„tell-a-friend“ - aber bitte nur mit dessen Zustimmung

Social-Media-Plattformen enthalten oft eine sogenannte "tell-a-friend"-Funktion. Diese ermöglicht den Nutzern, Inhalte mit deren persönlichen Kontakten zu teilen oder sie einzuladen, auf dieser Plattform ihre "Freunde" zu sein und entsprechend zu interagieren. Die belgische Datenschutzbehörde stellte dieses Modell in Frage und verhängte mit dem Urteil vom 14.05.2020 eine Geldstrafe in Höhe von 50.000 Euro gegen die Social-Media-Plattform Twoo wegen Verletzung der Privatsphäre durch die "tell-a-friend“-Funktion. Begründet wurde dieses Urteil damit, dass die Zustimmung der Nicht-Nutzer erforderlich ist, damit eine Plattform E-Mails oder andere Mitteilungen an Nicht-Nutzer senden kann.  Ist dies das Ende des beliebten "tell-a-friend“-Marketingtools?

Was ist "tell-a-friend" Marketing?

Bei "tell-a-friend“ Marketing gibt der Unternehmer dem bestehenden Kundenstamm die Möglichkeit, Waren und/oder Dienstleistungen an Dritte bequem über einen Knopfdruck zu empfehlen. Hierzu wird vom bestehenden Kunden die E-Mail-Adresse eines privaten Kontakts weitergegeben, um diesem „Freund“ eine vom Unternehmen vorgefertigte Marketingnachricht zu übermitteln. 

Wie die Entscheidung der belgischen Datenschutzbehörde zeigt, kann eine leichtfertige Umsetzung aber zu erheblichen rechtlichen Problemen und Strafen nach der DSGVO führen. 

Was ist bei "tell-a-friend" Marketing in der Praxis zu beachten?

Die Umsetzung von "tell-a-friend“ Marketing erfolgt üblicherweise durch Kontaktformulare, in die bestehende Kunden die Kontaktdaten (wie E-Mail-Adresse, Name, Telefonnummer), eines potenziellen Neukunden angeben. Bei diesen Daten handelt es sich um personenbezogene Daten im Anwendungsbereich der Datenschutz Grundverordnung (DSGVO): Für die Verarbeitung von personenbezogenen Daten ist eine konkrete Rechtsgrundlage erforderlich. Grundsätzlich reicht hierfür entweder die Einwilligung des „Freundes“, das überwiegende berechtigte Interesse des Unternehmens (Verantwortlicher) oder die Einwilligung eines Dritten zur Verarbeitung der personenbezogenen Daten. 

Zusätzlich gilt es zu beachten, dass es sich bei den versendeten E-Mails um Direktwerbung handelt und die Umsetzung der ePrivacy Richtlinie durch das Telekommunikationsgesetz 2003 („TKG“) einzuhalten ist. Dies bedeutet, dass grundsätzlich die Einwilligung des Empfängers der Nachricht (also des potenziellen Neukunden) vor der Kontaktaufnahme notwendig ist. 

Das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, „Artikel 29 Datenschutzgruppe“, hat 2009 in ihrer Stellungnahme zu Praktiken von Social Media Plattformen auch "tell-a-friend" Marketingpraktiken geprüft. Darin hat sie die Anwendung der ePrivacy Richtlinie bei privater Kommunikation ausgeschlossen. Aus dem Anwendungsbereich der ePrivacy Richtlinie fallen daher Nachrichten von der privaten E-Mail-Adresse bestehender Kunden und auch von der Plattform versendete Nachrichten unter folgenden Voraussetzungen:

1. Es wurde für den Empfänger oder Absender der Nachricht kein werblicher "Anreiz" geschaffen.
2. Der Empfänger wurde aktiv vom Sender ausgewählt.
3. Die Identität des Senders wurde deutlich offengelegt.
4. Der Sender kannte den vollständigen Inhalt der Nachricht.

Es wurde nicht eindeutig festgelegt, ob der Empfänger der Nachricht ein Benutzer der Plattform sein muss, ein Ausschluss der ePrivacy Richtlinie war für "tell-a-friend" Marketing vielmehr bei Vorliegen der oben genannten Voraussetzungen plus einem Mitgliedschaftssystem (wie einem Bonusclub) möglich. 

In letzterem Fall wäre die Einwilligung des potenziellen Neukunden also nicht erforderlich und die personenbezogenen Daten könnten theoretisch auf Grundlage eines überwiegenden berechtigten Interesses des Unternehmens verwendet werden. 

Die Entscheidung der belgischen Datenschutzbehörde

Die "tell-a-friend" Funktion auf der belgischen Social Media Plattform Twoo hat sich beim Versenden der E-Mails auf die Einwilligung des Senders für den Zugriff auf sein Adressbuch berufen und eine Vorauswahl getroffen. Die belgische Datenschutzbehörde hat infolgedessen anhand der angesprochenen Personenkreise differenziert (Mitglieder/Nicht-Mitglieder).

Für den Fall, dass Nachrichten an bereits bestehende Mitglieder der Plattform gesendet werden, hat sie die Grundsätze der Artikel 29 Datenschutzgruppe angewandt und das Erfordernis einer Einwilligung des „Freundes“ zur Kontaktaufnahme verneint. Auch aus datenschutzrechtlicher Sicht kann nach ihrer Auffassung mit einem überwiegenden berechtigten Interesse argumentiert werden. 

Bei Nicht-Mitgliedern der Plattform sieht die Lage anders aus. Hier hat die Behörde die Kontaktaufnahme jedenfalls als Direktwerbung im Sinne der ePrivacy Richtlinie qualifiziert und ausgesprochen, dass vor der Kontaktaufnahme die Einwilligung des Empfängers notwendig ist. 

Aber auch bei der Datenverarbeitung hat die sie das überwiegende berechtigte Interesse des Unternehmens nicht als gültige Rechtsgrundalge qualifiziert, da das Interesse der Nicht-Mitglieder auf Privatsphäre überwiegt und sie keine ordnungsgemäße Kontrolle über Ihre personenbezogenen Daten ausüben können. 

Die Entscheidung der belgischen Datenschutzbehörde ist eines der ersten Beispiele für eine signifikante Geldbuße, die im Rahmen des One-Stop-Shop-Mechanismus der Allgemeinen Datenschutzverordnung der EU verhängt wurde. Im vorliegenden Fall einer grenzüberschreitenden Datenverarbeitung war sie die federführende Behörde und hat mit 23 Datenschutzbehörden in 16 verschiedenen Ländern, darunter auch Österreich, zusammengearbeitet (One-Stop-Shop Prinzip). Anhand der Anzahl der involvierten Datenschutzbehörden wird die Bedeutung der Entscheidung offensichtlich. 

Wie kann "tell-a-friend" Marketing (relativ) rechtssicher gestaltet werden?

Lösungsansatz 1: Versendung direkt durch den Bestandskunden

Eine Möglichkeit besteht darin, für die Versendung der E-Mails durch die Bestandskunden rein „technische“ Hilfestellungen anzubieten. 

Bei der Erstellung von Websites oder sonstigen Online-Applikationen könnte die „mailto“ Funktion verwendet werden. Dabei wird eine vorgefertigte E-Mail direkt über den Mail-Account des bestehenden Kunden versendet. Diese Umsetzung wäre allerdings wenig zielführend, da die tatsächliche Kundengewinnungsrate fraglich ist.

Lösungsansatz 2: Versendung im Namen des Bestandskunden

Eine weitere Möglichkeit besteht darin, dass die E-Mails zwar direkt durch die Plattform oder durch das Unternehmen versendet werden, jedoch als angezeigte E-Mail-Adresse und als angezeigter Name der bestehende Kunde aufscheint. Dieser Ansatz könnte jedoch von einigen Mailservern als Spam klassifiziert werden, wodurch auch hier die Kundengewinnungsrate leiden könnte.  

Jedenfalls erforderlich: Einwilligung des Neukunden

Unabhängig davon, welcher Ansatz verfolgt wird, um an einen potenziellen Kunden eine Nachricht zu versenden: In jedem Fall ist es wichtig, in weiterer Folge die Einwilligung für künftige Kontaktaufnahmen einzuholen. Die übermittelte Nachricht könnte etwa einen Link enthalten, der zu einem Online-Formular führen. Am Ende dieses Formulars könnte eine Checkbox mit folgendem Text platziert sein:

Ich willige in die Verarbeitung meiner Kontaktdaten durch [UNTERNEHMER] ein, um mir Informationen über Produkte per E-Mail, Telefon und SMS zukommen zu lassen. Diese Einwilligung kann jederzeit widerrufen werden, wobei der Widerruf die Rechtmäßigkeit der Verarbeitung bis zum Widerruf nicht berührt. 

Sollte die Nachricht jedoch für einen längeren Zeitraum unbeantwortet bleiben, sollte die E-Mailadresse auf einer - aus Datenschutzgründen verschlüsselten - Blacklist gespeichert werden. Um lauterkeitsrechtlichen Problemen vorzubeugen, sollten Bestandskunden keine unbegrenzte Zahl an Empfehlungsmails versenden können. 

Ausblick

Mit etwas technischem Aufwand lassen sich "tell-a-friend" Aktionen auch nach der aktuellen Entscheidung der belgischen Datenschutzbehörde rechtlich gut vertretbar gestalten. Ein Restrisiko einer Beanstandung, insbesondere nach dem UWG, verbleibt natürlich auch bei diesen Gestaltungen. Deshalb sollte rechtzeitig bei der Planung von "tell-a-friend" Aktionen ein Rechts-Check (auch gemeinsam mit dem technischen Anbieter) erfolgen. Ebenso sollten bestehende "tell-a-friend" Systeme auf die Compliance mit der belgischen Entscheidung geprüft werden.