Marketing

Öffentliche Register - wie im vorliegenden Fall das der Lobbys

Kontaktaufnahme mit Daten aus öffentlichem Register

Die Deutsche Gesellschaft für Politikberatung (degepol) hat eine Verwarnung wegen Datenschutzverstoßes von der Berliner Beauftragten für Datenschutz und Informationsfreiheit erhalten. In diesem Zuge erfolgte die Klarstellung, dass die Gewinnung von Daten aus öffentlichen Registern nicht zu jedem Zweck – wie etwa dem Versand personalisierter Werbung – zulässig ist. Dies hat Auswirkungen sowohl auf die werbliche Kontaktaufnahme als solche als auch auf Umfragen, die mit Hilfe solcher Informationen durchgeführt werden, im vorliegenden Fall gegenüber Lobbys.

Beschwerde durch Betroffenen aus Lobbys 

Im vorliegenden Fall waren Verbände / deren Vertreter aus dem öffentlichen Register über Lobbys des Bundestags mittels Tabellenexport in Excel angeschrieben und zu Umfragen eingeladen worden. Die zugrunde liegende Beschwerde wurde durch einen Betroffenen Lobby-Angehörigen eingegeben. 

Quellenangaben 

Die Daten aus dem Lobby-Register seien von der degepol an den Dienstleister onlineumfragen.com weitergegeben worden für den Versand von Anschreiben mit personalisierter Anrede und ohne Hinweis auf Datenquellen. Unter anderem hierin wurde ein Datenschutzverstoß gesehen. Eine Quellenangabe habe mit dem ersten Anschreiben erfolgen müssen und wurde auch in der verlinkten Datenschutzerklärung vermisst – so die Datenschutzaufsicht.  

Namen von Lobbyisten

Die Berliner DSB zog ein berechtigtes Interesse der Deutschen Gesellschaft für Politikberatung in Zweifel, nach dem diese die Daten zur Anfertigung einer „aussagekräftigen Studie“ zu Honorarzahlungen in der Lobbywelt Deutschlands für erforderlich hielt. Ferner wurde moniert, dass in diesem Zusammenhang Namen Angehöriger von Lobbys ohne Notwendigkeit verarbeitet worden seien.

„Weitere aufsichtsrechtliche Mittel“, auch für einen Wiederholungfall, schloss die Datenschutzbehörde nicht aus. Generell gesprochen kann es sich bei solchen etwa um Vor-Ort-Prüfungen, die Anordnung von Maßnahmen oder die Verhängung von Bußgeldern handeln, um einige Befugnisse der unabhängigen Datenschutzbehörden zu nennen.

Register des Bundestags 

Der Bundestag hat bisher kein verbindliches Verzeichnis hierzu herausgegeben. Das Register des Bundestages über Lobbys umfasst momentan über 2300 Einrichtungen, „die eine Aufnahme von sich aus beantragt“ hätten, um ihre Tätigkeiten damit transparent machen zu wollen. 

Sicher auch aus Datenschutzsicht eine begrüßenswerte Intention. 

EuGH nimmt Webseitenbetreiber bei Facebooks Like Button in die Pflicht

EuGH Urteil C-40/17 zu Facebooks Like Button

Am Montag, 29.07.2019 verkündete der EuGH in seinem Urteil C-40/17 eigentlich wenig Überraschendes. Das einfache Einbinden von aktiven Social Media Komponenten wie dem Facebook Like Button (um den ging es hier konkret), ist dann doch nicht so einfach, wie es sich manch Webseitenbetreiber erhofft.

Die Crux am Facebook Like Button

Als aktiver Inhalt überträgt der Facebook Like Button bereits beim Öffnen der Webseite Daten des Seitenbesuchers an Facebook. Dies geschieht, wenn keine weiteren Vorkehrungen seitens des Webseitenbetreibers getroffen werden, noch bevor der Seitenbesucher über diese Art der Datenweitergabe informiert wurde oder (und hier bleibt ein weiteres Urteil abzuwarten) in die Weitergabe eingewilligt hat.

Ursprünglich als komfortable Möglichkeit gedacht, Inhalte der besuchten Webseite schnell in Facebooks Netzwerk durch den Besucher teilen zu lassen und damit eine höhere Reichweite für die eigene Webseite zu erzielen, bringt diese Komfortfunktion jetzt Mehraufwand für den Betreiber der Webseite mit sich.

Empfehlung zur Umsetzung bzw. Einbindung des Facebook Like Button in die eigene Webseite

Organisationen, die bereits den aktiven Facebook Like Button auf der Webseite nutzen oder dies in naher Zukunft planen, sollten als Reaktion auf das EuGH Urteil zum Facebook Like Button nun reagieren. So gilt es, die Angaben zu den Informationspflichten bzw. die Datenschutzerklärung um die Punkte Erhebung und Weiterleitung von Besucherdaten an Facebook zu ergänzen, sofern noch nicht erfolgt.

Noch offen ist bzw. diskutiert wird die Frage, ob eine Einwilligung des Besuchers für die Erhebung und Weitergabe an Facebook notwendig ist oder ob (zumindest nicht-öffentliche Stellen) auf das sog. berechtigte Interesse abstellen können. In den aktuellen Diskussionen kristallisiert sich hier jedoch eine Mehrheitsmeinung heraus, die eine aktive Einwilligung wie z.B. bei den bereits gut verbreiteten 2-Klick-Lösungen bevorzugt bzw. voraussetzt.

2-Klick-Lösungen für die eigene Webseite

Wer also so gar nicht ohne Facebooks Like Button auf der eigenen Webseite auskommen kann, dem stehen mit diesen Lösungen praktische Helferlein zur Verfügung. Bekannt sind z.B. die beiden c’t Projekte Embetty und Shariff. Für zahlreiche Content Management Systeme wie WordPress stehen fertige Plugins zur Verfügung, die relativ einfach in die Webseite einzubinden sind und den herkömmlichen Like Button ersetzen. Optisch durchaus an das Original angelehnt, verfügt dieser erst mal über keine aktiven Inhalte. Erst nach einem ersten Klick auf den Button, der Anzeige und Bestätigung durch einen weitern Klick, um die aktiven Inhalte zu starten, beginnt die Erhebung und Weitergabe an Facebook. Die meisten 2-Klick-Lösungen können entsprechend auch mit anderen aktiven Connectoren zu weiteren sozialen Netzwerken umgehen.

Das Urteil des EuGH fußt noch auf der früheren EU Datenschutz-Richtlinie 96/45. Da die Grundsätze in der DSGVO jedoch nicht sonderlich abweichen, dürfte sich in der Anwendung des EuGH Urteils wenig ändern.

Cookie Opt-In wird Pflicht – Abmahnrisiko steigt

Für viel weitreichender als die konkreten Anmerkungen zu Facebooks Like Button halten wir die Aussage des EuGH, das Cookies einwilligungspflichtig sind. Damit setzt der EuGH hier ein deutliches Signal zu den bisherigen Unsicherheiten aus der Cookie Richtlinie. Die Randbemerkungen 88-90 haben es hier deutlich in sich. Details hierzu lesen Sie aus kompetenter Feder des RA Thomas Schwenke in seinem Blogbeitrag. Und nehmen Sie das Thema bitte nicht auf die leichte Schulter.

Unsere Bestandskunden haben wir zum Thema Cookies im Rahmen eines Pakets mit weiteren Informationen zur Umsetzung ausgestattet. Lesern unseres Blogs empfehlen wir den oben verlinkten Beitrag von Schwenke.

 

Verfallsdatum von Einwilligungen

Unterliegen Einwilligungen einem Verfallsdatum?

Eine Frage, die immer wieder an uns gestellt wird: „Wie lange ist eine ein mal erteilte Einwilligungen z.B. für einen Newsletter-Empfang denn gültig?“ Wir haben uns mal auf die Suche nach belastbaren Aussagen dazu gemacht. Denn nicht erst seit der DSGVO ist dieses Thema immer wieder Gegenstand von Anfragen bei uns.

Beschränkt die DSGVO die Gültigkeitsdauer von Einwilligungen?

Erste Anlaufstelle ist natürlich stets das Gesetz. Die DSGVO äußert sich zum Thema Einwilligungen in Art. 7 Bedingungen für die Einwilligung (externer Link). Den einzigen Anhaltspunkt zur Gültigkeitsdauer einer Einwilligung finden wir in Abs. 3:

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Somit sind Einwilligungen wohl bis auf Widerruf gültig und der Widerruf dann auch nur für die Zukunft möglich. Auch der Zweckbindungsgrundsatz aus Art. 5 DSGVO steht dieser Auslegung nicht entgegen, sofern keine grundsätzliche Zweckänderung vorliegt. In diesem Fall sollte die Gültigkeit von Einwilligungen auf jeden Fall stets überprüft werden.

Neben der datenschutzrechtlichen Einwilligung ist bei einer Einwilligung zu Werbezwecken auch das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) (externer Link) zu berücksichtigen. So schreibt § 7 Abs. 2 Nr. 3 UWG (externer Link) eine Einwilligung zu Werbezwecken im Sinne des UWG für Werbung per Email vor. Von einem Ablaufdatum ist hier jedoch keine konkrete Rede.

Was sagen die Gerichte zum Thema Gültigkeitsdauer von Einwilligungen?

Hier wird es nun etwas widersprüchlich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Aktenzeichen 104 C 227/15 (externer Link) wird konkret für den Fall von Werbe-Mails ein Verfall der Gültigkeit von 4 Jahren genannt. Dem entgegen steht ein Urteil des Bundesgerichtshof vom 01.02.2018 mit dem Aktenzeichen III ZR 196/17 (externer Link), nach dem ein Newsletter Opt-In nicht allein durch Zeitablauf erlischt (Seiten 15, 16; Randnummern 30-32).

Ja was denn nun? Ablauf der Gültigkeit einer Einwilligung oder nicht?

Aktuell sprechen wohl mehr Argumente dafür, dass es kein Ablaufdatum für gültige Einwilligungen gibt. Dennoch sollten weitere Urteile zu dem Thema konkret beobachtet und im Zweifel herangezogen werden. Eine gute Übersicht über die Argumente pro und kontra Verfall von Einwilligungen finden Sie auch auf unserem Partnerblog (externer Link).

Email-Werbung ohne schriftliche Einwilligung – geht das überhaupt?

Keine Email-Werbung ohne Einwilligung

Oft werden wir als Datenschutzbeauftragte gefragt, ob für Email-Werbung  oder Werbung per SMS eine schriftliche Einwilligung wirklich notwendig ist. Dabei wird übersehen, dass hier das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) der erste Spielverderber ist. Das allgemeine Datenschutzrecht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Nummer 3 des UWG wird Email-Werbung zusammen mit SMS- und Telefax-Werbung grundsätzlich als unzumutbare Belästigung im Sinne des UWG eingestuft. Daher ist Email-Werbung nur mit ausdrücklicher (vorheriger schriftlicher) Einwilligung der betroffenen Person erlaubt. Mit der wettbewerbsrechtlichen Zulässigkeit steht und fällt zugleich auch die datenschutzrechtliche Zulässigkeit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Werbung ohne vorherige schriftliche Einwilligung kann in einer einzigen Ausnahme möglich sein. Diese Ausnahme beschreibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Verbraucher, aber auch Werbetreibende können sich in dem frei verfügbaren und aktualisierten Merkblatt „Was Sie gegen unerwünschte Werbung tun können“ (Stand 10. Mai 2017) informieren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auffassung des Landesbeauftragten ist Email-Werbung ohne (vorherige) schriftliche Einwilligung möglich nach § 7 Absatz 3 UWG, wenn der Werbetreibende (also das Unternehmen) schriftlich alle nachfolgenden Voraussetzungen nachweisen kann (Original-Zitat aus dem Merkblatt):

  • Er hat die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  • er verwendet die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen,
  • der Kunde hat der Verwendung nicht widersprochen und
  • der Kunde wurde bei Erhebung der Email-Adresse und wird bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen (in der Regel ist hiermit ein Abmeldelink gemeint).

Verbraucher können zur Wahrnehmung ihrer Rechte bei unzulässiger Werbung konkrete Handlungsanweisungen zur Abwehr und Reaktion gegen das werbende Unternehmen aus dem Merkblatt entnehmen. Werbetreibenden ist diese Übersicht sehr zu empfehlen. Sie können damit prüfen, ob die eigenen Gepflogenheiten dem aktuellen Recht entsprechen oder eventuell Abmahnung, Bußgelder und weiteres Ungemach drohen. Das die Datenschutzbehörden hier keinen Spaß mehr verstehen, haben Sie bereits früher klar zum Ausdruck gebracht – siehe früheren Blog-Beitrag.

Bitte beachten Sie: Wir beziehen uns hier auf die Aussagen in dem verlinkten Merkblatt und führen selbst keine Rechtsberatung zum UWG durch. Sollten die Inhalte des Merkblatts nicht korrekt (wiedergegeben) sein, übernehmen wir keine Haftung.

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor-, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht – Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!