Die Europäische Datenschutzgrundverordnung (kurz: DSGVO) ist bereits am 24.05.2016 in Kraft getreten. Die Werbewirtschaft hat nur noch bis 25. Mai 2018 Zeit, ihre Marketingmaßnahmen an das neue Recht anzupassen. Denn dann gilt die DSGVO unmittelbar ohne Übergangsfrist. Der folgende Beitrag stellt die wichtigsten Änderungen im Online-Marketing vor und zeigt auf, worauf sich die Werbewirtschaft einstellen muss, um einen Verstoß und damit hohe Bußgelder zu vermeiden.
Keine Spezialregeln zum Online-Marketing in der DSGVO
In der DSGVO findet man keine speziellen Regelungen für das Online-Marketing, so dass man auf allgemeine Bestimmungen, die teils durch unbestimmte Rechtsbegriffe geprägt sind, abstellen muss. Das erschwert die praktische Handhabung im Umgang mit der DSGVO und führt zu einer gewissen Rechtsunsicherheit. Das äußert sich bereits darin, dass die Erhebung und Nutzung von personenbezogenen Daten für Werbezwecke künftig verstärkt auf die berechtigten Interessen gestützt werden (müssen), weil die Anforderungen an eine wirksame Einwilligung der Betroffenen deutlich angehoben werden. Künftig ist es nicht mehr so einfach wie bisher möglich, Werbebotschaften auf eine Einwilligung zu stützen. Außerdem werden die Informations- und Aufklärungspflichten für werbende Unternehmen erhöht. Dies geht einher mit einer deutlichen Ausweitung der Rechte der Betroffenen auf Auskunft, worauf Unternehmen vorbereitet sein sollten.
Anforderungen an Einwilligungen werden verschärft
Wer Werbung im Netz künftig auf eine Einwilligung der Adressaten stützen will, der hat einige Hürden zu überwinden. Die Einwilligung muss eine eindeutig bestätigende Handlung sein (opt-in). Stillschweigen oder Untätigkeit der Betroffenen reichen nicht aus. Auch voreingestellte Häkchen, die der Betroffene wegklicken muss, sind nicht (mehr) zulässig. Eine wirksame Einwilligung setzt künftig voraus, dass der Adressat vor der Erteilung umfassend, leicht verständlich und transparent über die Verarbeitung seiner personenbezogenen Daten für Werbezwecke informiert wird. Daher kommt den Datenschutzerklärungen besondere Bedeutung zu. Es sollte darauf geachtet werden, dass die Adressaten vor Erteilung der Einwilligung durch geeignete Menüführung auf der jeweiligen Website die Datenschutzerklärung leicht finden, lesen und akzeptieren können. In dieser Datenschutzerklärung muss auch gesondert über ein jederzeitiges Widerrufsrecht der Betroffenen aufgeklärt werden. Widerruft der Werbeadressat seine Einwilligung, die technisch so einfach ermöglicht werden muss wie die Einwilligung selbst, so darf er keine Werbesendungen mehr erhalten.
Bei Kindern und Jugendlichen unter 16 Jahren ist zwingend die Einwilligung bzw. Zustimmung zur Einwilligung der Erziehungsberechtigten erforderlich. Der Werbende trägt die Nachweispflicht, dass eine wirksame Einwilligung erteilt wurde und muss dies transparent gegenüber den Betroffenen und den Behörden auf Anfrage nachweisen können. Der Nachweis der Zustimmung durch die Eltern bei Jugendlichen unter 16 Jahren wird nicht einfach werden, sodass so manche Werbeaktion, die sich – zumindest auch – an Kinder und Jugendliche richtet, künftig schwieriger werden wird.
Dies wird besonders Unternehmen im Bereich sozialer Medien vor neue Herausforderungen stellen. Die Einwilligung kann zwar auch in AGBs enthalten sein, muss aber – ähnlich wie dies gegenwärtig z. B. bei dem Widerrufsrecht für Verbraucher der Fall ist – optisch deutlich hervorgehoben werden. Besonders nachteilig ist, dass eine wirksame Einwilligung nur vorliegt, wenn diese „freiwillig“ erteilt wird. Nach Art. 7 Abs. 4 DSGVO führt praktisch schon jeder Nachteil, der mit einer verweigerten Einwilligung verbunden ist, zu einer „unfreiwilligen“ Einwilligung, z. B. dann, wenn die Verarbeitung der Daten für Werbezwecke zur Durchführung eines Vertrages nicht erforderlich ist. Dadurch wird es schwieriger werden, sich die Einwilligung für Werbezwecke mit der Gewährung von Vorteilen wie Gewinnchancen, kostenlosen Downloads oder Zugang zu sozialen Netzwerken etc. zu „erkaufen“. Denn für die Teilnahme an einem Gewinnspiel oder für den kostenlosen Erwerb eines E-Books ist die Einwilligung in die Verarbeitung der Daten zu Werbezwecken in der Regel nicht erforderlich.
Zu beachten ist auch, dass bisher erteilte Einwilligungen nach der DSGVO nur weiter gelten, wenn die Anforderungen der DSGVO eingehalten werden. Bei der Prüfung wird besonders darauf zu achten sein, ob die jeweilige Einwilligung freiwillig erfolgt ist und die Altersgrenze von 16 Jahren beachtet wurde.
Berechtigte Interessen als Rechtfertigungsgrund
Neben einer Einwilligung kann die Verarbeitung von personenbezogenen Daten auch auf unternehmerische Interessen gestützt werden, wenn sie „berechtigt“ sind die schutzwürdigen Belange der Betroffenen nicht überwiegen. Um dies beurteilen zu können, ist eine Abwägung der Interessen erforderlich. Aufgrund der gesteigerten Anforderungen an eine wirksame Einwilligung wird dieser Rechtfertigungsgrund wichtig werden. Die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) hat im Sommer 2017 eine erste Orientierungshilfe veröffentlicht. Ausgangspunkt ist der Grundsatz, dass Direktwerbung durch ein berechtigtes Interesse gedeckt sein kann (Erw.-Grund 47 DSGVO), aber nicht muss.
In die Abwägung müssen folgende Faktoren einfließen: Die „vernünftigen Erwartungen“ der Betroffenen in die konkrete Verarbeitung seiner Daten zu Werbezwecken. Mit anderen Worten: Rechnet der Betroffene in dem konkreten Fall mit einer Verarbeitung seiner Daten für Werbezwecke? Bestandskunden werden dies eher erwarten als Neukunden. Vor allem aber hängt die Erwartungshaltung der Betroffenen von einer vorherigen ausführlichen und transparenten Aufklärung ab, die in einer leicht zugänglichen Datenschutzerklärung enthalten sein sollte. Wichtig ist dabei, dass der Nutzer über sein jederzeitiges Widerspruchsrecht informiert wird. In die Abwägung muss auch einfließen, ob sich die Werbung – zumindest auch – an Kinder und Jugendliche (unter 16 Jahre) richtet. Denn dann gelten höhere Anforderungen.
Besonders geschützte Datenkategorien wie z. B. Gesundheitsdaten dürfen nur bei ausdrücklicher Einwilligung der Betroffenen für Werbezwecke verarbeitet werden. Dies betrifft z. B. die gesamte Gesundheits- und Fitnessbranche. Für das E-Mail-Marketing ändert sich im Grundsatz wenig, da weiterhin die Grenzen nach § 7 UWG beachtet werden müssen, eine Werbeansprache per E-Mail an Neukunden also nur bei vorheriger Einwilligung möglich ist.
Offen ist gegenwärtig, ob die Anforderungen an die Erstellung von Nutzerprofilen aufgrund Webtracking verschärft werden. Dies betrifft auch die Gestaltung von Cookie-Bannern. Hier wird bald die sog. E-Privacy-Verordnung, die den Datenschutz im Bereich der elektronischen Kommunikation regeln soll, eine wichtige Rolle spielen und die DSGVO überlagern. Gegenwärtig ist absehbar, dass verstärkt auf opt-in-Erfordernisse gesetzt wird, für die bisher eher opt-out-Lösungen vorgesehen sind. Es wird also auch speziell im Online-Marketing durch die E-Privacy-VO wahrscheinlich noch zu weiteren Verschärfungen kommen. Ob diese VO zeitgleich mit der DSGVO ab 25.05.2018 gelten oder später in Kraft treten wird, ist aktuell noch nicht absehbar.
Was bleibt zu tun?
Unternehmen sollten die verbleibende Zeit bis Mai 2018 nutzen, sich auf die neuen Anforderungen einzustellen. Dazu gehört eine Prüfung sämtlicher Werbe-Einwilligungen anhand der Vorgaben nach der DSGVO. Ferner müssen die Datenschutzerklärungen, Nutzungsbedingungen (AGB) überarbeitet werden. Jedes Unternehmen sollte Verarbeitungsverzeichnisse erstellen und prüfen, ob die Verarbeitung der Nutzerdaten für Werbezwecke berechtigten Interessen dienen kann. Die Menüführung für die Einholung von Einwilligungen auf Webseiten muss angepasst werden. Nicht zuletzt sind Workflows zu erstellen, um die Betroffenenrechte, insbesondere den Widerruf von Einwilligungen, den Widerspruch gegen die Datenverarbeitung sowie Ansprüche auf Auskunft und Löschung der Daten, rasch umsetzen zu können.
0 Comments
Unsere vollständigen Datenschutzhinweise finden Sie hier.