Im Rahmen ihres wirtschaftlichen Handelns haben die Wirtschaftsakteure und insbesondere Unternehmen sicherzustellen, dass sehr viele gesetzliche Vorgaben umgesetzt werden. Die Datenschutz-Compliance ist dabei seit Inkrafttreten der (europäischen) Datenschutzgrundverordnung (DSGVO) im Jahre 2018 für viele Unternehmen nach wie vor eine große Herausforderung.
Erfahrungsgemäß ist, wenn man sich entlang der Wertschöpfungskette bewegt, die Umsetzung der datenschutzrechtlichen Vorgaben im Bereich »Marketing und Vertrieb« besonders schwierig. Zu einem liegt es daran, dass ausdrückliche Detailregelungen hierzu in den Datenschutzgesetzen fehlen. Zum anderen werden in diesem Bereich oft auch Verarbeitungen personenbezogener Daten durchgeführt, bei denen zum Teil sehr problematische Technologien oder Dienste eingesetzt werden, so beispielsweise Tracking-Tools, Dienste von Anbietern aus unsicheren Drittstaaten wie den USA, nicht technisch notwendige Cookies. Auch die Nutzung unterschiedlicher Werbekanäle und die Ausrichtung der Werbekampagnen an unterschiedliche Zielgruppen (Privat- und/oder Geschäftskunden, B2C/B2B) erfordert oft eine unterschiedliche Betrachtung und Bewertung der rechtlichen Zulässigkeit.
Viele datenschutzrechtliche Detailfragen sind im Bereich des (Direkt-)Marketings beziehungsweise der (Direkt-)Werbung offen oder auch sehr umstritten. So ziemlich jeder macht es so, wie er es meint, richtig zu machen, und regelmäßig liegt man dabei falsch. Doch wie geht es richtig? Dieser Frage gehen wir im Folgenden nach, wobei wir uns hier nicht in Detailfragen vertiefen, sondern vielmehr nur den Rahmen skizzieren, in dem sich die werbetreibenden Unternehmen bewegen.
Was ist Werbung? Doch bevor wir uns mit den einzelnen Fragen befassen, wäre es wichtig, zu klären, was überhaupt als Werbung im Sinne der DSGVO qualifiziert wird. Und hier ist vorgreifend zu sagen, dass weder der Begriff »Werbung« noch der Begriff »Direktwerbung« durch Datenschutzgesetze legal definiert werden.
Eine Definition findet sich lediglich in Art. 2 lit. a der EU-Richtlinie 2006/114/EG über irreführende und vergleichende Werbung vom 12. Dezember 2006. Werbung wird dort definiert als »jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern«.
Von dieser weitgreifenden Definition gehen regelmäßig nicht nur Gerichte in ihren Entscheidungen aus, sondern insbesondere auch die deutschen Datenschutzaufsichtsbehörden. Wie weit dies geht, zeigt folgendes Beispiel: Nimmt eine Kfz-Werkstatt nach Durchführung einer Reparatur Kontakt mit dem Kunden auf, um diesem Fragen zu stellen, um die Zufriedenheit im Zusammenhang mit dem Werkstattbesuch herauszufinden, stellt dies Werbung dar. Begründung gefällig? Die Werkstatt führt die Befragung durch, um Verbesserungspotenzial zu ermitteln und Verbesserungen umzusetzen. Dies führt zu mehr Zufriedenheit bei den Kunden, die daher gerne wiederkommen und damit für mehr Umsatz sorgen. Die Form der Ansprache ist ebenfalls unerheblich für die Klassifizierung als Direktwerbung, die lediglich durch die unmittelbare Ansprache von Zielpersonen gekennzeichnet ist und über verschiedene Kanäle erfolgen kann, so zum Beispiel postalisch, per E-Mail, telefonisch, per Fax, SMS, usw. [1].
Übrigens fällt nach Auffassung der Datenschutzkonferenz (DSK), einem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, unter den Begriff Werbung auch die Kontaktaufnahme mit betroffenen Personen durch politische Parteien, Verbände oder auch Vereine, karitative und soziale Organisationen, die ihre Ziele bekannt machen oder fördern wollen (hierzu vgl. S. 3 der oben zitierten Orientierungshilfe). Bei der nachfolgenden rechtlichen Betrachtung möchten wir uns aber auf die Werbung durch Unternehmen beschränken.
Was ist grundsätzlich erlaubt und was ist verboten? Wenn wir also Werbung beziehungsweise Direktwerbung, wie sie durch viele Gerichte und die DSK verstanden wird, durchführen möchten, stellt sich die Frage, was in diesem Zusammenhang datenschutzrechtlich erlaubt (zulässig) und was verboten ist.
Die Zulässigkeit einer Verarbeitung personenbezogener Daten für Werbezwecke aus datenschutzrechtlicher Sicht ist – da, wie oben ausgeführt, besondere Regelungen hierzu in den Datenschutzgesetzen fehlen – nach allgemeinen datenschutzrechtlichen Regeln zu beurteilen. Das bedeutet, dass eine betroffene Person in die Verarbeitung ihrer Daten ausdrücklich gem. Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 DSGVO einwilligen muss, wenn kein anderer gesetzlicher Erlaubnistatbestand die Verarbeitung für Werbezwecke ausdrücklich erlaubt.
Als eine solche Erlaubnisnorm kommt außer einer Einwilligung das überwiegende berechtigte Interesse des Verantwortlichen gem. Art. 6 Abs. 1 lit. f DSGVO in Betracht. Diese Norm bestimmt, dass, solange die schutzwürdigen Interessen einer betroffenen Person die (berechtigten) Interessen des Verantwortlichen nicht überwiegen und die Verarbeitung der personenbezogenen Daten zur Zweckerreichung erforderlich ist, die jeweilige Verarbeitung zulässigerweise durchgeführt werden kann. Der Zweck beziehungsweise das berechtigte Interesse wäre in diesem Fall die Steigerung des Umsatzes durch Werbemaßnahmen, also wirtschaftliche Zwecke. Dem Erwägungsgrund 47 DSGVO (ErwGr.) ist folgende gesetzliche Wertung zu entnehmen: »Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.«
Das Bestehen eines berechtigten Interesses des Unternehmens an der Durchführung einer Werbemaßnahme kann also schon einmal angenommen werden. Allerdings ist immer zu prüfen, ob nicht das einer Verarbeitung der Daten zu Werbezwecken entgegenstehende Interesse einer betroffenen Person überwiegt. Diese Interessenabwägung ist immer vorzunehmen. Dabei sind im Rahmen der Abwägung insbesondere Schutzgesetze und ihre Wertungen zu berücksichtigen. Das im vorliegenden Zusammenhang wohl wichtigste Schutzgesetz wäre das deutsche UWG, und zwar der § 7 UWG. Dieser Paragraf regelt, in welchen Fällen von einer unzumutbaren Belästigung im Rahmen einer Werbemaßnahme auszugehen ist.
Unzumutbare und belästigende Werbung ist nach wettbewerbsrechtlichen Vorgaben stets unzulässig. Die Konsequenz für den Datenschutz wäre, dass das, was den Wertungen des UWG (oder eines anderen Schutzgesetzes, etwa des BGB) nicht entspricht, auch kein berechtigtes überwiegendes Interesse des Verantwortlichen begründen kann und als verboten einzustufen wäre.
Welche Rolle spielt jeweils der eingesetzte Werbekanal und die jeweilige Zielgruppe (B2B/B2C)? Je nachdem, welcher Werbekanal genutzt wird (Telefon, E-Mail, Post, Webseite beziehungsweise eine App) und welche Zielgruppe (insbesondere B2C oder B2B) angesprochen wird, kann die Antwort auf die Frage, ob und unter welchen Voraussetzungen eine Werbemaßnahme zulässig oder unzulässig ist, je nach konkreter Situation und Sachverhalt, sehr unterschiedlich ausfallen. Dies ist im Rahmen der Planung und der Durchführung einer Werbekampagne stets zu berücksichtigen, denn anderenfalls drohen Konsequenzen, die insbesondere in finanzieller Hinsicht sehr unangenehm für die Werbetreibenden sein könnten.
Post-Werbung
Im Rahmen der postalischen Werbung überwiegen schutzwürdige Interessen der betroffenen Personen regelmäßig nicht, so dass Versand von Postwerbung und die in diesem Zusammenhang stattfindende Verarbeitung personenbezogener Daten, gem. Art. 6 Abs. 1 lit. f DSGVO regelmäßig zulässig ist.
Wenn beispielsweise im Nachgang zu einer Bestellung, Kunden postalisch ein Werbekatalog oder ein Werbeschreiben durch den Verantwortlichen zugeschickt wird und für weitere Produkte geworben wird, so ist dies in der Regel nicht zu beanstanden. Im Rahmen der Postwerbung spielt es bei der Beurteilung der Zulässigkeit übrigens keine Rolle, ob die Werbemaßnahme im privaten oder im geschäftlichen Kontext (B2C/B2B) erfolgt.
Telefon- und E-Mail-Werbung
Im Rahmen der E-Mail- und der Telefon-Werbung sind bei der Beurteilung der Zulässigkeit der Datenverarbeitung insbesondere die Vorgaben des § 7 UWG zu beachten. Dort wird in § 7 Abs. 2 Nr. 1 UWG festgelegt, dass bei telefonischer Werbung eine unzumutbare Belästigung stets dann vorliegt, wenn »Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung« erfolgt. Das bedeutet, dass bei einem Verbraucher im Rahmen der telefonischen Werbung stets eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 DSGVO erforderlich ist, da ansonsten das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO nicht überwiegt. Bei der werblichen Ansprache anderer Marktteilnehmer (B2C) würde zur Annahme einer Einwilligung dagegen ein mutmaßliches Interesse (dessen Bestehen der Verantwortliche nachweisen muss) ausreichen. Bezüglich der E-Mail-Werbung bestimmt § 7 Abs. 2 Nr. 2 UWG, dass unzumutbare Belästigung »bei Werbung unter Verwendung […] elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt«, anzunehmen ist. Damit steht auch fest, dass zum Versand von E-Mail-Werbung stets eine Einwilligung einzuholen wäre, und zwar unabhängig davon, ob es sich um eine Privatperson (B2C) oder aber um einen Unternehmer (B2B) handelt. Mutmaßliches Interesse reicht hier bei B2B – anders als bei Telefon-Werbung (s.o.) – nicht mehr aus.
Eine einzige Ausnahme gibt es übrigens, die Werbetreibende unbedingt nutzen sollten. Werbliche Ansprachen per E-Mail sind nämlich ohne eine ausdrückliche Einwilligung ausnahmsweise dann zulässig, wenn die sehr eng auszulegenden Voraussetzungen des § 7 Abs. 3 UWG vorliegen. Diese Ausnahme erlaubt E-Mail-Werbung für Bestandskunden, wenn das werbende Unternehmen die Adresse zur Direktwerbung im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung direkt vom Kunden erhalten hat. Zudem müssen die folgenden Bedingungen alle erfüllt sein:
- Der Kunde darf der Verwendung der E-Mail-Adresse zu Werbezwecken nicht widersprochen haben.
- Das werbende Unternehmen darf die Werbung nur für eigene ähnliche Waren oder Dienstleistungen verwenden.
- Der Kunde muss bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen worden sein, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Werbung auf einer Webseite beziehungsweise in einer (Smartphone-)App
Sofern Werbung auf einer Webseite ausgespielt wird, ist zu beachten, dass die Werbung sich an die Allgemeinheit richtet und beim Seitenabruf – und der damit verbundenen Verarbeitung personenbezogener Daten wie IP-Adresse, Zeitpunkt des Besuchs einer Webseite, etc. – Werbung angezeigt wird, diese Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO regelmäßig zulässig sein dürfte, ohne dass eine Einwilligung einzuholen ist. Werden zum gezielten Ausspielen der Werbung auf einer Webseite Analyse- oder Tracking-Tools eingesetzt, wodurch weitere Verarbeitungen personenbezogener Daten stattfinden, beispielsweise um die Werbung zielgerichteter auszuspielen, so wird in den meisten Fällen zu diesen Zwecken zwingend eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 DSGVO einzuholen sein.
Sofern die Verarbeitung personenbezogener Daten zum Einblenden von Werbung im Rahmen einer App stattfindet, gelten die vorigen Ausführungen zur Zulässigkeit der Verarbeitung der personenbezogenen Daten auf einer Webseite analog. Denn es spielt keine Rolle, ob Werbung im Rahmen der Nutzung eines Browsers oder einer (Smartphone-)App angezeigt wird.
Erfüllung von Informationspflichten. Es ist zu beachten, dass im Rahmen der Datenverarbeitung zu Werbezwecken, die Informationspflichten gemäß Art. 12 ff. DSGVO erfüllt werden müssten (Datenschutzhinweise). Nach der Auffassung der DSK soll die Nicht- oder Schlechterfüllung der Informationspflicht sogar dazu führen, dass das Abwägungsergebnis aus Sicht des Verantwortlichen negativ beeinflusst wird, so dass es im Endeffekt nach aufsichtsbehördlicher Sicht zur Unzulässigkeit einer Verarbeitungstätigkeit (hier einer Werbemaßnahme) führen kann. Dies ist unseres Erachtens zwar eine Auffassung, die in der DSGVO keine Stütze findet. Nicht oder unvollständig bereitgestellte Datenschutzhinweis stellen aber in jedem Fall einen Verstoß gegen die DSGVO dar.
Was sind mögliche Konsequenzen, wenn man etwas falsch macht? Sofern im Rahmen von Werbemaßnahmen datenschutzrechtliche Vorgaben verletzt werden und personenbezogene Daten damit unzulässigerweise verarbeitet werden, führt dies dazu, dass wegen des Datenschutzverstoßes Maßnahmen der Aufsichtsbehörden drohen (im schlimmsten Fall ein Bußgeld in Höhe von bis zu 4 % des Jahresumsatzes oder bis zu 20 Millionen Euro, je nachdem, was höher ist). Zudem können Datenschutzverstöße dazu führen, dass betroffene Personen (immaterielle) Schadensersatzansprüche geltend machen können und dies auch immer häufiger passiert, denn die Gerichte sprechen in diesem Zusammenhang Schadensersatz auch gerne zu (auch bei sogenannten Bagatellschäden). Das Amtsgericht Pfaffenhofen (vgl. AG Pfaffenhofen a.d. Ilm, Endurteil vom 09.09.2021 – 2 C 133/21) hat beispielsweise aufgrund einer unverlangt zugesendeten E-Mail zu Werbezwecken und anschließender unvollständig erteilter Auskunft einen Schadenersatz von 300 Euro zugesprochen.
Zudem sind natürlich auch rein zivilrechtliche Konsequenzen zu beachten, denn wenn eine Werbemaßnahme widerrechtlich erfolgt und außer den datenschutzrechtlichen Vorschriften weitere Normen verletzt (beispielsweise Normen des UWG oder des BGB), kann dies grundsätzlich einen unzulässigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb oder in das allgemeine Persönlichkeitsrecht einer Person darstellen. In diesem Zusammenhang wäre mit der Geltendmachung von zivilrechtlichen Unterlassungs- und Schadensersatzansprüchen seitens derjenigen, die sich in ihren Rechten verletzt fühlen, zu rechnen. Bei wettbewerbsrechtlichen Rechtsverstößen können zudem von Konkurrenten sowie Wirtschafts- und Verbraucherverbänden Abmahnungen erfolgen, die – sofern dies unter anwaltlicher Vertretung erfolgt und die Abmahnung gerechtfertigt ist – zur Erstattung anwaltlicher Gebühren durch das abgemahnte Unternehmen führen.
Fazit. Wie man anhand der oben beschriebenen, drohenden Konsequenzen bei widerrechtlichen Werbemaßnahmen erkennen kann, sind Schadenspotenzial und Risiken für die werbetreibenden Unternehmen sehr hoch. Zur Schadensabwendung und -minimierung sollten die Verantwortlichen ihre Werbekampagnen unter Beachtung der gesetzlichen Vorgaben planen und durchführen und dabei ein besonderes Augenmerk auf datenschutzrechtliche Vorgaben legen. Dies allein schon aus dem Grund der hohen Bußgeldandrohungen und hohen Schadensersatzforderungen, insbesondere dann, wenn es eine Vielzahl an betroffenen Personen gibt.
Besonders hilfreich für die Einschätzung der Zulässigkeit der Werbemaßnahmen und bei Detailfragen, sind die behördlichen Hinweise, so insbesondere die aktuelle Orientierungshilfe der DSK zur Direktwerbung, die bei vielen Fragen eine gute Unterstützung sein kann. Insbesondere das zentrale Thema, die Interessenabwägung und die Transparenzanforderungen sowie die Umsetzung des Widerrufs beziehungsweise des Widerspruchs werden darin sehr gut erläutert und wertvolle Tipps und Empfehlungen gegeben. Allerdings sollten sich die Verantwortlichen im Klaren darüber sein, dass es sich bei der vorgenannten Orientierungshilfe lediglich um die aufsichtsbehördliche Auffassung handelt, so dass diese auch durchaus kritisch hinterfragt werden darf.
Wir empfehlen, anhand der bestehenden Anforderungen und der jeweils stattfindenden Verarbeitung der personenbezogenen Daten, zu prüfen, ob die Prozesse, so wie sie im Unternehmen aktuell umgesetzt sind, datenschutzkonform sind. Ist dies nicht der Fall, besteht Handlungsbedarf.
Dipl.-Wirt.-Ing. Oliver Baldner, Geschäftsführer (l.)
Viktor Pidde, LL.B., zertifizierter Datenschutzbeauftragter, Berater
bITs GmbH Datenschutz und IT-Sachverständigenwesen Paderborn
[1] Hierzu vgl. die »Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutzgrundverordnung (DSGVO)«; abrufbar unter: https://www.datenschutzkonferenz-online.de/media/oh/OH-Werbung_Februar%202022_final.pdf