Im Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft und löst das bisher geltende Bundesdatenschutzgesetz (BDSG) ab. Sie enthält deutliche Veränderungen im Vergleich zur bisherigen Rechtslage bei der Nutzung personenbezogener Daten für Marketing und PR. Marketing- und PR-Abteilungen sollten daher die Zeit ab jetzt bis zum Inkrafttreten der DSGVO nutzen, um ihre Prozesse an die neue Rechtsordnung anzupassen und den hohen Bußgeldandrohungen der DSGVO zu entgehen.
Die bisherige Rechtslage
Personenbezogene Daten dürfen im Rahmen von Marketingmaßnahmen bisher grundsätzlich nicht verwendet werden, es sei denn, es liegt eine ausdrückliche gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen vor. Neben der sehr konkreten Erlaubnisnorm des § 28 Abs.1 Nr.1 BDSG, wonach Daten dann verarbeitet werden dürfen, sofern diese für ein Rechtsgeschäft unerlässlich sind – was im Rahmen von PR-Maßnahmen nur in den seltensten Fällen zur Anwendung kommt – ist die wichtigste Erlaubnisnorm zur Datennutzung § 28 Abs.1 Nr.2 BDSG, da sie jede Art der (sonstigen) Datennutzung legitimiert, soweit die Interessen des Unternehmens gegenüber denjenigen des Betroffenen überwiegen. § 28 Abs. 3 BDSG regelt darüber hinaus speziell die Datennutzung zu Werbezwecken (sog. Listendatenprivileg). Die werbliche Datennutzung ist demnach auch dann zulässig, wenn die Daten listenmäßig oder anderweitig zusammengefasst sind und die Zusammenfassung sich auf eine Personengruppe bezieht. Ist der Anwendungsbereich des Listendatenprivilegs eröffnet, gelten für sie niedrigere Anforderungen im Rahmen der Datennutzung.
Wann ist die Datennutzung zu Marketingzwecken nach der DSGVO zulässig?
Auch die DSGVO verlangt grundsätzlich einen Erlaubnistatbestand, um personenbezogene Daten für Marketing und PR zu nutzen. Diese sind v.a. in Art. 6 DSGVO geregelt. Wichtigste Anwendungsfälle für den Werbebereich sind hier Abs. 1 a (=Einwilligung der betroffenen Person) und Abs.1 f. (=Interessenabwägung).
Im Ergebnis also durchaus „alte Bekannte“, die allerdings mit neuen Anforderungen aufwarten.
Allgemein sind die Informationspflichten gegenüber der betroffenen Person im Vergleich zum BDSG deutlich gestiegen. So regelt Art. 13 DSGVO, dass der betroffenen Person unter anderem die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck und die Dauer der Datenverarbeitung ebenso wie die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden. Ebenso ist die betroffene Person auf Auskunfts- und Widerspruchsrechte sowie die weiteren Betroffenenrechte hinzuweisen. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden.
Einwilligung
Auch hinsichtlich der Einwilligung gibt es einige Neuerungen. Generell muss die Einwilligung, wie auch bisher, auf Freiwilligkeit der betroffenen Person beruhen. Eine Neuerung gibt es in Art. 7 Abs. 4 DSGVO – das sog. Koppelungsverbot – eine Freiwilligkeit der Einwilligung ist danach in den Fällen fraglich, bei denen die Einwilligung beispielsweise mit der Erbringung einer Dienstleistung (z.B. technische Wartungsarbeiten) gekoppelt wird, obwohl die Einwilligung in die Datenerhebung oder -verarbeitung für die Erbringung der Dienstleistung gerade nicht erforderlich ist.
Ebenfalls ändert sich die Form der Einwilligung – wobei hier die Anforderungen gegenüber der alten Rechtslage, die generell von einem schriftlichen Einwilligungserfordernis ausging, gelockert wurden. Möglich ist grundsätzlich eine mündliche, schriftliche oder elektronische Einwilligung. Des Weiteren wird auch der offene Rechtsbegriff des „sonstigen eindeutigen Einverständnisses“ gebraucht, sodass es Unternehmen durchaus möglich ist, neue Wege der Einwilligung zu etablieren, wenn diese von Rechtsprechung und Praxis bestätigt werden. Wichtig für die Praxis ist nach wie vor, dass die Einwilligung dokumentiert wird, sodass das datenverarbeitende Unternehmen diese im Bestreitensfall nachweisen kann. Ein gutes und nachweisbares Permission-Konzept ist also nach wie vor das Mittel der Wahl und ist auch im Hinblick auf den Nachweis der wettbewerbsrechtlichen Einwilligung unerlässlich.