Grundsätze und Rechtmäßigkeit der Datenverarbeitung
Seit Geltung der Europäischen Datenschutz-Grundverordnung (DSGVO) müssen alle Verantwortlichen für die Verarbeitung von personenbezogenen Daten teils neue Grundsätze beachten, um datenschutzrechtlich korrekt zu handeln. Diese Grundsätze sind nach Art. 5 DSGVO:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Der erste Grundsatz besagt bereits, dass die Verarbeitung personenbezogener Daten nur dann erlaubt ist, wenn sie rechtmäßig ist, also auf eine der gesetzlich abschließend vorgegebenen Rechtsgrundlagen gestützt werden kann. Es gibt unterschiedliche Szenarien, die die Rechtmäßigkeit der Verarbeitung ausrufen. Die für Marketing- und Werbemaßnahmen wohl zentrale Erlaubnisform ist in Art. 6 lit. f DSGVO beschrieben:
„[...] die Verarbeitung ist zur Wahrung der berechtigten Interessen der Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Weitere Bedingungen zur Rechtmäßigkeit der Verarbeitung personenbezogener Daten sowie ausführliche Erläuterungen der Grundsätze zur Datenverarbeitung finden Werbetreibende und Datenschutzverantwortliche im Buch „Datenschutz 2024“. Neben den reinen Fakten beinhaltet das Buch kommentierte Hilfestellungen zur Umsetzung der relevanten Datenschutzanforderungen. Speziell für Website-Betreiber gefilterte Informationen sowie hilfreiche Vorlagen bietet die „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“.
Anforderungen an die Interessenabwägung zugunsten von Werbetreibenden
Die Bedingung für die Rechtmäßigkeit der Datenverarbeitung, die Art. 6 lit. f DSGVO beschreibt, erfasst grundsätzlich sämtliche Werbemaßnahmen – wie die Übermittlung von Daten oder den geschäftsmäßigen Adresshandel –, solange (wie oben beschrieben) das Anliegen des Werbetreibenden oder eines Dritten die Rechte der betroffenen Person überwiegen. Es muss also ein sog. „berechtigtes Interesse“ seitens des Werbetreibenden vorliegen bzw. nachgewiesen werden.
Um so ein „berechtigtes Interesse“ begründen zu können, müssen Verantwortliche für jeden Einzelfall eine Interessenabwägung vornehmen. Erwägungsgrund 47 DSGVO stellt diesbezüglich vorab klar, dass
- die Datenverarbeitung zum Zwecke der Direktwerbung grundsätzlich als Verarbeitung gilt, die einem berechtigten Interesse dient;
- die vernünftigen Erwartungen der betroffenen Person, „die auf ihrer Beziehung zu dem Verantwortlichen beruhen“, zu beachten sind. Die Anforderungen an die Transparenz der Datenverarbeitung spielen hier eine bedeutende Rolle.
Für die Interessenabwägung sind u. a. auch folgende Faktoren relevant:
- Art der Daten
- Bereich der Datenverarbeitung (B2C oder B2B)
- Angemessenheit der Datenverarbeitung für den jeweiligen konkreten Zweck
- Bindung der betroffenen Person zum Werbetreibenden
- Nachvollziehbarkeit der Datenverarbeitung für die betroffene Person
- Einbeziehung der Vorgaben des Wettbewerbsrechts
Grundsätzlich nicht zulässig ist es z. B., das Kundenverhalten umfassend zu tracken. Denn das Sammeln von Kundendaten aus sozialen Netzwerken und anderen Quellen zur Profilbildung widerspricht dem Grundsatz der „vernünftigen Erwartung“ des Betroffenen aus Erwägungsgrund 47 DSGVO.
Hinweis: Um den Aufwand der Interessenabwägung zu umgehen, sehen viele Werbetreibende in der datenschutzrechtlichen Einwilligung eine heilbringende Universallösung für die Rechtmäßigkeit der Verarbeitung. Dabei sollten sie jedoch beachten, dass sie im Falle eines Widerrufs des Betroffenen keine Möglichkeit mehr haben, auf eine alternative Rechtsgrundlage zurückzugreifen, wenn sie von vornherein auf eine Einwilligung setzen („Rückgriffsverbot“). Der Kontakt kann dann nicht mehr beworben werden.
Kernanforderungen an eine wirksame Einwilligung nach DSGVO
Die DSGVO definiert in Art. 4 Nr. 11 die Kernanforderungen an eine datenschutzrechtlich wirksame Einwilligung. Demnach muss die Einwilligung „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegeben werden. Das kann in Form einer „Erklärung oder einer sonstigen eindeutig bestätigenden Handlung“ erfolgen, „mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Der Werbetreibende muss demnach sicherstellen, dass die Einwilligung (egal, ob elektronisch oder schriftlich)
- freiwillig erfolgt. Die betroffene Person muss also eine echte und freie Wahl haben, der Bewerbung zuzustimmen oder diese zu verweigern, ohne dadurch Nachteile zu erleiden. Außerdem muss der Werbetreibende die Möglichkeit eines Widerrufs integrieren, der sich an der Art der Einwilligung zu orientieren hat. Es geht z. B. nicht, sich eine Einwilligung durch das Setzen eines Kreuzchens einzuholen und dann vom Betroffenen zu verlangen, einen schriftlichen Widerruf zu schreiben.
- für den bestimmten Fall eingeholt wird. Für jeden Verwendungszweck muss demnach eine gesonderte Einwilligung erfolgen. Das können Werbetreibende z. B. durch einzelne ankreuz- und anklickbare Kästchen für jeden Zweck realisieren. Es ist dagegen nicht notwendig, für jede Einwilligungserklärung ein separates Dokument bzw. Formular zu erstellen.
- in informierter Weise abgegeben wird. Die Grundvoraussetzung für eine wirksame Einwilligungserklärung ist, dass die betroffene Person die Sachlage kennt. An dieser Stelle sollte der Werbetreibende so transparent wie möglich arbeiten und folgende Informationen vermitteln:
- Identität des Verantwortlichen für die Datenverarbeitung
- Zwecke der Verantwortung
- Information über die verarbeiteten Datenkategorien
- Widerrufsrecht
- nach Ansicht der deutschen Aufsichtsbehörden außerdem: Art der Werbung, die beworbenen Produkte oder Dienstleistungen, werbende Unternehmen
- unmissverständlich erfolgt. Das heißt, der Einwilligung muss eine eindeutige Handlung der betroffenen Person vorausgehen, z. B. das bewusste Setzen eines Häkchens. Daher erfüllen vorangekreuzte Kästchen die datenschutzrechtlichen Anforderungen nicht.
Weiterführende Informationen zur datenschutzrechtlichen Umsetzung der Transparenzpflichten im Marketing-Bereich enthält das Buch „Datenschutz 2019“, das fortwährend aktualisiert wird.
Nachweisbarkeit der Einwilligung für Werbezwecke
Gerade, wenn die Einwilligung in die Datenverarbeitung elektronisch erfolgt ist, stellt sich die Frage der Nachweisbarkeit der Einwilligungserklärung. Gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche nämlich nachweisen können, dass die betroffene Person wirklich in die Verarbeitung der personenbezogenen Daten eingewilligt hat.
Da allein das Setzen eines Häkchens oder die Angabe einer E-Mail-Adresse nicht sicher belegen können, dass die Einwilligung tatsächlich von der betroffenen Person stammt, wenden Online-Werbetreibende das sog. Double-Opt-in-Verfahren an.
Quellen: „Datenschutz 2019“, „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“