Wie verändert die DSGVO das E‑Mail-Marketing? Welche juristischen Aspekte müssen bei der Adressgewinnung beachtet werden? Und in welchem Rahmen dürften Kampagnen ausgewertet werden? Diese und weitere Fragen zu den rechtlichen Rahmenbedingungen beantwortet Dr. Martin Schirmbacher im Interview mit dem EmailMarketingBlog.
Dr. Martin Schirmbacher praktiziert in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte in Berlin und betreut viele namhafte Agenturen und Unternehmen aus der Online-Branche ebenso wie Werbetreibende. In seiner Mandatsarbeit dreht sich viel um die Zulässigkeit alter und neuer Online-Werbeformen.
Schirmbacher und sein Team beraten zur Zeit sehr viel im Datenschutz. Schirmbacher ist bekannter Speaker bei einer Vielzahl von Branchenevents. Schirmbacher hält für Mandanten regelmäßig Workshops, Schulungen und Inhouse-Seminare ab.
Herr Dr. Schirmbacher, die DSGVO sorgt auch unter E‑Mail-Marketing-Verantwortlichen für Aufregung. Ist diese Aufregung überhaupt berechtigt? Was sind aus Ihrer Sicht die gravierendsten Auswirkungen der DSGVO auf das E‑Mail-Marketing?
Martin Schirmbacher: Die Auswirkungen sind jedenfalls deutlich geringer, als der Hype, der um die DSGVO gemacht wurde. Wie bisher auch schon, ist die Nutzung personenbezogener E‑Mail-Adressen zu Werbezwecken nicht nur ein UWG-Verstoß, sondern häufig auch eine Datenschutzverletzung, wenn kein Opt-in vorliegt. Einzige gravierende Änderung sind die potenziellen Bußgelder für eine Datenschutzverletzung. Doch hier gilt: Es gibt deutlich schwerere Datenschutzverletzungen als die Nutzung personenbezogener Daten zu Werbezwecken. Dass hier horrende Bußgelder verhängt werden, kann ich mir nicht vorstellen. Grund zur Panik besteht daher jedenfalls nicht.
Vielfach übersehen wird übrigens eine positive Änderung. Zum Teil wird man in Zukunft Direktmarketing auf berechtigte Interessen stützen können und auch ohne nachgewiesenen Opt-in datenschutzkonform werben können. Ein etwaiger Verstoß gegen § 7 Abs. 2 Nr. 3 UWG wird davon aber unberührt bleiben.
Welche wesentlichen Aspekte müssen mit Blick auf den Aufbau von Newsletter-Anmeldeseiten berücksichtigt werden? Muss der Nutzer beispielsweise mit einer Checkbox explizit die Datenschutzerklärung akzeptieren oder reicht es aus, über oder unter dem Formular einen entsprechenden Hinweis auf die Erklärung zu platzieren?
Martin Schirmbacher: Wer auf die Einwilligung setzt, muss datenschutzrechtlich die Voraussetzungen von Art. 7 DSGVO einhalten. Dazu zählt vor allem, dass es nun stets einer ausdrücklichen Widerrufsbelehrung bedarf. Ansonsten ändert sich nicht viel. Quatsch ist, dass es nun einer Checkbox bedürfen soll, mit der die Datenschutzerklärung akzeptiert wird.
Die Datenschutzerklärung ist – wie der Name schon sagt – eine Erklärung des Unternehmens über den Umgang mit den personenbezogenen Daten der Nutzer. Um eine Zustimmung der Nutzer geht es hier nicht. Es reicht – wie schon bisher – der Hinweis auf die Datenschutzinformationen.
Einige E‑Mail-Versandsysteme ermöglichen die personenbezogene Auswertung von E‑Mail-Kampagnen – es kann also beispielsweise nachvollzogen werden, welche Empfänger welche E‑Mails geöffnet oder geklickt haben. Ist diese Form der Auswertung zulässig?
Martin Schirmbacher: Gibt es eine entsprechende Einwilligung des Nutzers („Ja, ich möchte Ihren auf mich zugeschnittenen Newsletter erhalten.“), ist das in jedem Falle zulässig. Wichtig ist, dass in der Datenschutzerklärung zusätzlich transparent erklärt wird, welche Aspekte bei der Auswertung berücksichtigt und inwieweit der Newsletter dynamisiert oder individualisiert wird.
Einfache Tracking-Methoden, etwa Öffnungsraten, lassen sich auch ohne Einwilligung – unter Berufung auf die berechtigten Interessen umsetzen.
Viele Unternehmen bieten ein „Incentive”, beispielsweise einen Gutschein oder ein eBook, als Dankeschön für eine Newsletter-Registrierung an. Ist diese Vorgehensweise mit Blick auf die DSGVO noch zulässig (Stichwort „Kopplungsverbot“)?
Martin Schirmbacher: Ja. Das ist ohne Weiteres zulässig. Hier liegt schon keine Kopplung im engeren Sinne („Einwilligung gebunden an den Vertragsschluss.“) vor. Vielmehr gibt es einen transparenten Austausch: Daten + Einwilligung gegen Geld. Aus meiner Sicht kein Problem. Im Übrigen gibt es kein ausdrückliches Kopplungsverbot in der DSGVO. IN Art. 7 Abs. 4 DSGVO heißt es lediglich, dass bei der Frage, ob eine Einwilligung freiwillig erteilt wurde, zu berücksichtigen ist, ob gekoppelt wurde. In vielen Fällen wird eine Kopplung des Newsletter-Opt-ins weiterhin zulässig sein.
Eine Ausnahme sehe ich etwa, wenn ein Kunde den gesamten Bestellprozess eines Online-Händlers durchläuft und quasi an der Kasse, nicht weiter kommt, wenn er nicht seine Werbeeinwilligung erteilt. Ein Werbe-Opt-in gegen Download ist aber weiterhin möglich.
Wie verhält es sich mit E‑Mail-Marketing-Anbietern, deren Unternehmenssitz sich außerhalb der EU befindet? Tools wie Mailchimp oder Activecampaign aus den USA erfreuen sich auch hierzulande relativ großer Beliebtheit. Kann mit solchen Tools künftig noch rechtssicher gearbeitet werden? (Falls ja: Welche Schritte oder Anpassungen sind notwendig?)
Martin Schirmbacher: Pauschal kann man das nicht sagen. Allgemein gilt, dass auch U.S.-Tools eingesetzt werden können, wenn dort ein angemessenes Datenschutzniveau gilt, das diese Anbieter etwa mit einer Unterwerfung unter das Privacy Shield dokumentieren können. Zusätzlich muss eine Vereinbarung über die Datenverarbeitung im Auftrag (AV-Vereinbarung) geschlossen werden. Wenn die U.S.-Anbieter sich auf den EU-Markt einlassen und die entsprechenden Voraussetzungen schaffen, ist das letztlich kein riesiges Problem.