DSGVO-konformes E-Mailmarketing

DSGVO-konformes E-Mailmarketing

Alles Wichtige rund um die Gestaltung Ihrer E-Mailmarketing Startegie

Datenschutz
Inhalt dieser Seite

Newsletter und E-Mailmarketing gehören zu den erfolgreichsten Kommunikationsinstrumenten von Unternehmen und Organisationen. Gründe dafür sind vor allem die Möglichkeit der Direktansprache von Interessenten und Kunden sowie die Tatsache, dass die Botschaften zunehmend personalisiert werden können. Allerdings hat sich die Rechtslage und damit auch die Rechtsanwendung in der Praxis durch die europäische Datenschutz-Grundverordnung (DSGVO) deutlich verändert. Viele der bisher geltenden Regelungen des alten Bundesdatenschutzgesetzes haben keinen Eingang in das neue BDSG gefunden, das zeitgleich mit der DSGVO in Kraft getreten ist. Die DSGVO ist nun in all diesen Fällen der primäre Maßstab – in Verbindung mit der nationalen Regelung des UWG (§ 7).

Rechtsgrundlage der E-Mailwerbung

Einwilligung

Die informationelle Selbstbestimmung ist ein wichtiger Bestandteil des europäischen und nationalen Datenschutzrechts. Deshalb ist die Einwilligung eine besonders wirksame Legitimationsgrundlage. Die DSGVO besagt, dass es für die Einwilligung jetzt keine Formvorschrift mehr gibt. Aber in der Praxis muss nachgewiesen werden können, dass die Einwilligung auch wirklich erfolgt ist. Hierfür gibt es zwei Möglichkeiten: die schriftliche und die elektronische Form. 

Mündliche Einwilligungen sind zwar nach DSGVO möglich, aber in der Praxis leider keine wirklich praktikablen Lösungen – vor allem, weil man sie kaum nachweisen kann. 

Am praktischsten ist wohl die elektronische Einwilligung. Das werbende Unternehmen muss sicherstellen, dass die Einwilligung protokolliert wird und bei Bedarf vorgelegt werden kann. Das sieht Artikel 7 DSGVO vor. 

Eine Einwilligung ist nur dann wirksam, wenn sie auf Information und Freiwilligkeit basiert. Das werbende Unternehmen muss seine Informationspflicht nach Art. 13 und 14 DSGVO erfüllen. Dazu gehört, dass es seine Kunden umfassend über den Datenschutz aufklärt. 

Eine Einwilligung kann nur dann wirklich informiert erfolgen, wenn das Datenschutzrecht beachtet wird. Das heißt, dass das werbende Unternehmen alle Informationen zur Datenverarbeitung in einer klaren und einfachen Sprache zur Verfügung stellen muss. Die Einwilligung ist freiwillig, wenn die Person weiß, was sie tut und sich frei entscheiden kann. Freiwillig kann sich auch in psychischer Form ausdrücken. Wenn man sich zum Beispiel dem Unternehmen stark unterlegen fühlt, liegt keine freiwillige Einwilligung vor. Im Kern muss die Person selbst entscheiden, ob sie einwilligt oder nicht. 

In der Praxis ist es so: Sobald eine Seite die andere dazu zwingt, ihr etwas zu geben oder zu tun, damit diese Person etwas bekommt – zum Beispiel einen Rabatt oder ein kostenloses Produkt –, dann ist die Grenze zur Freiwilligkeit überschritten. Das sogenannte Kopplungsverbot verbietet es, Daten zu verarbeiten, die für den Abschluss eines Vertrages oder die Bereitstellung einer Dienstleistung nicht zwingend benötigt werden, und für die eine Gegenleistung gefordert wird. Zum Beispiel darf die Einwilligung für den Erhalt eines Newsletters nicht vom Vertragsabschluss abhängig gemacht werden, es sei denn, dies ist für die Erfüllung des Vertrages erforderlich. 

Gesetz

In Deutschland ist der Versand von Werbe-E-Mails klar durch § 7 UWG geregelt. Ohne ausdrückliche Einwilligung des Empfängers ist dies in der Regel verboten, es sei denn, es greifen bestimmte Ausnahmen bei bestehenden Kundenbeziehungen. 

Die DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zum „Zwecke der Direktwerbung“ im Rahmen einer Einzelfallentscheidung als eine einem berechtigten Interesse dienende Verarbeitung angesehen werden kann (vgl. Erwägungsgrund 47 DSGVO am Ende). Als Rechtsgrundlage für Direktwerbung kann das „berechtigte Interesse“ aus Art. 6 Abs. 1 lit. f DSGVO herangezogen werden. Das ist vor allem deshalb wichtig, weil sich die DSGVO zum Ziel setzt, die Verarbeitung personenbezogener Daten so sicherzustellen, dass sie dem Schutz natürlicher Personen dient. Dabei geht es nicht nur darum, die Daten zu schützen, sondern es geht auch um die Gewährleistung des freien Datenverkehrs (Art. 1 DSGVO). 

Die Regelung der DSGVO ist allerdings durch das Verbot des UWG für E-Mail-Werbung nicht relevant, da eine restriktive Auslegung gegensätzlicher Vorschriften erforderlich ist und somit das Verbot aus § 7 schwerer wiegt.

Widerspruch

Als erstes schauen wir uns an, welche Rechte der Beworbene hat. Die richten sich nämlich zunächst mal nach der Rechtsgrundlage für die entsprechenden Werbemaßnahmen. Wenn eine Person eingewilligt hat, kann sie diese Einwilligung jederzeit widerrufen. Der Widerruf muss gemäß Art. 7 Abs. 3 DSGVO erfolgen. 

Wenn es um § 7 Abs. 3 UWG geht, dann ist § 7 Abs. 3 Nr. 4 UWG ausschlaggebend. 

Die Rechtswirkung ist bei beiden Gestaltungsrechten gleich. Einerseits wird dadurch die Grundlage für eine Verarbeitungstätigkeit in der Zukunft beseitigt. Andererseits sind Widerruf und Widerspruch Voraussetzung für einen Anspruch auf Löschung bzw. Sperrung. Beides kann mit einem Widerruf bzw. Widerspruch verbunden werden und richtet sich nach Art. 17 Abs. 1 lit. b) bzw. lit. c) DSGVO

Widerspruch kann gegenüber allen Beschäftigten und Organisationseinheiten des werbenden Unternehmens erklärt werden. Der Widerspruch gilt dann als erteilt, wenn er im Unternehmen angekommen ist und dort bearbeitet werden kann.  

Die Person kann ihren Widerspruch auf allen möglichen Wegen einlegen, mündlich, per E-Mail oder Brief. Die Person kann jederzeit, also auch bereits vor der Datenerhebung, der Werbung widersprechen. In diesem Fall ist die Werbung direkt unzulässig (§ 7 Abs. 1 S. 2 UWG). 

Herkunft der E-Mailadresse

Inhalt der E-Mail

Was darf eine Werbe-Mail enthalten?

Bei Werbe-E-Mails gem. UWG Ausnahmen gilt: Es dürfen ausschließlich eigene Produkte beworben werden, die denen ähnlich sind, die der Kunde zuvor erworben hat (vgl. § 7 Abs. 3 Nr. 2 UWG). Die Schwierigkeit dieser Regel besteht vor allem darin, a) zu bestimmen, was ähnliche Waren sind (zum Beispiel solche, die durch das gekaufte Produkt getauscht werden könnten, nicht dadurch ergänzt würden) und b) die technischen Gegebenheiten zu schaffen, um die Werbeempfänger gem. ihrer Bestell-Historie in die jeweils passenden Zielgruppen einzuordnen.

Das Gleiche gilt auch für das Kriterium der Zugehörigkeit. In der Praxis gibt es da oft das Problem, dass in einer E-Mail auch Infos zu Kooperationspartnern enthalten sind, z. B. zu Versandunternehmen, die zuverlässig sind, oder Zahlungsdienstleistern, die besonders sicher sind. Solche Werbung ist nach unserer Auffassung so lange erlaubt, wie sie nicht den Großteil der E-Mail ausfüllt

In Newsletter-Anmelde- und Bestätigungsmails darf es keine Werbung geben, auch nicht für eigene Produkte. 

Bei selbst abonnierten Newslettern (also mit Einwilligung als Rechtsgrundlage) ist dagegen fast alles erlaubt. Der Kunde muss nur bei der Anmeldung darüber informiert werden, was ihn erwartet. 

Außerdem darf die Betreffzeile einer Werbe-E-Mail oder andere Bereiche der Kopfzeile nichts enthalten, was den kommerziellen Charakter der Mail und/ oder ihren Absender verschleiert. Das steht in § 6 Abs. 2 TMG. 

Wenn man die Werbung auf die Einwilligung des Beworbenen stützt, richtet sich der Inhalt danach, wofür derjenige seine Einwilligung erteilt hat. Am besten klärt man im Voraus, welche Werbemaßnahmen von der Einwilligung mit abgedeckt sind. 

Was muss eine Werbe-Mail enthalten?

Eine Werbe-E-Mail muss Links zum Impressum und zu den Datenschutzhinweisen enthalten. Wenn es geht, können manche Inhalte aus dem Impressum und den Datenschutzhinweisen auch innerhalb der E-Mail platziert werden. Außerdem muss die Werbe-E-Mail einen Abmeldelink enthalten, über den sich die Person vom Newsletter abmelden kann. 

Analyse der E-Mailnutzung

Die Auswertung der Nutzung von Werbe-E-Mails ist durch individualisierte Ein-Pixel-Bilder möglich, die beim Empfang der E-Mail vom Server des werbenden Unternehmens nachgeladen werden. Wenn man das Bild abruft, werden zum Beispiel die IP-Adresse, der E-Mail-Client und der Abrufzeitpunkt gespeichert. Außerdem kann man die Links, die in einer Werbe-E-Mail stehen, so anpassen, dass nachvollziehbar ist, welcher Link angeklickt und für welches Produkt sich interessiert wurde. 

Da E-Mail-Adressen mit Vor- und Nachnamen personenbezogene Daten sind, kann das werbende Unternehmen mit dem Pixel bzw. den Links personenbezogene Daten erheben. Es ist aber auch möglich, die E-Mail-Nutzung anonymisiert zu analysieren. Das ist datenschutzrechtlich unproblematisch. Wenn man die Nutzung individualisiert auswerten möchte, muss man zwischen einer pseudonymisierten und einer personalisierten Auswertung unterscheiden und im Vorfeld für die Analyse der Öffnungs- und Klickraten eine separate Einwilligung einholen; das gilt übrigens auch für die Analyse von UWG-Werbe-Mails. 

Wann darf die E-Mailnutzung personalisiert ausgewertet werden?

Eine Auswertung, die auf die jeweilige Person zugeschnitten ist, darf nur mit deren Einwilligung erfolgen. Die Einwilligung muss also bestimmte Kriterien erfüllen, damit sie wirksam ist. Es ist besonders wichtig, dass der Nutzer genau darüber informiert wird, welche Daten genau erhoben werden und wofür sie verwendet werden sollen. Die Einwilligung muss bewusst erfolgen, zum Beispiel durch Setzen eines Häkchens. Außerdem muss sie jederzeit abrufbar sein, also dem Nutzer zur Verfügung gestellt werden können. 

Werbewidersprüche können mithilfe eines Donot-track-Links in der Werbe-E-Mail kanalisiert werden. Wenn die Adressaten ein Online-Kundenkonto haben, wäre es gut, wenn sie auch dort die Tracking-Abmeldefunktion nutzen können. 

Wann darf die E-Mailnutzung pseudonymisiert ausgewertet werden?

Die DSGVO macht es schwierig, Nutzerdaten pseudonymisiert auszuwerten, ohne dass die Person, um die es geht, einwilligt. Am sichersten ist man, wenn man die Person überhaupt nicht wiedererkennen kann. Dann ist es rechtlich gesehen anonym. Die DSGVO gilt dann nicht. Die DSGVO sagt dazu aber nichts Genaues. Deshalb ist es oft schwierig zu sagen, wo genau die Grenze zwischen einer pseudonymen und anonymen Auswertung liegt. Eine Pseudonymisierung kann rechtliche Anonymität bedeuten, aber trotzdem keine absolute. Absolute Anonymität gibt es nur in einem idealisierten Szenario. Deshalb muss man immer den Aufwand für die Re-Identifizierung berücksichtigen. Die DSGVO hat uns mit der Einführung des Begriffs leider keinen Gefallen getan. Denn genau zu diesem Maßstab schweigt die Verordnung. 

Rechtsfolgen bei Verstößen

Welche Gefahr geht von der beworbenen Person aus?

Schon wenn man einmalig (auch versehentlich) eine Werbe-E-Mail verschickt, kann der Empfänger dagegen vorgehen. Die Person kann das werbende Unternehmen abmahnen und verlangen, dass es eine strafbewehrte Unterlassungserklärung abgibt. 

Wenn das werbende Unternehmen nicht reagiert, kann die betroffene Person Klage einreichen und/oder unter bestimmten Bedingungen eine einstweilige Verfügung beantragen, beschweren und Schadenersatz fordern. 

Welche Gefahr geht von Mitbewerbern aus?

Wettbewerbsverbände, bestimmte Verbraucherschutzorganisationen, Industrie- und Handelskammern sowie Mitbewerber können neben der beworbenen Person gegen unlautere E-Mail-Werbung vorgehen. Sie können sich dabei auf wettbewerbsrechtliche Anspruchsgrundlagen berufen, im Gegensatz zur beworbenen Person. 

Wie können Behörden gegen E-Mailwerbung vorgehen?

Die Aufsichtsbehörden haben viele Möglichkeiten, um zu kontrollieren, ob alles richtig gemacht wird. Sie können zum Beispiel verlangen, dass man ihnen Auskunft gibt, vor Ort prüfen, ob alles so gemacht wird, wie es sein soll, oder auch ein Zwangsgeld androhen oder sogar die Verarbeitung von Daten untersagen. Außerdem haben sie das Recht, sich über alles zu informieren. Aber auch ohne diese Kontrollbefugnisse kann es Bußgelder für eine rechtswidrige Datenverarbeitung von E-Mail-Adressen bzw. Analysedaten geben. 

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Sie benötigen Hilfe bei Ihrem E-Mailmarketing?

Als Datenschutzbeauftragter unterstützen wir Sie gerne bei der Umsetzung der gesetzlichen Vorgaben.

Datenschutz Newsletter

Kostenloser Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen des Datenschutzes im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Externer Datenschutzbeauftragter
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo