„Wegen der Datenschutzvorschriften ist keine Datennutzung für Vertriebszwecke mehr möglich“ - „Wir in der Compliance-Abteilung müssen den Datenschutz nicht berücksichtigen; wir haben das Recht alle Daten einzusehen“, widersprüchlicher können Aussagen zur Wirkung des Datenschutzes kaum sein und doch sind beide Sichten sehr verbreitet. Aber wie geht Vertrieb trotz Datenschutz und was geht in Compliance-Kontrollhandlungen nicht wegen des Datenschutzes? Dieser Artikel gibt einen Blick auf beide Themen.
Datenschutz und Vertrieb
Trotz strenger Vorgaben der Datenschutz-Grundverordnung (DSGVO) ist im Vertrieb einiges möglich, auch wenn man gesetzeskonform vorgehen will. Datenschutzrechtlich eindeutige Grundlage für die Nutzung personenbezogener Daten zu Werbezwecken ist die Einwilligung (Art. 6 Abs.1 lit.a DSGVO) von Personen zu dieser Datennutzung. Häufig wird diese Grundlage bereits bei Beginn einer Geschäftsbeziehung gelegt. Im Zusammenhang mit der Bestellung im Online-Versandhandel, aber auch bei der Kontoeröffnung bei einer Bank, wird der Kunde um seine Einwilligung zur Nutzung seiner Daten für Werbezwecke gebeten. Wichtig ist dabei, dass die Einwilligung eindeutig erkennbar ist, und nicht zwingend damit verbunden ist ein Konto / eine Geschäftsbeziehung zu eröffnen. Die Einwilligung muss den Anforderungen des Art. 7 DSGVO entsprechen, sie muss jederzeit widerrufbar sein und natürlich dokumentiert.
Liegt von Kunden keine Einwilligung zur Nutzung von personenbezogenen Daten für Werbezwecke vor, dann bedeutet dies nicht, dass die werbliche Nutzung generell ausgeschlossen ist. Als datenschutzrechtliche Grundlage kann hier auch ein sogen. „berechtigtes Interesse“ (Art. 6 Abs. 1 lit f DSGVO) des Unternehmens in Frage kommen. Dabei sind die Interessen des Unternehmens Werbung zu betreiben, den schutzwürdigen Interessen der Personen gegenüber zu stellen, an die die Werbung erfolgen soll. Der Erwägungsgrund 47 zur DSGVO gibt Rückschlüsse auf die für eine Interessenabwägung heranzuziehenden Aspekte. Unter anderem wird angeführt: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist“ (Erwägungsgrund 47 Satz 2). Schon daraus könnte auf Zulässigkeit von Werbung gegenüber Bestandskunden geschlossen werden. In Satz 7 wird sogar ausgeführt „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ So wird die Nutzung von personenbezogenen Daten für Werbezwecke auch auf ein berechtigtes Interesse des werbenden Unternehmens begründet werden können.
Ferner sind bei der Interessenabwägung auch die allgemeinen Grundsätze aus Art. 5 Abs. 1 DS-GVO zu berücksichtigen, also insbesondere:
- faire Verfahrensweise
- dem Verarbeitungszweck angemessen
- in einer für die betroffene Person nachvollziehbaren Weise (insbesondere Nennung der Quelle der Daten) (vgl. Kurzpapier Nr. 3 der der bayerischen Landesdatenschutzaufsicht „Verarbeitung personenbezogener Daten für Werbung , https://www.lda.bayern.de/media/dsk_kpnr_3_werbung.pdf)
Ein Widerruf der Einwilligung und Widerspruch gegen Werbung, welche auf berechtigtem Interesse begründet wurde, sind in jedem Fall zu berücksichtigen. Die Nicht-Berücksichtigung würde in hohem Maß zur Verärgerung von Kunden führen und stellt schließlich auch einen Verstoß gegen die DSGVO dar.
Außerdem sind bei der Nutzung von personenbezogenen Daten zu Werbezwecken auch die Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten, welches Vorgaben zur Zulässigkeit von Werbung gegenüber Verbrauchern und Unternehmen macht (§ 7 UWG).
Auf die ausführlichen Darstellungen in der „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO) Datenverwendung für persönliche Werbung“ der Datenschutzkonferenz (https://www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf) wird ebenfalls hingewiesen.
Compliance und Datenschutz
Gesetzliche Anforderungen Compliance-Kontrollen zu betreiben, lassen sich grundsätzlich aus verschiedensten Gesetzen ableiten. Häufig sind die Vorgaben, welche Kontrollen genau durchgeführt werden sollen aber nicht in den gesetzlichen Regelungen ausgeführt. Daher scheidet als datenschutzrechtliche Grundlage zur Vornahme von Compliance-Kontrollen das Vorliegen einer gesetzlichen Pflicht (Art. 6 Abs. 1 lit c DSGVO) in Fällen vieler Kontrollhandlungen aus. Auch hier kann eine Verarbeitung / Nutzung personenbezogener Daten auf ein berechtigtes Interesse gestützt werden. Der Erwägungsgrund 47 gibt in Satz 6 dazu exemplarisch für das Thema Betrugsprävention Auskunft „Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.“
Die Notwendigkeit der Durchführung und Dokumentation der Interessenabwägung macht deutlich, dass auch in der Compliance-Abteilung der Datenschutz zu beachten ist. Direkt im Erwägungsgrund 47 wird aufgeführt, dass nur im „unbedingt erforderlichen Umfang“ personenbezogene Daten für Compliance-Zwecke verarbeitet werden dürfen. Dies bedeutet damit nicht ein Einsichtsrecht für jegliche Daten, die im Unternehmen vorhanden sind.
Um die Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse stützen zu können, müssen drei Voraussetzungen gegeben sein.
1. Der für die Verarbeitung der personenbezogenen Daten Verantwortliche oder ein Dritter haben ein berechtigtes Interesse an der Datenverarbeitung.
2. Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich.
3. Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht.
Nur wenn alle drei Voraussetzungen erfüllt sind, kann eine Verarbeitung auf das berechtigte Interesse gestützt werden.
Ein berechtigtes Interesse des Unternehmens ist in diesem Fall die Sicherstellung ausreichender Compliance. Nun ist zu betrachten, ob die beabsichtigte Datenverarbeitung zur Erreichung des Zwecks angemessen ist. Dabei sind die Datenschutzprinzipien der Datensparsamkeit und des mildesten Mittels (Kontrolle mit der geringsten Eingriffstiefe) zu beachten. Schließlich ist bei den Interessen der betroffenen Person zu betrachten, ob und welche negativen Auswirkungen auf diese Person bestehen könnten, und ob unter Betrachtung dieser Auswirkungen die beabsichtigte Verarbeitung immer noch angemessen und überwiegend ist. Zur Gewichtung können z.B. die Art der Daten, die Menge der Daten und der betroffenen Personen, die Quelle der Daten, die Dauer der Datenverarbeitung und auch die Sicherheit der Verarbeitung berücksichtigt werden.
Ist die Verarbeitung im Rahmen der Interessenabwägung erfolgreich als datenschutzrechtlich zulässig eingestuft, sind bei der weiteren Nutzung auch die generellen Vorgehensweisen zur Absicherung der Daten (z.B. „Need-To-Know-Prinzip“, Löschpflicht nach Ablauf der Aufbewahrungspflicht) anzuwenden.
Als Teilthema der Compliance wird das „Whistle-Blowing“ ebenfalls in einer Orientierungshilfe der Datenschutzkonferenz umfangreich betrachtet (https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf).