Thought Leadership
Die EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25. Mai europaweit für einheitliche Datenschutzregeln sorgen soll, stellt Unternehmen in der EU vor große Herausforderungen. Geplant ist außerdem eine EU-Verordnung zum Schutz der Privatsphäre (EU-Privacy-Verordnung), die frühestens im Herbst aktuelle Regelungen ersetzen und die Vorgaben der EU-DSGVO u.a. im Bereich der Werbung ergänzen soll.
Die EU-DSGVO – Was ist neu?
In wenigen Monaten ist die EU-DSGVO europaweit anzuwenden und bringt erhebliche Auswirkungen mit sich. Die EU-DSGVO gilt als wichtiger Schritt im Zeitalter der Digitalisierung und soll einen besseren Schutz der persönlichen Daten garantieren. Für Unternehmen bedeutet die EU-DSGVO allerdings, dass bis zum 25. Mai bestehende Prozesse und Verträge auf Übereinstimmung mit den strengeren EU-Regeln durchleuchtet, umfassend dokumentiert sowie neue Strukturen und Prozesse zur Einhaltung der stark zugenommenen Dokumentations- und Transparenzpflichten geschaffen werden müssen.
Mit der EU-DSGVO wird auch die Verarbeitung personenbezogener Daten zu Werbezwecken europaweit einheitlich geregelt. Die Sonderregelungen im Bundesdatenschutzgesetz (BDSG) sowie im Telemediengesetz (TMG) fallen weg. Das neue BDSG, das am 25. Mai in Kraft treten wird, enthält hierzu ebenfalls keine Regelungen.
Datenverarbeitung zu Werbezwecken – Was muss momentan berücksichtigt werden?
Bisher ist für die Verarbeitung personenbezogener Daten zu Werbezwecken generell eine Einwilligung der betroffenen Person erforderlich. Eine Ausnahme gibt es für sog. Listendaten, die für Zwecke der Eigenwerbung, für Spendenwerbung oder bei Werbung gegenüber Unternehme(r)n erforderlich sind. Bei der E-Mail-Werbung greifen neben den Regelungen zum Datenschutz auch Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG), die zukünftig jedoch durch die EU-Privacy-Verordnung ersetzt werden. Auch hier ist grundsätzlich eine Einwilligung notwendig. Nur ausnahmsweise benötigt das werbende Unternehmen keine Einwilligung, wenn gegenüber Bestandskunden mit eigenen ähnlichen Waren oder Dienstleistungen geworben wird.
Datenverarbeitung zu Werbezwecken – Was ändert sich mit der EU-DSGVO?
In der EU-DSGVO ist keine ausdrückliche Regelung zur Werbung enthalten. Die Grundlage für die Beurteilung der datenschutzrechtlichen Zulässigkeit von Werbung ist daher in Zukunft – abgesehen von der Einwilligung – eine Interessenabwägung. Das ist zunächst einmal nichts neues, denn auch das BDSG enthält eine ähnliche Regelung. Bisher tendierte man allerdings dazu, dass die Interessen des Betroffenen das Werbeinteresse des Unternehmens generell überwiegen. Neu ist jetzt aber der Erwägungsgrund 47, der ausführt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Noch ist unklar, ob in Zukunft davon ausgegangen werden kann, dass die Interessenabwägung tendenziell zugunsten des Unternehmens ausgehen wird. Die Datenschutzkonferenz der deutschen Datenschutzbehörden (DSK) hat hier etwas Licht ins Dunkel gebracht, indem sie in einem Kurzpapier dazu Stellung genommen hat. Danach könnten Unternehmen selbst beeinflussen, ob die eigenen Interessen an der Werbung im Rahmen der Interessenabwägung überwiegen. Informiert das Unternehmen umfassend und transparent über eine geplante werbliche Nutzung der Daten, gehe die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden. Im Rahmen der Interessenabwägung könne u.a. berücksichtigt werden, dass die von Werbung betroffenen Personen ein jederzeitiges und umfassendes Widerspruchsrecht haben, auf das sie ausdrücklich hingewiesen werden müssen.
Die Neuregelung in der EU-DSGVO könnte für Unternehmen bedeuten, dass die Datenverarbeitung zu Werbezwecken ohne Einwilligung in größerem Umfang möglich sein könnte als nach bisheriger Rechtslage. Eingriffsintensivere Maßnahmen wie Profilbildungen, bei denen z.B. Informationen aus sozialen Netzwerken berücksichtigt werden, sind nach Ansicht der DSK von dieser Erleichterung jedoch weiter ausgenommen.
Werbung ohne Einwilligung – Das UWG macht Unternehmen einen Strich durch die Rechnung
Unternehmen sollten sich jedoch nicht zu früh über diese Erleichterung bei der Verarbeitung personenbezogener Daten zu Werbezwecken freuen. Neben der EU-DSGVO sind die Regelungen des UWG u.a. zur E-Mail-Werbung zu beachten. Abgesehen von der Ausnahme für Bestandskunden kann die E-Mail Werbung nach dem UWG nur auf der Grundlage einer ausdrücklichen Einwilligung der betroffenen Person erfolgen. Es ist zwar geplant, dass die Regelungen durch die EU-Privacy-Verordnung ersetzt werden. Aber auch nach dem aktuellen Entwurf bleibt es beim Grundsatz der Einwilligung.
Werbung mit Einwilligung – Was passiert mit bereits erteilten Einwilligungen?
Wichtig zu wissen ist, dass in der Vergangenheit erteilte Werbeeinwilligungen nicht unbedingt neu eingeholt werden müssen. Bisher erteilte Einwilligungen bleiben wirksam, wenn sie der Art nach den Anforderungen der EU-DSGVO entsprechen. Daher sollte jede erteilte Einwilligung im Unternehmen bis zum 25. Mai überprüft werden. Entscheidend bei der Bewertung ist, ob auf der Grundlage der neuen Anforderungen der EU-DSGVO eine freiwillige Erklärung abgegeben und dass die Altersgrenze für die Einwilligungsfähigkeit berücksichtigt wurde.
Werbung mit Einwilligung – Was bedeutet das sog. „Koppelungsverbot“ für Unternehmen?
Das bisher schon bestehende Koppelungsverbot für Werbung gibt es auch weiterhin. Entscheidend ist nicht mehr, ob ein anderer Zugang zu gleichwertigen vertraglichen Leistungen möglich ist. Bei der Beurteilung, ob die Einwilligung freiwillig ist, ist in Zukunft vor allem wichtig, ob die Erfüllung eines Vertrages (einschließlich der Erbringung einer Dienstleistung), von der Einwilligung zu einer Datenverarbeitung abhängig ist, die für die Erfüllung des Vertrages überhaupt nicht erforderlich ist.
Zu „kostenlosen“ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung für eine werbliche Nutzung ihrer Daten „bezahlen“, hat die DSK ebenfalls Stellung genommen. Danach muss in solchen Fälle die Preisgabe von personenbezogenen Daten als vereinbarte Gegenleistung des Nutzers bei Vertragsschluss klar und verständlich dargestellt werden. Nur dann besteht keine Notwendigkeit mehr für eine Einwilligung. Das kann auch bei der datenschutzkonformen Ausgestaltung der bestehenden Praxis bei der Generierung von Business Leads mit Whitepapern, denen ein Registrierungsformular vorgeschaltet ist, eine Rolle spielen.
Fazit: Was Unternehmen im Bereich der Werbung jetzt beachten müssen
Unternehmen sollten bei der Umsetzung der Vorgaben aus der EU-DSGVO im Bereich der Werbung folgende Punkte beachten:
Soweit Werbung nicht auf einer Einwilligung der betroffenen Person beruht, können sich Unternehmen in Zukunft grundsätzlich auch auf eine Interessenabwägung stützen. Unternehmen sollten daher prüfen, ob bestimmte Werbemaßnahmen auf die Interessenabwägung gestützt werden können. Der damit verbundenen Rechtsunsicherheit sollten Unternehmen dadurch begegnen, dass die Interessenabwägung anhand der von der DSK vorgegebenen Kriterien durchgeführt und vor allem umfassend dokumentiert wird. Wo die Verarbeitung personenbezogener Daten zu Werbezwecken weiter auf Einwilligungen basiert, müssen Unternehmen prüfen, inwieweit die vorhandenen Einwilligungsprozesse die Vorgaben der DSGVO und des UWG einhalten. Dabei sollte vor allem beachtet werden, ob die Informationen, die nach der EU-DSGVO gegenüber den betroffenen Personen erteilt werden müssen, in den Einwilligungstexten und Datenschutzhinweisen enthalten sind, das Koppelungsverbot berücksichtigt wird und die Prozesse so ausgestaltet sind, dass betroffene Unternehmen jederzeit und unkompliziert widerrufen können. Im Online-Bereich sollte das Double-opt-in-Verfahren durchgeführt werden. Außerdem sollten Unternehmen im Blick behalten, ob weitere Handlungsanweisungen der Aufsichtsbehörden veröffentlicht werden, um ggf. ihre Prozesse zeitnah anpassen zu können.
Sollten Unternehmen dies nicht beherzigen, drohen ab dem 25. Mai empfindliche Bußgelder (bis zu EUR 20.000.0000 bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens), zivilrechtliche Klagen der betroffenen Personen und von Verbraucherschutzverbänden sowie Reputationsschäden.
Melanie Baltheiser ist seit 2016 Anwältin bei CMS Deutschland am Standort München. Sie ist spezialisiert auf Rechtsfragen rund um Datenschutz und IT-Recht. Darüber hinaus begleitet sie international tätige Unternehmen sowie mittelständische Unternehmen bei DSGVO-Projekten, die die Umsetzung der Anforderungen der DSGVO im Unternehmen zum Gegenstand haben.
