Gemeinsame datenschutzrechtlichen Verantwortlichkeit im Direktmarketing
Die Vorgehensweise, dass Unternehmen vorgefertigte Blanko-Werbebotschaften an Partnerunternehmen (Adresseigner) übermitteln, damit diese den eigenen Kundenbestand in fremden Namen bewerben, ist üblich und begegnet grundsätzlich keiner datenschutzrechtlichen Kritik. Das Unternehmen, in dessen Namen geworben wird, erhält dabei zwar keine Kundendaten von dem die Werbung aussendenden Partnerunternehmen, allerdings kann sich auch ohne Zugriff auf Kundendaten eine datenschutzrechtliche Verantwortlichkeit für beide Akteure ergeben.
Während das werbende Unternehmen durch eine Vorgabe von Selektionsmerkmalen (bspw. Alter, Geschlecht, Wohnort etc.) den Zweck der Kundengewinnung durch zielgruppenspezifische Werbeansprache verfolgt, nutzt der Adresseigner die ihm vorliegenden Adressdatenbestände gegen Entgelt für fremde Werbezwecke. Trotz vermeintlich unterschiedlicher Zwecke kann im Kontext des Direktmarketings von einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit im Sinne des Art. 26 Datenschutz-Grundverordnung (DSGVO) ausgegangen werden.
Ausreichend für die Annahme einer die gemeinsame Verantwortlichkeit bedingenden gemeinsamen Entscheidung über Zwecke und Mittel kann dabei sein, dass ein Akteur die Datenverarbeitung beispielsweise durch Vorgabe von Rahmenbedingungen organisiert und koordiniert; dabei ist unbeachtlich, ob dass die Werbemaßnahme initiierende Unternehmen auf die zu verarbeitenden personenbezogenen Daten des Adresseigners zugreifen kann oder diesem Anleitungen oder Anweisungen zur konkreten Datenverarbeitung vorgibt.
Ist von einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit auszugehen, haben die gemeinsam Verantwortlichen nach Art. 26 Abs. 1 Satz 2 DSGVO in einer für den Adressaten der Werbung transparenten Form festzulegen, wer von ihnen welche in der DSGVO geregelten Verpflichtungen erfüllt; dies gilt insbesondere für die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO.
Fazit/ Empfehlung: Greifen Unternehmen für Marketingmaßnahmen nicht auf eigene, sondern auf Adressbestände Dritter zurück, ist bei Vorliegen einer gemeinsamen Verantwortlichkeit im Sinne des Art. 26 Abs. 1 DSGVO eine Vereinbarung nach Art. 26 Abs. 1 Satz 2 DSGVO obligatorisch.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks