Kaltakquise und Datenschutz – Teil 3

Dies ist Teil 3 unserer dreiteiligen Serie „Kaltakquise und Datenschutz“, der Nachweispflicht und Gestaltungsspielraum thematisiert:
Teil 1: Rechtsgrundlagen und Kanäle |
Teil 2: Datenerhebung und Einwilligung 

Im dritten Teil unserer Serie „Kaltakquise und Datenschutz“ gehen wir der Frage nach, wie Sie Ihr datenschutzkonformes Vorgehen im Direktmarketing nachweisen und welchen Gestaltungsspielraum Sie im Rahmen der Kaltakquise haben.

Für die Nutzerin bzw. den Nutzer müssen alle Informationen zur Einwilligung in Maßnahmen des Direktmarketings sofort und auf einen Blick erkennbar sein:

• Hervorhebung: Im besten Fall gibt es einen eigenen Text für die datenschutzrechtlichen Informationen zur Werbe-Einwilligung. Zumindest sollte die datenschutzrechtliche Einwilligungserklärung gemäß Art. 7 Abs. 2 Satz 1 DSGVO klar von anderen Informationen, wie z. B. der Zustimmung in die AGB, abgehoben sein. Das kann durch gestalterische Elemente wie Fettdruck oder einen farblichen Rahmen geschehen.
• Kästchen für alle Werbeformate: Um die datenschutzrechtliche Einwilligungserklärung nutzerfreundlich zu gestalten, reicht ein Auswahlkästchen für alle Werbeformate wie E-Mail, Telefon, Post etc. aus. Dabei darf das Kästchen jedoch nicht bereits vorausgewählt sein, was der Idee eines Opt-In-Verfahrens widersprechen würde.

Wenn eine Einwilligung per Post abgegeben wird, ist der Nachweis vergleichsweise einfach. Um auch digitale Einwilligungen in Maßnahmen des Direktmarketings nachweisen zu können, müssen die folgenden Daten erhoben und abgespeichert werden:

• Datum, Uhrzeit, ggf. IP-Adresse der Einwilligungserteilung
• Double-Opt-In-Verfahren: Bestätigungsmail mit Text sowie Datum, Uhrzeit und ggf. IP-Adresse beim Klick des Links in der Bestätigungsmail
• Text der Werbe-Einwilligung
• Technischer Nachweis: Es muss klar nachweisbar sein, dass die Kundin bzw. der Kunde erst Werbung erhalten hat, nachdem die Anmeldung bzw. das Double-Opt-In-Verfahren ordnungsgemäß abgeschlossen wurde

Insbesondere im B2B-Bereich kommt es vor, dass mündliche Absprachen getroffen oder Visitenkarten getauscht werden. Treten die Personen anschließend miteinander in Kontakt, um über die eigenen Leistungen und Produkte in den Austausch zu kommen, stellt dies bereits eine werbliche Maßnahme dar. Deshalb sollte man nach mündlichen Absprachen noch einmal eine schriftliche Bestätigung einholen, damit Kaltakquise und Datenschutz vereinbar bleiben. Dazu kann erklärt werden, wo man sich getroffen hat und warum diejenige Person nun eine E-Mail erhält.
Beim Tausch von Visitenkarten ist das Interesse an einer geschäftlichen Beziehung offensichtlich. Aber auch hier ist es angemessen, sich dieses Interesse in einer Bestätigung per Mail versichern zu lassen.
Wie ein Praxisfall zeigt, reicht ein Double-Opt-In per E-Mail nicht als Nachweis für die Einwilligung in andere Kontaktwege wie Werbeanrufe im. Rahmen von Kaltakquise und Datenschutz. Mehr dazu in unserem Beitrag „Cold Call: Double-Opt-In für Werbeanrufe nicht ausreichend“.

Insbesondere im digitalen Direktmarketing werden häufig Methoden des Werbe-Profilings angewendet. Dabei handelt es sich um ein zumeist automatisiertes Verfahren, in dem beispielsweise Erkenntnisse zu den von Kunden bevorzugten Produktsparten ermittelt werden.

Durch das Verfahren des Werbe-Profilings sollen Kundinnen und Kunden zielgruppenspezifische Werbung erhalten, so dass diese möglichst effektiv ist. Dabei werden häufig Verhaltensprognosen anhand der bisherigen Kundenhistorie erstellt, bei den Analysen können auch externe Datenquellen genutzt werden.

Wer die Möglichkeiten des Werbe-Profilings nutzen möchte, muss die Nutzung und den Umfang dieser Nutzung in den Datenschutzinformationen angeben. Zudem wird dazu geraten, ein Opt-In-Verfahren für das Werbe-Profiling anzuwenden.

Werden auf Basis des Profilings automatisierte Einzelentscheidungen getroffen, die die betroffene Person erheblich beeinträchtigen, gelten zusätzlich die Anforderungen des Art. 22 DSGVO. Die betroffene Person hat in diesen Fällen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Darüber hinaus ist zu beachten, dass der Einsatz von Tracking-Technologien, die für das Werbe-Profiling genutzt werden (z. B. Cookies, Pixel), seit Mai 2024 dem Einwilligungserfordernis des § 25 TDDDG unterliegt.

Wer kennt es nicht: Beim Abschluss eines Bestellvorganges ist man dazu angehalten, das Lesen der Datenschutzinformationen sowie die AGB in einem Kästchen zu bestätigen. Dazu wird oftmals ein Newsletter angeboten, den die Käuferin bzw. der Käufer mit einem Klick abonnieren kann.

Wird nun aber der Kauf, die Buchung eines Seminars oder einer Ferienwohnung an eine Werbeeinwilligung via Post, E-Mail etc. gebunden, kann dies eine unzulässige Kopplung im Sinne des Art. 7 Abs. 4 DSGVO darstellen. Das gilt auch für die Einwilligung in Direktwerbung, die an Bonitätsabfragen gekoppelt ist oder gleichzeitig das Einverständnis beinhaltet, dass die Kundendaten an Dritte weitergegeben werden.

Allerdings ist das Kopplungsverbot kein absolutes Verbot, sondern ein Prüfkriterium für die Freiwilligkeit der Einwilligung. Das hat das Landgericht München I in einem Urteil vom Januar 2024 (Az. 37 O 4402/23) bestätigt: In dem Fall hatte ein Online-Shop die Registrierung an die gleichzeitige Newsletter-Einwilligung geknüpft. Das Gericht entschied, dass dies nicht gegen Art. 7 Abs. 4 DSGVO verstößt, sofern das Geschäftsmodell die Kopplung sachlich rechtfertigt und die Einwilligung jederzeit widerrufen werden kann.

Entscheidend ist also eine Einzelfallbetrachtung. Maßgebliche Fragen sind dabei: Ist die betroffene Person auf den Vertragsschluss angewiesen? Hat sie eine echte Wahlmöglichkeit? Kann sie die Einwilligung ohne Nachteile verweigern oder widerrufen? Wo eine solche echte Wahlfreiheit nicht gegeben ist – etwa wenn der Ticketkauf nur bei gleichzeitiger Werbeeinwilligung möglich ist und die einzige Alternative der Kauf vor Ort wäre –, bleibt die Kopplung unzulässig. So hat es der Hessische Datenschutzbeauftragte in seinem Tätigkeitsbericht klargestellt.

Eines der häufigsten Mittel des Inbound-Marketings sind kostenlose digitale Produkte wie etwa Whitepapers, Studien, Anleitungen, Infografiken oder Checklisten zum Download.

Um das jeweilige Produkt zu erhalten, muss die Interessentin bzw. der Interessent seine Kontaktdaten angeben. Ihm wird anschließend eine E-Mail mit dem Download-Link zugeschickt.

Aus datenschutzrechtlicher Sicht sind bei dieser Art des Direktmarketings zwei Optionen zu favorisieren:

Explizite Einwilligung: Das jeweils angebotene Produkt gibt es im Austausch gegen die Kontaktdaten der betroffenen Person. Mit der Angabe der Kontaktdaten gibt diejenige Person auch ihre Einwilligung zur Direktwerbung. Die Art dieses Tausches – Daten gegen kostenfreies Produkt – sollte durch eine klare Datenschutzinformation transparent kommuniziert werden. Empfehlenswert ist hier auch ein Double-Opt-In-Verfahren.

Wichtig: Nach dem oben beschriebenen Grundsatz des Kopplungsverbots muss die Einwilligung in die Direktwerbung freiwillig bleiben. Der Zugang zum Produkt darf nicht zwingend an eine Werbeeinwilligung gekoppelt werden, wenn die betroffene Person keine echte Wahlmöglichkeit hat. Wird der Tausch „Daten gegen Produkt“ jedoch transparent kommuniziert und kann die Einwilligung jederzeit widerrufen werden, ist dieses Vorgehen in der Regel zulässig. Entscheidend bleibt die Einzelfallbetrachtung.

Newsletter-Modell: Eine weitere Möglichkeit ist es, einen Newsletter anzubieten. Mit dem Abonnieren dieses Newsletters erhält die jeweilige Person via Download-Link oder passwortgeschütztem Zugang das Produkt (Freebie, Infografik, Whitepaper etc.).

Auch hier gilt: Die Newsletter-Anmeldung muss den Anforderungen an eine wirksame Einwilligung entsprechen. Die betroffene Person muss wissen, dass sie einen Newsletter abonniert, welche Art von Inhalten sie erwartet und wie sie sich wieder abmelden kann. Ist das Produkt Teil des Newsletter-Angebots und wird darüber transparent informiert, handelt es sich nicht um eine unzulässige Kopplung.

Weiterführende Hinweise zu den Rechtsgrundlagen und Anforderungen der Direktwerbung finden Sie in unserem Beitrag „Datenverarbeitung zu Zwecken der Direktwerbung“ sowie in der Orientierungshilfe der Datenschutzkonferenz (DSK).

Wir hoffen, dass wir Ihnen in Teil 1, Teil 2 und Teil 3 der Serie „Kaltakquise und Datenschutz“ helfen konnten, einen Überblick über Ihre Optionen und den datenschutzkonformen Einsatz Ihrer Direktmarketing-Kanäle zu erhalten.

Benötigen Sie Unterstützung in der Umsetzung oder eine Datenschutz-Beratung? Wir unterstützen Sie gern, kontaktieren Sie uns!