Die Anzahl der Neugründungen und Freelancer-Tätigkeiten steigt besonders in Krisen-Zeiten rapide an. Das eigene Online-Business und der Wunsch nach Unabhängigkeit erfreuen sich größter Beliebtheit und damit auch der Einsatz geeigneter Tools für das eigene Online-Business. Besonders die DSGVO-konforme Umsetzung des E-Mail-Marketings wirft in der Praxis jedoch häufig Fragen auf und wie man sich vor unliebsamen Abmahnungen und Bußgeldern schützen kann. Denn: Das E-Mail-Marketing ist nach wie vor eines der verbreitetsten Mittel, um neue Kunden und Leads zu gewinnen. In diesem Blog-Beitrag zeigen wir auf, worauf in 2022 zu achten ist und wo zur Zeit die rechtlichen Fallstricke liegen.
Mit der Einführung der DSGVO am 25.05.2018 hat sich die Rechtslage in Sachen Datenschutz grundlegend verändert. Anbieter von Software as a Service (SaaS) sind seither dazu angehalten, datenschutzfreundliche Voreinstellungen in ihren Produkten zu implementieren und Nutzern die Möglichkeit zu geben, ihre Datenschutz-Präferenzen individuell einstellen zu können. Der Datenschutz beginnt daher bereits bei der Auswahl geeigneter Tools, für deren Einsatz der Verwender als Auftraggeber im Rahmen der sogenannten „Auftragsverarbeitung“ verantwortlich zeichnet. Wer hierbei auf ein geeignetes Privacy by Design und die Einhaltung des Datenschutzes achtet ist gut beraten, um die Anforderungen in der Praxis auch einhalten zu können.
Die richtigen DSGVO-Features spielen somit die erste Geige, um die Gefahr von Datenschutz- und Wettbewerbsverstöße zu vermeiden und das Vertrauen der Kunden zu verlieren. Besonders Software-Anbieter außerhalb der EU erscheinen häufig attraktiv, weisen jedoch bei genauem Hinsehen ein anderes Verständnis für den Datenschutz auf. Besonders problematisch ist dabei die Datenübermittlung in unsichere Drittländer. Das sind solche Länder, die kein gleichwertiges Schutzniveau für personenbezogene Daten aufweisen oder aufgrund nationaler Besonderheiten auch gar nicht aufweisen können ("Signalüberwachungstätigkeiten"). Diese Fälle sind inzwischen zu Dauerbrennern in der aufsichtsbehördlichen Praxis geworden. Deutsche und europäische Anbieter sind in Sachen Datenschutz meist deutlich im Vorteil.
Beim E-Mail-Marketing spielen neben dem Datenschutz auch wettbewerbsrechtliche Faktoren eine entscheidende Rolle. Denn wer unzulässiges E-Mail-Marketing betreibt handelt in der Regel auch wettbewerbswidrig. Nicht nur klassische Newsletter sind grundsätzlich nur mit Einwilligung Betroffener zulässig, sondern auch die werbliche Ansprache insgesamt. Es bedarf also keiner „reinen“ Werbe-E-Mail, um die rechtlichen Anforderungen bereits erfüllen zu müssen.
Die erste Besonderheit ist hierbei das sogenannte Double-Opt-in Verfahren (DOI). Dabei geht es zusammengefasst darum, dass wer sich für das Newsletter anmeldet auch tatsächlich der Inhaber eines E-Mail-Accounts ist. Es erfolgen also genau genommen zwei Einwilligungen, nämlich die Anmeldung zum Newsletter und in der Folge die Bestätigung im E-Mail-Account selbst. Beide dieser "bestätigenden Handlungen" müssen zudem nachweisbar bzw. dann systemseitig protokolliert sein. Das Zusenden der (ggf. nicht angeforderten) Bestätigungsmail stellt nach der gängigen Rechtsprechung bereits einen Wettbewerbs-Verstoß dar.
Es existiert jedoch eine Ausnahme vom Einwilligungserfordernis. Und das ist das E-Mail-Marketing für Bestandskunden. Das gilt nach dem Wettbewerbsrecht zumindest für solche E-Mails, die sich auf ähnliche Waren und Dienstleistungen beziehen, die durch den Kunden bereits erworben wurden. Nach der DSGVO bewegt sich das Bestandskunden-Marketing entsprechend im Bereich eines „berechtigten Interesses“ als Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO). Ob sich die Zulässigkeit somit nur auf ähnliche Waren und Dienstleistungen oder sämtliche Leistungen bezieht, ist rechtlich umstritten. Hierbei besteht ein potentieller Konflikt zwischen dem Datenschutz- und dem Wettbewerbsrecht. Es sollte daher besonders darauf geachtet werden, die einzelne Newsletter-Typen zu kategorisierten, damit Betroffene beim Abmelden bzw. Widerrufen der Einwilligung eine zweckbezogene Auswahl treffen können.
Neben dem DOI sind weitere Aspekte der Ausgestaltung einer Einwilligung entscheidend. Diese muss sowohl transparent als auch ausdrücklich erfolgen und einen direkten Hinweis darauf enthalten, dass und auch wie das bestehende Widerrufsrecht ausgeübt werden kann. Für das DOI-Verfahren hat sich somit die „Kästchen-Lösung“ als ausdrückliche und konkrete Einwilligung etabliert. Doch auch hierbei ist Vorsicht geboten, denn man kann nicht „in Datenschutzbestimmungen“ insgesamt einwilligen, da es zu unkonkret ist und den Nutzer in eine Zwangslage versetzt. Eine Einwilligung muss sich von anderen Sachverhalten somit deutlich unterscheiden und immer auf konkret festgelegte Zwecke beziehen. Letztlich ist auch die inhaltliche Ausgestaltung entscheidend. Denn für Betroffene muss klar erkennbar sein, worauf sie sich einlassen und was genau sie gerade bestellen. Eine Einwilligung, besonders im Marketing, gilt zudem zeitlich nicht unbegrenzt und sollte daher in regelmäßigen Abständen erneuert werden.
Erfahren Sie mehr über unsere Beratungsleistungen.
Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.
Externer Datenschutz-beauftragter
ab 150 EUR im Monat
inklusive DSMS und Webseiten-Audit
Stets aktuelle News in unserem Datenschutz Experten-Blog.
