Im Bereich der Werbung lag der Schwerpunkt der aufsichtsrechtlichen Tätigkeit regelmäßig auf unerwünschter Werbung und unerwünschten Newslettern. Der Großteil der Beschwerden bezog sich dabei auf elektronische (E-Mail), ein kleinerer auf postalische Zusendungen.
Immer wieder tritt in diesem Zusammenhang das sog. „Lettershop-Verfahren“ in unterschiedlichen Konstellationen auf. Die Idee des Lettershop-Verfahrens besteht grundsätzlich darin, dass ein Werbeanbieter selbst keine Adressen von Werbekunden sammelt und nutzt, sondern einen Werbeauftrag für bestimmte Zielgruppen bei einem Lettershop erteilt und das entsprechende Werbematerial liefert. Dieses Material wird dann vom Lettershop an passende Adressaten aus seiner Adressdatenbank verschickt. Auf diesem Weg verarbeitet der Werbeanbieter selbst keine personenbezogenen Daten. Hieraus ziehen viele Werbeanbieter den Schluss, sie seien selbst datenschutzrechtlich nicht für die Nutzung der Adressen verantwortlich. Hinzu kommt, dass viele Lettershops entweder keine wirksame Einwilligung der Personen in ihrer Adressdatenbank für die Nutzung ihrer Daten nachweisen können oder teilweise fälschlich davon ausgehen, die Verarbeitung könne auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Besonders problematisch wird es, wenn Online-Shops die Daten ihrer Bestandskund:innen nutzen, um als Lettershop für Werbeaktionen anderer Unternehmen zu agieren, ohne hierfür eine gesonderte Einwilligung ihrer Kund:innen einzuholen.
Der Datenschutzbehörde geht grundsätzlich davon aus, dass Werbeanbieter und die von ihnen beauftragten Lettershops hinsichtlich der Verarbeitung personenbezogener Daten für Werbezwecke nach Art. 26 DSGVO gemeinsam verantwortlich sind. Es handelt sich nicht um eine reine Auftragsverarbeitung durch den Lettershop. Hieraus folgt, dass sie eine Vereinbarung schließen müssen, die den Anforderungen aus Art. 26 DSGVO entspricht. Hieraus folgt außerdem, dass auch die Werbeanbieter in der Lage sein müssen (ggf. mit Hilfe ihres Lettershops), der Datenschutzbehörde gegenüber die notwendigen Einwilligungen der Werbeempfänger nachzuweisen.
Die Datenschutzbehörde geht weiterhin davon aus, dass gerade bei E-Mail-Werbung in der Regel eine Einwilligung der betroffenen Personen für die Nutzung ihrer personenbezogenen Daten im Lettershop-Verfahren notwendig ist. Gemäß § 7 Abs. 2 Nr. 2 i.V. mit Abs. 3 UWG ist E-Mail-Werbung ohne Einwilligung nur bei Bestandskunden und nur für eigene Waren möglich, die den von den Kunden bisher gekauften Waren ähnlich sind und nur soweit die Kunden nicht widersprochen haben. Diese Wertung des UWG ist auf Art. 6 Abs. 1 lit. f DSGVO zu übertragen, sodass in allen anderen Fällen der E-Mail-Werbung eine Einwilligung erforderlich ist.
Diese Einwilligung ist auch dann vom Werbeanbieter nachzuweisen, wenn er selbst keine personenbezogenen Daten verarbeitet, sondern sich eines Lettershops bedient. Kann der Werbeanbieter die Einwilligung nicht (ggf. durch Nachfrage beim Lettershop) nachweisen, ist die Verarbeitung zu beenden.
Quelle: LfDI Rheinland-Pfalz
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks