich. Aufgrund der gesteigerten Anforderungen an eine wirksame Einwilligung wird dieser Rechtfertigungsgrund wichtig werden. Die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) hat im Sommer 2017 eine erst Orientierungshilfe veröffentlicht, die hier zu finden ist. Ausgangspunkt ist der Grundsatz, dass Direktwerbung durch ein berechtigtes Interesse gedeckt sein kann (Erw.-Grund 47 DSGVO), aber nicht muss. Die Interessenabwägung muss die „vernünftigen Erwartungen“ der Betroffenen in die konkrete Verarbeitung seiner Daten zu Werbezwecken berücksichtigen. Mit anderen Worten: Rechnet der Betroffene in dem konkreten Fall mit einer Verarbeitung seiner Daten für Werbezwecke? Bestandskunden werden dies eher erwarten als Neukunden.
Nutzer müssen über Ihr Widerrufsrecht informiert werden
Vor allem aber hängt die Erwartungshaltung der Betroffenen und damit letztlich die Zulässigkeit der Verarbeitung seiner Daten für Werbezwecke von einer vorherigen ausführlichen und transparenten Aufklärung ab, die in einer leicht zugänglichen Datenschutzerklärung enthalten sein sollte. Wichtig ist dabei, dass der Nutzer über sein jederzeitiges Widerspruchsrecht informiert wird. In die Abwägung muss auch einfließen, ob sich die Werbung – zumindest auch – an Kinder und Jugendliche (unter 16 Jahre) richtet. Denn dann gelten höhere Anforderungen.
Gesundheitsdaten müssen besonders sensibel behandelt werden
Besonders geschützte Datenkategorien wie z.B. Gesundheitsdaten dürfen nur bei ausdrücklicher Einwilligung der Betroffenen für Werbezwecke verarbeitet werden. Dies betrifft z.B. die gesamte Gesundheits- und Fitnessbranche. Für das E-Mail-Marketing ändert sich im Grundsatz – zunächst – wenig, da weiterhin die Grenzen nach § 7 UWG beachtet werden müssen, eine Werbeansprache per E-Mail an Neukunden also nur bei vorheriger Einwilligung möglich ist.
Anforderungen bei Web-Tracking noch offen
Offen ist gegenwärtig, ob die Anforderungen an die Erstellung von Nutzerprofilen aufgrund Web-Tracking verschärft werden. Dies betrifft auch die Gestaltung von Cookie-Bannern. Hier wird bald die sog. E-Privacy-Verordnung, die den Datenschutz im Bereich der elektronischen Kommunikation regelt, eine wichtige Rolle spielen und die DSGVO überlagern. Gegenwärtig ist absehbar, dass verstärkt auf opt-in-Erfordernisse gesetzt wird, für die bisher eher opt-out-Lösungen vorgesehen sind. Es wird also auch speziell im Online-Marketing durch die E-Privacy-VO wahrscheinlich noch zu weiteren Verschärfungen kommen. Ob diese VO zeitgleich mit der DSGVO ab 25.05.2018 gelten oder später in Kraft treten wird, ist aktuell noch nicht absehbar.
Was bleibt zu tun?
Unternehmen sollten die verbleibende Zeit bis Mai 2018 nutzen, sich auf die neuen Anforderungen einzustellen. Dazu gehört eine Prüfung sämtlicher Werbe-Einwilligungen anhand der Vorgaben nach der DSGVO. Ferner müssen die Datenschutzerklärungen, Nutzungsbedingungen (AGB) überarbeitet werden. Jedes Unternehmen sollte Verarbeitungsverzeichnisse erstellen und prüfen, ob die Verarbeitung der Nutzerdaten für Werbezwecke berechtigten Interessen dienen kann. Die Menüführung für die Einholung von Einwilligungen auf Webseiten muss angepasst werden. Nicht zuletzt sind Workflows zu erstellen, um die Betroffenenrechte, insbesondere den Widerruf von Einwilligungen, den Widerspruch gegen die Datenverarbeitung sowie Ansprüche auf Auskunft und Löschung der Daten, im Bedarfsfall rasch umsetzen zu können.
Autoren-Bio: Dr. Frank Remmertz ist Rechtsanwalt und berät in allen Fragen des gewerblichen Rechtsschutzes und IT-Rechts. Folgen Sie dem Münchener Experten zu allen Neuigkeiten zur neuen Datenschutzverordnung unter www.remmertz.legal.
