Auch wenn man im Jahre 2013 eigentlich etwas anderes vermuten könnte: Ein erheblicher Teil der Branche kennt weiterhin nicht die genauen Grenzen des zulässigen Direktmarketings. Dies ist um so wichtiger, da in Kürze die möglichen Bußgelder von 50.000,- EUR auf 300.000,- EUR angehoben werden. Lesen Sie in dieser Ausgabe den zweiten Teil des Beitrags, wie man wirksame Opt-ins einholt.
Und ewig grüßt das Murmeltier
Die Einholung wirksamer Opt-ins – Teil 2
D. Dokumentationspflichten
Nach ständiger Rechtsprechung trifft den Unternehmer die Beweislast für das Vorliegen einer wirksamen Einwilligung. Er muss somit Vorsorge tragen, dass im Fall einer gerichtlichen Auseinandersetzung rechtssicher nachgewiesen werden kann, dass eine solche Zustimmung besteht. Für den Unternehmer bedeutet dies, dass er bereits bei der Erhebung der Adressdaten die entsprechenden Informationen speichern und die notwendigen Sicherheitsmaßnahmen ergreifen muss, um seinem Kunden, durch den u. U. später eine wirksame Einwilligung bestritten wird, die relevanten Beweise vorlegen zu können.
1. Beweismittel
Im deutschen Zivilprozess gibt es fünf Beweismittel: Sachverständiger, Augenschein, Parteivernehmung, Urkunde und Zeuge.
- Sachverständiger = eine Person, die ein Experte auf ihrem Fachgebiet ist und entsprechende Gutachten für das Gericht erstellt
- Augenschein = das Gericht schaut sich einen Gegenstand oder einen Ort mit eigenen Augen an
- Parteivernehmung = die Parteien sind der Kläger und der Beklagte des Prozesses; diese können vom Gericht angehört werden
- Urkunde = schriftliche Dokumente, aus denen sich bestimmte Tatsachen beweisen lassen
- Zeuge = Anhörung einer natürlichen Person im Gerichtstermin
In der Praxis spielt lediglich der Augenschein keine Rolle. Das „sicherste“ Beweismittel ist erfahrungsgemäß die Urkunde, denn dort steht schwarz auf weiß und objektiv nachprüfbar, welche Erklärungen abgegeben wurden und welche nicht. Das „unsicherste“ Beweismittel hingegen ist der Zeuge, da dieser keine objektive, sondern stets nur seine subjektive Sichtweise wiedergeben kann. Untersuchungen haben gezeigt, dass die Genauigkeit der menschlichen Erinnerungen mit der Zeitdauer erheblich abnimmt.
2. Zeitdauer
Dem Unternehmer muss zunächst klar sein, dass ihn für den gesamten Zeitraum, in dem er die Daten nutzt und weiterverkauft, die entsprechenden Dokumentationspflichten treffen. Aber auch nach Beendigung der Nutzung erlischt diese Pflicht nicht mit sofortiger Wirkung. Denn der Kunde, dem der Unternehmer Daten verkauft hat und der evtl. deswegen von Verbraucherschutzseite auf Unterlassung und Schadensersatz in Anspruch genommen wird, kann auch nach Beendigung des Vertrages noch Regress nehmen.
Für den Unternehmer bedeutet dies, dass die unterste Aufbewahrungsgrenze die gesetzliche Verjährungsgrenze ist. Andernfalls läuft er Gefahr, im Fall von Regressansprüchen seinen Kunden gegenüber schadensersatzpflichtig zu werden. Die regelmäßige Verjährung beträgt drei Jahre ab Ende des Kalenderjahres, in dem der Vertrag zwischen Unternehmer und Kunde geschlossen wurde.
3. Mindestinhalt der Dokumentation
Die Dokumentation muss inhaltlich so umfassend sein, dass im Fall einer gerichtlichen Auseinandersetzung sämtliche relevanten Probleme bewiesen werden können.
Der Mindestinhalt der Dokumentation besteht dabei aus drei Teilbereichen.
- Einwilligungserklärung
- Welcher Einwilligungstext wurde benutzt? Konkreter Wortlaut.
- Welche Techniken (Opt-in, Opt-out) wurden eingesetzt?
- Wann? Genaues Datum und Uhrzeit der Datenerhebung.
- Wo? Zum Beispiel Gewinnspiel auf Webseite XY oder Telefon.
- Wie waren das Layout und die konkrete Gestaltung?
- Wurde die Einwilligung mit Vergünstigungen verbunden?
- Gab es weitere Informationen wie AGB oder Teilnahmebedingungen?
- Versandte Werbung
- Welche Art und Form von Werbung wurde auf welchem Werbekanal verschickt?
- War der versandte Inhalt für alle Werbeformen gleich?
- Speicherung der Versandbedingungen
- Wann und wie wurde verschickt?
- War der Versand reibungslos oder kam es zu Schwierigkeiten?
Nach Ansicht der Rechtsprechung reicht es nicht aus, wenn der Unternehmer lediglich den abstrakten Einwilligungsvorgang abspeichert. Denn einen rechtlich verwertbaren Rückschluss, dass der Betroffene eingewilligt haben muss, wenn die Anmeldeprozedur technisch so ausgestaltet ist, gibt es nicht. Vielmehr muss für jeden Einzelfall der konkrete Anmeldevorgang vorweisbar sein. Dies ist z. B. durch die Vorlage von Bildschirmausdrucken, durch die Schilderung der zeitlichen Abfolge der Anmeldung und durch die Bestätigung durch einen Mitarbeiter möglich.
Daraus ergibt sich die Verpflichtung, eine Art Versionsmanagement bei der Dokumentation einzuführen. Je nach Werbemedium können sich die näheren Bedingungen in regelmäßigen Abständen ändern, z. B. wenn eine Grafik oder eine Textformulierung auf einer Webseite umgestaltet wird. Speichert der Unternehmer diese Veränderungen nicht mit, sondern archiviert er nur den Anfangsbestand, kommt er seinen gesetzlichen Nachweispflichten nicht ausreichend nach. Denn aus Sicht des neutralen Gerichts ist damit noch nicht hinreichend sicher ausgeschlossen, dass der Unternehmer den Betroffenen nicht am automatischen Anmeldesystem vorbei eingetragen hat.
Aus dem bislang Gesagten folgt, dass es drei Arten von Einwilligungen gibt:
- rein postalisch erteilte Einwilligung
- mündlich erteilte Einwilligung
- elektronisch erteilte Einwilligung
Je nach Art und Weise der Einwilligung sind unterschiedliche Dokumentationsweisen ratsam.
a. Anforderungen bei rein postalischer Einwilligung
Diese Variante ist gegeben, wenn die Einwilligung rein schriftlich erfolgt, z. B. mittels einer Teilnahmekarte an einem Gewinnspiel.
Es erscheint auf den ersten Blick so, dass es die rechtlich sicherste Methode wäre, jeden der schriftlichen Belege, also z. B. die Gewinnspielkarte, physisch dauerhaft aufzuheben. Der Nachweis könnte dann im Fall einer Auseinandersetzung problemlos vor Gericht vorgelegt werden.
Gegen ein solches Vorgehen spricht jedoch eine Vielzahl tatsächlicher und wirtschaftlicher Bedenken. Tatsächlich problematisch ist diese Variante vor allem deswegen, weil es nur ein einziges Original gibt. Kommt das Original abhanden (z. B. durch einen Feuer- oder Wasserschaden) oder wird es erheblich beschädigt (z. B. durch natürliches Ausbleichen des Papiers im Laufe der Jahre), dann existiert kein Dokument mehr, mit dem der Nachweis geführt werden kann. Es gibt keine Sicherheitskopie, auf die im Fall des Verlustes zurückgegriffen werden kann.
Betriebswirtschaftlich ist diese Variante insbesondere deswegen unsinnig, weil im Laufe der Zeit enorm hohe Lager- und Aufbewahrungskosten anfallen. Es ist keine Seltenheit, dass z. B. Gewinnspiele veranstaltet werden, bei denen der Rücklauf an Teilnahmekarten im sechs- oder siebenstelligen Bereich liegt. Im Laufe der Jahre wäre ein unverhältnismäßig großer Bedarf an Platz notwendig. Daher ist es ratsam, die schriftlichen Nachweise zu digitalisieren. Nur so ist eine rationelle und wirtschaftliche Archivierung der Dokumente dauerhaft überhaupt möglich. Auch ist jederzeit die Anfertigung einer Sicherheitskopie durchführbar. Datenverluste oder Datenbeschädigungen können dadurch so gut wie ausgeschlossen werden.
Schlägt der Unternehmer diesen Weg ein, muss er sicherstellen, dass er gerichtsfest nachweisen kann, dass die späteren digitalen Daten auch 1:1 den physischen Dokumenten entsprechen. Er muss belegen können, dass es bei der Digitalisierung zu keinen Manipulationen oder sonstigen inhaltlichen Veränderungen gekommen ist. Denkbar ist es, an dieser Stelle auf entsprechend qualifizierte und nach DIN ISO-zertifizierte Dienstleister zurückzugreifen, die im Rahmen eines späteren Prozesses als Zeuge die inhaltliche Richtigkeit der Unterlagen bestätigen können. Eine solche Beauftragung ist jedoch mit enormen Kosten für den Unternehmer verbunden und führt darüber hinaus zu erheblichen Abhängigkeiten vom betreffenden Dienstleister. Die Mehrheit der Unternehmer entscheidet sich daher für eine Inhouse-Lösung, d. h. die Digitalisierung wird durch eigene Mitarbeiter erbracht. Gegen ein solches Vorgehen bestehen grundsätzlich keine rechtlichen Bedenken. Der Unternehmer sollte sich jedoch im Klaren darüber sein, dass in diesem Bereich erhöhte Sorgfaltsmaßstäbe gelten.
Wird die Digitalisierung durch eigene Mitarbeiter erbracht, muss umfassend und detailliert die genaue Vorgehensweise schriftlich festgehalten werden: Wie lagen die Belege vor? Wie wurden diese gescannt? Welche Soft- und Hardware wurde eingesetzt? Welche Arbeitsschritte gab es? Wurden diese stets eingehalten oder gab es Abweichungen?
All diese Punkte sind schriftlich zu erfassen und durch die jeweils eingesetzten Mitarbeiter durch Unterschriften bestätigen zu lassen, z. B. in Form von Verarbeitungsprotokollen. Dem Beweismittel Zeuge kommt an dieser Stelle eine hervorgehobene Bedeutung zu. Denn wenn das in einem Streitfall angerufene Gericht detaillierte Fragen hat, kann im Zweifel nur der eingesetzte Mitarbeiter eine Auskunft erteilen. Der Unternehmer sollte daher nicht nur Dienstpläne speichern, sondern auch den zeitlich und terminlich deutlich genaueren Arbeitsplan archivieren.
b. Anforderungen bei mündlich erteilter Einwilligung
Seit der Datenschutzreform im Jahr 2009 gibt es keine rein mündlich erteilte Einwilligungserklärung mehr. Gemeint ist bei dieser Variante vielmehr die Konstellation, dass zunächst die Einwilligung mündlich erteilt wird (z. B. am Telefon) und diese dann später schriftlich vom Unternehmer bestätigt wird.
Hinsichtlich der schriftlichen Bestätigung kann auf die Ausführungen zur rein postalischen Variante verwiesen werden. Daher liegt das Augenmerk der weiteren Darstellung auf dem Bereich der mündlich erklärten Zustimmung.
Der Unternehmer muss zwingend das Telefonat mitschneiden, um einen Beweis vor Gericht vorlegen zu können. Nicht ausreichend ist es, auf einen Mitschnitt zu verzichten und stattdessen den Mitarbeiter, der das Telefonat führt (sog. Call-Agent), schriftlich eine kurze Zusammenfassung des Gesprächs vornehmen zu lassen. Eine solche Vorgehensweise ist bei diesem Massengeschäft nicht nur betriebswirtschaftlich unsinnig, sondern sie reicht auch rechtlich nicht aus. Vor Gericht steht dann nämlich später im Zweifel Aussage gegen Aussage (Call-Agent gegen angerufenen Verbraucher). Da die Beweislast beim Unternehmer bzw. dem Unternehmen liegt, das die Adressdaten verwendet, geht eine solche Konstellation dann zulasten des Unternehmers aus.
Ein Mitschnitt des Telefonats ist daher unvermeidbar. Eine Archivierung kann kostengünstig in elektronischer Form erfolgen, z. B. als MP3-Datei. Wichtig ist hierbei, dass die strafrechtliche Norm des § 201 Abs. 1 Nr. 1 StGB beachtet wird. Danach dürfen eine Aufnahme und auch eine spätere Verwendung des Telefonats nur dann erfolgen, wenn der angerufene Verbraucher dem vorab zugestimmt hat. Entscheidend ist somit, dass auch die verbale Zustimmung zur Aufzeichnung mitgeschnitten wird. In der Praxis lässt sich dieses Problem lösen, indem der Call-Agent von dem Angerufenen zunächst mündlich die Einwilligung zur Aufzeichnung einholt und sich diese dann noch einmal zu Beginn des Mitschnitts verbal bestätigen lässt.
Auf den Mitschnitt des Telefonats allein kann und darf sich der Unternehmer jedoch nicht verlassen. Denn auch hier kann schnell der Vorwurf im Raum stehen, dass die digitalen Daten nachträglich verändert wurden. Um gerichtsfest nachzuweisen zu können, dass es sich bei dem Mitschnitt tatsächlich um eine 1:1-Wiedergabe handelt, ist auch hier ein Rückgriff auf den Call-Agenten notwendig. Entsprechend den Ausführungen zur Mitarbeiteraufzeichnung bei den rein schriftlichen Einwilligungen sind genauestens Dienstpläne sowie Namen und Adressen der eingesetzten Mitarbeiter festzuhalten. So kann notfalls der Mitarbeiter des Unternehmers unterstützend zum MP3-Mitschnitt als Zeuge dienen.
In der Praxis werden hier zudem sogenannte Quality-Calls durchgeführt. In diesen werden durch einen anderen Call-Agenten die aufgenommenen Daten des angerufenen Verbrauchers noch einmal gegengeprüft. Der Quality-Call dient insbesondere zur betrieblichen Absicherung, um Täuschungen und Manipulationen des ersten Call-Agenten sofort aufzudecken und Täuschungen von vornherein zu vermeiden. Es kann nur dringend empfohlen werden, auch diesen Quality-Call zu speichern.
c. Anforderungen an elektronisch erteilte Einwilligungen
Die zentrale Aufgabe bei den elektronisch erteilten Einwilligungen ist die bestmöglichste Verifizierung des Users. Anders als bei der postalischen oder der telefonischen Variante ist bei der elektronischen Einwilligung der Verbraucher weitgehend anonym. Es liegen keine eindeutigen Nachweise vor, ob der Erklärende tatsächlich wahrheitsgemäß seine Daten angegeben hat oder nicht. Diese Gefahr besteht zwar auch bei den anderen Varianten, dort wird ein Risiko aber durch die besonderen Umstände (z. B. Unterschrift, direkte Telefonkommunikation) erheblich reduziert.
Um den User zu identifizieren, gibt es in der Praxis drei Arten der Einwilligungspraxis:
- Single-Opt-in = einfache Eintragung reicht aus; es wird weder eine Benachrichtigungs-Mail noch eine Check-Mail geschickt
- Confirmed-Opt-in = der User erhält nach Anmeldung eine Benachrichtigungs-Mail, in der ihm noch einmal mitgeteilt wird, wofür er seine Einwilligung erteilt hat
- Double-Opt-in = der User erhält nach Anmeldung eine Check-Mail, die er noch einmal bestätigen muss; erst dann gilt seine Einwilligung als wirksam
Sie sind jetzt sicherlich verwundert, dass die Erörterung Single-Opt-in, Confirmed-Opt-in und Double-Opt-in im Rahmen der Dokumentation erfolgt und nicht bereits bei der Frage nach der konkreten Ausgestaltung des Einwilligungstextes. Dies ist aber Absicht und auch richtig. Leider wird auch von vielen Anwälten in diesem Bereich falsch beraten, daher hält sich diese fehlerhafte Annahme bis zum heutigen Tage. Die Problematik des Double-Opt-in ist keine Frage der rechtlichen Anforderungen an den Einwilligungstext, sondern eine Frage der Nachweisbarkeit.
Weder beim Single-Opt-in noch beim Confirmed-Opt-in wird nämlich sichergestellt, dass der Anmelder auch tatsächlich mit dem Inhaber der Mail-Adresse übereinstimmt. Denn hier erfolgt keine weitere Überprüfung. Anders hingegen beim Double-Opt-in. Hier wird sichergestellt, dass nur, wenn die Check-Mail (z. B. durch Anklicken eines Anmelde-Links) bestätigt wird, eine Eintragung stattfindet. So kann der Unternehmer gewährleisten, dass der Anmelder auch tatsächlich Inhaber der angemeldeten Mail-Adresse ist. Überprüft werden kann jedoch nicht, ob die weiteren Daten des Anmelders (z. B. Name, Anschrift oder Alter) wahrheitsgemäß angegeben sind. Denn eine inhaltliche Überprüfung ist auf diese Weise nicht möglich.
Die Rechtsprechung sieht daher richtigerweise auch nur ein Double-Opt-in als ausreichend an. Alle anderen Varianten (Single-Opt-in, Confirmed-Opt-in) stufen die Richter als ungenügend ein.
Die Check-Mail beim Double-Opt-in darf keinerlei Werbung enthalten, andernfalls stufen die Gerichte diese Nachricht als Spam ein. Der Unternehmer sollte daher auf die Ausgestaltung dieser Check-Mail besonderen Wert legen und jeden Anschein einer Werbung durch eine kurze, sachliche und nüchterne Formulierung vermeiden. Auch der Ehrenkodex E-Mail-Marketing des DDV sieht in § 1 ein Verbot jeder Werbung in einer Check-Mail vor.
Unabhängig von der rechtlichen Seite zeigt auch die betriebswirtschaftliche Betrachtung, dass mittels Double-Opt-in gewonnene Adressen langfristig interessanter sind, da der User keine grundlegende Abwehrhaltung hat und die Werbung dadurch nicht nutzlos verpufft.