Direktwerbung und DSGVO

Direktwerbung, also personalisierte Werbung, ist nach der DSGVO nur noch sehr eingeschränkt möglich. Wie können Sie noch mit E-Mail, SMS, Brief oder Telefon werben?

Zur Klarstellung vorab: Direktwerbung ist jede Werbung, die ihren Empfänger namentlich anspricht – gleichgültig, in welches Stückzahl sie ausgespielt wird. Zur Direktwerbung zählen also individualisierte bzw. adressierte Briefe, Anrufe, E-Mailwerbung, SMS-Werbung und alle anderen Werbeformen, für die personalisierte Daten (Adressen, Telefonnummern etc.) genutzt werden. Wurfsendungen, Fernseh- oder Rundfunkspots, Plakate, Anzeigen und allgemeine Internetbanner gehören hingegen nicht zur Direktwerbung.

Wie wirkt sich die DSGVO auf das Direktmarketing aus?

Die Datenschutzgrundverordnung (DSGVO) stellt eine Reihe von Regeln für die Verarbeitung von personalisierten Daten auf. Vor allem benötigen Sie für die Verarbeitung personalisierter Daten, beispielsweise zur Adressierung oder Individualisierung von Anschreiben oder für Telefonwerbung, die Einwilligung des Empfängers. Zudem gilt es, die Betroffenenrechte zu wahren.

Derzeit können Sie noch auf eine Sonderregelung im deutschen Recht zurückgreifen, die besagt, dass Sie nach einer Interessenabwägung auch Empfänger kontaktieren dürfen, die dem nicht ausdrücklich widersprochen haben, nachdem sie über ihr Widerspruchsrecht informiert wurden („Opt-Out“). Diese Regelung wird allerdings voraussichtlich mit der Umsetzung der ePrivacy-Verordnung entfallen. Wir stellen Ihnen die derzeit noch gültige Rechtslage vor.

Die einzelnen Direktmarketing-Kanäle und die Anforderungen

E-Mail-Werbung, SMS- und Messengerwerbung

Von Endverbrauchern (Business-to-Consumer) und von Unternehmenskunden (Business-to-Business) benötigen Sie eine ausdrückliche Erlaubnis für Direktwerbezwecke, also ein Opt-In.

Bislang gibt es noch die Ausnahme, dass Sie Bestandskunden, also Kunden, mit denen Ihr Unternehmen aktive Kundenbeziehungen pflegen, in beiden Bereichen ohne Erlaubnis kontaktieren können, allerdings müssen Sie Ihren Bestandskunden dann eine Opt-Out-Möglichkeit anbieten.

Bei der Werbung per E-Mail müssen folgende vier Bedingungen gleichzeitig erfüllt sein:

1. Die E-Mail-Adresse bzw. Handynummer wurde Ihnen vom Kunden selbst im Rahmen eines Kaufvorgangs genannt.

2. Die Ware oder Dienstleistung, die Sie per Mailwerbung anbieten, muss der beim Kaufvorgang erworbenen ähneln und von Ihnen selbst (nicht von einem anderen Unternehmen) angeboten werden.

Achtung

Die Ähnlichkeitseinschätzung wird vor Gericht sehr streng und eng ausgelegt! Wenn Sie sich darauf beziehen möchten, lassen Sie zuvor von einem Rechtsanwalt prüfen, ob die Angebotsähnlichkeit ausreicht. 

3. Der Kunde muss bei der Eingabe und bei jeder Verwendung seine Mailadresse die Möglichkeit zum Widerspruch angeboten bekommen.

4. Der Kunde darf der Verwendung der Adresse zu Werbezwecken nicht widersprochen haben – dies müssen Sie im Zweifel nachweisen können.

Telefonwerbung

Für Anrufe bei Endverbrauchern (Business-to-Consumer) benötigen Sie ausnahmslos eine ausdrückliche Erlaubnis der Kunden. Rufen Sie trotz nicht vorliegender Erlaubnis Verbraucher an, drohen Strafen bis zu 300.000 Euro. Ein Double-Opt-In-Verfahren zur Verifizierung von Telefonnummern ist nicht zulässig.

Im Bereich der Unternehmenskunden (Business-to-Business) gilt dies zwar im Prinzip auch, es genügt derzeit aber auch eine mutmaßliche Einwilligung, etwa wenn Sie mit diesem Ansprechpartner oder Unternehmen eine laufende Kundenbeziehung pflegen. Sie dürfen auf keinen Fall Ihre Rufnummer unterdrücken! Im Zweifel müssen Sie als Anrufer nachweisen, dass eine mutmaßliche Einwilligung anzunehmen war. Die Chancen stehen besser, wenn:

  • Ihr Unternehmen (nicht die Konzerngruppe oder andere Konzerntöchter!) eine möglichst enge Geschäftsverbindung zum Angerufenen unterhält,
  • Ihr Angebot dem Gegenstand der bisherigen Geschäfte möglichst nahe kommt,
  • ein erkennbarer und konkreter Bedarf des Angerufenen nach außen erkennbar ist,
  • Sie eine Ware oder Dienstleistung anbieten, die sehr erklärungsbedürftig ist und Rückfragemöglichkeiten erfordert oder
  • der Angerufene in der Vergangenheit positiv auf Anrufe reagiert hat.

Die genannten Kriterien sind aus der Rechtsprechung zum Gesetz gegen den unlauteren Wettbewerb (UWG) zusammengestellt, können aber der Interessenabwägung der DSGVO zugrunde gelegt werden.

WICHTIG: Dokumentieren Sie diese Interessenabwägung detailliert, damit Sie bei gerichtlichen Nachfragen ein DGSVO-konformes Vorgehen nachweisen können!

Dass in Ihrer oder in der Zielbranche Anrufe üblich sind, gehört übrigens nicht zu den Positivkriterien.

Briefwerbung

Für Briefwerbung genügt sowohl für Endverbraucher (Business-to-Consumer) als auch für Unternehmenskunden (Business-to-Business) eine Opt-Out-Möglichkeit [textinterner Link auf So funktioniert das „Opt-Out“-Verfahren]. Sie dürfen also Ihren Bestandskunden ohne Erlaubnis Werbepost zusenden, müssen den Empfänger aber auf dessen Verlangen aus Ihren Adressbeständen löschen.

Auch Teilnehmer an Gewinnspielen oder Informationsanforderungen dürfen angeschrieben werden.
Allerdings ist die Herkunft der Adressen wichtig: Es muss sich um Adressen handeln, die entweder Ihren eigenen Kunden bzw. ehemaligen Käufer Ihnen zur Verfügung gestellt haben oder die mit Nutzungserlaubnis aus Adressverlagen eingekauft wurden. Das Auslesen von Webseiten-Impressen oder die Nutzung von Bewerberdaten zu Werbezwecken ist beispielsweise nicht zulässig, da Ihnen diese Daten nicht zum beabsichtigten Werbezweck überlassen wurden.

Lassen Sie Werbeaussendungen durch einen externen Dienstleister adressieren und versenden, so schließen Sie mit diesem einen Auftragsverarbeitungsvertrag.

Werbeadressen DSGVO-konform erheben

Denkbare Datenquellen für personenbezogene Daten sind beispielsweise eine Newsletteranmeldung, eine Bestellung, ein Anmeldeformular oder eine Gewinnspielteilnahme. Wenn Sie personenbezogene Daten erheben und diese (auch) für Direktwerbung verwenden möchten, müssen Sie bereits bei ihrer Erhebung darauf hinweisen, dass und welche Angaben zu Werbezwecken genutzt werden sollen. Sie müssen außerdem angeben, wer Ihr Datenschutzbeauftragter ist.

Der Nutzer muss der Nutzung sofort oder auch später jederzeit widersprechen können.
Außerdem müssen Sie sich an die angegebenen Nutzungen halten, dürfen also beispielsweise eine für SMS-Werbung freigegebene Telefonnummer nicht für Telefonwerbung verwenden. Eine Nutzungs- oder Zweckänderung erfordert weitere Information und eine nachträgliche erneute Einwilligung in die Datennutzung. Eine Anreicherung von eigenen Daten, um Profile zu erstellen oder Kaufprognosen vorzunehmen, ist nicht zulässig.

So funktioniert das „Opt-In“-Verfahren

Wenn Sie das rechtssicherere Verfahren des „Opt-In“ wählen und dafür das Einverständnis des Kunden einholen, dass seine Daten zu Werbezwecken genutzt werden dürfen, achten Sie auf folgende Aspekte:

  • Verfassen Sie den Text der Einwilligung in einer klaren, unmissverständlichen Sprache, der der Nutzer dann zustimmen kann.
  • Nennen Sie im Text das oder die Unternehmen, für das/die die Einwilligung gelten soll/en, den Werbekanal (etwa Telefon, E-Mail o.Ä., es dürfen auch mehrere Kanäle in einer gemeinsamen Einwilligung abgefragt werden) und die Art der Angebote, für die geworben werden soll (beispielsweise IT-Dienstleistungen). Wenn Sie einen werblichen Newsletter versenden wollen, nennen Sie auch die Frequenz dieser Aussendungen (z. B. monatlich).
  • Für die Erhebung müssen außerdem die Informationspflichten nach Art. 13 Absatz 1 und 2 DSGVO erfüllt sein, das bedeutet insbesondere eine aktuelle, korrekte und vollständige Datenschutzerklärung.
  • Das Kästchen für die Werbeeinwilligung in Online-Formularen darf nicht vorausgewählt oder unveränderlich sein.
  • Weisen Sie ausdrücklich darauf hin, dass der Empfänger seine Einwilligung jederzeit für die Zukunft widerrufen kann und wie dies erfolgt (z. B. Widerrufsformular). WICHTIG: Sie müssen diesen Widerruf dokumentieren und sofort umsetzen können, achten Sie daher auf eine Anbindung an Ihre Adressverwaltung!
  • Zu Ihrer Sicherheit vor Massenanmeldern etc. nutzen Sie ein Double-Opt-In-Verfahren. Hierbei erhält der Interessent erst eine Bestätigungsmail, in der er nochmals seine Einwilligung in die Nutzung seiner Daten bestätigt. Diese Mail muss werbefrei sein und nochmals den Text der Einwilligung enthalten (siehe Punkt 1), sie dient Ihrer Dokumentation und der Transparenz gegenüber dem Empfänger.
  • Wenn Sie nach erfolgter Einwilligung über einen Zeitraum von beispielsweise 17 Monaten keine Werbung versandt haben, muss die Einwilligung unter Umständen neu eingeholt werden. Ein konkreter Zeitraum wurde allerdings gesetzlich nicht festgelegt.
  • Minderjährige haben besondere Schutzrechte und dürfen noch keine Werbeeinwilligungen erteilen, hierzu ist die Erlaubnis der Eltern erforderlich. Sie sollten deshalb bei Opt-In-Verfahren immer auch das Alter des Einwilligenden abfragen und ggf. die Erlaubniserteilung Minderjähriger abweisen.

Hinweise

  • Koppeln Sie eine Werbeeinwilligung nicht an die Teilnahme an einem Gewinnspiel oder einer anderen Werbemaßnahme, da sich hierbei häufig Probleme ergeben. Stellen Sie auch sonst keine Verbindung zu anderen Vorgängen wie dem Abschluss von Kaufverträgen oder AGB-Einwilligungen her.
  • Geben Sie besondere Inhalte wie Whitepaper nur gegen werblich nutzbare Kontaktdaten ab, so lassen Sie sich eine eindeutige Einwilligung erteilen und vermeiden Sie jegliche Drucksituation, da dann Bedenken wegen der Freiwilligkeit der Datenabgabe aufkommen könnten.
  • Eine in den AGB „versteckte“ Werbeeinwilligung ist ungültig.
  • Durch „Freundschaftswerbung“ oder Weiterempfehlungen von Kunden gewonnene Drittadressen können nicht ohne Einwilligung der Betroffenen für Direktwerbezwecke genutzt werden.

Was Sie protokollieren und nachweisen müssen:

  • Bei Webseitenformularen Datum, Uhrzeit und IP-Adresse des Nutzers sowie der Wortlaut der erteilten Einwilligung
  • Bei Double-Opt-In, bei dem dem Kunden nach der Anmeldung erst eine Bestätigungsmail gesandt wird, mit der er nochmals seine Anmeldung und seine Kontaktdaten bestätigt, die vollständige Bestätigungsmail sowie Datum, Uhrzeit und IP-Adresse des Klicks auf den Double-Opt-In-Link
  • Die technische Verfahrensweise sowie vor allem der Nachweis, dass nur nach Klick des Double-Opt-In-Links personenbezogene Daten in den Verteiler aufgenommen werden.
  • Mündlich erteilte Einwilligungen sollten Sie dokumentieren, die Adresse in Ihr Formular einpflegen und damit das übliche Double-Opt-In-Verfahren anstoßen.
  • Vom Kunden überreichte Visitenkarten mit der ausdrücklichen Bitte um Kontaktaufnahme können eine Einwilligung darstellen. Sicherer für Sie ist, wenn Sie die Karte an ein Formblatt heften, auf dem die Einwilligung unterschrieben wird. Geben Sie dem Interessenten eine Kopie dieses von ihm unterschriebenen Blattes mit.

Was passiert beim Widerruf?

Ein Widerruf (der Einwilligung) ist nur im Opt-In-Verfahren möglich, denn es erfolgt ein Widerruf einer zuvor erteilten Einwilligung in die Datennutzung. Diese Möglichkeit muss immer bestehen. Widerruft das Kunde, so müssen Sie dies mit Datum und Uhrzeit dokumentieren und die Daten umgehend für weitere Werbemaßnahmen sperren.

Willigt ein Kunde auf Nachfrage nicht in die Werbenutzung ein, gilt dies als Widerruf (evtl. nur des angefragten Kanals) und sollte ebenfalls entsprechend dokumentiert werden.

So funktioniert das „Opt-Out“-Verfahren

Beim derzeit noch zulässigen Opt-Out-Verfahren gehen Sie zunächst von einer Einwilligung des Adressaten Ihrer Werbung aus, diese Werbung erhalten zu wollen. Sie müssen ihn aber über sein Recht informieren, der Datennutzung für Werbezwecke jederzeit zu widersprechen.

Diese Information muss bereits bei der ersten Werbeaussendung an den Empfänger erfolgen und gut erkennbar sein, also in einem eigenen Absatz oder Kasten stehen oder durch Hinterlegung hervorgehoben werden.

Empfehlenswert, wenn auch nicht vorgeschrieben ist, diesen Hinweis in jeder einzelnen Werbesendung zu wiederholen. Auch bei Werbeanrufen kann und sollte die Erlaubnis erbeten werden, weiterhin anrufen zu dürfen. Eventuelle Widersprüche müssen dokumentiert und umgehend beachtet werden.

Was passiert beim Widerspruch?

Da das Opt-Out-Verfahren eine Einwilligung annimmt, die aber nicht vorliegt, kann der Nutzer keine Einwilligung widerrufen, sondern legt Widerspruch gegen die Nutzung seiner Daten ein. Auch dieser Widerspruch muss mit Datum und Uhrzeit dokumentiert und die Daten müssen zeitnah für die Werbeverwendung gesperrt werden.

Zudem müssen Sie dem Kunden eine Bestätigung über die Sperrung seiner Daten bzw. die Aufnahme in eine Sperrdatei mitteilen. Diese Sperrdatei muss bei allen künftigen Aussendungen gegen Ihre zugekaufte oder eigene Adressdatei laufen und die gesperrten Datensätze ausselektieren.

Wünscht eine Person ausdrücklich und allein eine Löschung aller Daten aus Ihrem System – und damit auch aus der Sperrdatei -, sollten Sie sie darauf hinweisen, dass sie bei einem künftigen - rechtlich zulässigen - Einsatz von Fremddaten eventuell wieder Werbung erhalten könnte. Hier könnten Sie die Person auf die Aufnahmemöglichkeiten in die Sperrliste der deutschen Werbewirtschaft, die sogenannte Robinsonliste, hinweisen (www.robinsonliste.de).

Gelegentlich kann es zu Überschneidungen zwischen dem Widerruf oder Widerspruch mit der Vorbereitung einer Werbeaussendung kommen. Daher sollten Sie in Ihrer Sperrbestätigung einen Zeitraum angeben, innerhalb dessen die Sperrung wirksam wird („spätestens zum x.x.“). Ist aus Widerruf oder Widerspruch nicht erkennbar, für welche Kanäle er gelten soll, nehmen Sie mit dem Kunden Kontakt auf und erfragen Sie diese Details.

Altdatenbestände – eine Abwägungssache

Wenn Sie bereits E-Mail-Adressen in Ihren Beständen haben, die vor dem inzwischen verpflichtenden Erhebungsverfahren aufgenommen wurden und deren Herkunft und Einwilligungsstatus unklar ist oder bei denen die Kunden vor Inkrafttreten der DSGVO eine Einwilligung erteilt haben, die aber der Art nach nicht den neuen Standards entspricht, haben Sie zwei Möglichkeiten:

1.) Sie schreiben diese Kontakte an und bitten darum, die Daten im aktuellen System erneut einzutragen. Problem: Das Anschreiben ist bereits eine Direktwerbemaßnahme, für die Sie keine Erlaubnis haben und die wettbewerbsrechtlich ein Problem sein kann – und viele Adressen werden aus Bequemlichkeit nicht erneut bestätigt, so dass Ihre Bestände stark zurückgehen.

2.) Sie prüfen die Adressen manuell, kontaktieren die aktiven Kunden wegen einer nachträglichen Bestätigung und lassen die schon länger ungenutzten oder passiven Bestände verfallen.

Ausblick

Wie schon eingangs erwähnt wird mit der ePrivacy-Verordnung aller Voraussicht nach das Opt-Out-Verfahren entfallen. Dann wird Direktwerbung nur noch im Opt-In-Verfahren, also mit ausdrücklicher Einwilligung des Empfängers, erlaubt sein. Die meisten Experten gehen von einem deutlichen Rückgang der nutzbaren Adressen aus.

Um auch unter diesen Bedingungen eine aktive Einwilligung zur Werbenutzung zu erhalten, sollten Sie auf eine klare und eindeutig formulierte Datenschutzerklärung achten und auch sonst größtmögliche Transparenz bei der Datennutzung bieten. Die ePrivacy-Verordnung wird voraussichtlich im Jahr 2020 in Kraft treten.

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.