Die Werbung per E-Mail bedarf einer Einwilligung des Empfängers. Das ist bekannt und war Gegenstand unzähliger Gerichtsentscheidungen. Wer eine ausdrückliche Einwilligung der Empfänger nicht nachweisen kann, sieht sich Unterlassungs- und auch Schadensersatzansprüchen ausgesetzt. Dass die E-Mail-Werbung auch eine datenschutzrechtliche Komponente hat, steht dagegen nicht so im Fokus der Unternehmen.

Für Aufmerksamkeit sorgten in den vergangenen Monaten Aussagen einzelner Datenschutzbehörden, sich der E-Mail-Werbung verstärkt anzunehmen. Der Düsseldorfer Kreis hat sogar Anwendungshinweise für den Datenschutz bei der E-Mail-Werbung herausgegeben.

Damit rückt die datenschutzrechtliche Komponente in den Vordergrund. Dürfen die Versender die (E-Mail-) Daten überhaupt speichern? Und dürfen die Daten anschließend für Werbezwecke verwendet werden? Nachdem die Behörden nach und nach ihre Tätigkeitsberichte für die vergangenen beiden Jahre veröffentlichen, lohnt der Blick auf die dort veröffentliche Praxis.

Datenschutzrechtliche Basics
Grundsätzlich bedürfen die Speicherung der Adressdaten und die Verwendung für die Werbung der Einwilligung des Betroffenen – also des Inhabers der E-Mail-Adresse. Liegt eine Einwilligung in die Werbung per E-Mail vor, gilt diese auch für die datenschutzrechtliche Komponente. Wer mit der Übersendung von Werbung einverstanden ist, gibt auch sein Einverständnis in die Speicherung der Daten.

E-Mail-Adressen = Personenbezogene Daten
Dass E-Mail-Adressen in den meisten Fällen personenbezogen sind, ist allgemein bekannt. Schließlich beinhalten schon die Adressen selbst häufig die Namen der Adressaten. Selbst wenn dies nicht der Fall ist, lässt sich häufig ein Bezug zu einer konkreten Person herstellen. Lediglich info@- oder mail@-Adressen in größeren Unternehmen kann der Personenbezug fehlen. Dementsprechend hat auch die Datenschutzbehörde des Landes Bremen einen Personenbezug festgestellt (S. 86).

Einwilligung
Bisweilen werden die Behörden auch mit Selbstverständlichkeiten befasst. Die Datenschutzbehörde Bayerns hat feststellen müssen, dass die bloße Aufnahme einer E-Mail-Adresse in das Impressum einer Website auch im B2B-Verhältnis nicht die Verwendung der Adresse zu Werbezwecken legitimiert (s. 80).

E-Mail als freiwilliges Datum
Viele Händler wollen möglichst viele Informationen über ihre Kunden wissen und speichern. Das Datenschutzrecht sieht grundsätzlich das Gebot der Datensparsamkeit vor. Wer seinen Kunden E-Mails schicken möchte, muss natürlich die E-Mail-Adresse kennen. Für das E-Mail-Marketing und überhaupt online ist die E-Mail-Adresse daher ein zulässiges Pflichtfeld bei der Datenerhebung. Anders sieht das aber nach Ansicht der Landesbeauftragten für Datenschutz und Informationsfreiheit von Bremen für aus, wenn die E-Mail-Adresse nicht zwingend für die Kommunikation gebraucht wird. Ein Verein, der im Auftrag des Bremer Jobcenters prüfen sollte, ob ein Existenzgründer gefördert werden sollte, hatte die E-Mail-Adresse als Pflichtinformation vorgesehen. Daran störte sich die Behörde und forderte zur Nachbesserung auf (S. 47 ff.).

Offene Verteiler
Es darf nicht passieren, und geschieht doch gar nicht so selten: Anstelle die E-Mail-Adressen eines kleinen Mailings ins BCC zu kopieren, geht die Aussendung mit offenem Verteiler heraus. Die Bremer Datenschutzbehörde verhängte deswegen ein Bußgeld (S. 85 f.). Die Datenschutzaufsicht in Bayern hat in zwei Fällen Bußgelder verhängt (S. 85, 175). Die Höhe des Bußgelds wird nicht bekannt gegeben. Üblicherweise wird dabei berücksichtigt, ob absichtlich ein offener Verteiler verwendet wurde oder ein Versehen vorlag. Die bayerisce Behörde stellt fest, dass die Geldbußen im Normalfall gegen die handelnde Person verhängt werden. Gegen das Unternehmen können Geldbußen nur verhängt werden, wenn ihnen ein Organisationsverschulden zur Last fällt.

Löschungsaufforderungen
In den Newslettern vieler Online-Händler ist unmittelbar eine Möglichkeit zur Abmeldung integriert. Dies schützt aber nicht davor, auch Austragungen und Löschungsanforderungen berücksichtigen zu müssen, die den Händler auf anderem Wege erreichen. Daher ist allen Unternehmen mit einem gewissen E-Mail-Marketing-Aufkommen zu empfehlen, Prozesse aufzusetzen, die eine Berücksichtigung von Werbewidersprüchen und Bitte um Datenlöschung auf allen möglichen Wegen ermöglichen.

Der Bremischen Datenschutzbehörde lag eine Beschwerde wegen der Nichtbeachtung einer Löschungsaufforderung zugrunde. Das betroffene Unternehmen verwies auf individuelle Fehler einzelner Mitarbeiter und verteidigte sich damit, alle Kundendienst-Mitarbeiter auf die bevorzugte Bearbeitung von Auskunfts- und Löschungsverlangen zu verpflichten. Insbesondere Kunden-E-Mails würden täglich nach definierten Begriffen, wie „Datenschutz“, „Daten löschen“ oder „Account löschen“ gescannt. Damit hat sich die Behörde zufrieden gegeben und keine weiteren Maßnahmen getroffen (S. 85).

Der Landesdatenschutzbeauftragte in Bayern verhängte in drei Fällen Bußgeldbescheide wegen der Missachtung von Werbewidersprüchen. In diesen Fällen waren offenbar Programmierfehler daran schuld, dass Werbewidersprüchenicht oder verspätet berücksichtigt wurden. Diese Begründung ließ die Behörde aber nicht gelten und verhängte Bußgelder, weil der Unternehmer hätte testen lassen müssen, ob die Software funktioniere. Wenn solche Testläufe fehlten oder nicht dokumentiert seien, sei von einem Verschulden der Unternehmensleitung auszugehen (S. 176 f.).

Bußgeld wegen Tell-a-friend
Die Berliner Datenschutzbehörde hat ein Bußgeld in vierstelliger Höhe gegen ein soziales Netzwerk festgesetzt (S. 134). Ein Bürger hatte sich beschwert, weil ihm über ein soziales Netzwerk weiterhin Empfehlungs-E-Mails zugesandt wurden, obgleich er der Nutzung seiner E-Mail-Adresse widersprochen hatte. Die Behörde argumentierte mit der BGH-Entscheidung zu Tell-a-friend. Darin hatte der BGH bekundet, dass schon das Angebot einer Tell-a-friend-Funktion unter Umständen eine Haftung des Plattformbetreibers für die darüber versendeten Nachrichten begründet. Auch datenschutzrechtlich ist Tell-a-friend also ein Thema: Wer der Nutzung seiner E-Mail-Adresse für Werbenachrichten widerspricht, muss auch auf eine Blacklist für Tell-a-friend meint die Behörde.

Verschlüsselung bei der Übermittlung von Formulardaten
Die Datenschutzbehörde des Saarlandes sah sich veranlasst zu bekunden, dass bei der Website-Betreiber dafür Sorge tragen müssten, dass Formulardaten während des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Gefordert wird eine Verbindungsverschlüsselung, sobald personenbezogene Daten etwa in einem Kontaktformulars erhoben werden (S. 26). Ob die Behörde daraufhin ein Ordnungsgeld erlassen hat, ist nicht bekannt. In anderem Zusammenhang fordert auch die Datenschutzbehörde in Bremen eine verschlüsselte Übermittlung von über das Internet erhobenen Formulardaten (S. 48 f.).

Marketing-Automation noch ohne Rüge einer Behörde
Bisher nicht im Fokus der Behören steht die Marketing Automation und die Verknüpfung der E-Mail-Werbung mit CRM-Systemen. Auch die damit verbundene zunehmende Personalisierung und Individualisierung hat es noch nicht in einen veröffentlichten Tätigkeitsbericht einer Landesbehörde geschafft. Dies heißt aber nicht, dass die datenschutzrechtlichen Belange insoweit noch nicht zu berücksichtigen wären. Das Gegenteil ist der Fall: eine datenschutzkonforme Ausgestaltung des automatisierten E-Mail-Marketing ist essenziell.

Fazit
Die veröffentlichten Fälle zeigen nur einen Ausschnitt der Tätigkeit der Datenschutzbehörden. Es gibt deutlich mehr Fälle, in die die Behörden eingeschaltet werden. Meist geschieht dies wegen Beschwerden Einzelner.

Häufig lässt sich den Datenschutzbehörden erklären, wie es zu der Werbeaussendung kam. Liegt nur ein ausnahmsweiser Mitarbeiterfehler vor, wird die Behörde sich mit der Erklärung des Unternehmens regelmäßig zufrieden geben. Sind es grundsätzliche Datenschutzlücken, wird die Behörde auf verbindliche Aussagen des Unternehmens drängen. Häufig wird kontrolliert, ob die Zusagen eingehalten werden.

Datenschutzbehörden sind – wie alle anderen Behörden – an Recht und Gesetz gebunden. Ihre Entscheidungen lassen sich durch die Verwaltungsgerichte überprüfen. Wer mit einer Entscheidung einer Behörde nicht einverstanden ist, ist daher keineswegs schutzlos gestellt.