Zielgerichtete Werbung ist sowohl für das Unternehmen als auch für den Werbeempfänger interessanter. Die am Adressaten ausgerichtete Werbung wirft aber auch Datenschutzfragen auf und zwischen adressbezogenem Marketing und Datenschutz entsteht ein Spannungsverhältnis.
Gefühlt hat die Datenschutz-Grundverordnung (DSGVO) mit in Kraft treten am 25. Mai 2018 vieles im Bereich Direktwerbung geändert, tatsächlich aber nur bedingt. Gefühlt, durch die verschärften Sanktionen von bis zu 20 Mio. Euro bzw. 4 % des weltweilten Vorjahresumsatzes (Art. 84 DSGVO) und der Datenschutz sowie seine Anforderungen werden jetzt genauer betrachtet.
Bei genauerem Hinsehen zeigt sich aber, dass die Zulässigkeitsanforderungen für personalisierte Direktwerbung in einigen Bereichen im Vergleich zum „alten“ Datenschutzrecht (BDSG a.F.) klarer und auch lockerer geworden sind. Die strengeren deutschen Zulässigkeitsregelungen bei personalisierter Werbung sind dem EU-Maß angepasst worden. Die DSGVO hat somit nicht nur die Zulässigkeit von personalisierter Werbung in Teilen neu geregelt, sie hat vor allem auch zusätzliche Anforderungen geschaffen.
Was ist neu?
Aufgrund zusätzlicher Pflichten durch die DSGVO kann von einem Paradigmenwechsel im Datenschutzrecht gesprochen werden. Vor der DSGVO wurde vorrangig geregelt, ob eine Verarbeitung von Daten für personalisierte Werbung zulässig ist oder nicht. Die DSGVO dagegen sieht jetzt vor allem zusätzliche und umfangreiche Transparenz- und Dokumentationspflichten vor.
Die Verletzung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) kann dazu führen, dass war die Zusendung der Werbung grundsätzlich zulässig ist. Aufgrund der Missachtung der Transparenz- und/oder Dokumentationspflicht dennoch ein Bußgeld verhängt wird.
Die Informationspflichten gegenüber den betroffenen Personen nach Artt. 13 und 14 DSGVO sind ebenfalls zu erfüllen. Hier ist einfach erkennbar, wie und ob sich der Werbetreibende mit dem Datenschutzrecht befasst hat. Gerade diese Transparenz wird nach außen getragen und wahrgenommen, auch und vor allem vom Empfänger.
Die Nicht-Erfüllung dieser Pflichten durch den Verantwortlichen, d.h. durch den Werbenden, macht die Direktwerbung nicht zwangsläufig unzulässig, aber es drohen drakonische Bußgelder. Art. 83 Abs. 1: […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Wann greift das Wettbewerbsrecht?
Das Gesetz gegen unlauteren Wettbewerb (UWG) und das Datenschutzrecht kommen parallel und rechtlich unabhängig voneinander zur Anwendung. Bei der Bewertung der Zulässigkeit der Direktwerbung entscheidet im ersten Schritt § 7 UWG darüber, ob eine Einwilligung erforderlich ist. Im zweiten Schritt erfolgt die Prüfung nach den datenschutzrechtlichen Zulässigkeitsvoraussetzungen (z.B. Art. 6 Abs. 1 lit. a, f DSGVO). Zu denen zählt auch Erwägungsgrund 47 i.V.m. Art. 6 Abs. 1 lit. f DSGVO: […] Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
Die Zulässigkeit von Werbemaßnahmen ist im UWG von verschiedenen Voraussetzungen abhängig, welche sich nach dem Kommunikationsmedium der Direktwerbung richten. So ist z. B. die Briefpostwerbung, sowohl im B2C- wie auch im B2B-Bereich ohne Einwilligung zulässig (§ 7 Abs. 2 Nr. 1 UWG). Und zwar so lange, bis der Empfänger widerspricht (Opt-Out-Verfahren). Für elektronische Post (E-Mail) dagegen ist sowohl nach § 7 Abs. 2 Nr. 3 UWG wie auch nach dem Datenschutzrecht eine vorherige Einwilligung (Art. 6 Abs. 1lit. a DSGVO) durch den Empfänger zwingend erforderlich. Allerdings sieht § 7 Abs. 3 UWG für die E-Mail-Werbung auch eine Ausnahme von dem Einwilligungserfordernis vor, was aber die strikte Umsetzung der in § 7 Abs. 3 UWG genannten Vorgaben voraussetzt. Dies gilt sowohl für B2C- wie auch für B2B-Emfänger.
Fazit:
Adressbezogene Werbung ist ansprechender und erfolgversprechender. Auch durch die DSGVO ist das Einwilligungserfordernis nicht vollständig abgeschafft worden. Aber das UWG sieht auch Befreiungen vom Einwilligungserfordernis vor, wenn die dort genannten Voraussetzungen gegeben sind. Eine pauschale Einordnung ist nicht möglich. Gutes Marketing setzt auch unter datenschutzrechtlichen Gesichtspunkten eine Vorbereitung und Befassung mit den Anforderungen voraus.
Empfehlenswert ist es während der Kampagnenplanung und vor Versand sowohl eine Prüfung nach § 7 UWG (1. Prüfstufe) und nach DSGVO (2. Prüfstufe) durchzuführen. Diese Prüfung ist gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) nachzuweisen, die Verarbeitungen sind gemäß Art. 30 DSGVO im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Um Unterlassungsklagen nach § 8 UWG und/oder Beschwerden von Betroffenen (Art. 77 DSGVO) sowie Sanktionen nach Art. 83 DSGVO zu vermeiden, sollten diese sorgfältig erfolgen.
Mit anderen Worten: Während sich Vereinfachungen bei der Bewertung der Zulässigkeit ergeben haben, sind – wie bei allen Datenverarbeitungen – durch die DSGVO neue Aufwände durch Formalien und Dokumentationen entstanden. Dies gilt vor allem bezüglich der Transparenzpflichten. Gerade der Aufwand der Vorbereitung, der Gestaltung und Umsetzung dieser formalen Pflichten wird in der Praxis häufig unterschätzt. Werden die Anforderungen der DSGVO von vornherein berücksichtigt und nicht auf die Frage „Darf ich?“ verdichtet, lassen sie sich gut umsetzen.
Auch im Bereich Marketing muss mit Blick auf die DSGVO ganzheitlich gedacht werden und sich von der im alten Datenschutzrecht üblichen Beschränkung auf die Frage „Darf ich?“ verabschiedet werden.
Weiterführende Literatur:
Datenschutz & Marketing – Wie Sie Recht und Praxis partnerschaftlich zusammenbringen
Dr. Eckhardt Jens, (2019), 1. Auflage, TKMmed!a
https://www.tkmmedia.de/produkte/details/datenschutz-marketing/
Die Autoren:
Regina Mühlich, Geschäftsführerin der AdOrga Solutions GmbH, www.adorgasolutions.de, Datenschutzexpertin, Auditorin für Datenschutz & Qualitätsmanagement (TÜV, DEKRA), Sachverständige für IT und Datenschutz (TÜV), Compliance Officer (Beck Akademie).
Dr. Jens Eckhardt, Derra, Meyer & Partner Rechtsanwälte PartGmbB, www.derra.eu, Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV), Compliance Officer (TÜV).