Der Newsletter-Versand und die Zusendung von Werbematerial zählen zu den Standardmaßnahmen im Marketing. Für den Versand wird auf personenbezogene Daten von Interessenten und Kunden zugegriffen. Laut Artikel 6 Abs 1 lit a DSGVO muss dafür eine Einwilligung eingeholt werden. Welche formalen Anforderungen gelten dafür?

Newsletter-Versand, Zusendung von Werbematerial (elekronisch oder per Post), Gewinnspiele, oder auch die Veröffentlichung von Aufnahmen von Veranstaltungen sind aus dem Marketing nicht wegzudenken. Für den Versand werden Mailadressen, Postadressen, Bilder und Videos von Kunden, Interessenten und Geschäftspartnern verwendet - alles personenbezogene Daten. Laut Artikel 6 Abs 1 lit a DSGVO muss dafür vorher eine Einwilligung eingeholt werden. Welche formalen Anforderungen gelten dafür?

Formale Anforderungen an Einwilligungserklärungen

Um gültig zu sein, muss eine Einwilligung laut Art 4 DSGVO folgende Kriterien erfüllen:

  • Freiwilligkeit
  • Nachweisbarkeit
  • In informierter Weise und unmissverständlich erteilt (dies ergibt sich aus den Erläuterungen – „den sogenannten Erwägungsgründen“ - der DSGVO)
  • Inhaltlich und optisch von anderen Erklärungen oder Texten abgegrenzt (nicht in AGB versteckt und nicht mit anderen Erklärungen gekoppelt). Dieses sogenannte „Koppelungsverbot“ bedeutet in der Praxis: im Zweifel für jede Datenanwendung eine eigene Checkbox, die aktiv angekreuzt werden muss.
  • In verständlicher, leicht zugänglicher Form; in klarer und einfacher Sprache gehalten
  • Jederzeit widerrufbar

Die Einwilligungserklärung kann schriftlich, elektronisch oder auch mündlich erfolgen.
Zum Beispiel durch:

  • Anklicken eines Kästchens auf einer Internetseite
  • Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft
  • Andere Erklärungen oder Verhaltensweisen, die im jeweiligen Kontext eindeutig das Einverständnis der betroffenen Person zur Datenverarbeitung signalisieren.

Stillschweigen oder bereits vorangekreuzte Kästchen stellen keine Einwilligung dar. Dient die Datenverarbeitung mehreren Zwecken, ist für jeden Zweck eine eigene Einwilligungserklärung nötig.
Aus dem Kriterium, dass die Einwilligung „in informierter Weise und unmissverständlich“ erfolgen muss, kann außerdem abgeleitet werden, dass vor bzw. im Zuge der Einwilligungserklärung die Informationspflichten (Art 13, Art 14 DSGVO) erfüllt werden müssen.

Häufiger Fehler bei Einwilligungserklärungen: Missachtung des Koppelungsverbotes

Das Koppelungsverbot bedeutet: Eine Einwilligung ist nicht zulässig, wenn die Erfüllung eines Vertrages von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung des Vertrages nicht erforderlich ist. Analog gilt das auch für die Vereinbarung von Dienstleistungen.
Wann entsteht eine Koppelung? Mit diesem Thema hat sich die Datenschutzbehörde 2018 genauer befasst.

Rechtskräftiger Bescheid der Datenschutzbehörde vom 31. Juli 2018

Vorgeschichte: In einem Mitgliederanmeldeformular wurde gleichzeitig die datenschutzrechtliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO zu Marketingzwecken eingeholt (wahlweise Post, elektronischer Übermittlungsweg oder Telefon):

  • Die betroffene Person konnte nur entscheiden, durch welches Medium sie Marketing-Zusendungen erhalten möchte, aber sich nicht klar für bzw. gegen Zusendungen aussprechen.
  • Zusätzlich war die Einwilligungserklärung genau über dem Unterschriftsfeld platziert. Das hat den Anschein geweckt, dass die Einwilligung zu einer Datenverarbeitung für Marketingzwecke für die Anmeldung zur Mitgliedschaft erforderlich ist.
  • Das Formular hat den Eindruck erzeugt, dass nur eine spätere Widerrufsmöglichkeit in Bezug auf Marketing-Zusendungen besteht.

Durch diese Vorgangsweise wurden gleich drei Anforderungen der DSGVO missachtet:

  • Eine betroffene Person muss sich sofort aktiv für bzw. gegen Zusendungen aussprechen können (Art. 7 iVm Art. 4 Z 11 DSGVO)
  • Das Formular war nicht verständlich genug (Art. 7 iVm Art. 4 Z 11 DSGVO)
  • Der Antrag auf Aufnahme als Mitglied darf nicht mit der Einwilligung in die Marketingmaßnahmen gekoppelt sein (Art 7 Abs 4 DSGVO).

Rechtlich korrekt ist:

  • Eine grundsätzliche Entscheidung für und gegen Zusendungen muss möglich sein.
  • Die Einwilligung erfolgt getrennt vom Anmeldeformular bzw. Vertrag und mit eigenem Unterschriftsfeld.

(Bescheid vom 31. Juli 2018, GZ: DSB-D213.642/0002-DSB/2018)

 

Seminartipp! Updadte Datenschutzrecht