Zum Geburtstag der DSGVO haben wir den Experten Dr. Jens Eckhardt, Rechts- und Fachanwalt für IT-Recht und Datenschutz-Auditor, interviewt und versucht Licht ans Ende eines langen Tunnels zu bringen. War der Hype um das Inkrafttreten der Datenschutzgrundverordnung berechtigt? Wie steht es um das Kopplungsverbot im E-Mail-Marketing? Seit nunmehr einem Jahr sind noch immer viele Fragen unbeantwortet oder unklar definiert. Jetzt haben wir nicht nur klare Antworten, sondern auch einen Blick in die Zukunft! Ein kleiner Spoiler vorweg: Es ist alles halb so schlimm.
Dr. Jens Eckhardt ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht sowie Datenschutz-Auditor (TÜV). Seit 2001 ist er als Rechtsanwalt in den Bereichen Marketing, Datenschutz, Informationstechnologie und Telekommunikation tätig. Seit 15 Jahren gehören außerdem regelmäßige Vorträge und Veröffentlichungen, insbesondere zu verschiedenen Aspekten des Marketings und des Datenschutzrechts, mit in sein Portfolio. Zudem ist Dr. Eckhardt Mitglied des Vorstands des EuroCloud Deutschland_eco e.V und des Vorstands des BvD, dem Berufsverband der Datenschutzbeauftragten e.V.
1. Die Einführung der DSGVO feiert bald ihren ersten Geburtstag. Wie hat sich die Lage im E-Mail Marketing seit der Einführung verändert?
Es gab im E-Mail-Marketing, wie auch in vielen anderen Bereichen, eine Vielzahl von Aufregungen - von „Es geht gar nichts mehr“ bis hin zu „Wir brauchen keine Einwilligung mehr“. Mittlerweile hat sich das Ganze allerdings ein wenig normalisiert. Beim E-Mail-Marketing, bzw. dem Permission-Marketing, gab es aber auch keine unbedingt überraschenden Veränderungen. Der grundsätzliche Rechtsrahmen gilt weiterhin, genauso wie das Gesetz gegen unlauteren Wettbewerb – dies ist vor der DSGVO und nach der DSGVO gleichgeblieben. Am Zulässigkeitsrahmen hat sich somit nicht viel verändert.
Können Sie das etwas konkretisieren?
Wenn man eine Einwilligung betrachtet, kann man sagen, dass 90 % der Einwilligungen, die im Zuge der DSGVO als unwirksam erkannt worden sind, auch schon davor unwirksam waren. Außerdem muss man, wenn man an das E-Mail-Marketing denkt, immer an zwei Gesetze denken. Zum einen ist dies das UWG, das Gesetz gegen unlauteren Wettbewerb, und auf der anderen Seite ist das das Datenschutzrecht, die DSGVO. Im UWG hat sich durch die Datenschutzgrundverordnung nichts geändert, sprich: zum einen der Grundsatz, dass für eine Direktwerbung per E-Mail vorher eine ausdrückliche Einwilligung vorliegen muss (§ 7 Abs. 2 Nr. 3 UWG), galt vor, sowie nach der DSGVO. Zum anderen die Regelung, dass man ausnahmsweise keine Einwilligung in die E-Mail-Werbung benötigt (§ 7 Abs. 3 UWG), wenn die Voraussetzungen dieser Regelung vorliegen. Aber auch dies galt sowohl vorher wie auch nachher. Durch das Inkrafttreten der DSGVO kam dann so eine Unruhe auf, dass die UWG Regelungen nicht mehr gelten würden. Das ist aber eben nicht zutreffend. Das OLG München hat das zwischenzeitlich in einem Urteil auch ausgesprochen.
Wie muss man sich das vorstellen?
Um es ein wenig visueller darzustellen: Stellen wir uns das Ganze wie auf einer Autobahn vor. Die Leitplanken waren sowohl vorher als auch jetzt da. Die gibt das UWG vor mit den vorstehend angesprochenen Eckpunkten. Innerhalb der Leitplanken gibt es Fahrspuren und diese Spuren sind neu definiert worden. Wenn man also eine Einwilligung braucht, muss sich immer zuerst die Frage gestellt werden: welche Anforderungen gelten für eine Einwilligung? Genau dazu findet man dann in der DSGVO die Antworten: was eine Einwilligung ist, was eine wirksame Einwilligung ist, etc.!
Gab es bei den Anforderungen Verschärfungen?
Verschärfungen in diesen Kriterien hat es aus deutscher Sicht keine Wesentlichen gegeben. Deswegen konnte die Aufregung aus rein rechtlichen Gründen nicht ganz nachvollzogen werden. Seitdem beschäftigen sich allerdings mehr Personen mit der Höhe der Sanktionen, haben plötzlich Angst bekommen und sich vielleicht auch zum ersten Mal die Kriterien für eine Einwilligung angeschaut. Denn im Grunde gab es hinsichtlich des Marketings eher eine Erleichterung, da sich die Anforderung an die unzulässige Kopplung gegenüber dem alten Recht gelockert hat. Auch gab es aus deutscher Sicht eine Bereinigung bzw. Vereinfachung der Rechtslage.
Gar keine Verschärfungen?
Was tatsächlich neu hinzugekommen ist, ist der Fakt, dass die DSGVO sehr umfassende, proaktive Informationspflichten vorsieht. Das hatte man im alten Recht nicht. Hier sind nun aufwendigere Gestaltungen erforderlich. Auch besteht eine umfassendere Pflicht zur internen Dokumentation der Zulässigkeit des E-Mail-Marketings. Aber: Das ist nichts, was in Bezug auf das E-Mail-Marketing verhindernd wirkt.
Ein Satz zur Zusammenfassung?
Man kann also zusammenfassend sagen: die Erkenntnis war neu, die Rechtslage nicht.
2. Wie sieht es mit dem Kopplungsverbot laut neuer DSGVO aus? Ist es noch gültig?
Ja und nein. Früher gab es nach § 28 Absatz 3b BDSG-alt ein echtes Kopplungsverbot. Dem Wortlaut nach gibt es in der neuen DSGVO ein solches Verbot nicht mehr. Dafür gibt es in Artikel 7 Absatz 4 DSGVO eine Regelung, welche die Zulässigkeit einer Kopplung festlegt. Aber den Begriff „Kopplungsverbot“ halte ich für falsch. Die Kopplung war und ist eine Frage der Freiwilligkeit. Das ist jetzt deutlich. Aus der Formulierung in der DSGVO schließe ich nun, dass die DSGVO davon ausgeht, dass es Kopplungen gibt, die zulässig sind. Wenn man auch mal überlegt, dass die DSGVO durchaus akzeptiert, dass Personen ihre eigenen Daten monetarisieren können, dann muss eine Kopplung ja zulässig sein. Nach dem Motto: Daten gegen Leistung. Deswegen bin ich der Meinung, dass man früher von einem Kopplungsverbot sprechen konnte, heute jedoch kein Verbot mehr geregelt ist. Aus deutscher Sicht kann die DSGVO insoweit als Liberalisierung gesehen werden. Denn was die Zulässigkeit betrifft, haben wir uns aus deutscher Sicht, auf ein EU-weit einheitliches aber insoweit weniger strenges Niveau begeben. Im Gegenzug haben wir durch die DSGVO zusätzlichen Aufwand durch die Dokumentationsanforderungen bekommen.
3. Die DSGVO gilt vielen als Sinnbild für überbordende Bürokratie und staatlichen Kontrollwahn – sehen Sie dies als berechtigte Kritik?
Ja, definitiv. Die DSGVO hat sehr, sehr viele gute Ansätze. Und der Ansatz durch Dokumentation und Organisation die Datenverarbeiter dazu zu zwingen, sich damit auseinanderzusetzen, was sie tun,
ist mit Sicherheit sinnvoll. Das Problem ist nur, dass die DSGVO aus der Sicht der praktischen Umsetzung übertreibt. Es gibt zu viele Regelungen, die sich mit überlagernden Aspekten der
Dokumentation beschäftigen und nur unterschiedlich formuliert sind. Gerade bei den Transparenzpflichten ist es gut gewollt, aber schlecht gemacht. Aus der Sicht des Datenschutzes macht es
sicherlich Sinn, dass Unternehmen sich aufgrund von Dokumentationspflichten nun damit auseinandersetzen müssen, wie sie Daten verarbeiten. Aber das hätte über eine interne Dokumentation genügt
anstatt übertrieben detailverliebte proaktive Informationspflichten zu schaffen. Die Nennung von Zweck der Verarbeitung und Art der Daten - also die Kerninformationen - hatte bereits im alten
Datenschutzrecht einen guten Ansatz. Wenn man aber heute einen Hinweis von einem durchschnittlichen Verbandunternehmen bekommt, dass alle Anforderungen erfüllt, und dieser Hinweis eine ½ bis ¾
Seite lang ist – jetzt mal Hand aufs Herz: lesen Sie das? Nein. Eine auf das wesentliche reduzierte und damit kürzere Information wäre durch die betroffenen Personen tatsächlich inhaltlich zur
Kenntnis genommen worden.
Kurzum: Die formalen Ansätze sind gut, sie sind wichtig, aber der „proof of concept“ fehlt.
4. Ist die DSGVO zum Nachteil der Bevölkerung?
Nein, ich denke trotz aller Verwirrung (denken wir an die Klingelschilder an Wohnungen in Wien…) bringt die DSGVO das Datenschutzrecht definitiv voran – zum Schutz der betroffenen Personen. Die DSGVO hat zwar Auswüchse an einigen Stellen, aber auf der anderen Seite muss man auch sehen, dass viele Unternehmen, die sich jetzt besonders hart getroffen fühlen, das nicht zu laut äußern sollten. Denn das sagt nur aus, dass sie die letzten 25 Jahre dem Datenschutzrecht keine Aufmerksamkeit gewidmet haben. Aus diesem Grund führt die DSGVO meines Erachtens einen Wandel herbei, der am Ende des Tages zum Vorteil der betroffenen Personen ist. Allerdings hätte man denselben Effekt auch mit weniger Belastung für die betroffenen Unternehmen haben können.
5. Ist es vielleicht sogar möglich die DSGVO als Wettbewerbsvorteil zu nutzen?
Das ist sehr schwer zu sagen. Wenn man aber von einem grundsätzlich Datenschutz-regulierten Bereich und einem zunehmend gesteigerten Bewusstsein für Privatsphäre ausgeht, dann haben wir mit Sicherheit einen Wettbewerbsvorteil. Grundsätzlich ist Datenschutz-Compliance sehr wohl ein Vorteil, den man sich durch frühzeitige Integration der DSGVO-Regulierungen in die Unternehmensprozesse verschaffen kann. Aber richtig, der Aufwand für Information und Dokumentation kostet Geld, das nicht anderweitig investiert werden kann. Die DSGVO hätte dasselbe Ziel auch weniger belastend erreichen können.
6. Wie kann ich als Unternehmer das Endkundenrecht, für das sich die DSGVO einsetzt, einhalten und dennoch mit meinen Nutzern in Kontakt treten und Produkte bewerben?
Jetzt wäre ich fast geneigt zu sagen: genauso wie bisher auch. Wenn sie Permission-basiert unterwegs sind, dann gilt dasselbe wie davor auch. Das einzige, was dazu kommt, ist eine erhöhte Transparenz bezüglich ihres Handelns – auch gegenüber den Werbeempfängern. Um es ganz banal zu sagen: wenn Sie einen Newsletter mit Werbeinhalten versenden, haben Sie früher eine Einwilligung gebraucht und diese brauchen Sie auch heute noch. Früher mussten Sie sagen, wer die Werbung schicken wird, für was Werbung versendet wird, dass sie per E-Mail kommen wird und dass Sie der Zusendung jederzeit widersprechen können. Das sind die grundsätzlichen Inhalte einer Werbeeinwilligung, die sich bis heute nicht verändert haben. Neu hinzugekommen sind die weiteren Informationspflichten gegenüber dem Einwilligenden. Diese sind sehr umfassend. Können aber im Zusammenhang mit der Einwilligung durch einen Link auf die entsprechenden Informationen erfüllt werden. Sprich: der letzte Teil des Textblocks ist neu hinzugekommen. Die Wege, wie ich zu meinem Kunden komme, sind aber gleichgeblieben. Es muss lediglich eine weitere kleine Schleife geflogen werden.
7. Welche wesentlichen Aspekte müssen mit Blick auf den Aufbau von Newsletter-Anmeldeseiten berücksichtigt werden?
Im Grunde muss nur eine aktive Handlung des Betroffenen integriert werden, um eine ausdrückliche Einwilligung zu erzielen. Ob das in Form einer Checkbox erfolgt oder auf anderem Wege, ist relativ gleichgültig. Das Problem ist nur, dass nicht jede Methode, die in der Vergangenheit angewendet wurde, rechtskonform war und es somit heute auch nicht ist.
8. Nach der DSGVO soll Anfang 2020 noch die ePrivacy-Verordnung kommen. Was wird das für Unternehmen bedeuten und worauf sollte man im Marketing bereits jetzt schon achten? Können Sie da schon was zu sagen?
Ab Mitte 2019 beginnt die Evaluierung der DSGVO, im Juli haben wir Beginn der EU-Ratspräsidentschaft, was bedeutet, dass Mitte 2019 weiterverhandelt wird, sodass es theoretisch Ende des Jahres die Trilogverhandlungen kommen könnten. Das wiederum würde bedeuten, dass die ePrivacy-Verordnung möglicherweise 2020 in Kraft tritt, dann aber erst voraussichtlich ab 2022 anzuwenden ist. Die jüngsten Impulse, die wir bezüglich der ePrivacy-Verordnung bekommen haben, sind allerdings nicht sehr ausgeprägt. Da der Status der Verhandlungen noch so weit von einem Finalisierungsstatus entfernt ist, bin ich geneigt zu sagen, dass man sich momentan noch auf nichts konkret einrichten kann. Die Diskussion zu verfolgen ist mit Sicherheit hilfreich, aber Genaueres lässt sich hier denke ich noch nicht sagen. Allerdings ist die Relevanz von Cookies, um die es in der ePrivacy-Ordnung geht, im E-Mail-Marketing stark überschaubar. Hier ist eher die Frage wichtig ob ich ein Profil des Nutzers anlegen darf oder nicht, welche wiederum durch die DSGVO definiert ist. Exorbitante Änderungen durch die ePrivacy-Verordnung sollten für das E-Mail-Marketing also nicht zu erwarten sein.
9. Zum Schluss die Frage: Denken Sie, die Aufregung kurz vor Inkrafttreten der DSGVO letzten Jahres hat sich gelohnt? Oder wurde aus der Sache ein zu großer Hype gemacht?
Dazu kann man ganz klar sagen, dass die Aufregung in weitesten Teilen vollkommen berechtigt war, da man zwei Jahre vertrödelt hat. Denn die DSGVO ist am 25.06.2016 in Kraft getreten, sodass zwei Jahre – bis zum 25.05.2018 – zur Anpassung bestanden. Das Problem war, dass man von einer unwirksamen Einwilligung zu einer wirksamen Einwilligung nicht in einer Hau-Ruck-Aktion in der Woche vor dem Anwendungsbeginn der DSGVO kommt. Das muss man anders machen, das muss man besser machen. Leider wurde hier unnötig viel Porzellan zerschlagen. Viele Reaktionen, die wir letztes Jahr erlebt haben, waren Panikreaktionen, zu denen es nicht hätte kommen dürfen, da man sich lange vorher darauf hätte vorbereiten müssen. In einigen Fällen haben unüberlegte Panikreaktionen die Situation für das Unternehmen sogar noch verschlechtert. Es muss verstanden werden, dass das Datenschutzrecht kein Hau-Ruck-Thema ist, sondern von Anfang an eingeplant werden muss. Dann erweist es sich aber beim E-Mail-Marketing auch nicht als zu hohe Hürde.