TechTarget

J.Mühlbauer exclus. - stock.ado

Ratgeber

DSGVO/GDPR: Was für Direktwerbung zu beachten ist

Die DSGVO behandelt Direktwerbung nicht explizit, die Vorgaben leitet man aus den Grundsätzen der Datenschutz-Grundverordnung ab. Die Aufsichtsbehörden geben hierbei Hilfestellung.

Oliver Schonschek
von
Zuletzt aktualisiert:03 Dez. 2018

Mit der Datenschutz-Grundverordnung (DSGVO/GDPR) sind die bisherigen Datenschutzregelungen für die direkte Werbeansprache nach dem alten Bundesdatenschutzgesetz weggefallen, so die Datenschutzbehörden des Bundes und der Länder in Deutschland. Daraus sollte man keine falschen Schlüsse ziehen:

  • Die direkte Werbeansprache ist nicht völlig ausgeschlossen, weil es keine expliziten Artikel in der DSGVO dazu gibt. Die DSGVO ist also nicht das Ende der Direktwerbung, wie mancher befürchtet hatte.
  • Die Direktwerbung kann allerdings auch nicht ohne Berücksichtigung der DSGVO erfolgen, nur weil sie nicht explizit in einem eigenen Artikel geregelt ist.

Tatsächlich findet man in den zur DSGVO/GDPR gehörenden Erwägungsgründen gute Hinweise, wie die DSGVO und die Direktwerbung zueinanderstehen, ebenso in einigen Artikeln der DSGVO:

  • „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“
  • „Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“
  • „Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.“

Die Aufsichtsbehörden haben sich in der 96. Datenschutzkonferenz im November 2018 damit befasst, wie den Unternehmen dabei geholfen werden kann, Direktwerbung nach DSGVO durchzuführen. Einige zentrale Ergebnisse der Orientierungshilfe der Aufsichtsbehörden stellen wir zusammen.

Rechtsgrundlage nach DSGVO prüfen

Werbung beziehungsweise Direktwerbung im Sinne der Datenschutz-Grundverordnung ist insbesondere die von Unternehmen, Selbständigen, Verbänden und Vereinen durchgeführte Wirtschaftswerbung zum Aufbau und zur Förderung eines Geschäftsbetriebs. Ob die Direktwerbung nach DSGVO zulässig ist oder nicht, kommt darauf an, ob eine der Bedingungen der Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Artikel 6 DSGVO) erfüllt ist. Die zentrale Rolle spielen hier:

  • Die betroffene Person hat eine Einwilligung für diesen Verwendungszweck erteilt.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Liegt keine informierte Einwilligung für die Nutzung der personenbezogenen Daten für den Zweck der Direktwerbung vor, müssen die Unternehmen also eine Interessenabwägung vornehmen, wenn sie der betroffenen Person Werbung senden wollen. Gemeint ist hier keine abstrakte Abwägung, sondern eine Abwägung im konkreten Einzelfall:

  • Ist die Nutzung der Daten zur Direktwerbung erforderlich?
  • Was bedeutet die Direktwerbung für den Betroffenen, wird sie oder er diese Art von Direktwerbung erwarten, was wird sie oder er erwarten?

Die Aufsichtsbehörden betonen, dass die betroffenen Personen insbesondere erwarten werden, dass sie transparent aufgeklärt werden, über die vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung.

Nicht zuletzt müssen auch die Grundsätze der Verarbeitung personenbezogener Daten im Blick sein. Bei Direktwerbung muss somit gewährleistet sein:

  • eine faire Verfahrensweise, wie in der DSGVO beschrieben,
  • eine dem Zweck angemessene Verarbeitung,
  • eine für die betroffene Person nachvollziehbare Weise der Verarbeitung (insbesondere Nennung der Quelle der Daten, wenn Fremddaten verarbeitet werden).

Schutzwürdige Interessen der Betroffenen abwägen

Doch wann sind diese Kriterien erfüllt? Wann überwiegt das Interesse des Unternehmens an Direktwerbung, wenn man dies mit den schutzwürdigen Interessen der Betroffenen vergleicht? Hierzu geben die Aufsichtsbehörden Beispiele:

Direktwerbung erlaubt: Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weiterer Produkte des Verantwortlichen zugesendet wird.

Keine Direktwerbung ohne Einwilligung: Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen beziehungsweise Analysen, die zu zusätzlichen Erkenntnissen führen, sprechen hingegen dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. In diesen Fällen handelt es sich um Profiling, eine informierte Einwilligung ist erforderlich.

Keine Direktwerbung ohne Einwilligung: Die Erstellung eines Profils unter Verwendung externer Datenquellen (beispielsweise Informationen aus sozialen Netzwerken) für Zwecke der Direktwerbung (Werbescores) wird in der Regel zu einem Überwiegen der schutzwürdigen Interessen der betroffenen Person führen. Auch hier ist eine informierte Einwilligung die Voraussetzung für eine Direktwerbung.

Einwilligung für Direktwerbung richtig gestalten

Wenn eine informierte Einwilligung als Rechtsgrundlage für Direktwerbung erforderlich ist, muss diese Einwilligung auch die Anforderungen nach Artikel 7 DSGVO erfüllen. Die Aufsichtsbehörden haben auch einen besonderen Fall herausgegriffen, den jeder kennen wird, der in den letzten Monaten eine Messe besucht hat:

Bedeutet die Übergabe einer Visitenkarte, dass man der Nutzung der darauf befindlichen Daten zu Werbezwecken zugestimmt hat, oder bedarf es einer zusätzlichen Einwilligung, zum Beispiel durch Unterzeichnen einer Datenschutz-Einwilligung am Messestand, wie dies nun gerne auf Messen gemacht wird?

Die Antwort der Aufsichtsbehörden: „Visitenkarten, die von den betroffenen Personen auf Messen oder sonstigen Veranstaltungen ausdrücklich zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme hinterlassen werden, können grundsätzlich eine wirksame Einwilligung im Sinne der DSGVO darstellen, wenn infolge weiterer Umstände für den Verantwortlichen eine Nachweisbarkeit der Einwilligung gegeben ist.“

Tipp: Es macht offensichtlich Sinn, den ausdrücklichen Wunsch zur Informationszusendung in dem Besuchsprotokoll am Messestand zu dokumentieren und die Visitenkarte an dem Protokoll zu befestigen oder sie anderweitig sinnvoll aufzubewahren. Ein separates Einwilligungsschreiben wird in aller Regel nicht notwendig sein.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gratis-eBook: Das müssen Firmen zur DSGVO wissen

DSGVO: Das sollten Unternehmen über Bußgelder und Sanktionen wissen

Datenschutz-Grundverordnung: Was sind eigentlich personenbezogene Daten?

Erfahren Sie mehr über Datenschutz und Compliance

ComputerWeekly.de
Close