Marketing und Umgang mit Kundendaten unter Geltung der DSGVO

PrintMailRate-it

veröffentlicht am 22. Mai 2019


Die DSGVO hat bei Unternehmen zu Unsicherheiten hinsichtlich der datenschutzkonformen Ausge­staltung des Marketings sowie der Verwaltung von Kundendatenbanken geführt. Der vorliegende Artikel liefert Antworten sowie Handlungsgrundlagen, insbesondere, auf welcher Rechtsgrundlage Kundendaten zu Marketingzwecken verarbeitet werden dürfen und welche datenschutzrechtlichen Pflichten des Verantwortlichen und Rechte der betroffenen Personen hierbei zu beachten sind.


 

Wenngleich Marketing eine unabdingbare Komponente unternehmerischer Tätigkeit ist, was ebenso für den Umgang mit Kundendaten sowie die Erstellung und Vorhaltung von Kundendatenbanken gilt, drohen bei betreffenden Verstößen gegen die DSGVO empfindliche Bußgelder durch die Aufsichtsbehörden. Derartige Sanktionen können vermieden werden, wenn Verarbeitungsprozesse frühzeitig mit Blick auf datenschutz­rechtliche Anforderung gestaltet werden. Initiale Bedeutung kommt dabei der Frage zu, ob und falls ja, auf welche Rechtsgrundlage die jeweilige Verarbeitung gestützt werden kann. Weiterhin kann, auch unabhängig von Datenschutzerwägungen, § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) zu beachten sein, der differenziert nach der Art der werblichen Kontaktaufnahme diverse Verbote zum Schutz von Verbrauchern und sonstigen Marktteilnehmern vor unerbetenen Nachrichten für Zwecke der Direktwerbung enthält.


Rechtsgrundlagen der Verarbeitung zu Marketingzwecken

Während das BDSG (Bundesdatenschutzgesetz) in der Altfassung vor Geltung der DSGVO detaillierte Regelungen für die Verarbeitung personenbezogener Daten für werbliche Zwecke enthielt, sind diese mit der DSGVO in großem Umfang entfallen.


Maßgeblich für die Zulässigkeit der Verarbeitung zu Marketingzwecken sind nunmehr ausschließlich die Rechtsgrundlagen
  • des Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung der betroffenen Person) sowie
  • Art. 6 Abs. 1 lit. f) DSGVO (überwiegendes berechtigtes Interesse des Verantwortlichen).


Einwilligung, Art. 6 Abs. 1 lit a) DSGVO

Verarbeitungen zu Zwecken des Marketings können auf die Einwilligung der betroffenen Personen gestützt werden. Erforderlich für die Wirksamkeit einer Einwilligung ist in jedem Fall, dass die Einwilligung
  • freiwillig (insbesondere: Beachtung des „Koppelungsverbots”),
  • in informierter Weise (nach Erteilung transparenter Informationen),
  • unmissverständlich (Opt-in, keine mehrdeutigen Erklärungen) und
  • für den Einzelfall (keine Pauschaleinwilligung)


vor Beginn der Verarbeitung erteilt wird.

Gemäß dem Koppelungsverbot darf eine Einwilligung nicht zur zwingenden Voraussetzung für die Erfüllung eines Vertrages gemacht werden, wenn die Verarbeitung der betreffenden Daten für die Vertragserfüllung selbst nicht erforderlich ist, Art. 7 Abs. 4 DSGVO. Des Weiteren muss die betroffene Person vor der Einwilligung hinreichend klar und transparent über Zweck und Umfang der betreffenden Verarbeitung, insbesondere über die Art der beabsichtigten Werbung (bspw. per E-Mail oder SMS), ggf. auch über die Produkte oder Dienstleistungen, für die geworben werden soll sowie über das Bestehen des Widerrufs­rechts und dessen ausschließlich zukunftsgerichtete Wirkung informiert werden.

Die Erklärung muss darüber hinaus per Opt-in erfolgen (d.h. keine Verwendung vorausgefüllter Check­boxen) einen aus objektiver Sicht eindeutigen Gehalt aufweisen und jeweils für den konkreten Einzelfall erfolgen. Soll die Einwilligung zusammen mit anderen (Vertrags-)Erklärungen schriftlich oder in einem elektronischen Format erteilt werden, sind Einwilligungsbelehrung und vorformulierte Einwilligungserklärung gemäß Art. 7 Abs. 2 Satz 1 DSGVO in einer der anderen Vertragserklärungen klar unterscheidbaren Weise darzustellen. I.d.R ist für die Einwilligung daher ein gesonderter Text oder Textabschnitt vorzusehen.

Einwilligungen sind durch den Verantwortlichen zu dokumentieren und müssen auf Anfrage, insbesondere gegenüber Aufsichtsbehörden, nachgewiesen werden können, Art. 7 Abs. 1 DSGVO. Werden Einwilligungen elektronisch eingeholt, empfiehlt sich zum rechtssicheren Nachweis die Verwendung eines Double-Opt-in-Verfahrens per E-Mail oder SMS.

Datenschutzrechtliche Einwilligungen sind gemäß Art. 7 Abs. 3 DSGVO jederzeit durch die betroffenen Personen widerrufbar. Widerrufen betroffene Personen die Einwilligung, muss die Verarbeitung der betreffenden Daten unverzüglich eingestellt und die Daten müssen gelöscht werden, sofern die Verarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann. Zu beachten ist des Weiteren, dass der Widerruf den betroffenen Personen in ebenso einfacher Art – wie die Einwilligung – ermöglicht werden muss. Unzulässig wäre es daher beispielhaft, bei einer auf elektronischem Wege erteilten Einwilligung deren schriftlichen Widerruf zu verlangen.


Überwiegendes berechtigtes Interesse des Verantwortlichen, Art. 6 Abs. 1 lit. f) DSGVO

Als weitere Rechtsgrundlage für eine Verarbeitung zu Marketingzwecken kommt Art. 6 Abs. 1 lit. f) DSGVO in Betracht. Hiernach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordert, überwiegen.

Dass auch die Direktwerbung ein berechtigtes Interesse darstellen kann, ist bereits in ErwGr. (Erwägungs­grund) 47 der DSGVO norminterpretierend festgeschrieben. Um festzustellen, ob die Verarbeitung auf überwiegende berechtigte Interessen des Verantwortlichen gestützt werden kann, ist eine Interessen­abwägung zwischen dem berechtigten Interesse „Marketing” – unter Berücksichtigung der Umstände des konkreten Einzelfalls – mit den entgegenstehenden Interessen und Rechtspositionen der betroffenen Personen vorzunehmen. Insbesondere ist darauf abzustellen, was objektiv durch betroffene Personen vernünftigerweise erwartet werden kann. Entscheidend dabei ist, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre als sozialtypisch akzeptiert oder vielmehr abgelehnt wird.

Je eingriffsintensiver die Verarbeitung wird – etwa durch umfangreiches automatisiertes Profiling (und damit einhergehend vertieftem Erkenntnisgewinn über die Person durch Auswertung deren personen­bezogener Daten) – desto eher wird eine Interessenabwägung negativ ausfallen, und für die Verarbeitung eine Einwilligung der betroffenen Person erforderlich werden.

Zu beachten ist, dass betroffenen Personen im Falle der Verarbeitung zu Zwecken der Direktwerbung aufgrund überwiegend berechtigter Interessen ein – begründungsfreies – Widerspruchsrecht gemäß Art. 21 Abs. 2 DSGVO zusteht. Erfolgt ein Widerspruch, dürfen die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet und müssen – sofern kein Ausnahmetatbestand gegeben ist – gemäß Art. 17 Abs. 1 lit. c) DSGVO gelöscht werden. Darüber hinaus sind die betroffenen Personen spätestens zum Zeitpunkt der ersten Kommunikationsaufnahme ausdrücklich auf das Bestehen des Widerspruchsrechts hinzuweisen. Das hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen, Art. 21 Abs. 4 DSGVO. Aus Gründen der Nachweisbarkeit (gegenüber Aufsichtsbehörden) kann es sich empfehlen, den Hinweis auf das Widerspruchsrecht zudem bei jeder werblichen Ansprache der betroffenen Personen beizufügen.


Besonderheiten bei Marketing unter Verwendung besonderer Kategorien personenbezogener Daten gemäss Art. 9 DSGVO

Sollen besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Daten, aus denen
  • die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen sowie
  • die Verarbeitung von genetischen Daten,
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person)


zu Zwecken des Marketings verarbeitet werden, bedarf es demgegenüber in jedem Fall einer ausdrück­lichen vorherigen Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a) DSGVO, da die Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO insoweit nicht anwendbar sind.


Einschränkungen durch Wettbewerbsrecht

Erfolgen die Marketingmaßnahmen im Wege postalischer Kommunikation (z.B. Versand von Flyern, Briefen, Katalogen), bestehen nach wettbewerbsrechtlichen Maßgaben keine besonderen Voraussetzungen. Abweichendes gilt jedoch für werbliche Ansprachen mittels elektronischer oder telefonischer Kommunikation.


Besonderheiten für Marketing im Wege elektronischer Kommunikation

Für den Bereich elektronischer Kommunikation regelt § 7 Abs. 2 Nr. 3 UWG, dass bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post eine – unzulässige – unzumutbare Belästigung anzunehmen ist, sofern keine vorherige ausdrückliche Einwilligung des Adressaten vorliegt.

Demzufolge bedürfen Marketingmaßnahmen, die mittels elektronischer Post – d.h. regelmäßig per E-Mail, aber auch SMS o.ä. – oder Telefax erfolgen, grundsätzlich einer vorherigen Einwilligung der betroffenen Personen.


Eine Ausnahme von dem Einwilligungserfordernis sieht ausschließlich § 7 Abs. 3 UWG vor, wonach eine unzumutbare Belästigung durch Werbung mittels elektronischer Post nicht anzunehmen ist, wenn ein Unternehmer
  • die elektronische Postadresse des Kunden im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,
  • der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Kunde der Verwendung nicht widersprochen hat und
  • der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.


Nur wenn sämtliche der vorstehenden Voraussetzungen eingehalten werden, bedarf es bei der Verar­beitung zu Marketingzwecken per elektronischer Post keiner Einwilligung der betroffenen Person.


Besonderheiten für Marketing im Wege telefonischer Kommunikation

Des Weiteren regelt § 7 Abs. 2 Nr. 2 UWG, dass bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Markt­teilnehmer (d.h. Unternehmer) ohne dessen zumindest mutmaßliche Einwilligung, eine unzumutbare Belästigung anzunehmen ist. Insofern wird vertreten, dass eine Unzulässigkeit der telefonischen Werbung nach § 7 Abs. 2 Nr. 2 UWG gegenüber Verbrauchern generell zu einem Überwiegen der schutzwürdigen Interessen betroffener Personen führt, wohingegen es bei telefonischer Werbung gegenüber Unternehmern unter der Voraussetzung des § 7 Abs. 2 Nr. 2 UWG bei der Zulässigkeit einer Interessenabwägung verbleibt. Die telefonische Werbung gegenüber Verbrauchern sollte daher nach wie vor ausschließlich auf Grundlage einer vorherigen Einwilligung erfolgen.


Verwalten von Kundendaten / Speicherfristen

Die häufig gestellte Frage, wie lange Kundendaten nach dem letzten aktiven Geschäfts- oder Werbe­kontakt für (werbliche) Zwecke der Reaktivierung, Rückgewinnung, o.ä. noch genutzt werden dürfen, ist mangels gesetzlicher Vorgabe nicht allgemeingültig zu beantworten. Vielmehr ist wiederum auf die Maßgaben des Art. 6 Abs. 1 lit. f) DSGVO abzustellen und im Einzelfall zu prüfen, ob aufgrund der Art der Geschäftsbeziehung eine Erforderlichkeit der weiteren Verarbeitung der Daten für Zwecke der Direktwerbung rechtssicher dargelegt und begründet werden kann.

Bei regelmäßigen werblichen Ansprachen wird ein bestehendes Interesse des Verantwortlichen wie auch der betroffenen Person i.d.R. unterstellt werden können. Erfolgte für einen längeren Zeitraum –länger als 12 Monate – keine Verarbeitung für werbliche Zwecke, kann ein berechtigtes Interesse hingegen an überwiegenden entgegenstehenden Interessen der betroffenen Person scheitern, da sie eine erneute Verarbeitung zu Werbezwecken vernünftigerweise nicht erwartet. Mit Zeitablauf wird ein berechtigtes Interesse des Verantwortlichen daher zunehmend schwerer begründbar. Maßgebend sind letztlich aber die jeweiligen im Einzelfall zu berücksichtigten Umstände.

Fazit

Die Zulässigkeit der Verarbeitung personenbezogener Daten zu Marketingzwecken hat sich unter Geltung der DSGVO nicht wesentlich verändert. Neu sind hingegen die im Zuge von Informationspflichten – die ausführlich im ebenfalls im Artikel „Die Betroffenenrechte – Aushängeschild DSGVO-konformer Datenver­arbeitung” behandelt werden – erheblich gestiegenen Transparenzanforderungen gegenüber den betroffenen Personen. Zugleich ist damit zu rechnen, dass die Aufsichtsbehörden die bereits begonnenen Prüfungen der Verantwortlichen auf Datenschutzkonformität sukzessive ausweiten werden, um die Umsetzung der DSGVO flächendeckend zu kontrollieren und – soweit das nicht der Fall ist – zunehmend durch empfindliche Bußgelder zu sanktionieren. Nachhaltige Datenschutzkonformität, speziell im Bereich des Marketings und im Umgang mit Kundendaten, muss daher eine wesentliche Prämisse unternehme­rischen Handels sein, wobei häufig gilt: Je früher Prozesse datenschutzkonform etabliert werden, desto effektiver und kostengünstiger lässt sich der erforderliche Wandel vollziehen.

Kontakt

Contact Person Picture

Tim Schaub

Rechtsanwalt

+49 6196 7611 4701

Anfrage senden

Wir beraten Sie gern!

Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu