Direktwerbung DSGVO-konform umsetzen: Leitfaden für E-Mail-, Post- und Telefonmarketing

Author

Dr. Thomas Helbing

Date Published

Post-Standardbild

Zusammenfassung

  • Direktwerbung ist die individualisierte Ansprache von Adressaten und unterliegt sowohl dem Datenschutzrecht (DSGVO) als auch dem Wettbewerbsrecht (insbesondere § 7 UWG); beide Anforderungsschienen sind parallel zu prüfen.
  • Werbung per E-Mail, SMS und Messenger setzt grundsätzlich eine Einwilligung (Opt-In) voraus; nur unter den vier kumulativen Voraussetzungen des Bestandskundenprivilegs (§ 7 Abs. 3 UWG) genügt ein Opt-Out. Telefonwerbung gegenüber Verbrauchern ist immer einwilligungspflichtig, im B2B genügt eine mutmaßliche Einwilligung. Postwerbung läuft regelmäßig im Opt-Out-Modell.
  • Bei jeder Erhebung von Kontaktdaten für Werbezwecke sind die Informationspflichten nach Art. 13 bzw. 14 DSGVO zu erfüllen; Einwilligungen müssen nachweisbar dokumentiert sein (Empfehlung: Double-Opt-In) und Werbewidersprüche in einer Sperrdatei berücksichtigt werden.
  • Sonderkonstellationen wie Kundenprofile, Inbound-Marketing („Inhalte gegen Kontaktdaten"), Newsletter-Tracking, Konzernweitergaben, externe Dienstleister und QR-Codes erfordern jeweils eine zusätzliche datenschutzrechtliche Prüfung.

1. Gegenstand dieses Leitfadens

Dieser Leitfaden informiert über die Anforderungen des Datenschutzrechts bei Direktwerbung (z. B. Werbe-Mails) und bezieht sich auf das in Deutschland geltende Recht.

Der Leitfaden enthält ergänzend Hinweise zu wettbewerbsrechtlichen Anforderungen an die werbliche Nutzung personenbezogener Daten. Die wettbewerbsrechtliche Zulässigkeit ist grundsätzlich neben der datenschutzrechtlichen zu beachten.

2. Was ist Direktwerbung?

Der Begriff der „Werbung" ist weit auszulegen.

Werbung ist jede Äußerung des Unternehmens, die irgendwie unmittelbar oder mittelbar dazu dient, Produkte und Dienstleistungen zu verkaufen. >— vgl. Art. 2 lit. a der EU-Richtlinie 2006/114/EG

Werbung ist Direktwerbung, wenn sie sich an individualisierte Adressaten richtet — auch wenn dies massenhaft erfolgt.

Keine Direktwerbung ist „ungezielte" Werbung wie Fernseh- oder Radiowerbung, Plakatwerbung, Werbeanzeigen im Google-Werbenetzwerk, Postsendungen „an alle Haushalte" oder allgemeine Werbebanner auf einer Webseite.

Beispiele für Werbung:

  • Aufforderung zur Abgabe einer Kundenbewertung
  • Aufforderung zur Teilnahme an einer Umfrage, auch an „Markt- und Meinungsforschung"-Umfragen, wenn diese mittelbar der Absatzförderung dienen
  • Imagewerbung (z. B. Hinweis auf gemeinnützige Projekte, erhaltene Auszeichnungen)
  • Einladungen zu Informations-Veranstaltungen (auch kostenlose)
  • Hinweise auf die Teilnahme an Messen

Beispiele für Direktwerbung:

  • E-Mails (Newsletter)
  • Briefwerbung mit individueller Anschrift
  • SMS
  • WhatsApp-Nachrichten
  • Auto-Reply-E-Mails mit Werbeinhalten in der Fußzeile

3. Wann dürfen Daten für Direktwerbung genutzt werden (Opt-In/Opt-Out)?

3.1 Einführung und Rechtsgrundlagen

Die Nutzung von Kontaktdaten für die Direktwerbung stellt eine „Verarbeitung personenbezogener Daten" im Sinne der Datenschutzgrundverordnung (DSGVO) dar, sodass sämtliche Anforderungen der DSGVO an den Umgang mit personenbezogenen Daten zu beachten sind.

Insbesondere bedarf es einer Rechtsgrundlage für die Nutzung der Kontaktdaten. Als Rechtsgrundlage für die werbliche Nutzung personenbezogener Daten kommen in Betracht:

  • die Interessenabwägungsklausel des Art. 6 Abs. 1 lit. f) DSGVO und
  • eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO.

Wird die Nutzung auf die Interessenabwägung gestützt, bedarf es keiner aktiven Zustimmung des Beworbenen, sondern es genügt, wenn der Betroffene über die werbliche Nutzung und sein Widerspruchsrecht informiert wurde und nicht widersprochen hat (sog. „Opt-Out"-Lösung, d. h. der Betroffene muss „Nein" sagen, wenn er keine Werbung will).

Lässt sich die Werbung nicht auf die Interessenabwägung stützen, bedarf es einer Einwilligung (sog. „Opt-In"-Lösung: der Betroffene muss aktiv „Ja" sagen, ansonsten erhält er keine Werbung).

Bei der Interessenabwägung sind insbesondere die vernünftigen Erwartungen der Betroffenen zu berücksichtigen (Erwägungsgrund 47 DSGVO). Die Erwartung, Werbung zu erhalten, kann durch deutliche und klare Datenschutzinformationen beeinflusst werden.

3.2 Übersicht: Anforderungs-Matrix

Bei der Interessenabwägung sind die Wertungen des Wettbewerbsrechts, insbesondere § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), zu berücksichtigen. Relevant ist danach insbesondere der Kanal, über den der Betroffene angesprochen wird (z. B. E-Mail, Post), und ob der Beworbene Verbraucher (Business-to-Consumer, „B2C") oder Unternehmer ist (Business-to-Business, „B2B").

Die folgende Tabelle gibt einen Überblick, in welchen Fällen nach dem Wettbewerbsrecht ein Opt-In nötig ist und wann eine Opt-Out-Lösung genügt. Diese Wertung kann grundsätzlich auf das Datenschutzrecht übertragen, d. h. dort in der Interessenabwägung berücksichtigt werden.

| Kanal | Verbraucher (B2C) | Unternehmen (B2B) |
| --- | --- | --- |
| E-Mail (auch SMS, Messenger) — siehe Ziffer 3.3 | Opt-In; bei Bestandskundenprivileg: Opt-Out | Opt-In; bei Bestandskundenprivileg: Opt-Out |
| Telefon — siehe Ziffer 3.4 | Opt-In | Opt-In (Erleichterung: mutmaßliche Einwilligung genügt) |
| Post — siehe Ziffer 3.5 | Opt-Out | Opt-Out |

Nachfolgend finden sich zu den einzelnen Kanälen (E-Mail, Telefon, Post) vertiefte Erläuterungen. Ergänzend sind die weiteren Anforderungen an eine Einwilligung, die Transparenz und die Zweckbindung zu beachten (siehe Ziffer 4) sowie etwaige Sonderfälle zu berücksichtigen (siehe Ziffern 6 und 7).

3.3 Werbung per E-Mail

Bei Werbung per E-Mail ist grundsätzlich eine Einwilligung nötig, sowohl bei Verbrauchern als auch im Geschäftsverkehr. Zu den Anforderungen bei der Einholung der Einwilligung siehe bitte Ziffer 4.1 und 4.2.

Ausnahmsweise keiner Einwilligung bedarf es, wenn das Bestandskundenprivileg des § 7 Abs. 3 UWG greift. Es müssen hierfür folgende vier Voraussetzungen kumulativ gegeben sein:

  1. Erhalt im Zusammenhang mit einem Verkauf. Das Unternehmen hat die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden erhalten (z. B. bei erstmaligem Kauf im Online-Shop).

Nach einem Urteil des OLG München (Urteil v. 15.02.2018 – Az.: 29 U 2799/17) muss es sich nicht um einen entgeltlichen Vertrag handeln, es genügt jedes Austauschverhältnis (z. B. Anmeldung für kostenlose Infoveranstaltung). In der Fachliteratur ist diese Ansicht jedoch umstritten.

  1. Eigene ähnliche Waren oder Dienstleistungen. Die E-Mail-Werbung erfolgt für eigene ähnliche Waren oder Dienstleistungen. Es darf sich also nicht um Produkte eines Dritten oder einer anderen Gesellschaft einer Unternehmensgruppe handeln. Es muss zudem Ähnlichkeit zwischen der Ware/Dienstleistung bestehen, in deren Zusammenhang die E-Mail-Adresse erlangt wurde, und der beworbenen Ware/Dienstleistung.

An die Ähnlichkeit werden hohe Anforderungen gestellt. Die beworbene Ware oder Dienstleistung muss dem gleichen erkennbaren oder typischen Verwendungszweck oder Bedarf des Kunden entsprechen.

> Beispiel: Wurde die E-Mail-Adresse beim Abschluss einer Versicherung abgefragt, darf dies nicht zur Bewerbung von Immobiliendarlehen genutzt werden.

  1. Kein Widerspruch. Der Kunde darf der Nutzung zu Werbezwecken nicht widersprochen haben. Widersprüche sind zu protokollieren und bei zukünftigen Werbesendungen zu berücksichtigen (vgl. auch Ziffer 5).
  2. Hinweis auf Widerspruchsrecht. Der Kunde muss bei Erhebung der E-Mail-Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen werden, dass er der Verwendung jederzeit widersprechen kann. Eine nachträgliche Information genügt nicht — außer der Kunde gibt dabei nochmals seine E-Mail-Adresse preis.

3.4 Werbung per Telefon

Werbliche Telefonanrufe gegenüber Verbrauchern bedürfen immer einer vorherigen ausdrücklichen Zustimmung.

Auch werbliche Anrufe im B2B-Bereich bedürfen einer Zustimmung (§ 7 Abs. 2 UWG). Im B2B-Bereich genügt nach der wettbewerbsrechtlichen Rechtsprechung jedoch eine „mutmaßliche Einwilligung".

Eine mutmaßliche Einwilligung liegt vor, wenn der Anruf dem objektiven Interesse oder dem wirklichen oder mutmaßlichen Willen des Adressaten entspricht. Nach der Rechtsprechung des Bundesgerichtshofs muss aufgrund konkreter Umstände ein sachliches Interesse des Anzurufenden vom Anrufer vermutet werden können.

Von der mutmaßlichen Einwilligung sind also Anrufe gedeckt, an denen ein durchschnittlich störungsanfälliger Gewerbetreibender interessiert wäre, sofern nicht besondere Umstände für einen entgegenstehenden Willen gerade des individuellen Adressaten sprechen. Erforderlich ist eine Interessenabwägung. Die Beweislast für die Tatsachen, die zur Annahme einer mutmaßlichen Einwilligung führen, trägt das Unternehmen.

Für die Annahme einer mutmaßlichen Einwilligung können folgende, von der Rechtsprechung entwickelte Kriterien sprechen (vgl. Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb, § 7 UWG, 7. Auflage 2016, Rn. 57):

  • Art, Inhalt und Intensität einer bereits bestehenden Geschäftsverbindung: Wenn bereits eine Geschäftsverbindung zwischen Werbendem und Umworbenem besteht, ist eine mutmaßliche Einwilligung umso eher anzunehmen, je enger diese Beziehung ist und je enger der Anruf mit dem Gegenstand der bisherigen Geschäfte zusammenhängt.
  • Nähe des Angebots zum spezifischen Bedarf des umworbenen Unternehmens: Je eher ein konkreter und besonderer Bedarf des beworbenen Unternehmens nach außen erkennbar ist und je weniger mit vergleichbaren Angeboten anderer Unternehmer zu rechnen ist, desto eher ist eine mutmaßliche Einwilligung anzunehmen. Umgekehrt reicht ein bloßer allgemeiner Sachbezug (Auto für einen Rechtsanwalt, Büromaterial für ein Übersetzungsbüro) nicht aus.
  • Erheblichkeit der Störung und Erheblichkeit der Nachahmungsgefahr.
  • Einverständnis gerade mit der telefonischen Kontaktaufnahme: Je weniger der Werbende auf andere Werbeformen ausweichen kann, desto eher spricht das für eine mutmaßliche Einwilligung. Umgekehrt fehlt es an einer solchen, wenn der Adressat zwar an der Information, nicht aber an ihrer telefonischen Übermittlung interessiert ist. Komplexe Produkte mit hohem Beratungsbedarf und wahrscheinlichen Rückfragen können für eine telefonische Kontaktaufnahme sprechen.
  • Vorverhalten des Angerufenen: Wenn der Angerufene in der Vergangenheit entsprechende Angebote angenommen oder sein Interesse geäußert hat, kann das für eine mutmaßliche Einwilligung sprechen.
  • Weitere Kriterien: Günstigkeit des Angebots.
  • Nicht ausschlaggebend: Branchenüblichkeit von Anrufen.

Diese Kriterien stammen aus der Rechtsprechung zum UWG, können aber bei der Interessenabwägung nach der DSGVO entsprechend übernommen werden.

3.5 Werbung per Post

Direktwerbung per Post ist grundsätzlich bei Werbung für eigene Produkte und Dienstleistungen gegenüber Bestandskunden (ehemalige Käufer) auch ohne Einwilligung zulässig — außer der Empfänger hat widersprochen (Opt-Out-Lösung).

Bei anderen Empfängern kommt es auf die konkrete Interessenabwägung an.

Die Verwendung der Postanschrift aus dem Impressum von Webseiten potentieller Kunden ist nach Ansicht der Datenschutz-Aufsichtsbehörden datenschutzrechtlich nicht zulässig (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 4.4).

Postadressen, die bei Preisausschreiben und Gewinnspielen oder aus Informationsanforderungen eines Interessenten erlangt wurden, dürfen nach Ansicht der Datenschutzbehörden für Postwerbung genutzt werden (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 4.4).

4. Was muss beim Erheben der Kontaktdaten beachtet werden?

4.1 Immer: Datenschutzinformationen

Unabhängig davon, ob ein Opt-In eingeholt oder die Opt-Out-Lösung zur Anwendung kommt, müssen bei Erhebung der Kontaktdaten für die Direktwerbung (E-Mail-Adresse, Anschrift, Telefonnummer) immer die datenschutzrechtlichen Informationspflichten des Art. 13 bzw. 14 DSGVO erfüllt sein.

Insbesondere muss dem Nutzer deutlich gemacht werden, dass und welche Kontaktdaten (E-Mail, Anschrift, Telefonnummer) auch für Direktwerbung genutzt werden können, und wer datenschutzrechtlich Verantwortlicher ist (Name und Anschrift des Unternehmens).

Bei begrenztem Platzbedarf kann auch eine zweistufige Bereitstellung der Information erfolgen: Auf der ersten Stufe werden im Erhebungsformular (z. B. Postkarte für Gewinnspiel) wesentliche Informationen mitgeteilt sowie zusätzlich ein Link, über den Detailinformationen online abgerufen werden können.

Beispiele für die Erhebung von Kontaktdaten: Anmeldung für Newsletter auf der Webseite, Anmeldebogen für eine Veranstaltung, Kaufvertragsformular, Anmeldeformular für eine Fortbildungsveranstaltung, Antwortkarte für Gewinnspiel.

Sollen Telefonnummern oder Anschriftsdaten für Direktwerbung genutzt werden, ohne dass dies bei der Erhebung der Daten festgelegt und transparent war, so liegt eine Zweckänderung vor. Es sind dann die besonderen Voraussetzungen des Art. 6 Abs. 4 DSGVO zu beachten; insbesondere müssen die Betroffenen nachträglich informiert werden.

Werden Kontaktdaten nicht direkt beim Beworbenen, sondern indirekt über Dritte bezogen (z. B. Einkauf von Adressen, Erhebung aus Verzeichnissen), gelten die Informationspflichten für eine Datenerhebung bei Dritten nach Art. 14 DSGVO. Es ist dann insbesondere auch über die Quelle und die Art der erhobenen Daten zu informieren.

4.2 Zusätzliche Anforderungen beim Einholen eines „Opt-In"

Ist ein Opt-In erforderlich, müssen die datenschutzrechtlichen Anforderungen an eine Einwilligung nach Art. 7 DSGVO erfüllt sein. Bei einer Einwilligung in die Zusendung von Werbung ist dabei auf Folgendes zu achten:

Inhalt der Einwilligung. Im Text der Einwilligung sind das werbende Unternehmen, der Werbekanal (E-Mail, Post, SMS etc.) und die Art der beworbenen Produkte oder Dienstleistungen anzugeben (z. B. berufliche Fortbildung). Es empfiehlt sich zudem, die Frequenz der Direktwerbung anzugeben (z. B. „wöchentlicher Newsletter").

Widerrufshinweis. Es ist auf das Recht hinzuweisen, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Es sollte klar sein, wohin der Widerruf zu richten ist.

Double-Opt-In für E-Mails. Bei Einwilligungen in die Übersendung von Werbe-E-Mails sollte das Double-Opt-In-Verfahren angewandt werden, um sicherzustellen, dass der Einwilligende der Inhaber der E-Mail-Adresse ist. Beim Double-Opt-In wird zunächst eine Bestätigungsmail mit einem individuellen Link gesandt. Erst nach Klicken des Links wird Werbung geschickt.

In der Bestätigungsmail sollte der Text der Einwilligung nochmals abgedruckt sein (Empfehlung). Die Bestätigungsmail selbst darf keinerlei Werbung enthalten. Wird der Link nicht geklickt, sollte keine Erinnerung erfolgen, und die E-Mail-Adresse ist zeitnah zu löschen (z. B. 14 Tage nach Versand der Bestätigungsmail). Das Double-Opt-In-Verfahren ist entgegen verbreiteter Ansicht keine gesetzliche Vorgabe, sondern bietet sich für Nachweiszwecke an.

Kein Kopplungsverbot verletzen. Wird der Abschluss eines Vertrags (z. B. Teilnahme an einem Event, Kauf eines Produktes, Bestellung eines Abonnements) von der Abgabe der Werbeeinwilligung abhängig gemacht, kann dies eine datenschutzrechtlich unzulässige Koppelung darstellen (Art. 7 Abs. 4 DSGVO). Eine unzulässige Koppelung kann auch vorliegen, wenn mit der Werbeeinwilligung zugleich andere, nicht zusammengehörige Verarbeitungen legitimiert werden sollen (z. B. Bonitätsabfrage, Weitergabe der Daten an verbundene Unternehmen).

Werbeeinwilligungen sollten daher im Zweifel immer separat erteilt werden können. Soll die Teilnahme an einem Gewinnspiel nur mit Werbeeinwilligung möglich sein, so ist dies nicht per se unzulässig, aber im Einzelfall zu prüfen.

Klar unterscheidbare Darstellung. Für Werbeeinwilligungen ist regelmäßig ein gesonderter Text oder Textabschnitt ohne anderen Inhalt zu verwenden. Soll die Werbeeinwilligung zusammen mit anderen Erklärungen (insbesondere vertraglichen Erklärungen wie der Zustimmung zu AGB) erteilt werden, so ist die datenschutzrechtliche Einwilligungserklärung gemäß Art. 7 Abs. 2 Satz 1 DSGVO in einer von anderen Sachverhalten klar unterscheidbaren Weise darzustellen (z. B. Hervorhebung des Textes der Einwilligung durch Fettdruck oder Umrandung).

Nachweisbarkeit. Die Erteilung von Einwilligungen muss nachweisbar sein. Das Unternehmen trägt hierfür die Beweislast. Bei online eingeholten Einwilligungen sollte dokumentiert werden:

  • Datum, Uhrzeit und ggf. IP-Adresse der Einwilligungserteilung (Formular auf Webseite)
  • Bei Double-Opt-In: die vollständige Bestätigungsmail (zu archivieren)
  • Datum, Uhrzeit und ggf. IP-Adresse beim Klick des Double-Opt-In-Links in der Bestätigungsmail
  • Wortlaut bzw. Text der Einwilligung, die erteilt wurde
  • der technische Einwilligungsprozess: Insbesondere muss nachweisbar sein, dass ein Kunde nur nach Durchlaufen des Double-Opt-In-Prozesses in einen Werbeverteiler aufgenommen wurde.

Vorausgewählte Kästchen sind unzulässig. Für die online eingeholte Einwilligung in E-Mail-Werbung ist ein vorausgewähltes Kästchen nicht ausreichend (LG München I, Urteil v. 04.06.2018, Az. 4 HKO 8135/17).

Eine Einwilligung kann mehrere Kanäle abdecken. Nach einem Urteil des BGH (Urteil v. 01.02.2018, Az. III ZR 196/17) bedarf es nach dem UWG keiner gesonderten Einwilligung für jeden Werbekanal. Separate Häkchen für Werbung per E-Mail, SMS oder Telefon sind also nicht mehr nötig — es genügt ein Häkchen für alle Kanäle. Solche umfassenden Einwilligungen können in der Praxis aber den Nutzer abschrecken, die Einwilligung zu erteilen.

Kein Verfall, aber praktische Erneuerung. Werbeeinwilligungen verfallen nicht nach gewisser Zeit (BGH, Urteil v. 01.02.2018, Az. III ZR 196/17). Wurde lange Zeit von einer Einwilligung kein Gebrauch gemacht (z. B. über 18 Monate keine Werbung gesandt), sollte die Einwilligung aber ggf. erneuert werden.

Mündliche Einwilligungen und Visitenkarten. Mündlich erteilte Einwilligungen (z. B. an einem Messestand) sollten vom Empfänger auf Unternehmensseite dokumentiert werden; zudem empfiehlt sich eine schriftliche Bestätigung der Zustimmung (z. B. per E-Mail).

Visitenkarten, die auf Messen oder sonstigen Veranstaltungen ausdrücklich zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme hinterlassen werden, können nach Ansicht der Datenschutz-Aufsichtsbehörden eine wirksame Einwilligung darstellen, wenn die Nachweisbarkeit gegeben ist (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 4.3).

Verweigerte Einwilligung wirkt wie Werbewiderspruch. Wird eine Person um Abgabe einer Werbe-Einwilligung gebeten und verweigert sie diese, scheidet eine Berufung auf die Interessenabwägung oder auf das Bestandskundenprivileg (Opt-Out-Lösung) insoweit — betreffend den jeweiligen Kanal — unter Umständen aus. Die Verweigerung einer Werbe-Einwilligung muss also ggf. als Werbewiderspruch aufgefasst und vermerkt werden.

Re-Opt-In-Kampagnen abwägen. Viele Unternehmen haben einen Bestand von E-Mail-Adressen aufgebaut, bei dem Quellen und Erhebungsumstände nicht klar sind (z. B. Mail-Adressen von Altkunden, Newsletter-Anmeldungen ohne „saubere" Einwilligung, Geschäftskontakte). Hier wird häufig erwogen, alle Kontakte anzuschreiben und um Abgabe einer ausdrücklichen Einwilligung zu bitten (sog. „Re-Opt-In-Kampagnen").

Das Problem solcher Maßnahmen: Die Aufforderung zur Abgabe einer Einwilligung stellt bereits Direktwerbung dar und ist damit selbst unzulässig. Zudem gehen viele Kontakte verloren, weil aus Bequemlichkeit kein Opt-In erteilt wird. Immerhin kann durch eine Re-Opt-In-Kampagne aber für die Zukunft ein rechtssicherer (obgleich stark geschrumpfter) Verteilerkreis hergestellt werden. Vor- und Nachteile sollten vor diesem Hintergrund sorgfältig abgewogen werden.

4.3 Zusätzliche Anforderungen bei einer „Opt-Out"-Lösung

Kommt die Opt-Out-Lösung zur Anwendung, so ist der Betroffene über sein Recht zu informieren, der Nutzung seiner Daten für Zwecke der Direktwerbung und einem damit in Verbindung stehenden Profiling jederzeit zu widersprechen (Art. 21 Abs. 2, 4 DSGVO).

Die Information muss spätestens zum Zeitpunkt der ersten Kommunikation mit dem Betroffenen (erste Werbesendung) erfolgen. Der Hinweis muss ausdrücklich und in von anderen Informationen getrennter Form erfolgen (z. B. separater Abschnitt oder Hervorhebung durch Fettdruck, graue Hinterlegung und/oder Kasten).

Aus Gründen der Nachweisbarkeit empfehlen die Datenschutz-Aufsichtsbehörden, den Hinweis auf das Widerspruchsrecht bei jeder Werbesendung anzubringen (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 5.2).

Stützt sich das Unternehmen auf das Bestandskundenprivileg, so sind auch die Hinweise gemäß § 7 Abs. 3 Nr. 4 UWG zu erteilen (siehe Ziffer 3.3 oben).

5. Wie erfolgt der Umgang mit Personen, die keine Werbung wünschen?

Hinweis zur Terminologie: Bei Direktwerbung auf Basis eines Opt-Ins spricht man im Falle des Wunsches des Betroffenen, keine Werbung mehr zu erhalten, von einem „Widerruf" (der Werbe-Einwilligung). Erfolgt die Werbung auf Basis einer Opt-Out-Lösung (also ohne vorherige Einwilligung), spricht man von einem „Werbewiderspruch".

Im Falle eines vorherigen Opt-Ins ist der Widerruf einer Einwilligung mit Datum zu dokumentieren.

Bei einer Opt-Out-Lösung (z. B. postalische Werbung oder E-Mails auf Basis des Bestandskundenprivilegs) ist der Werbewiderspruch zu dokumentieren, und es ist sicherzustellen, dass dieser bei zukünftiger Direktwerbung beachtet wird. Die Dokumentation des Werbewiderspruchs erfolgt in einer Sperrdatei bzw. durch einen Sperrvermerk. Der Betroffene ist über die Speicherung seiner Daten in der Sperrdatei zu informieren.

Bereits angelaufene Werbeaktionen. Wenn konkrete Werbeaktionen angelaufen sind und sich die Kontaktdaten der betroffenen Person schon in der technischen Verarbeitung befinden, kann es im Einzelfall nach Auffassung der Datenschutzaufsichtsbehörden für das Unternehmen unzumutbar sein, einen zwischenzeitlich eingegangenen Werbewiderspruch noch mit erheblichem Aufwand umzusetzen — z. B. einen bestimmten, bereits adressierten Brief aus einer großen Menge herauszusortieren. Der Betroffene sollte dann informiert werden, dass sein Widerspruch berücksichtigt wird, aber für eine bestimmte (anzugebende) Frist bereits angelaufene Werbeaktionen noch durchgeführt werden können.

Bei Unklarheit klären. Ist unklar, ob der Betroffene eine Einwilligung widerruft oder einen Werbewiderspruch einlegt, so sollte dies mit dem Betroffenen geklärt werden. Gleiches gilt, wenn unklar ist, ob der Betroffene jegliche Werbung oder nur Werbung über bestimmte Kanäle (E-Mail, Post, Telefon) ablehnt.

6. Was gilt bei einzelnen Zielgruppen?

Bewerberdaten dürfen nicht für werbliche Zwecke (z. B. Verkauf von Waren) genutzt werden, sofern keine Einwilligung vorliegt. Gleiches dürfte grundsätzlich auch bei Image-Werbung gelten (z. B. Mailing über neue Auszeichnung als „Top-Arbeitgeber" oder Präsenz auf einer Jobmesse).

Mitarbeiterdaten. Soweit Mitarbeiter zugleich Kunden des Unternehmens sind, gelten in Bezug auf kundenbezogene Werbung die Grundsätze wie bei Kunden.

7. Welche Besonderheiten sind zu beachten?

7.1 Kundenprofile

Sofern die Adressaten von Direktwerbung nach bestimmten Kriterien ausgewählt werden (Werbe-Profiling), bedarf die mit der Speicherung, Generierung und Nutzung der entsprechenden Informationen einhergehende Verarbeitung personenbezogener Daten einer gesonderten datenschutzrechtlichen Prüfung.

Ein Widerspruch gegen die Nutzung von Daten für Direktwerbung beinhaltet zugleich einen Widerspruch gegen ein entsprechendes Werbe-Profiling (z. B. Ermittlung der potentiellen Affinität für bestimmte Produkte anhand der Kundenhistorie).

Nach Ansicht der Datenschutz-Aufsichtsbehörden ist bereits bei automatisierten Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, oder bei Hinzuziehung externer Datenquellen unter Umständen ein Opt-In nötig (Datenschutzkonferenz, Orientierungshilfe Direktwerbung, November 2018, Ziffer 1.3.1).

Beispiele für Werbe-Profiling: Bildung von Kundensegmenten, Ermittlung potentieller Interessen von Kunden, Ermittlung der potentiellen Affinität für bestimmte Produkte.

7.2 Inhalte gegen Kontaktdaten (Inbound-Marketing)

Zur Generierung von potentiellen Neukunden (Leads) werden häufig kostenlose Whitepaper, Studien oder Checklisten zum Download angeboten. Im Gegenzug muss der Interessent seine Kontaktdaten preisgeben, die dann zur werblichen Ansprache genutzt werden sollen (typisches Instrument des „Inbound-Marketing").

Hier kommen datenschutzrechtlich verschiedene Lösungen in Betracht: eine explizite Einwilligung, eine Vertragslösung oder das Newsletter-Modell.

  • Explizite Einwilligung: Der Interessent muss eine Werbeeinwilligung erteilen und erhält erst dann den Zugang zum gewünschten Inhalt. Grundsätzliche Bedenken bestehen gegen diese Lösung nicht, wenn das Austauschverhältnis transparent ist. In Einzelfällen kann die Freiwilligkeit der Einwilligung jedoch problematisch sein (z. B. Drucksituation, schutzwürdiger Adressatenkreis).
  • Vertragslösung: Der Interessent schließt einen Nutzungsvertrag mit dem Anbieter, durch den er ein Nutzungsrecht an den Inhalten erhält und im Gegenzug mit seinen Daten „bezahlt". Diese Variante hat den Vorzug, dass bei einem Widerruf der Einwilligung die Nutzungsberechtigung für den Inhalt entfällt. Die Vertragslösung könnte jedoch als unzulässige Koppelung bzw. Umgehung des datenschutzrechtlichen Einwilligungserfordernisses angesehen werden oder AGB-rechtliche Bedenken auslösen.
  • Newsletter-Modell: Der Interessent muss den Newsletter bestellen und erhält im Rahmen des Versands der ersten Mail bzw. mit der Anmeldebestätigung die Möglichkeit des Zugriffs auf den Inhalt (z. B. Passwort, individueller Download-Link).

7.3 Newsletter-Tracking

Soll das Nutzungsverhalten von Newslettern nachverfolgt werden (z. B. Öffnungsrate, Klick von Links), beachten Sie bitte die Hinweise im Beitrag zum datenschutzkonformen Newsletter-Tracking.

7.4 Konzerne und Unternehmensverbünde

Die einzelnen Unternehmen eines Konzerns oder sonstigen Unternehmensverbunds sind datenschutzrechtlich gesonderte Verantwortliche und entsprechend getrennt zu behandeln.

Bei einer Einwilligung ist konkret anzugeben, welchem Unternehmen die Zusendung von Werbung gestattet ist; ggf. ist eine Liste der Konzern-Unternehmen bereitzustellen oder ein Link zu einer solchen. Auf das Bestandskundenprivileg kann sich nur das Unternehmen der Unternehmensgruppe berufen, das die Kundenbeziehung mit dem Betroffenen innehat.

Eine Weitergabe von Daten innerhalb der Unternehmensgruppe zu Werbezwecken ohne Einwilligung wäre allenfalls denkbar, wenn dem Kunden dies bei Erhebung der Daten deutlich war.

7.5 Externe Dienstleister

Werden externe Dienstleister mit der Werbemittel-Produktion oder dem -Versand betraut, kann dies eine Auftragsverarbeitung darstellen, sodass bestimmte Verträge mit den Dienstleistern zu schließen sind (Auftragsverarbeitungsverträge).

7.6 QR-Codes

Beim Einsatz von QR-Codes auf Werbemitteln muss der Inhalt des Codes (z. B. die URL) für den Adressaten ersichtlich sein. Eine mit der Nutzung des QR-Codes einhergehende Datenverarbeitung ist transparent zu machen (z. B. Erfassung, welcher Kunde die codierte URL aufgerufen hat).

7.7 Weitere Sonderfälle

Besondere Anforderungen sind zu beachten, wenn Adressaten der Werbung Kinder sind, sowie bei Empfehlungs- oder Freundschaftswerbung, beim Adresskauf oder wenn besondere Kategorien personenbezogener Daten (z. B. Gesundheit, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen) involviert sind.

Über den Autor

Über den Autor

Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Newsletter

  • Over 5,000 satisfied subscribers
  • Tools, templates, checklists and explanations on data protection and IT law.
  • Unsubscribe anytime.