Einwilligung PIMS 26 ttdsg tdddg einwilligungsverwaltungsverordnung werbeanrufe opt-in generierung

Anforderungen an Einwilligungen in Werbeanrufe

/von

Werbeanrufe zur Neukundengewinnung sind ein fester Bestandteil vieler Vertriebsstrategien. Aus datenschutzrechtlicher Sicht ist diese Vertriebsstrategie jedoch mit Risiken verbunden, denn sie setzt in der Regel die vorherige ausdrückliche Einwilligung der Angerufenen voraus. In der Praxis zeigt sich, dass der Nachweis solcher Einwilligungen nicht selten unzureichend geführt wird.

Aufgrund einer hohen Anzahl an Beschwerden von Bürger*innen nach dem Erhalt von Werbeanrufen durch Energieversorgungsunternehmen zur Neukundengewinnung hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) das Thema in ihrem Jahresbericht 2024 aufgegriffen.

UWG und DSGVO als Regelungsregime

 7 Abs. 2 Nr. 2 UWG legt fest, dass Telefonanrufe zu Werbezwecken gegenüber Verbraucher*innen grundsätzlich nur nach dem vorherigen Erteilen einer ausdrücklichen Einwilligung zulässig sind. Eine sogenannte „mutmaßliche Einwilligung“ reicht hier ausdrücklich nicht aus. Auch bei anderen Formen der Direktwerbung ist die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten in der Regel eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Die Unternehmen müssen die Einwilligung dabei nicht nur korrekt einholen, sondern auch jederzeit nachweisen können, dass sie zum Zeitpunkt des Werbeanrufs vorlag und (noch) nicht widerrufen worden war. Diese Pflicht ergibt sich aus Art. 7 Abs. 1 DSGVO. Nur zur Sicherheit: Selbstverständlich ist es nicht zulässig, anzurufen, um eine Einwilligung in Werbeanrufe einzuholen

Das Code-Ident-Verfahren als belastbarer Nachweis?

In zahlreichen Fällen werden Einwilligungen im Rahmen von Online-Gewinnspielen Dritter eingeholt. Unternehmen A veranstaltet also ein Gewinnspiel und fragt in diesem Zusammenhang, ob die Unternehmen B, C und D telefonisch zum Thema X Kontakt aufnehmen dürfen. Dieses Unternehmen A ist häufig auf die Generierung solcher Einwilligungen spezialisiert und bietet diese als Dienstleistung für die Unternehmen (B, C und D) an. Die Teilnehmer*innen an diesen Gewinnspielen geben ihre Kontaktdaten in ein Formular ein und bestätigen diese per SMS-Code (Code-Ident-Verfahren). Dieses Verfahren soll dazu dienen, sicherzustellen, dass die angegebene Mobilnummer tatsächlich im Zugriff der betroffenen Person ist. Wenn es korrekt durchlaufen wird, handelt es sich um eine Art des Double Opt-In.

Zur Dokumentation dieser Einwilligungen wurden durch die verantwortlichen Unternehmen häufig folgende Daten als Nachweis vorgelegt:

  • Screenshots der Onlineformulare,
  • SMS-Sendereports und
  • teilweise IP-Adressen und Zeitstempel.

Doch diese Nachweise reichen datenschutzrechtlich nicht aus, um der Nachweispflicht des Art. 7 Abs. 1 DSGVO zu genügen. Denn weder belegen Screenshots, wer die Daten eingegeben hat, noch belegen SMS-Reports, dass der Code tatsächlich im Nachgang zur Bestätigung eingegeben wurde.

Zweifel an der Echtheit und Wirksamkeit der Einwilligungen

In der konkreten Prüfungspraxis der BlnBDI zeigen sich regelmäßig Unstimmigkeiten, die Zweifel an der Rechtmäßigkeit der Verarbeitung begründen:

  • Abweichende IP-Adressen deuten darauf hin, dass nicht die betroffene Person selbst die Daten eingegeben hat. So hatten mehrere betroffene Personen einen anderen Internetanbieter als denjenigen, dem die in den vorgelegten Unterlagen jeweils enthaltene IP-Adresse zugeordnet ist.
  • In manchen Fällen war der Empfang von SMS technisch ausgeschlossen.
  • Betroffene Personen schilderten glaubhaft, dass sie zum angeblichen Zeitpunkt der Einwilligung keine Onlineformulare ausgefüllt oder an keinem Gewinnspiel teilgenommen hatten.
  • In einem Fall wurde dokumentiert, dass die angeblich angegebene Postanschrift seit vielen Jahren nicht mehr aktuell war. Dies ist ein Indiz dafür, dass mit veralteten oder fremden Daten gearbeitet wurde.

Verantwortung und Haftung bei Einwilligungen durch Dritte

Auch wenn Unternehmen auf externe Dienstleister oder Plattformen zur Einholung von Einwilligungen zurückgreifen, bleiben sie dennoch selbst verantwortlich und müssen ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nachkommen.

Es ist daher unerlässlich, dass

  • technische Verfahren fälschungssicher ausgestaltet werden,
  • alle Prozesse zur Einholung und Dokumentation von Einwilligungen vollständig nachvollziehbar sind und
  • eine fortlaufende Vertrags- und Qualitätskontrolle gegenüber den beauftragten Dienstleistern erfolgt.

Fazit: Vorsicht beim Rückgriff auf Code-Ident-Verfahren

Das Code-Ident-Verfahren kann in bestimmten Kontexten ein sinnvolles technisches Element zur Verifizierung von Telefonnummern sein. Es ersetzt jedoch nicht die Anforderungen an eine vollständige, nachweisbare und informierte Einwilligung.

Insbesondere bei sensiblen Werbemaßnahmen wie telefonischer Direktwerbung müssen Unternehmen sicherstellen, dass die Einwilligung rechtssicher eingeholt und zweifelsfrei dokumentiert wird. Andernfalls besteht das Risiko, dass die Datenverarbeitung unzulässig ist, mit entsprechenden aufsichtsrechtlichen und gegebenenfalls auch wettbewerbsrechtlichen Folgen.

Wenn Sie unsicher sind, ob das durch Sie gewählte Verfahren den gesetzlichen Anforderungen genügt, unterstützen wir Sie gerne bei der Einschätzung und gegebenenfalls einer rechtssicheren Prozessgestaltung.

Das könnte Dich auch interessieren
facebook fanpageAufsichtsbehörden fordern Abschaltung von Facebook-Fanpages von Behörden
rechte- und rollenkonzept einsicht personalakte beschäftigungsverhältnisEinsicht in die Personalakte und weitere Unterlagen durch Führungskräfte
Wann wird eine Einwilligung beim Einsatz von Matomo benötigt?
tracking newsletter notwendige dienste cookies facebook gemeinsame verantwortlichkeitDas Dilemma mit den „technisch notwendigen“ Diensten und Cookies
private nutzung emails zugriff arbeitgeberDatenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen?
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotAktuelle Rechtsprechung zur Videoüberwachung