Kurz bevor die Regelungen der Datenschutzgrundverordnung (DSGVO) wirksam wurden, erreichten jeden E-Mail-Nutzer täglich mehrere E-Mails, in denen Unternehmen darum baten, auch zukünftig E-Mail-Werbung an ihn versenden zu können. Teilweise flehend, teilweise rechtswidrig wurde versucht, die Einwilligung des Empfängers zu erlangen. Für viele Adressaten war es eine bequeme Möglichkeit, sich von unerwünschten Newslettern abzumelden.
In den Augen der E-Mail-Versender stellte sich der 25. Mai 2018 als Apokalypse des Direktmarketings dar. Doch kommt die DSGVO tatsächlich als apokalyptischer Reiter galoppiert und verbietet den Unternehmen nun das Direktmarketing?
Das Gesetz gegen den unlauteren Wettbewerb
Die DSGVO erwähnt das Direktmarketing nur an zwei Stellen:
Einerseits kann die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung gemäß Erwägungsgrund 47 als ein berechtigtes Interesse betrachtet werden.
Auf der anderen Seite steht der betroffenen Person nach Art. 21 Abs. 2 DSGVO ein Widerspruchsrecht zu, wenn ihre personenbezogenen Daten zum Zweck der Direktwerbung verarbeitet werden.
Die DSGVO bestimmt weder, dass Direktwerbung verboten ist, noch dass dafür immer eine Einwilligung vorliegen muss. Denn auf der Ebene des Datenschutzrechts erweitert die DSGVO vielmehr die Möglichkeiten, die ein Unternehmen hat, wenn es Direktmarketing betreiben möchte.
Lesetipp: Die 10 besten Tipps für eine sichere E-Mail-Verschlüsselung
Dagegen sehen werbetreibende Unternehmen allerdings das rund zehn Jahre ältere "Gesetz gegen den unlauteren Wettbewerb" (UWG) als Compliance-Risiko im E-Mail-Marketing an. In § 7 regelt das UWG, unter welchen Umständen Werbung mittels E-Mail zulässig ist. Danach ist diese nur zulässig, wenn der Empfänger vorab eingewilligt hat.
Um die Einwilligung wirksam einzuholen, setzen die Unternehmen in der Regel das so genannte Double-Opt-In Verfahren ein. Dieses Verfahren ermöglicht es ihnen, nachzuweisen, dass die Einwilligung tatsächlich vom Inhaber der E-Mail-Adresse abgegeben wurde. Der Interessent meldet sich auf der Seite des Unternehmens für einen Newsletter an und gibt auf der Webseite unter anderem seine E-Mail-Adresse ein. Sendet er das Formular ab, erhält er automatisch eine E-Mail an die hinterlegte E-Mail-Adresse. In dieser E-Mail ist ein Link hinterlegt, den der Empfänger anklicken muss. Durch das Anklicken des Links bestätigt er, dass er tatsächlich auf das E-Mail-Postfach zugreifen kann. Erst dann ist die Einwilligung wirksam erteilt.
Mit diesem Verfahren wird verhindert, dass Dritte wahllos E-Mail-Adressen in die Formulare eingeben und für Werbenewsletter anmelden können.
Datenschutz und E-Mailwerbung - Risiken für Unternehmen
Mit dem Wirksamwerden der DSGVO müssen Unternehmen nun deutlich höhere Bußgelder fürchten: 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatz, ja nachdem was höher ist, ist der Bußgeldrahmen, innerhalb dessen die Datenschutzaufsichtsbehörden ihre Bußgelder verhängen können.
Lesetipp: Wo die Abmahnung droht
Führt man sich vor Augen, dass mit jeder verschickten Werbe-E-Mail immer auch personenbezogene Daten verarbeitet werden, kann man den Aktionismus vieler Unternehmen vor dem 25. Mai 2018 nur so deuten, dass bislang eine eindeutige Einwilligung des E-Mail-Empfängers nicht dokumentiert war. Denn nach dem neuen Datenschutzrecht bleiben einmal erteilte Einwilligungserklärungen in der Regel wirksam. Die DSGVO schreibt nicht vor, dass die Einwilligungen erneut eingeholt werden müssen.
- Die peinlichsten E-Mail-Pannen in Unternehmen
In Kooperation mit Intralinks präsentieren wir Ihnen fünf der peinlichsten und folgenschwersten E-Mail-Pannen in Unternehmen. - Platz 4: Das Anwaltsgeheimnis
Ein Angestellter des US-amerikanischen Rechtsanwalts Patrick Fitzgerald wollte 2009 bekannt geben, dass die Angeklagten in einem Betrugsfall nun verurteilt wurden. Der Angestellte hängte der E-Mail an die Medien aus Versehen aber auch eine Liste mit den Namen von geheimen Zeugen an, von denen ein Teil anonym ausgesagt hatte. - Platz 3: Entlassungs-Orgie
Das internationale Versicherungsunternehmen Aviva Investors bewerkstelligte 2012 das Unglaubliche: per E-Mail feuerte man aus Versehen alle Angestellten des Unternehmens – und zwar weltweit. Erst 25 Minuten nach der Zustellung an 1300 Mitarbeiter fiel den Verantwortlichen ihr Fehler auf, woraufhin sie Entschuldigungs-E-Mails an 1299 glückliche Mitarbeiter versenden mussten. - Platz 2: Der Epic-Fed-Fail
Rund 150 Größen der US-Finanzbranche - darunter Sachs, Barclays Captial, Wells Fargo, Citigroup und JP Morgan - kamen im April 2013 frühzeitig an das Protokoll der Federal Reserve, in dem traditionell wichtige Informationen über den Markt verkündet werden. Schuld daran war ein Mitarbeiter, der die E-Mail statt wie geplant am Mittwoch um 14 Uhr bereits am Dienstagabend versendete. Der Umgang der Federal Reserve mit sensiblen Informationen wird seither äußerst kritisch gesehen. - Platz 1: Berenson-Schmerenson
Im Februar 2008 veröffentlichte die New York Times einen Artikel über die illegalen Marketing-Aktivitäten des Pharmakonzerns Eli Lilly & Co. Der Konzern war offenbar bereit, der US-Regierung eine Milliarde Dollar zu zahlen, um die Geheimhaltung des peinlichen Falles zu gewährleisten. Eine Anwältin des Konzerns verschickte dann geheime Unterlagen zum Fall. Blöderweise gingen die jedoch nicht an ihren Kollegen Brandford Berenson, sondern an Alex Berenson, Reporter der New York Times. Dem dürfte dieses Versehen wie ein Lottogewinn erschienen sein. - Die Moral von der Geschicht'
Irren ist menschlich - natürlich lässt sich mit Trainings daran arbeiten, doch wie lassen sich solche peinlichen Datenverluste sonst noch verhindern? Eine Möglichkeit ist die Kombination aus nutzerzentrierten Strategien - etwa ein Datenschutz-Training mit Softwarelösungen. Es gibt moderne Dokumenten-Lösungen, mit denen sich Dateien austauschen lassen, die über eine sogenannte "Unshare"-Funktion verfügen. Diese zieht Zugriffsrechte auf Dateien im Nachhinein wieder zurück, egal, wo die Daten gespeichert oder wie oft eine Datei kopiert und geteilt wurde. So kann auch nach einer falschen E-Mail jedes Dokument per Mausklick zerstört werden. Zur Sicherheit vor dem Absenden einen Blick auf das Adressfeld zu werfen, lohnt sich aber trotzdem in jedem Fall.
Hat ein Unternehmen die Werbeeinwilligungen nicht per Double-Opt-In dokumentiert oder erst gar nicht eingeholt und kann daher nicht nachweisen, auf welcher Rechtsgrundlage es berechtigt ist, die personenbezogenen Daten zu verarbeiten, drohen theoretisch die immensen Bußgelder der Datenschutzgrundverordnung. Doch an welche Vorgaben muss sich ein Unternehmen jetzt halten, möchte es rechtskonform Werbekampagnen per E-Mail versenden oder Newsletter an die Kunden verschicken?
Neue Regeln für E-Mailwerbung?
Die DSGVO bringt nichts wesentlich Neues: die eigentlichen Grenzen für die E-Mail-Werbung ergeben sich aus dem UWG. Ein Unternehmen, welches Werbe-E-Mails versenden möchte, muss sich sowohl an das UWG, als auch an die DSGVO halten.
Und hier sieht das UWG regelmäßig die engeren Grenzen vor. Denn nach dem UWG muss der E-Mail-Empfänger grundsätzlich in den Empfang von Werbe-E-Mails eingewilligt haben. Dies gilt übrigens unabhängig davon, ob es sich um einen Verbraucher (B2C) oder Unternehmer (B2B) handelt. Ist eine Einwilligung erforderlich, empfiehlt es sich, diese gleich so auszugestalten, dass diese den Anforderungen des UWG und der DSGVO genügt. Daneben sind die umfangreichen Informationspflichten nach der DSGVO zu berücksichtigen.
Bestandskundenwerbung auch ohne Einwilligung
Das UWG erlaubt die Werbung per elektronischer Post ausnahmsweise auch ohne Einwilligung, wenn
ein Unternehmer die E-Mail-Adresse des Empfängers im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,
der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwenden möchte,
der Empfänger der Verwendung nicht widersprochen hat und
der Empfänger bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Hierbei geht es um die klassische Bestandskundenwerbung. Demnach muss der Empfänger der E-Mail jedenfalls bereits Kunde bei dem Unternehmen (gewesen) sein, damit der Versand rechtmäßig sein kann.
Ferner ist auch nach der DSGVO die Einwilligung nicht immer zwingend erforderlich. Das neue Datenschutzrecht erlaubt es, personenbezogene Daten zu verarbeiten, wenn die betroffene Person nicht eingewilligt hat. Dies ist insbesondere der Fall, wenn die berechtigen Interessen des Verantwortlichen die Interessen der betroffenen Person überwiegen. Dies wird man annehmen können, wenn die Direktwerbung an einen Bestandskunden gesendet werden kann und die vorstehenden Voraussetzungen des UWG erfüllt sind. In diesen Fällen lässt die DSGVO das Direktmarketing also auch ohne Einwilligung zu. Allerdings kann die betroffene Person jederzeit widersprechen. Dann dürfen ihre personenbezogenen Daten nicht mehr für die Direktwerbung verwendet werden.
Das große Löschen
Viele Unternehmen haben in ihren Systemen eine Vielzahl von Kundendaten gespeichert. Häufig können sie nicht mehr herleiten, woher die Daten stammen, in welcher Beziehung das Unternehmen zu der Person steht oder ob die Daten überhaupt noch einen kommerziellen Nutzen bringen.
Das Datenschutzrecht sieht aber vor, dass personenbezogene Daten gelöscht werden müssen, wenn sie für den Zweck, für den Sie erhoben wurden, nicht mehr erforderlich sind. Kann ein Unternehmen nicht einmal mehr feststellen, woher die Daten stammen oder zu welchen Zweck diese gespeichert wurden, greift die Löschpflicht ein. Unternehmen kommen damit nicht umhin, ihre CRM-Systeme zu analysieren und irrelevante Kontakte zu löschen.
Gibt es eine Chance auf Heilung?
Unternehmen haben eigentlich keine Möglichkeit, ihren Datenbestand im CRM-System zu schützen und rechtskonform zu gestalten. Können Sie nicht nachweisen, dass die Voraussetzungen der Bestandskundenwerbung vorliegen oder eine wirksame Einwilligung erteilt wurde, müssen die Daten gelöscht werden. Die betroffenen Personen dürfen auch nicht angeschrieben werden, um gefragt zu werden, ob sie eine Einwilligung in die E-Mail-Werbung erteilen möchten. Denn nach der Ansicht einiger Gerichte ist bereits diese Anfrage als Werbung zu werten und damit nur zulässig, wenn die oben stehenden Anforderungen erfüllt sind.
Den Unternehmen bleibt damit nur, ihre Vertragstexte so zu überarbeiten, dass zukünftig die Voraussetzungen für die Bestandskundenwerbung erfüllt sind. Zudem müssen sie ihre Marketing- und Sales-Abteilungen so schulen, dass zukünftig von den Kontakten die Einwilligungen stets ordnungsgemäß eingeholt und dokumentiert werden.
Alles Neu macht der Mai
Die Datenschutzgrundverordnung schafft damit kaum Veränderungen im Bereich des E-Mail-Marketings. Unternehmen müssen sich vielmehr mit dem deutlich älteren UWG auseinandersetzen und dessen Vorgaben erfüllen, um zukünftig rechtskonformes Direktmarketing betreiben zu können.