Ratgeber
/ 10. Oktober 2017

Marketing in Zeiten der DSGVO

Werbliche Ansprache von potenziellen Kunden, Adressgenerierung, Potenzialanalysen oder cloudbasierte CRM-Systeme, in denen weltweit Kundendaten abrufbar sind – was lässt die DSGVO alles zu?

Marketingabteilungen haben täglich neue Ideen, wie sie kreativ und zielgerichtet neue Märkte und v.a. Kunden erobern können. Nicht immer befinden sich diese Ideen im Einklang mit dem geltenden Datenschutzrecht.

Beraten Sie als Datenschutzbeauftragter als Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO) die Marketingkollegen gezielt, um böse Überraschungen durch Datenschutzverstöße oder Abmahnungen zu vermeiden.

Direktmarketing – geht das jetzt auch ohne Einwilligung?

Die Datenschutz-Grundverordnung erleichtert im Vergleich zum Bundesdatenschutzgesetz (BDSG) zunächst den Umgang mit Daten für Marketingzwecke.

Gemäß Art. 6 Abs. 1 Buchst. f DSGVO ist die Verarbeitung von Daten u.a. zulässig, wenn berechtigte Interessen der verantwortlichen Stelle oder eines Dritten vorliegen, die die schutzwürdigen Interessen der betroffenen Personen überwiegen.

Die Durchführung von Werbemaßnahmen, wie beispielsweise der Versand von Newslettern, die zum Ziel haben, das Unternehmen bekannt zu machen oder Waren zu verkaufen, sind grundsätzlich als „berechtigte Interessen“ eines Unternehmens anerkannt.

Erwägungsgrund 47 der DSGVO sieht hierzu vor: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden“.

Ja, aber … schutzwürdige Interessen des Betroffenen

Allerdings können der werblichen Ansprache schutzwürdige Interessen des (potenziellen) Kunden entgegenstehen.

Das kann z.B. der Fall sein, wenn der Betroffene der Nutzung seiner Daten für Marketingzwecke gegenüber der verantwortlichen Stelle widersprochen hat. Oder wenn ein Unternehmen die in § 7 des Gesetzes zur Bekämpfung des unlauteren Wettbewerbs (UWG) festgelegten Regelungen für die werbliche Ansprache nicht einhält.

Widerspruchsrecht nach Art. 21 DSGVO

Die DSGVO sieht in Art. 21 ein ausdrückliches Widerspruchsrecht gegen die Nutzung von Daten für Zwecke des Direktmarketings vor (Art. 21 Abs. 2 DSGVO). Dieses Recht setzt voraus:

  • Der Kunde ist spätestens zum Zeitpunkt der ersten Ansprache für werbliche Zwecke auf dieses Recht hinzuweisen (Art. 21 Abs. 4 DSGVO). Empfehlen Sie, das Widerspruchsrecht in jegliche werbliche Kommunikation zu integrieren, um Risiken zu minimieren.
  • Nach Art. 12 ff. DSGVO ist innerhalb dort festgelegter Fristen über die Widerspruchsrechte zu informieren.
  • Hat der Kunde Widerspruch eingelegt, darf er nicht mehr werblich angesprochen werden. Das müssen entsprechende interne Prozesse sicherstellen.
  • Nach einem Widerspruch darf ein Unternehmen die Kundendaten also keinesfalls mehr für die werbliche Ansprache nutzen (Art. 21 Abs. 3 DSGVO). Hat es die Daten ausschließlich für die werbliche Ansprache erhoben, muss das Unternehmen sie löschen (Art. 17 Abs. 1 Buchst. c DSGVO). Die übliche Praxis, Daten zum Nachweis, dass der Widerspruch umgesetzt wurde, zu speichern, ist künftig wohl nicht mehr zulässig.

Neue Anforderungen an die Einwilligung

Die nach BDSG bekannten Regelungen zur Einholung von Einwilligungen ändern sich auf den ersten Blick nicht wesentlich. Die Einwilligung muss freiwillig, informiert und für den konkreten Fall abgegeben werden. Die Inhalte sollten so ausführlich wie möglich beschrieben sein.

Für verschiedene Zwecke sind verschiedene Einwilligungen einzuholen. Der Teufel steckt allerdings im Detail, wie die unten stehende Übersicht zeigt:DSGVO: Anforderungen an die EinwilligungWas gilt für den Einkauf von Adressen?

Die Grundverordnung sieht keine konkreten Regelungen für den Adresshandel vor. Insofern müssen Unternehmen auch hier auf Art. 6 Abs. 1 Buchst. f DSGVO und die dort vorgesehene Interessenabwägung zurückgreifen.

Erhebt ein Adresshändler z.B. öffentlich zugängliche Daten und verkauft sie an ein Unternehmen, so wird dies für berechtigte Interessen des Unternehmens zulässig sein. Schutzwürdige Interessen des Betroffenen bei öffentlich zugänglichen Daten treten demgegenüber eher zurück.

Und was gilt für ihre Selektion?

Das Gleiche wird für eine zielgerichtete Selektion von Adressen gelten: Führt das Marketing für Zwecke der Werbung eine Selektion durch, um z.B. Kunden, die nicht Zielgruppe der Werbung sind, vorab auszusortieren, wird dies eher im Interesse der Kunden liegen als eine unreflektierte Ansprache.

Kritisch: Big Data & Co. bzw. Zweckänderungen

Der Gesetzgeber hat sich mit Einführung der DSGVO entschieden, auch künftig eine strenge Zweckbindung der einmal erhobenen Daten vorzusehen. Damit hat er den gerade im Marketingbereich sehr beliebten Big-Data-, Data-Mining-, Data-Warehouse- und ähnlichen Systemen eine klare Absage erteilt. Diese Systeme halten regelmäßig große Datenmengen für noch unbestimmte Zwecke vor.

Die DSGVO sieht in Art. 5 Abs. 1 Buchst. b allerdings vor, dass bei der Datenerhebung die Zwecke, für die die Daten verwendet werden sollen, festzulegen sind. Zweckänderungen sind nur in engen Grenzen zulässig und folgen einem streng zu dokumentierenden Ablauf (Art. 6 Abs. 4 DSGVO; siehe dazu auch Erwägungsgrund 40 DSGVO).

Will eine Marketingabteilung daher künftig Daten, die sie z.B. nicht für Direktmarketingzwecke erhoben hat, doch später genau dafür nutzen, muss sie prüfen, ob dies zulässig ist. Voraussetzung der Zweckänderung ist u.a., dass der neue Zweck mit dem alten Zweck vereinbar ist.

Das lässt sich anhand von Kriterien beurteilen wie

  • der Verbindung zwischen den Zwecken,
  • dem Gesamtkontext, in dem die Daten erhoben wurden,
  • der Art der Daten,
  • den möglichen Konsequenzen für die Betroffenen oder auch
  • unter Berücksichtigung der umgesetzten angemessenen technisch-organisatorischen Maßnahmen.

Das Unternehmen muss zudem den Betroffenen bei einer nachträglichen Änderung der seinerzeit festgelegten Zwecke vor dieser Verarbeitung über die Änderung informieren (Art. 13 Abs. 3 DSGVO).

Wesentlich: Die Transparenz

Das Marketing wird sich künftig zudem nicht nur im Rahmen von Zweckänderungen überlegen müssen, wie es Betroffene über den Umgang mit ihren Daten auf den Webseiten etc. des Unternehmens informiert.

Art. 12 ff. der DSGVO sehen diesbezüglich umfangreiche Belehrungspflichten vor. Die Anforderungen führt im Einzelnen die folgende Übersicht auf:

DSGVO: Anforderungen an die TransparenzFreundschaftswerbung jetzt zulässig?

Wie sich aus der Übersicht ergibt, ist nach der DSGVO die bisher bekannte Direkterhebung – d.h. die Daten müssen grundsätzlich beim Betroffenen selbst erhoben werden – nicht mehr erforderlich. Entsprechende Risiken federn Art. 12 ff. DSGVO und die dortigen Informationspflichten ab, sodass sich daraus ein indirekter Schutz ergibt.

Allerdings müssen Verantwortliche den Grundsatz der Verhältnismäßigkeit berücksichtigen. Das heißt, es sind bei einer Erhebung der Daten über Dritte stets die schutzwürdigen Interessen des Betroffenen einzubeziehen.

Insofern wäre es verfehlt, künftig z.B. unreflektiert Daten für werbliche Zwecke über Dritte zu erheben und die bislang als höchst kritisch eingestufte Freundschaftswerbung als schrankenlos zulässig zu erachten.

Hier wird im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO, der als Rechtsgrundlage für eine solche Erhebung dienen würde, eine Grenze zu ziehen sein.

(Un)zulässige Werbung nach dem UWG

Das Gesetz gegen den unlauteren Wettbewerb (UWG) bleibt auch nach Mai 2018 in Kraft. Es sieht in § 7 u.a. Voraussetzungen für die telefonische bzw. elektronische Werbung vor. Hier ändert sich nichts an der bestehenden Rechtslage:

  • Telefonische Werbung gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung ist weiterhin unzulässig.
  • Telefonische Werbung gegenüber einem Geschäftskunden ist dann zulässig, wenn davon auszugehen ist, dass er das Angebot wünscht (z.B. weil das angebotene Produkt mit seiner Tätigkeit zu tun hat).
  • Elektronische Werbung setzt voraus, dass das Unternehmen die E-Mail-Adresse beim Verkauf einer Ware oder Dienstleistung erhoben hat, es ähnliche Waren etc. bewerben will und es den Betroffenen vorab über sein Widerspruchsrecht belehrt hat. Andernfalls ist eine Einwilligung erforderlich.

De facto ist die Direktwerbung damit nur postalisch ohne Weiteres zulässig – auch hier ist allerdings über das Widerspruchsrecht zu belehren.

Einsatz von cloudbasierten CRM-Systemen – was gilt?

Sind Daten einmal erhoben, müssen sie in Systemen gespeichert werden. Beliebt sind v.a. Customer-Relationship-Management-(CRM-)Systeme. Mithilfe dieser umfangreichen Datenbanken setzen die Unternehmen ihre Strategien zur systematischen Gestaltung von Beziehungen und Interaktionen mit Kunden um.

Der Umgang mit den Daten in diesen Systemen ist u.a. an den datenschutzrechtlichen Prinzipien zu messen, die Art. 5 der Datenschutz-Grundverordnung normiert:

  • Datenvermeidung und Datensparsamkeit: Nach Art. 5 Abs. 1 Buchst. c und e DSGVO dürfen Unternehmen nur die Daten erheben, die dem Zweck nach angemessen und erheblich sind. Die Verarbeitung ist auf das notwendige Maß zu beschränken („Datenminimierung“). Daten dürfen zudem nur gespeichert werden, soweit dies erforderlich ist („Speicherbegrenzung“). Daher sind Daten nach Zweckfortfall, Widerspruch oder Widerruf zu löschen (Art. 17 Abs. 1 DSGVO). Dies ist durch entsprechende Prozesse sicherzustellen und zu dokumentieren.
  • Privacy by Design and Default: Technische Voreinstellungen der Systeme müssen künftig gewährleisten, dass dort tatsächlich nur die Daten verarbeitet werden, die für die jeweilige
    Zweckerreichung erforderlich sind (Art. 25 DSGVO). Damit ist der Grundsatz der Datensparsamkeit künftig technisch sicherzustellen. Das wird im Ergebnis dazu führen, dass Unternehmen ihre CRM-Systeme, Webseiten etc. sorgfältig überprüfen und unter Umständen bereinigen müssen.
  • Einsatz von Auftragsverarbeitern: Das Unternehmen muss sicherstellen, dass die Verträge mit dem Cloudanbieter der DSGVO entsprechen (Art. 28 DSGVO). Haben die Auftragsverarbeiter ihren Sitz in einem unsicheren Drittstaat, müssen – soweit noch nicht erfolgt – angemessene Garantien wie die Standardvertragsklauseln geschaffen werden.
  • Austausch von Daten: Es ist sicherzustellen, dass nur diejenigen im Unternehmen bzw. der Konzerngruppe, die die Daten benötigen, Zugriff auf die im CRM-System gespeicherten Daten erhalten. Hier ist zu prüfen, ob die DSGVO (z.B. über Art. 6 Abs. 1 Buchst. f) den Austausch bzw. Zugriff erlaubt. Zudem ist ein dezidiertes Berechtigungssystem, das letztlich auch die Anforderungen des Art. 32 DGSVO an technisch-organisatorische Maßnahmen umsetzt, erforderlich.

Fazit: Der 2. Blick entscheidet …

Auf den ersten Blick sieht es so aus, als würde die DSGVO den Umgang mit Kundendaten für das Marketing erleichtern – auf den zweiten Blick wird allerdings klar, dass auch hier die umfassenden Anforderungen nach DSGVO umzusetzen sind und daneben noch das deutsche Recht von Relevanz ist.

Der DSB sollte daher das Marketing umfassend beraten, um öffentlichkeitswirksame Fehltritte des Unternehmens zu vermeiden.

Silvia C. Bauer

URL zum Beitrag: https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/marketing-dsgvo/
Beitrag gedruckt von Datenschutz PRAXIS: https://www.datenschutz-praxis.de

Copyright © Datenschutz PRAXIS. All rights reserved.

Klicken zum Drucken