7 datenschutzrechtliche Herausforderungen beim Einsatz von...
Erhalten Sie Tipps zu einer rechtskonformen Nutzung und datenschutzrechtlichen Herausforderungen im Zusammenhang mit dem Einsatz von KI.
Inhaltsverzeichnis:
1. Warum muss eine Einwilligung nachgewiesen werden?
2. Best Practice: Double-Opt-In-Verfahren für E-Mail-Werbung
3. Anforderungen an die Double-Opt-In Bestätigungsmail
4. Impressum und Co. nicht vergessen!
5. Finger weg von Werbung in der Bestätigungsmail!
6. Welche Informationen müssen Sie bei einer Einwilligung protokollieren?
7. Was gilt bei Werbeanrufen?
8. Unser Tipp
Diesen Artikel jetzt als Podcast anhören
Seit Inkrafttreten der DSGVO spielen Einwilligungen in die Verarbeitung personenbezogener Daten eine zentrale Rolle. Ob beim Newsletter-Versand, Werbeanrufen oder Werbe-SMS – grundsätzlich ist das Einholen einer vorherigen, informierten, ausdrücklichen Einwilligung des Empfängers erforderlich.
Doch Vorsicht: Mit dem Einholen einer Einwilligung ist das Pflichtprogramm für den Werbetreibenden noch nicht erfüllt. Denn daneben bestehen Nachweispflichten!
Was es damit auf sich hat und wie Ihnen die Nachweispflichten gelingen, erfahren Sie in diesem Rechtstipp der Woche.
Warum muss eine Einwilligung nachgewiesen werden?
Art. 7 Abs. 1 DSGVO bestimmt:
„Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“
Art. 7 Abs. 1 DSGVO verpflichtet den Verantwortlichen also dazu, nachweisen zu können, dass der Betroffene in die Verarbeitung seiner Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht.
Kurz gesagt: Wer sich auf die Einwilligung stützt, muss diese auch nachweisen können!
Durch diese Nachweispflicht sollen sowohl der Verantwortliche als auch der Betroffene vor Falschbehauptungen geschützt werden und Transparenz geschaffen werden. Außerdem wird dadurch festgelegt, dass bei einem Rechtsstreit der Verantwortliche die Beweislast für das Vorliegen einer Einwilligung trägt.
Achtung: Kann der Nachweis einer Einwilligung nicht geführt werden, so gilt die Einwilligung als nicht bzw. nicht wirksam erteilt. In diesem Falle drohen sowohl im B2C als auch im B2B-Verkehr neben hohen Bußgeldern und Schadensersatzansprüchen auch wettbewerbsrechtliche Abmahnungen!
Best Practice: Double-Opt-In-Verfahren für E-Mail-Werbung
Um kein Bußgeld oder Schadensersatz aufs Spiel zu setzen, sollte eine Einwilligung im Streitfall also unbedingt nachgewiesen werden können. Die DSGVO sieht allerdings nicht vor, in welcher konkreten Form die Nachweisführung zu erfüllen ist.
In der Praxis hat sich zum Nachweis der Einwilligung in E-Mail-Werbung aber das sog. Double-Opt-In-Verfahren als Kombination aus eindeutig bestätigender Handlung und angemessener Nachweisführung über die Identität des Erklärungsgebers etabliert.
Dieses Verfahren gliedert sich in zwei Stufen:
- Im ersten Schritt wird die Einwilligung des späteren Empfängers in die Verarbeitung personenbezogener Daten abgegeben. Hierzu wird von dem (späteren) Empfänger meist ein Bestätigungslink in den Erhalt von E-Mails aktiviert.
- Im zweiten Schritt bestätigt der spätere Werbe-Empfänger seine Einwilligung.
Konkret bedeutet dies, dass ihm nach der Eintragung seiner E-Mail-Adresse und der Erklärung der Zustimmung eine E-Mail zugesendet wird, in der er aufgefordert wird, entweder durch eine Antwort-E-Mail oder durch Anklicken eines Hyperlinks die Einwilligung zu bestätigen.
Durch dieses Verfahren wird verhindert, dass bei einer Anmeldung missbräuchlich beliebige oder fremde Kontaktdaten eingegeben werden.
Die Idee zum Nachweis beruht darauf, dass nur der spätere Empfänger der Werbe-E-Mails in seinem E-Mail-Account auf die Bestätigungsanfrage reagieren konnte. Außerdem erhält der Verwender der E-Mail-Adresse durch das Aktivieren des Bestätigungslinks einen Nachweis darüber, dass die späteren Werbemails tatsächlich auch an das Konto des Einwilligenden versendet werden.
Anforderungen an die Double-Opt-In Bestätigungsmail
Die Bestätigungsmail darf ausschließlich die Aufforderung zur Bestätigung der Einwilligung enthalten. Beispielsweise empfiehlt sich folgender Text:
„Guten Tag, vielen Dank für Ihre Anmeldung zum Newsletter. Bitte bestätigen Sie die Anmeldung über den nachfolgenden Link: >Bestätigungslink<. Sollte der Link nicht klickbar sein, kopieren Sie ihn bitte in die Adressleiste Ihres Browsers. Viele Grüße"
Der Bestätigungslink innerhalb der Double Opt-In Bestätigungsmail sollte nur für einen bestimmten Zeitraum gelten (z. B. 1-2 Tage). Nach Ablauf der Frist sollte die Anmeldemöglichkeit zum Newsletter entfallen. Die hinterlegten E-Mail-Adressen müssen Sie dann löschen.
Impressum und Co. nicht vergessen!
Für die Bestätigungsmail müssen Sie ein vollständiges Unternehmensimpressum darstellen. Für den Empfänger muss klar sein, wer der Absender der E-Mail ist. Kommen Sie diesem Erfordernis nicht nach, riskieren Sie kostspielige Abmahnungen (vgl. AG Potsdam, Beschl. v. 17.02.2021 - 24 C 58/21).
Außerdem ist es erforderlich, dass Sie die betroffene Person über die Datenerhebung und Datenverarbeitung nach Art. 13 DSGVO informieren. Die in Art. 13 DSGVO geforderten Angaben müssen Sie zum Zeitpunkt der Erhebung der Daten zur Verfügung stellen. Aus datenschutzrechtlicher Sicht ist es sinnvoll auf die Datenschutzerklärung mittels transparenter Verlinkung zu verweisen.
Zudem müssen Sie dem Empfänger nach Art. 7 Abs. 3 DSGVO jederzeit den Widerruf der Einwilligungermöglichen.
Danach muss der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein. Hat also jemand eine Einwilligung per Klick erteilt, muss er sich auch per Klick wieder abmelden können und darf z. B. nicht dazu verpflichtet werden, sich per Post wieder abzumelden.
Wie Sie Newsletter rechtssicher gestalten können, erfahren Sie in diesem Rechtstipp der Woche.
Finger weg von Werbung in der Bestätigungsmail!
Die Bestätigungsmail darf nur die Aufforderung zur Bestätigung der Einwilligung enthalten, nicht aber weitere werbliche Elemente.
- Das LG Stendal entschied, dass bereits die Verwendung eines Logos, des Spruchs „Welcome to…“sowie des Satzes „Hast du Fragen zum Newsletter? Kontaktiere uns über…“ als werblich und ohne vorherige Einwilligung als unzulässig einzustufen sei.
- Außerdem entschied das LG Berlin (Beschl. v. 03.08.2020 - 16 O 349/20), dass schon ein Unternehmensslogan in der Bestätigungsmail als unzulässige Werbung einzustufen sei. Hingegen entschied das AG Frankfurt a.M., dass ein Logo in der E-Mail-Signatur noch nicht als Werbung einzustufen sei.
Angesichts dieser Rechtsprechung empfiehlt es sich, Bestätigungs-E-Mails im Rahmen des Double-Opt-In äußerst zurückhaltend zu gestalten. Grundsätzlich sollten sich solche E-Mails darauf beschränken, die Bestätigung der Einwilligung abzufragen. Darüberhinausgehende Elemente, die Kundeninteresse erzeugen oder erzeugen könnten, sollten aus Gründen der Rechtssicherheit unterlassen werden.
Welche Informationen müssen Sie bei einer Einwilligung protokollieren?
Um eine Einwilligung nachweisen zu können, muss die konkrete Einwilligung jedes einzelnen Empfängers vollständig dokumentiert werden. Im Fall einer elektronisch übermittelten Einwilligung wird deren Speicherung und die jederzeitige Möglichkeit eines Ausdrucks vorausgesetzt.
Folgende Informationen sollten Sie protokollieren:
- die Eintragung zur Werbung, z. B. in den Newsletter-Versand
- den Einwilligungstext, also der Inhalt der Bestätigungsmail
- ein Identifikationsmerkmal des Betroffenen (z. B. die E-Mail-Adresse)
- die Eingabezeitpunkte („Timestamp“), also Datum und Uhrzeit
- die Speicherung der IP-Adresse für die Einholung der Einwilligung zum Newsletterversand zum Zwecke der Protokollierung wird hingegen als unergiebig für den Nachweis angesehen!
Was gilt bei Werbeanrufen?
Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren. Zusätzlich müssen Sie der zuständigen Verwaltungsbehörde den Nachweis auf Verlangen unverzüglich vorlegen (§ 7a UWG).
Um diesen Prozess so einfach wie möglich zu halten, denkt der erfahrene Online-Shop hier natürlich sofort an ein Double-Opt-In-Verfahren per E-Mail. Aber ist das außer für E-Mail-Werbung auch für Telefonwerbung möglich?
Der Bundesgerichtshof (Urteil vom 10.2.2011, I ZR 164/09) hat entschieden, dass ein Double-Opt-In in den Erhalt von Telefonwerbung, der per E-Mail durchgeführt wird, nicht ausreicht. Es sei nicht sichergestellt, dass der Inhaber der Telefonnummer derselbe ist, wie der der E-Mail-Adresse. Sprich: Es darf kein „Medienbruch“ bei der Durchführung des Opt-Ins erfolgen.
Weitere Informationen zu Werbeanrufen finden Sie in diesem Rechtstipp der Woche.
Unser Tipp
Wenn Sie personenbezogene Daten infolge einer Einwilligung verarbeiten, müssen Sie dies nachweisen können! In Hinblick auf E-Mail-Werbung ist die einzige praxisbewährte Nachweismethode ein Double-Opt-In, weil dadurch auch ein E-Mail-Adressen-Abgleich durchgeführt wird. Achten Sie in Ihrer Bestätigungs-E-Mail unbedingt auf die inhaltlichen Anforderungen und vermeiden Sie werbliche Elemente. Auf diese Weise können Sie das Abmahn-Risiko für E-Mail-Einwilligungen minimieren.
Über die Autorin
Tetiana Popova ist Wirtschaftsjuristin und als Legal Consultant bei Trusted Shops tätig. Ihr Bachelorstudium des Wirtschaftsrechts sowie Masterstudium des Medienrechts und Medienwirtschafts hat sie an der Technischen Hochschule Köln absolviert. Sie betreut die Trusted Shops Legal Produkte und setzt sich intensiv mit den für Online-Shops relevanten Rechtsgebieten, wie Datenschutz- und E-Commerce-Recht auseinander.
01.09.22
