DS-GVO Praxis: Opt-in oder nicht? Was macht man mit alten Adressbeständen?

Die DS-GVO stellt höhere Anforderungen an das Anmeldeverfahren bei der Erfassung von Personendaten (Mailadressen) für die Werbung. Grundsätzlich dürfen Personendaten ja gemäss Art. 6 nur dann bearbeitet werden, wenn (u.a.):

  • eine Einwilligung vorliegt
  • ein berechtigtes Interesse der betroffenen Person besteht

Im direkten Kontakt

Kaum jemand dürfte für die Erfassung von Adressen eine schriftliche Einverständniserklärung eingefordert haben (das wäre ziemlich absurd, v.a. im geschäftlichen Kontext). D.h. im geschäftlichen Umfeld kann man sich in der Regel auf die Erwartungshaltung der beiden Parteien stützen, die da heisst: „Gebe ich einem möglichen Geschäftspartner meine Visitenkarte, dann erwarte ich, dass er meine Daten für spätere Beziehungen erfasst“. Gebe ich meine Visitenkarte, ist auch klar, dass er diese Daten erfassen darf. Das gilt sowohl für klassische Visitenkarten wie auch Mail-Signaturen, .VCF Dateien etc. Dies deckt sich auch mit den Erläuterungen zu Art. 6 der DSG-VO. Eine Einwilligung kann also auch durch „konkludente“ Handlung erfolgen, so wie wir es oben beschrieben haben.

Für den Verantwortlichen heisst dies, dass er die Daten erfassen darf. Idealerweise macht er das in einem CRM und gibt gleich den Grund der Erfassung an, damit erfüllt er auch die Anforderung an die Nachvollziehbarkeit und Transparenz.

Elektronische Erfassung

So wie sich das im physischen Geschäftsverkehr abspielt, so gilt das auch für den elektronischen Umgang mit Daten.  Die EU hat hier die Hürden eher hochgesteckt, wenn es um die Erfassung von Daten über elektronische Kanäle geht. Auch die deutsche Praxis hat hier hohe Anforderungen an das Verfahren gestellt. Bereits geltendes Recht verlangte schon nach einem Opt-in ähnlichen Verfahren (= die betroffene Person gibt ihre Daten aktiv weiter). Dies muss durch eine aktive Handlung (kann auch konkludent sein) erfolgen und nachweisbar sein. Grundsätzlich kann das auch durch andere Massnahmen als durch ein Opt-in erfolgen. Benachrichtigung und Informationen müssen klar und verständlich erfolgen. Sprich, zu weit gefasste und nur vage beschriebene Zwecke sind unwirksam. Die Absicht sowie der Absender dürfen nicht verheimlicht werden. Allerdings, wie erwähnt, muss man hier wieder unterscheiden, ob man es mit einem B2B oder B2C Verhältnis zu tun hat.

Das ist konsequent, weil damit die aktive Handlung der betroffenen Person verlangt wird, damit ihre Daten erfasst werden dürfen. Opt-out Verfahren sind damit definitiv vom Tisch. Das sollte auch in der Schweiz so umgesetzt werden. Ob hier ein normales Opt-in oder ein sogenanntes „Double Opt-in“ gefordert ist, ist nicht von Belang. Die Praxis wird sich entwickeln und auch andere Methoden hervorbringen, die gleichwertig sind.

Nachweispflicht

Es gibt eine Nachweispflicht, welche die Transparenz der Datenbearbeitung sicherstellen soll. Der Verantwortliche muss demnach nachweisen können, wie er die Daten erhoben hat. Das wird dazu führen, dass noch mehr Daten als heute abgelegt werden müssen. Wieso? Bei jedem Datenbankeintrag muss nun also  festgehalten werden, wie die Einwilligung der Bearbeitung erfolgte. Diese Pflicht ist gleichzeitig eine Unterstützung zur vertieften Profilierung der betroffenen Person. Denn damit wird es notwendig, dass z.B. die konkreten Umstände der Datenerhebung festgehalten sind. Dies ist ein weiteres Beispiel zu Widersprüchen und Interessenkonflikten, die durch die DS-GVO erzeugt werden.

NB: Interessant ist dann, wie die Datenschützer den Widerspruch zwischen Löschprotokoll und Löschung der relevanten Nutzdaten bewerkstelligen wollen. Das ist schlicht unmöglich, denn wenn eine vollständige Löschung erfolgt, kann auch kein Protokoll mit dem Namen des Betroffenen zurückbleiben. Ein Fall für die Spezialisten des KRM!

Umgang mit existierenden Datenbeständen:

Hier gibt es KEINE eindeutige Antwort. Gemäss Erwägung 171 dürfen bestehende Daten weiter genutzt werden, wenn sie nach den DS-GVO Anforderungen erhoben wurden. Hierzu wurde eine Frist von 2 Jahren gewährt, die nun ausläuft. Heisst das jetzt, dass man alle Newsletter-Empfänger anschreiben muss, um alle benötigten Angaben zu erhalten? Unseres Erachtens ist ein solches Vorgehen zumindest in der Schweiz aus verschiedenen Gründen unnötig und nicht zielführend (das absolute Opt-in Prinzip galt z.B. in der Schweiz nicht). Zudem besteht in einem B2B Kontext in der Regel ein berechtigtes Interesse, wie wir oben bereits ausgeführt haben. Die betroffene Person hatte ja bereits früher ein jederzeitiges Widerrufsrecht, d.h. sie kann sofort und ohne Begründung die Löschung ihrer Daten verlangen. Die Praxis zeigt weiter, dass viele Newsletter Empfänger ihre Adresse auch wirklich löschen. Gleichzeitig kann sie den Widerruf auf den meisten B2B Webseiten selbst vornehmen, d.h. z.B. die „Unsubscribe“ Funktion erlaubt ihr den sofortigen Widerruf.

Was ist zu tun? Ganz einfach: Man löst das Problem, indem man die Grundsätze der Information Governance beachtet und die Adressdatenbanken und Adressdatenbestände identifiziert und aktiv verwaltet. Denn „tote“ Adressen, d.h. solche, welche nicht mehr in einen Geschäftskontext gestellt werden können, sollten vernichtet werden. Gleichzeitig böte sich die Gelegenheit, die betroffenen Personen zu kontaktieren und die Geschäftsbeziehung zu erneuern (mit Opt-in, natürlich!).

Wichtig: Deutschland ist nicht die EU!

Auch hier gilt: Alles was hier gezeigt wurde, ist primär mal eine gesetzliche Idealvorstellung. Die Praxis dazu muss sich entwickeln und welche Methoden in Zukunft zulässig sind, entscheidet sich nicht nur an den heutigen Verfahren.

Zitat aus den Überlegungen der Datenschutzkonferenz (D):

Inwieweit es in Europa gelingen wird, die in Deutschland entwickelten Massstäbe auch unter Geltung der DS-GVO aufrechtzuerhalten, wird sich zeigen. Anzustreben sind für diesen Bereich möglichst EU-weite Verhaltensregeln. Sollte das nicht für die wesentlichen Bereiche der Werbung gelingen, wird mit Leitlinien des Europäischen Datenschutzausschusses auch zu diesem Thema zu rechnen sein.

Juristische Hintergrundinformationen:

Erwägung 32 (Einwilligung):

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.

Ausgangspunkt für die zu treffende Abwägungsentscheidung ist Erwägungsgrund (ErwGr.) 47 DS-GVO, der u. a. ausführt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Erwägung 171 (Übergangsrecht):

Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden. Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Beiträge