Rechnen Sie mit Widerspruch – Adresslisten und Datenschutz

Wenn die Marketingabteilungen eines Unternehmens Kampagnen planen, gibt es mehrere Möglichkeiten an neue potentielle Kunden zu gelangen. Entweder per eigener Datenerhebung aus bereits bestehenden Kundenkontakten oder man erwirbt Adressen von sogenannten Adresshändlern.

Werfen wir einen Blick auf den Einkauf bei Adresshändlern. Es gibt diverse Anbieter, bei denen Unternehmen Adressen einkaufen können. Gängige Rechtsgrundlagen für das Erfassen und den Weiterverkauf von Daten sind die informierte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). Wenn der Betroffene seine Daten offensichtlich öffentlich gemacht hat und damit selbst durch deren Veröffentlichung den Schutz seiner Daten gelockert hat, liegt in der Regel ein berechtigtes Interesse vor. ABER: Nicht alle öffentlichen Einträge hat der Betroffene selbst öffentlich gemacht oder gar freiwillig.

So sind bspw. Veröffentlichungen in Handelsregistern oder im Impressum (Impressumspflicht) nicht freiwillig. Darüber hin aus müssten Betroffenen ihre Daten zum Zweck der werblichen Ansprache, resp. Nutzung veröffentlicht haben. Dies ist in der Regel zu verneinen. Ist dies der Fall überwiegen die schutzwürdigen Interessen der Betroffenen gegenüber den der Unternehmen. Folglich dürfen diese nicht auf der Rechtsgrundlage des berechtigten Interesses, sondern auf Basis einer Einwilligung verwendet werden.

Unangetastet bleibt, dass der Betroffene informiert werden muss über die Verarbeitung seiner Daten (Informationspflicht nach Art. 13 DSGVO). Mithin beachten Sie bitte, dass so bald Daten nicht direkt beim Betroffenen erhoben wurden, der Betroffene zusätzlich zu den Angaben aus Art. 13 DSGVO auch über die Herkunft der Daten zu informieren ist (Art. 14 DSGVO).

Bei Werbekontakten ist mit Widerrufen bzw. Löschgesuchen zu rechnen. In der Regel ist damit gemeint, dass sie nicht durch das Unternehmen kontaktiert werden möchten. Werden aber die Daten in Gänze gelöscht, kann das Unternehmen beim (erneuten) Ankauf von Fremddaten nicht ausschließen, dass der Betroffene wieder Adressat z.B. eines Werbebriefs werden kann.

In solchen Fällen bietet eine sogenannte Robinson-Liste oder auch Sperrliste eine wirksame Abhilfe. Mit dieser kann beim Adressdaten-Einkauf gewährleistet werden, dass die auf einer Werbesperrdatei gelisteten Betroffenen nicht noch einmal vom Unternehmen kontaktiert werden. Werbesperrdateien sind zur Berücksichtigung der Werbewidersprüche von betroffenen Personen zulässig (Art. 21 Abs. 3, Art. 17 Abs. 3 lit. b und Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Das hat auch die Datenschutzkonferenz der Aufsichtsbehörden so kommuniziert.

Wenn sich also ein Betroffener seine Rechte in Anspruch nimmt, so stellen Sie sicher ob er keine Werbung mehr erhalten möchte oder ob wirklich alle Daten von Ihm gelöscht werden sollen. Achten Sie auf die genaue Formulierung und nehmen Sie ggf. zur genauen Klärung des Anliegens mit dem Betroffenen Kontakt auf.

Verlangt der Betroffene die Löschung, so sind die Daten unverzüglich zu löschen. Allerdings gewährleistet dies nicht, dass er bei einem späteren Einkauf von Daten nicht wieder adressiert wird.

Informieren Sie daher den Betroffenen transparent darüber, dass die Daten zum Zweck der Sperrung weiterhin gespeichert werden und der Betroffene dem jederzeit widersprechen kann. Die Sperrliste ist eine eigene Verarbeitung, über deren Zweck und Rechtsgrundlage die betroffene Person in der Regel noch nicht informiert ist. Einem Werbewiderspruch müssen Sie unverzüglich nachkommen. Der Vollständigkeit halber sollten Sie den Betroffenen über die Robinsonlisten der Werbewirtschaft informieren. In dieser werden genau solche Sperren von gekauften Adressen gespeichert, hier aber unternehmensübergreifend.

Sie merken, die Verarbeitung von eingekauften Adressen birgt auch Risiken! Zum einen kann nicht immer davon ausgegangen werden, dass der Dienstleister die Daten rechtmäßig erhoben hat. Zum anderen können Sie mit Löschanfragen überhäuft werden. Umso schneller sollten Sie dazu interne Standardprozesse bei Betroffenenanträgen einführen um die Handlungssicherheit bei den Mitarbeitern zu festigen, Standardschreiben vorhalten und damit auch die Bearbeitungszeiten zu minimieren.

Sie merken, es bleibt spannend im Datenschutz!