Direktwerbung im Zeitalter der DSGVO – alles klar, oder doch nicht?

09.07.2019, Radinka Danilov Sehovic


In der Praxis ist der Gordische Knoten der korrekten DSGVO-Anwendung ein ewiges und unerschöpfliches Thema. Obwohl die Verordnung auf den ersten Blick den Anschein erweckt man dürfe GAR keine personenbezogenen Daten ohne Einwilligung der betroffenen Person verarbeiten, entdeckt die Praxis rechtliche Grauzonen. Dies sind jene uneindeutigen Situationen, in denen die DSGVO mit anderen gültigen Gesetzen kollidiert, oder jene, in denen die berechtigten Interessen des Verantwortlichen zu berücksichtigen sind, was individuelle Interpretationen mit sich bringen kann. In jedem Fall geht es um „Sein oder Nicht-Sein“.
Die wichtigste Frage lautet also: Wie sind diese Grauzonen möglich, wenn die Datenschutz-Grundverordnung so klar zu sein scheint? Zunächst kann die DSGVO, wie andere Gesetze und Verordnungen auch, im Detail angefochten werden, da es nicht möglich ist, jedes individuelle Szenario im Gesetz zu berücksichtigen. Weiters existieren Kollisionen zwischen der DSGVO und anderen in Nicht-EU-Staaten geltenden Datenschutzgesetzen. Ergänzend kann die Anwendung der DSGVO auf alle EU-Bürger unabhängig von ihrem Wohnsitz übertragen werden. Zu guter Letzt, aber nicht weniger wichtig, gibt es zahlreiche Versuche von Unternehmen, Organisationen und Marken, um jeden Preis Werbung an die Konsumenten zu bringen, wobei sie sich häufig am Rande der Legalität bewegen. Direktwerbung und Marktkommunikation über direkte Kommunikationskanäle sind einige dieser kommerziellen Werbezonen, bei denen die Regeln den Werbetreibenden nicht vollkommen klar sind oder welche die DSGVO von einer milderen Seite betrachten. Leider kann ich nicht im Detail auf alle Vorgehensweisen eingehen.
Die Datenschutzkonferenz (DSK) veröffentlichte im November 2018 ein offizielles Kurzpapier, das Direktwerbung hinsichtlich der DSGVO interpretiert. Obwohl das Dokument keine Rechtskraft hat, besitzt es einen fachlichen Wert und erklärt im Detail, deutlich und taxativ, praktisch auf Hegels Art und Weise, welche Vorgehensweisen DSGVO-konform sind und welche nicht. Darin werden die wichtigsten Tatsachen hervorgehoben, über die in der fachlichen Öffentlichkeit am häufigsten diskutiert wird.

1. Sind Glückwunsche (Geburtstag, Weihnacht, usw.) erlaubt oder nicht?

Liebe KollegInnen! Ob Sie es glauben oder nicht, hier hat sich gegenüber der vorherigen Gesetzeslage nichts verändert. Vergessen Sie allerdings nicht, dass die EU-Richtlinie - die Vorgängerin der DSGVO - Werbung als

jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern

(Art. 2 lit. a der EU-Richtlinie 2006/114/EG) definiert. Das bedeutet, dass jegliche Kommunikationsform, die aus irgendeinem Grund die Wahrnehmung der betroffenen Person beeinflussen könnten, diesbezüglich unter Werbung fällt. Ein Beispiel dafür wäre: Ein Kunde / eine Kundin hat ein positives Bild Ihres Unternehmens, / Ihrer Organisation / Ihrer Marke, weil Sie ihr / ihm zum Geburtstag gratuliert haben. Daraus ergibt sich Folgendes:

Diese weitgreifende Betrachtungsweise von Werbung legen auch die Gerichte in ihren Entscheidungen zu Grunde und sehen z. B. damit auch Zufriedenheitsnachfragen bei Kunden nach einem Geschäftsabschluss, Geburtstags- und Weihnachtsmailings usw. als Werbung an.

Trotz aller guter Absichten - that’s the law.

2. Was passiert, wenn ich wirklich lediglich zum Geburtstag gratulieren möchte? Ich werbe für kein Produkt. Es gibt nicht einmal ein Unternehmenslogo in der E-Mail.

Die DSGVO definiert nicht so genau, ab welchem Punkt eine kommerzielle Absicht besteht. Aber sie verlangt eine Interesseabwägung, sowohl Ihre als auch die der kontaktierten Person. Außerdem wird auch Folgendes angegeben:

Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

(47 DSGVO). In diesem Sinne schließt die DSK ab:

Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung ist in der DSGVO, abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Danach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein, sofern nicht die Interessen der betroffenen Person nicht überwiegen.

3. Was passiert mit der Werbung per Inbox in Sozialen Netzwerken?

Noch eine unangenehme Frage! Und noch ein Bereich, in dem Sie aufgrund objektiver und vernünftiger Abschätzung die Erwartungen der betroffenen Person abwägen sollten. DSK verlangt:

Die Erwartungen der betroffenen Person werden bei Maßnahmen zur Direktwerbung auch durch die Informationen nach Art. 13 und 14 DSGVO zu den Zwecken der Datenverarbeitung bestimmt. Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden. Allerdings kann durch Transparenz der gesetzliche Abwägungstatbestand nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO nicht beliebig erweitert werden, da die Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.
Zudem sind bei der Interessenabwägung die ohnehin geltenden allgemeinen Grundsätze aus Art. 5 Abs. 1 DSGVO zu berücksichtigen, also insbesondere:
•      faire Verfahrensweise,
•      dem Verarbeitungszweck angemessen,
• in einer für die betroffene Person nachvollziehbaren Weise (insbesondere Nennung der Quelle der Daten, wenn Fremddaten verarbeitet werden)

Die DSK erklärt ferner grob einige Abwägungskategorien, die in der Praxis relevant sind. Informieren Sie sich daher entsprechend gut und detailliert und seien Sie eher vorsichtig.

4. Ist Recherche durch direkten Kontakt erlaubt?

Für die Recherchen gilt, wie für jede andere auf den ersten Blick nichtkommerzielle Nachricht, das Gleiche wie für die Glückwunschkarte.

5. Aber, eine Person überlässt mir auch ihre Kontaktdaten, wenn sie mir Visitenkarte gibt.

Kontaktdaten - JA, aber Einwilligung für jedwedige Kontaktaufnahme – NEIN. Wahrscheinlich akzeptiert sie lediglich geschäftliche Kommunikation. In diesem Fall dürfen Sie auf keinen Fall die entsprechende E-Mail-Adresse zum Senden von Werbemitteilungen in eine Mailingliste aufnehmen. Die DSK dazu:

Visitenkarten, die von den betroffenen Personen auf Messen oder sonstigen Veranstaltungen ausdrücklich zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme hinterlassen werden, können grundsätzlich eine wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO darstellen, wenn infolge weiterer Umstände für den Verantwortlichen eine Nachweisbarkeit der Einwilligung gegeben ist.

In Übereinstimmung mit dem oben genannten Absatz ist die Verwendung von Kontaktdaten, die Sie im Internet gefunden haben (Webseite Impressum, Soziale Netzwerke, usw.) nicht erlaubt. Trotz der Veröffentlichung der Kontaktdaten liegt keine Einwilligung für die Verarbeitung personenbezogener Daten vor.

6. Ich habe eine Einwilligung. Und dann? Wie lange ist diese gültig?

Diese Frage kann leider nicht konkret beantwortet werden, da niemand abschätzen kann, wie lange Sie und die betroffene Person Interesse an der Zusendung kommerzieller Nachrichten haben. In diesem Sinne ist keine begrenzte Frist vorgeschrieben. Jedoch ist sehr strikt vorgeschrieben, dass Sie personenbezogene Daten löschen müssen, sofern die betroffene Person das von Ihnen verlangt.

Beachten Sie im Zusammenhang mit der Zusendung von Werbung auch Informationen über die Robinsonliste.
Und vergessen Sie das Wichtigste nicht: Sofern Sie eine Einwilligung der entsprechenden Person zur Verarbeitung ihrer personenbezogenen Daten zu einem bestimmten Zweck haben, ist (fast) alles erlaubt – sofern der jeweilige Zweck erfüllt wird und Sie den Rahmen anderer Gesetze nicht übertreten!

 


Gefällt Ihnen dieser Blogpost? Wenn Sie regelmäßig die neuesten Trends im Datenschutz & IT-Sicherheit mitbekommen möchten, dann abonnieren jetzt unseren Newsletter. Hier geht es zum Anmeldeformular.