Im Gestrüpp der Interessenabwägung
PSP Case Study zur DSGVO: Praxisfall 29

DSGVO: Praktischer Fall

Die Finanzberatung Maier GmbH berät verschiedene Kunden, sowohl Unternehmen als auch Privatpersonen, über Möglichkeiten der Finanzanlage. Dies geschieht in unterschiedlichen Themenbereichen und Zielgruppen. Die Maier GmbH möchte sowohl ihren Kunden als auch interessierten Dritten Marketing-Materialien zukommen lassen, um so mit diesen in Kontakt zu bleiben bzw. sich wieder in Erinnerung zu rufen. Dies umfasst „Newsletter“ in schriftlicher und E-Mail-Form, Einladungen zu Veranstaltungen, Weihnachtskarten etc. Interessierte Dritte sind insbesondere Personen, deren Kontaktdaten die Mitarbeiter der Maier GmbH bei Veranstaltungen, durch Vermittlung seitens Geschäftspartnern oder anlässlich spontaner Kontaktaufnahme durch die Dritten „aufsammeln“. Dabei werden von den Mitarbeiter der Maier GmbH teilweise, etwa wenn ihnen gegenüber nur ein Nachname und ein Unternehmensname eines Ansprechpartners genannt wurden, auch Informationen aus dem Impressum der betroffenen Unternehmenswebsite verwendet. Intern versieht die Maier GmbH die Daten dann mit „Tags“, d. h. für welche (Finanzierungs-)Felder sich welche Kunden und Dritte interessieren, und generiert so Interessengruppen bzw. relevante Teilmengen (Mailing-Listen). Welche Marketing-Materialien welchen Teilmengen zugesandt werden, wird jeweils von Fall zu Fall entschieden. Teils werden auch Marketing-„Formate“ ausprobiert, z. B. die Ansprache ausgewählter Personen für ein ansprechendes Abendessen mit Kurzvortrag, eine Unternehmensjubiläumsfeier oder die Zusendung von kleinen „Gadgets“ wie Briefbeschwerer mit Unternehmensaufdruck etc. Die Maier GmbH versieht daher vorsorglich jede Außenkommunikation (Verträge mit Kunden und Dritten, E-Mail-Verkehr etc.) mit dem Hinweis, dass die personenbezogenen Daten des Adressaten „auch“ zu „Zwecken des Direktmarketings“ verwendet werden, und verweist jeweils auf eine entsprechende Internetseite, welche die entsprechenden Pflichtinformationen enthält.

Die vorhergehenden Fälle zu Themen des Direktmarketings (Fälle 1, 8, 17, 20 und 26) behandeln bereits einige Facetten dieser Fallgestaltung. Hier soll es vorrangig um die Frage der Interessenabwägung selbst gehen. Dass das Interesse an „Direktmarketing“ ein datenschutzrechtlich legitimes Interesse ist, ergibt sich aus der DSGVO selbst, wobei auch schon hier die Frage der Reichweite des Begriffs „Direktmarketing“ offen ist (Bestandskunden vs. Neukunden, s. Fall 8). Welches Interesse eines Betroffenen dem im Rahmen einer Abwägung entgegenstehen kann, ist auch nicht ganz so klar. Der Wettbewerbsrechtler würde sagen, dass (außerhalb des Bereichs der Einwilligung) im Grundsatz jede „Belästigung“ des Betroffenen mit Werbung unzumutbar ist, soweit das Gesetz diese nicht ausnahmsweise erlaubt. So wurde zum Beispiel aus wettbewerbsrechtlicher Sicht – und auf klarer gesetzlicher Grundlage – geurteilt, dass ein Online-Händler, der ein breites Warenspektrum vertreibt, keinen „10%-Rabattgutschein auf Alles“ an einen Kunden senden darf, der zuvor dort ein Notebook erworben hat. Der Gutschein – der natürlich eine Werbung darstellt – darf sich nicht auf Waschmaschinen (und was der Händler sonst noch alles im Portfolio hat) beziehen, sondern nur auf Notebooks und „ähnliche“ Produkte (vgl. auch Fall 17). Man mag das für seltsam halten, weil die „Belästigung“ hier erlaubt gewesen wäre, wenn der Gutschein nur „10% auf Notebooks“ gelautet hätte. Warum aber sollte der Kunde so schnell schon einen zweiten, ähnlichen Notebook erwerben wollen? Und warum darf nicht für Zubehör (z. B. eine Computermaus) geworben werden, welches dem Notebook leider nicht „ähnlich“ ist? Manche (Datenschutz-) Juristen argumentieren gleichwohl, dass man das „ähnlich“ auch im Sinne von Zubehör auslegen müsse – das muss doch der Gesetzgeber anders gemeint haben, als er das geschrieben hat! Man sieht: Juristen können sich schwer darüber freuen, dass das Wettbewerbsrecht in diesem Punkt sprachlich klar abgefasst ist und dem Rechtsanwender die Einhaltung geradezu einfach macht. Wo klar formulierte Gesetze etwas „intuitiv nur schwer verständliches“ regeln, werden die Grenzen des Gesetzestextes einfach mit der juristischen Methodenlehre gesprengt. In der DSGVO hingegen fehlen schon konkrete Anhaltspunkte im Gesetzestext dafür, wann eine unzumutbare Belästigung vorliegt bzw. welche Interessen des Werbungsadressaten in welcher Gewichtung zu berücksichtigen sind.

Folge dem Wettbewerbsrecht?

Das leitet auf die entsprechende Logik der Interessenabwägung im Rahmen der DSGVO über. Schon das Wort „Interessenabwägung“ selbst indiziert ja, dass man es so oder so sehen kann, je nachdem, welchem Interesse man nun größeres Gewicht einräumt. Und als sei die Identifikation der beiderseitigen legitimen Interessen und die Abwägung dieser Interessen noch nicht genug, wird in den Erwägungsgründen der DSGVO zusätzlich vorgeschrieben, dass bei der Interessenabwägung „die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen“ sind. Mit anderen Worten: Wenn ein vernünftiger Betroffener sagen würde „wer X macht, muss mit Y rechnen“, dann wäre das ein Indiz, das Y datenschutzrechtlich erlaubt ist. Und würde nicht jemand, der ein Notebook kauft, auch Werbung für eine Computermaus erwarten?

Wettbewerbsrechtlich wird hier nach dem Medium unterschieden, also ob die Ansprache per Post, E-Mail oder Telefon erfolgt. Datenschutzrechtlich ist hingegen das Medium normalerweise irrelevant. Die Datenschutzkonferenz begründet mithilfe des skizzierten „Erwartungsgrundsatzes“ ihre Aussage in ihrer „Orientierungshilfe“ zum Thema Direktwerbung vom November 2018, es sei datenschutzrechtlich zulässig, wenn im Nachgang zu einer Bestellung postalisch (!) ein Werbekatalog oder ein Werbeschreiben zum Kauf (beliebiger) weiterer Produkte des Verantwortlichen zugesendet wird. Damit stellt hier die Datenschutzkonferenz auf ein bestimmtes Medium ab (was für das Datenschutzrecht untypisch ist) und verfolgt inhaltlich, aus wettbewerbsrechtlicher Perspektive, eine Mittellösung zwischen postalischen Sendungen (bei denen alles erlaubt ist, solange der Angesprochene nicht explizit widersprochen hat) und E-Mail-Werbung (bei der nur für ähnliche Waren bzw. Dienstleistungen geworben werden darf, s. o.). Den Zweck des Vertragsverhältnisses (Notebook-Kauf und dessen Abwicklung), der datenschutzrechtlich gerade die (ursprüngliche) Zweckbindung kennzeichnet (s. Fall 17), überschreitet die Datenschutzkonferenz dabei aber jedenfalls deutlich. Ist also nun die enge datenschutzrechtliche Zweckbindung an den Notebook-Kaufvertrag Makulatur?

Eher nicht. Denn die Datenschutzbehörden bevorzugen letztlich in der Sache die „Zwei-Säulen-Lösung“ über eine Interessenabwägung zu Direktmarketingzwecken (s. Fall 17), die als datenschutzrechtliche Legitimationsgrundlage neben das Kaufvertragsverhältnis tritt. Der ursprüngliche (Kauf-)Vertrag als solcher spielt daher auch in der nachfolgenden Argumentation der Datenschutzbehörden zur Interessenabwägung und zur Erwartungshaltung des Betroffenen keine Rolle mehr. Auch weitere Beispiele der Datenschutzbehörden zu einer zulässigen Direktmarketing-Interessenabwägung stehen immer noch im Zusammenhang mit einem bestehenden (Preisausschreiben) oder angestrebten (Katalog- und Prospektanforderungen) Vertrag bzw. vertragsähnlichen Verhältnis, ohne dass dort die Frage der Relevanz dieser Beziehung für die Interessenabwägung thematisiert wird. Dabei kann man einem bestehenden Vertragsverhältnis für die Frage des (zusätzlichen) Direktmarketings durchaus zwei gegensätzliche Bedeutungen zuschreiben: Einerseits ist der Vertrag der eigentliche Grund dafür, dass das Unternehmen überhaupt über die personenbezogenen Daten des Kunden verfügt. Man könnte also argumentieren, dass Werbung „auf der Basis der Vertragsdaten“ nur eng betrieben werden darf, weil der Betroffene, der den Vertrag schließen möchte, gezwungen ist, dafür bestimmte Daten an den Verantwortlichen zu geben. So sieht es ja im Übrigen auch das Wettbewerbsrecht im Bereich der elektronischen Medien, worauf wir gleich noch einmal zurückkommen werden. Andererseits ist aber die bestehende vertragliche Beziehung immerhin ein veritabler Anknüpfungspunkt, oder anders ausgedrückt: Wenn es nun gar keine Vertragsbeziehung zwischen Verantwortlichem und Betroffenem gäbe, würde dies die Interessenabwägung hinsichtlich Direktmarketing anders ausfallen lassen als beim Bestehen einer vertraglichen Verbindung? Man könnte argumentieren, dass ohne Vertrag noch weniger geworben werden darf.

Nun dürfte allerdings die Bewerbung von Adressen mit postalischen Sendungen – innerhalb oder außerhalb bestehender Vertragsbeziehungen – bei Weitem nicht mehr den Schwerpunkt der Werbetätigkeit darstellen. Für die entscheidende Frage, was bei elektronischer Kommunikation gilt, kann nur auf den von der Datenschutzkonferenz im Rahmen der Interessenabwägung allgemein postulierten Grundsatz „Datenschutzrecht folgt Wettbewerbsrecht“ verwiesen werden – was wettbewerbsrechtlich verboten ist, darf also datenschutzrechtlich nicht das Ergebnis einer Interessenabwägung sein. Diese „Übertragung“ der wettbewerbsrechtlichen Eingrenzung auf „ähnliche Waren und Dienstleistungen“ im Bereich der E-Mail würde zwar den Zweckzusammenhang mit dem ursprünglich bestehenden Vertrag stärker gewichten. Aber der sich dadurch ergebende Unterschied zur Auffassung der Datenschutzbehörden bezüglich postalischer Werbeansprachen (der gerade nicht dem Wettbewerbsrecht entspricht, s. oben) kann damit aus spezifisch datenschutzrechtlicher Perspektive nur schlecht erklärt werden: Die Erwägungsgründe der DSGVO sehen ausdrücklich „Direktwerbung“ als legitimen Zweck an und gerade nicht „Direktmarketing gegenüber Bestandskunden im Hinblick auf ähnliche Waren und Dienstleistungen“. Und eine Unterscheidung nach dem Übermittlungsmedium findet sich hier schon gar nicht.

In einer Entscheidung der österreichischen Datenschutzbehörde vom März 2019 wurde der pauschale Grundsatz „Datenschutzrecht folgt Wettbewerbsrecht“ im Zusammenhang mit einer „Re-Opt-In-Kampagne“ bekräftigt. Der Betroffene hatte 2014 an einer Marketing-Veranstaltung teilgenommen und dabei seine Kontaktdaten angegeben. Der Verantwortliche hatte wesentlich später, um den Zeit des Inkrafttretens der DSGVO, per E-Mail gefragt, ob der Betroffene weiterhin „in Kontakt bleiben“ wolle, und der Betroffene hatte darauf nicht geantwortet, war aber kurz darauf wieder mit Werbe-E-Mails desselben Verantwortlichen konfrontiert worden. Nach (deutschem und österreichischem) Wettbewerbsrecht war letzteres unzulässig (eine Einwilligung lag nicht vor), und die Datenschutzbehörde entschied, dass eine wettbewerbswidrige Werbung auch eine DSGVO-widrige Werbung sei. Die Unzulässigkeit einer E-Mail-Werbung ohne Einwilligung ergebe sich aus der ePrivacy-Richtlinie 2002 (von der österreichischen Datenschutzbehörde „e-Datenschutz-Richtlinie“ genannt) und „daher“ könne die Datenverarbeitung auch nicht unter der DSGVO alternativ auf eine Interessenabwägung gestützt werden. Die Begründung für diese Parallelität beruht auf Art. 95 DSGVO, wonach die DSGVO den Verantwortlichen „keine zusätzlichen Pflichten“ im Verhältnis zur ePrivacy-Verordnung auferlegt. Der Betroffene durfte deshalb diese Rechtsverletzung auch mit einer „Datenschutzbeschwerde“ rügen. Aber selbst wenn eine alternative Legitimationsgrundlage unter der DSGVO denkbar gewesen wäre: Vielleicht wäre das Interesse des Verantwortlichen an Direktmarketing ohnehin zwischenzeitlich verblasst gewesen (vgl. Fall 8)?

Dass man datenschutzrechtlich nicht einfach die Verwendung von Kundenadressen mit dem pauschalen Hinweis auf „Direktmarketing“ begründen kann, zeigt auch eine Entscheidung der italienischen Datenschutzbehörde vom Februar 2020. Ein Telefonkonzern hatte Millionen Nicht-Kunden angerufen, auch solche, die irgendwann explizit widersprochen hatten. Eine Person wurde in einem Monat alleine 155 Mal im Auftrag des Unternehmens angerufen. Die Geldbuße betrug stolze 27,8 Mio. Euro. Die Herkunft der Daten ist nicht genau überliefert, aber ohne Wettbewerbsrecht wäre es zumindest nicht trivial gewesen, die Unrechtmäßigkeit dieser Aktion im Hinblick auf die nicht widersprechenden Betroffenen zu begründen, was die datenschutzrechtliche Legitimationsgrundlage anbelangt. Datenschutzrechtlich entscheidend ist dabei nach Ansicht der deutschen Datenschutzbehörden, in nach wie vor nicht klarem Verhältnis zum Wettbewerbsrecht (hierauf wird am Ende dieses Falles noch einmal eingegangen), die Erwartungshaltung des Betroffenen. Dies zeigen die nachfolgenden Ausführungen, die sich allerdings auf die Bewerbung von Bestandskunden – also die Verwendung von Kundendaten für Werbezwecke – beziehen.

Interessenabwägung und „induzierte“ Erwartungshaltung

Gegen Unabhängig von der (offenen) Frage, wie Vertrag und Direktmarketing wechselwirken und wie bestimmend das im Bereich der E-Mail auf der ePrivacy-Richtlinie basierende Wettbewerbsrecht für die datenschutzrechtliche Einordnung ist, bedarf die – separate – zweite Säule des Direktmarketings aber, wie jede andere Interessenabwägung auch, jedenfalls materiell einer entsprechenden Interessenabwägung und formal einer entsprechenden Aufklärung des Betroffenen (Pflichthinweise), die diese Interessenabwägung „nach außen“ spiegelt. Der in den Erwägungsgründen der DSGVO verankerte „Erwartungsgrundsatz“ (s. o.) vermischt nun diese beiden Sphären: Je besser der Verantwortliche über die Reichweite der beabsichtigten Datenverarbeitung formal aufklärt, desto mehr darf er auch materiell tun. Anders ausgedrückt macht eine gute Aufklärung mehr möglich. Die Datenschutzbehörden formulieren das so:

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Dieser kluge Satz gibt die Selbstverständlichkeit wieder, dass der Verantwortliche die „vernünftigen Erwartungen der betroffenen Person“ selbst steuern kann: Wenn man jemandem ankündigt, dass man ihn demnächst beleidigen wird, ist die Erwartung der Beleidigung eine vernünftige Erwartung. Aber dadurch wird die Beleidigung eigentlich nicht zulässiger. Ist das nun im Datenschutzrecht anders? Zumindest muss es eine Grenze für diese Regel geben, um zu verhindern, dass „irgendetwas“ angekündigt wird, was nach dieser Logik dann auch (automatisch) zulässig wäre. Deshalb formuliert die Datenschutzkonferenz folgerichtig weiter:

Allerdings kann durch Transparenz der gesetzliche Abwägungstatbestand nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO nicht beliebig erweitert werden, da die Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Wenn der Gesetzgeber also keine konkreten Vorgaben für die Interessenabwägung zu Direktmarketingzwecken erlässt, muss anstelle des Gesetzgebers der „objektive Maßstab der Vernunft“ zur Anwendung kommen. Wie immer in solchen Situationen wird ein methodischer Standardtrick der Juristen verwendet: Es wird einfach ein neuer Begriff aus dem Hut gezaubert, um den ursprünglichen Begriff zu definieren. Die Unklarheit der Interessenabwägung beim Thema Direktmarketing wird nun durch die Unsicherheit ersetzt, wo die Grenze des „objektiven Maßstabs der Vernunft“ bei der Beeinflussung der Interessenabwägung durch transparente Aufklärung liegt.

Medienbruch bei Pflichthinweisen

Nach dieser im Ergebnis wenig befriedigenden Einleitung zur Struktur der Interessenabwägung stellen sich nun im Ausgangsfall verschiedene Fragen. Erstens geht es im Rahmen der formalen Aufklärung (Pflichthinweise) um das Thema „Medienbruch“: Ein wesentlicher Teil der Pflichthinweise an den Betroffenen ist nicht in der „Primärkommunikation“ (E-Mail etc.) enthalten, sondern auf einer Website, auf die verwiesen wird. Im Grundsatz soll das zulässig sein – auch die Datenschutzkonferenz spricht von der Möglichkeit eines Weblinks –, nur: Was genau nun wo stehen muss bzw. darf, ist unklar. Die Datenschutzkonferenz führt derart viele Informationen auf, die bereits in der „Primärkommunikation“ enthalten sein sollen, dass man sich fragt, was dann eigentlich überhaupt noch auf die Website ausgelagert werden darf. Vor diesem Hintergrund ist auch der weitere Hinweis der Datenschutzkonferenz, dass „stets der Informationsbedarf im Einzelfall entscheidend ist“, wenig hilfreich. Das bayerische Landesamt für Datenschutzaufsicht sieht diese „erste Stufe“ in seinem Tätigkeitsbericht 2017/2018 wohl etwas gelassener:

Auf der ersten Stufe bzw. im ersten Schritt müssen immer die Informationen zur Identität des Verantwortlichen und zu den Zwecken der Verarbeitung gegeben werden, soweit diese Informationen nicht ohnehin schon wegen der Art des Kontakts mit der betroffenen Person offenkundig sind (z. B. bei deren Anruf zu einer Terminvereinbarung mit dem Friseur oder Steuerberater). Je nach Art des Kontakts mit der betroffenen Person ist ergänzend noch auf das Bestehen der Betroffenenrechte hinzuweisen, z. B. in Werbeschreiben.

Wie sich der Europäische Datenschutzausschuss eine „layering“-Technik bei Pflichthinweisen vorstellt, wurde bereits in Fall 26 dargestellt.

Direktmarketing mit der Bratpfanne

Zweitens wird im Ausgangsfall, den praktischen Notwendigkeiten folgend, pauschal gegenüber jedem Kommunikationspartner Direktmarketing angekündigt, aber in vielen Fällen kommt dies gar nicht zur Anwendung (s. auch Fall 26). Wenn sich etwa ein Bewerber bei der Maier GmbH bewirbt oder der Mineralwasserlieferant der Maier GmbH per E-Mail fragt, ob er für die nächste Lieferung auch am Dienstagnachmittag kommen darf, ist der Zusatz in der Antwort-E-Mail der Maier GmbH nicht „ernst gemeint“, weil die Person – aus der Perspektive der Maier GmbH – nicht zu einer relevanten Zielgruppe für Direktmarketing zählt. Ist das nun unschädlich, weil man gegenüber diesen Personen ja auch Direktmarketing betreiben dürfte (was zu beweisen wäre)? Oder ist die Frage der Interessenabwägung überhaupt nur dann bedeutsam, wenn später auch wirklich Direktmarketing gegenüber der Person betrieben wird? Oder muss nun doch das gesamte Personal der Maier GmbH dazu geschult werden, wann ein solcher Zusatz einer E-Mail manuell hinzugefügt werden muss? Und was, wenn der Zusatz dann einmal irrtümlich vergessen wird, aber diese Person später Direktmarketing-Informationen erhält? Oder wenn der Zusatz einmal irrtümlich hinzugesetzt wird, aber diese Person nie Direktmarketing-Informationen erhalten würde?

Ist „Direktmarketing“ granular genug?

Drittens stellt sich die Frage, inwieweit im Rahmen der Pflichthinweise, die ja auch die Erwartungshaltung des Betroffenen prägen, pauschal „Direktmarketing“ als Zweck angegeben werden kann. Die meisten Datenschützer werden sagen, dass dies konkretisiert werden muss, auch wenn sie selbst nicht weiter werden konkretisieren können, was das konkret bedeutet. In Empfehlungen vom April 2019 verwies der Europäische Datenschutzausschuss auf die bereits 2013 von der Art.-29-Datenschutzgruppe geäußerten Vorgaben für die Konkretisierung des Verarbeitungszwecks:

The purpose of the collection must be clearly and specifically identified: it must be detailed enough to determine what kind of processing is and is not included within the specified purpose, and to allow that compliance with the law can be assessed and data protection safeguards applied. For these reasons, a purpose that is vague or general, such as for instance 'improving users' experience', 'marketing purposes', 'IT-security purposes' or 'future research' will - without more detail - usually not meet the criteria of being ‘specific’.

In die gleiche Richtung führt das österreichische Bundesverwaltungsgericht in einer Entscheidung vom Dezember 2018 aus:

Zweckangaben wie "Verbesserung der Benutzerfreundlichkeit", "Marketingzwecke", "Zwecke der IT-Sicherheit", "künftige Forschung" sind zu allgemein und erfüllen nicht das Kriterium der hinreichenden Bestimmtheit. Als Faustregel ist anzuraten, einen Zweck idR in mehr als drei Worten anzugeben, ohne allerdings in ausufernde, unübersichtliche und komplizierte Formulierungen zu verfallen. Praktische Beispiele zur Festlegung der Verarbeitungszwecke finden sich in Anhang 3 des WP203 der Artikel-29-Datenschutzgruppe.

Daraus geht hervor, dass nicht nur die Subsumption von - gegenständlich - Datenverwendungen für Marketing- und Werbezwecke unter "damit verbundene Serviceleistungen" nicht ausreichend konkret und transparent ist, sondern auch eine Auskunft nur betreffend "Marketing- und Werbezwecke" nicht genügen wird. Vor dem Hintergrund der Datenschutzerklärung der Beschwerdegegnerin wäre zumindest der Zweck der Direktwerbung zu beauskunften gewesen.

Demgegenüber enthält das „Muster für gute Auskunft nach Art. 15 DS-GVO“ des bayerischen Landesamts für Datenschutzaufsicht als Muster-Angabe unter der Überschrift „Verarbeitungszwecke“ die Angabe: „Wir nutzen Ihre oben stehenden Daten ausschließlich zum Zwecke der Direktwerbung“. Darf das hier laxer gehandhabt werden als bei der Definition des Verarbeitungszwecks und den entsprechenden Pflichthinweisen? Dieselbe Behörde sieht zum Beispiel keinen (Zweck-)Unterscheid zwischen werblicher Ansprache im engeren Sinne (Anbieten von Produkten und Dienstleistungen) und der Versendung von Weihnachts-, Neujahrs- und sonstigen Glückwunschkarten, sodass die Pflichtinformationen auch einheitlich „genutzt“ werden können:

Nach dem von der Rechtsprechung sehr weit definierten Begriff der Werbung sind Weihnachts- und Neujahrswunschkarten von Firmen an ihre Geschäftspartner als werbliche Maßnahmen anzusehen, die dem Aufbau und der Pflege von Geschäftsbeziehungen dienen und damit das Geschäft fördern sollen. Allerdings steht das Datenschutzrecht mit der Regelung in Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO der Verwendung von Postadressdaten für die Zusendung von Weihnachts-, Neujahrs- und sonstigen Glückwunschkarten durch Firmen regelmäßig nicht entgegen, solange eventuelle Werbewidersprüche beachtet werden. Wenn bei bestehenden Geschäfts- oder Kundenbeziehungen die gesetzlich vorgesehenen Informationen nach Art. 13 und Art. 21 Abs. 4 DS-GVO schon im Laufe des Jahres erfolgt sind, können diese Informationen bei den Weihnachts- oder Neujahrsgrüßen unterbleiben (wo sie ohnehin nur störend wirken würden).

Beim Parallelfall der „informierten“ Einwilligung fordert die Datenschutzkonferenz bekanntlich (s. Fall 8), dass „die Produkte oder Dienstleistungen, für die geworben werden soll“, dem Einwilligenden bekannt sein müssen. Was heißt das nun bei einem breiten Portfolio an Waren oder Dienstleistungen, welches auch Änderungen unterworfen sein kann, und wie konkret müssen die Produkt- oder Dienstleistungsgruppen bezeichnet werden? Reicht es aus, wenn man „Newsletter“ schreibt, weil das im Zweifel die Produkte und Dienstleistungen betreffen wird, die das Unternehmen eben von Zeit zu Zeit anbietet? Ähnliche Fragen stellen sich auch in Bezug auf das Werbeformat. Muss ein Newsletter, der vier Mal im Jahr erscheint, als „regelmäßig“ angegeben werden – und was ist, wenn er nur „in loser Folge“ erscheint, vielleicht ein Jahr lang gar nicht? Und wenn man verlangen würde, dass hier zumindest das „Werbeformat“ genannt werden muss, schließt dies dann die Kontaktaufnahme für innovative Werbeformate, die ad hoc entwickelt werden, aus? Für wettbewerbsrechtliche Einwilligungserklärungen und verschiedene „Werbekanäle“ hat der Bundesgerichtshof immerhin im Februar 2018 geurteilt, dass der Satz „Ich möchte künftig über neue Angebote und Services der T-GmbH per E-Mail, Telefon, SMS oder MMS persönlich informiert und beraten werden“ zulässig ist: Eine eigene Einwilligungserklärung für jeden „Werbekanal“ ist nicht erforderlich.

Targets aus öffentlich zugänglichen Quellen

Viertens werden im Ausgangsfall auch öffentlich zugängliche Quellen, hier in Gestalt des Impressums, zur Datengewinnung herangezogen. Die Datenschutzkonferenz will dies mit einer auf den ersten Blick einleuchtenden Argumentation verbieten: Die Daten im Impressum – etwa die Angabe des vollen Namens des Geschäftsführers – müssen vom Websitebetreiber aufgrund zwingender gesetzlicher Vorschriften (Impressumspflicht) bereitgestellt werden. Da das Unternehmen keine andere Wahl hat, als diesen Pflichten zu genügen, kann nicht davon ausgegangen werden, dass diese Daten für Werbezwecke Dritter gegenüber den im Impressum genannten Personen bereitgestellt werden sollten. Daher würde hier das Interesse an Direktwerbung, nicht das Interesse, nicht mit Werbung belästigt zu werden, überwiegen – von einer „Einwilligung“ durch das Einstellen auf die eigene Website ganz zu schweigen. Ähnlich hat auch die österreichische Datenschutzbehörde im Oktober 2018 entschieden, dass eine auf einer Website veröffentlichte Telefonnummer einer „Beratungshotline“ für bedürftige Personen zweckwidrig für Werbemaßnahmen verarbeitet wird, wenn sie für Direktmarketing-Zwecke (Cold-Calling zur Produktbewerbung) genutzt wird.

Dabei fällt allerdings schon unter den Tisch (s. Fall 20), dass sich die dann folgende Werbung eigentlich gar nicht an die angesprochene Person „persönlich“ richtet, sondern an das Unternehmen, das eben nun einmal ausschließlich durch natürliche Personen repräsentiert wird und werden kann. Immerhin handelt es sich bei den Impressumsangaben auf Unternehmenswebsites nicht um Informationen der Privatsphäre, sondern um unternehmensbezogene Kontaktdaten. Hinzu kommt, dass nach dem von der Datenschutzkonferenz sonst bisweilen als „Vorbild“ gepriesenen Wettbewerbsrecht von einer stillschweigenden Einwilligung eines Unternehmens in die unaufgeforderte telefonische Kontaktaufnahme zu Werbezwecken ausgegangen werden kann, wenn diese Kontaktaufnahme zur Zwecken erfolgt, die mit dem Geschäftsgegenstand bzw. den Bedürfnissen des Zielunternehmens im Zusammenhang stehen. Mit anderen Worten: Ein Unternehmen, das Maschinen verkauft, darf man auch ohne Aufforderung anrufen und fragen, ob es am Einkauf von Stahlteilen interessiert ist – nicht aber an neuen Kollektionsstoffen. Im B2B-Bereich wird demnach unterstellt, dass ein Unternehmen eine gewisse (telefonische) „Belästigung“ aushalten muss, weil es werblich am Markt auftritt. Die dazu ergangene Rechtsprechung wird sogar von der Datenschutzkonferenz selbst, wenn auch in anderem Zusammenhang, zitiert. Diese wettbewerbsrechtliche Erleichterung der telefonischen Kontaktaufnahme setzt sich allerdings nicht fort, wenn es um die – in der Praxis wichtige – Ansprache per E-Mail geht. Das ist auch der Grund, weshalb in der Praxis vermutlich meist das Wettbewerbsrecht strenger sein wird; wir werden darauf in Kürze noch zurückkommen.

Dass die Rechtsprechung in diesem Bereich noch alles andere als „gefestigt“ ist, kann aber einem Urteil des Verwaltungsgerichts Saarland vom März 2018 entnommen werden, das vom Oberverwaltungsgericht Saarland im September 2019 bestätigt wurde. Hier hatte ein Unternehmen, das Edelmetallreste von Zahnarztpraxen und Dentallaboren ankauft, aus öffentlich zugänglichen Quellen („Gelbe Seiten“) die Anschrift und Telefonnummer von Praxen ermittelt und dort telefonisch in Erfahrung gebracht, ob Interesse an einem Verkauf von Edelmetallresten besteht. Das Verwaltungsgericht Saarland hielt diese Praxis unter dem damaligen BDSG (und UWG) nicht für zulässig. Es sei zu berücksichtigen, dass der Verkauf von Edelmetallresten nicht zum „eigentlichen Tätigkeitsbereich eines Zahnarztes“ gehöre, sondern „sich Zahnärzten hier allenfalls die Möglichkeit einer zusätzlichen Einnahmequelle“ biete. Die Veröffentlichung der Telefonnummer der Praxis diene in erster Linie dazu, dass Patienten Kontakt aufnehmen können. Werbeanrufe könnten den Praxisbetrieb stören:

Wenn nun jeder Vertreiber von Leistungen, die Zahnärzte „irgendwie“ mal benötigen könnten, anrufe, dann könne die Praxis nicht mehr vernünftig arbeiten. Es sei auch nicht ersichtlich, dass dieses Verhalten unter der (aus damaliger Sicht: künftigen) DSGVO (Art. 6 Abs. 1 S. 1 lit. f DSGVO) gerechtfertigt sein wird: „Es bliebe zunächst abzuwarten, wie die Vorschrift von Rechtsprechung und Literatur ausgelegt werde“. Man sieht also, wie „fein“ hier die Linien gezeichnet werden.

Auch vom Betroffenen freiwillig (also ohne Rechtspflicht wie beim Impressum) selbst ins Internet (oder in die „Gelben Seiten“) gestellte Informationen sind demnach kein Garant dafür, dass eine Interessenabwägung zulasten des Betroffenen ausgeht. Es ist vielmehr der (offensichtliche) Zweck, zu dem die Daten veröffentlicht wurden, zu berücksichtigen. Dies würde, wenn man neben einer Ausnahme nach Art. 9 DSGVO die Notwendigkeit einer selbstständigen Legitimationsgrundlage nach Art. 6 DSGVO annimmt (dazu Fall 2), auch für personenbezogene Daten besonderer Kategorien gelten: Diese dürfen zwar nach Art. 9 Abs. 2 lit. e) DSGVO grundsätzlich (und gleich zu welchem Zweck) verarbeitet werden, wenn sich „die Verarbeitung auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat“. Aber wenn zusätzlich auch eine Legitimationsgrundlage im Sinne des Art. 6 DSGVO notwendig ist, etwa in Form einer Interessenabwägung, kann auch hier wieder der Veröffentlichungszweck herangezogen werden müssen. Die Existenz der Regelung in Art. 9 Abs. 2 lit. e) DSGVO heißt also nicht, dass auch für „gewöhnliche“ Daten nicht nach dem Veröffentlichungszweck differenziert werden muss.

Bildung von Interessengruppen

Fünftens stellt sich im Ausgangsfall die Frage, ob die Selektion der Kontakte in Interessengruppen datenschutzrechtlich zulässig ist. Die Datenschutzkonferenz nimmt das an, jedoch nur unter der Voraussetzung, dass sich aus der Selektion anhand von Selektionskriterien kein „zusätzlicher Erkenntnisgewinn“ ergibt. Damit soll eine Abgrenzung zu dem – aus Sicht der Datenschutzkonferenz im Rahmen der Interessenabwägung als Legitimationsgrundlage nicht mehr zulässigen – Profiling gezogen werden. Nun ist aber jede Selektion ein Erkenntnisgewinn, denn wenn die Interessengruppen „blau“ und „grau“ lauten, dann ist die Einordnung einer Person in die Interessengruppe „blau“ – statt „grau“ – per se ein Erkenntnisgewinn, weil man daraus lernen kann, dass sie (zumindest aus der Sicht des Verantwortlichen) eher an blau als an grau interessiert ist.

Und am Ende grüßt wieder das Wettbewerbsrecht

Das Wichtigste zum Schluss: Die Lösung der aufgeführten datenschutzrechtlichen Problemstellungen – in welcher Richtung auch immer – wird gleichwohl in vielen Fällen einen Pyrrhus-Sieg darstellen. Denn im Gegensatz zum Datenschutzrecht, bei dem (vermeintlich, s. Fall 17) die Einwilligung und die Interessenabwägung – also „opt-in“ und „opt-out“ – gleichberechtigt nebeneinander stehen, fordert das Wettbewerbsrecht immer eine Einwilligung in die vom Gesetzgeber grundsätzlich (auch in B2B-Situationen) als „belästigend“ eingestufte Werbung. Diese Einwilligung muss ausdrücklich erfolgen, eine stillschweigende oder mutmaßliche Einwilligung reicht – mit einer Ausnahme – gerade nicht aus: Nach dem Inkrafttreten der DSGVO wird von vielen Juristen angenommen, dass im Bereich der elektronischen Medien die Voraussetzungen der DSGVO für eine wirksame Einwilligung auch und gerade für die wettbewerbsrechtliche Einwilligung gelten (da das Wettbewerbsrecht insoweit auf der alten E-Privacy-Richtlinie der EU basiert). Nur in einem Fall darf eine wettbewerbsrechtliche Einwilligung auch eine mutmaßliche Einwilligung sein, nämlich im (bereits oben angesprochenen) Bereich der Telefonwerbung gegenüber Unternehmen.

Selbst wenn also datenschutzrechtlich argumentiert werden kann, dass die Daten vom Betroffenen selbst, sei es auch im Einzelfall (Visitenkartenübergabe, zufälliges persönliches Kennenlernen) mit unausgesprochenem Zweckumfang, überlassen wurden und daher einer „positiven“ Interessenabwägung zugänglich sind, bedeutet dies noch lange nicht, dass wettbewerbsrechtlich eine (ausdrückliche) Einwilligung für jegliche E-Mail-Ansprachen zu Werbezwecken erteilt wurde. Der Hinweis der Maier GmbH in ihrer Außenkommunikation auf die Nutzung der personenbezogenen Daten zu Werbezwecken kann daher als solcher keine Einwilligung im wettbewerbsrechtlichen Sinne ersetzen. Die wettbewerbsrechtlichen Einzelheiten sollen hier nicht im Einzelnen vertieft werden, aber wichtig bleibt, dass auch die Einhaltung des Datenschutzrechts oftmals nur die „halbe Miete“ ist und weitere Erwägungen anzustellen sind, die das Ergebnis der schön „zurechtgedrechselten“ DSGVO-Argumentationen hinterrücks aushebeln. Glücklicherweise sind Abmahnungen im Bereich der B2B-Werbung in der Praxis eher selten (mit Ausnahme der Werbung für „Telefon- und Webverzeichnisdienste“, wenn man die Rechtsprechung ansieht) und die Sanktionen bei Verstößen gegen das Wettbewerbsrecht sind mit denen bei DSGVO-Verstößen wirtschaftlich kaum vergleichbar.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden