Entscheidung des Monats Oktober 2023: Newsletter-Versand trotz Widerspruch
- 4 Minuten Lesezeit
In meiner Rubrik „Entscheidung des Monats“ stelle ich Entscheidungen von Datenschutzaufsichtsbehörden vor, die von besonderer Relevanz sind. Entweder zeigen sie auf, in welchen Bereichen Unternehmen besonders vorsichtig sein sollten, da eine hohe Kontrolldichte besteht und/oder hohe Bußgelder drohen. Oder sie geben Antworten auf eine der vielen noch ungeklärten Fragen im noch jungen Datenschutzrecht.
Newsletter-Versand trotz Widerspruch durch H&M
Handelnde Behörde: Datainspektion (IMY) in Schweden
Sanktioniertes Unternehmen: H&M, Bekleidungseinzelhandel
Verstoß: Art. 6 Abs. 1, Art. 12 Abs. 2 und 3, Art. 21 Abs. 3 DSGVO
Höhe des Bußgelds: 30.265 €
Nachdem sich sechs Personen in mehreren Ländern bei der schwedischen Aufsichtsbehörde IMY beschwert hatten, wurden Untersuchungen gegen H&M eingeleitet. Die Beschwerdeführer machten geltend, Newsletter per E-Mail erhalten zu haben, obwohl sie dem ausdrücklich widersprochen hatten.
Die IMY stellte fest, dass H&M die Verarbeitung personenbezogener Daten auch nach dem Widerspruch nicht unverzüglich eingestellt hatte. Es war nicht sichergestellt worden, dass der Abmeldelink für den Newsletter jederzeit und in jedem Fall funktionierte. Daher wurde ein Bußgeld in Höhe von 300.000 SEK (umgerechnet 30.265€) verhängt.
Viele Unternehmen möchten ihre Kunden mittels Newsletter informieren. Der Fall zeigt, dass auf die datenschutzrechtskonforme Umsetzung Wert gelegt werden sollte. Gerade in diesem Bereich ist mit einer Beschwerde bei einer Datenschutzrechtsbehörde zu rechnen.
1. Wie können Unternehmen E-Mail-Marketing datenschutzkonform umsetzen?
Bei der Umsetzung von E-Mail-Marketing in Form von Newslettern greifen Wettbewerbs- und Datenschutzrecht ineinander. Durch die Einführung der DSGVO haben sich die Anforderungen noch einmal verändert. Im Folgenden wird eine Übersicht über die wichtigsten Punkte erstellt, welche bei der Umsetzung zu beachten sind.
Beim E-Mail-Marketing handelt es sich um Werbung. Diese gilt gem. § 7 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) als unzumutbare Belästigung, wenn erkennbar ist, dass der angesprochene Marktteilnehmer sie nicht wünscht. Davon ist grundsätzlich auszugehen.
2. E-Mail-Marketing ohne Tracking
Das Versenden von Newslettern stellt also Werbung dar und ist nicht erlaubt. Werbetreibende Unternehmen brauchen daher die Zustimmung des Empfängers, sprich seine Einwilligung gem. Art. 4 Nr. 11 DSGVO.
Da die Einwilligung schon vor der ersten Kontaktaufnahme stattfinden muss, empfiehlt sich die „Double-Opt-In“ Methode. Dabei trägt der Empfänger seine E-Mail-Adresse auf der Website des Werbetreibenden in ein Formular ein und erhält in der Folge eine E-Mail, in welcher er dem Empfang der Werbung in Form eines Newsletters zustimmt.
Damit die Einwilligung wirksam ist, muss der Werbetreibende dem Empfänger eine Vielzahl an Informationen zukommen lassen. Nur dann handelt es sich um eine informierte und somit gültige Einwilligung. Eine Auflistung, welchen Informationen zu erteilen sind findet sich in Art. 13 und Art. 14 DSGVO:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Der Konkrete Zweck der Datenverarbeitung und die Rechtsgrundlage
- Die Empfänger der Daten
- Die Speicherdauer
- Aufklärung über die Möglichkeit des Widerrufs der Einwilligung
- Aufklärung über weitere Betroffenenrecht
Darüber hinaus sollte die Einwilligung dokumentiert werden und im Newsletter ein direkter Link zum einfachen Abbestellen eingefügt werden.
Eine Ausnahme von der Pflicht auf Einwilligung kann bestehen, wenn der Newsletter an Bestandskunden verschickt werden soll, deren E-Mail-Adressen bereits erhoben wurden. In diesem Fall kann die Rechtsgrundlage aus Art. 6 Abs. 1 S. 1 lit. f DSGVO herangezogen werden, da die Interessen der betroffenen Person in der Regel nicht überwiegen, wenn die Vorgaben des § 7 Abs. 3 UWG eingehalten wurden. Bei der Erhebung der Daten muss jedoch gem. Art. 13 Abs. 1 lit. c DSGVO der Zweck der E-Mail-Werbung transparent dargelegt worden sein. Es bedarf auch eines Nachweises, dass es sich um einen Bestandskunden handelt gem. Art. 5 Abs. 2 DSGVO.
3. E-Mail-Marketing mit Nutzertracking
Beim Erstellen von Newslettern werden gerne externe Dienstleister engagiert, welche häufig auch Möglichkeiten des Trackings anbieten. Dies erfolgt typischerweise über Zählpixel (Web-Beacons) in Bilddateien, welche beim Öffnen der E-Mail vom Server des Newsletter-Betreibers geladen werden. Damit kann erhoben werden, welche E-Mails geöffnet werden, zu welchem Zeitpunkt der Aufrufs geschieht und welche IP-Adresse genutzt wird. Es gibt darüber hinaus die Möglichkeit, das Anklicken von Links in E-Mails nachzuvollziehen und damit individualisierte Rückschlüsse auf den Newsletter-Empfänger zu treffen.
Für den Einsatz von individualisiertem Tracking bedarf es einer Einwilligung i.S.d. Art. 6 Abs. 1 lit. a DSGVO. In Betracht käme eine Ausnahme gem. § 7 Abs. 3 UWG, welcher auch datenschutzrechtliche Bedeutung hat. Läge eine solche Ausnahme vor, kann das berechtigte Interesse des Verantwortlichen gem. Art. 6 Abs. 1 lit. f DSGVO überwiegen. § 7 Abs. 3 UWG trifft jedoch keine Aussage über das ob und wie der Datenverarbeitung. Es bedarf beim individualisierten Tracking über Newsletter unter zu Hilfenahme von Web-Beacons oder individualisierter Links auf einer Einwilligung.
Auch das pseudonymisierte Tracking bedarf einer Einwilligung. Nach richtlinienkonformer Auslegung des § 15 Abs. 3 TMG i.V.m. Art. 5 Abs. 3 der Richtlinie 2002/58/EG bedarf es einer Einwilligung bei jeglichem Zugriff auf Informationen, die auf dem Endgerät des Nutzers gespeichert sind. Das heißt, auch das pseudonymisierte Tracking kann nicht mehr auf Art 6 Abs. 1 lit. f DSGVO gestützt werden.
Zusammenfassung
Der Versand von Newslettern ist für viele Unternehmen reizvoll. Das Urteil der schwedischen Datainspektion (IMY) gegen H&M zeigt, dass Unternehmen gerade in diesem Bereich auf eine datenschutzrechtskonforme Umsetzung achten sollten. Das E-Mail-Marketing gilt als Werbung nach dem UWG und bedarf der DSGVO-konformen Einwilligung des Empfängers. Soll über den Versand hinaus auch das Verhalten des Empfängers getrackt werden, muss auch diesbezüglich eine Einwilligung eingeholt werden. Insbesondere wichtig ist die einfache Ermöglichung des Widerrufs. Der Abmeldelink muss einfach auffindbar und jederzeit funktionsfähig sein.
Marc E. Evers
Rechtsanwalt
zert. DSB
zert. DS-Auditor
zert. IT-Sicherheitsbeauftragter
Samuel Stowasser
Wissenschaftlicher Mitarbeiter
Milan Walbaum
Wissenschaftlicher Mitarbeiter
Artikel teilen: