Unerwünschte Werbung nach vier Jahren
Im Berichtszeitraum wandte sich ein Bürger an die Aufsichtsbehörde, nachdem er eine personalisierte Werbesendung eines Versicherungsunternehmens erhalten hatte. Die dafür verwendeten personenbezogenen Daten stammten aus einer Anfrage, welche er an das Unternehmen gerichtet hatte. Auf dieser Grundlage erstellte die verantwortliche Stelle ein Angebot über den Abschluss eines Versicherungsvertrages. Dies kam letztlich jedoch nicht zustande. Um den späteren Beschwerdeführer doch noch als Kunden zu gewinnen, griff das Unternehmen vier Jahre später auf diese Daten zurück und versandte ein Werbeschreiben, wobei neben den Kontaktdaten auch einzelne Angaben aus der Vertragsanfrage verwendet wurden, um ein passendes, auf den potenziellen Kunden zugeschnittenes Produkt präsentieren zu können.
Eine Verarbeitung personenbezogener Daten ist gemäß Artikel 6 Absatz 1 DSGVO nur dann rechtmäßig, wenn einer der dort genannten Erlaubnistatbestände erfüllt ist.
Im vorliegenden Fall hatte die betroffene Person weder ihre Einwilligung zu der erneuten Verarbeitung gegeben (Artikel 6 Absatz 1 Buchstabe a DSGVO), noch war die Verwendung der Daten für die Erfüllung eines Vertrages erforderlich (Artikel 6 Absatz 1 Buchstabe b DSGVO). Zu letztgenanntem Zweck ist eine Datenverarbeitung erlaubt, soweit sie objektiv für die Erfüllung oder Durchführung eines konkreten Vertrages oder vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist. Vor diesem Hintergrund war die ursprüngliche Verarbeitung personenbezogener Daten zum Zwecke der Angebotserstellung vor vier Jahren legitim. Die nachfolgende Verarbeitung zu Zwecken der Werbung war es hingegen nicht.
Auch die konkrete Datenverarbeitung konnte nicht auf die Rechtsgrundlage zur Wahrung berechtigter Interessen des Verantwortlichen gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO gestützt werden. Zwar kann nach Erwägungsgrund 47 DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Allerdings sind im Rahmen der nach Artikel 6 Absatz 1 Buchstabe f DSGVO anzustellenden Interessenabwägung auch die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person zu berücksichtigen.
Grundsätzlich hat der Gesetzgeber dem Schutz der personenbezogenen Daten ein besonderes Gewicht beigemessen und verlangt eine Abwägung mit den Interessen des Verantwortlichen oder Dritter an der Beschaffung, Verwendung und Offenlegung solcher Daten. Maßgeblich sind hierbei die vernünftigen Erwartungen der betroffenen Person. Kann diese zum Zeitpunkt der Datenerhebung angesichts der näheren Umstände nicht absehen, dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird, überwiegen die Interessen und Grundrechte der betroffenen Person regelmäßig das Interesse des Verantwortlichen. Liegt der letzte geschäftliche Kontakt – wie in diesem Fall – mehr als vier Jahre zurück und kommt der Vertrag nicht zustande, erwartet die betroffene Person nicht, dass alte Daten aus der Vertragsanbahnung plötzlich wieder für die werblichen Zwecke der Kundengewinnung genutzt werden.
Bei der Prüfung des zugrundeliegenden Prozesses für die Auswahl der Empfänger von Werbesendungen stellte die Aufsichtsbehörde fest, dass das Datum des letzten geschäftlichen Kontakts vom Unternehmen durchaus berücksichtigt wird. Die Daten des Beschwerdeführers hätten danach nicht ausgewählt werden dürfen. Aufgrund eines individuellen Bearbeitungsfehlers geschah dies dennoch. Um dem Unternehmen den Verstoß vor Augen zu führen und für den sorgsamen Umgang mit personenbezogenen Daten weiter zu sensibilisieren, sprach die Landesbeauftragte eine Verwarnung nach Artikel 58 Absatz 2 Buchstabe b DSGVO aus.
Quelle: LDA Brandenburg
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks