Nach Ansicht von Generalanwalt Szpunar kann auch die Bereitstellung einer vermeintlich unentgeltlichen Leistung zu Werbezwecken eine Form der Direktwerbung im Sinne von Art. 13 der ePrivacy-Richtlinie (2002/58/EG) darstellen mit der Folge, dass Newsletter ohne vorherige Einwilligung versendet werden können, wenn die Voraussetzungen des Art. 13 Abs. 2 ePrivacy-Richtlinie erfüllt sind. Ein Rückgriff auf Art. 6 DSGVO ist in einem Fall des Art. 13 Abs. 2 ePrivacy-Richtlinie nach dem GA nicht geboten.
Was war passiert? Eine Website bot begrenzten kostenlosen Zugriff auf Online-Inhalte. Zusätzliche Inhalte gab es bei der Anmeldung mit E-Mail-Adresse, Vollzugriff ist nur über eine Bezahlschranke möglich. Der Nutzer registrierte sich, schloss aber nicht das Abo ab. Der Anbieter sandte dem Nutzer anschließend einen Newsletter, der auf neue Artikel auf der Website hinweist.
Zentrale Rechtsfragen:
1. Gilt der Newsletter als Direktwerbung im Sinne der ePrivacy-Richtlinie? - Ja, nach Ansicht des Generalanwalts kann die Bereitstellung einer kostenlosen Leistung, die hauptsächlich Werbezwecken dient, unter die Definition der Direktwerbung fallen.
2. Erfordert der Versand des Newsletters eine vorherige Einwilligung nach der ePrivacy-Richtlinie? - Grundsätzlich ja. Allerdings sieht Art. 13 Abs. 2 der ePrivacy-Richtlinie eine Ausnahme vor: Wenn der Newsletter im Zusammenhang mit einem vorherigen Verkauf eines Produkts oder einer Dienstleistung steht und der Nutzer eine einfache Widerspruchsmöglichkeit hat, ist eine vorherige Einwilligung nicht erforderlich. Der Generalanwalt sieht diese Ausnahme im vorliegenden Fall als anwendbar an.
3. Ist für den Versand des Newsletters eine separate Rechtsgrundlage nach der DSGVO erforderlich? - Nein, der Generalanwalt argumentiert, dass in Fällen, in denen Art. 13 Abs. 2 der ePrivacy-Richtlinie Anwendung findet, keine zusätzliche Rechtsgrundlage nach Art. 6 DSGVO erforderlich ist.
Der Generalanwalt kommt zu dem Schluss, dass der Newsletter als Direktwerbung einzustufen sei. Das zugrunde liegende Geschäftsmodell basiere auf einer sogenannten weichen Bezahlschranke. Das kommerzielle Ziel bestehe darin, die Empfänger durch den Newsletter dazu zu bringen, ihr Kontingent an kostenlosen Artikeln schnell aufzubrauchen und sie so zur Nutzung eines kostenpflichtigen Angebots zu bewegen. Zudem stellt der Generalanwalt fest, dass die E-Mail-Adresse im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung im Sinne von Art. 13 Abs. 2 der ePrivacy-Richtlinie erlangt worden sei. Dies sei bereits dann der Fall, wenn eine unentgeltliche Leistung zu Werbezwecken angeboten werde, da deren Kosten in den Preis der beworbenen Produkte oder Dienstleistungen einfließen. Darüber hinaus könne es ausreichen, dass der Nutzer anstelle einer finanziellen Gegenleistung seine persönlichen Daten im Austausch für eine für ihn wertvolle Leistung bereitstelle.
Bemerkenswert ist die Feststellung des Generalanwalts, dass Art. 13 Abs. 2 der ePrivacy-Richtlinie abschließend und somit keine zusätzliche Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich sei. Dies widerspricht der bisher weit verbreiteten Auffassung, dass eine ergänzende Rechtsgrundlage nach der DSGVO notwendig sei. Diese Ansicht stützt der deutsche Gesetzgeber auf Erwägungsgrund 10 und Art. 1 Abs. 2 der ePrivacy-Richtlinie, aus denen sich bzgl. der Pflichten des für die Verarbeitung Verantwortlichen und der Rechte des Einzelnen eine Anwendung der DSGVO ergebe (vgl. BTDrs. 19/27441, 33). Die DSGVO und ePrivacy-Richtlinie sind zudem Ausprägungen unterschiedlicher Grundrechte, des Grundrechts auf Achtung der Kommunikation (Art. 7 EU-GRCh) und des Schutzes personenbezogener Daten (Art. 8 EU-GRCh). Somit ergibt sich eine parallele Anwendung aufgrund der unterschiedlichen Schutzbereiche der Normen. Die Frage nach dem Vorrang stelle sich außerdem gem. Art. 95 DSGVO erst dann, wenn beide Normen einem Verantwortlichen Pflichten auferlegen, die miteinander konkurrieren. Es soll nämlich nicht die Anwendbarkeit der DSGVO ausgeschlossen, sondern eine Doppelbelastung der Verantwortlichen verhindert werden.
Obiter dictum hält der Generalanwalt fest, dass eine Behörde bei der Verhängung einer Geldbuße nicht verpflichtet sei, in ihrem Bescheid jedes einzelne Kriterium aus Art. 83 Abs. 2 Buchst. a bis k DSGVO ausführlich zu analysieren und zu erläutern. Entscheidend sei vielmehr, dass der Betroffene die Gründe der ihn betreffenden Maßnahme nachvollziehen könne.
Was sind die praktischen Auswirkungen dieser Schlussanträge?
Obwohl die Einschätzung des Generalanwalts – insbesondere in Bezug auf das Verhältnis von Art. 13 der ePrivacy-Richtlinie zu Art. 6 DSGVO – von der bislang vorherrschenden Meinung, insbesondere der Datenschutzaufsichtsbehörden, abweicht, dürften die praktischen Auswirkungen weniger gravierend sein, als es auf den ersten Blick scheint.
Die wohl bedeutendste Erleichterung für Unternehmen bestünde darin, dass sich leichter argumentieren ließe, dass der Anwendungsbereich von Art. 13 Abs. 2 der ePrivacy-Richtlinie auch bei vermeintlich kostenlosen Angeboten eröffnet sei – sei es, weil die Kosten für das kostenlose Angebot in den Preis anderer Leistungen eingerechnet werden oder weil die Nutzer als Gegenleistung ihre Daten bereitstellen.
Allerdings dürfen die weiteren Voraussetzungen der Ausnahme vom Einwilligungserfordernis nicht übersehen werden. Unternehmen müssen insbesondere folgende Vorgaben beachten:
- Der Newsletter darf ausschließlich zur Direktwerbung für eigene, ähnliche Produkte oder Dienstleistungen genutzt werden.
- Nutzer müssen bei der Erhebung ihrer E-Mail-Adresse klar und deutlich darauf hingewiesen werden, dass sie der Nutzung für Werbezwecke widersprechen können.
- Zudem muss ihnen bei jeder versendeten Nachricht eine einfache, gebührenfreie Möglichkeit zum Widerspruch eingeräumt werden, sofern sie der Nutzung nicht bereits von vornherein widersprochen haben.
Dies bedeutet, dass Unternehmen sowohl bei der Erhebung der E-Mail-Adresse als auch bei der Versendung des Newsletters diese zusätzlichen Anforderungen einhalten müssen.
Sofern der EuGH der Einschätzung des Generalanwalts folgt und Art. 6 DSGVO in diesem Zusammenhang nicht für anwendbar erklärt, dürfte dies in der Praxis nur begrenzte Auswirkungen haben. Denn bereits bisher wurde weitgehend angenommen, dass im Falle einer Ausnahme nach Art. 13 Abs. 2 der ePrivacy-Richtlinie die Verarbeitung personenbezogener Daten in der Regel durch das berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO gerechtfertigt ist – sodass ohnehin keine separate Einwilligung nach der DSGVO erforderlich wäre.
Interessant könnte sein, ob ein Vorrang des Art. 13 Abs. 2 ePrivacy Richtlinie vor der DSGVO auch für den Art. 13 Abs. 1 bedeuten würde, dieser regele das Einwilligungserfordernis abschließend. Wäre eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO nicht erforderlich, wäre das insofern eine Erleichterung für Unternehmen, weil damit die inhaltlichen Anforderungen an die Einwilligung aus der DSGVO wohl nicht "zusätzlich” zur Einwilligung nach ePrivacy anwendbar wären, die Voraussetzungen daher wohl deutlich niedriger würden.
Was das vorliegende Verfahren nicht betrachtet: Newsletter beinhalten regelmäßig Tracking-Funktionen, für die eine Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie notwendig ist. Die Regelung des Art. 5 Abs. 3 ePrivacy-Richtlinie verweist explizit auf die Einwilligungsbedingungen der damaligen Datenschutzrichtlinie, d.h. heute der DSGVO. Systematisch ist zumindest nicht ersichtlich, warum insofern die Einwilligungsregelung in Art. 13 ePrivacy-Richtlinie abschließend sein soll.
Die Hintergründe des Falls
Die Inteligo Media SA, Betreiberin des rumänischen Rechtsinformationsportals avocatnet.ro, führte ein Freemium-Modell ein. Nutzer konnten sechs Artikel auf ihrem Portal gratis lesen; für mehr Zugriff war ein kostenloser Account ("Serviciu Premium") nötig. Bei der Accounterstellung wurde die E-Mail-Adresse erfasst. Das Konto bot zwei zusätzliche Gratis-Artikel pro Monat und einen täglichen E-Mail-Newsletter ("Personal Update"), es sei denn, der Nutzer wählte aktiv eine Opt-out-Option bei der Registrierung ("Ich möchte ... nicht erhalten"). Der Newsletter enthielt Zusammenfassungen neuer Gesetze mit Links zu Artikeln auf der Website.
Die rumänische Datenschutzbehörde (ANSPDCP) verhängte ein Bußgeld von ca. 9.000 EUR, da Inteligo die E-Mails für den Newsletter ohne explizite Einwilligung nach Art. 6 DSGVO verarbeitet habe. Nach mehreren Instanzen legte das Berufungsgericht Bukarest dem EuGH Fragen zur Auslegung von Art. 13 ePrivacy-Richtlinie und dem Verhältnis zur DSGVO vor, insbesondere ob die E-Mail-Erfassung als "im Zusammenhang mit einem Verkauf" gilt und der Newsletter "Direktwerbung" sei.
