Generalanwalt am EuGH: Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln – Einwilligung erforderlich

Am 24. Juni 2021 hat der Generalanwalt (GA) am EuGH in der Rs. C-102/20 seine Schlussanträge vorgestellt. Sollte der EuGH der Begründung des GA folgen, würde dies eine Einwilligungspflicht auf für Inbox-Werbung bedeuten.

Hintergrund

Der BGH legte dem EuGH mit Beschluss vom 30.1.2020 (Az. I ZR 25/19) einige interessante Fragen zur Anwendung der strengen Anforderungen an E-Mail-Werbung auf sog. Inbox-Werbung vor. Fraglich war für den BGH, ob bei dieser Art von Werbeeinblendungen die Voraussetzungen für E-Mail-Werbung ebenso zu beachten sind. Dies würde im Grundsatz eine Einwilligungspflicht nach § 7 Abs. 2 Nr. 3 UWG nach sich ziehen. Auslegungsgrundlage waren in den Vorlagefragen die relevanten europarechtlichen Vorschriften zur Einwilligungspflicht, also Art. 2 Abs. 2 lit. h RL 2002/58/EG (Begriff der „elektronischen Post“) und Art. 13 Abs. 1 RL 2002/58/EG.

In dem zugrundliegenden Verfahren wurde eine Werbeagentur damit beauftragt, Werbeeinblendungen in E‑Mail-Postfächern von Nutzern des kostenlosen E‑Mail-Dienstes T‑Online umzusetzen. Die Werbenachrichten erschienen im privaten Postfach eines Nutzers von T‑Online. In seiner Inbox, d. h. in dem Bereich, in dem die eingegangenen E‑Mails listenförmig angezeigt werden. Die Werbenachrichten waren in eingegangene E‑Mails eingebettet. Im Unterschied zu normalen E‑Mails war die Werbenachricht mit dem Wort „Anzeige“ versehen, grau unterlegt und enthielt weder ein Datum noch einen Absender, konnte nicht archiviert oder weitergeleitet werden und konnte auch nicht mit den vom E‑Mail-Dienstleister zur Verfügung gestellten Möglichkeiten zur Bearbeitung von E‑Mails beantwortet werden. Die Einblendung der Werbenachrichte erfolgte nach dem Zufallsprinzip.

Begründung des GA

Nach Auffassung des GA erfüllt die hier streitgegenständliche Anzeige in den eingegangen Mails das Merkmal der „elektronischen Post“.

Dies ist nach Art. 2 Abs. 2 lit. h RL 2002/58/EG „jede … Text‑, Sprach‑, Ton- oder Bildnachricht“. Nach dem GA ist dieses Merkmal hier durch eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende sicherlich erfüllt (Rz 42).

Zudem muss die Nachricht „über ein öffentliches Kommunikationsnetz [verschickt]“ werden. Zweitens muss diese Nachricht „im Netz oder im Endgerät des Empfängers gespeichert werden“ können. Drittens muss diese Nachricht von ihrem Empfänger abgerufen werden können.

Der GA befürwortet eine Argumentation im Sinne einer funktionalen Auslegung des Begriffs „elektronische Post“, die zu der Annahme führen könnte, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende die Voraussetzungen erfüllt. Auf jeden Fall, so der GA, dürfe dieser Begriff nicht isoliert, sondern müsse unter Berücksichtigung der Bestimmung, in der er verwendet wird, d. h. im vorliegenden Fall des Art. 13 Abs. 1 RL 2002/58/EG, ausgelegt werden.

Daher befasst sich der GA nachfolgend mit den Vorgaben des Art. 13 Abs. 1. Eine Einwilligung bedürfen Nachrichten für die Zwecke der Direktwerbung, d. h. Nachrichten zu kommerziellen Zwecken, die sich direkt und individuell an die Nutzer elektronischer Kommunikationsdienste richten. Zum anderen müssen diese Nachrichten den Nutzern durch „[d]ie Verwendung von automatischen Anruf- und Kommunikationssystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post“ zugehen (Rz. 51). Abzugrenzen sind die Vorgaben des Art. 13 Abs. 1 daher von Werbefenstern oder Bannern, die beim Aufrufen von Internetseiten erscheinen können.

Danach geht der GA zur Auslegung noch auf ErwG 67 der RL 2009/136/EG und ErwG 40 der RL 2002/58/EG ein. Danach ist für den GA deutlich, dass der Unionsgesetzgeber von einem weiten, über E‑Mails allein hinausgehenden Verständnis der elektronischen Kommunikationsmittel, mit denen Direktwerbung durchgeführt wird, ausgehen wollte (Rz. 53).

Danach wird es etwas konkreter und der GA prüft das Vorliegen der Voraussetzungen im konkreten Fall. Entscheidend sei hier, dass die in Rede stehenden Werbenachrichten ihre Adressaten tatsächlich durch die Verwendung elektronischer Post erreichen.

Vorliegend erscheinen die Nachrichten in der Inbox des Kontos eines Nutzers eines E‑Mail-Dienstes, d. h. an einer Stelle, die normalerweise elektronischer Post im engeren Sinne, nämlich privaten E‑Mails, vorbehalten ist.

Der Absender dieser Nachrichten bedient sich somit der elektronischen Post, um den Verbraucher zu erreichen, so dass es sich in Übereinstimmung mit dem 67. Erwägungsgrund der Richtlinie 2009/136, in dessen Licht Art. 13 Abs. 1 der Richtlinie 2002/58 auszulegen ist, tatsächlich um Nachrichten für die Zwecke der Direktwerbung „per elektronischer Post“ handelt.“ (Rz. 54)

Die Einblendung von Nachrichten wie hier, in die Liste privater E‑Mails ist daher nach Ansicht des GA als Verwendung „elektronischer Post“ für die Zwecke der Direktwerbung einzustufen.

Und das bedeutet: es gilt das Einwilligungserfordernis des Art. 13 Abs. 1 RL 2002/58/EG.

Dass die Werbeeinblendungen hier deutlich anders gestaltet sind als normale E-Mails, macht für den GA keinen Unterschied. So argumentiert der GA, dass die streitige Werbung auf derselben Ebene wie private E‑Mails erscheint. Daher komme ihr dieselbe Aufmerksamkeit zu wie die, die der Nutzer diesen privaten E‑Mails widmet. Zudem, so der GA, bestehe die Gefahr einer Verwechslung durch die Nutzer, da die Werbenachrichten Zeilen in der Inbox einnehmen, die normalerweise privaten E‑Mails vorbehalten sind und Ähnlichkeit mit privaten E‑Mails aufweisen (Rz. 55).

Auch der Umstand, dass die Werbenachricht im Gegensatz zu privaten E‑Mails grau unterlegt ist, keinen Speicherplatz einnimmt und nicht die üblichen Funktionalitäten von E‑Mails bietet, ändert für den GA nichts an seiner Einschätzung. Nach seiner Ansicht kann sich aus solchen Werbenachrichten trotzdem eine Beeinträchtigung der Privatsphäre von Nutzern eines E‑Mail-Dienstes ergeben, die Art. 13 Abs. 1 RL 2002/58/EG verhindern möchte (Rz. 56).

Der GA folgert daraus insgesamt:

Daraus folgt, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende meines Erachtens in den Anwendungsbereich von Art. 13 Abs. 1 der Richtlinie 2002/58 fällt. Folglich ist eine solche Maßnahme der Direktwerbung unzulässig, wenn der Empfänger ihr nicht zuvor zugestimmt hat.“ (Rz. 63)

Ausblick

Wenn auch der EuGH der Begründung des GA folgt, müsste Inbox-Werbung in Zukunft nur mit vorheriger Einwilligung angezeigt werden. Eine (enge) Ausnahme mag es noch im Rahmen der Bestandskundenansprache geben (§ 7 Abs. 3 UWG). Die dortigen Voraussetzungen passen auf den hier relevanten Fall aber nicht ganz, denn so verlangt etwa Abs. 3 Nr. 1, dass ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat. Wenn aber Inbox-Werbung nach dem Zufallsprinzip (in Bezug auf de Nutzer) erfolgt, hat der Unternehmer im Zweifel gar nicht die E-Mail-Adresse des Kunden bzw. weiß er nicht, ob der Nutzer auch Kunde ist. Spannend wäre dann die Frage, ob auch die Ausnahmen nach § 7 Abs. 3 UWG (Art. 13 Abs. 2 RL 2002/58/EG) entsprechend technologieneutral ausgelegt werden dürfen.

Haftungsbegrenzung in den neuen SCC – rein kommerziell oder unzulässige Abweichung?

Bereits im Rahmen des Abschlusses der noch geltenden SCC war die Frage nach der Haftungsbegrenzung zwischen Exporteur und Importeur ein praktisch relevantes Thema. Zum Teil wurden SCC selbst angepasst, zum Teil wurde auf die Haftungsklausel in Hauptverträgen verwiesen.

Fraglich und meines Erachtens diskutabel ist, ob die nun von der EU-Kommission veröffentlichten Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO eine solche Haftungsbegrenzung erlauben. Die Antwort auf diese Frage dürfte gerade für Dienstleister als Auftragsverarbeiter elementar sein. Kann, im Fall des Verstoßes gegen den Vertrag oder die DSGVO, eine Haftung der verstoßenden Partei gegenüber dem Vertragspartner begrenzt werden? Es soll hier nicht um die Begrenzung von Schadenersatzansprüchen gegenüber Betroffenen gehen. Ich denke, es gibt diesbezüglich keine Diskussion, dass dies nicht möglich ist.

Ich meine, dass es wohl für beide Ansichten Argumente gibt. Nachfolgend möchte ich einige (mir schnell in den Sinn kommende) Argumente auflisten.

Pro Haftungsbegrenzung

Es soll allein die schuldrechtliche Haftung zwischen den Parteien begrenzt werden. Gegenüber Betroffenen erfolgt keine Begrenzung. Daher sind auch deren Rechte nicht beschränkt.

Nach ErwG 3 des Beschlusses der Kommission können Exporteur und Importeur ausdrücklich weitere Klauseln hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Begrenzung einer internen Haftung ist jedoch in den SCC nicht geregelt, womit auch kein Widerspruch besteht. Es handelt sich hierbei allein um eine „kommerzielle“ Regelung.

Contra Haftungsbegrenzung

Nach ErwG 14 des Beschlusses sollen die SCC Vorschriften über die Haftung zwischen den Parteien vorsehen. Also gerade die interne Haftung betreffend. Dann ist schwer zu argumentieren, dass eine solche Regelung rein „kommerziellen“ Charakter hat und von den SC nicht abweicht, wenn sie doch in dem Beschluss ausdrücklich als verpflichtender Bestandteil angesprochen ist.

Art. 12 SCC enthält ausdrücklich eine Klausel zur Haftung zwischen den Parteien (vergleiche in allen Modulen jeweils lit. a)). Dort ist keine Regelung für eine Begrenzung gegenüber dem Vertragspartner enthalten. Führt man eine solche Beschränkung aber ein, würde man von lit. a) abweichen.

Eine Haftungsbegrenzung könnte dazu führen, dass eine Partei (wegen des geringen finanziellen Risikos selbst bei Verstößen) ihre Pflichten aus dem Vertrag nicht so ernst nimmt, womit auch die Rechte der Betroffenen mittelbar beeinträchtigt sein könnten.

Aus meiner Sicht ein praktisch wahnsinnig relevantes und spannendes Thema, welches bei den nun anstehenden Abschlüssen der neuen SCC sicher auch für Diskussionen sorgt.

Scope of the new SCC – discussions about recital 7

Is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies to processing by the recipient? A closer look at recital 7 of the new SCC decision by Philipp Quiel & me.

Sentence 2 and 3 of recital 7 of the European Commissions’ newly released SCC (Decision (EU) 2021/914) for the GDPR have raised one heavily debated and not so easy to answer question stipulating from the scope of applicability of the SCC referred to in recital 7. This question is the following: is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies?

You can download the full article here (PDF).

Länderübergreifende Kontrolle der deutschen Aufsichtsbehörden zur Umsetzung der SchremsII-Entscheidung

Wie heute bekannt wurde (Pressemitteilung der Berliner Behörde, PDF), führen die deutschen Aufsichtsbehörden gemeinsam abgestimmte Kontrollen zur Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen mithilfe von fünf verschiedenen Fragebögen in fünf Themenkomplexen durch. Jede Behörde entscheidet individuell, in welchen dieser Themenfelder sie durch Versenden der Fragebögen tätig wird und an welche Unternehmen sie herantritt. Daher kann es sein, dass manche Behörden nur einen oder wenige Fragebögen wirklich nutzen und andere wiederrum alle Fragebögen versenden. Die wie im Folgenden aufgeführt bezeichneten Fragebögen sind unter folgenden Links abrufbar:

Innerhalb dieses Blogbeitrags möchte ich auf einige Themen näher eingehen, die bei einer ersten groben Durchsicht der Fragebögen aufgefallen sind.

Selbstbezichtigungsfreiheit vs. Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden

Anders als bei manch anderen Fragebögen, die in der Vergangenheit versendet wurden (siehe bspw. zum Fragebogen der Thüringer Behörde zu Webseiten hier), enthalten die öffentlich verfügbaren Versionen keinen Hinweis darauf, ob die Beantwortung der Fragen freiwillig oder verpflichtend ist. Wahrscheinlich wird dies in den Begleitschrieben der Behörden näher erläutert.

Eine sehr allgemein gehaltene Pflicht von Unternehmen zur Zusammenarbeit mit den Aufsichtsbehörden ist in Art. 31 DSGVO geregelt. Wie weit diese Pflicht reicht, ist derzeit noch vollkommen unklar. Sie wird nicht so ausgelegt werden können, dass Unternehmen sich selbst bezichtigen müssen. Dagegen sind Unternehmen nach dem nemo tenetur Grundsatz aus Art. 47 der Charta der Grundrechte der Europäischen Union geschützt. Hierbei ist jedoch zu beachten, dass der EuGH in mehreren Fällen geurteilt hat, dass die Beantwortung von Tatsachenfragen dem nemo tenetur Prinzip nicht entgegensteht (siehe bspw. EuGH, Rs. T-112/98, Rn. 78 zur Beantwortung von Tatsachenfragen ggü. der Kommission) und Unternehmen auch dann zur Beantwortung solcher Fragen verpflichtet sind, wenn die Antworten für sie selbstbelastend wirken. Dies wird man auch auf die Fragen der deutschen Behörden übertragen müssen, soweit sie sich ausschließlich auf Tatsachen beziehen.

Anderes gilt ggf. für Fragen, bei denen die Behörden nicht nach Tatsachen fragen. So z.B. in Frage 9 des Fragebogens zum E-Mail-Versand / Frage 12 zum Hosting / Frage 11 zum Webtracking / Frage 9 zu Bewerberportalen, in welcher um eine Beschreibung der Gründe für die Rechtmäßigkeit der Verwendung von Standardvertragsklauseln und nach Nachweisen gefragt wird. Innerhalb des Fragebogens zum konzerninternen Datenverkehr wird für den Fall, dass Unternehmen zum Schluss gelangt sind, dass der Empfänger im Drittland die Pflichten aus Standardvertragsklauseln erfüllen kann, nach Gründen für die Schlussfolgerung und Nachweisen gefragt (Frage 8).

Fragen zum Verzeichnis von Verarbeitungstätigkeiten

Die Fragen der verschiedenen Bögen überschneiden sich zum Teil. So wird in jedem Fall nach den Rollen von Dienstleistern (Auftragsverarbeiter oder gemeinsam Verantwortlicher) und nach einem Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten gefragt. Zu Letzterem sind Unternehmen nach Art. 30 Abs. 4 DSGVO verpflichtet. Hierbei sollten Unternehmen beachten, dass von der Frage nach dem Verzeichnis nicht nur die Zusammenarbeit mit Dienstleistern betroffen ist, sondern bspw. nach den „die den Einsatz des Internetangebots betreffenden Teilen“ oder nach „den Betrieb der WWW-Seiten betreffenden Teilen“ gefragt wird. Nach meinem Verständnis meint dies in den beiden zitierten Fällen alle Einträge im Verzeichnis, die eine auf der Website erfolgende Datenverarbeitung betreffen. Man könnte mutmaßen, dass die Behörden sich durch diese weiteren Informationen aus dem Verzeichnis eine noch weiterreichende Prüfung von Websites ermöglichen wollen. Unternehmen sollten ihr Verzeichnis definitiv noch einmal prüfen, bevor sie es als Bestandteil einer Antwort an die Behörde herausgeben.

Frage nach einer möglichen Kenntnisnahme von Daten im Drittland

Innerhalb aller Fragebögen möchten die Behörden von Unternehmen eine Antwort auf die folgende Frage erhalten:

Sofern die (mögliche) Kenntnisnahme der personenbezogenen Daten in den USA erfolgt, unterfallen Sie oder ein Empfänger der Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA, der US-Behörden Zugang zu den Daten bei Anbietern elektronischer Kommunikationsdienste ermöglicht?

Im Fragebogen zum konzerninternen Datenverkehr heißt es außerdem wie folgt:

Bitte beachten Sie, dass es sich auch schon dann um eine Übermittlung im Sinne des Kapitel V DSGVO handelt, wenn Daten, die z.B. in Deutschland gespeichert sind, von einer in einem Drittland befindlichen Person per Fernzugriff aufgerufen werden können.

Hierbei fällt auf, dass die Aufsichtsbehörden wiederholt auf eine „mögliche“ Kenntnisnahme und auf einen möglichen Fernzugriff für eine „Übermittlung“ abstellen. In der DSGVO gibt es jedoch keinerlei Anhaltspunkte dafür, dass bereits eine rein mögliche, aber nicht tatsächlich erfolgende Kenntnisnahme oder ein solch theoretisch möglicher Fernzugriff eine Datenübermittlung ist. Folglich ist es fragwürdig, was die Behörden aus der Antwort auf Ihre Frage machen möchten. Es ist zumindest denkbar, dass Unternehmen auf die Frage mit „ja“ antworten, für sie aber mangels einer tatsächlich erfolgten Übermittlung die Vorgaben der DSGVO zu Datenübermittlungen jedoch überhaupt nicht gelten und daher für den Dienstleister die Pflichten aus den SCC in Bezug auf die rein theoretische Übermittlung nicht gelten.

Frage zur Änderung der Rechtslage

Grundsätzlich gibt es bei den Fragebögen vielfach Überschneidungen. Innerhalb des Fragebogens zu Bewerberportalen und jenem zum konzerninternen Datenverkehr ist interessanterweise eine Frage zu Datenübermittlungen enthalten, die nicht in den anderen Bögen aufgeführt ist und wie folgt lautet:

Da sich die Rechtslage im Drittland ändern kann: Wie stellen Sie eine schnelle Reaktion und datenschutzkonforme Anpassung an neue Gegebenheiten sicher? Beschreiben Sie insbesondere den Melde- und den Reaktionsprozess zwischen Ihrem Unternehmen und dem Empfänger im Drittland.“

Die Frage wird für Unternehmen (zumindest auf dem Papier) einfach zu beantworten sein. Innerhalb der SCC gibt es eine Pflicht des im Drittland ansässigen Datenverarbeitenden, das in der EU ansässige Unternehmen über Änderungen in der Rechtslage zu informieren. Daher könnte es ausreichend sein, dass in einem in der Frage beschriebenen Fall die Kommunikation per E-Mail erfolgt und die Parteien in so einem Fall zusammenkommen und die Notwendigkeit prüfen, zusätzliche Maßnahmen für Datenübermittlungen zu vereinbaren oder eine zuständige Aufsichtsbehörde zu kontaktieren.

Frage nach geplanten Maßnahmen und deren Umsetzungsplan

Innerhalb der Fragebögen wird für den Fall, dass die Umstellung auf andere Systeme geplant ist, um Auskunft dazu gebeten, auf welche Lösungen Umstellungen geplant sind, und um Mitteilung zum Stand der Umsetzung nebst Zeitplan für den Abschluss gebeten. Unternehmen sollten aus meiner Sicht bei der Beantwortung dieser Frage vorsichtig sein. Einerseits spricht die Frage an sich dafür, dass sich die Behörden auch derzeit noch mit einem Umsetzungsplan zufrieden geben könnten und nicht die abrupte Umstellung auf solche Anbieter fordern, die Daten ausschließlich in der EU oder dem EWR verarbeiten. Andererseits ist gut denkbar, dass die Behörden in einem zweiten „Schwung“ in Zukunft Unternehmen dazu befragen werden, wie weit die Umsetzung vorangeschritten ist.

Verwaltungsakt oder kein Verwaltungsakt?

Auch bei dieser Aktion stellt sich aus meiner Sicht wieder einmal die Frage, ob die Fragebögen und etwaige Begleitschreiben der Behörde ein Verwaltungsakt sind oder nicht. Oft versuchen Datenschutzbehörden noch einen Verwaltungsaktcharakter abzulehnen, etwa unter Hinweis auf eine fehlende Rechtsbehelfsbelehrung. Dies spielt aber für die Qualifikation als Verwaltungsakt keine entscheidende Rolle. Meines Erachtens sprechen gute Gründe dafür, dass entsprechende behördliche Anschreiben mit diesen Fragebögen als Verwaltungsakt zu qualifizieren sind. Auch das Verwaltungsgericht Mainz ging etwa in einem Urteil davon aus (Urt. v. 09.05.2019, 1 K 760/18.MZ), dass den Behörden eine entsprechende Verwaltungsaktbefugnis beim Versand eines Fragenkatalogs zusteht. Natürlich muss man dennoch das jeweilige Anschreiben und die dortigen Belehrungen sichten, um dann entscheiden zu können, ob die Merkmale eines Verwaltungsakts vorliegen.