Double-Double-Re-Double-opt in!?
Derzeit gehen in den Postfächern dieser Welt zahlreiche E-Mails unwissender Absender ein. Darin wird um eine erneute Bestätigung und im Einwilligung zum Versand des Newsletters gebeten. Muss das sein?
Viele Unternehmen fürchten sich vor den horrenden Strafdrohungen, die die Datenschutzverordnung mit sich bringen kann. Jedenfalls theoretisch. Diese Zahlen, gepaart mit einer ziemlich großen Unsicherheit selbst unter Juristen, veranlassen viele Unternehmen dazu, mehr tun zu wollen als eigentlich erforderlich ist.
Die Angst geht um und gelegentlich zerstümmeln sich Unternehmen mit solchen Aktionen dann eher selber, denn viele Empfänger dürften genervt abwiegeln und den Newsletter kurzerhand abbestellen, den sie bisher noch gelesen haben.
Die bisherige
Einwilligung gilt meistens
Häufig, so auch in vielen Fällen bei uns, liegen die Einwilligungen jedoch bereits vor. Der BGH hat gerade erst entschieden, dass Einwilligungen nicht durch reinen Zeitablauf erlöschen. Ähnliches ergibt sich lt. einem Fachartikel des Fachjursiten Dr. Martin Schirmabacher auch aus einem Passus der DSGVO selber (171, Erwägungsgrund), wo klargestellt ist, dass in der Vergangenheit erteilte Einwilligungen mit Inkrafttreten der DSGVO fortbestehen. Bedingung ist, dass die Einwilligung den Bedingungen der DSGVO entspricht. Man kann sich auf die bisherige Einwilligung wohl also auch dann verlassen, wenn sie nicht vollständig der DSGVO entspricht, sondern nur der Art nach.
Klar ist demnach auch, dass die DSGVO einigen Argumentationsspielraum für ein einwilligungsloses Direktmarketing bietet. Fakt ist, dass die DSGVO die in Deutschland bereits bestehenden, strengen Anforderungen an die Einwilligung nicht ändert, denn § 7 Abs. 2 UWG bleibt von der Datenschutzgrundverordnung unberührt. Die DSGVO-Regelungen sind zwar eigens zu bewerten, also unabhängig von UWG, doch bietet das Deutsche Recht bereits die europaweit strengste Auslegungen in Sachen Datenschutz.
Die Regelungen der DSGVO besagen auch, dass sich eine Datenverarbeitung „mit berechtigten Interessen des Unternehmens“ rechtfertigen lässt, wenn entgegenstehende Interessen des Betroffenen nicht überwiegen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Das egalisiert nicht das Einwilligungserfordernis, doch wer bereits eine Opt-in-Erklärung vom Empfänger hat und diesen bisher E-Mails auch gesendet hat, darf wohl annehmen, dass dies auch weiterhin rechtskonform ist. Ganz sicher überwiegen jedenfalls keine entgegenstehende Interessen der Empfänger.
Ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, auch als Düsseldorfer Kreis bezeichnet, hat in einer interessanten, offiziellen Stellungnahme zur DSGVO verkündet, dass Einwilligungen, die BDSG-konform eingeholt wurden, grundsätzlich fortgelten.
Nur, wenn die Einwilligung gegen das neue Kopplungsverbot verstößt oder sich gezielt an Minderjährige richtet, müssen neue Einwilligungen eingeholt werden. Die Wirksamkeit der Einwilligung gilt auch, wenn kein explizierter Hinweis auf das Widerrufsrecht gegeben wurde. Gerade der sei ja für die Betroffenen ein positiver Umstand, der dazu ermutigt, eine Einwilligungen zu erteilen.
Re-Opt-in-Verfahren riskant
Es macht also als in vielen Fällen gar keinen Sinn erneut zu fragen. Im Gegenteil: Wer sich aus Sorge abgemahnt zu werden, dennoch für eine Nachfrage entscheidet, gibt zu erkennen, dass dies aus seiner Sicht erforderlich ist. Sodann ist es nicht mehr möglich, die Empfänger, die nicht reagiert haben, weiterhin in den bisherigen Verteiler zu führen.
Gerade dann steigen die Risiken für die Zukunft. Nur dann ist klar, dass sämtliche Empfänger, die nicht explizit auf diese Re-Opt-in-Anfrage reagieren, aus dem Verteiler zu löschen sind. Denn die Re-opt-in-Anfrage erfordert dann zwingend eine positive Rückmeldung.
Jeder, der um eine erneute Einwilligung ersucht, verärgert damit möglicherweise nicht nur seine Kundschaft, die unter dem Bombardement zahlloser E-Mails nur noch löschen, statt zu sondieren, sondern muss sämtliche Empfänger sodann konsequent löschen, die sich nicht zurückgemeldet haben.
„Sie brauchen nichts weiter tun“ gilt nicht
Wie groß die Unwissenheit ist, zeigt das Vorgehen einiger Absender. Häufig ist zu lesen, dass bei Einwilligung gar nichts zu tun sei und die E-Mail nur zur Kenntnis genommen werden müsse. Das genügt natürlich nicht. Solche Aktionen sind nicht rechtskonform und richtigen mehr Schaden an als dass sie Nutzen bringen.
Häufig liegen andere als die üblichen
Double-opt-in-Erklärungen bereits vor
Es ist häufig also nicht notwendig, den gesamten Verteiler erneut einheitlich zu re-verifizieren. Wenn bei den Alteinwilligungen keine Double-opt-in-Einwilligung vorliegt, geht es im Kern um die Verifizierung der E-Mail-Adresse, die bereits gespeichert ist. Solche Empfänger, die bereits aus einem Newsletter heraus bestellt, geantwortet oder sonst wie interagiert haben, müssen nicht erneut verifiziert werden! In diesen Fällen ist die Bestätigung der E-Mail-Adresse dann bereits rechtskonform erfolgt.
Rechtliche Konsequenzen
Einen interessanten Artikel fanden wir noch zum Thema „Abmahnwelle“. Die Meinungen gehen hier auseinander. Sicher wird es einige schwarze Schafe in der Branche geben, die als Juristen versuchen werden, daraus Profit zu schlagen. Doch mehren sich auch die Stimmen, die davon ausgehen, dass es keine Abmahnwellen geben wird.
„Ich denke nicht, dass Kanzleien oder Behörden kurzfristig ernsthaft agieren werden, wenngleich das Thema natürlich ernst zu nehmen ist“,
äußert sich z. B. ein Abmahnanwalt in einem Interview des Wirtschaftsmagazins „wiwo“. „Ich habe persönlich Zweifel, dass es zu etwas wie einer Abmahnwelle kommt“. Er rechne eher mit Musterverfahren, die sich länger hinziehen würden, um überhaupt einmal Rechtsklarheit in vielen Detailfragen zu bekommen.
Auch Datenschutzexperten rechnen demnach zunächst mit wenigen „juristischen Gefechten“, denn für viele der vermeintlichen Vergehen fehlten Urteile.
Was bleibt? Tief durchatmen.