DSGVO-Sprechstunde mit Dr. Gerrit Mesch
Sie haben gefragt und wir antworten. Unser Rechtsanwalt Dr. Gerrit Mesch hat sich Ihre Fragen angeschaut und die meistgestellten Fragen beantwortet.
Ihre Fragen zur DSGVO – beantwortet von unserem Rechtsanwalt
Wir haben Sie als Kunden gebeten, uns Fragen bezüglich der DSGVO zu stellen. Im Folgenden finden Sie das Ergebnis des Interviews mit unserem Rechtsanwalt, der für Sie die Fragen beantwortet hat.
Wichtiger Hinweis: „Der Konsum dieses allgemeinen Textes ersetzt nicht die erforderliche rechtliche Beratung im Einzelfall. Sie handeln insoweit auf eigene Gefahr. Fragen Sie im Zweifel bitte immer einen Anwalt bzgl. Ihres konkreten Einzelfalles.“
I. Grundsätzliche Fragen
Gilt die DSGVO außerhalb der EU?
- Art. 3 DSGVO stellt auf die Europäische Union ab
- Die Macht, den Datenschutz etwa in Asien oder Nordamerika zu regeln, hat die EU nicht.
- Art. 3 DSGVO enthält ein Marktortprinzip: danach gilt die DSGVO auch für Unternehmen in Drittländern, wenn diese Waren oder Dienstleistungen für EU-Bürger anbieten.
Welche Strafen gibt es, wenn man sich nicht an die DSGVO hält? Gab es diesbezüglich Gerichtsurteile?
Die Datenschutzbeauftragten der Länder haben laut einem Medienbericht seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im ersten Jahr von Mai 18 bis Mai 19 in mindestens 75 Fällen Bußgelder verhängt.
Die Gesamtsumme beträgt laut einer Umfrage der Welt am Sonntag 449.000 Euro. Die Zeitung hatte die Datenschutzbeauftragten der Länder befragt. 14 von 16 Bundesländern machten Angaben, Mecklenburg-Vorpommern und Thüringen nicht.
Strafen in Millionenhöhe, wie im Vorfeld der DSGVO von Unternehmen und Vereinen befürchteten, sind demnach bislang noch nicht verhängt worden. Seitdem ziehen die Strafen allerdings an. Medienberichten nach sind seitdem einige deutlich höhere Strafen verhängt worden. Dies ist allerdings nicht repräsentativ. Weiter werden in einigen dieser Fälle Gerichtsverfahren erwartet. Daher ist es noch zu früh, ein abschließendes Urteil zu fällen. Das sind Strafen der Behörden. Dass Gerichte dazu entschieden haben, ist mir nicht bekannt.
Allerdings wird das E-Mail-Marketing nicht allein durch die DSGVO geregelt. Zu beachten ist auch das Gesetz gegen unlauteren Wettbewerb (UWG). Hier sind Gewinnabschöpfung, Schadensersatz usw. möglich.
Arbeiten Sie nach dem Kirchenrecht?
Als Unternehmen unterliegen wir den für uns geltenden Rechtsvorschriften. Die Datenschutzgesetze der evangelischen und katholischen Kirche gelten für uns nicht direkt. Da die Datenschutzgesetze der evangelischen und katholischen Kirche nach der Überarbeitung an die DSGVO angepasst wurden, sehen wir hier keine grundlegenden Probleme.
Können Sie Webseiten empfehlen oder andere Quellen, bei denen ich mich hinsichtlich DSGVO selbst auf dem Laufenden halten kann?
Die Website vom Datenschutz Guru https://www.datenschutz-guru.de/ ist uneingeschränkt zu empfehlen und ist zu Recht sehr beliebt. Die Texte sind leicht verständlich und durchaus unterhaltsam. Außerdem stehen Ihnen dort auch Videos zur Verfügung.
II. Erhebung der Adressen
Darf ich Adressen z.B. von Schulen aus dem Internet verwenden, die öffentlich sind?
Grundsätzlich muss die Einwilligung für den konkreten Fall erteilt werden. Damit ist nicht gemeint, dass die Einwilligung bezogen auf jede einzelne Werbeaussendung erneut erteilt werden muss. Allerdings muss die Einwilligung (auch) auf die konkrete Werbeaussendung bezogen sein. An einer Einwilligung für den konkreten Fall fehlt es etwa, wenn ein Fußballverein seine E-Mail-Adresse auf der Website veröffentlicht hat (BGH, NJW 2008, 2999 – FC Troschenreuth). Der Verein erwartet allenfalls Anfragen zum Spielbetrieb oder Vereinsaktivitäten, nicht jedoch zu vereinsfremden Leistungen.
Sind Visitenkarten automatisch Zustimmungen für eine "Newsletter-Kontakt-Aufnahme"?
Ich erhebe Empfänger in Kommunikationsseminaren. Diese stimmen per Checkbox zu oder eben nicht. Darf ich die Namen etc. in einer Excel Tabelle eintragen?
An einer Einwilligung fehlt es auch, wenn der Teilnehmer eines Seminars seine E-Mail- Adresse in die Teilnehmerliste eingetragen hat (LG Gera, WRP 2012, 1468). Er hat dann eben keine Einwilligung erklärt. Das Auslegen einer Seminarliste andererseits mit der Aufforderung sich einzutragen, wenn man den Newsletter empfangen möchte, ist hinreichend konkret, wenn klar wird, von welchem Unternehmen der Newsletter versendet werden wird.
Darf ich im Kaufprozess per einfacher Checkbox auch Newsletter Anmeldungen machen oder braucht das immer DOI?
Ich habe Empfänger vor 8 Jahren erhoben. Darf ich diese anschreiben? Gibt es eine Verjährungsfrist?
BGH, Urteil vom 01.02.2018 – III ZR 196/17: „Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt“. Im Ergebnis halte ich Werbung per Mail für zulässig, wenn es keinen Grund gibt, am ursprünglich geäußerten Einverständnis des Verbrauchers zu zweifeln. Dieser Grund könnte der Umstand sein, dass die Einwilligung länger als anderthalb Jahre her ist und in diesem Zeitraum keine Werbung verschickt worden ist. Das hat das Landgericht Berlin vor Einführung der DSGVO mal so gesehen (LG Berlin, Urteil vom 09.12.2011 – 15 O 343/11). Ob das jetzt noch so ist, ist fraglich. Es handelt sich um eine vereinzelte Entscheidung in der ersten Instanz, nicht ständige Rechtsprechung der letzten Instanz. Selbst wenn man dieser Entscheidung folgen wollte, gäbe es aber eben keinen Zeitablauf, wenn regelmäßig Werbung verschickt worden ist. Die Aussage, dass es die Regelung, dass nach zwei Jahren die Einwilligung abläuft, im gesamten Rechtssystem nicht gibt, ist schwierig insofern, als ich nicht das ganze Rechtssystem prüfen kann. Die einschlägigen Regelwerke der DSGVO und des UWG enthalten aber keine solche gesetzliche Regelung.
Wir haben Empfänger vor der DSGVO erhoben. Kann ich diese anschreiben? Muss ich diese neu erheben?
Es ist durchaus möglich, dass bereits vor Einführung der DSGVO die Einwilligung in den Werbeversand korrekt mit Double-Opt-In erfolgt ist. Das würde auch den Maßstäben der DSGVO genügen. Man könnte weiter die betreffenden Empfänger anschreiben.
Ich habe kein DOI Nachweis für das Einverständnis. Die Empfänger haben sich aber seit Jahren nicht abgemeldet - darf ich diese weiter anschreiben?
Nein, eine ausdrückliche Einwilligung liegt nicht vor.
Wenn ich den E-Mail-Newsletter-Dienstleister wechsle brauche ich dann ein neues DOI?
Kunde fordert auf Webseite Infos zu einem Produkt an. Darf ich ihm nur dazu eine Mail schreiben oder auch mehrfach zu diesem und ähnlichen Produkten?
Eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post ist nicht anzunehmen, wenn:
a. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
b. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
c. der Kunde der Verwendung nicht widersprochen hat und
d. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Nur Werbung für eigene Waren oder Dienstleistungen ist von der Ausnahme erfasst. Dies schließt zunächst die Versendung von werbenden E-Mails, die zu Gunsten anderer Unternehmen erfolgen, aus. Insbesondere können Stand-Alone-Newsletter nicht unter Berufung auf Abs. 3 versandt werden. Das KG fordert eine „Austauschbarkeit“ der Produkte oder dass die Produkte dem gleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck dienen. Das OLG Jena verlangt einen „gleichen typischen Verwendungszweck“.
Ich habe kein DOI Nachweis für das Einverständnis. Die Empfänger haben sich aber seit Jahren nicht abgemeldet. Darf ich diese weiter anschreiben?
Leider nein, denn es liegt keine ausdrückliche Einwilligung vor.
Welche Art Inhalte sind ohne Opt-In an "Nicht-Kunden" versendbar?
Auch diese Frage lässt sich schnell beantworten. Keine, wenn weder eine Einwilligung noch eine Bestellung vorliegt.
III. Geschäftskunden
Gibt es einen Unterschied zwischen B2C und B2B. Darf ich Geschäftskunden die Ihre E-Mail frei zugänglich machen für ein Angebot anschreiben?
Unangeforderte E-Mail-Werbung ist ohne ausdrückliche vorherige Einwilligung des Empfängers gem. § 7 Abs. 2 Nr. 3 UWG als unzumutbare Belästigung anzusehen (sog. Opt-In- Lösung) (BGH, Urt. v. 10.2.2011, Az. I ZR 164/09, MMR 2011, 662 ff.; OLG Celle, Urt. v. 15.5.2014). Der deutsche Gesetzgeber verzichtet hierbei auf eine Differenzierung zwischen Verbraucher und Gewerbetreibenden, mit der Begründung, dass die E-Mail-Werbung gerade im geschäftlichen Verkehr einen stark belästigenden Charakter hat. (BT-Drucks. 15/1487, S. 21.)
Darf ich Firmenkunden mit einem Newsletter anschreiben?
Kann ich Adressen kaufen, zum Beispiel bei wer-zu-wem?
Es ist immer eine Einwilligung für den konkreten Fall notwendig. Daher ist leider kein Kauf möglich.
Ist der unaufgeforderte Emailversand zulässig, wenn er ausschließlich an unpersönliche Emailadressen wie info@..., kontakt@, service@... etc. gerichtet wird? Oder ist auch hier die vorige Freigabe, z.B. durch Double-Opt-In erforderlich?
Nein, kein Versand zulässig da keine Einwilligung für den konkreten Fall gegeben ist. Was die zweite Frage betrifft, es ist immer eine Double-Opt-In erforderlich.
Darf ich Sportstudios einfach anschreiben, wenn ich Sportgeräte verkaufe?
Nicht ohne Zustimmung, es braucht immer eine Einwilligung für den konkreten Fall.
Wann muss ich Empfänger löschen. Direkt nach Abmeldung?
Gemäß Art. 17 I b DSGVO sind alle Daten unverzüglich zu löschen. Datenschutz-Guru sieht das komplett anders. Ich meine, dass die Daten – wenn nicht ausdrücklich eine Löschung erfolgt – für mindestens 3 Jahre aufbewahrt werden sollten. Hintergrund sind Nachweispflichten aus dem Datenschutzrecht zur Vermeidung von Bußgeldrisiken.
IV. Weitere Fragen zur DSGVO & CleverReach
Wie lange werden die Double-Opt-in-Daten gespeichert?
Über die Dauer der Datenspeicherung entscheidet nicht CleverReach, sondern entscheiden Sie als Newsletter-Versender. Eine allgemeingültige, zeitliche Einheit existiert nämlich (noch) nicht. Da Sie die Einwilligung des Newsletter-Empfängers durch ein Double-Opt-in belegen müssen, können die Daten so lange legal gespeichert bleiben,
- wie die Mails aufgrund der Einwilligung versendet werden, und
- auch darüber hinaus so lange, wie Sie damit rechnen müssen, dass ein Nachweis noch gefordert werden kann.
Es gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Die Speicherdauer der Daten ist demnach von Ihnen im Einzelfall angemessen festzulegen.
Wie und wann erhalten die Kunden von CleverReach die Double-Opt-in-Daten bei einer Anforderung?
Wie bisher erhalten Sie die Double-Opt-in-Daten im Falle einer Anforderung von CleverReach per Mail. Wenn Sie unsere CleverReach Formulare verwenden, können Sie das DOI-Protokoll empfängerbezogen downloaden. Die Download-Möglichkeit finden Sie direkt im Empfängerprofil. Dies ist natürlich besonders im Fall einer Beschwerde von großem Vorteil. Ein Klick und Sie können gemäß DSGVO den entsprechenden Nachweis der Anmeldung einsehen. Schnell, komfortabel und für Ihre Sicherheit.
Wie lange werden die Daten der Newsletter-Empfänger gespeichert?
Wie lange werden inaktive E-Mail-Adressen, also Daten von Newsletter-Empfängern, nach ihrer Abmeldung überhaupt noch gespeichert?
Müssen bestehende Zustimmungen von Newsletter-Empfängern neu erhoben werden?
Können Daten weiterhin analog erhoben werden? Was gibt es dabei an neuen Regularien zu beachten?
Ja. Wie Daten erhoben werden – digital oder analog – ist grundsätzlich für die rechtliche Würdigung gleich, es gelten dieselben Anforderungen. Das heißt: Es muss auch bei der analogen Datenerhebung, z.B. wenn E-Mail-Adressen offline gesammelt werden, ein Hinweis auf die Datenschutzerklärung gegeben werden.
Dazu hat die Datenschutzkonferenz ausgeführt, dass die diesbzgl. Informationen
- in präziser, transparenter, verständlicher und leicht zugänglicher Form
- sowie in klarer und einfacher Sprache
zu übermitteln sind. Außerdem sind sie
- schriftlich oder
- in anderer Form (ggf. elektronisch)
zur Verfügung zu stellen.
Wird aber auf eine elektronisch verfügbare Information Bezug genommen, dann muss diese auch leicht auffindbar und daher in der konkreten Situation verfügbar sein. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.
Müssen Newsletter-Empfänger darauf hingewiesen werden, wo ihre Daten gespeichert werden (Ort, Anbieter)?
Müssen Empfänger auf Tracking-Links und Tracking-Pixel hingewiesen werden?
Ja, über entsprechende Hinweise in der Datenschutzerklärung.
Werden die Double-Opt-in-Daten verschlüsselt und wenn ja, wie?
Selbstverständlich. Die Double-Opt-in-Daten werden im SSL-Verfahren verschlüsselt.
Müssen Newsletter-Empfänger darauf hingewiesen werden, welche Daten von Ihnen erhoben werden?
Weitere Informationen rund um das Thema DSGVO
- Was ändert sich noch bei der Erhebung der Daten? Worauf muss ich achten?
Ausführliche Beschreibungen weiterer Neuerungen im Zuge der DSGVO finden Sie in unserem Supportbereich. - Interview mit unserem Geschäftsführer und Rechtssicherheits-Experten Konrad Frerichs zum Thema DSVGO
Ihre Frage zur DSGVO ist noch nicht dabei?
Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?