E-Mail-Marketing und DSGVO

Lass uns Freunde bleiben

10.07.2018
Von  und  
Markus Heins, LL.M. ist Legal Counsel für digitale Produkte bei Wolters Kluwer in Deutschland. Zuvor arbeitete er als Wirtschaftsjurist für Medienrecht und Medienwirtschaft bei der Luther Rechtsanwaltsgesellschaft in Köln.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Heißt das Inkrafttreten der DSGVO nun tatsächlich das Aus für Direktmarketing? Die Autoren erklären in diesem Beitrag die rechtlichen Hintergründe. Rechtskonformes E-Mail-Marketing klappt auch weiterhin, wenn man weiß, wie.

Kurz bevor die Regelungen der Datenschutzgrundverordnung (DSGVO) wirksam wurden, erreichten jeden E-Mail-Nutzer täglich mehrere E-Mails, in denen Unternehmen darum baten, auch zukünftig E-Mail-Werbung an ihn versenden zu können. Teilweise flehend, teilweise rechtswidrig wurde versucht, die Einwilligung des Empfängers zu erlangen. Für viele Adressaten war es eine bequeme Möglichkeit, sich von unerwünschten Newslettern abzumelden.

Keine Angst vor der DSGVO. Das gilt auch für Unternehmen, die Direktmarketing betreiben.
Keine Angst vor der DSGVO. Das gilt auch für Unternehmen, die Direktmarketing betreiben.
Foto: conrado - shutterstock.com

In den Augen der E-Mail-Versender stellte sich der 25. Mai 2018 als Apokalypse des Direktmarketings dar. Doch kommt die DSGVO tatsächlich als apokalyptischer Reiter galoppiert und verbietet den Unternehmen nun das Direktmarketing?

Das Gesetz gegen den unlauteren Wettbewerb

Die DSGVO erwähnt das Direktmarketing nur an zwei Stellen:

  • Einerseits kann die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung gemäß Erwägungsgrund 47 als ein berechtigtes Interesse betrachtet werden.

  • Auf der anderen Seite steht der betroffenen Person nach Art. 21 Abs. 2 DSGVO ein Widerspruchsrecht zu, wenn ihre personenbezogenen Daten zum Zweck der Direktwerbung verarbeitet werden.

Die DSGVO bestimmt weder, dass Direktwerbung verboten ist, noch dass dafür immer eine Einwilligung vorliegen muss. Denn auf der Ebene des Datenschutzrechts erweitert die DSGVO vielmehr die Möglichkeiten, die ein Unternehmen hat, wenn es Direktmarketing betreiben möchte.

Lesetipp: Die 10 besten Tipps für eine sichere E-Mail-Verschlüsselung

Dagegen sehen werbetreibende Unternehmen allerdings das rund zehn Jahre ältere "Gesetz gegen den unlauteren Wettbewerb" (UWG) als Compliance-Risiko im E-Mail-Marketing an. In § 7 regelt das UWG, unter welchen Umständen Werbung mittels E-Mail zulässig ist. Danach ist diese nur zulässig, wenn der Empfänger vorab eingewilligt hat.
Um die Einwilligung wirksam einzuholen, setzen die Unternehmen in der Regel das so genannte Double-Opt-In Verfahren ein. Dieses Verfahren ermöglicht es ihnen, nachzuweisen, dass die Einwilligung tatsächlich vom Inhaber der E-Mail-Adresse abgegeben wurde. Der Interessent meldet sich auf der Seite des Unternehmens für einen Newsletter an und gibt auf der Webseite unter anderem seine E-Mail-Adresse ein. Sendet er das Formular ab, erhält er automatisch eine E-Mail an die hinterlegte E-Mail-Adresse. In dieser E-Mail ist ein Link hinterlegt, den der Empfänger anklicken muss. Durch das Anklicken des Links bestätigt er, dass er tatsächlich auf das E-Mail-Postfach zugreifen kann. Erst dann ist die Einwilligung wirksam erteilt.
Mit diesem Verfahren wird verhindert, dass Dritte wahllos E-Mail-Adressen in die Formulare eingeben und für Werbenewsletter anmelden können.

Datenschutz und E-Mailwerbung - Risiken für Unternehmen

Mit dem Wirksamwerden der DSGVO müssen Unternehmen nun deutlich höhere Bußgelder fürchten: 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatz, ja nachdem was höher ist, ist der Bußgeldrahmen, innerhalb dessen die Datenschutzaufsichtsbehörden ihre Bußgelder verhängen können.

Lesetipp: Wo die Abmahnung droht

Führt man sich vor Augen, dass mit jeder verschickten Werbe-E-Mail immer auch personenbezogene Daten verarbeitet werden, kann man den Aktionismus vieler Unternehmen vor dem 25. Mai 2018 nur so deuten, dass bislang eine eindeutige Einwilligung des E-Mail-Empfängers nicht dokumentiert war. Denn nach dem neuen Datenschutzrecht bleiben einmal erteilte Einwilligungserklärungen in der Regel wirksam. Die DSGVO schreibt nicht vor, dass die Einwilligungen erneut eingeholt werden müssen.

Hat ein Unternehmen die Werbeeinwilligungen nicht per Double-Opt-In dokumentiert oder erst gar nicht eingeholt und kann daher nicht nachweisen, auf welcher Rechtsgrundlage es berechtigt ist, die personenbezogenen Daten zu verarbeiten, drohen theoretisch die immensen Bußgelder der Datenschutzgrundverordnung. Doch an welche Vorgaben muss sich ein Unternehmen jetzt halten, möchte es rechtskonform Werbekampagnen per E-Mail versenden oder Newsletter an die Kunden verschicken?

Neue Regeln für E-Mailwerbung?

Die DSGVO bringt nichts wesentlich Neues: die eigentlichen Grenzen für die E-Mail-Werbung ergeben sich aus dem UWG. Ein Unternehmen, welches Werbe-E-Mails versenden möchte, muss sich sowohl an das UWG, als auch an die DSGVO halten.


Und hier sieht das UWG regelmäßig die engeren Grenzen vor. Denn nach dem UWG muss der E-Mail-Empfänger grundsätzlich in den Empfang von Werbe-E-Mails eingewilligt haben. Dies gilt übrigens unabhängig davon, ob es sich um einen Verbraucher (B2C) oder Unternehmer (B2B) handelt. Ist eine Einwilligung erforderlich, empfiehlt es sich, diese gleich so auszugestalten, dass diese den Anforderungen des UWG und der DSGVO genügt. Daneben sind die umfangreichen Informationspflichten nach der DSGVO zu berücksichtigen.

Bestandskundenwerbung auch ohne Einwilligung

Das UWG erlaubt die Werbung per elektronischer Post ausnahmsweise auch ohne Einwilligung, wenn

  1. ein Unternehmer die E-Mail-Adresse des Empfängers im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,

  2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwenden möchte,

  3. der Empfänger der Verwendung nicht widersprochen hat und

  4. der Empfänger bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Hierbei geht es um die klassische Bestandskundenwerbung. Demnach muss der Empfänger der E-Mail jedenfalls bereits Kunde bei dem Unternehmen (gewesen) sein, damit der Versand rechtmäßig sein kann.

Ferner ist auch nach der DSGVO die Einwilligung nicht immer zwingend erforderlich. Das neue Datenschutzrecht erlaubt es, personenbezogene Daten zu verarbeiten, wenn die betroffene Person nicht eingewilligt hat. Dies ist insbesondere der Fall, wenn die berechtigen Interessen des Verantwortlichen die Interessen der betroffenen Person überwiegen. Dies wird man annehmen können, wenn die Direktwerbung an einen Bestandskunden gesendet werden kann und die vorstehenden Voraussetzungen des UWG erfüllt sind. In diesen Fällen lässt die DSGVO das Direktmarketing also auch ohne Einwilligung zu. Allerdings kann die betroffene Person jederzeit widersprechen. Dann dürfen ihre personenbezogenen Daten nicht mehr für die Direktwerbung verwendet werden.

Das große Löschen

Viele Unternehmen haben in ihren Systemen eine Vielzahl von Kundendaten gespeichert. Häufig können sie nicht mehr herleiten, woher die Daten stammen, in welcher Beziehung das Unternehmen zu der Person steht oder ob die Daten überhaupt noch einen kommerziellen Nutzen bringen.

Das Datenschutzrecht sieht aber vor, dass personenbezogene Daten gelöscht werden müssen, wenn sie für den Zweck, für den Sie erhoben wurden, nicht mehr erforderlich sind. Kann ein Unternehmen nicht einmal mehr feststellen, woher die Daten stammen oder zu welchen Zweck diese gespeichert wurden, greift die Löschpflicht ein. Unternehmen kommen damit nicht umhin, ihre CRM-Systeme zu analysieren und irrelevante Kontakte zu löschen.

Gibt es eine Chance auf Heilung?

Unternehmen haben eigentlich keine Möglichkeit, ihren Datenbestand im CRM-System zu schützen und rechtskonform zu gestalten. Können Sie nicht nachweisen, dass die Voraussetzungen der Bestandskundenwerbung vorliegen oder eine wirksame Einwilligung erteilt wurde, müssen die Daten gelöscht werden. Die betroffenen Personen dürfen auch nicht angeschrieben werden, um gefragt zu werden, ob sie eine Einwilligung in die E-Mail-Werbung erteilen möchten. Denn nach der Ansicht einiger Gerichte ist bereits diese Anfrage als Werbung zu werten und damit nur zulässig, wenn die oben stehenden Anforderungen erfüllt sind.

Den Unternehmen bleibt damit nur, ihre Vertragstexte so zu überarbeiten, dass zukünftig die Voraussetzungen für die Bestandskundenwerbung erfüllt sind. Zudem müssen sie ihre Marketing- und Sales-Abteilungen so schulen, dass zukünftig von den Kontakten die Einwilligungen stets ordnungsgemäß eingeholt und dokumentiert werden.

Alles Neu macht der Mai

Die Datenschutzgrundverordnung schafft damit kaum Veränderungen im Bereich des E-Mail-Marketings. Unternehmen müssen sich vielmehr mit dem deutlich älteren UWG auseinandersetzen und dessen Vorgaben erfüllen, um zukünftig rechtskonformes Direktmarketing betreiben zu können.