Datenschutz- und Direktmarketing– Wann und wie dürfen Kunden in Zukunft kontaktiert werden?
Am 25. Mai 2018 treten die EU-Datenschutzgrundverordnung (DSGVO) und das österreichische Datenschutz-Anpassungsgesetz in Kraft. Die darin enthaltenen Regelungen bringen einige neue Anforderungen an das Verarbeiten personenbezogener Daten mit sich. Viele Unternehmen sind unsicher, ob und in welchem Umfang Daten künftig für ihre Werbemaßnahmen verwendet werden dürfen. Im Folgenden wird dargestellt, was noch erlaubt sein wird und was aufgrund der hohen Strafen besser zu unterlassen ist.
- Einleitung
„Dürfen wir in Zukunft eigentlich noch unseren Newsletter versenden?“ Das ist eine der häufigsten Fragen, die derzeit Rechtsberatern auf dem Gebiet des Datenschutzes gestellt werden. In dieser Frage spiegelt sich die Unsicherheit vieler Unternehmen wieder, wie sich die neuen Datenschutzregelungen auf die Werbemaßnahmen ihres Unternehmens, und dabei insbesondere auf die Direktwerbung, auswirken werden.
In weniger als 200 Tagen treten die neuen Regelungen in Kraft. Gleich vorweg: Direktmarketing und andere Werbemaßnahmen werden auch in Zukunft möglich sein. Wer empfindliche Strafen vermeiden will, sollte sich allerdings an die datenschutzrechtlichen „Spielregeln“ halten.
Auch für Werbemaßnahmen gelten die (allgemeinen) Vorschriften der DSGVO und der nationalen Datenschutzgesetze. Das bedeutet unter anderem, dass Datenverarbeitungen nur dann durchgeführt werden dürfen, wenn sie „rechtmäßig“ erfolgen. Das ist zum Beispiel dann der Fall, wenn der Betroffene (das ist jene Person, deren Daten verarbeitet werden) die ausdrückliche Einwilligung zur Verarbeitung seiner Daten zu einem bestimmten Zweck erteilt hat oder die Daten zur Erfüllung eines Vertrages mit dem Betroffenen verarbeitet werden müssen. Wer etwa Kaufverträge schließt, darf die für die Vertragserfüllung erforderlichen Daten seines Vertragspartners verarbeiten, ohne dafür eine gesonderte Einwilligung einholen zu müssen.
Auch die umfassenden Informationspflichten, die proaktiv bei Datenerhebung erfüllt werden müssen, sind einzuhalten. Die betroffenen Personen sind daher vom Zweck, zu dem ihre personenbezogenen Daten verarbeitet werden, sowie von der jeweiligen Rechtsgrundlage für die Verarbeitung zu informieren.
- Zulässigkeit des Direktmarketings
Allgemeines
Unter „Direktmarketing“ wird gemeinhin jede Werbemaßnahme verstanden, die eine direkte Ansprache des möglichen Kunden enthält. Ein Unternehmen, das per Post oder per Email Newsletter an die persönliche (Email-)Adressen bestimmter Personen oder Personengruppen richtet, um sie möglichst zu einer individuellen, messbaren Reaktion zu veranlassen, betreibt Direktmarketing.
Direktmarketing kann in Anwendung der neuen Datenschutzregelungen aufgrund eines „Opt-In-Verfahrens“ oder eines „Opt-Out-Verfahrens“ zulässig sein. Beim „Opt-In-Verfahren“ muss die angesprochene Person vorab ausdrücklich zustimmen, also ihre Einwilligung zum Erhalt von Werbebotschaften erteilt haben, da diese andernfalls unzulässig sind. Beim “Opt-Out-Verfahren“ sind Direktmarketingmaßnahmen grundsätzlich auch ohne Einwilligung zulässig, die betroffene Person hat jedoch das Recht zu widersprechen. Solange sie nicht widerspricht, ist die Direktmarketingmaßnahme daher zulässig.
Wann ist eine Einwilligung erforderlich?
Wann ist nun eine Einwilligung erforderlich und wann nicht? Vereinfacht gesagt lautet die Antwort: Datenschutzrechtlich bedarf es in der Regel dann keiner Einwilligung, wenn die „berechtigten Interessen“ des Direktmarketers die Interessen des Betroffenen überwiegen. Die DSGVO sieht in ihrem Erwägungsgrund 47 ausdrücklich vor, dass das Direktmarketing als ein „berechtigtes Interesse“ betrachtet werden kann und erkennt damit an, dass Unternehmen ein legitimes Interesse an der Kontaktaufnahme mit Kunden und potentiellen Kunden haben, das den Interessen der Betroffenen übergeordnet sein kann.
Somit wird in vielen Fällen das Direktmarketing zunächst zulässig sein. Allerdings steht in solchen Fällen jeder betroffenen Person ein Widerspruchsrecht zu (Opt-Out). Dieses Widerspruchsrecht ist kostenlos und kann auch elektronisch ausgeübt werden. Das Unternehmen hat dem Widerspruch unverzüglich, längstens binnen eines Monats zu entsprechen.
Unzulässig ist Direktmarketing ohne Einwilligung der betroffenen Person jedoch immer dann, wenn entweder eine Datenverarbeitung mit besonders hoher Eingriffsintensität stattfindet (z.B. bei manchen Arten des Profiling – siehe unten) oder sensible Daten verwendet werden. Sensible Daten sind etwa Gesundheitsdaten, biometrische Daten, Daten über die sexuelle Orientierung, die politische oder religiöse Weltanschauung etc. (Art. 9 DSGVO).
Besonderheiten des elektronischen Direktmarketing (Email, SMS, Soziale Medien etc.)
Neben dem Datenschutzrecht sind in Österreich auch noch die Bestimmungen des § 107 Telekommunikationsgesetz zu beachten. Diese schränken die Zulässigkeit des elektronischen Direktmarketings ohne vorherige Einwilligung weiter ein.
Demnach bedarf es in folgenden Fällen immer einer Einwilligung:
- Werbung an Nicht-Kunden und
- Werbung an eigene Kunden, wenn fremde Waren/Dienstleistungen oder eigene, aber andere Waren/Dienstleistungen beworben werden, sowie
Ein Unternehmen, das Werbung per E-Mail an Nicht-Kunden versenden möchte, benötigt sohin stets die Einwilligung des jeweiligen Empfängers. Gleiches gilt für ein Unternehmen, das beispielsweise personenbezogene Daten eines Kunden aufgrund eines Kaufvertrages über Lebensmittel erhalten hat und nunmehr im Rahmen des Direktmarketings Sportgeräte bewerben möchte.
Ohne Einwilligung zulässig sind daher
- die postalische Werbung,
- die Werbung an eigene Kunden für eigene gleiche oder ähnliche Waren/Dienstleistungen und
- eine pseudonyme personenbezogene online-Werbung, bei der die Identität der betroffenen Person nur sehr schwer feststellbar ist, z.B. weil nur die IP-Adresse bekannt ist.
Allerdings muss elektronische Werbung immer eine Opt-Out-Möglichkeit vorsehen (z.B. Abmeldemöglichkeit von einem Newsletter). Ebenso muss berücksichtigt werden, ob sich eine betroffene Person in die sogenannte Robinson-Liste eingetragen und damit verbindlich erklärt hat, kein persönlich adressiertes Werbematerial erhalten zu wollen. Adressverlage haben solche Eintragungen zu beachten (§ 151 Abs 9 Gewerbeordnung).
- Voraussetzungen einer rechtswirksamen Einwilligung
Was versteht man nun konkret unter einer „Einwilligung?
Wenn datenschutzrechtlich eine Einwilligung erforderlich ist, muss diese bestimmten Voraussetzungen genügen. Insbesondere muss sie „freiwillig“ und „informiert“ erteilt werden. Das bedeutet, dass der Einwilligende genau über den Zweck der Einwilligung informiert werden muss und die Einwilligung nicht mit einem Vertragsabschluss „gekoppelt“ werden darf, soweit diese nicht unbedingt zur Vertragserfüllung erforderlich ist. Einwilligungen in Allgemeinen Geschäftsbedingungen werden daher regelmäßig ungültig sein.
Oftmals wird die Einwilligung für die Vertragserfüllung nicht notwendig sein, aber sie könnte wirtschaftlich sinnvoll sein. Man denke nur an viele „Gratisangebote“ im Internet, die darauf basieren, dass das Angebot zwar „gratis“ zur Verfügung gestellt wird, die Nutzer dafür jedoch im Gegenzug in die Verarbeitung ihrer Daten einwilligen.
Um hier nicht in die Falle ungültiger, weil unzulässig gekoppelter Angebote zu tappen, könnte es etwa ratsam sein, zwei verschiedene Geschäftsmodelle anzubieten: Ein Angebot mit einer Einwilligung zur Datenverarbeitung und eines ohne Einwilligung, wobei letzteres kostenpflichtig oder teurer angeboten wird als ersteres. Dann hat der Kunde zumindest die Wahl, ob er den Vertrag mit Einwilligung abschließen möchte oder eben nicht. Die Einwilligung sollte aber jedenfalls separat vom eigentlichen Vertrag, also getrennt, abgegeben werden (z.B. mittels Anklickens einer eigenen Box).
Bei Kindern ist Vorsicht geboten: In Österreich können sie erst ab 14 Jahren eine datenschutzrechtlich wirksame Einwilligung abgeben. Bei jüngeren Kindern ist die Zustimmung des Erziehungsberechtigten erforderlich. Das Unternehmen hat dabei „angemessene Anstrengungen unter Berücksichtigung der vorhandenen Technologie“ vorzunehmen, um sicherzustellen, dass keine Kinder unter 14 Jahren Einwilligungen abgeben. Das könnte etwa dadurch erfolgen, dass Online-Registrierungen nur unter Angabe des Geburtsdatums oder zukünftig zum Beispiel nur mittels digitalem Ausweis möglich sind.
- Profiling – wie wird sich ein Kunde voraussichtlich verhalten?
Unter Profiling versteht man die Bewertung oder Vorhersage persönlicher Aspekte von betroffenen Personen. Solche „Aspekte“ beziehen sich etwa auf die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben, Interessen, die Zuverlässigkeit, das Verhalten, Aufenthalt oder Ortswechsel. Wer zum Beispiel die auf Internetverkaufsplattformen betrachteten oder gekauften Waren auswertet, um ein Gesamtbild des Kaufverhaltens eines bestimmten Kunden zu erstellen und dem Kunden hierauf basierend sinnvolle Kaufvorschläge für andere Produkte zu unterbreiten, betreibt Profiling.
Wird Profiling rein zu Zwecken des herkömmlichen Direktmarketings betrieben, dürften meist die berechtigten Interessen des Verantwortlichen jene des Betroffenen überwiegen, sodass es grundsätzlich keiner Einwilligung bedarf. Der Betroffene hat jedoch ein Widerspruchsrecht.
Anders sieht der Fall aus, wenn mit dem Profiling eine „erhöhte Eingriffsintensität“ verbunden ist, also der Eingriff in die Rechte des Einzelnen massiver ist, zum Beispiel weil die Menschenwürde betroffen ist. Eine solche erhöhte Eingriffsintensität liegt etwa bei der Auswertung sensibler Daten oder bei „Preisdifferenzierung“ vor. Von letzterer spricht man dann, wenn unterschiedlichen Nutzern für ein und dieselbe Ware oder Dienstleistung unterschiedliche Preise angeboten werden (z.B. wenn Verwendern von Apple-Produkten im Internet höhere Preise angeboten werden als Verwendern von Android-Geräten). In solchen Fällen bedarf es immer einer ausdrücklichen Einwilligung des Betroffenen.
Einer ausdrücklichen Einwilligung bedarf Profiling auch dann, wenn damit rechtliche Folgen für die Betroffenen verbunden sind. Zum Beispiel könnte eine Bank aufgrund des Profilings das Kreditrisiko von Kunden bewerten und auf dieser Grundlage Kredite erteilen oder ablehnen. In solchen Fällen ist der Betroffene über die Programmlogik zu informieren. Er hat auch das Recht, seinen Standpunkt darzulegen sowie die auf Basis des Profiling gefasste Entscheidung anzufechten.
- Datenverarbeitung zum Zwecke der Marktforschung
Echte Marktforschung dient der Erhebung statistischer Daten mittels eines wissenschaftlich-methodischen Vorgehens. Es werden gerade keine Aussagen über personenbezogenen Daten von Einzelpersonen erstellt, wie wohl natürlich Daten von Einzelpersonen erhoben werden.
In solchen Fällen liegt in der Regel ein überwiegendes berechtigtes Interesse des Marktforschers oder seines Auftraggebers vor, sodass es keiner Einwilligung der betroffenen Personen bedarf.
Anders gelagert sind jedoch die Fälle des sogenannten „Push Polling“. Dabei handelt es sich um eine als Marktforschung „getarnte“ Direktwerbung, die auch in politischen Wahlkämpfen für dirty campaigning eingesetzt wird. Unter dem Vorwand, Marktforschung zu betreiben, werden in Wahrheit die eigenen Produkte beworben oder die Konkurrenz schlecht gemacht. Personen werden dabei mit scheinbaren Fragen für eine Marktforschung konfrontiert, ohne dass es sich tatsächlich um eine (seriöse) Marktforschung handelt.
Für Push Polling dürfte regelmäßig eine Einwilligung des Betroffenen erforderlich sein, da hier keine überwiegenden berechtigten Interessen des Verantwortlichen vorliegen dürften.
- Fazit
Direktmarketing wird auch nach Inkrafttreten der DSGVO und des österreichischen Datenschutzanpassungsgesetzes am 25. Mai 2018 grundsätzlich möglich sein.
Aus Erwägungsgrund 47 der DSGVO ergibt sich, dass eine Datenverarbeitung – auch ohne Vorliegen einer gesonderten Einwilligung des Betroffenen – zulässig sein kann, wenn sie zum Zwecke des Direktmarketings erfolgt, eine Interessenabwägung zugunsten des Unternehmens ausfällt und der Betroffene der Verarbeitung seiner Daten nicht widersprochen hat (Opt-out).
Für Unternehmen in Österreich bedeutet das im Ergebnis, dass sie auch in Zukunft Newsletter per regulärer Post an diejenigen Empfänger versenden dürfen, die nicht in der Robinson-Liste eingetragen sind. Elektronische Werbung, zum Beispiel per Email, an eigene Kunden für eigene gleiche oder ähnliche Waren/Dienstleistungen ist ebenso ohne gesonderte Einwilligung möglich.
In allen anderen Fällen sowie auch immer dann, wenn die Datenverarbeitung mit besonders hoher Eingriffsintensität stattfindet oder sensible Daten verwendet werden, ist eine freiwillige und informierte Einwilligung des Betroffenen erforderlich. Betroffene sind von den Zwecken, zu denen ihre Daten verarbeitet werden, sowie von der jeweiligen Rechtsgrundlage zu informieren.
Einen generellen Freibrief für das Direktmarketing wird es daher nicht geben. Unternehmen ist im Hinblick auf die durch die DSGVO eingeführten hohen Strafen von bis zu 4% des Konzernumsatzes bzw. EUR 20 Millionen anzuraten, die neuen rechtlichen Rahmenbedingungen für das Direktmarketing genau zu beachten, wobei der hohe Strafrahmen dann nicht greift, wenn „nur“ § 107 Telekommunikationsgesetz, nicht aber die datenschutzrechtlichen Bestimmungen verletzt werden.
RA Dr. Georg Huber, LL.M.
RAin Mag. Melanie Gassler-Tischlinger, LL.M.
Dieser Beitrag erschien auch in der Ausgabe RECHTspezial der econova Nr. 17/2018: Darf man das noch? (PDF)
Foto: ©Blickfang (Julia Türtscher)