Complianceforum.de im Gespräch mit Dr. Zoi Opitz-Talidou, LL.M., Legal Administrator bei Noerr LLP
München, den 27. Januar 2010

Sehr geehrte Frau Dr. Opitz-Talidou, welche Auswirkungen hat die Datenschutznovelle zum 1. September 2009 auf bestehende Kundenkontakte bei Post- und E-Mail-Werbung?Opitz-Talidou

 

 

Die Novellierung des Bundesdatenschutzgesetzes (BDSG) betrifft grundsätzlich erst einmal die nicht-digitalen Werbeaktivitäten von Unternehmen. Die datenschutzrechtlichen Aspekte der Zulässigkeit einer Ansprache von Kunden per E-Mail ist – wenn die E-Mail-Adresse über das Internet erhoben wurde – nach wie vor in den speziellen Datenschutzbestimmungen des Telemediengesetzes (TMG) geregelt:

 

Bisher war die Ansprache von Kunden mit Werbung in Papierform über den Postweg vom „großzügigen“ Listenprivileg des alten § 28 Abs. 3 Nr. 3 BDSG erfasst und so auch ohne Einwilligung des Werbeadressaten zulässig. Nach dem Listenprivileg durften die Unternehmen listenmäßig erfasste Daten (z. B. Berufsbezeichnung, Name, Titel, Anschrift und Geburtsjahr) für Werbezwecke an andere Unternehmen übermitteln oder von anderen Unternehmen erhalten, um diese dann für ihre werbliche Ansprache auf dem Postweg zu verwenden. Die E-Mail-Adresse gehörte jedoch nie zu den dem Listenprivileg unterfallenden Listendaten. Deshalb war und bleibt E-Mail-Werbung außerhalb des Listenprivilegs von listenmäßig erfassten Daten. Die Verwendung der E-Mail-Adresse konnte und kann nur mittels Einwilligung des Kunden oder potenziellen Kunden legitimiert werden. Die wettbewerbsrechtlichen Fragen von Werbeaktionen sind ein zusätzlicher Aspekt, deren Zulässigkeitsvoraussetzungen nach dem UWG einer gesonderten Behandlung bedürfen.

Nach der neuen Rechtslage ist Werbung auf dem Postweg aus datenschutzrechtlicher Sicht grundsätzlich nur noch mit Einwilligung des Werbeadressaten möglich. Jedoch gibt es von diesem Grundsatz weitreichende Ausnahmen, die das Einwilligungserfordernis für die listenmäßig geführten Datensätze abmildern und einen Lösungsweg für die Bedürfnisse des Marktes aufzeigen.

Unter welchen Voraussetzungen dürfen denn dann Unternehmen ohne vorhandene Einwilligungen eine Werbekampagne starten?

Zunächst bleibt die Werbung gegenüber dem eigenen Kundenstamm privilegiert: Für die Ansprache der eigenen Kunden darf ein Unternehmen die im Rahmen der Vertragsbeziehung generierten Daten verwenden, sowie solche aus allgemein zugänglichen Verzeichnissen. Ferner ist die Verwendung der Listendaten für die geschäftliche Ansprache bestimmter Beschäftigten im B2B-Bereich zulässig, soweit die Werbung unter der geschäftlichen Adresse erfolgt. Zudem ist die Verwendung von Listendaten für Spendenwerbung ebenfalls zulässig.

Darüber hinaus ist auch eine so genannte Beipack- oder Empfehlungswerbung ohne Einwilligung der betroffenen Kunden möglich: Dabei darf ein Unternehmer bei den Kunden eines anderen Unternehmers werben, indem die Ansprache von demjenigen Unternehmer ausgeht, der ursprünglich über die Kundenkontaktdaten verfügt. Spricht dieses Unternehmen seinen Kunden werblich an, kann es im Rahmen seiner Ansprache auch die Werbung des für den Kunden fremden Unternehmens beifügen. Ob sich dieses Modell der werblichen Ansprache durchsetzen wird, bleibt abzuwarten.

Schließlich darf die Ansprache von Fremdkunden auf Basis von angekauften Listendaten nur dann erfolgen, wenn die Datenlieferkette dokumentiert ist und die erstmalig erhebende Stelle in der Werbung, die der Kunde erhält, eindeutig hervorgeht.

Was müssen Unternehmen seit der Datenschutznovelle vom 1. September 2009 beachten, wenn Sie Kundendaten generieren – etwa durch den Kauf von Adresslisten?

Für alte Datenbestände hat der Gesetzgeber eine Übergangsfrist von drei Jahren vorgesehen. Unternehmen können also ihre internen Prozesse im Hinblick auf alte Datenbestände innerhalb dieser Frist den neuen gesetzlichen Anforderungen anpassen. Die Datenaltbestände sind dabei sukzessive zu bereinigen.
Im Hinblick auf die Erhebung und Nutzung neuer Daten gelten Neuregelungen allerdings bereits seit dem 1. September 2009. Daher sollten Unternehmen zunächst Alt- und Neudatenbestände genau trennen. Bei der Verwaltung der Neudatenbestände sind bereits jetzt folgende Aspekte zu beachten und entsprechende Schritte vorzunehmen:

-       Daten der eigenen Kunden und geschäftlichen Kontakte sind von den Daten „potentieller“ Kunden getrennt zu halten.

-       Verwendet ein Unternehmen nicht nur die Listendaten seiner Kunden zur Werbeansprache, sondern extrahiert auch weitere, detailliertere Informationen, die es nicht selbst im Rahmen des Vertragsverhältnisses mit dem Kunden erhalten hat, sondern die es aus anderen nicht öffentlich zugänglichen Quellen angekauft hat, bedarf es zur Verwendung dieser Informationen für die Werbeansprache einer entsprechenden Einwilligung der Kunden.

-       Beim Kauf von Adressbeständen ist die Datenlieferkette zwei Jahre lang zu dokumentieren; die ersterhebende Stelle muss in den Text der Werbeansprache aufgenommen werden. Unternehmen müssen zudem die Herkunft der Daten so dokumentieren, dass sie dem Betroffenen auf Anfrage entsprechende Auskünfte erteilen können.

-       Beim Kauf von Adressbeständen mit weiteren Detailinformationen über Kunden muss das Unternehmen Nachweise über die ausreichenden Einwilligungen sowie Haftungs- und Freistellungsregelungen anfordern.

Welchen Risiken setzt sich ein Unternehmen aus, das die datenschutzrechtlichen Bestimmungen nicht beachtet?

Die Datenschutz-Aufsichtsbehörden haben im Vergleich zur alten Rechtslage erheblich mehr Kompetenzen und Handlungsmöglichkeiten erhalten. Früher durften die Aufsichtsbehörden nur eingreifen, wenn es um die Umsetzung der technischen und organisatorischen Maßnahmen zur Datensicherheit ging.
Nunmehr kann die Aufsichtsbehörde anordnen, dass der Bereich des Geschäftsbetriebs eingestellt wird, der einen Verstoß beispielsweise gegen die neu eingeführten Vorschriften für Werbeaktionen nicht beseitigt. Zudem wurde der Bußgeldrahmen erhöht.

 

Das Gespräch führte Christian Koch.