DSGVO Sprechstunde

DSGVO-Sprechstunde mit Dr. Gerrit Mesch

Sie haben gefragt und wir antworten. Unser Rechtsanwalt Dr. Gerrit Mesch hat sich Ihre Fragen angeschaut und die meistgestellten Fragen beantwortet.

Ihre Fragen zur DSGVO – beantwortet von unserem Rechtsanwalt

Wir haben Sie als Kunden gebeten, uns Fragen bezüglich der DSGVO zu stellen. Im Folgenden finden Sie das Ergebnis des Interviews mit unserem Rechtsanwalt, der für Sie die Fragen beantwortet hat.

Wichtiger Hinweis: „Der Konsum dieses allgemeinen Textes ersetzt nicht die erforderliche rechtliche Beratung im Einzelfall. Sie handeln insoweit auf eigene Gefahr. Fragen Sie im Zweifel bitte immer einen Anwalt bzgl. Ihres konkreten Einzelfalles.“

I. Grundsätzliche Fragen

Gilt die DSGVO außerhalb der EU?

  • Art. 3 DSGVO stellt auf die Europäische Union ab
  • Die Macht, den Datenschutz etwa in Asien oder Nordamerika zu regeln, hat die EU nicht.
  • Art. 3 DSGVO enthält ein Marktortprinzip: danach gilt die DSGVO auch für Unternehmen in Drittländern, wenn diese Waren oder Dienstleistungen für EU-Bürger anbieten.

Welche Strafen gibt es, wenn man sich nicht an die DSGVO hält? Gab es diesbezüglich Gerichtsurteile?

Die Datenschutzbeauftragten der Länder haben laut einem Medienbericht seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im ersten Jahr von Mai 18 bis Mai 19 in mindestens 75 Fällen Bußgelder verhängt.

Die Gesamtsumme beträgt laut einer Umfrage der Welt am Sonntag 449.000 Euro. Die Zeitung hatte die Datenschutzbeauftragten der Länder befragt. 14 von 16 Bundesländern machten Angaben, Mecklenburg-Vorpommern und Thüringen nicht.

Strafen in Millionenhöhe, wie im Vorfeld der DSGVO von Unternehmen und Vereinen befürchteten, sind demnach bislang noch nicht verhängt worden. Seitdem ziehen die Strafen allerdings an. Medienberichten nach sind seitdem einige deutlich höhere Strafen verhängt worden. Dies ist allerdings nicht repräsentativ. Weiter werden in einigen dieser Fälle Gerichtsverfahren erwartet. Daher ist es noch zu früh, ein abschließendes Urteil zu fällen. Das sind Strafen der Behörden. Dass Gerichte dazu entschieden haben, ist mir nicht bekannt.

Allerdings wird das E-Mail-Marketing nicht allein durch die DSGVO geregelt. Zu beachten ist auch das Gesetz gegen unlauteren Wettbewerb (UWG). Hier sind Gewinnabschöpfung, Schadensersatz usw. möglich.

Arbeiten Sie nach dem Kirchenrecht?

Als Unternehmen unterliegen wir den für uns geltenden Rechtsvorschriften. Die Datenschutzgesetze der evangelischen und katholischen Kirche gelten für uns nicht direkt. Da die Datenschutzgesetze der evangelischen und katholischen Kirche nach der Überarbeitung an die DSGVO angepasst wurden, sehen wir hier keine grundlegenden Probleme.

Können Sie Webseiten empfehlen oder andere Quellen, bei denen ich mich hinsichtlich DSGVO selbst auf dem Laufenden halten kann?

Die Website vom Datenschutz Guru https://www.datenschutz-guru.de/ ist uneingeschränkt zu empfehlen und ist zu Recht sehr beliebt. Die Texte sind leicht verständlich und durchaus unterhaltsam. Außerdem stehen Ihnen dort auch Videos zur Verfügung.

II. Erhebung der Adressen

Darf ich Adressen z.B. von Schulen aus dem Internet verwenden, die öffentlich sind?

Grundsätzlich muss die Einwilligung für den konkreten Fall erteilt werden. Damit ist nicht gemeint, dass die Einwilligung bezogen auf jede einzelne Werbeaussendung erneut erteilt werden muss. Allerdings muss die Einwilligung (auch) auf die konkrete Werbeaussendung bezogen sein. An einer Einwilligung für den konkreten Fall fehlt es etwa, wenn ein Fußballverein seine E-Mail-Adresse auf der Website veröffentlicht hat (BGH, NJW 2008, 2999 – FC Troschenreuth). Der Verein erwartet allenfalls Anfragen zum Spielbetrieb oder Vereinsaktivitäten, nicht jedoch zu vereinsfremden Leistungen.

Sind Visitenkarten automatisch Zustimmungen für eine "Newsletter-Kontakt-Aufnahme"?

Auch hier fehlt es an der erforderlichen Bestimmtheit einer ausdrücklichen Einwilligung, wenn im Rahmen einer Veranstaltung eine Visitenkarte übergeben wird (LG Baden-Baden, WRP 2012, 612 (613)). Denkbar ist allerdings das Aufstellen einer Box mit der deutlichen Aufschrift „Newsletter“, in die die Visitenkarte eingeworfen wird. Wobei dann die Nachweisbarkeit schlechter ist als beim Double-Opt-In.

Ich erhebe Empfänger in Kommunikationsseminaren. Diese stimmen per Checkbox zu oder eben nicht. Darf ich die Namen etc. in einer Excel Tabelle eintragen?

An einer Einwilligung fehlt es auch, wenn der Teilnehmer eines Seminars seine E-Mail- Adresse in die Teilnehmerliste eingetragen hat (LG Gera, WRP 2012, 1468). Er hat dann eben keine Einwilligung erklärt. Das Auslegen einer Seminarliste andererseits mit der Aufforderung sich einzutragen, wenn man den Newsletter empfangen möchte, ist hinreichend konkret, wenn klar wird, von welchem Unternehmen der Newsletter versendet werden wird.

Darf ich im Kaufprozess per einfacher Checkbox auch Newsletter Anmeldungen machen oder braucht das immer DOI?

Das wäre als Einwilligung ausreichend, wenn der Kunde aktiv die Box klickt und sie nicht etwa vorausgewählt ist – eben Opt-in und nicht Opt-out (BGH, MMR 2008, 731 – Payback). Jedoch ließe sich nicht nachweisen, dass tatsächlich der Inhaber der E-Mail-Adresse die Eingabe getätigt hat, weil Fehler oder Missbrauch nicht ausgeschlossen werden können (AG Berlin, MMR 2009, 144). Auch eine etwa mitprotokollierte IP-Adresse reicht für einen Beweis nicht aus. Der Website-Betreiber hat keine Handhabe, aus einer dynamischen IP-Adresse auf einen konkreten E-Mail-Account-Inhaber zu schließen. Access-Provider, die immerhin den Anschlussinhaber (wenn auch nicht den Account-Inhaber) ermitteln könnten, sind zu Herausgabe entsprechender Daten weder verpflichtet noch berechtigt.

Zum Beweis ebenfalls nicht ausreichend ist das sog. Confirmed-Opt-in. Hierbei wird zwar eine Bestätigungs-E-Mail versandt, aber kein Bestätigungslink integriert. Vielmehr erfolgt lediglich der ausdrückliche Hinweis auf eine Austragungsmöglichkeit. Erfolgt keine Reaktion, wird die betreffende E-Mail-Adresse dem Verteiler hinzugefügt. Ein Nachweis, dass sich gerade der E- Mail-Account-Inhaber für den Newsletter eingetragen hat, gelingt so allerdings nicht.

Ich habe Empfänger vor 8 Jahren erhoben. Darf ich diese anschreiben? Gibt es eine Verjährungsfrist?

BGH, Urteil vom 01.02.2018 – III ZR 196/17: „Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt“. Im Ergebnis halte ich Werbung per Mail für zulässig, wenn es keinen Grund gibt, am ursprünglich geäußerten Einverständnis des Verbrauchers zu zweifeln. Dieser Grund könnte der Umstand sein, dass die Einwilligung länger als anderthalb Jahre her ist und in diesem Zeitraum keine Werbung verschickt worden ist. Das hat das Landgericht Berlin vor Einführung der DSGVO mal so gesehen (LG Berlin, Urteil vom 09.12.2011 – 15 O 343/11). Ob das jetzt noch so ist, ist fraglich. Es handelt sich um eine vereinzelte Entscheidung in der ersten Instanz, nicht ständige Rechtsprechung der letzten Instanz. Selbst wenn man dieser Entscheidung folgen wollte, gäbe es aber eben keinen Zeitablauf, wenn regelmäßig Werbung verschickt worden ist. Die Aussage, dass es die Regelung, dass nach zwei Jahren die Einwilligung abläuft, im gesamten Rechtssystem nicht gibt, ist schwierig insofern, als ich nicht das ganze Rechtssystem prüfen kann. Die einschlägigen Regelwerke der DSGVO und des UWG enthalten aber keine solche gesetzliche Regelung.

Wir haben Empfänger vor der DSGVO erhoben. Kann ich diese anschreiben? Muss ich diese neu erheben?

Es ist durchaus möglich, dass bereits vor Einführung der DSGVO die Einwilligung in den Werbeversand korrekt mit Double-Opt-In erfolgt ist. Das würde auch den Maßstäben der DSGVO genügen. Man könnte weiter die betreffenden Empfänger anschreiben.

Ich habe kein DOI Nachweis für das Einverständnis. Die Empfänger haben sich aber seit Jahren nicht abgemeldet - darf ich diese weiter anschreiben?

Nein, eine ausdrückliche Einwilligung liegt nicht vor.

Wenn ich den E-Mail-Newsletter-Dienstleister wechsle brauche ich dann ein neues DOI?

Wenn Sie die Einwilligung mit einem Double-Opt-In Verfahren bei einem anderen Newsletterdienstleister schon erhoben haben, brauchen Sie die Einwilligung nicht erneut erheben. Die Zustimmung des Empfängers bezieht sich auf den Empfang Ihrer E-Mails und nicht auf den Dienstleister den Sie zum Versand verwenden. Sie können Daten, die korrekt nach dem Double-Opt-In-Verfahren erhoben wurden also direkt bei CleverReach verwenden.

Kunde fordert auf Webseite Infos zu einem Produkt an. Darf ich ihm nur dazu eine Mail schreiben oder auch mehrfach zu diesem und ähnlichen Produkten?

Eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post ist nicht anzunehmen, wenn:

a. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,

b. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,

c. der Kunde der Verwendung nicht widersprochen hat und

d. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Nur Werbung für eigene Waren oder Dienstleistungen ist von der Ausnahme erfasst. Dies schließt zunächst die Versendung von werbenden E-Mails, die zu Gunsten anderer Unternehmen erfolgen, aus. Insbesondere können Stand-Alone-Newsletter nicht unter Berufung auf Abs. 3 versandt werden. Das KG fordert eine „Austauschbarkeit“ der Produkte oder dass die Produkte dem gleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck dienen. Das OLG Jena verlangt einen „gleichen typischen Verwendungszweck“.

Ich habe kein DOI Nachweis für das Einverständnis. Die Empfänger haben sich aber seit Jahren nicht abgemeldet. Darf ich diese weiter anschreiben?

Leider nein, denn es liegt keine ausdrückliche Einwilligung vor.

Welche Art Inhalte sind ohne Opt-In an "Nicht-Kunden" versendbar?

Auch diese Frage lässt sich schnell beantworten. Keine, wenn weder eine Einwilligung noch eine Bestellung vorliegt.

III. Geschäftskunden

Gibt es einen Unterschied zwischen B2C und B2B. Darf ich Geschäftskunden die Ihre E-Mail frei zugänglich machen für ein Angebot anschreiben?

Unangeforderte E-Mail-Werbung ist ohne ausdrückliche vorherige Einwilligung des Empfängers gem. § 7 Abs. 2 Nr. 3 UWG als unzumutbare Belästigung anzusehen (sog. Opt-In- Lösung) (BGH, Urt. v. 10.2.2011, Az. I ZR 164/09, MMR 2011, 662 ff.; OLG Celle, Urt. v. 15.5.2014). Der deutsche Gesetzgeber verzichtet hierbei auf eine Differenzierung zwischen Verbraucher und Gewerbetreibenden, mit der Begründung, dass die E-Mail-Werbung gerade im geschäftlichen Verkehr einen stark belästigenden Charakter hat. (BT-Drucks. 15/1487, S. 21.)

Darf ich Firmenkunden mit einem Newsletter anschreiben?

Auch wenn es Firmenkunden sind, ohne Zustimmung, ist es Ihnen nicht erlaubt diese anzuschreiben.

Kann ich Adressen kaufen, zum Beispiel bei wer-zu-wem?

Es ist immer eine Einwilligung für den konkreten Fall notwendig. Daher ist leider kein Kauf möglich.

Ist der unaufgeforderte Emailversand zulässig, wenn er ausschließlich an unpersönliche Emailadressen wie info@..., kontakt@, service@... etc. gerichtet wird? Oder ist auch hier die vorige Freigabe, z.B. durch Double-Opt-In erforderlich?

Nein, kein Versand zulässig da keine Einwilligung für den konkreten Fall gegeben ist. Was die zweite Frage betrifft, es ist immer eine Double-Opt-In erforderlich.

Darf ich Sportstudios einfach anschreiben, wenn ich Sportgeräte verkaufe?

Nicht ohne Zustimmung, es braucht immer eine Einwilligung für den konkreten Fall.

Wann muss ich Empfänger löschen. Direkt nach Abmeldung?

Gemäß Art. 17 I b DSGVO sind alle Daten unverzüglich zu löschen. Datenschutz-Guru sieht das komplett anders. Ich meine, dass die Daten – wenn nicht ausdrücklich eine Löschung erfolgt – für mindestens 3 Jahre aufbewahrt werden sollten. Hintergrund sind Nachweispflichten aus dem Datenschutzrecht zur Vermeidung von Bußgeldrisiken.

IV. Weitere Fragen zur DSGVO & CleverReach

Wie lange werden die Double-Opt-in-Daten gespeichert?

Über die Dauer der Datenspeicherung entscheidet nicht CleverReach, sondern entscheiden Sie als Newsletter-Versender. Eine allgemeingültige, zeitliche Einheit existiert nämlich (noch) nicht. Da Sie die Einwilligung des Newsletter-Empfängers durch ein Double-Opt-in belegen müssen, können die Daten so lange legal gespeichert bleiben,

  • wie die Mails aufgrund der Einwilligung versendet werden, und
  • auch darüber hinaus so lange, wie Sie damit rechnen müssen, dass ein Nachweis noch gefordert werden kann.

Es gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Die Speicherdauer der Daten ist demnach von Ihnen im Einzelfall angemessen festzulegen.

Wie und wann erhalten die Kunden von CleverReach die Double-Opt-in-Daten bei einer Anforderung?

Wie bisher erhalten Sie die Double-Opt-in-Daten im Falle einer Anforderung von CleverReach per Mail. Wenn Sie unsere CleverReach Formulare verwenden, können Sie das DOI-Protokoll empfängerbezogen downloaden. Die Download-Möglichkeit finden Sie direkt im Empfängerprofil. Dies ist natürlich besonders im Fall einer Beschwerde von großem Vorteil. Ein Klick und Sie können gemäß DSGVO den entsprechenden Nachweis der Anmeldung einsehen. Schnell, komfortabel und für Ihre Sicherheit.

Wie lange werden die Daten der Newsletter-Empfänger gespeichert?

Die Speicherdauer der Daten bestimmt nicht CleverReach, sondern legen Sie als Versender des Newsletters fest. Das bedeutet: Sobald Sie die Löschung der Empfängerdaten veranlassen, kommen wir diesem Auftrag nach.

Allerdings ist vor diesem Hintergrund zu berücksichtigen, dass wir als Datenverarbeiter nach der neuen DSGVO zur Datensicherheit verpflichtet sind und zu diesem Zweck regelmäßig Backups vornehmen müssen. Aus diesen Backups, die nur unter bestimmten Bedingungen überhaupt nochmals eingesehen und verwendet werden, können einzelne Datensätze leider nicht gezielt gelöscht werden. Wir bei CleverReach haben uns daher dazu entschieden, diese Backups generell nach 30 Tagen zu löschen.

Wie lange werden inaktive E-Mail-Adressen, also Daten von Newsletter-Empfängern, nach ihrer Abmeldung überhaupt noch gespeichert?

Dies entscheiden Sie als Verantwortlicher für die Daten nach Ihren eigenen Regularien. Wie schon zum Double-Opt-in-Verfahren ausgeführt, gilt der Grundsatz, dass Daten gelöscht werden müssen, wenn sie nicht mehr gebraucht werden; aber auch solange gespeichert werden dürfen, wie daran ein berechtigtes Interesse besteht. Soweit die Daten allein für den Newsletterversand verarbeitet wurden, dürfen die Daten ab einer Abmeldung des Empfängers nicht mehr für einen Newsletterversand an diesen verwendet werden. Der Newsletter-Versender muss aber auch in der Lage sein, die Erfüllung seiner gesetzlichen Pflichten (z.B. nach der DSGVO) nachweisen zu können. Soweit die Daten hierfür erforderlich sind, können sie weiter gespeichert werden. Eine automatische Löschung durch CleverReach wird es nicht geben, jedoch werden wir für Sie die Voraussetzungen schaffen, um automatisierte Abläufe zu etablieren.

Müssen bestehende Zustimmungen von Newsletter-Empfängern neu erhoben werden?

Sofern sie bereits eine wirksame Einwilligung gegeben haben: grundsätzlich nein (Erwägungsgrund 171 zur DSGVO). Der europäische Gesetzgeber hat sich nämlich zugunsten der Datenverwender für eine Fortgeltung der bereits eingeholten datenschutzrechtlichen Einwilligungen entschieden. Voraussetzung ist allerdings, dass

  • a) die Einwilligungen auf Grundlage des bis 24.05.2018 geltenden BDSG und des TMG wirksam eingeholt wurden
  • b) die erteilten Einwilligungen auch den Bedingungen der DSGVO entsprechen.

Großer Wert wird in diesem Zusammenhang auf die Freiwilligkeit gelegt. Diese ist nicht gegeben wenn in der Vergangenheit gegen das sog. Kopplungsverbot verstoßen wurde – also, falls die Erhebung der Daten (E-Mail-Adresse) an Bedingungen geknüpft war, die für die Erfüllung eines Vertrages nicht erforderlich waren. Dass bei den bisherigen Einwilligungen bis zum 24.05.2018 den neuen Informationspflichten (Art. 13 DSGVO) nicht genügt wurde, ist hingegen unschädlich.

Das bedeutet für Sie als Newsletter-Versender: Da sich die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland überwiegend überschneiden, entfällt in der Regel die Notwendigkeit, zum 25. Mai 2018 von jedem Newsletter-Empfänger, dessen Daten bereits mit Einwilligung verarbeitet werden, erneut eine Einwilligung einzuholen.

Neu und für bisherige Einwilligungen zu beachten ist, dass die DSGVO nun ein einheitliches Mindestalter für die Einwilligung geregelt hat. Einwilligungen von Minderjährigen unter 16 Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit einverstanden sind.

Können Daten weiterhin analog erhoben werden? Was gibt es dabei an neuen Regularien zu beachten?

Ja. Wie Daten erhoben werden – digital oder analog – ist grundsätzlich für die rechtliche Würdigung gleich, es gelten dieselben Anforderungen. Das heißt: Es muss auch bei der analogen Datenerhebung, z.B. wenn E-Mail-Adressen offline gesammelt werden, ein Hinweis auf die Datenschutzerklärung gegeben werden.

Dazu hat die Datenschutzkonferenz ausgeführt, dass die diesbzgl. Informationen

  • in präziser, transparenter, verständlicher und leicht zugänglicher Form
  • sowie in klarer und einfacher Sprache

zu übermitteln sind. Außerdem sind sie

  • schriftlich oder
  • in anderer Form (ggf. elektronisch)

zur Verfügung zu stellen.

Wird aber auf eine elektronisch verfügbare Information Bezug genommen, dann muss diese auch leicht auffindbar und daher in der konkreten Situation verfügbar sein. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.

Müssen Newsletter-Empfänger darauf hingewiesen werden, wo ihre Daten gespeichert werden (Ort, Anbieter)?

Ja. Ein Hinweis in den Datenschutzerklärungen was, wo und wie lange gespeichert wird und dass CleverReach der Auftragsdatenverarbeiter ist, mit dem ein Auftragsverarbeitungsvertrag (AV) zur Absicherung der Daten besteht, sollte in der Regel ausreichend sein.

Werden die Double-Opt-in-Daten verschlüsselt und wenn ja, wie?

Selbstverständlich. Die Double-Opt-in-Daten werden im SSL-Verfahren verschlüsselt.

Müssen Newsletter-Empfänger darauf hingewiesen werden, welche Daten von Ihnen erhoben werden?

Ja. Der Umfang und der Zweck der Datenerhebung ist den Empfängern transparent und in einer einfachen und klaren Art und Weise mitzuteilen. Der wesentliche Inhalt ist an der Stelle, wo die Daten erhoben werden, zu erläutern; im Übrigen kann auf die Datenschutzerklärung verwiesen werden, die idealerweise an der Stelle verlinkt ist.

Weitere Informationen rund um das Thema DSGVO

Ihre Frage zur DSGVO ist noch nicht dabei?

Sie haben eine Frage zur DSGVO, die in die Sprechstunde gehört?