Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
Einwilligung PIMS 26 ttdsg tdddg einwilligungsverwaltungsverordnung werbeanrufe opt-in generierung

Anforderungen an Einwilligungen in Werbeanrufe

3. Juni 2025/von Datenschutzbeauftrager/ull

Werbeanrufe zur Neukundengewinnung sind ein fester Bestandteil vieler Vertriebsstrategien. Aus datenschutzrechtlicher Sicht ist diese Vertriebsstrategie jedoch mit Risiken verbunden, denn sie setzt in der Regel die vorherige ausdrückliche Einwilligung der Angerufenen voraus. In der Praxis zeigt sich, dass der Nachweis solcher Einwilligungen nicht selten unzureichend geführt wird.

Aufgrund einer hohen Anzahl an Beschwerden von Bürger*innen nach dem Erhalt von Werbeanrufen durch Energieversorgungsunternehmen zur Neukundengewinnung hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) das Thema in ihrem Jahresbericht 2024 aufgegriffen.

UWG und DSGVO als Regelungsregime

 7 Abs. 2 Nr. 2 UWG legt fest, dass Telefonanrufe zu Werbezwecken gegenüber Verbraucher*innen grundsätzlich nur nach dem vorherigen Erteilen einer ausdrücklichen Einwilligung zulässig sind. Eine sogenannte „mutmaßliche Einwilligung“ reicht hier ausdrücklich nicht aus. Auch bei anderen Formen der Direktwerbung ist die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten in der Regel eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Die Unternehmen müssen die Einwilligung dabei nicht nur korrekt einholen, sondern auch jederzeit nachweisen können, dass sie zum Zeitpunkt des Werbeanrufs vorlag und (noch) nicht widerrufen worden war. Diese Pflicht ergibt sich aus Art. 7 Abs. 1 DSGVO. Nur zur Sicherheit: Selbstverständlich ist es nicht zulässig, anzurufen, um eine Einwilligung in Werbeanrufe einzuholen

Das Code-Ident-Verfahren als belastbarer Nachweis?

In zahlreichen Fällen werden Einwilligungen im Rahmen von Online-Gewinnspielen Dritter eingeholt. Unternehmen A veranstaltet also ein Gewinnspiel und fragt in diesem Zusammenhang, ob die Unternehmen B, C und D telefonisch zum Thema X Kontakt aufnehmen dürfen. Dieses Unternehmen A ist häufig auf die Generierung solcher Einwilligungen spezialisiert und bietet diese als Dienstleistung für die Unternehmen (B, C und D) an. Die Teilnehmer*innen an diesen Gewinnspielen geben ihre Kontaktdaten in ein Formular ein und bestätigen diese per SMS-Code (Code-Ident-Verfahren). Dieses Verfahren soll dazu dienen, sicherzustellen, dass die angegebene Mobilnummer tatsächlich im Zugriff der betroffenen Person ist. Wenn es korrekt durchlaufen wird, handelt es sich um eine Art des Double Opt-In.

Zur Dokumentation dieser Einwilligungen wurden durch die verantwortlichen Unternehmen häufig folgende Daten als Nachweis vorgelegt:

  • Screenshots der Onlineformulare,
  • SMS-Sendereports und
  • teilweise IP-Adressen und Zeitstempel.

Doch diese Nachweise reichen datenschutzrechtlich nicht aus, um der Nachweispflicht des Art. 7 Abs. 1 DSGVO zu genügen. Denn weder belegen Screenshots, wer die Daten eingegeben hat, noch belegen SMS-Reports, dass der Code tatsächlich im Nachgang zur Bestätigung eingegeben wurde.

Zweifel an der Echtheit und Wirksamkeit der Einwilligungen

In der konkreten Prüfungspraxis der BlnBDI zeigen sich regelmäßig Unstimmigkeiten, die Zweifel an der Rechtmäßigkeit der Verarbeitung begründen:

  • Abweichende IP-Adressen deuten darauf hin, dass nicht die betroffene Person selbst die Daten eingegeben hat. So hatten mehrere betroffene Personen einen anderen Internetanbieter als denjenigen, dem die in den vorgelegten Unterlagen jeweils enthaltene IP-Adresse zugeordnet ist.
  • In manchen Fällen war der Empfang von SMS technisch ausgeschlossen.
  • Betroffene Personen schilderten glaubhaft, dass sie zum angeblichen Zeitpunkt der Einwilligung keine Onlineformulare ausgefüllt oder an keinem Gewinnspiel teilgenommen hatten.
  • In einem Fall wurde dokumentiert, dass die angeblich angegebene Postanschrift seit vielen Jahren nicht mehr aktuell war. Dies ist ein Indiz dafür, dass mit veralteten oder fremden Daten gearbeitet wurde.

Verantwortung und Haftung bei Einwilligungen durch Dritte

Auch wenn Unternehmen auf externe Dienstleister oder Plattformen zur Einholung von Einwilligungen zurückgreifen, bleiben sie dennoch selbst verantwortlich und müssen ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nachkommen.

Es ist daher unerlässlich, dass

  • technische Verfahren fälschungssicher ausgestaltet werden,
  • alle Prozesse zur Einholung und Dokumentation von Einwilligungen vollständig nachvollziehbar sind und
  • eine fortlaufende Vertrags- und Qualitätskontrolle gegenüber den beauftragten Dienstleistern erfolgt.

Fazit: Vorsicht beim Rückgriff auf Code-Ident-Verfahren

Das Code-Ident-Verfahren kann in bestimmten Kontexten ein sinnvolles technisches Element zur Verifizierung von Telefonnummern sein. Es ersetzt jedoch nicht die Anforderungen an eine vollständige, nachweisbare und informierte Einwilligung.

Insbesondere bei sensiblen Werbemaßnahmen wie telefonischer Direktwerbung müssen Unternehmen sicherstellen, dass die Einwilligung rechtssicher eingeholt und zweifelsfrei dokumentiert wird. Andernfalls besteht das Risiko, dass die Datenverarbeitung unzulässig ist, mit entsprechenden aufsichtsrechtlichen und gegebenenfalls auch wettbewerbsrechtlichen Folgen.

Wenn Sie unsicher sind, ob das durch Sie gewählte Verfahren den gesetzlichen Anforderungen genügt, unterstützen wir Sie gerne bei der Einschätzung und gegebenenfalls einer rechtssicheren Prozessgestaltung.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2022/05/yes-3029367-scaled.jpg 1345 2560 Datenschutzbeauftrager/ull /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftrager/ull2025-06-03 12:18:122025-06-23 18:37:09Anforderungen an Einwilligungen in Werbeanrufe
Das könnte Sie auch interessieren
checkliste avv genehmigte verhaltensregeln datenschutz-folgenabschätzung dsfa art. 35 dsgvo berechtigtes interesse prüfung kontrolle auftragsverarbeiter Rechtsgrundlage berechtigtes Interesse: Häufig nicht so ganz einfach
Telemetriedaten microsoft 365 dsk verboten auskunft selfservice tool online DSK verbietet (mehr oder weniger) den Einsatz von Microsoft 365
Einsatz von Tag-Management-Tools und der Datenschutz
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-in EuGH: Direktwerbung gegenüber Bestandskund*innen ohne Einwilligung zulässig: Alles neu? Nein!
e-mail verschlüsselung s/mime pgp nutzung kontaktdaten Können Mitglieder oder Kund*innen per Mail angeschrieben werden?
nudging cookie banner tracking edsa taskforce EDSA Taskforce veröffentlicht Bericht zu Cookie-Bannern

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: BVerwG-Urteil: Telefonwerbung im Spannungsfeld DSGVO und UWG Link to: BVerwG-Urteil: Telefonwerbung im Spannungsfeld DSGVO und UWG BVerwG-Urteil: Telefonwerbung im Spannungsfeld DSGVO und UWGtelefonwerbung Link to: Datenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen? Link to: Datenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen? private nutzung emails zugriff arbeitgeberDatenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails,...
Nach oben scrollen Nach oben scrollen Nach oben scrollen