Nutzung von E-Mail-Adressen zu Werbezwecken
Werbemails werden meist auf eine elektronische Einwilligung mittels des sog. Double-Opt-In-Verfahrens gestützt. Betroffene bestreiten oft, solche Einwilligungen abgegeben zu haben oder können sich daran nicht mehr erinnern.
Auf E-Mail-Werbung spezialisierte Unternehmen erwerben oder mieten von Adresshändler*innen E-Mail Adresslisten. Diese Adressbestände nutzen sie dann für E-Mail-Werbekampagnen für Produkte anderer Unternehmen. Die Datenschutzaufsicht erreichen sehr viele Beschwerden über derartige Werbemails, weil die Betroffenen nach eigener Aussage keinerlei Beziehung zu den werbenden Unternehmen hatten und sich nicht vorstellen können, wieso dort die Mailadresse bekannt ist.
E-Mail-Adressen sind personenbezogene oder zumindest personenbeziehbare Daten. Sie dürfen zur Direktwerbung nur genutzt werden, wenn dafür eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO gegeben ist. Dabei sind auch die Regelungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) beachtlich. Unerwünschte E-Mail-Werbung bei Verbraucher*innen stellt eine unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG dar. Die sog. „Händlerprivilegierung“ nach § 7 Abs. 3 UWG als Ergebnis einer Interessenabwägung nach Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO liegt nur vor, wenn eine Geschäftsbeziehung zwischen Werbenden und Betroffenen besteht. Dies ist bei den vorliegenden Beschwerden gerade nicht der Fall.
Meist berufen sich die werbetreibenden Unternehmen als datenschutzrechtlich Verantwortliche darauf, dass ihnen eine Einwilligung nach Art. 6 Abs. 1 Satz 1 Buchstabe a DSGVO vorliege. Bei dem Double-OptIn-Verfahren bestätigt der Einwilligende in einer gesonderten Mail an ihn durch Anklicken eines Links seine Einwilligung. Als angebliche Nachweise legen sie jeweils eine IP-Adresse mit Zeitstempel vor (auch für das Double Opt-In); dies sehen sie als ausreichend an. Manche dieser Nachweise sind mehrere Jahre alt oder können nicht zurückverfolgt werden, da zum Beispiel die Unternehmen, die diese IP-Adresse ursprünglich erhoben haben sollen, nicht mehr bestehen.
Verantwortliche haben nach Art. 5 Abs. 1 und 2 DSGVO zudem die Einhaltung wesentlicher Grundsätze für die Verarbeitung personenbezogener Daten, wie zum Beispiel Transparenz und Aufklärung Betroffener, nachzuweisen. Das Vorliegen vorheriger informierter Einwilligungen der Nutzer*innen ist dementsprechend zu dokumentieren.
Für das elektronische Erklären einer Einwilligung ist zur Verifizierung der Willenserklärung der betroffenen Person das Double-Opt-In-Verfahren geboten, wobei die Nachweis-Anforderungen des Art. 5 Abs. 2 DSGVO und des Bundesgerichthofes (BGH, Urteil vom 10. Februar 2011 – I ZR 164/09) bei der Protokollierung zu berücksichtigen sind. Das Verfahren muss dabei gerade bezüglich des für die Werbung benutzten Kommunikationsmittels den Nachweis der Einwilligung führen können. Das bloße Abspeichern einer IP-Adresse und die Behauptung, dass von dieser IPAdresse aus eine Einwilligung erteilt worden sei, genüget dem BGH nicht. Die Einwilligung muss vollständig nachweisbar sein, auch hinsichtlich ihres Wortlauts. Für den Nachweis des Einverständnisses ist es erforderlich, dass der Werbende die konkrete Einverständniserklärung jedes einzelnen Verbrauchers vollständig dokumentiert. Im Fall einer elektronisch übermittelten Einverständniserklärung setzt das deren Speicherung und die jederzeitige Möglichkeit voraus, sie auszudrucken. Zu protokollieren ist das gesamte Opt-In-Verfahren.
Die DSGVO enthält keine spezifischen Vorgaben zur Dauer der Wirksamkeit einer Einwilligung. Wie lange die Einwilligung gültig ist, hängt vom Kontext, dem Umfang der ursprünglichen Einwilligung und den Erwartungen der betroffenen Partei ab. Siehe hierzu Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1, Rn. 110).
Der BGH hatte bereits vor Anwendbarkeit der DSGVO durch Urteil vom 1. Februar.2018 (III ZR 196/17) zur insoweit gleichlautenden damaligen Rechtslage klargestellt, dass eine erteilte Einwilligung grundsätzlich nicht zeitlich abläuft: „Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt. (…).“
Aus den Grundsätzen der Transparenz, der Verarbeitung nach Treu und Glauben und der Speicherbegrenzung aus Art. 5 Abs. 1 Buchstabe a und e DSGVO kann sich aber ergeben, dass sich Verantwortliche nicht mehr auf eine Einwilligung berufen können, wenn sie diese über längere Zeit nicht genutzt haben und die betroffenen Personen nicht mehr mit einer Verarbeitung ihrer Daten auf Grundlage der Einwilligung rechnen müssen. Vor dem Hintergrund des Grundsatzes der transparenten Verarbeitung gemäß Art. 5 Abs. 1 Buchstabe b DSGVO empfiehlt der EDSA daher als bewährte Praxis, die Einwilligung in angemessenen Zeitabständen zu erneuern. Wenn alle Informationen erneut erteilt werden, hilft dies sicherzustellen, dass die betroffene Person gut darüber informiert bleibt, wie ihre Daten verwendet werden und wie sie ihre Rechte ausüben kann.
Im Sinne einer transparenten Datenverarbeitung ist Werbetreibenden insbesondere zu empfehlen, bei länger als zwei Jahre ungenutzten Einwilligungen vorsorglich eine Erneuerung der Information oder auch der Einwilligungen selbst vorzunehmen. Wenn sich die Verarbeitungsvorgänge beträchtlich ändern oder weiterentwickeln, ist die ursprüngliche Einwilligung nicht länger für derartige Verarbeitungen gültig. Dann muss eine neue Einwilligung eingeholt werden.
Zu der rechtlichen Einschätzung der Datenschutzaufsicht bezüglich der Voraussetzungen der Nachweisbarkeit der elektronischen Einwilligung ist beim Verwaltungsgericht Düsseldorf derzeit ein Verfahren anhängig. Der Abschluss des Verfahrens soll mehr Klarheit für die Voraussetzungen und das Feststellen einer wirksamen elektronischen Einwilligung bringen.
Oft waren die Beschwerden berechtigt, da eine Geschäftsbeziehung nicht bestand und auch eine elektronische Einwilligung nicht nachgewiesen werden konnte.
Quelle: LDI NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks