Die Datenschutzkonferenz (DSK) hat Anfang November 2018 eine Orientierungshilfe zur Verarbeitung personenbezogener Daten bei Direktwerbung herausgebracht. Sie gibt einen Einblick in Praxisfälle, Informationspflichten, Einwilligung, spezielle Sachverhalte und Hinweise zum Werbewiderspruchsrecht.  Wir haben für Sie diese Orientierungshilfe übersichtlich auf folgenden Seiten zusammengefasst.

Die Orientierungshilfe der DSK (Originaldokument) hat keine rechtsverbindliche Wirkung und gibt keine abschliessenden Antworten auf alle Rechtsfragen rund um das Thema Direktmarketing. Die Orientierungshilfe stellt lediglich die Ansichten der Aufsichtsbehörden dar und deren Umgang bei Beschwerden mit einzelnen Fragestellungen.

Zunächst stellt die DSK fest, dass das Verarbeiten personenbezogener Daten für Direktwerbung auf der Grundlage der Einwilligung oder einer Interessensabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO zulässig ist.

Die Abwägung verlangt hierbei die Betrachtung eines jeden Einzelfalls und kann nicht auf vergleichbare oder abstrakte Fälle gestützt werden. Besonders die Frage «was kann objektiv und subjektiv erwartet werden?»  steht im Vordergrund der Interessensabwägung. Informiert beispielsweise der Verantwortliche transparent und umfassend über die vorgesehene Verarbeitung der Daten zu Direktwerbungszwecken, sind betroffene Personen entsprechend vorbereitet. Man kann davon ausgehen, dass sie erwarten, dass ihre Daten zu diesem Zweck verwendet werden. Zudem gelten weiterhin die Grundsätze nach Art. 5 Abs. 1 DSGVO: faire Verfahrensweise, dem Verarbeitungszweck angemessen und in einer für die betroffene Person nachvollziehbaren Weise.Die Datenschutzkonferenz stellt eine grobe Kategorisierung für Praxisfälle zusammen:

Ein schützenwürdiges Interesse des Betroffenen überwiegt nicht,

  • «[…]wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weiterer Produkte des Verantwortlichen zugesendet wird»
  • «[…] sofern es anhand eines Selektionskriteriums zu einer Einteilung in Werbegruppen kommt und sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt […]»

Es überwiegt hingegen,

  • wenn «[…]eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen[…]» eingesetzt werden. Sogenanntes
  • sobald «[…] die Erstellung eines Profils unter Verwendung externer Datenquellen (z. B. Informationen aus sozialen Netzwerken) verwendet werden. Sogenannte Werbescores […]»

Nicht vollständig beschlossen ist der Fall «[…] hinsichtlich der Übermittlung von Daten für Werbezwecke an Dritte sowie der Nutzung von Fremdadressen. […].» Hier wird einzelfallbezogen entschieden, wessen Interesse einen höheren Stellenwert einnimmt. Hinzugezogen wird hierbei ErwGr 47.Zusammenfassend schlägt die DSK vor für die Direktwerbung über Ansprache per Telefonanruf, E-Mail, Fax etc. den Regelungen im Wettbewerbsrecht, §7 UWG zu folgen.  Sei «für den werbenden Verantwortlichen ein bestimmter Kontaktweg zu einer betroffenen Person danach nicht erlaubt […] [, so] kann die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO auch nicht zugunsten der Zulässigkeit einer Verarbeitung dieser Kontaktdaten für Zwecke der Direktwerbung ausfallen.»

Siehe dazu unseren Beitrag «Keine Anwendung der DSGVO im B2B.»Bei Zweckänderungen sind die Regelungen des Art. 6 Abs. 4 DSGVO zu beachten. «Ob der Werbezweck mit der ursprünglichen Zweckbestimmung vereinbar ist, müssen Verantwortliche eine sog. Kompatibilitätsprüfung durchführen.»Siehe hierzu Art. 13 DSGVO und Art. 14 DSGVO und das WP 260 der Artikel-29-Gruppe.

1. Praxisfälle

Kategorisierung für Praxisfälle

Die Datenschutzkonferenz stellt eine grobe Kategorisierung für Praxisfälle zusammen:

Ein schützenwürdiges Interesse des Betroffenen überwiegt nicht,

  • «[…]wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weiterer Produkte des Verantwortlichen zugesendet wird»
  • «[…] sofern es anhand eines Selektionskriteriums zu einer Einteilung in Werbegruppen kommt und sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt […]»

Es überwiegt hingegen,

  • wenn «[…]eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen[…]» eingesetzt werden. Sogenanntes
  • sobald «[…] die Erstellung eines Profils unter Verwendung externer Datenquellen (z. B. Informationen aus sozialen Netzwerken) verwendet werden. Sogenannte Werbescores […]»

Nicht vollständig beschlossen ist der Fall «[…] hinsichtlich der Übermittlung von Daten für Werbezwecke an Dritte sowie der Nutzung von Fremdadressen. […].» Hier wird einzelfallbezogen entschieden, wessen Interesse einen höheren Stellenwert einnimmt. Hinzugezogen wird hierbei ErwGr 47.

2. Spezifische Regelungen für verschiedene Kontaktwege

Direktwerbung über Ansprache per Telefonanruf, E-Mail, Fax etc.

Zusammenfassend schlägt die DSK vor für die Direktwerbung über Ansprache per Telefonanruf, E-Mail, Fax etc. den Regelungen im Wettbewerbsrecht, §7 UWG zu folgen.  Sei «für den werbenden Verantwortlichen ein bestimmter Kontaktweg zu einer betroffenen Person danach nicht erlaubt […] [, so] kann die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO auch nicht zugunsten der Zulässigkeit einer Verarbeitung dieser Kontaktdaten für Zwecke der Direktwerbung ausfallen.»

Siehe dazu unseren Beitrag «Keine Anwendung der DSGVO im B2B.»

3. Zweckänderung

Unterrichtung, Zeitpunkt, Information des Bestandes («Altfälle»)

Bei Zweckänderungen sind die Regelungen des Art. 6 Abs. 4 DSGVO zu beachten. «Ob der Werbezweck mit der ursprünglichen Zweckbestimmung vereinbar ist, müssen Verantwortliche eine sog. Kompatibilitätsprüfungdurchführen.»

4. Informationspflichten

Siehe hierzu Art. 13 DSGVO und Art. 14 DSGVO und das WP 260 der Artikel-29-Gruppe.

4.1. Unterrichtung bei Datenerhebung

«Grundsätzlich ist […] zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO [transparent] zu informieren. […] Die Aufsichtsbehörden unterstützen […] den Vorschlag der Artikel 29-Gruppe (WP 260, S. 17) für ein zweistufiges Informationsmodell» , da es nicht immer möglich ist, den betroffenen Personen alle Informationen zu geben.»

Hieraus ergeben sich folgende Mindestanforderungen, diese sind regelmässig auf der ersten Stufe umzusetzen:

  • Identität des für die Verarbeitung Verantwortlichen (Name einschliesslich Kontaktdaten)
  • Kontaktdaten des betrieblichen Datenschutzbeauftragten (soweit benannt)
  • Verarbeitungszwecke und Rechtsgrundlage in Schlagworten
  • Angabe des berechtigten Interesses, soweit die Verarbeitung darauf beruht
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • Übermittlung in Drittstaaten
  • Widerspruchsrecht nach Art. 21 DSGVO
  • Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 DSGVO (wie Auskunftsrecht, Beschwerderecht), z. B. auch mittels QR-Code oder Internet-Link

4.2. Zeitpunkt der Information

Weiterhin empfiehlt die DSK, sobald «personenbezogene Daten der betroffenen Person für Zwecke der Direktwerbung verarbeitet werden [sollten], die nicht von dieser Person selbst erhoben wurden, sind die Informationspflichten nach Art. 14 Abs. 1 und 2 DSGVO zu beachten.»  Eine unverzügliche oder separate Information fordert das Gesetz zwar nicht, daher schlägt die DSK vor, dass «die Information innerhalb einer angemessenen Frist, jedenfalls zum Zeitpunkt der Aussendung einer Werbung, spätestens aber innerhalb eines Monats nach einer Verarbeitung erfolgen [muss]. Erfolgt die Information in Verbindung mit der ersten Werbezusendung, sind beide Bestandteile (Information und Werbetext) klar voneinander zu trennen und die Information (einschließlich Hinweis auf das Werbewiderspruchsrecht) entsprechend deutlich herauszustellen.»

4.3. Information des Bestandes («Altfälle»)

 

Hinsichtlich der Informationspflichten für bereits erhobene Daten, folgt die DSK der Meinung der Artikel-29-Gruppe. Diese führt ErwGr. 171 Satz 2 an. Hierbei «sollten [Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben,] innerhalb von zwei Jahren nach […] Inkrafttreten [der DSGVO] mit ihr in Einklang gebracht werden.»  Zudem sollen die «Grundsätze aus Art. 5 Abs. 1 lit. a DSGVO zur Transparenz […] bei […] künftigen Kontakten mit den betroffenen Personen […] in angemessener Weise [umgesetzt] bzw. [nachgereicht werden].»

5. Einwilligung

Gestaltung, Arten der Einwilligung, Kopplungsverbot, «Verfall» der Einwilligung, Verwirkung, besondere Datenkategorien

In den Punkten 3.1 bis 3.6 seines Orientierungspapieres (S.8-10) spezifiziert die DSK über die Gestaltung, die Art, den Verfall und einen Mangel einer Einwilligung.

5.1. Gestaltung der Einwilligung

Die Einwilligung

  • «ist eine Rechtmäßigkeitsvoraussetzung für die Verarbeitung personenbezogener Daten» (gemäss Art. 6 Abs. 1 Satz 1 a))
  • muss den Transparenzanforderungen (Art. 12 Abs. 1 und Art 13 Abs. 1 lit. c DSGVO) und der aktuellen Rechtsprechung siehe z. B. (BGH-Urteil vom 14.03.2017, Az. VI ZR 721/15) genügen
  • erfordert «eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung in einer klaren und einfachen Sprache oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt (nach Art. 4 Nr. 11 und Art. 7 Abs. 2 DSGVO)
  • muss nachweisbar sein. (gemäss Art. 5 Abs. 2 DSGVO und gemäss Art. 7 Abs. 1 DSGVO). Die Schriftform wird nicht als Regelfall vorgeschrieben. Es wird angeraten «sich regelmäßig um eine Einwilligung in Schriftform mit handschriftlicher Unterschrift oder mindestens in Textform (z. B. E-Mail) zu bemühen.»
  • muss als «gesonderter Text oder Textabschnitt ohne anderen Inhalt» vorgestellt werden. Wird sie «mit anderen Erklärungen (insbesondere vertraglichen Erklärungen) schriftlich oder in einem elektronischen Format erteilt, muss sie in einer «klar unterscheidbaren Weise von anderen Sachverhalten» dargestellt werden.

5.2. Arten der Einwilligung

Die DSK bespricht zwei Arten der Einwilligung. Einerseits, Visitenkarten. Diese können «grundsätzlich eine wirksame Einwilligung […] darstellen, wenn infolge weiterer Umstände für den Verantwortlichen eine Nachweisbarkeit der Einwilligung gegeben ist.»

Andererseits das Double-Opt-In-Verfahren. Dieses wird für die elektronische Einwilligung empfohlen. Zu beachten sind Anforderungen für den Nachweis einer Einwilligung. (siehe hierzu Art. 5 Abs. 2 DSGVO und des BGH Urteil vom 10. Februar 2011, I ZR 164/09)

5.3. «Koppelungsverbot» Art. 7 Abs. 4 DSGVO

Das bisher schon bestehende Koppelungsverbot für Werbung findet sich auch in der DSGVO wieder,

ist aber nicht davon abhängig, ob ein anderer Zugang zu gleichwertigen vertraglichen Leistungen möglich ist.

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist dem Umstand in grösstmöglichem Umfang Rechnung zu tragen, ob unter anderem die Erfüllung eines Vertrags, einschliesslich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrages nicht erforderlich ist (Art. 7 Abs. 4DSGVO).

 

5.4. «Verfall» der Einwilligung, Verwirkung

Die DSK zeigt auf, dass die Einwilligung «keine unbegrenzte Gültigkeit» hat und verweist auf das Urteil des LG München I vom 8. April 2010, Az. 17 HK O 138/10. Dieses entschied «, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail-Werbung ‚ihre Aktualität verliert’ und deshalb insoweit keine rechtliche Grundlage mehr ist.»

5.5. Besondere Datenkategorien gem. Art. 9 DSGVO

Art. 9 DSGVO enthält keine Erlaubnisnorm für die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke der Werbung. Dies ist nur bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person zulässig. Von Relevanz ist dies z. B. für Unternehmen und Berufe des Gesundheitswesens (Apotheken, Sanitätshäuser, Optiker, Orthopäden usw.).

6. Spezielle Sachverhalte bei der Verarbeitung personenbezogener Daten

Fremdadressenbewerbung, Nutzungsdauer, Zulässigkeit, Werbewiderspruchsrecht,

6.1. Die Nennung des für die Verarbeitung der Daten Verantwortlichen bei Fremdadressenbewerbung

Aus einer Werbung muss eindeutig hervorgehen:

  • Der Verantwortliche für die personenbezogenen Daten,
  • das werbende Unternehmen und
  • die Quelle der Daten

Der Verantwortliche «ist als konkrete juristische Person bzw. Firma mit ladungsfähiger Anschrift einschließlich E-Mail-Adresse zu nennen. Kurzbezeichnungen (wie XY-Group) oder Postfachanschriften genügen den Transparenzanforderungen von Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit a DSGVO nicht.»

 

6.2. Mögliche Nutzungsdauer von Kontaktdaten der betroffenen Person für Zwecke der Direktwerbung

Die DSK weist darauf hin, dass nicht eindeutig ist, «wie lange Kontaktdaten nach dem letzten aktiven Geschäfts- oder Direktwerbekontakt zu einer betroffenen Person für die werblichen Zwecke der Reaktivierung, Rückgewinnung etc. noch genutzt werden dürfen. […] Eine konkrete Frist hat der Gesetzgeber nicht vorgesehen.» Weiterhin betont die DSK die Rechtsprechung über die zeitliche Beschränkung einer Einwilligung. (siehe «Verfall» der Einwilligung, Verwirkung)

6.3. Zulässigkeit der Verarbeitung personenbezogener Daten

6.4. Werbewiderspruchsrecht

Die DSK stellt in ihrem letzten Punkten Hinweise zum Art. 21 Abs. 2 bis 4 DSGVO zusammen.

 

6.4.1 Werbewiderspruch und Wunsch nach Datenlöschung

6.4.2 Unterrichtung über das Werbewiderspruchsrecht

Die Unterrichtung muss:

  • verständlich sein
  • getrennt von anderen Informationen erfolgen. Besonders zu beachten ist, dass sie nicht in den AGBs oder umfangreichem Werbematerial «versteckt ist»
  • auf eventuelles Profiling hinweisen.

Der Widerspruch sollte auch über eine elektronische Kommunikationsmöglichkeit eingelegt werden.

DSK empfiehlt «den Hinweis auf das Widerspruchsrecht bei jeder Werbesendung anzubringen.»

6.4.3 Umsetzungsfrist des Werbewiderspruchs nach Art. 21 Abs. 3 DSGVO

Die Umsetzung des Widerspruchs muss unverzüglich erfolgen.

DSK empfiehlt, dass betroffene Personen ein individuelles Antwortschreiben erhalten mit:

  • der Bestätigung der Widerspruchsannahme
  • einem Hinweis, dass die betroffene Person über einen möglichst genau zu benennenden kurzen Zeitraum noch Werbung erhalten könnte