Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (33): Datenschutzverstöße bei Werbung : aus der RDV 6/2017, Seite 287 bis 289
Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*
I. Vorbemerkung
Beschwerden von Verbrauchern über belästigende Werbung werden bei den Aufsichtsbehörden nicht weniger. Besonders die unerwünschte Telefon- und E-Mail-Werbung sowie die Nichtbeachtung von Werbewidersprüchen sind nach Erfahrungen des BayLDA (7. TB, 2015/16, Ziff. 12.1) ein Dauerthema. Die Prüfpraxis lasse offen zu Tage treten, dass auch mittlere und vergleichsweise große Unternehmen oftmals mit personenbezogenen Daten für Werbezwecke umgehen, ohne die datenschutz- und wettbewerbsrechtlichen Gegebenheiten in der gebotenen Art und Weise zu beachten (Vgl. ULD Schleswig-Holstein, 36. TB, 2015/16, Ziff. 5.1)
Nach Erfahrungen des Datenschutzzentrums Saarland (26. TB, 2016, S. 157) betreffen Beschwerden konkrete Werbebotschaften vorrangig deshalb, weil für die Empfänger – abgesehen von dem Direktmarketing gegenüber Bestandskunden – regelmäßig unklar bleibe, woher und auf welche Art und Weise die werbenden Unternehmen die Adress- und Kontaktdaten der Betroffenen bezogen haben. Nachfolgende Beispiele belegen diese Aussagen.
II. Transparenz bei der Datenerhebung
Als ein häufiges Beispiel eines Fehlverhaltens zeigt das BayLDA (7. TB, 2015/2016, Ziff. 12.2) die mangelhafte Datenschutzinformation bei der Erhebung personenbezogener Daten anlässlich von Gewinnspielen auf. Insoweit zu beachten sind derzeit noch § 4 Abs. 3 BDSG und bei Online-Gewinnspielen § 13 Abs. 1 TMG, wonach die von einer Datenerhebung betroffenen Personen, hier die Gewinnspielteilnehmer, möglichst transparent über den Zweck und den beabsichtigten Umgang mit ihren Daten sowie über die verantwortlichen Stellen zu informieren sind. Soweit Daten nur auf freiwilliger Basis erhoben werden, sind die entsprechenden Datenfelder deutlich zu kennzeichnen.
Die nötige Transparenz gilt auch bei der Erteilung von Einwilligungen. Diese fehlte in einer von dem ULD Schleswig Holstein beurteilten Einholung von Werbeeinwilligungen im Zusammenhang mit der Herausgabe von Kundenkarten (ULD Schleswig Holstein, 36. TB 2015/16, Ziff. 5.5.1).
In den zugehörigen Nutzungsbedingungen wurde eine Einwilligung zur Nutzung der Daten (gekaufte Waren, Ort und Zeit des Einkaufs, Warenwert und Ähnliches) auch zu Werbezwecken vorausgesetzt. Die dazu nötige Einwilligungserklärung sollte jedoch laut dem der Kundenkarte beiliegenden Schreiben durch Unterschrift auf der Kundenkarte und erstmalige Nutzung der Karte erfolgen.
Das ULD stellte demgegenüber klar, dass die Schriftform der Einwilligung eine hinreichend feste Verbindung zwischen geleisteter Unterschrift und Erklärungsinhalt voraussetzt. Die isolierte Unterschrift auf der Kundenkarte einerseits und der eigentliche Inhalt der Einwilligungserklärung auf dem beiliegenden Schreiben andererseits erfülle diese feste Verbindung nicht. Es wäre im Nachhinein kaum noch nachvollziehbar, welcher Datenverarbeitung Kunden – etwa nach Änderung der AGB – mit ihrer Unterschrift ursprünglich tatsächlich zugestimmt haben.
Nachdem diese Rechtslage klargestellt wurde, argumentierte das verantwortliche Unternehmen sodann, dass ein Großteil der beabsichtigten Datenverarbeitung auch ohne Einwilligung allein aufgrund des Vertrags über die Nutzung der Kundenkarte zulässig sei. Das ULD trat dieser Sichtweise damit entgegen, dass ein Unternehmen, das sich einmal auf die Einwilligung und die damit einhergehenden Widerrufsrechte der Kundinnen und Kunden eingelassen hat, bei fehlerhafter Einholung der Einwilligung nicht ohne weiteres auf die gesetzliche Rechtsgrundlage umschwenken könne.
Generell rät das ULD jedem Unternehmen, bei der Gestaltung und Inbetriebnahme von Datenverarbeitungsverfahren nicht voreilig auf die Einwilligung als Rechtsgrundlage zu setzen, sondern die gesetzlichen Erlaubnistatbestände zunächst gründlich zu prüfen, um so Probleme bei der Gestaltung formgültiger und inhaltlich konformer Einwilligungserklärungen vermeiden.
Zudem sei der Rahmen des Zulässigen bei Zugrundelegung einer gesetzlichen Grundlage für alle Beteiligten rechtssicher, transparent und nachvollziehbar.
Hinzuweisen ist in dem Zusammenhang aber auch darauf, dass es nicht grundsätzlich als rechtsmissbräuchlich anzusehen ist, dass sich der für die Verarbeitung Verantwortliche bei Unwirksamkeit der Einwilligung auf eine ggf. bestehende andere Erlaubnisnorm für die Verarbeitung beruft.
III. Unterschiedliche Werbeerlaubnisse
Mit Problemen der Verarbeitungen aufgrund von Einwilligungen hatte sich auch das Unabhängige Datenschutzzentrum Saarland (26. TB 2016, S. 157) zu befassen. Die ausschließlich für eine postalische Werbeansprache genutzten Kundendaten wurden von einem Unternehmen im Zusammenhang mit abgeschlossenen Kaufverträgen datenschutzrechtlich zulässig erhoben und als Listendaten zulässig im Sinne des § 28 Abs. 3 S. 2 Nr. 1 BDSG für Werbemaßnahmen genutzt. Beim Verkauf spezifischer Produkte wurde jedoch eine Einwilligungserklärung von Kunden im Sinne des § 28 Abs. 3 S.1 BDSG in Verbindung mit § 4a BDSG eingeholt.
Diese Vorgehensweise brachte jedoch folgendes Problem mit sich: Sofern die Daten eines Kunden aufgrund eines früheren Einkaufs im Kundenmanagementsystem gespeichert wurden, konnten diese auch ohne Einwilligung des Betroffenen auf Grundlage des § 28 Abs. 3 S. 2 BDSG – bis zur Erteilung eines Werbewiderspruchs nach § 28 Abs. 4 S. 1 BDSG – für eine postalische Werbeansprache genutzt werden. Wurde dem Kunden jedoch bei einem nachfolgenden Einkauf eines spezifischen Produkts eine Einwilligung in die postalische Werbeansprache vorgelegt und diese nicht erteilt, würde zwangsläufig konkludent somit jegliche weitere Werbeansprache des Bestandskunden datenschutzrechtlich unzulässig. Infolgedessen war die Sinnhaftigkeit des Festhaltens an unterschiedlichen Legitimationsgrundlagen für die Nutzung von Kundendaten für Werbezwecke kritisch zu hinterfragen. Das Unternehmen ging schließlich dazu über, keine Einwilligungserklärungen mehr einzuholen.
IV. Organisation bei Werbewidersprüchen
Im Berichtszeitraum war für das Datenschutzzentrum Saarland ein Werbeschreiben, welches trotz eingelegten Werbewiderspruchs von einem Handelsunternehmen postalisch an eine Petentin gesandt wurde, Anlass, die zugrundeliegenden Prozesse der Erhebung, Verarbeitung und Nutzung personenbezogener Daten für Werbezwecke genauer zu betrachten.
Dabei traten vor allem organisatorische Mängel im Zusammenhang mit der Verwaltung von Werbewidersprüchen zu Tage. So wurden eingelegte Werbewidersprüche, die in den einzelnen Betriebsstätten eingingen, nicht zeitnah an die Unternehmenszentrale, die das Marketing zentral koordinierte, weitergeleitet. Aber auch der vor Werbemaßnahmen durchzuführende manuelle Abgleich mit der tabellarisch geführten Werbewiderspruchsdatei gestaltete sich aufgrund einer Vielzahl von Doubletten und mitarbeiterbezogener Fehler schwierig. Insoweit stellte das Unternehmen in Aussicht, die Marketingprozesse zu automatisieren und eine Organisationsanweisung zu erstellen, um eine rasche Bearbeitung von Kundenanliegen im Zusammenhang mit Marketingmaßnahmen zu gewährleisten.
V. Unvollständige Auskunft bei Adresshändlern über verantwortliche Stelle
Eine Betroffene hatte in einem von dem BayLDA. (7. TB 2015/2016, Ziff. 12.3) überprüften Fall postalische Werbung für ein Hörgerät erhalten. Ein Adresshändler A war auf dem Werbeschreiben als für die Nutzung der Daten verantwortliche Stelle benannt. Dorthin richtete die Betroffene ihr Auskunftsersuchen. In seiner Antwort teilte der Adresshändler A mit, die Daten von einem weiteren Adresshändler B erhalten zu haben. Dieser wiederum verwies bezüglich der Datenherkunft auf ein Unternehmen in der Schweiz, das er mit einer Abteilung dieses Unternehmens benannte, und teilte eine dortige Postfachadresse mit. Das so bezeichnete Unternehmen war im Internet nicht auffindbar.
Vor dem Hintergrund des Transparenzgebotes aus § 28 Abs. 3 Satz 5 BDSG war zu prüfen, wer auf dem Werbeschreiben als für die Nutzung der Daten verantwortliche Stelle benannt werden muss. Rechtsgrundlage der Datenverarbeitung zu Werbezwecken ist § 28 Abs. 3 BDSG. Da das Werbeschreiben durch einen Dienstleister im sogenannten Lettershop Verfahren versandt wurde, ist § 28 Abs. 3 Satz 5 BDSG anzuwenden.
Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist.
Damit ist der Dienstleister, hier der Adresshändler A, auf dem Werbeschreiben zu benennen, da er die für die Nutzung der Daten verantwortliche Stelle ist. Eine Nennung der Beteiligten der insoweit vorher gegebenen Datenübermittlungskette, wie hier vom Adresshändler B an Adresshändler A und im ersten Schritt den Schweizer Adresshändler, sieht § 28 Abs. 3 Satz 5 BDSG nicht vor.
Im Wege eines Auskunftsersuchens nach § 34 Abs. 1 BDSG kann der Betroffene dann beim Adresshändler A dessen Datenlieferanten/Datenübermittler Adresshändler B erfahren. Adresshändler B wiederum muss die Datenquelle, das Schweizer Unternehmen, beauskunften. Dies folge aus der Speicherverpflichtung des § 34 Abs. 1a BDSG in Verbindung mit § 28 Abs. 3 Satz 4 BDSG. Im Fall des § 28 Abs. 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen. Die verantwortliche Stelle sei als konkrete juristische Person bzw. Firma mit ladungsfähiger Anschrift zu nennen. Kurzbezeichnungen (wie XY-Group) oder Postfachanschriften genügen dem Gesetzeszweck nicht. Dies gilt auch für ausländische Unternehmen (vgl. Nr. 3.12 der Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten für werbliche Zwecke, Stand Sept. 2014).
Als Fazit hält das BayLDA fest: Die Nutzung von Adressdaten für postalische Werbung ist auch ohne die Einwilligung der/des Betroffenen erlaubt, wenn bei der Ansprache zum Zweck der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. Sind mehrere Datenlieferanten/Datenübermittler beteiligt, sind diese zu speichern und auf Nachfrage des Betroffenen zu benennen. Auch bei einem ausländischen Unternehmen ist die vollständige postalische Anschrift mitzuteilen.
VI. Lettershop-Verfahren im Ausland
Die saarländische Aufsichtsbehörde (Unabhängiges Datenschutzzentrum Saarland, 26. TB, Ziff. 18.1.2), ging einem ähnlich gelagerten Fall nach, in dem ein Petent postalisch ein Werbeschreiben von einem Zeitungsverlag erhalten hatte, mit dem er zu keinem Zeitpunkt in Geschäftsbeziehung stand. Ein diesbezügliches Auskunftsersuchen nach § 34 Abs. 1 BDSG blieb ohne Ergebnis.
Auf Nachfrage der Aufsichtsbehörde stellte sich heraus, dass das Auskunftsersuchen aufgrund eines personellen Engpasses nicht fristgemäß beantwortet wurde. Im Übrigen war der Verlag nicht die datenschutzrechtlich verantwortliche Stelle für die Werbeansprache im Sinne des § 3 Abs. 7 BDSG, da in dessen Bestand keine personenbezogenen Daten des Petenten gespeichert waren und besagtes Schreiben nicht von diesem versandt wurde.
Laut Stellungnahme des Verlags „mietete“ dieser im sogenannten Lettershop-Verfahren den Adressenbestand eines schweizerischen Unternehmens (Adresseigner) an. Dazu wurden von dem Verlag lediglich Blanko-Werbeschreiben zur Verfügung gestellt, welche von dem schweizerischen Adresseigner mit Name und Anschrift der Werbeadressaten bedruckt und versendet wurden. Eine Übermittlung von personenbezogenen Daten vom Adresseigner an den saarländischen Verlag fand somit nicht statt.
Diese Konstruktion war datenschutzrechtlich grundsätzlich nicht zu beanstanden, jedoch deshalb als kritisch zu bewerten, da verantwortliche Stellen, von denen die Vorgaben des BDSG zu beachten sind, vollkommen legitim von im Ausland aggregierten Adressdatenbeständen profitieren. Herkunft und sonstige Umstände des Zustandekommens die ser Adressdatenbestände im Ausland können dabei regelmäßig nicht nachvollzogen werden, so dass dieses Geschäftsmodell des Lettershop-Verfahrens insoweit auch unlautere Methoden der Generierung von Datensätzen für Werbezwecke begünstigt.
Daher werde in der Beratungspraxis das Lettershop-Verfahren auch nur unter der Voraussetzung gutgeheißen, wenn gewährleistet ist, dass die Adressdaten beim Dateneigner nachweisbar datenschutzkonform generiert wurden und dies von dem Auftraggeber überprüft wird.
VII. Ausblick auf die DS-GVO
Zur Zulässigkeit der Nutzung von Kontaktdaten für Werbung gibt es durch die DS-GVO keine wesentlichen Änderungen (BayLDA, 7. TB 2015/2016, Ziff. 12.1), wenngleich die bisherigen ausführlichen Vorgaben des BDSG entfallen. In einem Kurzpapier (Nr. 3) zur Nutzung personenbezogener Daten für Werbezwecke weist die DSK der Aufsichtsbehörden da rauf hin (https://www.lda.bayern.de/de/datenschutz_ eu.html), dass Grundlage für die Beurteilung der Zulässigkeit von Werbung in Zukunft, abgesehen von einer Einwilligung, eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO sei, wobei Erwägungsgrund 47 DS-GVO deutlich mache, dass Verarbeitungen personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung zu betrachtet sind. Inwieweit es in Europa gelingen werde, die in Deutschland entwickelten Detail-Maßstäbe auch unter Geltung der DS-GVO aufrechtzuerhalten, werde sich zeigen. Ggf. werde aber auch mit Leitlinien des Europäischen Datenschutzausschusses zu diesem Thema zu rechnen sein.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.