Die gefährlichsten Fehler vermeiden

E-Mail-Marketing rechtskonform gestalten

Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Markus Heins ist Wirtschaftsjurist für Medienrecht und Medienwirtschaft bei der Luther Rechtsanwaltsgesellschaft in Köln. 
Die DSGVO und Abmahnanwälte können Nutzern von E-Mail-Marketing im Nacken sitzen. Hier lesen Sie, wie Sie die gefährlichsten Fehler in diesem Feld vermeiden.

Eine aktuelle Untersuchung des E-Mail-Marketings in Deutschland durch absolit Dr. Schwarz Consulting zeigt, dass viele Unternehmen ein hohes rechtliches Risiko bei der Versendung von Newslettern eingehen. Neben dem bisher bereits bestehenden Risiko einer kostenpflichtigen Abmahnung durch einen Wettbewerber hat insbesondere die europäische Datenschutzgrundverordnung (DSGVO) dieses Risiko verschärft. Jetzt müssen Unternehmen deutlich höhere Bußgelder fürchten: 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatz, ja nachdem was höher ist.

Aus Sicht werbetreibender Unternehmen hat die DSGVO die Situation für das Direktmarketing erheblich verschärft. Um hohe Bußgelder zu vermeiden, solltene einige Aspekte unbedingt beachtet werden.
Aus Sicht werbetreibender Unternehmen hat die DSGVO die Situation für das Direktmarketing erheblich verschärft. Um hohe Bußgelder zu vermeiden, solltene einige Aspekte unbedingt beachtet werden.
Foto: one photo - shutterstock.com

Die Datenschutzaufsichtsbehörden können innerhalb dieses Bußgeldrahmens ein Bußgeld verhängen. Gerade in den vergangenen Wochen sind immer mehr Fälle bekannt geworden, in denen die Datenschutzaufsichtsbehörden tatsächlich Bußgelder verhängt haben. In Anbetracht der Höhe der Bußgelder ist Unternehmen dringend zu raten, ihr Direktmarketing zu überprüfen und gegebenenfalls nachzubessern. In diesem Beitrag erklären wir Ihnen die häufigsten Fehler und wie sie sich vermeiden lassen.

1. Beachtung des Datenschutz- und Wettbewerbsrechts

Aus Sicht der werbetreibenden Unternehmen hat die DSGVO die Situation für das Direktmarketing erheblich verschärft. Dabei bringt die DSGVO in diesem Bereich nichts wesentlich Neues. Die eigentlichen und engeren Grenzen für E-Mail-Werbung ergeben sich nach wie vor aus dem Gesetz gegen den unlauteren Wettbewerb (UWG). Es zeigt sich aber, dass viele Unternehmen die darin vorgesehenen Anforderungen nicht kennen oder ausreichend berücksichtigen.

Da allerdings bei der kommerziellen Kontaktaufnahme regelmäßig auch personenbezogene Daten verarbeitet werden, muss zusätzlich die DSGVO beachtet werden. Dementsprechend bedarf es stets auch einer Rechtsgrundlage zur Verarbeitung der Daten. Entscheidend aus der Sicht des Werbenden ist es, stets beide Gesetze zu berücksichtigen und umzusetzen, um nicht einem erhöhten rechtlichen Risiko ausgesetzt zu sein.

2. Keine Einwilligung des Empfängers

Nach dem UWG muss der E-Mail-Empfänger in den Empfang von Werbe-E-Mails grundsätzlich eingewilligt haben. Dies gilt unabhängig davon, ob es sich um einen Verbraucher (B2C) oder Unternehmer (B2B) handelt. Ist eine Einwilligung erforderlich, empfiehlt es sich, diese gleich so auszugestalten, dass die Einwilligung Anforderungen des UWG und der DSGVO genügt.

Damit muss sie das Einverständnis zum Erhalt von E-Mail-Werbung sowie die damit einhergehende Datenverarbeitung abdecken. Denn mit jeder verschickten Werbe-E-Mail werden immer auch personenbezogene Daten verarbeitet.

3. Missachtung der Datenminimierung

Bei der Einholung der Einwilligung der Empfänger muss aus datenschutzrechtlicher Sicht unbedingt der Grundsatz der Datenminimierung beachtet werden. Dieser besagt im Wesentlichen, dass lediglich die Daten erhoben werden dürfen, die für die Zusendung der Werbung unbedingt notwendig sind ("So viele Daten wie nötig, so wenig Daten wie möglich").

Relevant wird dieser Grundsatz, wenn die Einwilligungserklärung gestaltet wird. HIer gilt es darauf zu achten, welche Datenfelder optionale Angaben enthalten und welche Datenfelder Pflichtfelder sind. Letztere dürfen in den meisten Fällen lediglich die E-Mail Adresse und gegebenenfalls der Name sowie die Anrede sein. Selbst darüber kann man schon streiten, denn tatsächlich erforderlich ist lediglich die E-Mail-Adresse; auf eine persönliche Anrede kann verzichtet werden.

Doch so streng sind auch die Datenschutzaufsichtsbehörden nicht. Sie halten eine personalisierte Ansprache noch für erforderlich. Weitere Pflichtfelder, beispielsweise zur Angabe der Postadresse des Empfängers, seinen Interessen oder ähnlichen Aspekten, sind in der Regel nicht zulässig und verstoßen gegen die DSGVO.

4. Fehlende Nachweisbarkeit der Einwilligung

Damit ein Unternehmen die personenbezogenen Daten verarbeiten und Werbe-Ee-Mails versenden darf, genügt es nicht zu behaupten, man habe eine Einwilligungserklärung eingeholt. Die Beweislast dafür trägt das jeweilige Unternehmen. Es muss im Rahmen seiner datenschutzrechtlichen Rechenschaftspflicht nachweisen, dass es die Vorgaben der DSGVO erfüllt.

Hat ein Unternehmen die Werbeeinwilligungen nicht per Double-Opt-In oder in Form eines unterschriebenen Formulars dokumentiert und kann daher nicht nachweisen, auf welcher Rechtsgrundlage es berechtigt ist, die personenbezogenen Daten zu verarbeiten, drohen die immensen Bußgelder der Datenschutzgrundverordnung oder eine Abmahnung nach UWG. Dies gilt erst recht, wenn das Unternehmen die Einwilligung überhaupt nicht eingeholt hat.

Lesetipp: DSGVO-konformes E-Mail-Marketing

Um die Einwilligung wirksam einzuholen, sollten Unternehmen das Double-Opt-In-Verfahren einsetzen. Dieses Verfahren ermöglicht es nachzuweisen, dass die Einwilligung tatsächlich vom Inhaber der E-Mail-Adresse abgegeben wurde. Der Interessent meldet sich auf der Seite des Unternehmens für einen Newsletter an und gibt auf der Webseite u.a. seine E-Mail-Adresse ein.

Sendet er das Formular ab, erhält er automatisch eine E-Mail an die hinterlegte E-Mail-Adresse. In dieser E-Mail ist ein Link hinterlegt, den der Empfänger anklicken muss. Durch das Anklicken des Links bestätigt er, dass er tatsächlich auf das E-Mail-Postfach zugreifen kann. Erst dann ist die Einwilligung wirksam erteilt. Mit diesem Verfahren wird verhindert, dass Dritte wahllos E-Mail-Adressen in die Formulare eingeben und für Werbenewsletter anmelden können. Das Unternehmen muss diesen Vorgang dokumentieren, um den Nachweis führen zu können.

Dies gilt übrigens auch dann, wenn die Adressen von einem Adresshändler gekauft wurden. Unter der DSGVO sind dem Adresshandel deutlich engere Grenzen gezogen worden: das sog. Listenprivileg ist weggefallen. Damit ist der Adresshandel nur noch zulässig, wenn eine dokumentierte Einwilligungserklärung vorliegt. Für den Erwerber der Adressen muss diese Einwilligungserklärung aber auch die beabsichtigten Verwendungszwecke abdecken - und dies mit einem ausreichenden Grad an Information für den Betroffenen. Und natürlich muss die Einwilligungserklärung nachgewiesen werden können. Die ist mit dem Adresshändler abzustimmen.

5. Keine Datenschutzerklärung

Vor der Erhebung von personenbezogenen Daten, wie der E-Mail Adresse eines Empfängers, muss die betroffene Person stets über die datenschutzrechtlichen Informationspflichten aufgeklärt werden. Dies geschieht in der Regel über eine Datenschutzerklärung. Die Mindestangaben dieser Erklärung ergeben sich aus Art. 13 DSGVO. Darin sollten insbesondere Informationen zur Geltendmachung der Betroffenenrechten enthalten sein. Versäumt ein Unternehmen diese Pflicht, liegt bereits ein Datenschutzverstoß vor.

Lesetipp: Digitalmartketing und DSGVO

Zudem muss die Einwilligungserklärung hinreichend deutlich machen, wie und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und welche Form der Werbung beabsichtigt ist. Allgemeine Ausführung, wie "zu Marketingszwecken" oder für "Werbemaßnahmen", genügen nicht. Eine solche Einwilligung ist unwirksam. Das Unternehmen muss detailliert beschreiben, was es hier beabsichtigt.

6. Bestehende Kundenbeziehung - Einwilligung erforderlich?

Grundsätzlich besteht im Rahmen des Wettbewerbsrecht die Möglichkeit, Empfänger ohne die Einwilligung für kommerzielle Zwecke elektronisch zu kontaktieren. Allerdings gilt dies nur in sehr engen Grenzen. Das UWG erlaubt die Werbung per elektronischer Post ausnahmsweise auch ohne Einwilligung, wenn (1.) ein Unternehmer die E-Mail-Adresse des Empfängers im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat, (2.) der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwenden möchte, (3.) der Empfänger der Verwendung nicht widersprochen hat und (4.) der Empfänger bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Hierbei geht es um die klassische Bestandskundenwerbung. Demnach muss der Empfänger der E-Mail bereits Kunde bei dem Unternehmen (gewesen) sein, damit der Versand rechtmäßig sein kann. Unternehmen innerhalb eines Konzernverbunds werden dabei übrigens nicht berücksichtigt: das Privileg gilt ausschließlich zugunsten der Gesellschaft, die eine Kundenbeziehung aufgebaut hat.

Ferner ist auch nach der DSGVO die Einwilligung nicht immer zwingend erforderlich. Das neue Datenschutzrecht erlaubt es, personenbezogene Daten zu verarbeiten, wenn die betroffene Person nicht eingewilligt hat. Dies ist insbesondere der Fall, wenn die berechtigen Interessen des Verantwortlichen die Interessen der betroffenen Person überwiegen. Dies wird man annehmen können, wenn die Direktwerbung an einen Bestandskunden gesendet werden kann und die vorstehenden Voraussetzungen des UWG erfüllt sind. Hilfestellung gibt hier die neue Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung.

7. Fehlende Opt-Out Möglichkeit

Egal ob die E-Mail Werbung auf Basis der Werbeeinwilligung oder im Rahmen der Bestandskundenwerbung erfolgt, muss den Empfänger stets die Möglichkeit gegeben werden, den (weiteren) Empfang von E-Mails zu beenden. Rechtlich gesehen ist der Empfänger jederzeit dazu berechtigt, seine Einwilligung zu widerrufen oder der Verwendung seiner Daten zu widersprechen. In jeder Werbe-Mail des Unternehmens sollte dem Empfänger daher die Möglichkeit gegeben werden, sein Opt-Out zu erklären, beziehungsweise sich vom Newsletter abzumelden.

8. Keine Löschung der Daten

Gerade nachdem ein Empfänger sich vom Newsletter abgemeldet hat, sollte aus Sicht des Unternehmens beachtet werden, dass dieses gegebenenfalls dazu verpflichtet ist, die personenbezogenen Daten zu löschen. Denn das Datenschutzrecht sieht vor, dass personenbezogene Daten gelöscht werden müssen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind.

Dies gilt insbesondere dann, wenn ein Unternehmen nicht mehr feststellen kann, woher die Daten überhaupt stammen oder zu welchen Zweck diese gespeichert wurden. Dann greift stets die Löschpflicht, sofern keine anderen gesetzlichen Aufbewahrungspflichten bestehen. Unternehmen kommen damit nicht umhin, ihre CRM-Systeme zu analysieren und irrelevante Kontakte zu löschen.

Gleichzeitig stellt dies Unternehmen vor das Problem, eine "Blacklist" mit Kunden zu führen, die sich gegen den Erhalt von E-Mail-Werbung entschieden haben, gleichzeitig aber deren Daten löschen zu müssen. Die Datenschutzaufsichtsbehörden empfehlen hier ein gestuftes Vorgehen: in der Datenschutzerklärung ist der Betroffene darauf hinzuweisen, dass das Unternehmen seine personenbezogenen Daten in einer Blacklist speichert, wenn er der E-Mail-Werbung widerspricht. Erst wenn er die Löschung der Daten begehrt, werden diese tatsächlich gelöscht.