[DE] Vereinbarkeit UWG mit DSGVO/ePrivacy-RL?
Vor über einem Jahr habe ich in einem Onlineshop bestellt, der klar angab, dass man mit der Bestellung automatisch zustimme, Werbemails zu erhalten. Dies könne man im Nachhinein ja noch widerrufen.
Ich widersprach noch im Kommentarfeld der Bestellung, und dies wurde auch respektiert, allerdings berief sich der Shop auf Nachfrage auf das UWG und das Bestandskundenprivileg. Da nahm ich mir dann die Zeit, mich da mal einzulesen, und frage mich immernoch: Ist das wirklich vereinbar mit der DSGVO?
Ich sehe das wie folgend:
Die meisten Datenverarbeitungen im Verkaufskontext wie im vorliegenden Fall stützen sich hauptsächlich entweder auf Art. 6 Abs. 1 a) oder b) DSGVO, d.h. eine Einwilligung (a)), oder zur Erfüllung eines Vertrages (b)).
Es ist wichtig, dass die Einwilligung aktiv, spezifisch, informiert und freiwillig stattfindet (Art. 4 Nr. 11 DSGVO). Das wird nicht angenommen, wenn beispielsweise eine Checkbox vorausgefüllt ist oder nichtmal eine Checkbox existiert, sondern nur ein "Hiermit bestätige ich/akzeptiere ich, dass...", bei dem nichts aktiviert oder deaktiviert werden muss. Es zählt auch nicht als stillschweigende oder konkludente Einwilligung und wird nicht als Nachweis der Zustimmung gesehen.
Hier greift auch Art. 25 Abs. 2 DSGVO über datenschutzfreundliche Voreinstellungen (Privacy by default). In der Praxis bedeutet das, dass die Voreinstellungen so zu setzen sind, dass von vorneherein möglichst wenig Daten verarbeitet werden - also dass beispielsweise unaktivierte Checkboxen zu Einwilligungen für Newsletter usw. bestehen, die erst noch vom Nutzer aktiviert werden müssen.
Es ist außerdem notwendig, eine separate Zustimmung für verschiedene Zwecke geben zu können, weil der Nutzer sonst nicht jede Einwilligung freiwillig und spezifisch geben kann, statt allen oder keinen zustimmen zu müssen.
Das Problem, dass ich aber sehe, ist, dass man nicht bestellen kann, ohne automatisch in den Newsletter aufgenommen zu werden, denn es ist opt-out statt opt-in. Das geht entgegen den Standards, die die DSGVO für Einwilligungen setzt, auch wenn die Einwilligung nicht die Rechtsgrundlage der Datenverarbeitung ist. Wenn ich zustimmen muss, um meine Schokolade zu kaufen, ist das nicht so freiwillig, wie es sein könnte.
Die Weiterverarbeitung der Bestelldaten zu Werbezwecken dient auch nicht den ursprünglichen Zwecken (Vertragserfüllung), sondern ist ein weiterer Zweck. Hier ist wichtig, das Prinzip der Zweckfestlegung und der Zweckbindung der DSGVO zu kennen; bedeutet in kurz, die Zwecke müssen vorher festliegen und Weiterverarbeitungen, die nicht diesen Zwecken entsprechen, müssen eine Rechtsgrundlage haben (z.B. Einwilligung) oder es muss eine Zweckkompatibilitätsprüfung stattfinden.
Nun kommt natürlich das UWG und das Bestandskundenprivileg ins Spiel. Hier wird eine Art loophole gesehen, dass Werbung trotzdem verschickt werden kann, auch ohne explizite Einwilligung.
Hier gibt es verschiedene Ansichten in den Gerichten und der Literatur. Manche sagen, das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO wird umgangen, indem der Nutzer bei Bestellung darauf hingewiesen wird. Andererseits muss man aber auch bedenken, dass EU-Recht dem nationalen Recht grds. vorgeht und nationales Recht EU-rechtskonform ausgelegt werden soll, und das ist die andere Ansicht, die vertreten wird: Der Zwang, der Verwendung personenbezogener Daten zusätzlich zu dem, was unbedingt notwendig ist (hier: Bestellung, aber auch Werbung), zuzustimmen, beschränkt die Wahl des Nutzers und steht der freien und spezifischen Einwilligung im Wege, und dann wäre hier das Kopplungsverbot verletzt.
Die Einwilligung in die Verarbeitung personenbezogener Daten, die nicht notwendig für die Erfüllung des Vertrages ist, darf nicht als zwingende Gegenleistung für den Abschluss eines Vertrages dienen. Hier wird das Zustandekommen des Vertrags ja von der gleichzeitigen Einwilligung in die Werbung abhängig gemacht, obwohl die Werbung nicht zwingend für die Vertragserfüllung erforderlich ist. Wie schon oben erklärt, wird die Einwilligung dann oft auch als unfreiwillig und damit unwirksam gesehen, wenn der Nutzer keine Möglichkeit hat, seine Einwilligung in die verschiedenen Zwecke von personenbezogenen Daten gesondert zu erteilen.
Eine weitere Möglichkeit wäre natürlich, mit Art. 6 Absatz 1 f) DSGVO zu argumentieren: Datenverarbeitung für Werbung als berechtigtes Interesse.
Das wurde auch mal so anerkannt, jedoch geht der DSGVO die ePrivacy-Richtlinie vor (Art. 95 DSGVO). Hier heißt es in Art. 13 Absatz 2, dass die Direktwerbung an den Kunden erlaubt ist, wenn diese klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen zum Zeitpunkt ihrer Erhebung problemlos abzulehnen. Das bedeutet für mich, ich sollte direkt beim Bestellvorgang (Erhebung) direkt eine Möglichkeit haben, abzulehnen (durch beispielsweise Checkbox zur Einwilligung). Kann man die Kommentarbox nutzen, so wie ich? Natürlich. Aber das ist keine "schöne" Möglichkeit.
In kurz, es wäre eleganter, die Werbung mit einer separaten Einwilligung zu ermöglichen; so wären die Bestelldetails abgedeckt von der Vertragserfüllung (Art. 6 Abs. 1 b)) und die Weiterverarbeitung zu Werbezwecken von einer Einwilligung, die den DSGVO-Standards entspricht. Das ist auch der Grund, warum man das so oft in anderen Onlineshops sieht.
Natürlich sehe ich auch, warum das genau nicht gemacht wird: Es wird der Fakt genutzt, dass man das automatisch an der Backe hat und fast niemand sich die Mühe machen wird, dem gesondert zu widersprechen; der Klick eines Buttons ist einfacher als das Schreiben einer E-Mail oder des Kommentars. Hier müsste eigentlich Art. 7 Abs. 3 Satz 4 DSGVO greifen: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Dafür wird ja gerne der Unsubscribe Link ganz unten in klein in Werbeemails verwendet, aber den hat man als Kunde ja nicht, bevor man nicht schon eine Werbemail erhalten hat. Bis man eine hat, ist der Widerruf also schwieriger als der automatische Opt-In.
Dass man AGB, Datenschutzerklärung, Widerrufsrecht usw. nur auf Kenntnisnahme abstellt, lasse ich mir noch eingehen, das ist natürlich keine Pflicht, wobei auch hier für die Nachweisbarkeit im Rechtsstreit ein Potenzial liegt, vor allem, da die Checkboxen nicht schwierig zu implementieren sind. Aber Newsletter?
Würde ich gerne mal mit anderen Interessierten diskutieren!
