Werbung

Datenschutz im Internet

erstellt am 21.01.19 von ts@vnr.de

Will Ihr Unternehmen erfolgreich sein, muss es in Werbung investieren. Aber: Ohne (personenbezogene) Daten läuft dabei oft gar nichts – und genau hier lauern Gefahren. Wenn Sie sich mit Datenschutz und Werbung auseinandersetzen, tauchen viele Fragen auf. Gut, dass Sie in diesem Artikel zum Thema Werbung und Datenschutzrecht Antworten auf die wichtigsten Fragen finden.

Datenschutz: Was versteht man unter Werbung?

Werbetreibende sind oft sehr kreativ. Daher sollten Sie bei mancher Werbeidee besser zweimal hinschauen. Denn was auf den ersten Blick harmlos erscheint, entpuppt sich beim zweiten Blick möglicherweise als ein Verstoß gegen gesetzliche Regelungen. Manchmal ist Werbung im rechtlichen Sinn nicht leicht als solche zu erkennen. Das liegt schon an der sehr weit gefassten Definition des Begriffs „Werbung“. So verstehen insbesondere Gerichte unter Werbung „jede Äußerung eines Handels, Gewerbes, Handwerks oder freien Berufes“, die das Ziel hat, „den Absatz von Waren oder die Inanspruchnahme von Dienst- bzw. Werkleistung des Werbenden zu fördern“. Der Bundesgerichtshof stuft zudem auch Maßnahmen der mittelbaren Absatzförderung, wie etwa Sponsoring, als Werbung ein. Dementsprechend kann auch schon die nett gemeinte E-Mail an potenzielle Kunden als Werbung betrachtet werden. Liegt dann die notwendige Einwilligung des Empfängers zur Nutzung von personenbezogenen Daten für Werbung nicht vor, ist der Ärger vorprogrammiert.

Datenschutzrecht und Werbung: Rechtliche Zusammenhänge

Beim Verarbeiten von personenbezogenen Daten für Werbezwecke sind hauptsächlich die Regelungen folgender Gesetze ausschlaggebend:

  • Datenschutz-Grundverordnung (DSGVO), beispielsweise Art. 6 Abs. 1 Buchst. a oder f, Art. 21 DSGVO
  • Telemediengesetz (TMG), beispielsweise § 6 TMG
  • Gesetz gegen den unlauteren Wettbewerb (UWG), beispielsweise § 7 UWG

Neben der DSGVO sind auch im TMG datenschutzrechtliche Regelungen verankert. Allerdings ist umstritten, inwieweit diese Regelungen in § 11 ff. TMG noch von Bedeutung sind. Viele Juristen und Datenschutzaufsichtsbehörden sind der Ansicht, dass die Datenschutzregeln der DSGVO hinsichtlich Datenschutz und Werbung und der Verwendung personenbezogener Daten vorgehen, dies zumindest so lange, wie die DSGVO nicht durch die sogenannte ePrivacy-Verordnung ergänzt wird, welche den Datenschutz bei Webseiten & Co. speziell regeln soll. Außerhalb der Datenschutzvorschriften bleiben jedoch die Vorschriften des TMG anwendbar. Das sind beispielsweise die Impressumspflicht aus § 5 TMG oder die besonderen Informationspflichten bei kommerzieller Kommunikation aus § 6 TMG.

Das UWG ist ebenfalls von erheblicher Praxisrelevanz, wenn es um Datenschutz und Werbung geht. Dieses Gesetz hat zwei Zielrichtungen: zum einen den Schutz des Verbrauchers vor unzumutbaren Belästigungen, beispielsweise durch unzulässige Werbung unter Verwendung personenbezogener Daten. Zum anderen sollen die Regelungen auch dafür sorgen, dass der Wettbewerb unter den Unternehmen fair bleibt und sich kein Mitbewerber oder sonstige Marktteilnehmer durch unlautere geschäftliche Handlungen einen Vorteil gegenüber anderen verschaffen.

Datenschutz in der Werbung: Gehen Sie auf Nummer sicher

Es ist nicht immer einfach, eine klare Trennlinie zwischen den geltenden Regelungen zu ziehen. Oftmals kommt es zu Überschneidungen und damit zu Unsicherheiten, welche Regelungen in welchen Fällen zur Anwendung kommen. Umso wichtiger ist für Sie als Datenschutzbeauftragter, im Zweifel genauer hinzuschauen. Prüfen Sie, welches Recht im Einzelfall gilt, und lieber auch Aspekte, bei denen Sie sich nicht sicher sind. In besonders kniffeligen Fällen sollten Sie auf Nummer sicher gehen und Kollegen aus der Rechtsabteilung zur Klärung hinzuziehen. Gibt es hier niemanden, sollten Sie zum externen Fachmann raten, dem Rechtsanwalt.

Wer ist für Werbung datenschutzrechtlich verantwortlich?

Wollen die Kollegen in Ihrem Unternehmen personenbezogene Daten für Werbezwecke verarbeiten, gibt es dafür einen Verantwortlichen. Wer das ist, ist in Art. 4 Nr. 7 DSGVO definiert: Es handelt sich dabei um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Lange Rede, kurzer Sinn: Ihr Unternehmen – vertreten durch die Unternehmensleitung – ist verantwortlich.

Wer dafür verantwortlich ist, dass die wettbewerbsrechtlichen Regelungen eingehalten werden, ergibt sich aus § 2 Abs. 1 Nr. 6 UWG. Dazu zählt jede natürliche oder juristische Person, die geschäftliche Handlungen im Rahmen ihrer handwerklichen, gewerblichen oder beruflichen Tätigkeiten durchführt, ebenso wie jede Person, die im Namen oder im Auftrag einer solchen juristischen oder natürlichen Person tätig ist. Das heißt im Ergebnis, dass auch Ihr Unternehmen für das Handeln und für Aktivitäten der Mitarbeiter haftbar gemacht werden kann, wenn personenbezogene Daten unerlaubt für Werbung genutzt werden.

Datenschutzbeauftragte nehmen beratende Funktion ein

Als Datenschutzbeauftragter fungieren Sie als Berater der Unternehmensleitung in Sachen Datenschutz (vgl. Art. 39 Abs. 1 Buchst. a DSGVO). Ihre Aufgabe ist es, durch Ihre Beratung die Umsetzung des Datenschutzes in Ihrem Unternehmen zu fördern und den Verantwortlichen in die Lage zu versetzen, im Sinne des Datenschutzes zutreffende, sachgerechte und verhältnismäßige Entscheidungen zu treffen. Ob und wie die Unternehmensleitung die gesetzlichen Regelungen zum Datenschutz nach Ihrer Beratung umsetzt, fällt nicht mehr in Ihre Verantwortung als Datenschutzbeauftragter.

Kann der Datenschutzbeauftragte für Wettbewerbsverstöße haftbar gemacht werden?

Klare Antwort: Es kommt darauf an. Bei der Beurteilung von Haftungsfragen zum Thema Datenschutz und Werbung ist zwischen einem internen und externen Datenschutzbeauftragten zu unterscheiden.

Interner Datenschutzbeauftragter: Sind Sie im Unternehmen angestellt und als Datenschutzbeauftragter benannt, ist unter Umständen eine Haftung als Arbeitnehmer möglich. Dabei gilt:

  • Wurde der Schaden durch vorsätzliches oder grob fahrlässiges Handeln verursacht, haftet der Datenschutzbeauftragte – wie jeder andere Arbeitnehmer auch – voll.
  • Wenn eine mittlere Fahrlässigkeit vorliegt, wird grundsätzlich die Haftung zwischen Arbeitgeber und Arbeitnehmer aufgeteilt.
  • Liegt ein Fall leichter Fahrlässigkeit vor, haftet der Arbeitnehmer für den Schaden überhaupt nicht.

Hinweis: Es gelten die Grundsätze des innerbetrieblichen Schadensausgleichs und der Arbeitgeber muss seine Beschäftigten unter bestimmten Voraussetzungen von der Haftung und von Schadenersatzforderungen Dritter freistellen. Generell gilt: Das Thema Arbeitnehmerhaftung ist stark einzelfallabhängig. Bei Ihnen als Datenschutzbeauftragtem ist z. B. ausschlaggebend, wie viel Erfahrung Sie bei der Lösung bestimmter Fragestellungen haben und über welches Fachwissen Sie verfügen.

Externer Datenschutzbeauftragter: Anders gestaltet sich die Situation für externe Datenschutzbeauftragte. Da sie keine Arbeitnehmer sind, kommt es bei Haftungsfragen darauf an, was dienstvertraglich vereinbart wurde. Außerdem gelten die Haftungsregeln des Bürgerlichen Gesetzbuchs (BGB). Gemäß § 280 BGB muss der externe Datenschutzbeauftragte bei einer Pflichtverletzung unter Umständen Schadenersatz leisten. Der interne Datenschutzbeauftragte ist hier im Vorteil.

Haftet das Unternehmen für Werbung seiner Mitarbeiter bei Facebook, WhatsApp & Co.?

Engagierte Mitarbeiter wünscht sich eigentlich jedes Unternehmen. Doch ist der Mitarbeiter in sozialen Netzwerken unterwegs, mailt oder „whatsappt“ er Freunde und Bekannte an und rührt dort für seinen Arbeitgeber die Werbetrommel, ist Vorsicht geboten. Schnell kann der Schuss über das Ziel hinausgehen und der Datenschutz in Bezug auf die Nutzung von personenbezogenen Daten in der Werbung verletzt werden. Das passiert dann, wenn der Mitarbeiter gegen wettbewerbsrechtliche Regelungen verstößt, zum Beispiel bei Datenschutzverletzungen bei Werbung auf Instagram. Ist dies der Fall, kann unter Umständen das Unternehmen gemäß § 8 Abs. 2 UWG für die Werbung verantwortlich und für den Verstoß haftbar gemacht werden.

Ausschlaggebend dabei ist weder, dass der Mitarbeiter als Privatperson im Netzwerk auftritt, noch, dass das Unternehmen von der Werbung des Mitarbeiters nichts weiß oder dies gar gegen seinen Willen erfolgt. Maßgeblich ist nur, dass die Werbung dem Unternehmen zum Vorteil verhilft.

Wie lange sind Einwilligungen zur Verwendung von personenbezogenen Daten gültig?

Die gute Nachricht ist: Die eingeholte Einwilligung für die Verwendung von personenbezogenen Daten für Werbung ist endlos wirksam, sie hat in der Regel kein Verfallsdatum. Etwas anderes lässt sich auch nicht aus der DSGVO ableiten. Es gibt zwar Gerichte, die eine Art „Haltbarkeitsdatum“ bei Einwilligungserklärungen sehen, zuletzt hat aber der Bundesgerichtshof entschieden (Urteil vom 1.2.2018, Az. III ZR 196/17), dass Einwilligungen nicht automatisch ablaufen.