Wirtschaftlich gesehen können Sie mit unzulässiger Werbung zwar oft kurzfristig Erfolge feiern, schädigen langfristig aber – was oft übersehen wird – Ihren Ruf. Auf rechtlicher Ebene drohen Ihnen insbesondere:
- Abmahnungen und Klagen wegen Unterlassung und Schadensersatz,
Verwaltungs- und Bußgeldverfahren der Aufsichtsbehörden und - Schmerzensgeld-Forderungen (Art. 82 DS-GVO).
Wenn Sie ein privates Unternehmen sind, ist Postwerbung im Allgemeinen standardmäßig erlaubt. Dies gilt so lange, bis die betroffene Person widerspricht.
Darauf, ob mit der Person ein Vertragsverhältnis besteht oder sie Verbraucher ist, kommt es nicht an.
Spätestens mit der ersten Werbeansprache muss allerdings eine Belehrung erfolgen, dass der Empfänger der werblichen Datenverarbeitung widersprechen kann. Dabei müssen Sie Ihre Kontaktdaten angeben. Auch wenn nicht alle denkbaren Kanäle für den Widerspruch ausdrücklich angeboten werden müssen, ist es rechtlich nicht möglich, den Empfänger für seinen Widerspruch auf bestimmte Kanäle oder Adressen festzulegen. Sie müssen Ihr Unternehmen daher so organisieren, dass Widersprüche erkannt und intern richtig weitergeleitet werden.
Eine werbliche Datenverwendung auch für Postwerbung ist nur erlaubt, wenn eine durchzuführende Interessenabwägung zugunsten des Werbenden ausfällt (Art. 6 Abs. 1 Buchst. f DS-GVO). Der Empfänger muss also zumindest mutmaßlich einverstanden sein.
Hat er Kontaktdaten bloß aufgrund gesetzlicher Verpflichtungen veröffentlicht, kann daraus kein Einverständnis mit Werbung abgeleitet werden. Die Datenschutzaufsichtsbehörden haben sich in ihrer Orientierungshilfe zu Direktwerbung vom November 2018 entsprechend positioniert.
Das Werben per E-Mail und Messaging (SMS, Whatsapp…) ist standardmäßig verboten, da elektronische Werbung wegen ihrer geringen Kosten ein besonderes Umsichgreifen befürchten lässt und ein erhöhtes Belästigungspotenzial birgt (§ 7 Abs. 2 Nr. 3 UWG). Von diesem Verbot gibt es im Wesentlichen zwei Ausnahmen:
Ausnahme 1: Geschäftsbeziehung
Elektronische Werbung ist ohne Einwilligung – siehe unten – zulässig, wenn alle vier folgenden Voraussetzungen erfüllt sind (§ 7 Abs. 3 UWG):
- Die Daten stammen aus einem – auch ehemaligen – Vertragsverhältnis zwischen Ihnen und dem Empfänger, und
- Der Vertrag und die Werbung betreffen ähnliche Leistungen (beispielsweise Bestellung von Pizza und Werbung für Nudeln eines Lieferdiensts), und
- Sie haben den Empfänger bei der ursprünglichen Abfrage seiner Daten und in jeder Werbe-Mail darauf hingewiesen, dass er einer werblichen Datenverwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen, und
- Der Empfänger hat nicht widersprochen.
In der Praxis erweisen sich E-Mails oft als unzulässig, weil die Belehrung nach Punkt 3 einschließlich Kostenhinweis nicht korrekt erteilt wurde. Darauf kann aber nicht verzichtet werden (OLG Jena, Urt. v. 21.04.2010 − 2 U 88/10). Ein Unsubscribe-Link genügt nicht.
Bei Whatsapp ist zu beachten, dass die AGB von Whatsapp in der mir zuletzt bekannten Fassung eine nicht private Nutzung und somit auch Werbung verbieten. Außerdem übermitteln Sie damit Daten in Drittländer, was zusätzliche Datenschutzprobleme aufwirft. Auch viele AGB von Mobilfunk-Standardverträgen – selbst von Geschäftskundenverträgen – enthalten Klauseln, die eine gewerbliche Nutzung des Anschlusses untersagen.
Wollen Telekommunikations-Anbieter – etwa E-Mail-Provider – werben, gelten andere Regeln (§ 95 TKG).
Ausnahme 2: Einwilligung
Elektronische Werbung ist daneben zulässig, wenn der Empfänger eingewilligt hat, die Werbung also aktiv bestellt hat (Art. 7 Abs. 1 Buchst. a DS-GVO).
Eine solche Einwilligung können Sie formlos einholen, aus Beweisgründen sollte sie aber wenigstens elektronisch erfolgen, beispielsweise per Web-Formular. Die Rechtsprechung fordert, dass für jede individuelle Einwilligung ihr genauer Inhalt zu protokollieren ist, selbst wenn der technische Ablauf identisch ist. Die üblichen Webserver-Logfiles mit IP-Adresse etc. genügen nicht. Im Streitfall muss der Werbende die Einwilligung für den konkreten Fall nachweisen können. Das gilt auch für die Frage, ob sie tatsächlich von der richtigen Person erklärt wurde, was bei Online-Sachverhalten nicht immer einfach ist.
Die Einwilligung muss immer vor der geplanten Verarbeitung erteilt werden. Sie gilt nicht rückwirkend.
Sie muss durch eine aktive Handlung des Betroffenen erklärt werden („opt-in“), also etwa durch Anklicken einer separaten Checkbox. Ist die Einwilligung standardmäßig angekreuzt oder muss sie erst gestrichen werden („opt-out“), ist sie unwirksam.
Sie dürfen die Werbe-Einwilligung nicht verstecken oder mit anderen Erklärungen vermischen, etwa mit der AGB-Zustimmung bei Online-Bestellungen.
Die Einwilligung muss außerdem freiwillig sein. Kann etwa eine Online-Bestellung ohne Werbe-Einwilligung erst gar nicht abgeschickt werden, ist die Einwilligung erzwungen und in der Regel unwirksam. Ein weiteres bekanntes Beispiel für unwirksame Einwilligungen sind die in Deutschland noch verbreiteten Cookie-Banner, bei denen es meist als einzige Wahlmöglichkeit „OK“ gibt.
Inhaltlich muss eine Einwilligung „informiert“ sein. Der Empfänger muss also wissen, was auf ihn zukommt. Eine informierte Einwilligung weist typischerweise darauf hin,
- von welcher (juristischen) Person genau Werbung versandt wird,
- welchen Inhalts die Werbung sein soll (ein zu enger Fokus erschwert eine spätere Änderung der zu bewerbenden Produkte; eine zu allgemeine Angabe droht die Einwilligung unwirksam zu machen) und
- welche Werbekanäle betroffen sind (Kombination mit Telefon- oder Telefaxwerbung ist prinzipiell möglich).
In der Einwilligung muss darüber belehrt werden, dass sie jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Dieses Widerrufsrecht hat nichts mit dem Widerrufsrecht im Rahmen von Fernabsatzverträgen zu tun. Der Widerruf darf nicht schwieriger als die Einwilligung sein. Es sind – funktionierende – Kontaktdaten anzugeben.
Achtung: Einwilligen kann nur die betroffene Person – es sei denn, es liegt eine Vollmacht vor. Es kann also etwa nicht der Arbeitgeber eigenmächtig in Werbung für seine Arbeitnehmer einwilligen.
Ein automatisches „Ablaufen“ von Einwilligungen allein durch Zeitablauf gibt es nicht (BGH, Urt. v. 01.02.2018 – III ZR 196/17).
Ist ein Teilaspekt einer Einwilligungserklärung unwirksam, erstreckt sich die Unwirksamkeit in der Regel auf die komplette Einwilligungsklausel. Es ist daher rechtlich wertlos, wenn Sie zwar Einwilligungen einholen, diese aber rechtlich mangelhaft sind. Ich schätze, dass in der Praxis 80 Prozent aller datenschutzrechtlichen Einwilligungen unwirksam sind.
Dass absichtlich fremde Adressen eingegeben werden, ist eher die Ausnahme, die Eingebenden vertippen sich aber öfter.
Wenn es sich beim Empfänger um eine juristische Person handelt (GmbH etc.) und keine Daten involviert sind, die sich auf natürliche Personen beziehen (so aber beispielsweise bei „Max Müller Holzbau GmbH“ oder „z. H. Jürgen Meier“), gilt das Datenschutzrecht nicht, wohl aber das Wettbewerbs- und sonstige Wirtschaftsrecht.
In der Praxis wird diese Unterscheidung aber selten relevant: Enthalten Ihre Empfängerlisten, wie meist, sowohl personenbezogene als auch nicht personenbezogene Daten, müssen Sie im Zweifel alle Daten als personenbezogene behandeln.
Bei redaktionellen Presseinhalten, etwa auf Nachrichtenportalen, ist Werbung gemäß den Pressegesetzen der Länder und dem Rundfunkstaatsvertrag klar als solche zu kennzeichnen.
Ansonsten sind die Anforderungen des – sehr umfangreichen – Wettbewerbsrechts zu beachten. Gefährlich sind etwa Superlative („das beste Netz“) oder Negativbehauptungen über Mitbewerber.
Ausnahme: Telefonwerbung gegenüber Unternehmern ist auch zulässig, wenn diese „zumindest mutmaßlich“ einverstanden sind. Allerdings muss sich dieses mutmaßliche Einverständnis auch gerade auf den Kanal der Telefonwerbung beziehen (BGH, Urt. v. 20.09.2007 – I ZR 88/05), was genau zu prüfen ist. Hat der Adressat widersprochen, liegt in jedem Fall kein mutmaßliches Einverständnis mehr vor.
Wenn Sie daraufhin negative Antworten bekommen, müssen Sie sich aber daran halten, selbst wenn Werbung erlaubt gewesen wäre, hätten Sie nicht gefragt. Die Erfahrung zeigt, dass viele Empfänger passiv bleiben und sich nicht aktiv für Werbung entscheiden, selbst wenn sich die jeweiligen Personen an Werbung nicht stören würden.
Die Informationspflicht ist im Übrigen von der Frage zu unterscheiden, ob die Werbung zulässig ist. Anders formuliert: Die Zulässigkeit einer Datenverarbeitung entbindet nicht von den entsprechenden Informationspflichten (etwa bei Briefwerbung).
Umgekehrt wird eine Datenverarbeitung nicht allein dadurch zulässig, dass sie in der Datenschutzerklärung angekündigt wird (etwa die Ankündigung von Google Analytics in Datenschutzerklärungen).
Wenn Sie die Daten endgültig löschen, besteht die Möglichkeit, dass sie doch wieder auf Ihre Mailingliste gelangen, etwa durch das Ankaufen von Daten oder das Rückspielen von Backups. Manchmal können Daten auch noch nicht komplett gelöscht werden, weil sie noch für andere legitime Zwecke benötigt werden, etwa für einen Gewährleistungsfall oder weil noch gesetzliche Aufbewahrungsfristen laufen.
Im Zweifel müssen Sie den Empfänger daher anstelle einer Löschung auf eine Sperrliste setzen, mit der Sie bei jedem Versandlauf einen Abgleich vornehmen.
Ist der Wille des widersprechenden Empfängers unklar und kommt eine Löschung prinzipiell in Frage, können Sie rückfragen. Erfahrungsgemäß nehmen die Betroffenen dies einem nicht übel, sondern freuen sich eher darüber, dass man ihr Anliegen ernst nimmt. Allerdings sollten Sie nicht so lange warten, dass schon der nächste Werbelauf unterwegs ist.
Um diese Problematik bekannter zu machen, können Sie sie in Ihrer Datenschutzerklärung verankern, die zumindest in Problemfällen auch öfter gelesen wird.
Bei Drittland-Übermittlungen (beispielsweise USA) sind weitere Voraussetzungen zu beachten. Etwa ist je nach Destination zu prüfen, ob ein sogenannter Angemessenheitsbeschluss der EU-Kommission vorliegt (Art. 45 DS-GVO). Denn das Datenschutzniveau soll durch Datenexporte nicht zu sehr gesenkt werden.
Übrigens: Werden EU-Daten exportiert, gilt für sie in vielen Fällen trotzdem die DS-GVO – weltweit. Suchen Sie also zuverlässige Dienstleister aus, Sie haften für die Übermittlung.
Dabei ist es ein verbreiteter Trugschluss, von der Größe eines Anbieters auf die Rechtskonformität seiner Produkte zu schließen. Weltweit agierende Anbieter haben zwar gute Rechtsabteilungen, aber auch ein exzellentes Risikomanagement, das ihnen ausrechnet, welche Rechtsverstöße voraussichtlich folgenlos bleiben und sich daher wirtschaftlich lohnen.
Man spricht dabei von “kalkuliertem Rechtsbruch”. Zu den Ursachen dieser Folgenlosigkeit zählen staatliche Vollzugsdefizite (etwa bei Google Irland, da die irische Datenschutz-Aufsichtsbehörde sehr handlungsschwach ist) oder dass es die Anbieter verstehen, datenschutzrechtliche Risiken vertraglich auf ihre Kunden abwälzen (etwa bei Microsoft Windows 10).
(Stand: Oktober 2019)