Rund um das Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 erreichte die Postfächer europäischer E-Mail Nutzer eine wahre Flut an E-Mails, die den Nutzer entweder über neue Datenschutzrichtlinien informierten oder von ihm eine Einwilligung in selbige verlangten. An anderen Stellen wurde bereits viel Verwunderung, teils auch Spott und Verärgerung geäußert: Über E-Mails von Unternehmen, die dem Empfänger unbekannt waren, über unbeholfene Formulierungen aber auch über, selbst für juristische Laien offensichtlich rechtswidrige, Versuche, nachträglich Opt-Ins für die Newsletter Kommunikation zu erlangen. Gerade bei Marketern hat diese DSGVO-E-Mail Flut aber auch viel Unsicherheit ausgelöst. Uns haben viele Fragen von unseren Kontakten erreicht: Hätte ich meine Opt-Ins auch bestätigen lassen müssen? War es unklug, diese Mails zu versenden? In diesem Beitrag bringen wir etwas Licht ins Dunkel. Doch eine Information „zur Beruhigung“ vorab: Wer vor der DSGVO rechtssicher unterwegs war, ist dies immer noch.
Welche Arten von E-Mails wurden versendet? Im Wesentlichen lassen sich hier drei Arten unterscheiden:
- Rein informative E-Mails: „Wir haben unsere Datenschutzerklärung überarbeitet. Weitere Informationen finden Sie hier:…“ In diesen E-Mails wurde einfach nur auf eine veränderte Datenschutzerklärung hingewiesen, ohne vom Nutzer eine Zustimmung zu dieser zu verlangen. Aus juristischer Sicht ist daran nichts zu beanstanden. Es ist nicht notwendig, über Änderungen in der Datenschutzerklärung zu informieren. Aus Marketingsicht kann es jedoch ein guter Anlass sein, um durch den expliziten Hinweis auf hohe Datenschutz- und Datensicherheitsstandards das Vertrauen des Nutzers zu stärken.
- Opt-Out E-Mails: „Wenn Sie ab dem 25. Mai unseren Newsletter weiterhin nutzen, gehen wir von Ihrer Zustimmung zu unserer neuen Datenschutzerklärung aus.“ Dieses Vorgehen ist rechtswidrig. Ein Opt-In muss immer explizit durch den Nutzer abgegeben werden. Es ist nicht zulässig, ein Opt-In automatisch anzunehmen, solange der Nutzer dieses nicht ablehnt (Opt-Out Prinzip).
- Re-Opt-In E-Mails: „Stimmen Sie bitte unseren neuen Datenschutzbestimmungen zu. Wenn Sie bis zum 25. Mai 2018 nicht zugestimmt haben, werden wir Ihre Daten löschen und Sie erhalten keine weiteren E-Mails von uns.“ An dieser Stelle lohnt sich ein differenzierterer Blick.
Sind Opt-In Mails notwendig oder schädlich?
Hier gilt es drei unterschiedliche Szenarien zu unterscheiden:
- Das Unternehmen hat bereits vor Inkrafttreten der DSGVO E-Mail Marketing auf Grundlage rechtssicher erhobener Opt-Ins durchgeführt: Diese Opt-Ins sind auch nach Inkrafttreten der DSGVO noch gültig, sofern bereits den Erfordernissen der alten Datenschutzrichtlinie 96/46/EG genügten. Es ist nicht notwendig, diese noch einmal bestätigen zu lassen. Je nach Formulierung der versendeten E-Mails haben sich Unternehmen, die trotzdem nach einer Bestätigung gefragt haben, jedoch massiv selbst geschadet. Denn viele Unternehmen haben nicht nur nach einer Bestätigung des Opt-Ins gefragt, sie haben auch angekündigt, die Daten des Nutzers zu löschen, falls diese Bestätigung nicht erfolgt. Geht man bei den Re-Opt-In Mails von einer Klickrate von maximal 10-20 Prozent aus, dann haben Unternehmen 80 Prozent Ihres Verteilers in den Müll geworfen. Wenn man die dadurch vernichteten Effekte auf Umsatz und Kundenbindung betrachtet, kommt man auf Millionenwerte, die leichtfertig weg geworfen wurden.
- Das Unternehmen hatte auch vor Inkrafttreten des DSGVO keine rechtssicheren Opt-Ins: In diesem Fall können die nicht rechtssicheren Opt-Ins auch nicht durch eine Re-Opt-In-Mail rechtssicher gemacht werden. Da zum Zeitpunkt des Versands kein rechtssicheres Opt-In vorlag, war bereits der Versand der Re-Opt-In-Mail rechtswidrig. Ob die auf Grundlage einer rechtswidrigen E-Mail erteilten Re-Opt-Ins ebenfalls wirksam sind, darf stark bezweifelt werden. Die Gerichte werden hierzu sicherlich in Zukunft Stellung nehmen.
- Das Unternehmen kann/will „alte“ Opt-Ins nicht mehr nutzen: Es kann viele verschiedene Gründe geben, warum Unternehmen Opt-Ins nicht mehr nutzen können oder wollen. Ein „Klassiker“ ist z.B. die Unternehmens-Fusion. Zwei Unternehmen fusionieren unter einer neuen Firmierung und mit neuen Angeboten. In diesem Fall gelten die Opt-Ins der „Ursprungsunternehmen“ ggf. nicht mehr für das neue Unternehmen. Hier ist es jedoch möglich, vor der Fusion ein Re-Opt-In einzuholen. Dieser Sachverhalt hat jedoch nichts mit der DSGVO zu tun.
Unnötige Torschlusspanik
Was ist hier passiert? Obwohl schon seit Jahren über die DSGVO berichtet und Unternehmen darauf hingewiesen wurden, sich rechtzeitig damit zu befassen, ist dies scheinbar nicht passiert. Dies legen auch diverse Studien nahe, die in den Monaten vor dem Stichtag am 25. Mai 2018 immer wieder festgestellt haben, dass viele Unternehmen die DSGVO nicht auf dem Schirm hatten. Als der Stichtag dann näher rückte, machte sich bei vieleln Unternehmen Torschlusspanik breit und es wurde versucht, sich noch schnell irgendwie abzusichern. Als wäre das nicht schon problematisch genug, entsteht der Eindruck, dass viele Unternehmen auch heute noch nicht ausreichend informiert sind. Dies liegt jedoch nicht nur an der Nachlässigkeit der Unternehmen. Obwohl der Rechtstext steht, gibt es an vieleln Stellen noch Unklarheit über die eigentlich entscheidende Deutung durch Gerichte oder Datenschutzinstitutionen. Und hier wird sich vermutlich auch zeigen, dass zwar einheitliches Recht in Europa gilt, aber die Auslegung dann doch landesspezifisch ausfallen wird. Die europäischen Nachbarn schauen jedenfalls eher verwundert auf den deutschen Katastrophenalarm.