Frank Schemmel

Aktualisierte DSK-Orientierungshilfe „Direktwerbung“ – Übersicht der Änderungen


ZD-Aktuell 2022, 01089     Ende Februar 2022 hat die Datenschutzkonferenz (DSK) knapp dreieinhalb Jahre nach der ersten Version nun eine aktualisierte Fassung ihrer Orientierungshilfe „zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ veröffentlicht. Auf Grund des weiten Werbungsbegriffs – sowohl im europäischen als auch deutschen Sinne – hat diese Orientierungshilfe Relevanz für fast jede Organisation. Nachfolgend werden die wichtigsten Neuer- und Änderungen zusammengefasst und in den entsprechenden Kontext eingeordnet.

1. Begriff der Werbung

Die erste Neuerung ist, dass erstmals der Begriff der Direktwerbung kurz definiert wird. Weder ePrivacy-RL, UWG noch DS-GVO enthalten eine entsprechende Definition. Demnach ist Direktwerbung nach Ansicht der DSK „dabei durch die unmittelbare Ansprache der Zielperson gekennzeichnet und kann in unterschiedlicher Form erfolgen, zB postalisch, per E-­Mail, Telefon, Fax oder SMS“.

2. Grundsätzliches zur Interessenabwägung

Eine für die Praxis wichtige Änderung ist die Abkehr von der bisherigen Ansicht, wonach die Erfüllung der Informationspflichten nach Art. 13 DS-GVO bzw. Art. 14 DS-GVO sich positiv auf die Interessenabwägung auswirkt. Hier vertritt die DSK mit Verweis auf die Guidelines 8/2020 des Europäischen Datenschutzausschusses (EDSA) nun die Auffassung, dass die Nicht- bzw. Schlechterfüllung der Informationspflicht das Abwägungsergebnis negativ beeinflusst, während die ordnungsgemäße Erfüllung keine Auswirkung (mehr) hat.

3. Praxisfälle Interessenabwägung

Bedauerlich aus Praxissicht ist, dass sich die neue Orientierungshilfe nicht mehr zur Übermittlung von Daten zu Werbezwecken an Dritte sowie der Nutzung dieser Fremdadressen durch den Dritten äußert. Es bleibt also unklar, ob die in der Vorversion gemachten Äußerungen der DSK weiterhin Bestand haben, oder nicht.

Lediglich klarstellende und die ständige Rechtsprechung wiederholende Funktion hat die neu eingefügte Aussage, dass es im Falle von Bestandskunden ohne das Vorliegen der Voraussetzungen des § 7 Abs. 3 UWG für die Nutzung von E-­Mail-Adressen zu Werbezwecken grundsätzlich einer Einwilligung bedarf.

Wichtig in Sachen Dokumentations- und Aufbewahrungsfristen ist die neue Aussage im Bereich der B2C-Telefonwerbung, die Einwilligung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und den Nachweis ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre lang aufzubewahren (vgl. § 7 a Abs. 2 UWG). Bislang war zumindest nicht unumstritten, ob die Aufbewahrungsfrist des UWG auch für Sachverhalte der DS-GVO gilt.

In Sachen B2B wurde nunmehr eine Erläuterung zum Begriff der mutmaßlichen Einwilligung gem. § 7 Abs. 2 Nr. 2 UWG aufgenommen und als Anforderung formuliert, dass für den Anruf zumindest ein konkreter und aus dem Interessensbereich des Anzurufenden herzuleitender Grund (wie zB ein geschäftlicher Vorkontakt) vorliegen muss und eine bloße Sachbezogenheit eben nicht ausreicht.

4. Unterrichtung bei der Datenerhebung

Dieser Bereich wurde gänzlich überarbeitet in der neuen Version. Wichtig ist dabei zunächst, dass die DSK von ihrer bisherigen Position pauschal ein zweistufiges Informationsmodell („layered approach“) zu empfehlen abrückt und vielmehr nach verschiedenen Konstellationen differenziert und dabei konkrete und praxisnahe Umsetzungsempfehlungen an die Hand gibt. Erfreulich ist auch, dass das neue Papier explizit darauf hinweist, dass nicht alle Informationen bei jedem Kontakt erneut zu erbringen sind, sondern – sofern keine Zweckänderung vorliegt – nur diejenigen, über die die betroffene Person etwa aus vorausgegangenem Kontakt, noch nicht verfügt.

Unklar in diesem Zusammenhang ist jedoch, ob es sich bei dem Hinweis, dass immer, wenn eine Verarbeitung auf einer Einwilligung basiert, ohnehin alle dafür erforderlichen Informationen vor der Erteilung der Einwilligung mitgeteilt werden müssen, lediglich um ein redaktionelles Versehen handelt, oder ob die DSK hierbei tatsächlich eine separate Information außerhalb des Einwilligungstexts fordert. Für Letzteres spricht, dass die DSK an anderer Stelle im Papier im Zusammenhang mit dem Hinweis auf das Widerrufsrecht ebenfalls den Passus „vor der Abgabe der Einwilligung“ nutzt und dann ausführt, dass der Hinweis im direkten Zusammenhang mit der Einholung der Einwilligung erfolgen soll.

Die jüngste Rechtsprechung zu Dokumentationserfordernissen einer Einwilligung auf die Informationspflichten übertragend sieht die neue Orientierungshilfe den Verantwortlichen auf Grund der Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO dazu verpflichtet, zu dokumentieren, welche Informationen der betroffenen Person zu welchem Zeitpunkt zur Verfügung gestellt worden sind, auch wenn dies elektronisch erfolgt ist. Erfreulicherweise stellt die DSK aber sogleich klar, dass diese Anforderung auch durch eine revisionsfeste Dokumentation der tatsächlich genutzten Texte mit Versionsnummer erfolgen kann.

Hinsichtlich der Information der „Altfälle“, also der Bestandskunden, deren Daten vor dem 25.5.‌2018 erhoben wurden, erfolgt eine Klarstellung der bisher in der Praxis angewandten Best Practices.

5. Gestaltung der Einwilligung, Double-Opt-in und Koppelungsverbot

Praxisfremd war hingegen die bisherige Empfehlung an Verantwortliche, aus Nachweisgründen sich um eine Einwilligung in Schriftform mit handschriftlicher Unterschrift zu bemühen – dieser Passus findet sich in der aktuellen Version erfreulicherweise nicht mehr.

Die neue Orientierungshilfe setzt sich auch vertiefter mit der BGH-Rechtsprechung zum Double-Opt-in-Verfahren (DOI) auseinander. So geht die DSK davon aus, dass Verantwortliche die konkrete Einwilligungserklärung jeder einzelnen betroffenen Person vollständig zu dokumentieren haben und dies für elektronisch übermittelte Einwilligungserklärungen deren Speicherung und jederzeitige Möglichkeit des Ausdruckens voraussetzt.

Der Einsatz von DKIM (DomainKeys Identified Mail) oder ähnlicher digitaler Signaturen reiche dabei für die Authentizität aus. Hingegen sei die Beweiskraft im Hinblick auf DOI, welche per SMS oder per Telefonanruf übermittelte Bestätigungscodes oder eingeholte Bestätigungen verwenden, eher gering. Beide Aussagen waren in der ersten Version der Orientierungshilfe noch nicht enthalten.

Nicht überraschend, sondern eher deklaratorisch ist der neue Hinweis, dass es sich beim Koppelungsverbot rechtlich nicht um ein echtes Verbot handelt. Vielmehr ergebe sich aus dem Fehlen der Freiwilligkeit bei dergestalt eingeholten Einwilligungen eine unmittelbare Unwirksamkeit.

6. Gültigkeitsdauer und Verwirkung der Einwilligung

Einer in der Praxis häufig auftretenden und in der bisherigen Version viel zu kurz behandelten Frage widmet sich die neue Version nun ausführlicher. Zunächst stellt die DSK richtigerweise klar, dass sich aus Wortlaut und Umstand sowohl eine unbegrenzte Dauer als auch zeitlich beschränkte Geltung einer Einwilligung ergeben kann. Sodann wird das Prinzip der Verwirkung als Summe aus Zeit- und Umstandsmoment mit Verweis auf Art. 5 Abs. 1 lit. a und lit. e DS-GVO hervorgehoben, dass Verantwortliche sich dann nicht mehr auf eine erteilte Einwilligung berufen können, wenn diese über längere Zeit nicht genutzt werden (Zeitmoment) und betroffene Personen auch nicht mehr mit einer Verarbeitung rechnen müssen (Umstandsmoment) und mit Verweis auf entsprechende BGH-Rechtsprechung, dass Einwilligungen nicht allein durch Zeitablauf erlöschen. Die DSK empfiehlt nunmehr unter Bezug auf die einschlägige Position des EDSA, Einwilligungen in angemessenen Zeitabständen vorsorglich zu erneuern – dies gelte insbesondere für länger als zwei Jahre ungenutzte Einwilligungen.

7. Widerruf der Einwilligung

Gänzlich neu und in der Version aus 2018 nicht enthalten ist hingegen dieser Abschnitt: Neben den bisher aus anderen Stellungnahmen deutscher und europäischer Behörden bekannten Anforderungen fordert die DSK jedoch erstmals, dass bereits bei der Information zum Zeitpunkt der Erhebung explizit auch darauf hinzuweisen ist, dass eine auch nach dem Widerruf fortgesetzte Verarbeitung der Einwilligung aus Dokumentationszwecken erfolgt bzw. erfolgen kann. Daneben wird zum ersten Mal seitens deutscher Behörden auf das „Double-Opt-out“-Verfahren zur Authentifizierung einer Widerrufserklärung erwähnt – dies entspricht dem spiegelbildlichen Ablauf des DOI. Dabei weist die DSK zu recht auch darauf hin, dass neben standardmäßigen digitalen Signaturen wie DKIM auch der laufende E-­Mail-Kontakt unter einer bekannten E-­Mail-Adresse belegt, dass die den Widerruf erklärende Person Zugriff auf diesen Account hat, was regelmäßig zur Authentifizierung der betroffenen Person ausreiche. Schließlich stellt die DSK auch klar, dass die Vereinbarung einer bestimmten Form des Widerrufs – selbst wenn es dieselbe Form der Einwilligungserteilung ist – uU gem. Art. 7 Abs. 3 S. 4 DS-GVO unwirksam sein kann.

8. Spezielle Sachverhalte der Direktwerbung

Hinsichtlich der Bewertung spezieller Sachverhalte und Konstellationen werden in der neuen Version leider keine Ausführungen mehr zum Thema Rufnummernverzeichnisse und Fremdadressenwerbung gemacht. Inhaltlich gibt es jedoch keine nennenswerten Änderungen. Eine Kehrtwende gab es jedoch hinsichtlich der zulässigen Nutzungsdauer von Kontaktdaten, deren Verarbeitung mit einem überwiegenden berechtigten Interesse legitimiert wird. Während in der vorherigen Version noch mit Verweis auf ältere Rechtsprechung zur Nutzungsdauer einer Einwilligung zur E-­Mail-Werbung erläutert wurde, dass diese zeitlichen Maßstäbe – konkret ging es um eine 17 Monate ungenutzte Einwilligung – auch bei der Interessenabwägung eine Orientierung hinsichtlich der vernünftigen Erwartungen der betroffenen Person bieten, fehlt ein solcher Hinweis in der aktuellen Fassung. Es wird vielmehr – wie bereits im Kapitel zum Verfall der Einwilligung – allgemein auf die Erforderlichkeit eines Zeit- sowie Umstandsmoments hingewiesen, wonach also der Zeitablauf seit dem letzten aktiven Kontakt sowie die Art des Grundgeschäfts zu berücksichtigen sind. Neu ist auch die Klarstellung, dass eine längere Werbepause eher für einen langjährigen Kundenstamm begründbar ist als für Kontakte, die lediglich zur Konditionenabfrage angelegt wurden und dass auch schon die Umstände des Erstkontakts einer folgenden werblichen Ansprache entgegenstehen können (zB wenn ein Abschlepp- oder Schlüsselnotdienst oder eine Hebamme kontaktiert wird).

9. Werbewiderspruch und -sperrdateien, Ausgestaltung und Umsetzungsfrist

In der neuen Orientierungshilfe wird im Vergleich zur Vorversion zunächst klargestellt, dass Werbesperrdateien zulässig sein können (in der Fassung aus 2018 wurde hingegen der Indikativ „sind … zulässig“ verwendet) und diese auch nur rechtmäßig sein können, wenn die zu verhindernde Verarbeitung zu Werbezwecken auf den überwiegenden berechtigten Interessen des Verantwortlichen fußen. Diese pauschale Aussage ist jedoch nicht einleuchtend, gibt es doch auch andere Konstellationen, in der zB eine betroffene Person ihre erteilte Einwilligung zur Werbung widerruft und gleichzeitig auch bittet, künftig nicht mehr werblich angesprochen zu werden – dies kommt in der Praxis nicht selten vor. Eine solche Aussage muss dann entsprechend auch als Werbewiderspruch gewertet und die Person in die entsprechende interne Werbe-Sperrdatei aufgenommen werden.

Positiv ist hingegen, dass in der neuen Version weitere Ausführungen zu Robinsonlisten gemacht werden. Dabei weist die DSK zu recht darauf hin, dass ein Abgleich mit solchen Listen in Deutschland nicht verpflichtend ist – im Gegenteil zu zB den USA, in denen es ein verpflichtendes „Do-Not-Call“-Registry gibt und ein fehlender Abgleich vor einem Werbeanruf auch scharf sanktioniert wird – und entsprechend betroffene Personen nicht erwarten dürfen, nicht Gegenstand einer werblichen Ansprache zu werden nachdem sie sich auf der Liste eingetragen haben.

Komplett neu ist das Kapitel zur Ausgestaltung des Werbewiderspruchsrechts. Hier fordert die DSK, dass Verantwortliche durch entsprechende organisatorische und technische Maßnahmen sicherstellen müssen, dass Werbewidersprüche auf sämtlichen gegenüber ihnen verwendeten Kommunikationswegen effektiv geltend gemacht werden können und eine Beschränkung auf einzelne Kontaktwege unzulässig ist. Diese Position wird aber dahingehend abgemildert, dass die deutschen Behörden hinsichtlich der Frage der Unverzüglichkeit der Bearbeitung (vgl. Art. 12 Abs. 3 DS-GVO) den Verantwortlichen zugestehen, dass eine Bearbeitung länger dauern darf, sofern ein anderer als der in den entsprechenden Datenschutzerklärungen bzw. -hinweisen präferierte Kontaktweg seitens der betroffenen Person beschritten wird. Die DSK erwartet jedoch, dass auf jeden Fall eine elektronische Kommunikationsmöglichkeit anzubieten ist und empfiehlt in diesem Zusammenhang zudem auf „No-reply“-Adressen bei der Versendung von Werbe-Mails zu verzichten, um eine einfachere Kontaktmöglichkeit zu gewährleisten.

Für die Werbepraxis mindestens genauso einschränkend ist der dogmatisch nicht unumstrittene Hinweis, dass auch solche Widerspruch-Mails zugegangen sind, die auf Grund von Spam-Filtern oder Blockinglists in einen Spam-Ordner verschoben oder gelöscht wurden und dass für Fälle, die sich auf Betroffenenrechte beziehen, eine zumindest umgehende Kenntnisnahme durch technisch-organisatorische Maßnahmen zu gewährleisten ist. Es wäre jedoch schön gewesen, wenn die DSK hier Praxisbeispiele liefern würde, wie das konkret umgesetzt werden kann.

Ebenso strikt ist die neue Position, wonach bereits bei der Erhebung der Kontaktdaten im Rahmen eines Bestellprozesses auf die mögliche werbliche Ansprache unabhängig einer Newsletter-Anmeldung sowie eines bestehenden Widerspruchsrechts hingewiesen werden sollte und zudem eine Möglichkeit bereitgestellt werden muss, um zB mittels Checkbox oder Verlinkung eine sofortige Ausübung des Widerspruchsrechts zu ermöglichen.

Schließlich weist die DSK in diesem Zusammenhang auch darauf hin, dass die Abmeldung von Werbe-Mails „möglichst“ mit nur einem Klick ohne zusätzliche Hürden, insbesondere keiner verpflichtenden Abfrage nach Abmeldungsgründen, ermöglicht werden sollte.

Hinsichtlich der Umsetzungsfrist eines Werbewiderspruchs wird nochmals wiederholt, dass zumindest eine unverzügliche Bearbeitung von formlos eingehenden Widersprüchen gewährleistet sowie für Werbemaßnahmen jederzeit aktuelle Datenbestände genutzt werden muss. Zudem ist sicherzustellen, dass bei einem Widerspruch via Link in einer Werbe-Mail oder über entsprechende Einstellung in einem Kundenportal die Werbemaßnahmen sofort eingestellt werden, da dies technisch möglich sei. Bei postalischer Werbung ist zumindest sicherzustellen, dass die widersprechenden Personen nicht Teil neuer Druckaufträge oder sonstiger Verarbeitungen ihrer Daten sind.

Dr. Frank Schemmel ist Practice Lead International Privacy & Compliance bei DataGuard in München.