Werbung ist zum einen die von Unternehmen, Selbstständigen, Verbänden und Vereinen usw. durchgeführte Wirtschaftswerbung zum Aufbau und zur Förderung eines Geschäftsbetriebs. „Werbung“ wird in Art. 2 lit. a der EU-Richtlinie 2006/114/EG über irreführende und vergleichende Werbung vom 12. Dezember 2006 definiert als „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“.

Gerichte verwenden diese weitgreifende Betrachtungsweise von Werbung und berücksichtigen sie bei ihren Entscheidungen. Daher fallen auch Zufriedenheitsnachfragen bei Kunden nach einem Geschäftsabschluss, Geburtstags- und Weihnachtsmailings unter den Begriff der Werbung.

Zum anderen ist Werbung die Kontaktaufnahme durch Parteien, Verbände und Vereine oder karitative und soziale Organisationen mit betroffenen Personen, um ihre Ziele bekannt zu machen oder zu fördern.

Direktwerbung ist durch die unmittelbare Ansprache der Zielperson gekennzeichnet und kann in unterschiedlicher Form erfolgen, z.B. postalisch, per E-Mail, Telefon, Fax oder SMS erfolgen.

Rechtsgrundlage für Direktwerbung nach dem EKD-Datenschutzgesetz kann zum einen eine Einwilligung nach § 6 Abs. 1 Nr. 2 iVm § 11 DSG-EKD sein. Die Rechtsgrundlage kann sich aber auch aus § 6 Nr. 4 iVm Nr. 8 DSG-EKD ergeben. Notwendig ist dann eine Abwägung im konkreten Einzelfall zwischen den Interessen des Verantwortlichen bzw. Dritten und der betroffenen Person. Es kann nicht auf abstrakte Kriterien oder vergleichbare Fälle abgestellt werden.

Die Datenverarbeitung muss im Hinblick auf die Wahrung der berechtigten Interessen erforderlich sein. Es müssen die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu der verantwortlichen Stelle beruhen, berücksichtigt werden. Damit ist auch auf die subjektive Erwartungshaltung der betroffenen Person im Einzelfall abzustellen. Neben diesen ist aber auch zu fragen, was objektiv vernünftigerweise erwartet werden kann und darf. Entscheidend ist daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Die Erwartungen der betroffenen Person können nicht durch Informationen (§§ 17, 18 DSG-EKD) erweitert werden. Während die Nicht- oder Schlechterfüllung der Informationspflicht das Abwägungsergebnis also aus Sicht des Verantwortlichen negativ beeinflusst, hat die ordnungsgemäße Erfüllung der Informationspflichten keine Auswirkung auf die Abwägung der Interessen. Gleichzeitig gelten die Grundsätze nach § 5 DSG-EKD.

Werden personenbezogene Daten unmittelbar bei der betroffenen Person erhoben, sollte diese umfassend nach § 17 Abs. 1 und 2 DSG-EKD über die Zwecke der Verarbeitung der Daten unterrichtet werden. Spätestens auf deren Verlangen müssen die Informationen vorgelegt werden. Eine schon geplante oder in Betracht kommende Verarbeitung oder Nutzung der Daten für Zwecke der Direktwerbung ist daher der betroffenen Person von Anfang an transparent darzulegen. Bei einer nachträglichen Änderung der Verarbeitung auch für Zwecke der Direktwerbung schreibt § 17 Abs. 3 DSG-EKD eine vorherige Information vor. Der Inhalt der Information ergibt sich aus § 17 DSG-EKD.

Die Informationspflichten nach § 17 Abs. 1 und 2 DSG-EKD bestehen nur dann nicht, wenn die betroffene Person bereits etwa aus vorangegangenem Kontakt über die Informationen verfügt und auch keine Zweckänderung vorliegt (§ 17 Abs. 4 DSG-EKD). Sofern es sich um eine Datenerhebung bei der betroffenen Person handelt, müssen die Informationen zum Zeitpunkt der Erhebung, also in der konkreten Situation, direkt verfügbar sein.

Wenn die Daten unmittelbar schriftlich oder mündlich bei der betroffenen Person erhoben werden, kann dieser die Information nachträglich in Papierform übersandt bzw. ausgehändigt werden. Bei Gewinnspiel- oder Bestellpostkarten sollten zumindest die wichtigsten Informationen bereits abgedruckt sein (Verantwortlicher, die Verarbeitungszwecke (im Detail), die Betroffenenrechte, die Verarbeitungen, die sich am stärksten auf die betroffene Person auswirken, und gegebenenfalls diejenigen, mit denen die betroffene Person nicht rechnet). Die Bereitstellung weitergehender Informationen kann beispielsweise durch eine URL, einen QR-Code oder das Angebot einer postalischen Zusendung sichergestellt werden.

Bei elektronischer Kommunikation, die von der betroffenen Person ausgeht, können die Informationen zum Beispiel mitgeteilt werden, indem in eine automatische Eingangsbestätigung standardmäßig ein Link eingefügt wird, über den der Empfänger der Eingangsbestätigung auf die Informationen zugreifen kann.

Bei telefonischen Erstkontakten, z. B. bei der erstmaligen Bestellung von Waren, sollte sofort bei Beginn einer Datenverarbeitung, die in den Anwendungsbereich der DSG-EKD fällt, auf die Verarbeitung, ihren Zweck sowie überraschende Verarbeitungsschritte (z.B. die Einbindung von Auftragsverarbeitern oder Datenexporte in Drittländer) hingewiesen werden. Die weiteren Datenschutzinformationen sollten aktiv angeboten werden.

Sollen personenbezogene Daten der betroffenen Person für Zwecke der Direktwerbung verarbeitet werden, die nicht von dieser Person selbst erhoben wurden, sind die Informationspflichten nach § 18 Abs. 1 und 2 DSG-EKD zu beachten. Die Information muss innerhalb einer angemessenen Frist, jedenfalls zum Zeitpunkt der ersten Kommunikation (Aussendung einer Werbung), spätestens aber innerhalb eines Monats nach Erhalt der Daten erfolgen. Es kommt darauf an, welche Bedingung zuerst eintritt. Erfolgt die Information in Verbindung mit der ersten Werbezusendung, sind beide Bestandteile (Information und Werbetext) klar voneinander zu trennen und die Information (einschließlich des Hinweises auf das Werbewiderspruchsrecht) entsprechend deutlich herauszustellen.

Für den Fall, dass aufgrund eines berechtigten Interesses Daten für die Direktwerbung verarbeitet werden, muss der Werbewiderspruch effektiv geltend machen können. Es ist zwar grundsätzlich zulässig, betroffene Personen vorrangig auf bestimmte Kontaktwege, etwa die Nutzung einer speziellen E-Mail-Adresse für Datenschutzbelange, zu verweisen. Sie dürfen jedoch nicht darauf beschränkt werden. Ein vorrangiger Kontaktweg darf nicht dazu führen, dass Datenschutzbelange, die auf anderen Wegen an die Verantwortlichen herangetragen werden, unbearbeitet bleiben. Die Verantwortlichen haben (ggf. durch Sensibilisierung der Mitarbeiterschaft) sicherzustellen, dass interne Prozesse etabliert werden, die bspw. eine Weiterleitung solcher Anfragen an das Datenschutzmanagement vorsehen. Beim Einsatz von Spam-Filtern u. ä. (z. B. Virenfilter, Blockinglists) ist zu beachten, dass auch solche E-Mails zugegangen sind, die zwar vom zuständigen Mail-Server angenommen, aber als vermeintlicher Spam in einen Spam-Ordner verschoben oder gelöscht wurden. Wer eine E-Mail-Adresse bereitstellt, muss durch technisch-organisatorische Maßnahmen gewährleisten, dass E-Mails, die sich auf Betroffenenrechte beziehen, entweder nicht im Spam-Ordner landen oder dort jedenfalls dennoch umgehend zur Kenntnis genommen werden.

Betroffenen Personen wundern sich häufig darüber, dass sie nach einer Bestellung von Waren oder Dienstleistungen E-Mail-Werbung erhalten, obwohl sie beispielsweise eine Einwilligung in den Erhalt von Newslettern gerade nicht erteilt haben. Daher sollte nicht nur im Datenschutzhinweis, sondern bereits bei Erhebung der E-Mail-Adresse im Rahmen des Bestellprozesses klar und verständlich auf die unabhängig von einer Newsletter-Anmeldung bestehende Möglichkeit von Werbung für ähnliche Leistungen im Rahmen des § 6 Nr. 4 iVm Nr. 8 DSG-EKD i.V.m. § 7 Abs. 3 UWG und auf das Widerspruchsrecht hingewiesen werden (§ 25 DSG-EKD). Es wird zudem empfohlen, eine sofortige Ausübung des Widerspruchrechts zu ermöglichen, beispielsweise durch eine Checkbox oder durch eine Verlinkung zu einer Widerspruchsmöglichkeit.

Die Abmeldung von E-Mail-Werbung sollte möglichst mit einem Klick (Anklicken des Abmeldelinks in der Werbe-E-Mail) ohne zusätzliche Hürden bzw. Erschwernisse möglich sein. Insbesondere dürfen Abfragen nach dem Grund der Abmeldung nicht verpflichtend sein. Auch beim Vorhandensein eines Abmeldelinks ist zu beachten, dass ein Werbewiderspruch ebenso auf anderem Wege, etwa mittels einer Antwort-E-Mail, erklärt werden kann.

Der Widerspruch gegen die künftige Verarbeitung der Kontaktdaten einer betroffenen Person für Zwecke der Direktwerbung muss von der verantwortlichen Stelle unverzüglich umgesetzt werden.

Wenn konkrete Werbeaktionen angelaufen sind und sich die Kontaktdaten der betroffenen Person schon in der technischen Verarbeitung befinden, kann es im Einzelfall für das Unternehmen unzumutbar sein, einen zwischenzeitlich eingegangenen Werbewiderspruch noch mit erheblichem Aufwand umzusetzen, z. B. einen bestimmten bereits adressierten Brief aus einer großen Menge heraus zu sortieren.

Zur Einhaltung der Vorgaben nach § 16 Abs. 3 DSG-EKD und zur Vermeidung von unnötigen Beschwerden sollten die Werbetreibenden die betroffenen Personen in einem individuellen Antwortschreiben erstens auf die Beachtung des Werbewiderspruchs und zweitens über die Tatsache, dass sie über einen möglichst genau zu benennenden kurzen Zeitraum noch Werbung erhalten können, unterrichten.

Die Einwilligung ist eine Rechtmäßigkeitsvoraussetzung für die Verarbeitung personenbezogener Daten nach § 6 Abs. 2 DSG-EKD. Sie ist nur wirksam, wenn sie freiwillig und – bezogen auf einen bestimmten Fall – informiert abgegeben wird. Informiertheit setzt voraus, dass auch die Art der beabsichtigten Werbung (z. B. Brief, E-Mail, SMS, Telefon, Fax), die Projekte oder Ziele, für die geworben werden soll, und die werbenden Stellen genannt werden müssen.

Erforderlich ist nach § 11 DSG-EKD eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt. Dies erfordert für vorgegebene Einwilligungstexte unter anderem eine klare und einfache Sprache, die den Umfang der Einwilligung klar beschreibt. Es darf auch zu keiner unzulässigen Zweckbündelung in der Erklärung kommen. Zudem muss bereits bei der Einholung der Einwilligung über die Möglichkeit des Widerrufs informiert werden. Der Widerruf muss so einfach sein, wie die Erteilung der Einwilligung.

Die Schriftform für datenschutzrechtliche Einwilligungen ist nicht zwingend. Die verantwortliche Stelle sollte das Vorliegen einer Einwilligung aber nachweisen können. Für Einwilligungen ist regelmäßig ein gesonderter Text oder Textabschnitt ohne anderen Inhalt zu verwenden. Soll die  datenschutzrechtliche Einwilligungserklärung zusammen mit anderen (insbesondere vertraglichen) Erklärungen schriftlich oder in einem elektronischen Format erteilt werden, so muss sie sich von anderen Sachverhalten klar unterscheidbaren Weise darzustellen.

Wird die Einwilligung elektronisch eingeholt und übermittelt, setzt das deren Speicherung und die jederzeitige Möglichkeit voraus, sie auszudrucken.

Eine Einwilligung erlischt nicht durch Zeitablauf. Aus Gründen der Transparenz empfiehlt der EDSA die Einwilligung in angemessenen Zeitabständen zu erneuern. Daher ist dem Werbetreibenden insbesondere zu empfehlen, bei länger als zwei Jahre ungenutzten Einwilligungen vorsorglich eine Erneuerung der Information oder auch der Einwilligungen selbst vorzunehmen. Auch wenn sich die Verarbeitungsvorgänge beträchtlich ändern oder weiterentwickeln, ist die ursprüngliche Einwilligung nicht länger für derartige Verarbeitungen gültig. Dann muss eine neue Einwilligung eingeholt werden. Wenn die Einwilligung widerrufen wird, ist sie nicht mehr wirksam und kann nicht mehr als Rechtsgrundlage für die Datenverarbeitung dienen.

Ja. Zu beachten ist, dass immer, wenn eine Verarbeitung auf einer Einwilligung basiert, alle dafür erforderlichen Informationen vor der Erteilung der Einwilligung mitgeteilt werden müssen. Der Verantwortliche ist verpflichtet, zu dokumentieren, welche Informationen der betroffenen Person zu welchem Zeitpunkt zur Verfügung gestellt worden sind, auch wenn dies elektronisch erfolgt ist (vgl. § 5 Abs. 2 DSG-EKD). Dies kann auch durch eine Dokumentation des konkreten technischen Verfahrens zur Unterrichtung betroffener Personen, einschließlich der bereitgestellten Inhalte, sichergestellt werden. Hierzu kann beispielsweise eine revisionsfeste Dokumentation der tatsächlich genutzten Texte mit Versionsnummer erfolgen. Auf diese Versionsnummer kann dann in der Einzelfall-Dokumentation verwiesen werden oder es kann dokumentiert werden, wann welche Version genutzt wurde.

Bestandskunden, deren Daten vor der Novellierung des DSG-EKD erhoben wurden, sollten nach § 17 Abs. 1 und 2 oder nach § 18 Abs. 1 und 2 DSG-EKD informiert werden, wenn weitere personenbezogene Daten von ihnen erstmals neu erhoben bzw. vorhandene Daten geändert werden. Außerdem sind sie bei Änderung des Verarbeitungszwecks vor der Weiterverarbeitung umfassend zu informieren.

Neben den Informationspflichten nach § 17 und § 18 DSG-EKD besteht außerdem für jede verantwortliche Stelle die allgemeine Pflicht zur transparenten Datenverarbeitung nach § 16 DSG-EKD. Um dieser nachzukommen, sollte ggf. eine Aktualisierung und Erweiterung der, vor der Novellierung des DSG-EKD erteilten Information auch gegenüber Bestandskunden im vom DSG-EKD geforderten Umfang vorgenommen werden. In jedem Fall sollten wegen des Transparenzgrundsatzes die Informationen auch für Bestandskunden bereitgestellt, etwa auf der Homepage veröffentlicht werden.

Betroffene müssen ggf. auf ihr Widerspruchsrecht gegen eine Verarbeitung ihrer personenbezogenen Daten für Zwecke der Direktwerbung einschließlich einem eventuellen damit in Verbindung stehenden Profiling hingewiesen werden. Aus Gründen der Nachweisbarkeit empfiehlt es sich, den Hinweis auf das Widerspruchsrecht bei jeder Werbesendung anzubringen.

Es ist nur dann von einer wirksamen Information im Sinne des Gesetzes auszugehen, wenn eine betroffene Person beim üblichen Umgang mit der Werbebotschaft oder mit Vertragsinformationen von dem Hinweis auf das Widerspruchsrecht Kenntnis erlangt. Das „Verstecken“ der Information in langen AGB oder in umfangreichen Werbematerialien stellt keinen Hinweis dar.

§ 13 DSG-EKD enthält neben der ausdrücklichen Einwilligung keine Erlaubnisnorm für die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke der Werbung. Von Relevanz kann dies z. B. für diakonische Stellen des Gesundheitswesens sein (Krankenhäuser).

Es gibt keine explizite Befristung einer werblichen Nutzung nach dem letzten aktiven Geschäfts- oder Direktwerbekontakt. Bei der Beurteilung, ab wann die überwiegenden schutzwürdigen Interessen der betroffenen Person einer länger währenden werblichen Nutzung entgegenstehen, sollte einerseits der Zeitablauf seit dem letzten aktiven Kontakt, andererseits die Art des Grundgeschäfts berücksichtigt werden. Aufgrund der Art der Geschäftsbeziehung muss eine Erforderlichkeit zur weiteren Nutzung der Daten für Zwecke der Direktwerbung von der verantwortlichen Stelle nachvollziehbar dargelegt werden. Wenn die betroffene Person ihre Einwilligung widerruft, muss die Datenverarbeitung unverzüglich gestoppt werden.

Möchte die betroffene Person ausschließlich einer weiteren werblichen Ansprache durch die verantwortliche Stelle vorbeugen, kann dafür die Aufnahme ihrer Kontaktdaten in eine Werbesperrdatei bei der verantwortlichen Stelle das richtige Mittel zur Berücksichtigung ihres Willens sein.

Wünscht eine betroffene Person ausdrücklich und allein eine Löschung aller Daten auch aus der Werbesperrdatei, sollte sie darauf hingewiesen werden, dass sie eventuell wieder Werbung erhalten kann. Im Zweifelsfall muss bei der betroffenen Person nachgefragt werden, was sie mit ihrer Willenserklärung bewirken möchte. Ein ergänzender Hinweis auf die sogenannten Robinsonlisten der Werbewirtschaft für die betroffene Person kann hilfreich sein.