Absatzwirtschaft
Online-Marketing

Diese sechs Datenschutz-Regeln müssen Unternehmen beachten

Für das effiziente Platzieren von Werbung im Internet sind Profildaten von Internetnutzern wichtig. Doch auch die Privatsphäre von Millionen von EU-Bürgern, die im Internet unterwegs sind, gilt es zu schützen. Der Entwurf für eine neue EU-Datenschutz-Grundverordnung ist am 25. Januar 2012 offiziell vorgestellt worden. Sie soll verbindliches Recht in allen EU-Staaten werden. In ihr wird der Umgang mit personenbezogenen detailliert geregelt. Der geplante Entwurf wird massive Konsequenzen für Unternehmen haben – hier eine Übersicht.

Von Alexander Frisch und Sandra Fösken

1. Zwei-Klick-Lösung in Social Media Communitys einbinden

Die EU-Datenschutzverordnung sieht für soziale Netzwerke weitreichende Änderungen vor, die auch Konsequenzen für das Social-Media-Marketing in Unternehmen haben. So sieht die EU-Verordnung eine Löschungsverpflichtung der Anbieter mit Abmeldung des Nutzers vor („Recht, vergessen zu werden“). Der Zugang der Nutzer zu ihren Daten soll vereinfacht werden – zum Beispiel durch erweiterte Auskunftsrechte und Informationspflichten. Beim Wechsel des Diensteanbieters soll es für den Nutzer ein „Recht auf Datenübertragbarkeit“ geben. Die Anbieter werden verpflichtet, Einwilligungen der Nutzer einzuholen und datenschutzfreundliche Grundeinstellungen (Privacy by Default) beziehungsweise systematische Datenverarbeitungsverfahren mit eingebautem Datenschutz (Privacy by Design) zu integrieren.

Bei der Einbindung von Like-Buttons und Fanpages rät Dr. Cornelius Renner, Fachanwalt für gewerblichen Rechtsschutz in der Berliner Kanzlei LOH Rechtsanwälte, abzuwarten, ob die Gerichte die Seitenbetreiber oder Facebook als die verantwortliche Stelle, also den datenschutzrechtlich Verantwortlichen, sehen. Dies wird in der juristischen Diskussion verstärkt bezweifelt. Bis zu einer endgültigen Klärung empfiehlt Renner eine „Zwei-Klick-Lösung“, bei der nur mit Zustimmung der Anwender Daten übermittelt werden. Diese Lösung entspricht zwar auch nicht den gesetzlichen Anforderungen, sie wird von den Datenschutzbehörden aber wohlwollender gesehen als die herkömmliche Einbindung. Zudem sollte der Betreiber der Fanseite, den Nutzer über die Facebook-Datenverarbeitung in der Datenschutzerklärung detailliert aufklären.

2. Informationspflichten für Unternehmen nehmen zu

Nach § 13 Abs. 1 Telemediengesetz (TMG) müssen die Nutzer über Art, Umfang, und Zweck der Erhebung und Verwendung von personenbezogenen Daten in allgemein verständlicher Form unterrichtet werden. Das betrifft die Art und den Umfang der Datenverarbeitung bei Vertragsabwicklung, den Einsatz von Cookies und Webanalyse-Tools sowie die Datenweitergabe an Dritte. Werden pseudonymisierte Nutzerprofile erstellt oder Newsletter verschickt, muss auf das Bestehen des Widerspruchsrechts hingewiesen werden und etwaig vom Nutzer abgegebene Einwilligungserklärungen wiederholt werden. Schließlich sind die Nutzer auch über Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte zu unterrichten. „Die Informationspflichten für Unternehmen werden durch die EU-Datenschutzverordnung eher zu- als abnehmen“, betont Renner. Die Datenschutzerklärung sollte wie das Impressum über einen „sprechenden“ Link („Datenschutzerklärung“) von jeder Seite des Internetauftritts aus erreichbar sein. Werden Daten im EU-Ausland verarbeitet, muss unbedingt darauf hingewiesen werden.

3. Cookies ohne Einwilligung nicht erlaubt

Bislang muss der Diensteanbieter den Nutzer lediglich über das Setzen von Cookies unterrichten. Die Cookie-Richtlinie verpflichtet die EU-Staaten, Regelungen zu erlassen, die Diensteanbietern das Speichern von Informationen auf Computern nur erlauben, wenn der Nutzer über den Zweck der Datenverarbeitung und in das Setzen von Cookies eingewilligt hat. Ausnahmen vom Einwilligungserfordernis gelten nur, wenn der Zweck allein die Speicherung der Nachrichtenübertragung ist oder der Zugriff unbedingt erforderlich ist, damit der Anbieter den gewünschten Dienst überhaupt erbringen kann. Cookies, mit denen die zuletzt angesehenen Waren gespeichert oder mit denen ähnliche Produkte angeboten werden, fallen nach der Gesetzesänderung unter die Einwilligungserfordernis.

Die Frist zur Umsetzung der Cookie-Richtlinie in deutsches Recht ist bereits am 25. Mai 2011 abgelaufen. „Die Berichterstattung zur Umsetzung sollte aufmerksam verfolgt werden“, rät Renner. Aktuell ist ein Gesetzentwurf auf den Weg gebracht worden, der einen neuen § 13 Abs. 8 TMG vorsieht, der den Richtlinientext nahezu unverändert übernimmt. Sobald die Änderung in Kraft tritt, wird für Anbieter die Auslegung der Ausnahmeregelungen in der Praxis wichtig sein. „Es spricht viel dafür, dass zumindest die für Onlineshops eingesetzten Cookies zum sicheren Einloggen, Warenkorb-Cookies und Session-Cookies unter die zweite Ausnahmeregelung fallen“, meint der Anwalt.

4. Nutzungsprofile sind rechtens – aber anonym sollten sie sein

Nutzungsprofile sind zulässig, wenn sie für Zwecke der Werbung, der Marktforschung oder der bedarfsgerechten Gestaltung der Telemedien, anonym erstellt werden. Der Nutzer muss ferner in der Datenschutzerklärung auf sein Widerspruchsrecht hingewiesen und nicht widersprochen haben. Auch dürfen die Nutzungsprofile nicht mit den Klardaten – etwa die IP-Adresse des Nutzers – zusammengeführt werden. In dem aktuellen Vorschlag der EU-Datenschutzverordnung soll die Erstellung von Nutzungsprofilen erschwert werden. So dürfen die Anbieter ohne die Einwilligung des Nutzers keine personenbezogenen Profildaten sammeln. Es gibt zwar Ausnahmen, diese sind aber unklar formuliert. Insofern bleiben der EU-Kommission weitreichende Gestaltungsmöglichkeiten bei den Ausnahmetatbeständen.

Die EU-Datenschutzverordnung gibt die Richtung vor: Die Bürger sollen möglichst weitgehend vor Nutzungsprofilen geschützt werden, die etwa Aufschluss über ihre wirtschaftliche Situation, ihren Aufenthaltsort und ihre persönlichen Vorlieben geben. Insbesondere diejenigen, die solche Daten für Dritte sammeln, werden mit erhöhten Anforderungen (bis zu Einwilligungsvorbehalten) zu kämpfen haben. Im Zusammenspiel mit den geplanten Regelungen für das Setzen von Cookies steht insbesondere das cookiebasierte „Predicitve Behavioural Targeting“ vor dem Aus.

5. Auf seriöse Anbieter von Webanalyse-Tools achten

Auch der Einsatz von Webanalyse-Tools ist ebenfalls für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erlaubt, wenn die Nutzungsprofile pseudonymisiert erstellt, der Nutzer in der Datenschutzerklärung auf sein Widerspruchsrecht hingewiesen wird und nicht widerspricht. Es stellt sich die Frage, ob die Datenschutzvorschriften überhaupt anwendbar sind, wenn die Anwendungen keine personenbezogenen Daten speichern, also insbesondere keine (vollständigen) IP-Adressen. „Seitenbetreiber sollten sich auf zertifizierte Anbieter verlassen“, rät Renner.

So ist derzeit der Einsatz von Google Analytics beanstandungsfrei möglich, wenn der Seitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung mit Google schließt, die erhobenen IP-Adressen ausreichend anonymisiert werden, den Seitenbesuchern ein Widerspruchsrecht eingeräumt wird, eine ausreichende Datenschutzerklärung eingebunden ist und Altdaten gelöscht werden.

6. Direktmarketing nur mit ausdrücklicher Einwilligung möglich

Die Faustformel für Direktmarketing lautet: Es ist grundsätzlich nur zulässig, wenn der Empfänger ausdrücklich eingewilligt hat und er über die Werbemittel und den Absender aufgeklärt worden ist. Daneben gewährt das in § 28 Abs. 3 Satz 2 Bundesdatenschutzgesetz (BDSG) geregelte „Listenprivileg“ vier recht weitgehende Ausnahmen. Danach dürfen bestimmte Daten für Eigenwerbung, berufsbezogene Werbung, Spendenwerbung, Werbung für fremde Angebote verarbeitet und genutzt werden, sofern für den Rezipienten der Absender, der die Daten nutzt, eindeutig erkennbar ist. Unzulässig ist die Datenverarbeitung, wenn schutzwürdige Interessen des Empfängers entgegenstehen oder er der Datenverarbeitung widersprochen hat. Der aktuelle Vorschlag sieht eine dem deutschen Recht ähnliche Widerspruchslösung mit einer Interessenabwägung vor. Allerdings soll die EU-Kommission ermächtigt werden, die Interessenabwägungsklausel näher auszugestalten. In welcher Weise dies geschehen wird, ist nicht abzusehen.

Andere in dem Vorschlag der EU-Datenschutzverordnung vorgesehene Regelungen, die das Direktmarketing betreffen, sind:

  • Der Austausch von Kundendaten wird eingeschränkt.
  • Betroffene können bei einem Wechsel zu einem anderen Dienstleistungsanbieter die Übertragung der Daten in einem gängigen elektronischen Format verlangen (Recht auf Datenportabilität).
  • Strenge Beschränkungen für die Verarbeitung von personenbezogenen Daten von Kindern.
  • Weitgehende Löschungsrechte der Betroffenen („Recht auf Vergessenwerden“).
  • Erweiterte administrative Pflichten für Unternehmen (unter anderem Erstellung von Unternehmensrichtlinien und Dokumentationen, zusätzliche Transparenzpflichten).

Neben den datenschutzrechtlichen Vorschriften müssen Unternehmen die wettbewerbsrechtlichen Regeln beachten, also insbesondere § 7 Gesetz gegen den unlauteren Wettbewerb (UWG). Danach ist jede unzumutbare Belästigung der Werbeadressaten verboten. Dies ist insbesondere bei Telefonwerbung gegenüber Verbrauchern ohne ausdrückliche und gegenüber einem Unternehmer ohne dessen zumindest mutmaßliche Einwilligung der Fall.

Der ausdrückliche Einwilligungsvorbehalt betrifft auch E-Mail- und Telefaxwerbung. Für E-Mail-Werbung sieht § 7 Abs. 3 UWG vor, dass sie auch ohne ausdrückliche Einwilligung zulässig ist, wenn der Werbende die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden selbst erhalten hat. Allerdings muss der Absender in der Werbung eigene ähnliche Produkte bewerben und der Kunde darf nicht widersprochen haben. Auf sein Widerspruchsrecht muss er ebenfalls wieder bei jedem Versand hingewiesen worden sein.

Alexander Frisch ist Anwalt in der Berliner Kanzlei LOH Rechtsanwälte.

www.loh.de

Online-Marketing