Beiträge

Gastblog: Das EuGH-Urteil zu Cookies – Was ist genau das Problem?

(Gastblog von Sabine Heukrodt-Bauer, LL.M. für OXID eSales)

Am 01.10.2019 hat der Europäische Gerichtshof (EuGH) entschieden, dass Internetanbieter die Einwilligung ihrer Nutzer für Cookies nur dann wirksam einholen, wenn der Nutzer aktiv zustimmen kann (Urteil vom 1.10.2019 –  C-673/17).

Im konkreten Fall hatte ein Unternehmen bei einem Online-Gewinnspiel zu Werbezwecken ein Ankreuzkästchen mit einem voreingestellten Häkchen verwendet, mit dem Gewinnspielteilnehmer zugleich ihre Einwilligung in das Speichern von Cookies erklärten. Diese Cookies bzw. die darüber erhobenen Daten sollten zu Marketingzwecken verwendet werden. Dagegen hatte der deutsche Bundesverband der Verbraucherverbände geklagt.

Was hat der EuGH entschieden?

Der EuGH hat entschieden, dass die Einwilligung für Cookies aktiv erteilt werden muss. Die Einwilligung könne nicht über ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen müsse, wirksam erteilt werden.

Der EuGH stellte außerdem klar, dass der betroffene Nutzer u.a. auch zur Funktionsdauer der Cookies und zur Zugriffsmöglichkeit durch Dritte (z.B. Facebook oder Google) umfassend zu informieren ist.

Muss jetzt für jede Art von Cookie eine Einwilligung eingeholt werden?

–    Rein funktionale Cookies

Der EuGH bezieht sich insoweit auf Art. 5 Abs. 3 der „alten“ EU-Cookie-Richtlinie (2002/58/EG) und entschied, dass rein technische Cookies, die der Herstellung der Funktionalität einer Website dienen, noch keine Einwilligung benötigen.

Ein Beispiel dafür wären Warenkorbcookies, mit denen der Warenkorb des Nutzers gespeichert werden kann.

Rechtsgrundlage wäre dann das sog. berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, welches hier in der bedarfsgerechten Gestaltung der Website zu sehen ist. Dies umfasst konsequenterweise auch das Wissen darüber, woher ein Nutzer kommt (Sprache), welche Endgeräte verwendet (erforderlich für die Darstellung) oder welche Artikel, Videos oder sonstigen Elemente besonders häufig genutzt werden.

–    Cookies zu Marketingzwecken

Der EuGH hat ansonsten im aktuellen Urteil nicht entschieden, unter welchen Voraussetzungen welche Cookies eine Einwilligung des Nutzers benötigen.

Was Cookies betrifft, die zu Marketingzwecken eingesetzt werden, etwa zur Analyse oder zur Durchführung von Trackingmaßnahmen, vertritt die deutsche Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, eine strenge Meinung. Danach erfordert der Einsatz von Mitteln, „die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen“, in jedem Falle die vorherige Einwilligung der Nutzer nach Art. 6 Abs. 1 lit. a DSGVO. Danach wäre für das Setzen von Cookies o.ä. durch Analysedienste grundsätzlich eine Einwilligung einzuholen. Dies gilt vor allem, wenn Daten an Dritte weitergegeben oder Tracking-Pixel eingesetzt werden bzw. eine websiteübergreifende Zusammenführung personenbezogener Daten vorgenommen wird. Vgl. dazu die Orientierungshilfe der DSK vom 03. April 2019 unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.

Diese Auffassung stellt bislang erst einmal „nur“ eine Behördenmeinung dar und wurde immer wieder kritisiert, da auch ein Tracking mitumfasst ist, das lediglich in pseudonymisierter Form, wie z.B. bei Google Analytics erfolgt.

Wie sollte man sich jetzt verhalten?

Wer in jedem Falle kein Risiko eingehen und abwarten will, bis es eine unstrittige Auffassung oder klare gesetzliche Regelungen zur Cookie-Thematik gib, sollte die Einwilligungen der Nutzer für Cookies in den Fällen einzuholen, wo Daten an Drittanbieter übermittelt werden (z.B. Google oder Facebook) und wo die Datenverarbeitung über die reine Analyse hinaus geht.

So könnte ein Cookie-Banner mit Einwilligung aussehen

Wie ein Cookie-Banner für Dienste wie z.B. Google-Analytics, Google AdSense oder auch z.B. Facebook – Custom Audience, aussehen könnte, ist hier dargestellt:

Quelle: https://res-media.net/Beispiel-Cookie-Banner/

Das ist außerdem zu beachten

  • Es müssen alle Dienste einzeln angegeben werden. Ob dazu auch die einzelnen Cookies aufgeführt werden müssen, ist streitig.
  • Es dürfen keine vorab angeklickten Checkboxen zur Einwilligung verwendet werden.
  • Technisch muss das Ganze so gestaltet sein, dass diese Cookies erst aktiv werden, wenn der Nutzer seine Einwilligung erteilt.
  • Weiterhin muss in den Datenschutzerklärungen der Webseiten die Funktionsdauer angezeigt und der Zugriff durch Dritte auf die Daten dargestellt werden.
  • Dem Nutzer muss – wenn Rechtsgrundlage des Cookie-Einsatzes das berechtigte Interesse des Verantwortlichen ist – eine Widerspruchsmöglichkeit (Opt-Out) zur Verfügung gestellt werden.
  • Ist die Einwilligung die Rechtsgrundlage, muss der Nutzer auf sein jederzeitiges Recht hingewiesen werden, die Einwilligung wieder zu widerrufen.

To do

Betreiber von Webseiten müssen klären, ob und welche Cookies sie genau einsetzen. Werden Cookies zu Marketingzwecken eingesetzt, ist zunächst zu entscheiden, ob bereits jetzt der strengen Auffassung der Datenschutzbehörden gefolgt werden soll. Dann wäre ein Cookie-Banner zu installieren und damit die Einwilligung der Nutzer einzuholen. Anderenfalls – oder bei nur rein funktionalen Cookies – ist eine umfassende Information in die Datenschutzerklärung zu integrieren und zunächst auf ein Banner zu verzichten.

Diese und weitere Fragen beantworten wir im OXID Academy Webinar Legal Update: „Die Keyfacts zum neuen Cookie-Urteil des EuGH“ am 28. November um 11 Uhr. Melden Sie sich gleich hier an!

Autorin

>>Sabine Heukrodt-Bauer. LL.M. ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz.

Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: Die fünf größten Rechtsfallen in der Social-Media-Kommunikation

(Gastblog von Sabine Heukrodt-Bauer, LL.M. für OXID eSales)

Die Nutzung von Social-Media-Plattformen ist mittlerweile Pflicht für jedes Unternehmen auf dem Markt. Doch treten bei der Nutzung dieser Dienste immer wieder rechtliche Hürden auf, die auch bei kleinen Fehlern zu teuren Abmahnungen führen können. Im OXID Academy Webinar am 9. Mai um 11 Uhr gehen wir auf die besonderen Herausforderungen im Social-Media-Recht ein und greifen hier die fünf größten Fallstricke heraus, die uns immer wieder in der täglichen Anwaltspraxis begegnen:

1. Kein oder ein falsches Impressum

Die Impressumspflicht folgt aus § 5 Telemediengesetz (TMG) und gilt für alle „Telemedien“, also für alle elektronischen Informations- und Kommunikationsdienste: Webauftritte von Unternehmen, Onlineshops, Facebook-Accounts usw. In jedem Social-Media-Kanal, den ein Unternehmen führt, ist daher ein ordnungsgemäßes Impressum einzufügen. Es sind dieselben Angaben zu machen, wie das auch in „normalen“ Webseiten und/oder Onlineshops der Fall ist. Da Social-Media-Posts unter die „journalistisch-redaktionellen Inhalte“ im Sinne des § 55 Rundfunkstaatsvertrag (RStV) fallen können, sollte zusätzlich ein „Verantwortlicher“ für die Inhalte mit Vornamen und Nachnamen angegeben werden, der die folgenden Kriterien erfüllen muss:

  • ständiger Aufenthalt im Inland,
  • die Fähigkeit zur Bekleidung öffentlicher Ämter nicht infolge Richterspruchs verloren,
  • voll geschäftsfähig,
  • unbeschränkt strafrechtlich verfolgbar.

Aus diesen Vorgaben ergibt sich das folgende Muster für ein korrektes Impressum für das Beispiel einer Gesellschaft mit bedingter Haftung (GmbH):

Impressum

Beispielfirma GmbH
Beispielstraße 1
12345 Beispielstadt
Telefon: +49 (0)123 456789
Telefax: +49 (0)123 456780
E-Mail: info @ beispielsdomain.de
Geschäftsführer: Max Mustermann
Handelsregister: Amtsgericht Beispielstadt, HRB 12345
USt.-ID.: DE123456789


Verantwortlicher nach § 55 RStV: Max Mustermann, Adresse wie oben.

Weitere Impressumsmuster zu anderen Gesellschaftsformen unter: http://www.res-media.net/muster

Das Gesetz verlangt in § 5 TMG, dass das Impressum „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ ist. In Webseiten und Onlineshops wäre dazu eine Seite „Impressum“ in die Navigation einzufügen. Für das Einfügen in Social-Media-Accounts sind insoweit zwei Punkte zu beachten:

  • Der Bundesgerichtshof hat zur „unmittelbaren Erreichbarkeit“ die sogenannte „Zwei-Klick-Regel“ entwickelt, welche besagt, dass die Erreichbarkeit noch gewährleistet ist, wenn zwei Links zwischen Startseite und Darstellungsseite des Impressums liegen (im Urteil vom 20.07.2006, Az. I ZR 228/03, ein Klick auf „Kontakt“ und ein weiterer Klick auf „Impressum“).
  • Für den Bereich „Social Media“ gibt es Urteile, wonach die Bezeichnung des Links oder der Registerkarte „Info“ in den Accounts nicht deutlich genug auf das Impressum hinweist (LG Aschaffenburg, Urteil vom 19.08.2011, 2 HK O 54/11; LG Frankfurt, Beschluss vom 19.10.2011, 3-08 O 136/11).

Soweit keine entsprechenden Seiten in den Kanälen eingerichtet werden können (z. B. Instagram, Twitter), sollte im Profil, in der Bio usw. ein Link http://www.beispielsdomain.de/Impressum_Datenschutz auf eine externe Landingpage eingefügt werden. Hier können dann die Pflichtinhalte zum Impressum (sowie zum Datenschutz, siehe unten Ziffer 5) platziert werden. Bei Facebook kann auf Fanpages die „Story“ für das Impressum und den Datenschutz genutzt werden.

2. Keine ausreichenden Nutzungsrechte an Bildern

Das Problem ist eigentlich ein altbekanntes: Veröffentlichungen von fremden Bildern können gegen die Rechte Dritter, insbesondere gegen das Urheberrecht verstoßen. Doch immer wieder werden Bildrechte missachtet und es kommt zu kostspieligen Abmahnungen.

Es ist immer die Entscheidung des Urhebers als Ersteller eines Bildes, ob, wie, wo und von wem sein Bild verwendet oder veröffentlicht wird. Solange der Urheber keine Zustimmung zur Veröffentlichung gegeben hat, dürfen die Bilder also auch nicht in Social Media-Profilen genutzt, hochgeladen oder geteilt werden. Hier hilft es übrigens auch nicht, dass zumindest die Quelle mit einem Copyright o. ä. des Bildes angegeben wird. Wird ein Bild ohne Einverständnis hochgeladen, macht auch die Angabe eines Bildnachweises das Ganze nicht „ein bisschen rechtmäßiger“.

Alle urheberrechtlich relevanten Materialien wie Bilder, Grafiken, Fotos usw. müssen vor ihrer Verwendung auf Social-Media-Plattformen grundsätzlich auf die Rechte anderer hin überprüft werden. Werden fremde Urheberrechte verletzt, können Unternehmen auch für die Fehler ihrer Mitarbeiter in Anspruch genommen werden.

Es ist insgesamt zu empfehlen, einen Datenpool mit rechtmäßig erworbenem und lizensiertem Content aufzubauen, der in den Social-Media-Kanälen genutzt werden darf.

3. Social Media Plugins und Urheberrechte

Ein besonderes urheberrechtliches Risiko ergibt sich nicht nur aus dem Teilen fremder Inhalte, sondern auch bereits durch das Einbinden von Social Media -Plugins auf den eigenen Webseiten.

Hierbei handelt es sich um die Buttons bzw. Funktionen wie der Facebook-Like-Button oder der Button für das Retweeten bei Twitter. Das „Liken“ oder „Sharen“ von eigenen Webseite-Inhalten durch Dritte kann direkt zu Urheberrechtsverletzungen führen, denn hier werden automatisch die in der eigenen Webseite eingefügten Bilder und Fotos gleich mit veröffentlicht.

Als Webseitenbetreiber verfügt man aber nicht immer über die erforderlich Social-Media-Lizenzen an den Webseitenbildern, wenn diese nicht extra eingekauft wurden. Die Lizenz „Internetnutzung“ beinhaltet nicht automatisch auch die Lizenz „Social Media Nutzung“ (vgl. dazu Urteil des LG Frankfurt a.M. vom 17.07.2014, Az. 2 – 03 S 2/14). Es muss daher mit dem Fotografen oder der jeweiligen Agentur geklärt werden, welche Nutzungsarten mit der Lizenz verknüpft sind.

Bei vielen Stockbild-Anbietern ist in der Lizenz „alles drin“, andere erteilen die Erlaubnis zur Social-Media-Nutzung auf Nachfrage.

4. Recht am eigenen Bild

Auch kommt es immer wieder wegen des Rechts am eigenen Bild zu rechtlichen Problemen. Veranstalten Unternehmen Events oder nehmen an Messen teil, werden Fotos davon direkt in den Social-Media-Kanälen veröffentlicht. Werden die abgebildeten Geschäftspartner und Gäste nicht zuvor um deren Erlaubnis gefragt, kann das Recht am eigenen Bild nach §§ 22, 23 Kunsturhebergesetz (KUG) verletzt sein.

Seit Geltung des neuen Datenschutzrechts ist ein weiteres Problem hinzugekommen, denn bereits das Anfertigen und Speichern von Fotos mit erkennbaren Personen darauf kann eine Verarbeitung von personenbezogenen Daten darstellen. Das ist nach der Datenschutzgrundverordnung (DSGVO) zu Werbezwecken entweder nur mit Einwilligung der jeweils abgebildeten Personen oder auf der Grundlage eines überwiegenden, berechtigten Interesses des Unternehmens zulässig.

5. Datenschutzinformation

Im letzten Jahr entschied der Europäische Gerichtshof (EuGH), dass Betreiber von Facebook-Fanseiten für die Datenverarbeitung des sozialen Netzwerks verantwortlich sind (Urteil vom 05.06.2018, Az. C-210/16).

Das Urteil erging zwar zu Facebook auf der Grundlage der „alten“ Rechtslage nach der bisherigen EU-Datenschutzrichtlinie (RiLi 95/46/EG) bzw. dem nationalen Bundesdatenschutzgesetz (BDSG) alter Fassung. Es ist aber auf praktisch alle sozialen Netzwerke und die seit dem 25.05.2018 gültige Rechtslage nach der neuen DSGVO anwendbar.

Entsprechend hat bereits die Datenschutzkonferenz (DSK), ein Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, regiert. In einer Stellungnahme zum EuGH-Urteil vom 06.06.2018 https://www.datenschutz-bayern.de/dsbk-ent/DSK_95p-Fanpages.pdf heißt es, dass dringender Handlungsbedarf für die Betreiber von Fanpages bestehe. Wer eine Fanpage betreibe, müsse seine Besucher u.a. transparent und in verständlicher Form darüber informieren, welche Daten zu welchen Zwecken durch Facebook und ihn als Fanpage – Betreiber verarbeitet werden. Dies gelte sowohl für Personen, die bei Facebook registriert seien, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

(Lesen Sie dazu auch den Beitrag: >>“Gastblog: Facebook Fanpages und Custom Audiences – was ist noch erlaubt?“)

Damit steht fest, dass jeder Social-Media-Kanal neben einem Impressum vor allem auch eine Datenschutzinformation nach Art. 13 DSGVO benötigt, in der umfassend über die Verarbeitung der personenbezogenen Daten informiert wird. Der Text dazu kann zusammen mit dem Impressum (vgl. oben Ziffer 1) zum Beispiel auf einer externen Landingpage eingefügt werden, auf die aus den Social-Media-Kanälen heraus verlinkt wird.

Diese und weitere Fragen beantworten wir im OXID Academy Webinar Legal Update: „Social Media Recht“ am 9. Mai um 11 Uhr. Melden Sie sich gleich hier an!

Autorin

>>Sabine Heukrodt-Bauer. LL.M. ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz.

Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: Neue Schulung E-Commerce Recht und 8 Tipps für einen rechtssicheren Onlineshop

(Gastblog von Sabine Heukrodt-Bauer, LL.M. für OXID eSales)

Onlinehändler müssen zahlreiche gesetzliche Vorschriften beachten, die fast nicht mehr zu überblicken sind. Dabei kann fast jeder Fehler in diesem Bereich wettbewerbsrechtlich u. a. von Mitbewerbern, Verbraucherschutzverbänden oder der Wettbewerbszentrale abgemahnt werden. Abmahnungen gehören daher mittlerweile zum Alltag von Onlinehändlern und richten teilweise hohe finanzielle Schäden an.

Im neuen >>Schulungsformat „E-Commerce Recht“ der OXID Academy erhalten Shopbetreiber und Projektleiter tiefgehende Kenntnisse über gängige Rechtsfragen im E-Commerce. Die folgenden 8 Tipps geben in Kürze einen Überblick über die wichtigsten Stolperfallen, und wie man sie vermeidet.

Tipp 1: Belehrung zum Widerrufsrecht und Muster der Widerrufserklärung

Verbrauchern steht im Internethandel ein 14-tägiges Widerrufsrecht zu. Das gesetzliche Muster für die Wider­rufsbelehrung ist hier geregelt: >>Widerrufsbelehrung. Dazu müssen Händler Verbrauchern auch das Muster für die Widerrufserklärung zur Verfügung stellen: >>Widerrufserklärung.

Für beide Muster gilt, dass diese wegen des bestehenden Abmahnrisikos nur im Rahmen der gesetzlichen Gestaltungshinweise abgeändert werden und jegliche „freie“ Abänderungen unterbleiben sollten.

Tipp 2: Bestellbutton

Bereits seit dem 01.08.2012 ist die sog. Button-Lösung in Kraft. Danach ist der Bestell-Button am Ende des Check-Outs mit Formulierungen wie „zahlungspflichtig bestellen“, „kostenpflichtig bestellen“, „kaufen“ oder „Jetzt kaufen“ zu beschriften.

Tipp 3: Bestätigungen

Jedem Kunden ist der Zugang der Bestellung beim Händler unverzüglich elektronisch zu bestätigen. Zusätzlich ist dem Kunden eine Vertragsbestätigung zu übermitteln, die den gesamten Inhalt der Bestellung einschließlich etwaiger AGB wiedergibt.

Ist der Vertragsschluss im Onlineshop so geregelt, dass das Onlineangebot verbindlich ist und der Vertrag bereits mit der Bestellung des Kunden verbindlich zustande kommt, können die Bestelleingangsbestätigung und die Vertragsbestätigung in einer einheitlichen E-Mail versendet werden.

Tipp 4: Artikelbeschreibung

Online ist der Kunde auf Produktbilder und eine ausführliche Artikelbeschreibung angewiesen. Die Informationspflichten im Fernabsatz erfordern deshalb die Darstellung aller „wesentlichen Eigenschaften“.

Welche das sind (etwa Größe, Gewicht, Farbe, Funktion etc.), hängt von den jeweiligen Artikeln ab. Auch an mögliche Sondervorschriften für z. B. Elektrogeräte, Textilien, Lebensmittel, Spielzeug und viele andere Artikelgruppen ist beim Abfassen der Artikelbeschreibungen zu denken.

Tipp 5: Preise

Alle Artikel sind nach der Preisangabenverordnung (PAngV) mit den Gesamtpreisen, also den Preisen einschließlich Umsatzsteuer und sonstiger Preisbestandteile, auszeichnen. Außerdem ist der Hinweis „inklusive Mehrwertsteuer“ oder „inkl. MwSt.“ erforderlich.

Zusätzlich ist anzugeben, ob ggf. zusätzliche Versandkosten anfallen und wenn ja, in welcher Höhe. Bei Waren, die nach Gewicht, Volumen, Länge oder Fläche angeboten werden, ist auch der Preis je Mengeneinheit (Grundpreis) anzugeben.

Tipp 6: Allgemeine Geschäftsbedingungen

Wie dargestellt, muss der Händler dem Verbraucher eine „Vertragsbestätigung“, in der der Vertragsinhalt wiedergegeben ist, zusenden. Auch im Hinblick auf die gesetzlichen Pflichtinformationen im Fernabsatz und im elektronischen Geschäftsverkehr bietet es sich daher insbe­sondere im B2C-Bereich an, alle Informationen auch in den Allgemeinen Geschäftsbedingungen (AGB) zusammenzustellen und dem Verbrau­cher per E-Mail mit der Vertragsbestätigung zur Verfügung zu stellen.

Dabei dürfen die AGB keine unzulässigen Klauseln enthalten. Viele Klauseln, die im B2B-Geschäft üblich sind, sind beim Verkauf an Verbraucher unzulässig und können abgemahnt werden.

Tipp 7: Datenschutz

Es ist eine eigene Seite „Datenschutz“ oder „Datenschutzinformation“ ein­zurichten, die Besucher und Kunden über alle datenschutzrechtlichen Aspekte des Shops nach Maßgabe der neuen Datenschutzgrundverordnung (DSGVO) informiert.

Es muss über sämtliche Verarbeitungen von personenbezogenen Daten informiert werden. Dabei sind auch Informationen zu Social Media Plug-ins, Tracking Tools, Widerspruchsmöglichkeiten etc. nicht zu vergessen.

Tipp 8: Produktbilder und Urheberrecht

Wer fremde Produktfotos unberechtigt für den eigenen Online-Shop verwendet, ist dem Urheber oder Nutzungsberechtigten gegenüber zu Unterlassung, Auskunft und Schadenersatz verpflichtet.

Händler sollten daher Nutzungsrechte an Produktfotos immer schriftlich regeln und sich diese bestätigen lassen. Außerdem ist grundsätzlich die korrekte Nennung des Urhebers im Online-Shop erforderlich, wenn dieser nicht ausnahmsweise darauf verzichtet hat.

Das notwendige Wissen und die Werkzeuge zu diesen Punkten und weiteren Themen erhalten Sie in der Tagesschulung „E-Commerce Recht“ am 5. Juli in Freiburg. Die Plätze sind begrenzt, melden Sie sich frühzeitig an.

Autorin

>>Sabine Heukrodt-Bauer. LL.M. ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz.

Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: 3 Punkte, die im E-Mail-Marketing alles zulässig oder unzulässig machen

Seit Geltung der Datenschutzgrundverordnung (DSGVO) sind das E-Mail-Marketing und die Leadgenerierung für Marketiers nicht gerade einfacher geworden.
Es stellen sich jetzt Fragen wie „Über welchen Kanal darf ich den Lead kontaktieren?“, „Darf ich das Klickverhalten speichern?“ oder „Welche Daten kann ich für unser E-Mail-Marketing nutzen?

Kompliziert ist es auch, weil nicht nur das Datenschutzrecht zu beachten ist, denn parallel dazu gelten für deutsche Unternehmen außerdem das Gesetz gegen den unlauteren Wettbewerb (UWG) sowie das Bürgerliche Gesetzbuch (BGB) weiter.

Die Konsequenzen bei Verstößen sind dabei ganz unterschiedlich: Wer unbefugt Daten verarbeitet, unzulässige E-Mails verschickt oder unerlaubt Werbeanrufe tätigt, dem drohen nicht nur Bußgelder der Datenschutzbehörden nach der DSGVO wegen unzulässiger Datenverarbeitung. Er könnte auch unter anderem von Mitbewerbern, Abmahnvereinen oder Verbraucherschutzverbänden wettbewerbsrechtlich abgemahnt werden. Hinzu kommt, dass die Empfänger der E-Mails oder die Angerufenen ebenfalls zivilrechtlich Unterlassung verlangen und kostenpflichtig abmahnen können.

1. Auch Firmendaten können personenbezogene Daten sein

Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Dazu gehören zwar nach Art. 1 DSGVO und Erwägungsgrund 14 DSGVO nicht die Daten einer juristischen Person an sich (Beispiel: Name und Adresse der Beispielsfirma XY GmbH). Allerdings unterscheidet die Verordnung nicht zwischen personenbezogenen Daten aus dem Bereich B2C (Business-to-Consumer) oder B2B (Business-to-Business). Damit können grundsätzlich auch Daten von geschäftlichen Kontakten personenbezogen sein. Es muss aber ein sog. Personenbezug gegeben sein, d. h. eine natürliche Person hinter den Daten stehen. Das ist zum Beispiel dann der Fall, wenn der Name einer Person in der E-Mailadresse verwendet wird.

2. Die Nutzung von Daten zu Werbezwecken benötigt eine eigene Rechtsgrundlage

Die Verarbeitung von Daten zum Zwecke der Kontaktaufnahme zu einem Interessenten, Kunden oder sonstigen Geschäftspartner erfordert entweder eine gesetzliche Grundlage oder die vorherige Einwilligung des Betroffenen:

Zur Durchführung vorvertraglicher Maßnahmen auf eine Anfrage des Betroffenen hin oder zur Erfüllung eines Vertrags dürfen personenbezogene Daten bereits nach dem Gesetz verarbeitet werden, ohne dass es einer vorherigen Einwilligung des Betroffenen bedarf.

(Art. 6 Abs. 1 lit. b DSGVO)

Beispiele:

  • jemand fragt per E-Mail nach einem Angebot;
  • über das Kontaktformular der Webseite wird ein Katalog bestellt;
  • eine Bestellung aus dem Onlineshop wird abgewickelt und der Käufer erhält die Bestell-Eingangsbestätigung, Auftragsbestätigung oder Rechnung per E-Mail.

Hier muss der Betroffene nicht jeweils erst gefragt werden, ob er mit der Speicherung seiner Daten einverstanden ist, damit seine Anfrage beantwortet oder seine Bestellung bearbeitet werden kann.
Allerdings dürfen die Kontaktdaten des Betroffenen nicht automatisch auch zu Werbezwecken gespeichert und später für die Leadgenerierung genutzt werden.

Sollen Daten von Interessenten und Kunden auch zu Werbezwecken genutzt werden, ist das nur mit einer speziellen Werbe-Einwilligung zulässig (Art. 6 Abs. 1 lit. a DSGVO) oder es besteht ein überwiegendes berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO):

Profiling und personalisierte Kundemails: wann eine spezielle Werbe-Einwilligung nötig ist.

Es gibt Fälle, in denen E-Mails ohne Einwilligung versendet werden dürfen. § 7 Abs. 3 UWG lässt das zum Beispiel unter bestimmten Voraussetzungen an Bestandskunden zu. Dann dürfen die Daten dafür auch nach DSGVO ohne besondere Einwilligung verarbeitet und auf Grundlage eines berechtigten Interesses verarbeitet werden.
Gleiches gilt beim Versand von Werbung auf dem Postweg, der ebenfalls nach § 7 UWG ohne Einwilligung des Empfängers zulässig ist.

Wie die Datenschutzbehörden das sehen, hat die Datenschutzkonferenz (DSK) im November 2018 in einer Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf) veröffentlicht. Danach soll es zulässig sein, die aus eigenen Gewinnspielen oder Prospekt- und Kataloganfragen generierten Postadressen für die Direktwerbung ohne Einwilligung der Betroffenen zu nutzen (vgl. Ziffer 4.2).

Wer jedenfalls E-Mails an Interessenten verschicken will, nicht die Voraussetzungen für das Versenden an Mails an Bestandskunden nach § 7 Abs. 3 UWG erfüllt oder auch telefonisch mit Interessenten in Kontakt treten will, sollte dazu jeweils eine Einwilligung einholen. Dafür bieten sich die Kontaktformulare oder Bestell- und Registrierungsformulare an, in denen jeweils eine eigene Checkbox mit einem entsprechenden Einwilligungstext eingefügt wird.

3. Wer ganz rechtssicher sein will, holt für das Tracking eine Einwilligung ein

Wird das Öffnungs- und Klickverhalten des Empfängers getrackt, in einem Profil gespeichert und werden auf dieser Basis personalisierte E-Mail versendet, stellt sich die Frage, ob dafür eine Extra-Einwilligung eingeholt werden muss oder ob ein überwiegendes berechtigtes Interesse ausreichend sein kann.

Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, sprechen hingegen dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. In diesen Fällen handelt es sich um Profiling, das nicht mehr auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht. Das Widerspruchsrecht des Art. 21 DSGVO reicht dann nicht aus.“

(vgl. Ziffer 1.3 der Orientierungshilfe)
  • Nach einer Gegenmeinung und auch nach der von uns vertretenen Auffassung spricht jedoch viel dafür, die bloße Analyse des Öffnungs- und Klickverhaltens auch ohne Einwilligung zuzulassen. Die DSGVO erkennt in Art. 21 Abs. 1 und 2 DSGVO ausdrücklich an, dass „Profiling“ zum Betreiben von Direktwerbung auch im Rahmen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann. Dort ist das Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen auf der Grundlage eines berechtigten Interesses geregelt und das „Profiling“ wird dort explizit genannt.

„Die wirtschaftlichen Interessen eines Unternehmens und die damit zusammenhängenden Marketinginteressen sind als ein berechtigtes Interesse einzuordnen (vgl. Erwägungsgrund 47 DSGVO zum „Direktmarketing“). Gleiches muss daher für das Ziel gelten, möglichst passgenaue und auf die Interessen des Empfängers ausgerichtete Werbebotschaften versenden zu können. Eine Abwägung mit den Interessen des Betroffenen ergibt dann, dass diesem eher nur solche Informationen zugeleitet werden, die seinen Interessen entsprechen, womit der Belästigungsfaktor niedrig gehalten wird. Außerdem ist das Speichern des Öffnungs- und Klickverhaltens für den Betroffenen in einem Dateiprofil nicht überraschend, insbesondere dann nicht, wenn über das Tracking in der Datenschutzinformation umfassend informiert wird.“

(Art. 21 Abs. 1 und 2 DSGVO)

Es stehen sich damit zwei Meinungen gegenüber und ob eine Einwilligung für Tracking erforderlich ist oder nicht, wird irgendwann durch die Rechtsprechung geklärt werden müssen.

Wer möglichst risikolos vorgehen will, sollte der Auffassung der DSK folgen und auch für das Tracking eine spezielle Einwilligung des Betroffenen einholen. Der Einwilligungstext im Onlineformular bezieht sich dann mit einer ersten Checkbox auf die Einwilligung für den Empfang von Werbe-E-Mails nach § 7 Abs. 2 Nr. 3 UWG und mit einer zweiten Checkbox auf die Einwilligung zum Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens.

Wer der Gegenmeinung folgen möchte, muss eine detaillierte Interessenabwägung vornehmen, diese im Verarbeitungsverzeichnis des Unternehmens sorgfältig begründen und in der Datenschutzerklärung genauestens darüber informieren. Außerdem ist eine Opt-Möglichkeit zu implementieren. Es wird dann nur eine datenschutzrechtliche bzw. wettbewerbsrechtliche Einwilligung für die Verarbeitung der Namens- und Adressdaten zum Zwecke der Versendung von Werbe-E-Mails eingeholt, das Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens des Empfängers erfolgt dann aber auf der Grundlage eines berechtigten Interesses.

Diese Punkte und individuelle Fragen beantworten wir am 28.2. 2019 ab 11 Uhr persönlich und live im Webinar der OXID Academy
„Legal-Update: Rechtssicher mit Lead-Generierung und E-Mail-Marketing“.

Autor

>>Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.