Viele Menschen sind verwirrt, wenn es um Marketing und EU-Datenschutzrecht geht. Wir können es ihnen nicht verdenken, denn die Vorschriften sind äußerst kompliziert.
Das liegt daran, dass Direktmarketing unter verschiedene Gesetze fällt: die Datenschutz-Grundverordnung und die alte Datenschutzrichtlinie für elektronische Kommunikation. Es reicht nicht aus, jedes Gesetz für sich zu betrachten - man muss verstehen, wie sie zusammenwirken.
Um die Dinge noch komplizierter zu machen, haben die EU-Mitgliedstaaten die Richtlinie auf unterschiedliche Weise umgesetzt, vor allem in Bezug auf die Kommunikation zwischen Unternehmen (Business-to-Business, B2B). Infolgedessen ändern sich einige Regeln von Land zu Land.
Dieser Blog kann nur an der Oberfläche kratzen: Um sicherzustellen, dass Ihr Direktmarketing zu 100 % konform ist, müssen Sie sich die Rechtsvorschriften der einzelnen Mitgliedstaaten ansehen. Nur weil Sie die niederländischen Gesetze einhalten, heißt das noch lange nicht, dass Sie auch in Italien oder Kroatien gesetzeskonform sind!
Lassen Sie uns eintauchen!
- Wie lauten die Gesetze?
- Welches Recht gilt?
- Wie lauten die Regeln?
- Business-to-Consumer (B2C)
- Business-to-Business (B2B)
- Was muss ich sonst noch wissen?
- Schlussfolgerungen
Wie lauten die Gesetze?
Sowohl die Datenschutz-Grundverordnung als auch die Datenschutzrichtlinie für elektronische Kommunikation gelten für das Direktmarketing.
Sie haben wahrscheinlich schon von der DSGVO gehört: Sie ist eine sehr wichtige Verordnung und die zentrale Säule des EU-Datenschutzrahmens. Da es sich um eine Verordnung handelt, sind die Regeln für alle Mitgliedstaaten gleich.
Die Datenschutzrichtlinie für elektronische Kommunikation ist ein älteres EU-Gesetz aus dem Jahr 2002. Als Richtlinie ist sie nicht direkt anwendbar. Stattdessen setzt jeder Mitgliedstaat sie durch seine eigenen Rechtsvorschriften um. Aus diesem Grund sind die Vorschriften zwar ähnlich, aber nicht überall in der EU gleich.
Welches Recht gilt?
Die Regeln für das Direktmarketing hängen vom anwendbaren Recht ab. Hier wird es knifflig, denn die Datenschutz-Grundverordnung und die Richtlinie verwenden unterschiedliche Kriterien.
Die Richtlinie unterscheidet zwischen der Kommunikation zwischen Unternehmen und Verbrauchern (B2C) und der Kommunikation zwischen Unternehmen (B2B). Die Richtlinie regelt die B2C-Kommunikation, lässt den Mitgliedstaaten aber einen gewissen Spielraum für die Regelung der B2B-Kommunikation. Infolgedessen sind die Regeln für B2C in ganz Europa (größtenteils) gleich, aber für B2B gelten in den verschiedenen Staaten unterschiedliche Regeln.
Andererseits hängt die Anwendbarkeit der Datenschutz-Grundverordnung von der Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten ab. Die Datenschutz-Grundverordnung gilt für das gesamte B2C-Marketing und einige Fälle von B2B-Marketing.
Zusammengefasst gibt es drei mögliche Szenarien:
- B2C-Kommunikation (z. B. E-Mails an johndoe@emailprovider.com) fällt sowohl unter die Datenschutz-Grundverordnung als auch unter die Richtlinie
- B2B-Kommunikation (wie z. B. E-Mails an purchases@business.com) fällt unter die von den Mitgliedstaaten erlassenen spezifischen Vorschriften
- B2B-Kommunikation fällt unter die Datenschutz-Grundverordnung und unter die Vorschriften der Mitgliedstaaten, wenn es sich bei den Kontaktinformationen um personenbezogene Daten handelt (z. B. bei einer E-Mail an johndoe@business.com).
Wie lauten die Regeln?
Wie wir bereits erläutert haben, hängen die Regeln von der Art der Kommunikation ab. Hier ist ein Überblick:
Business-to-Consumer:
Opt-in oder Soft-opt-in für die meisten Mitgliedstaaten (mehr dazu später!)
Wenn keine Einwilligung eingeholt wird, muss das berechtigte Interesse korrekt abgewogen werden, um der DSGVO zu entsprechen. Wenn dies nicht möglich ist, ist die Einwilligung trotzdem erforderlich!Business-to-business mit personenbezogenen Daten:
Verschiedene Staaten haben unterschiedliche Regeln. Je nach Staat und Situation kann eine Einwilligung für das Marketing erforderlich sein oder nicht.
Wenn keine Einwilligung eingeholt wird, muss das berechtigte Interesse korrekt abgewogen werden, um der DSGVO zu entsprechen. Wenn dies nicht möglich ist, ist die Einwilligung trotzdem erforderlich!Business-to-Business ohne personenbezogene Daten:
Verschiedene Staaten haben unterschiedliche Regeln. Je nach Staat und Situation kann eine Einwilligung für das Marketing erforderlich sein oder nicht.
Die Datenschutz-Grundverordnung findet keine Anwendung. Daher ist keine Rechtsgrundlage für die Verarbeitung der Daten erforderlich.
Schauen wir uns das Ganze einmal genauer an!
Business-to-Consumer (B2C)
Opt-in und Soft-Opt-it
Gemäß der Datenschutzrichtlinie für elektronische Kommunikation ist die Zustimmung für B2C-Marketing obligatorisch. Dieses System wird üblicherweise als Opt-in bezeichnet.
Für Bestandskunden gibt es eine Ausnahme - die so genannte Soft-Opt-In-Regel. Nach der Soft-opt-in-Regel benötigen Sie keine Einwilligung, wenn fünf kumulative Bedingungen erfüllt sind:
- Sie haben die E-Mail-Adresse des Verbrauchers im Zusammenhang mit einem Verkauf erfasst
- Sie werben für Ihr eigenes Produkt oder Ihre eigene Dienstleistung
- die Dienstleistung ist derjenigen ähnlich, die der Verbraucher bereits bei Ihnen gekauft hat
- Sie haben den Verbrauchern bei der Erfassung der E-Mail-Adresse die Möglichkeit gegeben, sich von der Werbung abzumelden.
- jede E-Mail, die Sie versenden, enthält eine Abmeldemöglichkeit.
Ein Beispiel: John Doe kauft ein Abonnement für Ihre Online-Zeitung und gibt Ihnen seine E-Mail-Adresse. Während des Abonnementvorgangs können Sie ihm die Möglichkeit geben, sich vom Direktmarketing abzumelden. Wenn er sich nicht abmeldet, können Sie ihn später unter johndoe@emailprovider.com kontaktieren, um für eine andere Ihrer Publikationen zu werben - aber Sie müssen in jeder Mitteilung eine Abmeldemöglichkeit vorsehen.
Außerdem können Sie nicht per Telefonanruf oder SMS für Ihre Shampoo-Linie oder eine Zeitung eines anderen Verlags oder Ihre Publikation werben.
Bitte beachten Sie, dass diese Erklärung für die meisten, aber nicht für alle Länder zutrifft. Die Richtlinie wird in den einzelnen Mitgliedstaaten unterschiedlich umgesetzt: In einigen Ländern sind beispielsweise zusätzliche Schritte erforderlich, damit ein Soft-Opt-In gültig ist, in anderen wiederum ist ein Soft-Opt-In überhaupt nicht zulässig.
Auch was einen Verkauf darstellt, ist von Land zu Land unterschiedlich. In einigen Ländern muss ein Produkt oder eine Dienstleistung verkauft worden sein, während es in anderen Ländern ausreicht, wenn eine Geschäftsbeziehung im Rahmen eines Verkaufs eingegangen wurde, auch wenn letztendlich nichts verkauft wurde.
Die Datenschutz-Grundverordnung: Einwilligung und berechtigtes Interesse
Die Richtlinie ist nur die halbe Miete: Auch nach der Datenschutz-Grundverordnung benötigen Sie eine Rechtsgrundlage. In der Praxis kann dies entweder die Einwilligung oder das berechtigte Interesse sein.
Wenn die Richtlinie eine Einwilligung vorschreibt, sind die Dinge relativ einfach: Die Richtlinie übertrumpft" die DSGVO, und Sie können nur die Einwilligung als Rechtsgrundlage für Direktmarketing verwenden.
Wenn die Richtlinie keine Einwilligung vorschreibt, können Sie zwischen Einwilligung und berechtigtem Interesse wählen, und genau hier wird es knifflig.
Das berechtigte Interesse kann für Direktmarketing verwendet werden, aber es gibt einige Einschränkungen; das berechtigte Interesse erfordert eine Abwägung zwischen widerstreitenden Interessen und Rechten - in diesem Fall das Recht eines Verbrauchers auf Privatsphäre und das Interesse eines Unternehmens an der Förderung seines Produkts oder seiner Dienstleistung.
Die Abwägung ist eine komplexe Einzelfallprüfung, bei der es keine allgemeingültigen Antworten gibt. Es kann Szenarien geben, in denen Sie ein berechtigtes Interesse geltend machen können, und Szenarien, in denen dies nicht möglich ist. In diesen Fällen benötigen Sie eine Einwilligung, unabhängig davon, ob die Richtlinie dies vorschreibt oder nicht!
Mit anderen Worten: Das Erfordernis der Einwilligung für Direktmarketing ist schwierig, weil es sowohl von der Richtlinie als auch von der Datenschutz-Grundverordnung abhängt. Wenn Sie sich nur die Richtlinie ansehen, haben Sie das halbe Bild übersehen!
Business-to-Business (B2B)
Business-to-Business-Marketing richtet sich direkt an Unternehmen; eine E-Mail an purchases@business.com oder johndoe@business.com gilt beispielsweise als B2B-Marketing.
Wie wir bereits erläutert haben, enthält die Richtlinie keine Vorschriften für B2B-Marketing, sondern lässt den Mitgliedstaaten Raum, die Kommunikation nach eigenem Ermessen zu regeln.
Die Regeln sind ganz den einzelnen Mitgliedstaaten überlassen. In einigen Ländern ist für B2B-Marketing eine Einwilligung erforderlich, in anderen ist es ohne Einwilligung zulässig, und wieder andere verlangen zwar eine Einwilligung, lassen aber in bestimmten Fällen ein Soft-Opt-In zu. In einigen Ländern wird zwischen Erst- und Drittmarketing unterschieden.
Um die Dinge noch komplizierter zu machen, fallen einige B2B-Kommunikationen unter die Datenschutz-Grundverordnung, andere nicht.
In unserem Beispiel fallen Mitteilungen an purchases@business.com nicht unter die Datenschutz-Grundverordnung, weil die Einkaufszentrale von Business keine Person ist. Andererseits fallen Mitteilungen an johndoe@business.com unter die Datenschutz-Grundverordnung, weil die E-Mail-Adresse des Unternehmens auf den Mitarbeiter von Business John Doe verweist. Dies könnte auch der Fall sein, wenn Sie die E-Mail-Adresse für ein Ein-Mann-Unternehmen verwenden.
Wenn die DSGVO gilt, benötigen Sie eine Rechtsgrundlage für die Datenverarbeitung. Und wenn Sie ein berechtigtes Interesse geltend machen wollen, müssen Sie, wie oben erläutert, eine Abwägung vornehmen. Wenn das berechtigte Interesse nicht abgewogen werden kann, benötigen Sie eine Einwilligung, unabhängig davon, ob die Richtlinie dies vorschreibt.
Was muss ich sonst noch wissen?
Seien Sie vorsichtig bei der Datenanalyse!
Unternehmen, die Direktmarketing betreiben, analysieren häufig personenbezogene Daten wie Alter, Adresse, Interessen und Kaufverhalten, um festzustellen, wer an einem Angebot interessiert sein könnte.
All diese Daten fallen unter die Datenschutz-Grundverordnung und erfordern eine Rechtsgrundlage für ihre Verarbeitung. Nur weil das Soft-Opt-In-System der Richtlinie es Ihnen erlaubt, Kontaktinformationen ohne Zustimmung zu verarbeiten, heißt das nicht, dass Sie auch andere Daten ohne Zustimmung verarbeiten können!
In der Praxis ist es hilfreich, sich zwei verschiedene Datenverarbeitungsvorgänge vorzustellen:
- In einem ersten Schritt analysieren Sie bestimmte personenbezogene Daten über Ihre Zielgruppe, um Ihre Marketingbemühungen besser auf die Zielgruppe auszurichten. Dieser Schritt muss im Einklang mit der Datenschutz-Grundverordnung stehen.
- In einem zweiten Schritt versenden Sie die Marketingmitteilungen unter Verwendung von Kontaktinformationen. Dieser Schritt muss sowohl mit der Datenschutz-Grundverordnung als auch mit der Datenschutzrichtlinie für elektronische Kommunikation übereinstimmen.
Identifizieren Sie Ihr Unternehmen in den E-Mails
Unabhängig davon, ob Ihr Marketing auf einer Einwilligung beruht oder nicht, schreibt die Richtlinie vor, dass Ihre E-Mails Ihr Unternehmen als Absender ausweisen müssen.
Darüber hinaus verlangt die Datenschutz-Grundverordnung, dass Sie Informationen zu Transparenzzwecken bereitstellen. Angenommen, Sie wollen Ihre E-Mails übersichtlich halten. In diesem Fall können Sie auf einen Datenschutzhinweis verweisen (solange dieser Informationen enthält, die sich speziell auf das Direktmarketing beziehen - verweisen Sie die Nutzer nicht auf den Datenschutzhinweis auf Ihrer Unternehmenswebsite oder ähnliches).
In diesem Fall empfehlen wir, Ihr Unternehmen in der E-Mail deutlich als Absender zu kennzeichnen, um sicherzustellen, dass Sie nicht gegen die Richtlinie verstoßen.
Opt-outs und Zustimmung
Bitte beachten Sie, dass die Einwilligung widerrufen werden kann und dass es nach der DSGVO genauso einfach sein muss, die Einwilligung zu widerrufen, wie sie zu erteilen.
Um der DSGVO zu entsprechen, ist es wahrscheinlich eine gute Idee, in Ihren E-Mails einen Link zum Widerruf der Einwilligung anzugeben.
In der Praxis bedeutet dies, dass alle Mitteilungen, die sich an Einzelpersonen richten, eine Option zur endgültigen Beendigung der Kommunikation enthalten sollten - sei es die in der Richtlinie vorgeschriebene Opt-out-Möglichkeit oder eine Option zum Widerruf der Einwilligung gemäß der DSGVO.
Schlussfolgerungen
Die Vorschriften zum Direktmarketing sind verwirrend und fragmentiert. Die Datenschutz-Grundverordnung und die Datenschutzrichtlinie für elektronische Kommunikation können als Ausgangspunkt für das Verständnis der Vorschriften dienen, aber letztendlich gibt es in den meisten Fällen keine allgemeingültige Antwort für alle EU-Länder.
Diese PDF-Datei von der Website der International Association of Privacy Professionals bietet einen praktischen Überblick über die geltenden Vorschriften. Ausführlichere Informationen über spezifische Rechtsvorschriften finden Sie manchmal auf den Websites der nationalen Datenschutzbehörden.
Selbst mit diesen Ressourcen kann es kompliziert sein, alle Vorschriften zu verstehen. Möglicherweise sollten Sie sich an einen Juristen wenden, der sich mit den Rechtsordnungen auskennt, in denen Sie tätig sind. Dies gilt umso mehr, wenn Sie Marketing ohne Einwilligung betreiben, was die Einhaltung der DSGVO erschwert.
Warum ist uns das wichtig?
Wir glauben an den ethischen Weg, Geschäfte zu machen. Aus diesem Grund haben wir Simple Analytics entwickelt, eine datenschutzfreundliche Alternative zu Google Analytics. Simple Analytics bietet Ihnen alle erforderlichen Einblicke, ohne Cookies, Tracker oder Fingerabdrücke von Nutzern zu verwenden. Wir verfolgen Ihre Besucher nicht und sammeln kein einziges Bit an persönlichen Daten!
Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!