DSGVO-Sprechstunde

• Art. 3 DSGVO stellt auf die Europäische Union ab
• Die Macht, den Datenschutz etwa in Asien oder Nordamerika zu regeln, hat die EU nicht.
• Art. 3 DSGVO enthält ein Marktortprinzip: danach gilt die DSGVO auch für Unternehmen in Drittländern, wenn diese Waren oder Dienstleistungen für EU-Bürger anbieten.

Als Unternehmen unterliegen wir den für uns geltenden Rechtsvorschriften. Die Datenschutzgesetze der evangelischen und katholischen Kirche gelten für uns nicht direkt. Da die Datenschutzgesetze der evangelischen und katholischen Kirche nach der Überarbeitung an die DSGVO angepasst wurden, sehen wir hier keine grundlegenden Probleme.

Grundsätzlich muss die Einwilligung für den konkreten Fall erteilt werden. Damit ist nicht gemeint, dass die Einwilligung bezogen auf jede einzelne Werbeaussendung erneut erteilt werden muss. Allerdings muss die Einwilligung (auch) auf die konkrete Werbeaussendung bezogen sein. An einer Einwilligung für den konkreten Fall fehlt es etwa, wenn ein Fußballverein seine E-Mail-Adresse auf der Website veröffentlicht hat (BGH, NJW 2008, 2999 – FC Troschenreuth). Der Verein erwartet allenfalls Anfragen zum Spielbetrieb oder Vereinsaktivitäten, nicht jedoch zu vereinsfremden Leistungen.

An einer Einwilligung fehlt es auch, wenn der Teilnehmer eines Seminars seine E-Mail- Adresse in die Teilnehmerliste eingetragen hat (LG Gera, WRP 2012, 1468). Er hat dann eben keine Einwilligung erklärt. Das Auslegen einer Seminarliste andererseits mit der Aufforderung sich einzutragen, wenn man den Newsletter empfangen möchte, ist hinreichend konkret, wenn klar wird, von welchem Unternehmen der Newsletter versendet werden wird.

BGH, Urteil vom 01.02.2018 – III ZR 196/17: „Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt“. Im Ergebnis halte ich Werbung per Mail für zulässig, wenn es keinen Grund gibt, am ursprünglich geäußerten Einverständnis des Verbrauchers zu zweifeln. Dieser Grund könnte der Umstand sein, dass die Einwilligung länger als anderthalb Jahre her ist und in diesem Zeitraum keine Werbung verschickt worden ist. Das hat das Landgericht Berlin vor Einführung der DSGVO mal so gesehen (LG Berlin, Urteil vom 09.12.2011 – 15 O 343/11). Ob das jetzt noch so ist, ist fraglich. Es handelt sich um eine vereinzelte Entscheidung in der ersten Instanz, nicht ständige Rechtsprechung der letzten Instanz. Selbst wenn man dieser Entscheidung folgen wollte, gäbe es aber eben keinen Zeitablauf, wenn regelmäßig Werbung verschickt worden ist. Die Aussage, dass es die Regelung, dass nach zwei Jahren die Einwilligung abläuft, im gesamten Rechtssystem nicht gibt, ist schwierig insofern, als ich nicht das ganze Rechtssystem prüfen kann. Die einschlägigen Regelwerke der DSGVO und des UWG enthalten aber keine solche gesetzliche Regelung.

Nein, eine ausdrückliche Einwilligung liegt nicht vor.

Eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post ist nicht anzunehmen, wenn:

a. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,

b. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,

c. der Kunde der Verwendung nicht widersprochen hat und

d. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Nur Werbung für eigene Waren oder Dienstleistungen ist von der Ausnahme erfasst. Dies schließt zunächst die Versendung von werbenden E-Mails, die zu Gunsten anderer Unternehmen erfolgen, aus. Insbesondere können Stand-Alone-Newsletter nicht unter Berufung auf Abs. 3 versandt werden. Das KG fordert eine „Austauschbarkeit“ der Produkte oder dass die Produkte dem gleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck dienen. Das OLG Jena verlangt einen „gleichen typischen Verwendungszweck“.

Auch diese Frage lässt sich schnell beantworten. Keine, wenn weder eine Einwilligung noch eine Bestellung vorliegt.

Auch wenn es Firmenkunden sind, ohne Zustimmung, ist es Ihnen nicht erlaubt diese anzuschreiben.

Nein, kein Versand zulässig da keine Einwilligung für den konkreten Fall gegeben ist. Was die zweite Frage betrifft, es ist immer eine Double-Opt-In erforderlich.

Gemäß Art. 17 I b DSGVO sind alle Daten unverzüglich zu löschen. Datenschutz-Guru sieht das komplett anders. Ich meine, dass die Daten – wenn nicht ausdrücklich eine Löschung erfolgt – für mindestens 3 Jahre aufbewahrt werden sollten. Hintergrund sind Nachweispflichten aus dem Datenschutzrecht zur Vermeidung von Bußgeldrisiken.

Über die Dauer der Datenspeicherung entscheidet nicht CleverReach®, sondern entscheiden Sie als Newsletter-Versender. Eine allgemeingültige, zeitliche Einheit existiert nämlich (noch) nicht. Da Sie die Einwilligung des Newsletter-Empfängers durch ein Double-Opt-in belegen müssen, können die Daten so lange legal gespeichert bleiben,

• wie die Mails aufgrund der Einwilligung versendet werden, und
• auch darüber hinaus so lange, wie Sie damit rechnen müssen, dass ein Nachweis noch gefordert werden kann.

Es gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Die Speicherdauer der Daten ist demnach von Ihnen im Einzelfall angemessen festzulegen.

Die Speicherdauer der Daten bestimmt nicht CleverReach®, sondern legen Sie als Versender des Newsletters fest. Das bedeutet: Sobald Sie die Löschung der Empfängerdaten veranlassen, kommen wir diesem Auftrag nach.

Allerdings ist vor diesem Hintergrund zu berücksichtigen, dass wir als Datenverarbeiter nach der neuen DSGVO zur Datensicherheit verpflichtet sind und zu diesem Zweck regelmäßig Backups vornehmen müssen. Aus diesen Backups, die nur unter bestimmten Bedingungen überhaupt nochmals eingesehen und verwendet werden, können einzelne Datensätze leider nicht gezielt gelöscht werden. Wir bei CleverReach® haben uns daher dazu entschieden, diese Backups generell nach 30 Tagen zu löschen.

Sofern sie bereits eine wirksame Einwilligung gegeben haben: grundsätzlich nein (Erwägungsgrund 171 zur DSGVO). Der europäische Gesetzgeber hat sich nämlich zugunsten der Datenverwender für eine Fortgeltung der bereits eingeholten datenschutzrechtlichen Einwilligungen entschieden. Voraussetzung ist allerdings, dass

• a) die Einwilligungen auf Grundlage des bis 24.05.2018 geltenden BDSG und des TMG wirksam eingeholt wurden
• b) die erteilten Einwilligungen auch den Bedingungen der DSGVO entsprechen.

Großer Wert wird in diesem Zusammenhang auf die Freiwilligkeit gelegt. Diese ist nicht gegeben wenn in der Vergangenheit gegen das sog. Kopplungsverbot verstoßen wurde – also, falls die Erhebung der Daten (E-Mail-Adresse) an Bedingungen geknüpft war, die für die Erfüllung eines Vertrages nicht erforderlich waren. Dass bei den bisherigen Einwilligungen bis zum 24.05.2018 den neuen Informationspflichten (Art. 13 DSGVO) nicht genügt wurde, ist hingegen unschädlich.

Das bedeutet für Sie als Newsletter-Versender: Da sich die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland überwiegend überschneiden, entfällt in der Regel die Notwendigkeit, zum 25. Mai 2018 von jedem Newsletter-Empfänger, dessen Daten bereits mit Einwilligung verarbeitet werden, erneut eine Einwilligung einzuholen.

Neu und für bisherige Einwilligungen zu beachten ist, dass die DSGVO nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

Ja. Ein Hinweis in den Datenschutzerklärungen was, wo und wie lange gespeichert wird und dass CleverReach® der Auftragsdatenverarbeiter ist, mit dem ein Auftragsverarbeitungsvertrag (AV) zur Absicherung der Daten besteht, sollte in der Regel ausreichend sein.

Selbstverständlich. Die Double-Opt-in-Daten werden im SSL-Verfahren verschlüsselt.

• Was ändert sich noch bei der Erhebung der Daten? Worauf muss ich achten?
  Ausführliche Beschreibungen weiterer Neuerungen im Zuge der DSGVO finden Sie in unserem Supportbereich.
• Interview mit unserem Geschäftsführer und Rechtssicherheits-Experten Konrad Frerichs zum Thema DSVGO