Datenschutz beim Newsletter

Wann ist eine Newsletter Spam?

In Verbindung mit der Zustellung «unerwünschter» E-Mail stützt man sich gerne auf das UWG §3, Abs. 1 lit. o. In diesem Absatz wird die fernmeldetechnische Sendung von Massenwerbung erwähnt.

Doch wann gilt ein Newsletter als Werbung?

Diese Frage ist zentral. Denn das Bundesgesetz gegen den unlauteren Wettbewerb spricht im §3 über «unlautere Verkaufs- und Werbemethoden». Somit ist nicht die Zustellung einer E-Mail an einen Empfänger, der nicht darum gebeten hat, an sich ein Verstoss gegen dieses Gesetz. Genauso wenig spielt die technische Aufmachung der E-Mail eine Rolle. Eine schön gestaltete HTML-E-Mail Nachricht ist an sich kein Kriterium für den Tatbestand einer «unerwünschten E-Mail».

Die Kernfrage lautet: was ist der Inhalt der Nachricht? Ist der Inhalt «Werbung», kommt das erwähnte Gesetz zum Tragen. Doch was ist Werbung?

Die Schweizerische Lauterkeitskommission definiert «kommerzielle Kommunikation (wir verwenden von nun an das Synonym «Werbung») [mit] jeder Massnahme, die eine Mehrheit von Personen systematisch in ihrer Einstellung zu bestimmten Waren, Werken, Leistungen oder Geschäftsverhältnissen zum Zweck des Abschlusses eines Rechtsgeschäftes oder seiner Verhinderung beeinflusst». (Quelle: http://www.faire-werbung.ch/wordpress/wp-content/uploads/2013/09/Grundsaetze.pdf)

Diese Kommission hat in einem unlängst gefällten Entscheid (Nr. 173/16) die Beschwerde einer Person gutgeheissen und dabei festgehalten, dass für die Zustellung von Werbung per E-Mail der Nachweis der Einwilligung zu erbringen ist. Sie stützt sich dabei auf den benannten Artikel 3 im UWG.

Den Tatbestand der Werbung würde auch ein Newsletter an eigene Fachhändler oder Kunden erfüllen, in welcher z.B. eine Produktanpassung beschrieben wird. An sich wird eine Mehrheit von Personen systematisch in ihrer Einstellung beeinflusst. Daraus einen gesetzlichen Strafbestand zu machen, läge jedoch weder im Interesse des Absenders noch der grossen Mehrheit der Empfängergruppe.

Aus diesem Grund gilt (momentan) eine Zustellung eines Werbe-Newsletters auch ohne «Opt-In» nicht als unlauter wenn a) zuvor eine Geschäftsbeziehung in Form eines Kaufes zustande kam und b) die wahre Identität des Absenders erkennbar ist und c) der Empfänger die Möglichkeit eines Opt-Outs hat. Man beachte die Verknüpfung dieser Voraussetzungen mit «und» und nicht mit «oder»: Alle drei Bedingungen müssen erfüllt sein.

Zusammenfassend ergeben sich zwei interessante Schlussfolgerungen:

  • Nicht jede E-Mail, die schön aufbereitet eintrifft, darf per se als «unerwünschte Werbung» klassifiziert werden. «C’est le contenu qui fait le corps du délit.»
  • Nicht jeder Werbe-Newsletter ist – in der Schweiz - ein Verstoss gegen das Bundesgesetz gegen den unlauteren Wettbewerb. Auch wenn kein nachweisbares Opt-In vorliegt. Aber: Vorsicht ist geboten.

Newsletter und die DSGVO.

Die am 28.05.2018 in der EU in Krarft getretene DSGVO (GDPR) sieht unter anderem eine Data Breach Notifiaction bei einem Datenschutz Vorfall vor.

Was bei SaaS Lösungen eine relativ klare Sache ist, gestaltet sich bei PaaS- und IaaS-Verträgen etwas schwieriger. Warum?

Es beginnt mit der einfachen Frage: woher weiss der Systembetreiber (PaaS) oder der Infrastruktur-Anbieter, ob personenbezogene (kundenidentifizierende/CID) Daten auf seinen Systemen und Servern gespeichert werden? Wer hat künftig angesichts des rechtlichen Kontextes die Verantwortung über dieses Wissen? Ist es eine Holschuld des Anbieters oder eine Bringschuld des Auftraggebers? Bisher bestand keine Holschuld seitens der Anbieter zu wissen, welche Daten (sehr oft bezogen auf die Inhalte einer Webseite und deren rechtlichen Konformität) der Auftraggeber speicherte. Erst wenn der Anbieter Kenntnis von widerrechtlichen Inhalten auf seinen Systemen hatte, musste er gewisse Abläufe einhalten. Ausgehend von der bisherigen Praxis wäre somit der Auftraggeber in der Verantwortung.

Folgen wir diesem Gedankengang, gibt dies der Auftraggeber bereits bei der Anfrage (RFQ) bekannt. Zusätzliche Prozesse und Services beeinflussen den Angebotspreis. So vermeidet man unbeliebte Vertragsanpassungen nach einem Vertragsabschluss. Der Auftraggeber tut gut daran, beim Servicevertrag (SLA) auf die Punkte in diesem Zusammenhang zu achten. Zum Beispiel auf die Data Breach Notification.

Nach Verständnis gewisser Experten ist der Anbieter in der Pflicht, einen Vorfall, der den Datenschutz tangiert, zu melden [so schreibt es zum Beispiel Jessica Hughes in einem Artikel der Government Technology, einem US-Magazin]. Die Frage ist: wem meldet dies der Anbieter? Wer ist sein Ansprechpartner hierfür? Welche Massnahmen muss der Anbieter in einem solchen Fall sicherstellen, in welcher Frist und welche "Beweise" (Logfiles usw.) muss er in welcher Art sichern? Ein ungeklärter juristischer Widerspruch öffnet sich: Dürfen die Logfiles mit personenbezogenen Daten über den Zeitraum von 6 Monaten präventiv zu Beweiszwecken aufbewahrt werden?

Microsoft hat für die Azure Cloud das Vorgehen definiert. Andere Paas- und IaaS-Anbieter werden noch Hausaufgaben machen müssen, um Serviceverträge bieten zu können, die diesen neuen Vorgaben gerecht werden. Auch ist nach unserem Rechtsverständnis noch nicht im Detail erkennbar, was der EU-Gesetzgeber mit der DSGVO exakt von einem Cloud-Anbieter erwartet bzw. inwieweit er in die Pflicht genommen wird. Im Moment ist davon auszugehen, dass sich die Schweiz mit dem revidierten DSG (Datenschutzgesetz) stark an der DSGVO der EU orientieren wird.

Aus eigener Erfahrung wissen wir, dass selbst die Definition, was personenbezogene Daten sind, unterschiedlich sein kann. So betrachten gewisse Auftraggeber die Datenbank für Newsletter-Sendungen als solche, wohingegen andere Auftraggeber bei dieser Definition grosszügiger sind. Für den IaaS- oder PaaS-Anbieter ändert sich dadurch wenig - er muss lediglich wissen, ob personenbezogene Daten verarbeitet werden oder nicht. Der Auftraggeber ist jedoch gut beraten, sich vom Anbieter seinen "Data Breach" Prozess aufzeigen zu lassen.

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.