DSGVO: Waren die ganzen Einwilligungs-E-Mails überhaupt notwendig?
Seit gestern gilt sie: Die DSGVO. Viele haben von der neuen Verordnung erst erfahren, weil ihr Postfach seit einigen Tagen von E-Mails überflutet wird, in denen Organisationen und Unternehmen darum bitten, die datenschutzrechtliche Einwilligung zum Empfang von Mailsendungen zu erneuern. Aber gab es dafür wirklich eine rechtliche Berechtigung?
Warum man nach der DSGVO für E-Mail-Kampagnen eine Rechtsgrundlage benötigt
Hintergrund der großen Menge der E-Mail-Welle ist das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt, das nach der DSGVO gilt. Nach Art. 6 DSGVO benötigt jede Datenverarbeitung eine Rechtsgrundlage. Ohne Rechtsgrundlage ist die Datenverarbeitung unrechtmäßig, und es drohen verschiedene Sanktionen, u.a. Unterlassungs- und Schadensersatzansprüche sowie Bußgelder.
Die Einwilligung ist dabei eine Rechtsgrundlage unter vielen. Neben der Einwilligung (Art. 6 Abs. 1 a) DSGVO) gibt es noch die folgenden weiteren potenziellen Rechtsgrundlagen für eine Datenverarbeitung:
- Zur Erfüllung eines Vertrags (Art. 6 Abs. 1 b) DSGVO)
- Zur Erfüllung einer gesetzlichen Verpflichtung (Art. 6 Abs. 1 c) DSGVO)
- Um lebenswichtige Interessen einer Person zu schützen (Art. 6 Abs. 1 d) DSGVO)
- Um eine öffentliche Aufgabe zu erfüllen, z.B. als Behörde (Art 6 Abs. 1 e) DSGVO)
- Interessenabwägung: Der Datenverarbeiter hat ein eigenes legitimes Interesse an dieser Verarbeitung, und der Betroffene kein überwiegendes Gegeninteresse (Art 6 Abs. 1 f) DSGVO).
Das Ziel der Versender diese Einwilligungs-E-Mails ist es, durch die Einholung einer Einwilligung eine möglichst „wasserfeste” datenschutzrechtliche Grundlage zu erhalten.
Verlangt die DSGVO denn immer eine Einwilligung?
Nach der DSGVO ist die Einholung einer Einwilligung für den Versand von Newslettern häufig aber gar nicht notwendig. Denn wer ein legitimes Interesse daran hat, seinen Ansprechpartnern eine bestimmte Information mitzuteilen, der hat bereits eine Rechtsgrundlage und benötigt deshalb in datenschutzrechtlicher Hinsicht keine Einwilligung mehr. Das gilt jedenfalls so lange, wie es keine überwiegenden Gegeninteressen des Empfängers gibt (Art. 6 Abs. 1 f) DSGVO). Solche überwiegenden Gegeninteressen gibt es in der Regel nicht, es sei denn der Empfänger hat dem Empfang von Direktwerbung widersprochen („opt-out”, Art. 21 Abs. 2 DSGVO)
Die DSGVO hat dies für den Bereich des Direktmarketings in einem Erwägungsgrund sogar ausdrücklich klargestellt (Erwägungsgrund 47, Satz 7):
Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
Erst Recht gilt diese Überlegung dann für Nachrichten, in denen keine Werbung vorkommt, z.B. für Pressemitteilungen, für Einladungen zu nicht-kommerziellen Veranstaltungen oder für reine Informationsbriefe ohne Bezug zu konkreten Produkten. Solche Nachrichten sind auch ohne konkrete Einwilligung zulässig. Eine Ausnahme hiervon wäre höchstens zu machen, wenn durch die Kommunikation jemand gezielt belästigt wird.
Das heißt, zusammengefasst:
- Aus Sicht der DSGVO ist eine Einwilligung von vornherein nicht notwendig, wenn es um „normales” Direktmarketing geht (zu Vorbehalten aus dem Wettbewerbsrecht aber noch unten).
- Für die nichtkommerzielle Kommunikation ist erst Recht keine Einwilligung notwendig.
Das große Aber: Der wettbewerbsrechtliche Einwilligungsvorbehalt
Der Grund, warum kommerzielle Newsletter trotzdem fast immer eine Einwilligung voraussetzen, liegt nicht an der Datenschutzgrundverordnung. Es gibt vielmehr noch eine zweite Vorschrift, die in vielen Fällen eine Einwilligung voraussetzt: § 7 UWG.
Das Gesetz gegen den unlauteren Wettbewerb (UWG) beschäftigt sich nicht mit personenbezogenen Daten, sondern mit der Lauterkeit im Geschäftsverkehr, insbesondere in der Werbung. § 7 UWG betrifft die Frage, ob es zulässig ist, Personen ungefragt Direktwerbung zu schicken. Zielrichtung ist also in erster Linie das Verbot von „Spam”, und nicht der Datenschutz. Die zugrundeliegende europarechtliche Bestimmung, Art. 13 der ePrivacy-RL, hat allerdings einen indirekten Datenschutzbezug.
Art. 7 UWG besagt (verkürzt) das folgende:
§ 7 UWG – Unzumutbare Belästigungen
(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.
(2) Eine unzumutbare Belästigung ist stets anzunehmen […]
3. bei Werbung unter Verwendung […] elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, […].
(3) Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn
1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
3. der Kunde der Verwendung nicht widersprochen hat und
4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Diese Vorschrift gilt von vornherein nur für Werbung. Sie gilt also nicht für andere Arten der Kommunikation wie z.B. Pressemitteilungen. Für solche Kommunikation gibt es also auch nach dem UWG keinen Einwilligungsvorbehalt, und deshalb bleibt es hier bei dem Ergebnis dass für den Versand von E-Mails keine Einwilligung notwendig ist.
Für Werbung per E-Mail gilt nach § 7 UWG allerdings ein genereller Einwilligungsvorbehalt (Abs. 2 Nr. 3), es sei denn es liegt die sog. Ausnahme für die „Ähnlichkeitswerbung“ vor (Abs. 3). Nach dieser Ausnahme darf man auch ohne Einwilligung Werbung versenden, aber nur per E-Mail, nur an Bestandskunden, nur für ähnliche Waren und Dienstleistungen und nur wenn man den Empfänger dabei jedes Mal auf sein Opt-Out-Recht hinweist.
§ 7 UWG gilt neben Art. 6 DSGVO, weil die DSGVO ausdrücklich Vorschriften, die auf der ePrivacy-Richtlinie beruhen, unberührt lässt (Art. 95 DSGVO). Die beiden Vorschriften gelten somit gleichzeitig und müssen gemeinsam interpretiert werden. Insbesondere muss eine Einwilligung im Sinne des § 7 UWG zukünftig auch den Anforderungen der DSGVO entsprechen. Und außerdem lässt sich vertreten, dass es für Direktwerbung, die unter Verstoß gegen § 7 UWG versendet wird, auch kein legitimes überwiegendes Interesse des Versenders mehr gibt. Indirekt wird damit aus einem Verstoß gegen § 7 UWG dann doch wieder ein Verstoß auch gegen die DSGVO.
Als Zwischenergebnis lässt sich somit festhalten:
- Für nicht-kommerzielle Kommunikation ist auch nach dem UWG keine Einwilligung notwendig.
- Für Direktmarketing, das in die Bereichsausnahme der „Ähnlichkeitswerbung” fällt, ist weder nach der DSGVO noch nach dem UWG eine Einwilligung notwendig, allerdings muss der Werbeversender den Empfänger immer auf sein Opt-Out-Recht hinweisen.
- Für Direktmarketing, das nicht in den Bereich der Ähnlichkeitswerbung fällt, ist nach § 7 UWG eine Einwilligung notwendig. Hier stellt sich dann die Frage, ob Alteinwilligungen, die noch vor Inkrafttreten der DSGVO gegeben wurden, ihre Wirksamkeit behalten.
Viele der E-Mails, die um eine Erneuerung der Einwilligung gebeten haben, waren deshalb gar nicht notwendig. Beispielsweise hat offenbar ausgerechnet die EU-Kommission um eine solche Erneuerung gebeten – für ihren Presseverteiler. Ähnlich ging auch der SPD-Parteivorstand vor. In beiden Fällen spricht aus der Außensicht betrachtet einiges dafür, dass diese Nachfragen rechtlich sinnlos waren. Zumindest in die Datenschutz-Community waren diese Maßnahmen ein negatives Signal, denn es drängt sich auf, dass diese Organisationen, die an der Erstellung der DSGVO beteiligt waren, ihre eigenen Regeln nicht verstehen.
Wann ist eine „Neu-Einwilligungs”-E-Mail sinnvoll?
Zusammengefasst gibt es also durchaus auch Fälle, in denen es sinnvoll sein kann, um die Erneuerung einer Einwilligung zu bitten. Diese Vorgehensweise kommt vor allem in Situationen in Frage, in denen ein bestimmter Newsletter wirklich nur per Einwilligung gerechtfertigt werden kann (weil es sich um Direktwerbung handelt und die Ausnahme für die Ähnlichkeitswerbung nicht greift), wo aber nicht wasserfest nachweisbar ist, dass wirksame Einwilligungen vorliegen. Das kann vor allem in zwei Szenarien gegeben sein:
- Zum einen fehlt es in vielen Fällen an einer hinreichenden Dokumentation der Alt-Einwilligungen. Mailverteiler sind häufig über viele Jahre organisch gewachsen und haben sich aus vielen Quellen gespeist. Dazu zählen beispielsweise häufig Visitenkarten, die von Vertriebsmitarbeitern eingesammelt werden, oder Kontaktdaten, die während Veranstaltungen über Papierformulare eingesammelt wurden. Häufig ist dies nicht sauber dokumentiert, und die Organisation hat deshalb keine Möglichkeit mehr nachzuweisen, wann und wie der betreffende Empfänger eingewilligt hat.
- Hinzu kommt ein rechtliches Problem: Nach Erwägungsgrund 171 der DSGVO bleiben „Alt-Einwilligungen” nur dann wirksam, wenn sie bereits bei ihrer Abgabe den (späteren) Anforderungen der DSGVO entsprochen haben. Die Anforderungen an die Wirksamkeit einer Einwilligung haben sich aber erhöht – in einigen EU-Mitgliedsstaaten (wie Deutschland) nur leicht, in anderen EU-Mitgliedsstaaten deutlich stärker. Weil sich die Alt-Einwilligungen aber natürlich noch am alten Datenschutzrecht orientierten und nicht an der DSGVO, kann man der Auffassung sein, dass nun alle Alteinwilligungen unwirksam sind. Man kann dies zwar mit guten Argumenten auch anders sehen, und die Datenschutzbehörden haben bereits angedeutet, es hier nicht so streng zu nehmen. Aber es will sich vielleicht auch nicht jeder auf solche Aussagen verlassen. Denn bei Verstößen drohen empfindliche Strafen. Und nicht nur die Aufsichtsbehörden können gegen E-Mail-Werbekampagnen vorgehen, die nicht „wasserfest” sind, sondern auch Betroffene und Wettbewerber.
Im Ergebnis heißt das, dass viele E-Mail-Verteiler, die wirklich einwilligungsbasiert sein müssen, mit Inkrafttreten der DSGVO auf rutschiges Terrain geraten waren – entweder aus praktischen Gründen (fehlende Nachweisbarkeit) oder aus rechtlichen Gründen (erhöhte Anforderungen). Viele Organisationen waren vor diesem Hintergrund nicht mehr bereit, ihren alten E-Mail-Verteiler weiterzubetreiben. In solchen Fällen blieben ihnen eigentlich nur noch zwei Möglichkeiten:
- Entweder gleich den gesamten Mailverteiler außer Betrieb zu nehmen (oder zumindest den Teil, bei dem die Nachweisbarkeit fraglich ist).
- Oder zumindest einen Versuch zu machen, von den Nutzern eine zweite Einwilligung einzuholen und diese zu dokumentieren.
Die zweite Variante hat den Vorteil, dass zumindest eine (geringe) Quote der Angeschriebenen reagiert und ihre Einwilligung ein zweites Mal erteilt. Ein Teil des Verteilers lässt sich damit „retten”. Sie hat aber den Nachteil, dass solche E-Mail auch ihrerseits als Direktmarketing eingestuft werden können – und zwar, wie gesagt, gerade auch für Fälle in denen das Unternehmen häufig nicht sicher nachweisen kann, dass eine Einwilligung wirklich vorliegt. Ob das pure Abfragen einer Einwilligung als „Werbung“ im Sinn von § 7 UWG einzustufen ist, darüber kann man zwar durchaus streiten. Aber ein gewisses Risiko ist auf jeden Fall dabei.
Unter dem Strich
Im Nachhinein betrachtet ist die beispiellose E-Mail-Welle, die in den letzten Tagen in den Mailboxen aufgelaufen ist, aber vor allem ein Beleg für virale Effekte, die die im Moment allgemein grassierende „DSGVO-Panik” auslösen kann.
Denn nur die ersten „Sagen Sie ja”-Kampagnen sind noch aus nachvollziehbaren Gründen gelaufen. Aber je länger diese E-Mail-Welle andauerte, desto mehr kamen dazu, die nicht notwendig waren. Offenbar haben die ersten Kampagnen einen viralen Effekt ausgelöst: Sie führten bei ihren Empfängern zu der Vermutung, dass ihre eigenen Unternehmen und Organisationen auch so etwas tun sollten. Und im Rahmen der in den letzten Tagen grassierenden „DSGVO-Panik” ließen sich dann offenbar viele davon überzeugen, denselben Weg zu gehen – ohne wirkliche Prüfung der Rechtslage.
Diejenigen, die jetzt ohne rechtliche Notwendigkeit ihre E-Mail-Abonnenten nach einer Erneuerung der Einwilligung gefragt haben, haben sich nun ins eigene Fleisch geschnitten. Denn bereits „angedroht” hat, die Empfänger ohne Einwilligung zukünftig nicht mehr anzusprechen, der kann nun schlecht argumentieren, dass eine Einwilligung in Wirklichkeit gar nicht notwendig war, oder das die Alt-Einwilligungen weiterhin wirksam bleiben.
Martin Schirmbacher schreibt im Absolit-Blog zum selben Thema.
