Inxmail Blog

20 Jahre Inxmail

Remarketing/Retargeting im Lichte der DSGVO: Wofür brauchen Sie zukünftig Einwilligungen?

  • 07.11.2016 von Frank Stiegler (Gastautor)
  • Rubrik: Fachwissen

<></>

In Teil 1 dieses Blog-Dreiteilers haben Sie erfahren, welche Veränderungen die DSGVO vor allem bei Ihren Hinweispflichten als Online-Marketer bringt, aber nicht nur die zu gebenden Hinweise ändern sich, sondern es ändert sich auch ein zentraler Aspekt der Frage, wofür Sie im Online-Marketing zukünftig Einwilligungen brauchen und – für Sie wahrscheinlich noch viel wichtiger – wofür nicht.

Zur Verdeutlichung eine kurze

Darstellung der aktuellen Rechtslage

Zur Erfüllung von Pflichten aus einer Geschäftsbeziehung brauchen Sie nach § 28 BDSG schon derzeit keine gesonderte Einwilligung; die steckt sozusagen „in der Tatsache, dass der Betroffene Ihr Kunde ist“. Für Online-Werbung (genauer: Online-Direktwerbung) brauchen Sie allerdings für so gut wie immer eine Einwilligung. Die Verwendung von zur Erfüllung einer Geschäftsbeziehung erhobenen Daten zu Werbezwecken ist ohne Einwilligung also unzulässig, und zwar im E-Mail-Marketing völlig unabhängig von Ihrer Zielgruppe (also ob Sie im B2C Verbraucher oder im B2B Geschäftsleute anschreiben wollen).

Unabhängig davon (also auch dann, wenn schon eine Einwilligung in Werbung vorliegen sollte) ist eine Einwilligung für die Weitergabe personenbezogener Daten innerhalb eines Konzerns und „erst recht“ für die Weitergabe an Personen außerhalb des Konzerns erforderlich. Das aktuelle Datenschutzrecht kennt also keinKonzernprivileg. Die Weitergabe von Daten „nach außen“ (also an Unternehmern außerhalb einer Unternehmensgruppe) ist zwar genauso rechtswidrig wie innerhalb, aber besonders risikoreich, weil dadurch der Beweis der Weitergabe für den Betroffenen meistens einfacher ist.

An dem Erfordernis einer Einwilligung für beide hier beschriebenen Aspekte, also für Direktwerbung und für die Weitergabe von Daten innerhalb einer Unternehmensgruppe ändert sich durch die DSGVO etwas.

Die zukünftige Rechtslage nach DSGVO

Grundsatz: Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO

Nach der DSGVO ist bei jeder Verarbeitung von „normalen“ personenbezogenen Daten (auf die „sensiblen Daten“ nach Art. 9 DSGVO, z. B. Gesundheitsdaten gehe ich noch ein) nach Art. 6 DSGVO zu prüfen, ob eineentsprechende Erlaubnis vorliegt. So wie bisher kann eine Erlaubnis auch zukünftig aus einer Einwilligung bestehen, aber – und das ist jedenfalls in dieser Ausprägung neu – auch die „Wahrung berechtigterInteressen des Verantwortlichen“(Art. 6 Abs. 1 lit. f DSGVO) zählt als Erlaubnis, jedenfalls „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“ Ja, richtig gelesen: Bei Gleichgewicht ist eine von Ihnengeplante Maßnahme zulässig.

Sie müssen also für jeden Fall abwägen, ob Sie Daten des Betroffenen erheben, ob Sie diese Daten zur Anzeige von Werbung nutzen und ob Sie Daten hierfür an ein anderes Unternehmen in der Unternehmensgruppe („Konzern“) weitergeben dürfen, etwa weil dieses Unternehmen sich um Ihr gesamtes Online-Marketing kümmert.

Legitimer Zweck 1: Direktmarketing

Dieser Grundsatz allein hilft Ihnen noch nicht konkret weiter, aber glücklicherweise werfen die Erwägungsgründe 47 und 48 der DSGVO Licht auf ein paar zentrale Aspekte. Zum einen zählt zu den berechtigten Interessen von Unternehmen, die Online-Marketing betreiben, nach Erwägungsgrund 47 S. 7 DSGVO auch Direktwerbung. Das heißt praktisch: Sie werden von der DSGVO grundsätzlich in Ihrem Bestreben nach Werbung unterstützt.

Legitimer Zweck 2: interne Verwaltungszwecke

Außerdem zählen auch so genannte „interne Verwaltungszwecke“ nach Erwägungsgrund 48 S. 1 DSGVO als berechtigtes Interesse. Damit ist zwar nicht jeder Datenaustausch zu beliebigen Zwecken erlaubt, dürfen Sie aber grundsätzlich Daten dann an ein anderes Unternehmen in der Gruppe geben, wenn es für die ganze Gruppe das Marketing steuert, natürlich immer vorausgesetzt, dass der Austausch der Daten keine weiteren Datenschutzlecks reißt, etwa weil Sie die Daten unverschlüsselt über das Internet übertragen.

Die „vernünftigen Erwartungen“ des Betroffenen sind wichtig

Nun ist also klar: Ihr Interesse an Direktmarketing muss gegen die Interessen des Betroffenen abgewogen werden, und bei Gleichgewicht dürfen Sie sie durchführen. Welche Interessen der Betroffene hat, ist natürlich Einzelfallabwägung, aber einen weiteren m. E. wichtigen Hinweis gibt der Gesetzgeber noch, den Sie auf jeden Fall berücksichtigen müssen:

Nach Erwägungsgrund 47 S. 3 DSGVO sind bei dieser Abwägung die so genannten „vernünftigen[nbsp]Erwartungen“ des Betroffenen einzubeziehen (genauer gesagt ist zu prüfen, ob der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“). Welcher Maßstab für diese Erwartungen anzulegen ist, wie „objektiv“ er also sein muss/darf oder wie stark der Betroffene seine konkrete Lage (z. B. Spezialwissen oder die Zugehörigkeit zu einer besonderen Zielgruppe, z. B. Software-Entwickler oder Juristen) einbeziehen darf, ist noch nicht geklärt, aber praxisbezogen gesagt heißt das: Je üblicher die anvisierten Datenverarbeitungsschritte sind, desto eherwerden sie auch ohne Einwilligung zulässig sein. Jetzt wird Ihnen vielleicht bewusst, wozu ziemlich sicher jedenfalls die Welle von Cookies-Hinweis-Pop-Ups geführt haben dürfte, wenn sie schon nicht wirklich die eigentlich gedachte Funktion erfüllt hat, für mehr Aufklärung in Sachen Cookies zu führen (denn was man damit m. E. viel eher erreicht hat, ist ein Wegklickreflex). Für die Praxis heißt die Einbeziehung der „vernünftigen Erwartungen“ also: Je mehr Websites auf eine bestimmte Datenverarbeitung geben, desto wahrscheinlicher werden in Zukunft alle Unternehmen diese Verarbeitung auch ohne Einwilligung des Betroffenen durchführen dürfen.

Achtung bitte:

  • Das bedeutet nicht, dass „automatisch“ keine Einwilligungen mehr für Direktwerbung erforderlich sind, sondern nur, dass je nach Einzelfall eine Einwilligung möglicherweise nicht mehr erforderlich ist. Es kommt immer auf Einzelfallabwägung an.
  • Die oben genannte Abwägung gilt grundsätzlich auch dann, wenn Sie den Zweck der Verarbeitung bereits erhobener Daten ändern. Denken Sie bei einer Zweckänderung aber auch an sonstige Normen, die z. B. die Weitergabe (bestimmter) personenbezogener Daten verbieten, z. B. § 203 StGB, die ärztliche Schweigepflicht oder das Bankgeheimnis!
  • Bei Kindern kann diese Interessenabwägung keine zulässige Erlaubnis bringen, sondern ist immer eine Einwilligung erforderlich(Art. 6 Abs. 1 lit. f DSGVO). Ebenso sieht es bei so genannten „besonderen Kategorien personenbezogener Daten“, also sensiblen Daten aus, zu denen z. B. Gesundheitsdaten zählen, aber auch Daten über die politische, religiöse oder sexuelle Orientierung.
  • Sobald ein Betroffenerder Verwendung seiner Daten für Werbezwecke widerspricht,muss diese Verwendung ab dem Zeitpunkt des Widerspruchsunterbleiben. Sein Widerspruch setzt also sozusagen die Abwägung außer Kraft.
  • Wenn Sie doch Einwilligungen für bestimmte Maßnahmen benötigen, sollten Sie mehrereEinwilligungen nach Möglichkeit inhaltlich und sichtbar trennen. Ein „Verstecken“ von Einwilligungen in AGB und ähnlichen Dokumenten ist nach wie vor unzulässig und führt zur Unwirksamkeit der Einwilligungen.

Handlungsempfehlung für Online-Marketer

  • ?Schauen Sie sich an, welche Daten Sie online erheben und verarbeiten und welche Betroffenenrechte der jeweiligen Maßnahmen entgegenstehen! Kriterium für die Rechte des Betroffenen sind u. a. die Konsequenzen, die die jeweilige Maßnahme für ihn hat.
  • Prüfen Sie, welche Maßnahmen mit Bezug zu personenbezogenen oder pseudonymen Daten der Betroffene jeweils erwarten muss! Maßstab dafür ist u. a., welche Maßnahmen der Betroffene von anderen Unternehmen vor allem einschlägiger Branchen, aber je nach Einzelfall auch allgemein gewohnt ist.

Das heißt unterm Strich: Sowohl Direktwerbung wie auch interne Verwaltungszwecke sind nach der DSGVO legitime Interessen von Online-Marketing-Unternehmen. Ob Sie eine Maßnahme auch ohne Einwilligung des Betroffenen durchführen dürfen, kommt darauf an, ob die Abwägung Ihrer Interessen mit dem Interesse des jeweils Betroffenen dazu führt, dass seine Interessen jedenfalls nicht überwiegen. Seien Sie bitte aber immer besonders vorsichtig bei besonders sensiblen Daten und Daten Minderjähriger.

In dem folgenden Teil 3 dieses Blog-Dreiteilers erfahren Sie schließlich, welche Betroffenenrechte Sie als Online-Marketer beachten müssen. Sollten Sie Hilfe hierbei wünschen, steht Ihnen RA Stiegler gern zur Verfügung. Kontaktdaten finden Sie unter www.stiegler-legal.com.

Weitere Beiträge der Serie

Das Webinar zum Artikel

<></>

Über den Autor

Frank Stiegler (Gastautor)

Frank Stieglers Kanzlei Stiegler Legal ist auf Recht in IT und neuen Medien inkl. Gewerblichem Rechtsschutz und Datenschutz ausgerichtet. Die Kanzlei unterstützt und vertritt hauptsächlich Unternehmen im Hard- und Software-Bereich, E-Commerce-Händler, Agenturen und Berater, vom Einzelunternehmer bis zum Großkonzern. Frank Stiegler arbeitet auf Deutsch und Englisch und gibt von Herzen gern Seminare und Workshops.

Zur Übersicht

Wissen

Ob Studien, Whitepaper, Webinare oder Case Studies – hier haben wir noch mehr E-Mail-Marketing-Wissen für Sie zusammengestellt:

Produkte & Services

Sie interessieren sich für unsere leistungsstarken Produkte oder unsere Services? Hier erfahren Sie mehr:

Inxmail Newsletter

Bleiben Sie mit unserem Newsletter auf dem Laufenden: Melden Sie sich gleich an und bekommen Sie Neuigkeiten rund ums E-Mail-Marketing direkt in Ihr Postfach.

Jetzt anmelden