rechtssicher zu neuen kunden
Werbung
RECHTSSICHER ZU NEUEN KUNDEN Gesetzliche Regelungen und ihre Auswirkungen Grundlagen und Voraussetzungen Was unzulässig ist Korrektes Opt-in-Verfahren Datenspeicherung, -verarbeitung, -nutzung Korrekt auf allen Wegen Wann es ohne Opt-in geht Der Adressat hat die Wahl beDirect ist ein Joint Venture von arvato und Creditreform Das richtige Geschäftsgebaren GRUNDLAGEN UND VORAUSSETZUNGEN Erfolg im Direktmarketing hängt zu einem großen Teil von der zielgruppengerechten Ansprache der Kunden und Interessenten ab. Das funktioniert nur dann, wenn exakte und umfassende personenbezogene Daten vorliegen. Diese spezifischen Informationen unterliegen je nach Werbeform unterschiedlichen Gesetzen. Was in der Telefonwerbung erlaubt ist und was nicht, regelt das Gesetz gegen den unlauteren Wettbewerb (UWG). Es gilt auch für Fax, SMS und MMS. Die geschäftliche Handlung Die geschäftliche Handlung bezieht sich nicht allein auf alles, was vor dem Vertragsabschluss stattfindet. Vielmehr schließt sie auch den Vertragsschluss selbst mit ein. Sie umfasst die Vertragsabwicklung und die nachvertraglichen Rechte, beispielsweise Reklamationen. (vgl. § 3 UWG) Als unlauter und damit unzulässig werden alle geschäftlichen Handlungen eingestuft, die dazu geeignet sind, die Interessen von Mitbewerbern, Verbrauchern oder sonstigen Marktteilnehmern spürbar zu beeinträchtigen. Hierbei ist der Begriff „spürbar“ von besonderer Bedeutung. (vgl. § 3 Abs. 1 UWG) 2 Besondere fachliche Sorgfalt fordert das Gesetz von Unternehmern im Umgang mit Verbrauchern. Verletzt der Unternehmer seine Sorgfaltspflicht und kann sich der Verbraucher auf Grund der vorliegenden Informationen nicht richtig geschäftlich entscheiden, ist das ebenfalls unzulässig. (vgl. § 3 Abs. 2 UWG) Die Blacklist Die sogenannte Blacklist (deutsch: schwarze Liste) stuft insgesamt 30 Geschäftshandlungen als unzulässig ein. Die ersten 24 Punkte untersagen irreführende Handlungen. Die Nummern 25 bis 30 untersagen aggressives Geschäftsgebaren. (vgl. § 3 Abs. 3 UWG) Ein Joint Venture von arvato und Creditreform Verbot der Irreführung Das Verbot der Irreführung bezieht sich auf jedes geschäftliche Verhalten. Eine geschäftliche Handlung ist irreführend, wenn sie auf unwahren Angaben oder sonstigen Angaben beruht, die zur Täuschung geeignet sind. (vgl. § 5 UWG) Eine Irreführung wird auch durch Unterlassen hervorgerufen. Damit ist vor allem das Vorenthalten von wesentlichen Informationen und Tatsachen gemeint. Ob das Verschweigen einer Tatsache irreführend ist, wird vor allem danach beurteilt, inwieweit es die Entscheidungsfähigkeit des Verbrauchers beeinträchtigen und dessen geschäftliche Entscheidung beeinflussen kann. Dabei sind etwaige Beschränkungen des Kommunikationsmittels zu berücksichtigen. (vgl. § 5 a UWG) Als wesentliche Informationen im Sinne des § 5 a Abs. 3 UWG gelten: • Alle wesentlichen Merkmale der Ware oder Dienstleistung in dem dieser und dem ver wendeten Kommunikationsmittel angemes senen Umfang. (vgl. Nr. 1) Die Identität und Anschrift des Unterneh mers, gegebenenfalls die Identität und An schrift des Unternehmers, für den er han- delt. (vgl. Nr. 2) Der Endpreis oder in Fällen, in denen ein solcher Preis auf Grund der Beschaffenheit der Ware oder Dienstleistung nicht im Vor aus berechnet werden kann, die Art der Preisberechnung sowie gegebenenfalls alle zusätzlichen Fracht-, Liefer- und Zustellkosten oder in Fällen, in denen diese Kosten nicht im Voraus berechnet werden können, die Tatsache, dass solche zusätzlichen Kosten anfallen können. (vgl. Nr. 3) Zahlungs-, Liefer- und Leistungsbedingun- gen sowie Verfahren zum Umgang mit Be schwerden, soweit sie von Erfordernissen der fachlichen Sorgfalt abweichen. (vgl. Nr. 4) Das Bestehen eines Rechts zum Rücktritt oder Widerruf. (vgl. Nr. 5) • • • • Als wesentlich im Sinne des Absatzes 2 gelten auch Informationen, die dem Verbraucher auf Grund rechtlicher Vorschriften oder Richtlinien nicht vorenthalten werden dürfen. (vgl. § 5 a Abs. 4 UWG) 3 Wichtige Regelungen für das Direktmarketing WAS UNZULÄSSIG IST Beim Direktmarketing gibt es wie bei herkömmlicher Werbung eine Reihe von Regelungen und Vorschriften zu beachten. Besonders streng sind die Regelungen bei Werbung, die sich an Verbraucher richtet. Verhaltenskodizes Gewinnspiele und Preisausschreiben Als Missbrauch von Verhaltenskodizes und damit als unzulässig gilt, Es ist verboten, • wenn ein Unternehmer fälschlicherweise behauptet, zu den Unterzeichnern eines Verhaltenskodexes zu gehören. (vgl. § 3 Abs. 3 UWG Nr. 1) wenn ein Unternehmer fälschlicherweise behauptet, ein Verhaltenskodex sei von einer öffentlichen oder anderen Stelle ge- billigt. (vgl. § 3 Abs. 3 UWG. Nr. 3) • • den unzutreffenden Eindruck zu erwecken, dass der Verbraucher seine Gewinnchancen beim Glücksspiel erhöht, indem er eine bestimmte Ware erwirbt oder eine Dienst leistung in Anspruch nimmt. (vgl. § 3 Abs. 3 UWG Nr. 16) den unzutreffenden Eindruck zu erwecken, der Verbraucher habe bereits einen Preis gewonnen, werde ihn gewinnen oder einen bestimmten Vorteil erlangen. Das gilt zum einen, wenn es einen solchen Preis oder Vorteil gar nicht gibt. Zum anderen darf der Anbieter die Vergabe des Preises oder Vorteils auch nicht von der Zahlung eines Geldbetrags oder der Übernahme von Kosten abhängig machen. (vgl. § 3 Abs. 3 UWG. Nr. 17) einen Wettbewerb oder ein Preisausschrei ben anzubieten, wenn weder die in Aus sicht gestellten Preise noch ein angemes senes Äquivalent vergeben werden. (vgl. § 3 Abs. 3 UWG. Nr. 20) • • Ohne Werbung geht es nicht – auf das „Gewusstwie“ kommt es an. Sonst drohen Strafen und Imageverlust. 4 Ein Joint Venture von arvato und Creditreform Gratis-Angebote Undurchsichtige Verkaufsförderung Niemand darf eine Ware oder Dienstleistung als „gratis“, „umsonst“, „kostenfrei“ oder ähnlich anbieten, wenn hierfür in Wirklichkeit Kosten zu tragen sind. Dies gilt nicht für Kosten, die im Zusammenhang mit dem Eingehen auf das Waren- oder Dienstleistungsangebot, für die Abholung und Lieferung der Ware sowie für die Inanspruchnahme der Dienstleistung unvermeidbar sind. (vgl. § 3 Abs. 3 UWG. Nr. 21) Aktionen, die den Verkauf fördern, müssen transparent sein. Unlauter handelt, • wer bei Maßnahmen zur Verkaufsförde rung, beispielsweise Preisnachlässen, Zu- gaben oder Geschenken, die Bedingungen für die Inanspruchnahme nicht klar und eindeutig angibt. (vgl. § 4 UWG Nr. 4) wer bei Preisausschreiben oder Gewinn spielen mit Werbecharakter die Teilnahme bedingungen nicht klar und eindeutig angibt. (vgl. § 4 UWG Nr. 5) • An Kinder gerichtete Werbung Es ist nicht zulässig, in Werbung Kinder aufzufordern, die beworbene Ware zu erwerben oder die beworbene Dienstleistung in Anspruch zu nehmen. Kinder dürfen auch nicht aufgefordert werden, ihre Eltern oder andere Erwachsene dazu zu veranlassen. (vgl. § 3 Abs. 3 UWG Nr. 28) Verdeckte Werbung Kopplung Es ist verboten, die Teilnahme von Verbrauchern an Preisausschreiben und Gewinnspielen davon abhängig zu machen, ob sie eine Ware kaufen beziehungsweise eine Dienstleistung in Anspruch nehmen. Es sei denn, das Preisausschreiben/Gewinnspiel ist naturgemäß mit dieser Ware oder der Dienstleistung verbunden. (vgl. § 4 UWG . Nr. 6) Als unlautere Handlung gilt, den Werbecharakter von geschäftlichen Handlungen zu verschleiern. (vgl. § 4 UWG Nr. 3) 5 Wenn die Erlaubnis gefragt ist KORREKTES OPT-IN-VERFAHREN Bestimmte Werbeformen – etwa Werbeanrufe bei Verbrauchern oder Telefaxwerbung – sowie die Datenspeicherung für personalisierte Werbung bedürfen einer ausdrücklichen Erlaubnis des Adressaten. Dieses sogenannte Opt-in kann sowohl schriftlich als auch mündlich oder elektronisch eingeholt werden. Je nach Werbeform ist es in zwei verschiedenen Gesetzen geregelt: für Telefon, Fax und elektronische Werbung im UWG; für Printwerbung im BDSG. Mündliche Erklärung Bei einer mündlichen Erklärung muss der Verantwortliche oder das Unternehmen eine Bestätigung abgeben. Findet das Opt-in über ein Voice-File statt, also eine akustische Aufnahme, so muss der Betreffende zunächst der Aufnahme zustimmen. Die Beweislast dafür, dass diese Einwilligung vorliegt, liegt bei dem Werbetreibenden. Bei einer elektronisch abgegebenen Erklärung ist diese zu protokollieren. Opt in 6 Ein Joint Venture von arvato und Creditreform Schriftliche Einwilligung Ausnahmen für das Opt-in-Verfahren Für die schriftliche Einwilligung sind folgende Bedingungen zu erfüllen: Bestandskunden • Die Klausel darf nicht überraschend, das Allgemein zugängliche Verzeichnisse heißt nicht versteckt sein, sondern muss hervorgehoben werden. Die Zustimmung muss freiwillig sein. Die Erklärung muss transparent, das heißt informierend und verständlich formuliert sein. Sie darf keine Generaleinwilligung sein. Werbegegenstand, Werbemedium und Werbeberechtigter müssen erkennbar sein. In der Regel erfordert die Einwilligung die Unterschrift. Business-to-Business Spenden Transparente Übermittlung Transparente Nutzung (vgl. § 28 Abs. 3 a/b BDSG) 7 Auf diese Daten können Sie bauen DATENSPEICHERUNG, -VERARBEITUNG UND -NUTZUNG Für diese Zwecke dürfen Sie speichern Listenmäßige Verarbeitung und Nutzung Alle Regelungen zu persönlichen Daten (einschließlich der Adressdaten) enthält das Bundesdatenschutzgesetz (BDSG). Personenbezogene Daten dürfen verarbeitet und genutzt werden, soweit sie in Listen oder zusammengefasst vorliegen, so genannte Listendaten. Grundsätzlich muss hierfür eine Einwilligung vorliegen. Allerdings gibt es von diesem Grundsatz zahlreiche Ausnahmen, die nachfolgend erläutert werden. Die Datenspeicherung für eigene Geschäftszwecke ist erlaubt … • zur Abwicklung eines Vertrags mit dem Kunden. zur Wahrung berechtigter Interessen der verantwortlichen Stelle. für allgemein zugängliche Daten. • • Ebenfalls zulässig ist eine Speicherung der Daten … • zur Wahrung der berechtigten Interessen eines Dritten. zur Abwehr von Gefahren für die öffent liche Sicherheit und zur Verfolgung von Straftaten. bei wissenschaftlichen Forschungs vorhaben. (vgl. § 28 Abs. 1 BDSG) • • 8 Folgende Merkmale über eine Person dürfen demnach listenmäßig verarbeitet oder genutzt werden: • Name • Titel • Akademischer Grad • Anschrift • Geburtsjahr • Zugehörigkeit zu einer Personengruppe • Berufs-, Branchen- und Geschäftsbezeichnung Achtung Eine Verarbeitung oder Nutzung etwa von Geburtsdatum, E-Mail-Adresse und Telefonnummer ist in diesem Zusammenhang nicht erlaubt. Ein Joint Venture von arvato und Creditreform Daten von geschäftsmäßigen Anbietern Daten für Markt- und Meinungsforschung Die eben genannten Regelungen gelten auch für Werbung durch geschäftsmäßige Anbieter und für Daten aus dem Adressenhandel. Eine eigenständige Regelung sieht das Bundesdatenschutzgesetz für die Markt- und Meinungsforschung vor. Die geschäftsmäßige Datenerhebung und Datenspeicherung ist zulässig, wenn kein schutzwürdiges Interesse des Betroffenen angenommen werden kann oder die Daten aus allgemein zugänglichen Quellen stammen. Daten dürfen erhoben, gespeichert, genutzt und verändert werden, • wenn es um eine Interessenabwägung geht. • wenn sie aus allgemein zugänglichen Ver- zeichnissen stammen. wenn die Berechtigung zur Veröffentlichung vorliegt. • Die Daten dürfen weitergegeben werden bei dargelegtem und dokumentiertem Interesse. Dazu gehört die Aufzeichnungspflicht des Dritten. Der Übermittelnde ist verpflichtet, die Einhaltung stichprobenartig zu prüfen. Darüber hinaus gelten in allen Fällen auch hier die Regelungen für die Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke. (vgl. § 28 Abs. 1 Satz 2 und Abs. 3 bis 3 d BDSG) Die Daten dürfen nur für das Forschungsvorhaben verwendet werden, für das sie erhoben wurden. Für eine weitere Verwendung, also eine Zweitverwertung, sind sie zu anonymisieren. Zudem steckt das Gesetz sehr enge Grenzen für die weitere Auswertung und Speicherung der Daten. So schreibt es vor, dass die Daten auch ohne Zweitverwertung anonymisiert werden müssen, sobald das Vorhaben es zulässt. Bis dahin sind bestimmte Merkmale gesondert zu speichern. Nur zwecks eines Forschungsvorhabens dürfen sie mit persönlichen oder sachlichen Einzelangaben zu einer bestimmten Person zusammengeführt werden. (vgl. § 30 a BDSG) 9 Immer nur mit Zustimmung KORREKT AUF ALLEN WEGEN Besonders im Bereich der Telefonwerbung und vor allem im B2C-Bereich schützen die Gesetze den Verbraucher umfassend. Das bedeutet für Werbetreibende, dass sie sehr genau hinschauen müssen, wen sie in welcher Form ansprechen dürfen. Im Zweifel sind sie verpflichtet nachzuweisen, dass sie über eine Einwilligung des Betroffenen verfügen. 10 Telefonwerbung B-to-C Telefonwerbung B-to-B Verbraucher dürfen nicht unzumutbar belästigt werden. Eine solche Belästigung ist beispielsweise schon ein Anruf gegen ihren Willen. Das Verbot der unzumutbaren Belästigung bildet im UWG einen eigenen Tatbestand. Sie liegt vor, wenn der Empfänger der Werbung diese erkennbar nicht wünscht. (vgl. § 7, Abs. 1 UWG) Im Business-to-Business-Bereich ist Telefonwerbung bei konkludenter oder mutmaßlicher Einwilligung erlaubt. Eine solche mutmaßliche Einwilligung oder ein vermutetes Interesse können aus dem Interessenbereich oder den geschäftlichen Tätigkeiten des Adressaten abgeleitet werden. (vgl. § 7, Abs. 2 Nr. 2 UWG) Darüber hinaus ist es nicht zulässig, Verbraucher anzurufen, die keine Kunden sind. Es sei denn, sie haben vorher ausdrücklich oder stillschweigend eingewilligt. Es ist also grundsätzlich ein Opt-in erforderlich (s. Seiten 178/179). Rufnummernanzeige Im Telekommunikationsgesetz (TKG) ist das Verbot anonymer Werbeanrufe festgehalten. Sowohl im Kontakt zu Verbrauchern als auch zu Firmenkunden ist die Rufnummernunterdrückung verboten. Dabei muss die angezeigte Nummer nicht notwendig die des Auftraggebers sein. Die Anschlusskennung eines CallCenters ist ebenfalls ausreichend. (vgl. § 102 TKG) Ein Joint Venture von arvato und Creditreform Telefaxwerbung E-Mail, SMS & Co. Werbung, die über ein Telefax übermittelt wird, bedarf immer der Zustimmung des Empfängers. Das gilt sowohl für den Kontakt zu Verbrauchern als auch für Faxe an Unternehmen. Unter dem Begriff elektronische Post fasst der Gesetzgeber E-Mails, SMS (Nachrichten via Short Message Service) und MMS (Nachrichten via Multimedia Messaging Service) zusammen. Der Adressat muss also der Zusendung ausdrücklich zugestimmt oder um ein Angebot gebeten haben. Liegt kein Opt-in vor, handelt der Absender der Werbung rechtswidrig. (vgl. § 7 Abs. 2 Nr. 3 UWG) Auch hier gilt das Prinzip der unzumutbaren Belästigung. Für die Kontaktaufnahme muss eine gesonderte Einwilligung in die Zusendung von Werbung mittels elektronischer Post vorliegen. Liegt dieses Opt-in nicht vor, handelt der Absender rechtswidrig. Das gilt sowohl für den Verbraucherbereich als auch für geschäftliche Kontakte. Das bedeutet: Auch im B2B-Bereich ist eine konkludente beziehungsweise mutmaßliche Einwilligung nicht ausreichend. (vgl. § 7 Abs. 2 Nr. 3 UWG) Nichts geht mehr ohne Newsletter – im UWG unter dem Begriff der elektronischen Post geregelt (wie auch Werbung mittels SMS und MMS). Eine Ausnahme liegt vor, wenn der Werbetreibende die Kontaktinformationen im Rahmen eines Verkaufes erhalten hat und diese anschließend dazu nutzt, für ähnliche Produkte und Dienstleistungen zu werben. Es darf sich jedoch nicht um Daten aus einer reinen Vertragsanbahnung handeln. Zudem muss der Kunde sowohl bei der Datenerhebung als auch bei jeder Nutzung darauf hingewiesen werden, dass er der weiteren Verwendung jederzeit widersprechen kann. (vgl. § 7 Abs. 3 UWG) 11 Ausnahmen für adressierte Werbung WANN ES OHNE OPT-IN GEHT Im Vergleich zu Telefonwerbung oder elektronischer Werbung bietet die Printwerbung mehr Möglichkeiten, an potenzielle Kunden heranzutreten. Dabei dürfen Adressaten in Firmen wiederum umfangreicher beworben werden als Endverbraucher. Als adressierte Werbung werden Postsendungen bezeichnet, die sich an eine definierte Empfängergruppe mit persönlicher Ansprache richten. Dazu gehören beispielsweise Werbebriefe und Kataloge. Im Business-to-Consumer-Bereich gilt der Grundsatz des Einwilligungsvorbehalts. Es ist also eine ausdrückliche Erlaubnis, ein sogenanntes Opt-in, des Adressaten erforderlich (mehr dazu auf den Seiten 178/179). Für adressierte Werbung gibt es jedoch eine Reihe von Ausnahmen, in denen ein Opt-in nicht erforderlich ist. (vgl. § 28 Abs. 3 BDSG) Bestandskunden An die Adresse von Bestandskunden darf ohne deren Einwilligung Werbung gesendet werden. Ebenfalls unter diese Ausnahme fallen Personen, zu denen ein „rechtsgeschäftsähnliches“ Schuldverhältnis besteht. Das bedeutet beispielsweise, dass sie ein Angebot angefordert oder an einem Gewinnspiel teilgenommen haben. Folgende Adressdatenbestandteile dürfen laut Gesetz gespeichert werden: • Name • Titel • Akademischer Grad • Anschrift • Geburtsjahr • Berufs-, Branchen- und Geschäfts bezeichnung 12 Ein Joint Venture von arvato und Creditreform Diese Daten dürfen in Listendaten zusammengefasst und mit weiteren Informationen angereichert für unternehmenseigene Werbeangebote genutzt werden: • wenn sie als Selektionskriterien dienen und somit die gezielte Ansprache von Bestandskunden ermöglichen. wenn sie direkt vom Bestandskunden erhoben wurden oder aus öffentlich zu- gänglichen Quellen stammen. wenn sie von gewerblichen Datenanbie- tern stammen oder im Rahmen der Ge- schäftsbeziehung entstanden sind. • Bestandskunden Listendaten Anreicherung Werbung für eigene Angebote Kunde Werbetreibendes Unternehmen • (vgl. § 28 Abs. 3 Satz 2 Nr. 1 BDSG) 13 Ausnahmen für adressierte Werbung WANN ES OHNE OPT-IN GEHT Allgemein zugängliche Verzeichnisse Werbung darf an Adressen aus öffentlichen Verzeichnissen versandt werden, ohne dass die Empfänger eingewilligt haben. Allgemein zugängliche Verzeichnisse Daten Dazu gehören Adressen aus Adressverzeichnissen, Rufnummernverzeichnissen oder Branchenverzeichnissen. Für die Speicherung von Zusatzinformationen gelten die gleichen Regeln wie für Bestandskunden. Erheben dürfen Sie Adressen aus allgemein öffentlichen Verzeichnissen, sofern Sie dabei keine Urheberrechte verletzen. (vgl. § 28 Abs. 3 Satz 2 Nr. 1 BDSG) Hinweis Das Internet bietet eine Vielzahl von allgemein zugänglichen Verzeichnissen. Das Internet als solches gilt aber nicht als allgemein zugängliches Verzeichnis. 14 Allgemein zugängliche Verzeichnisse Listendaten Anreicherung Werbetreibendes Unternehmen Werbung für eigene Angebote Kunde Ein Joint Venture von arvato und Creditreform Business-to-Business An Personen in Firmen dürfen Sie ohne Einwilligung namentlich Werbung schicken, jedoch nur an die berufliche Anschrift. Der Werbeinhalt muss sich auf die berufliche Tätigkeit beziehen. Weitere Informationen dürfen lediglich zu dem betreffenden Unternehmen gespeichert werden. Eine Speicherung von persönlichen Daten zu den einzelnen Ansprechpartnern ist dagegen nicht zulässig. Keine Listendaten sind zum Beispiel Geburtsdatum, die Telefonnummer und die E-Mail-Adresse. Business-to-Business Listendaten Werbung für eigene Angebote Kunde in beruflicher Funktion Werbetreibendes Unternehmen Sobald jedoch ein Geschäftsverhältnis zu dem Kontakt entstanden ist, gelten die Regeln für Bestandskunden. Stammen die Daten aus einem allgemein zugänglichen Verzeichnis, so ist nach den entsprechenden Regeln zu verfahren. In beiden Fällen ist es erlaubt, zusätzliche Informationen zu speichern. (vgl. § 28 Abs. 3 Satz 2 Nr. 2 BDSG) 15 Ausnahmen für adressierte Werbung WANN ES OHNE OPT-IN GEHT Spendenwerbung Ohne Einwilligung ist Werbung von Spendenorganisationen erlaubt, wenn sie mit Listendaten für Spenden werben und folgende Voraussetzungen zutreffen: • Es handelt sich um eine steuerlich aner- kannte gemeinnützige Organisation. Es wird ausschließlich zum Spenden auf- gerufen. Es werden keine weiteren Daten hinzu gespeichert. • Spendenwerbung Listendaten Spendenaufruf Spender Spendenorganisation • (vgl. § 28 Abs. 3 Satz 2 Nr. 3 BDSG) Transparente Übermittlung Werbung ohne Einwilligung des Empfängers ist zulässig, wenn ein Unternehmen einem anderen Unternehmen Adressdaten für werbliche Zwecke zur Verfügung stellt. Dabei muss die werbetreibende Firma die ursprüngliche Adressquelle in der Werbung nennen. Deswegen wird diese Erlaubnis auch „transparente Übermittlung“ genannt. Transparente Übermittlung Werbung Werbetreibendes Unternehmen Eigene Daten Vertriebskontakte, Messeleads, etc. 16 Quellauskunft Zugekaufte Daten Adressanbieter Kunde Ein Joint Venture von arvato und Creditreform Transparente Nutzung Mit ursprünglicher Datenquelle ist immer das Unternehmen gemeint, das erstmalig die Adressdaten erhoben hat. (vgl. § 28 Abs. 3 Satz 4 BDSG) Als Ursprungsquelle wird jeweils der letzte Datenlieferant genannt. Dies entspricht zwar nicht dem genauen Wortlaut des Gesetzes hat sich allerdings als praktikable Lösung am Markt etabliert. Die Daten müssen bei der Übermittlung listenmäßig zusammengefasst sein. Es dürfen keine weiteren Daten übermittelt werden. Sowohl der Übermittler als auch der Empfänger von Adressdaten muss den Einsatz der Adressdaten protokollieren. So ist sichergestellt, dass beworbene Personen nachträglich Quellauskünfte erhalten können. Diese Protokollierungspflicht gilt für zwei Jahre. (vgl. § 34 Abs. 1 a BDSG) Bei der transparenten Nutzung von Fremdadressen zu Werbezwecken ist keine Einwilligung des Empfängers notwendig, wenn es sich um Beipack- bzw. Empfehlungswerbung oder um Listbroking mit Auftragsdatenverarbeitung handelt. Dabei muss die Werbung eindeutig nennen, wer die verantwortliche Stelle der Nutzung ist. Verantwortliche Stelle ist das Unternehmen, das die Adressdaten erhoben hat. (vgl. § 28 Abs. 3 Satz 5 BDSG) Bei der transparenten Nutzung ist es unerheblich, ob die personenbezogenen Daten in einer Liste zusammengefasst sind. Eine Protokollierungspflicht wie bei der transparenten Übermittlung besteht nicht. Transparente Nutzung Zugekaufte Daten Eigene Daten Adressanbieter W Lettershop/ Verarbeitung er bu ng Quellauskunft Werbetreibendes Unternehmen Kunde 17 Teiladressierte und nicht adressierte Werbung DER ADRESSAT HAT DIE WAHL Ein großer Teil der versendeten Printwerbung ist nicht mit genauer Anschrift versehen. In diesem Fall spricht man von teiladressierter und nicht adressierter Werbung. Teiladressierte Werbung Unter teiladressierter Werbung wird die Zustellung von Postsendungen an eine nach bestimmten Merkmalen definierte Empfängergruppe verstanden, beispielsweise „An die Bewohner des Hauses Musterstraße 1, Musterstadt“ oder „An alle Gartenfreunde in der Musterstraße 1“. Im Allgemeinen wird angenommen, dass in teiladressierten Sendungen immer Werbung enthalten ist, weil niemand eine geschäftliche Nachricht in einer solchen Form verschickt. Damit fällt diese Art der Werbung regelmäßig in den Anwendungsbereich des UWG. Nicht adressierte Werbung Nicht adressierte Werbung ist die flächendeckende Zustellung identischer Postsendungen. Hierzu zählen Prospekte, Post aktuell oder beispielsweise auch kostenlose Zeitungen mit Beilagen. Beide Werbeformen sind grundsätzlich sowohl im Consumer- als auch im BusinessBereich zulässig. Der Adressat hat jedoch ein Annahmeverweigerungsrecht. Dieses kann er ausüben, indem er am Briefkasten einen gut sichtbaren Aufkleber anbringt, dass Reklame- und Werbesendungen nicht erwünscht sind. In diesem Fall verbietet das Gesetz den Einwurf sowohl von teiladressierter als auch von nicht adressierter Werbung. Konzerninterner Dateneinsatz: kein Privileg bei adressierter Werbung Einzelne Unternehmen innerhalb eines Konzerns gelten als Dritte, so wie völlig unverbundene Unternehmen. Somit unterliegt die Weitergabe, Speicherung, Verarbeitung und Nutzung von Adressdaten innerhalb eines Konzerns den gleichen gesetzlichen datenschutzrechtlichen Regelungen wie bei untereinander völlig fremden Firmen. Damit handelt jedes Unternehmen selbstständig und Daten dürfen nicht willkürlich für werbliche Zwecke ausgetauscht werden. 18 DAMIT SOLLTEN SIE RECHNEN Detailliertes Know-how für gesetzeskonformes Direktmarketing Widerspruchsrecht Verstöße und Folgen beDirect geht auf Nummer sicher beDirect ist ein Joint Venture von arvato und Creditreform Gesetzeskonformes Direktmarketing WIDERSPRUCHSRECHT Wer sich genau daran hält, was im Direktmarketing und im Adresshandel erlaubt und was verboten ist, ist auf der sicheren Seite und kann umfassend werben. Wir haben für Sie zusammengefasst, worauf es vor allem ankommt und welche Rechte Sie besonders berücksichtigen sollten. Für Werbetreibende ist es wichtig, • die Regelungen im Detail zu kennen und in das eigene Direktmarketing zu integrieren. ausschließlich geprüftes und sicheres Adressenmaterial zu verwenden. zu wissen, welche Widerspruchsrechte die Adressaten haben und wie mit Wider- spruch umzugehen ist. über die Folgen informiert zu sein, die ein treten können, wenn doch einmal etwas schiefgeht. Auch sollte jeder Unternehmer und jede Privatperson wissen, welche Widerspruchsrechte dem Einzelnen zustehen – und wo sie geltend gemacht werden können. 20 Widerspruch gegen die Datennutzung Jede natürliche Person kann jederzeit der Verarbeitung und Nutzung der eigenen Daten zu Werbezwecken widersprechen. Dafür ist es unerheblich, ob diese Informationen aus Verzeichnissen stammen oder ob der Betreffende zu einem früheren Zeitpunkt der Verwendung zugestimmt hat. Auch Bestandskunden müssen bereits zu Beginn eines Geschäfts- oder Schuldverhältnisses und bei jeder anderen Art der Ansprache auf das Widerspruchsrecht hingewiesen werden. Der Betroffene hat das Recht zu erfahren, wo seine Daten herkommen. Hinweis Für den Widerspruch darf keine strengere Form als für die Begründung eines Schuldverhältnisses verlangt werden. Weitere Informationen zu diesen Themen finden Sie auch auf der Homepage des Deutschen Dialogmarketing Verbandes unter » www.ddv.de. Widerspricht ein Kunde aktiv der Nutzung seiner Daten für Werbung, so muss der Datensatz gesperrt werden. Dies gilt auch für die Ausnahmen der Opt-in-Erklärung (s. Seiten 178/179). Ein Joint Venture von arvato und Creditreform Die Robinsonlisten Direkter Widerspruch beim Verwerter Für die generelle Sperrung eines Adressaten für Werbezwecke ist die Eintragung in die Robinsonlisten des Deutschen Dialogmarketing Verbandes (DDV), des I.D.I. Interessenverbandes Deutsches Internet e. V. und des adr Arbeitskreises Deutsche Robinsonlisten empfehlenswert. Sämtliche Mitglieder des DDV gleichen ihre Bestände regelmäßig gegen diesen Bestand ab und sperren Adressaten, die generell keine Werbung erhalten wollen. Wenn Sie erfahren, dass ein Adresshändler oder Adressbroker Ihre Daten nutzt, können Sie dort direkt Widerspruch einlegen. Bitte achten Sie darauf, in Ihrer Mitteilung Ihren vollständigen Namen und Ihre komplette Anschrift anzugeben. Oft verfügt der Verwerter nämlich gar nicht über alle Adressdaten und braucht daher im Zweifel genau ein bestimmtes Detail, um Ihren Datensatz zu finden. Deutsche Robinsonlisten gibt es für: E-Mail Mobilfunk Telefon Telefax Briefpost • • • • • Sie werden monatlich aktualisiert. In alle Listen können Sie sich direkt online eintragen lassen: » www.robinsonliste.de Ein Eintrag ist auch per Post möglich: DDV Robinsonliste Postfach 14 01 71243 Ditzingen Der Eintrag in die Robinsonliste ist kostenfrei, gilt für jeweils fünf Jahre und muss dann erneuert werden. Nachname / Vorname Straße / Hausnummer PLZ / Ort Sehr geehrte Damen und Herren, ich habe erfahren, dass Sie meine Adresse vermieten. Bitte informieren Sie mich, woher Sie meine Daten haben und was Sie zu meiner Person und zu meiner Anschrift gespeichert haben. Bitte vermieten Sie meine Adresse nicht mehr weiter. Ich bitte um Bestätigung. Mit freundlichen Grüßen <Unterschrift> So könnte Ihr Schreiben formuliert sein 21 Gesetzeskonformes Direktmarketing VERSTÖßE UND FOLGEN Ahndung und Bußgelder bei Verstößen Das Gesetz gegen den unlauteren Wettbewerb enthält eindeutige Bußgeldvorschriften. (vgl. § 20 UWG) Wird gegen die Opt-in-Regelung bei Telefonwerbung verstoßen, drohen Bußgelder von bis zu 50.000 Euro. Wird gegen das Verbot der Rufnummernunterdrückung verstoßen, drohen Bußgelder bis zu 10.000 Euro. (vgl. § 149 TKG) Neben Verarbeitung stellt auch die Nutzung rechtswidrig erhobener personenbezogener Daten eine Ordnungswidrigkeit dar. Verstöße können mittels Ordnungsgeld oder -haft geahndet werden. Der Bußgeldrahmen liegt für formale Verstöße bei maximal 50.000 Euro und für materielle Verstöße bei bis zu 300.000 Euro. Ferner kann der durch den Verstoß erlangte Gewinn abgeschöpft werden. Es handelt auch derjenige ordnungswidrig, der sich über die fehlende Einwilligung eines Betroffenen hinwegsetzt. Gleiches gilt für den Monopolisten beziehungsweise Oligopolisten, der sich über das Kopplungsverbot hinwegsetzt. Aufsichtsbehörden: Beseitigung von Verstößen Die Befugnis der Aufsichtsbehörden bei Strafen und Gewinnabschöpfungen ist im BDSG selbst geregelt. (vgl. § 38 BDSG) Die Anordnungsbefugnis gilt allgemein für die Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung und Nutzung von Daten. Die Untersagungsbefugnis erstreckt sich auf schwerwiegende Verstöße. Ich akzeptiere die Teilnahmebedingungen Ich akzeptiere dass meine Daten zum Zwecke der Gewinnspieldurchführung an beauftragte Firmen weitergeleitet werden Bitte informieren Sie mich über weitere Aktionen per E-Mail Ich bin damit einverstanden, im Rahmen der Marktforschung zu dieser Aktion kontaktiert zu werden. Speichern Eine Auswirkung des UWG im Internet: Automatisch aktivierte Boxen für die Bestellung von weiterer Werbung o. Ä. sind unzulässig. 22 Ein Joint Venture von arvato und Creditreform Auskunftsrechte des Betroffenen Die verantwortlichen Stellen sind dem Betroffenen gegenüber verpflichtet, in Textform und unentgeltlich umfassend Auskunft zu erteilen. Dies beinhaltet: • Die zur Person gespeicherten Daten. • Die Angabe, woher die Daten stammen. • Die Information, an wen die Daten weiter gegeben werden. Den Zweck der Speicherung. • (vgl. § 34 BDSG ) Informationspflichten bei Datenschutzverletzungen Unternehmer sind verpflichtet, bei Datenschutzverstößen unverzüglich die behördlichen Stellen und den Betroffenen zu informieren. Die Informationspflicht gilt jedoch nur für bestimmte Arten von Daten, nämlich solche, die nach § 3 Abs. 9 BDSG besonders sensibel sind oder einem Berufsgeheimnis unterliegen, über strafbare Handlungen oder Ordnungswidrigkeiten informieren oder Auskunft über Bank- oder Kreditkartenkonten geben. Sie erfordert weiterhin, dass den Betroffenen schwerwiegende Beeinträchtigungen drohen. (vgl. § 42 a BDSG) Eine Ausnahmeregelung gibt es für größere Vorfälle, bei denen eine einzelne Benachrichtigung nicht mehr möglich ist. In diesem Fall kann das Unternehmen die Öffentlichkeit mit einer Bekanntmachung in Form einer Anzeige informieren. Das Gesetz schreibt eine Anzeigengröße von mindestens einer halben Druckseite und eine parallele Publikation in zwei bundesweit erscheinenden Tageszeitungen vor. Dies muss erfolgen, sobald festgestellt wird, dass Teile der beim Unternehmen gespeicherten personenbezogenen Daten unrechtmäßig an Dritte weitergegeben wurden. 23 Missbrauch ausgeschlossen WIR GEHEN AUF NUMMER SICHER beDirect ist Mitglied des Deutschen Dialogmarketing Verbandes (DDV). Damit verpflichten wir uns zur Einhaltung der Daten- und Kundenschutzbestimmungen. Die Verpflichtungserklärung ist als bindendes Original beim DDV hinterlegt. Selbstverständlich berücksichtigen wir die Robinsonlisten. Ebenso sperren wir bei direktem Widerspruch sofort die betreffenden Datensätze. Um Missbrauch auszuschließen, haben wir für die uns anvertrauten personenbezogenen und allgemeinen Informationen ein umfassendes Sicherungskonzept. Darüber informieren wir Sie im folgenden Kapitel. Weitere Informationen über den DDV finden Sie im Internet unter » www.ddv.de. 24 KONZEPTE FÜR EIN HÖCHSTMAß AN SICHERHEIT Umgang mit Daten à la beDirect Sichere Daten für erfolgreiches Marketing Der Datenschutzbeauftragte Die Gebote der Datensicherung Der Weg der Daten Prüfung, Aufbereitung und Verarbeitung beDirect ist ein Joint Venture von arvato und Creditreform Grundlage Ihres Unternehmenserfolgs SICHERE DATEN FÜR ERFOLGREICHES MARKETING Der Kundenstamm ist ein wesentlicher Faktor, wenn der Geschäfts- oder Firmenwert beziffert wird. Die Pflege dieses wertvollen Gutes sollte Ihnen besonders am Herzen liegen. Dazu gehört auch, sorgfältig mit sämtlichen Daten umzugehen. In Ihren Daten und Kundeninformationen liegt ein wesentlicher Vermögenswert, dessen Schutz absolute Priorität haben sollte. Ein verantwortungsvoller Umgang mit den eigenen Kunden- und Interessentendaten bedarf genauer Planung und großer Sorgfalt, und zwar in zwei Bereichen. Viele Unternehmen recherchieren und aktualisieren ihre Daten nicht selbst, sondern beauftragen einen externen Dienstleister. In diesem Fall müssen Sie absolut darauf vertrauen können, dass der Anbieter gesetzeskonform handelt und höchste Sicherheit gewährleistet. Zum einen geht es darum, Informationen korrekt zu sammeln und zu speichern, damit sie verwertbar und legal einsetzbar sind. Dazu gehört auch, die Herkunft so zu dokumentieren, dass sie jederzeit nachvollziehbar ist. beDirect hat Konzepte und Systeme entwickelt, die höchsten Anforderungen sowohl an die Qualität als auch an die Sicherheit genügen. Auf den folgenden Seiten legen wir Ihnen detailliert offen, wie wir mit dem eigenen Adressbestand und den uns anvertrauten Datenbanken umgehen. Zum anderen ist es ebenso wichtig, die Daten sicher aufzubewahren und korrekt damit umzugehen. So schützen Sie sich vor Missbrauch durch Unbefugte und beugen Diebstahl und Verlust vor. 26 Ein Joint Venture von arvato und Creditreform Dateninhalte und Informationen Die Firmendatenbank der beDirect beinhaltet neben den klassischen Industrie- und Handwerksbetrieben auch Daten über Freiberufler, Dienstleister, Einzel- und Großhändler sowie Non-Profit-Organisationen, Behörden, Schulen, Verbände und Vereine. Insgesamt stehen für das Mailinggeschäft rund vier Millionen wirtschaftsaktive und bonitätsgeprüfte Firmenadressen sowie Adressen von Organisationen, Behörden und Vereinen zur Verfügung. Für die Bereinigung von Kundenbeständen bieten wir zusätzlich Daten von rund acht Millionen passiven Unternehmen sowie historische Daten an. Die wichtigsten Profilinformationen der beDirect-Datenbank Firmenname Postadresse Telefon- und Faxnummer Firmen-URL Rechtsformen und Handelsregister-Daten Besitz- und Beteiligungsverhältnisse bei Handelsregister-Firmen Entscheider der ersten und zweiten Funktionsebene (Inhaber, Geschäftsführer und weitere Funktionsträger) Branche gemäß WZ 2008 Umsatz- und Beschäftigtenangaben Fachrichtungen bei Freiberuflern Weitere branchenspezifische Klassifizierungen 27 Information und Kontrolle DER DATENSCHUTZBEAUFTRAGTE Eine wichtige Rolle im Datenschutz spielt der Datenschutzbeauftragte im Unternehmen. Er ist die interne Kontrollinstanz, er informiert und steht der Firmenleitung sowie allen Mitarbeitern für Fragen zur Verfügung. Zudem ist er Ansprechpartner für Behörden und Auskunftsuchende. Dazu muss er bestimmte Voraussetzungen erfüllen. Datenschutz und informationelle Selbstbestimmung Datenschutz ist laut Definition des Bundesdatenschutzgesetzes (BDSG) der Schutz des Persönlichkeitsrechts jedes Einzelnen beim Umgang mit dessen Daten. Ziel des Datenschutzes ist es mithin, personenbezogene Daten vor missbräuchlicher Verwendung zu schützen. Dazu gehört auch das Recht auf informationelle Selbstbestimmung, also das Recht, selbst zu entscheiden, inwieweit diese Daten preisgegeben und weiterverwendet werden. 28 Interne und externe Kontrollinstanz Für den Datenschutz verantwortlich ist jede Stelle oder Person, die personenbezogene Daten erhebt, verarbeitet, nutzt oder andere damit beauftragt. In Unternehmen tragen die Führungskräfte besondere Verantwortung dafür, dass dies gesetzeskonform geschieht. Darüber hinaus ist jeder Mitarbeiter verpflichtet, mit den ihm anvertrauten Daten vorschriftsmäßig umzugehen. Um den Datenschutz in Unternehmen zu gewährleisten, sieht der Gesetzgeber zwei Kontrollinstanzen vor. Im Rahmen der Fremdkontrolle kann die Einhaltung der Datenschutzregeln durch staatliche Aufsichtsbehörden kontrolliert werden. Innerhalb eines Unternehmens ist ein betrieblicher Datenschutzbeauftragter zu benennen, der für die Selbstkontrolle verantwortlich ist. Ein Joint Venture von arvato und Creditreform Bestellung des Datenschutzbeauftragten Aufgaben des Datenschutzbeauftragten Nichtöffentliche Stellen, also etwa Unternehmen, die personenbezogene Daten automatisch erheben, verarbeiten oder nutzen, müssen innerhalb eines Monats nach Beginn dieser Tätigkeit schriftlich einen Beauftragten für den Datenschutz bestellen. Von der Vorabkontrolle über die Schulung der Mitarbeiter bis zur Auskunft an Betroffene: Der Datenschutzbeauftragte hat vielfältige Aufgaben im Unternehmen, die umfassende Sach- und Fachkenntnisse erfordern. Dazu gehören: Dies greift jedoch nur, wenn hiermit mindestens fünf Arbeitnehmer ständig beschäftigt sind. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise verarbeitet werden und damit in der Regel mindestens 20 Arbeitnehmer ständig beschäftigt sind. • Beratung der verantwortlichen Stellen und der Unternehmensleitung. Information und Schulung der Mitarbeiter. Erstellung und Pflege von Verfahrensan- weisungen. Durchführung von Datenschutzprüfungen. Wahrung der Rechte der Betroffenen. Zusammenarbeit mit den öffentlichen Aufsichtsbehörden. • • • • • Unternehmensbereich Informationstechnologie Standort Hagen IT-Spezialist/-in Datenschutz Wir bieten Ihnen eine interessante Tätigkeit als IT-Spezialist/-in im Bereich Datenschutz. In Ihrer Funktion verantworten Sie die Umsetzung der gesetzlichen Anforderungen aus dem BDSG (Bundesdatenschutzgesetz). Zu Ihren Aufgaben gehört die Beratung über technische und organisatorische Maßnahmen zur Sicherung des Datenschutzes und der Datensicherheit, in Zusammenarbeit mit Personen der Datenverarbeitung. Solche Stellenangebote finden sich immer häufiger in den Medien – Indiz für die Umsetzung der Gesetze und Richtlinien durch die Unternehmen. 29 Datensicherheit mit höchsten Standards DIE GEBOTE DER DATENSICHERUNG Als Unternehmen im Bertelsmann-Konzern ist beDirect dessen höchsten Sicherheitsstandards verpflichtet. Zwecks konzerninterner Koordination der Datenschutzbelange sollte jedes Unternehmen einen Datenschutzkoordinator (DSK) und einen Datensicherheitsverantwortlichen (DSV) namentlich benennen. Der Datenschutzkoordinator (DSK) ist lokaler Ansprechpartner aller Fachabteilungen in seinem Unternehmen. mäßig verarbeitet werden, beispielsweise zu Zwecken des Adresshandels oder in Auskunfteien. Der Datensicherheitsverantwortliche (DSV) organisiert die technisch-organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit entsprechend § 9 BDSG in seinem Zuständigkeitsbereich. Daher unterliegt beDirect in jedem Fall der Meldepflicht. Zugleich stellen unsere Beauftragten sicher, dass alle gesetzlichen Vorgaben bezüglich Kontrollen, Informationen von Betroffenen und Auskünften eingehalten werden. Wir kommen den Anforderungen an Berichtigung, Löschung und Sperrung von Daten regelmäßig und im vollen Umfang nach. (vgl. § 35 BDSG) Für uns gilt sie in jedem Fall: die Meldepflicht Die Meldepflicht, dass personenbezogene Daten verarbeitet werden, entfällt, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat oder höchstens neun Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Eine Meldepflicht besteht jedoch immer dann, wenn personenbezogene Daten geschäfts- 30 Verantwortliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Gesetzesvorschriften zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Auch hier setzt beDirect höchste Standards. Ein Joint Venture von arvato und Creditreform Für uns verpflichtend: die acht Gebote der Datensicherung 1. Zutrittskontrolle: Wir sorgen dafür, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen verwehrt wird. 2. Zugangskontrolle: Wir verhindern, dass Unbefugte die Datenverarbeitungssysteme nutzen können. 3. Zugriffskontrolle: Wir sorgen für ein angemessenes Zugriffskontrollsystem. 4. Weitergabekontrolle: Wir sorgen dafür, dass personenbezogene Daten bei der elektronischen Übertragung und beim Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 5. Eingabekontrolle: Wir sorgen dafür, dass nachträglich genau überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. 6. Auftragskontrolle: Wir sorgen dafür, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. 7. Verfügbarkeitskontrolle: Wir sorgen dafür, dass personenbezogene Daten vor Zerstörung und Verlust geschützt sind. 8. Gebot der Datentrennung: Wir sorgen dafür, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. 31 Workflow bei beDirect DER WEG DER DATEN Sichere und aktuelle Daten für Ihr Direktmarketing: Hier zeigen wir Ihnen den Workflow bei beDirect – von der ersten Übernahme der Kundendaten bis zum erfolgreichen Abschluss eines Auftrages. Höchste Sicherheitsstandards sind auch hier für uns verpflichtend. Übernahme der Daten durch beDirect Der erste Kontakt zu einem neuen Kunden geht bei beDirect immer über den Vertrieb. Dieser übernimmt daher auch die Kundendaten, für die wir einen Auftrag zur Aktualisierung, Ergänzung oder Pflege erhalten haben. Für die Erstübernahme der Daten stehen verschiedene Wege zur Verfügung: per E-MailAnhang, von einem Datenträger (in der Regel CD oder DVD) oder via Internet-File-Transfer (FTP, SFTP, HTTP, HTTPS). Bereits im Vorfeld weisen wir darauf hin, dass eine Verschlüsselung sinnvoll ist. Inwieweit der Kunde tatsächlich Sicherheitsvorkehrungen trifft, entscheidet er selbst. In der Regel sind die Daten, die wir bekommen, nicht mit einem Passwort geschützt. 32 Ausnahme: Beim Download via Internet-FileTransfer greifen wir über ein Login auf einen geschützten Bereich des Kundenservers zu. Beim Upload durch den Kunden loggt sich dieser sicher auf dem beDirect-Server ein. Das Login enthält die technische Adresse, den Benutzernamen und ein Passwort. Nachdem die Daten den Vertrieb erreicht haben, werden sie bei uns intern auf einen Fileserver übertragen. Dieser wird durch das Rechenzentrum der Bertelsmann AG gehostet und gesichert. Dies ist zertifiziert gem. ISO/IEC 27001, Information technology – Security techniques, Information Security Management Systems Requirements, Ausgabe Oktober 2005. Der Datenzugriff ist nur einem ausgewählten Personenkreis gestattet und die dort bereitgestellten Daten werden nächtlich gelöscht. Ein Joint Venture von arvato und Creditreform Die Fachabteilung zieht die Daten nach Eingang vom Fileserver und nimmt sie auf einen speziellen Datenserver zur Weiterverarbeitung. Auf diesen Server haben wiederum nur berechtigte Personen Zugriff. Hierzu gehören die Projektverantwortlichen. Der Zugriff wird durch eine Rechtevergabe mit Login gesteuert. Kommen die Daten per E-Mail, werden sie direkt auf dem Fileserver abgelegt. Die E-Mail speichern wir ohne Anhang der Daten in der Kundenakte. So stellen wir sicher, dass auch über die Kundenakte kein unberechtigter Zugriff auf sensible Daten möglich ist. E-Mail, Datenträger, InternetFile-Transfer Erstübernahme Liefert der Kunde einen Datenträger, schicken wir diesen sofort nach Übernahme der Daten zurück oder vernichten ihn entsprechend den Datenschutzrichtlinien. Über die ordnungsgemäße Vernichtung erhält der Kunde eine Mitteilung. Welchen Weg der Kunde wählt, entscheidet er selbst. beDirect empfiehlt jedoch ausdrücklich eine verschlüsselte und passwortgeschützte Datenlieferung über einen SFTPServer, den wir gerne zur Verfügung stellen. Zertifiziert nach ISO/IEC 27001 Interner Fileserver Nur Zugriff durch Projektverantwortliche Datenserver 33 Vorschriftsmäßige Datenvorhaltung PRÜFUNG, AUFBEREITUNG UND VERARBEITUNG Wie wir die Daten weiter be- und verarbeiten, hängt von der Art des Auftrags ab. Wir arbeiten dazu immer mit einer Kopie der Kundendaten. Dabei unterscheiden wir zwischen einem rein maschinellen Verfahren und einem Verfahren mit manueller Nachbearbeitung. Nach der Erstellung der Rücklieferungsdatei werden alle Arbeitsdateien und Sicherungskopien vom Server auf eine externe Festplatte kopiert. Anschließend werden sie vom Server gelöscht. Die Festplatte wird in einem feuerfesten Safe aufbewahrt, auf den nur drei Mitarbeiter der beDirect Zugriff haben. In Begleitschutz: die Rücklieferung Davon ausgenommen sind die Bestände, die wir im Kundenauftrag permanent überwachen. Dazu ist es unabdingbar, sie auf dem Server vorzuhalten. Sobald ein Vertrag endet, werden auch diese Daten vom Server gelöscht. Für eine vereinbarte Zeit stehen sie dann nur noch auf der externen Festplatte zur Verfügung. Die bearbeiteten Daten liefern wir im Originalformat des Kunden zurück, ergänzt um die für die Anreicherung erforderlichen Felder. Die Daten werden dem Kunden auf einem Datenträger, per HTTPS / SFTP oder per E-Mail zur Verfügung gestellt. Um höchstmögliche Sicherheit zu gewährleisten, werden die Daten verschlüsselt und mit einem Passwort versehen und nicht zwischengespeichert. Das Passwort teilen wir dem Kunden telefonisch mit. beDirect favorisiert den sichersten aller Lieferwege: HTTPS / SFTP. Gesichert, gespeichert, gelöscht Entsprechend den gesetzlich vorgeschriebenen Haftungs- und Gewährleistungsfristen sind wir verpflichtet, die Kundendaten zunächst zu speichern. 34 Die Gewährleistungsfrist bei Dienstleistungsaufträgen – worunter die Bearbeitung von Datenbanken fällt – beläuft sich auf 24 Monate. Laut BDSG sind jedoch Fremddaten nach Auftragsabwicklung direkt zu löschen. Um diesem Widerspruch in den unterschiedlichen Gesetzen so weit wie möglich gerecht zu werden, vereinbart beDirect bei jedem Auftrag individuelle Vorhaltungsfristen direkt mit dem Auftraggeber. ANHANG UWG Gesetz gegen den unlauteren Wettbewerb Allgemeine Bestimmungen Rechtsfolgen Verfahrensvorschriften Strafvorschriften Schlussbestimmungen beDirect ist ein Joint Venture von arvato und Creditreform KAPITEL 1 | ALLGEMEINE BESTIMMUNGEN § 1 Zweck des Gesetzes Dieses Gesetz dient dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen. Es schützt zugleich das Interesse der Allge- meinheit an einem unverfälschten Wettbewerb. § 2 Definitionen (1) Im Sinne dieses Gesetzes bedeutet 1. »geschäftliche Handlung« jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleis- tungen objektiv zusammenhängt; als Waren gelten auch Grund- stücke, als Dienstleistungen auch Rechte und Verpflichtungen; 2. »Marktteilnehmer« neben Mitbewerbern und Verbrauchern alle Personen, die als Anbieter oder Nachfrager von Waren oder Dienst leistungen tätig sind; 3. »Mitbewerber« jeder Unternehmer, der mit einem oder mehreren Unternehmern als Anbieter oder Nachfrager von Waren oder Dienst- leistungen in einem konkreten Wettbewerbsverhältnis steht; 4. »Nachricht« jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlich zugänglichen elektronischen Kom- munikationsdienst ausgetauscht oder weitergeleitet wird; dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein elektronisches Kommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbin- dung gebracht werden können; 5. »Verhaltenskodex« Vereinbarungen oder Vorschriften über das Ver halten von Unternehmern, zu welchem diese sich in Bezug auf Wirt schaftszweige oder einzelne geschäftliche Handlungen verpflichtet haben, ohne dass sich solche Verpflichtungen aus Gesetzes- oder Verwaltungsvorschriften ergeben; 6. »Unternehmer« jede natürliche oder juristische Person, die geschäft- liche Handlungen im Rahmen ihrer gewerblichen, handwerklichen oder beruflichen Tätigkeit vornimmt, und jede Person, die im Namen oder Auftrag einer solchen Person handelt; 7. »fachliche Sorgfalt« der Standard an Fachkenntnissen und Sorgfalt, von dem billigerweise angenommen werden kann, dass ein Unter- nehmer ihn in seinem Tätigkeitsbereich gegenüber Verbrauchern nach Treu und Glauben unter Berücksichtigung der Marktgepflo genheiten einhält. (2) Für den Verbraucherbegriff gilt § 13 des Bürgerlichen Gesetzbuchs ent- sprechend. § 3 (1) 36 Verbot unlauterer geschäftlicher Handlungen Unlautere geschäftliche Handlungen sind unzulässig, wenn sie geeignet sind, die Interessen von Mitbewerbern, Verbrauchern oder sonstigen Marktteilnehmern spürbar zu beeinträchtigen. (2) Geschäftliche Handlungen gegenüber Verbrauchern sind jedenfalls dann unzulässig, wenn sie nicht der für den Unternehmer geltenden fachlichen Sorgfalt entsprechen und dazu geeignet sind, die Fähigkeit des Ver- brauchers, sich auf Grund von Informationen zu entscheiden, spürbar zu beeinträchtigen und ihn damit zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. (3) Dabei ist auf den durchschnittlichen Verbraucher oder, wenn sich die geschäftliche Handlung an eine bestimmte Gruppe von Verbrauchern wendet, auf ein durchschnittliches Mitglied dieser Gruppe abzustellen. Auf die Sicht eines durchschnittlichen Mitglieds einer auf Grund von geistigen oder körperlichen Gebrechen, Alter oder Leichtgläubigkeit besonders schutzbedürftigen und eindeutig identifizierbaren Gruppe von Verbrauchern ist abzustellen, wenn für den Unternehmer vorherseh- bar ist, dass seine geschäftliche Handlung nur diese Gruppe betrifft. Die im Anhang dieses Gesetzes aufgeführten geschäftlichen Handlungen gegenüber Verbrauchern sind stets unzulässig. § 4 Beispiele unlauterer geschäftlicher Handlungen Unlauter handelt insbesondere, wer 1. geschäftliche Handlungen vornimmt, die geeignet sind, die Entschei- dungsfreiheit der Verbraucher oder sonstiger Marktteilnehmer durch Ausübung von Druck, in menschenverachtender Weise oder durch sonstigen unangemessenen unsachlichen Einfluss zu beein- trächtigen; 2. geschäftliche Handlungen vornimmt, die geeignet sind, geistige oder körperliche Gebrechen, das Alter, die geschäftliche Unerfahrenheit, die Leichtgläubigkeit, die Angst oder die Zwangslage von Verbrau- chern auszunutzen; 3. den Werbecharakter von geschäftlichen Handlungen verschleiert; 4. bei Verkaufsförderungsmaßnahmen wie Preisnachlässen, Zugaben oder Geschenken die Bedingungen für ihre Inanspruchnahme nicht klar und eindeutig angibt; 5. bei Preisausschreiben oder Gewinnspielen mit Werbecharakter die Teilnahmebedingungen nicht klar und eindeutig angibt; 6. die Teilnahme von Verbrauchern an einem Preisausschreiben oder Gewinnspiel von dem Erwerb einer Ware oder der Inanspruchnahme einer Dienstleistung abhängig macht, es sei denn, das Preisausschreiben oder Gewinnspiel ist naturgemäß mit der Ware oder der Dienstleistung verbunden; 7. die Kennzeichen, Waren, Dienstleistungen, Tätigkeiten oder persön- lichen oder geschäftlichen Verhältnisse eines Mitbewerbers herab- setzt oder verunglimpft; 8. über die Waren, Dienstleistungen oder das Unternehmen eines Mit- bewerbers oder über den Unternehmer oder ein Mitglied der Unter- nehmensleitung Tatsachen behauptet oder verbreitet, die geeignet sind, den Betrieb des Unternehmens oder den Kredit des Unterneh- mers zu schädigen, sofern die Tatsachen nicht erweislich wahr sind; handelt es sich um vertrauliche Mitteilungen und hat der Mitteilende oder der Empfänger der Mitteilung an ihr ein berechtigtes Interesse, so ist die Handlung nur dann unlauter, wenn die Tatsachen der Wahr- heit zuwider behauptet oder verbreitet wurden; Ein Joint Venture von arvato und Creditreform 9. Waren oder Dienstleistungen anbietet, die eine Nachahmung der Waren oder Dienstleistungen eines Mitbewerbers sind, wenn er a)eine vermeidbare Täuschung der Abnehmer über die betriebliche Herkunft herbeiführt, b)die Wertschätzung der nachgeahmten Ware oder Dienstleistung unangemessen ausnutzt oder beeinträchtigt oder c)die für die Nachahmung erforderlichen Kenntnisse oder Unterlagen unredlich erlangt hat; 10. Mitbewerber gezielt behindert, 11. einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. § 5 Irreführende geschäftliche Handlungen (1) Unlauter handelt, wer eine irreführende geschäftliche Handlung vor nimmt. Eine geschäftliche Handlung ist irreführend, wenn sie unwahre Angaben enthält oder sonstige zur Täuschung geeignete Angaben über folgende Umstände enthält: 1. die wesentlichen Merkmale der Ware oder Dienstleistung wie Ver- fügbarkeit, Art, Ausführung, Vorteile, Risiken, Zusammensetzung, Zubehör, Verfahren oder Zeitpunkt der Herstellung, Lieferung oder Erbringung, Zwecktauglichkeit, Verwendungs-möglichkeit, Menge, Beschaffenheit, Kundendienst und Beschwerdeverfahren, geogra phische oder betriebliche Herkunft, von der Verwendung zu erwar tende Ergebnisse oder die Ergebnisse oder wesentlichen Bestand teile von Tests der Waren oder Dienstleistungen; 2. den Anlass des Verkaufs wie das Vorhandensein eines besonderen Preisvorteils, den Preis oder die Art und Weise, in der er berechnet wird, oder die Bedingungen, unter denen die Ware geliefert oder die Dienstleistung erbracht wird; 3. die Person, Eigenschaften oder Rechte des Unternehmers wie Iden tität, Vermögen einschließlich der Rechte des geistigen Eigentums, den Umfang von Verpflichtungen, Befähigung, Status, Zulassung, Mitgliedschaften oder Beziehungen, Auszeichnungen oder Ehrungen, Beweggründe für die geschäftliche Handlung oder die Art des Vertriebs; 4. Aussagen oder Symbole, die im Zusammenhang mit direktem oder indirektem Sponsoring stehen oder sich auf eine Zulassung des Unter- nehmers oder der Waren oder Dienstleistungen beziehen; 5. die Notwendigkeit einer Leistung, eines Ersatzteils, eines Austauschs oder einer Reparatur; 6. die Einhaltung eines Verhaltenskodexes, auf den sich der Unterneh- mer verbindlich verpflichtet hat, wenn er auf diese Bindung hinweist oder 7. Rechte des Verbrauchers, insbesondere solche auf Grund von Garan tieversprechen oder Gewährleistungsrechte bei Leistungsstörungen. (2) Eine geschäftliche Handlung ist auch irreführend, wenn sie im Zusammen hang mit der Vermarktung von Waren oder Dienstleistungen einschließ- lich vergleichender Werbung eine Verwechslungsgefahr mit einer anderen Ware oder Dienstleistung oder mit der Marke oder einem anderen Kenn- zeichen eines Mitbewerbers hervorruft. (3) (4) Angaben im Sinne von Absatz 1 Satz 2 sind auch Angaben im Rahmen vergleichender Werbung sowie bildliche Darstellungen und sonstige Ver- anstaltungen, die darauf zielen und geeignet sind, solche Angaben zu ersetzen. Es wird vermutet, dass es irreführend ist, mit der Herabsetzung eines Preises zu werben, sofern der Preis nur für eine unangemessen kurze Zeit gefordert worden ist. Ist streitig, ob und in welchem Zeitraum der Preis gefordert worden ist, so trifft die Beweislast denjenigen, der mit der Preisherabsetzung geworben hat. § 5a Irreführung durch Unterlassen (1) Bei der Beurteilung, ob das Verschweigen einer Tatsache irreführend ist, sind insbesondere deren Bedeutung für die geschäftliche Entscheidung nach der Verkehrsauffassung sowie die Eignung des Verschweigens zur Beeinflussung der Entscheidung zu berücksichtigen. (2) Unlauter handelt, wer die Entscheidungsfähigkeit von Verbrauchern im Sinne des § 3 Abs. 2 dadurch beeinflusst, dass er eine Information vor- enthält, die im konkreten Fall unter Berücksichtigung aller Umstände ein schließlich der Beschränkungen des Kommunikationsmittels wesentlich ist. (3) Werden Waren oder Dienstleistungen unter Hinweis auf deren Merkmale und Preis in einer dem verwendeten Kommunikationsmittel angemes senen Weise so angeboten, dass ein durchschnittlicher Verbraucher das Geschäft abschließen kann, gelten folgende Informationen als wesent- lich im Sinne des Absatzes 2, sofern sie sich nicht unmittelbar aus den Umständen ergeben: 1. alle wesentlichen Merkmale der Ware oder Dienstleistung in dem dieser und dem verwendeten Kommunikationsmittel angemessenen Umfang; 2. die Identität und Anschrift des Unternehmers, gegebenenfalls die Identität und Anschrift des Unternehmers, für den er handelt; 3. der Endpreis oder in Fällen, in denen ein solcher Preis auf Grund der Beschaffenheit der Ware oder Dienstleistung nicht im Voraus be- rechnet werden kann, die Art der Preisberechnung sowie gegebe- nenfalls alle zusätzlichen Fracht-, Liefer- und Zustellkosten oder in Fällen, in denen diese Kosten nicht im Voraus berechnet werden können, die Tatsache, dass solche zusätzlichen Kosten anfallen können; 4. Zahlungs-, Liefer- und Leistungsbedingungen sowie Verfahren zum Umgang mit Beschwerden, soweit sie von Erfordernissen der fach lichen Sorgfalt abweichen, und 5. das Bestehen eines Rechts zum Rücktritt oder Widerruf. (4) Als wesentlich im Sinne des Absatzes 2 gelten auch Informationen, die dem Verbraucher auf Grund gemeinschaftsrechtlicher Verordnungen oder nach Rechtsvorschriften zur Umsetzung gemeinschaftsrechtlicher Richtlinien für kommerzielle Kommunikation einschließlich Werbung und Marketing nicht vorenthalten werden dürfen. 37 § 6 Vergleichende Werbung (1) Vergleichende Werbung ist jede Werbung, die unmittelbar oder mittel- bar einen Mitbewerber oder die von einem Mitbewerber angebotenen Waren oder Dienstleistungen erkennbar macht. (2) Unlauter handelt, wer vergleichend wirbt, wenn der Vergleich 1. sich nicht auf Waren oder Dienstleistungen für den gleichen Bedarf oder dieselbe Zweckbestimmung bezieht, 2. nicht objektiv auf eine oder mehrere wesentliche, relevante, nach prüfbare und typische Eigenschaften oder den Preis dieser Waren oder Dienstleistungen bezogen ist, 3. im geschäftlichen Verkehr zu einer Gefahr von Verwechslungen zwischen dem Werbenden und einem Mitbewerber oder zwischen den von diesen angebotenen Waren oder Dienstleistungen oder den von ihnen verwendeten Kennzeichen führt, 4. den Ruf des von einem Mitbewerber verwendeten Kennzeichens in unlauterer Weise ausnutzt oder beeinträchtigt, 5. die Waren, Dienstleistungen, Tätigkeiten oder persönlichen oder geschäftlichen Verhältnisse eines Mitbewerbers herabsetzt oder verunglimpft oder 6. eine Ware oder Dienstleistung als Imitation oder Nachahmung einer unter einem geschützten Kennzeichen vertriebenen Ware oder Dienstleistung darstellt. § 7 Unzumutbare Belästigungen (1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzu mutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilneh- mer diese Werbung nicht wünscht. (2) Eine unzumutbare Belästigung ist stets anzunehmen 1. bei Werbung unter Verwendung eines in den Nummern 2 und 3 nicht aufgeführten, für den Fernabsatz geeigneten Mittels der kommer ziellen Kommunikation, durch die ein Verbraucher hartnäckig ange- sprochen wird, obwohl er dies erkennbar nicht wünscht; 2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaß- liche Einwilligung, 3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, oder 4. bei Werbung mit einer Nachricht, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermitt- lungskosten nach den Basistarifen entstehen. 38 (3) Abweichend von Absatz 2 Nr. 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzuneh- men, wenn 1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Post adresse erhalten hat, 2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, 3. der Kunde der Verwendung nicht widersprochen hat und 4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. KAPITEL 2 | RECHTSFOLGEN § 8 Beseitigung und Unterlassung (1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung gegen § 3 oder § 7 droht. (2) Werden die Zuwiderhandlungen in einem Unternehmen von einem Mitarbeiter oder Beauftragten begangen, so sind der Unterlassungs anspruch und der Beseitigungsanspruch auch gegen den Inhaber des Unternehmens begründet. (3) Die Ansprüche aus Absatz 1 stehen zu: 1. jedem Mitbewerber; 2. rechtsfähigen Verbänden zur Förderung gewerblicher oder selb ständiger beruflicher Interessen, soweit ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, so weit sie insbesondere nach ihrer personellen, sachlichen und finan ziellen Ausstattung imstande sind, ihre satzungsmäßigen Aufgaben der Verfolgung gewerblicher oder selbständiger beruflicher Interes sen tatsächlich wahrzunehmen, und soweit die Zuwiderhandlung die Interessen ihrer Mitglieder berührt; 3. qualifizierten Einrichtungen, die nachweisen, dass sie in die Liste qualifizierter Einrichtungen nach § 4 des Unterlassungsklagenge- setzes oder in dem Verzeichnis der Kommission der Europäischen Gemeinschaften nach Artikel 4 der Richtlinie 98/27/EG des Europä- ischen Parlaments und des Rates vom 19. Mai 1998 über Unterlas- sungsklagen zum Schutz der Verbraucherinteressen (ABl. EG Nr. L 166 S. 51) eingetragen sind; 4. den Industrie- und Handelskammern oder den Handwerkskammern. (4) Die Geltendmachung der in Absatz 1 bezeichneten Ansprüche ist unzu- lässig, wenn sie unter Berücksichtigung der gesamten Umstände miss bräuchlich ist, insbesondere wenn sie vorwiegend dazu dient, gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder Kosten der Rechtsverfolgung entstehen zu lassen. Ein Joint Venture von arvato und Creditreform (5) § 13 des Unterlassungsklagengesetzes ist entsprechend anzuwenden; in § 13 Absatz 1 und 3 Satz 2 des Unterlassungsklagengesetzes treten an die Stelle des Anspruchs gemäß § 1 oder § 2 des Unterlassungsklagengesetzes die Unterlassungsansprüche nach dieser Vorschrift. Im Übrigen findet das Unterlassungsklagengesetz keine Anwendung, es sei denn, es liegt ein Fall des § 4a des Unterlassungsklagengesetzes vor. § 9 Schadensersatz Wer vorsätzlich oder fahrlässig eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, ist den Mitbewerbern zum Ersatz des daraus entstehenden Schadens verpflichtet. Gegen verantwortliche Personen von periodischen Druckschriften kann der Anspruch auf Schadensersatz nur bei einer vorsätzlichen Zuwiderhandlung geltend gemacht werden. § 10 Gewinnabschöpfung (1) Wer vorsätzlich eine nach § 3 oder § 7 unzulässige geschäftliche Hand lung vornimmt und hierdurch zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt, kann von den gemäß § 8 Abs. 3 Nr. 2 bis 4 zur Geltendmachung eines Unterlassungsanspruchs Berechtigten auf Heraus gabe dieses Gewinns an den Bundeshaushalt in Anspruch genommen werden. (2) Auf den Gewinn sind die Leistungen anzurechnen, die der Schuldner auf Grund der Zuwiderhandlung an Dritte oder an den Staat erbracht hat. Soweit der Schuldner solche Leistungen erst nach Erfüllung des Anspruchs nach Absatz 1 erbracht hat, erstattet die zuständige Stelle des Bundes dem Schuldner den abgeführten Gewinn in Höhe der nachgewiesenen Zahlungen zurück. (3) Beanspruchen mehrere Gläubiger den Gewinn, so gelten die §§ 428 bis 430 des Bürgerlichen Gesetzbuchs entsprechend. (4) Die Gläubiger haben der zuständigen Stelle des Bundes über die Geltend machung von Ansprüchen nach Absatz 1 Auskunft zuerteilen. Sie können von der zuständigen Stelle des Bundes Erstattung der für die Geltend- machung des Anspruchs erforderlichen Aufwendungen verlangen, soweit sie vom Schuldner keinen Ausgleich erlangen können. Der Erstattungs- anspruch ist auf die Höhe des an den Bundeshaushalt abgeführten Gewinns beschränkt. (5) Zuständige Stelle im Sinn der Absätze 2 und 4 ist das Bundesamt für Justiz. § 11 Verjährung (1) Die Ansprüche aus den §§ 8, 9 und 12 Abs. 1 Satz 2 verjähren in sechs Monaten. (2) Die Verjährungsfrist beginnt, wenn 1. der Anspruch entstanden ist und 2. der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahr lässigkeit erlangen müsste. (3) Schadensersatzansprüche verjähren ohne Rücksicht auf die Kenntnis oder grob fahrlässige Unkenntnis in zehn Jahren von ihrer Entstehung, spätestens in 30 Jahren von der den Schaden auslösenden Handlung an. (4) Andere Ansprüche verjähren ohne Rücksicht auf die Kenntnis oder grob fahrlässige Unkenntnis in drei Jahren von der Entstehung an. KAPITEL 3 | VERFAHRENSVORSCHRIFTEN § 12 Anspruchsdurchsetzung, Veröffentlichungsbefugnis, Streitwertminderung (1) Die zur Geltendmachung eines Unterlassungsanspruchs Berechtigten sollen den Schuldner vor der Einleitung eines gerichtlichen Verfahrens abmahnen und ihm Gelegenheit geben, den Streit durch Abgabe einer mit einer angemessenen Vertragsstrafe bewehrten Unterlassungsver- pflichtung beizulegen. Soweit die Abmahnung berechtigt ist, kann der Ersatz der erforderlichen Aufwendungen verlangt werden. (2) Zur Sicherung der in diesem Gesetz bezeichneten Ansprüche auf Unter lassung können einstweilige Verfügungen auch ohne die Darlegung und Glaubhaftmachung der in den §§ 935 und 940 der Zivilprozess ordnung bezeichneten Voraussetzungen erlassen werden. (3) Ist auf Grund dieses Gesetzes Klage auf Unterlassung erhoben worden, so kann das Gericht der obsiegenden Partei die Befugnis zusprechen, das Urteil auf Kosten der unterliegenden Partei öffentlich bekannt zu machen, wenn sie ein berechtigtes Interesse dartut. Art und Umfang der Bekanntmachung werden im Urteil bestimmt. Die Befugnis erlischt, wenn von ihr nicht innerhalb von drei Monaten nach Eintritt der Rechts kraft Gebrauch gemacht worden ist. Der Ausspruch nach Satz 1 ist nicht vorläufig vollstreckbar. (4) Bei der Bemessung des Streitwerts für Ansprüche nach § 8 Abs. 1 ist es wertmindernd zu berücksichtigen, wenn die Sache nach Art und Umfang einfach gelagert ist oder wenn die Belastung einer der Parteien mit den Prozesskosten nach dem vollen Streitwert angesichts ihrer Vermögens- und Einkommensverhältnisse nicht tragbar erscheint. § 13 Sachliche Zuständigkeit (1) Für alle bürgerlichen Rechtsstreitigkeiten, mit denen ein Anspruch auf Grund dieses Gesetzes geltend gemacht wird, sind die Landgerichte ausschließlich zuständig. Es gilt § 95 Abs. 1 Nr. 5 des Gerichtsverfassungs gesetzes. (2) Die Landesregierungen werden ermächtigt, durch Rechtsverordnung für die Bezirke mehrerer Landgerichte eines von ihnen als Gericht für Wettbewerbsstreitsachen zu bestimmen, wenn dies der Rechtspflege in Wettbewerbsstreitsachen, insbesondere der Sicherung einer einheit lichen Rechtsprechung, dienlich ist. Die Landesregierungen können die Ermächtigung auf die Landesjustizverwaltungen übertragen. § 14 (1) (2) Örtliche Zuständigkeit Für Klagen auf Grund dieses Gesetzes ist das Gericht zuständig, in dessen Bezirk der Beklagte seine gewerbliche oder selbständige berufliche Niederlassung oder in Ermangelung einer solchen seinen Wohnsitz hat. Hat der Beklagte auch keinen Wohnsitz, so ist sein inländischer Aufent- haltsort maßgeblich. Für Klagen auf Grund dieses Gesetzes ist außerdem nur das Gericht zuständig, in dessen Bezirk die Handlung begangen ist. Satz 1 gilt für Klagen, die von den nach § 8 Abs. 3 Nr. 2 bis 4 zur Geltendmachung eines Unterlassungsanspruchs Berechtigten erhoben werden, nur dann, wenn der Beklagte im Inland weder eine gewerbliche oder selbständige berufliche Niederlassung noch einen Wohnsitz hat. 39 § 15 (1) (2) (3) (4) (5) (6) (7) (8) (9) 40 Einigungsstellen Die Landesregierungen errichten bei Industrie- und Handelskammern Einigungsstellen zur Beilegung von bürgerlichen Rechtsstreitigkeiten, in denen ein Anspruch auf Grund dieses Gesetzes geltend gemacht wird (Einigungsstellen). Die Einigungsstellen sind mit einer vorsitzenden Person, die die Befähi- gung zum Richteramt nach dem Deutschen Richtergesetz hat, und beisitzenden Personen zu besetzen. Als beisitzende Personen werden im Falle einer Anrufung durch eine nach § 8 Abs. 3 Nr. 3 zur Geltendmachung eines Unterlassungsanspruchs berechtigte qualifizierte Einrichtung Unternehmer und Verbraucher in gleicher Anzahl tätig, sonst mindestens zwei sachverständige Unternehmer. Die vorsitzende Person soll auf dem Gebiet des Wettbewerbsrechts erfahren sein. Die beisitzenden Personen werden von der vorsitzenden Person für den jeweiligen Streitfall aus einer alljährlich für das Kalenderjahr aufzustellenden Liste berufen. Die Berufung soll im Einvernehmen mit den Parteien erfolgen. Für die Ausschließung und Ablehnung von Mitgliedern der Einigungsstelle sind die §§ 41 bis 43 und § 44 Abs. 2 bis 4 der Zivilprozessordnung entsprechend anzuwen- den. Über das Ablehnungsgesuch entscheidet das für den Sitz der Eini- gungsstelle zuständige Landgericht (Kammer für Handelssachen oder, falls es an einer solchen fehlt, Zivilkammer). Die Einigungsstellen können bei bürgerlichen Rechtsstreitigkeiten, in denen ein Anspruch auf Grund dieses Gesetzes geltend gemacht wird, angerufen werden, wenn der Gegner zustimmt. Soweit die Wettbewerbshandlungen Verbraucher betreffen, können die Einigungsstellen von jeder Partei zu einer Aussprache mit dem Gegner über den Streitfall angerufen werden; einer Zustimmung des Gegners bedarf es nicht. Für die Zuständigkeit der Einigungsstellen ist § 14 entsprechend anzu- wenden. Die der Einigungsstelle vorsitzende Person kann das persönliche Erscheinen der Parteien anordnen. Gegen eine unentschuldigt ausblei- bende Partei kann die Einigungsstelle ein Ordnungsgeld festsetzen. Gegen die Anordnung des persönlichen Erscheinens und gegen die Festsetzung des Ordnungsgeldes findet die sofortige Beschwerde nach den Vorschriften der Zivilprozessordnung an das für den Sitz der Einigungs- stelle zuständige Landgericht (Kammer für Handelssachen oder, falls es an einer solchen fehlt, Zivilkammer) statt. Die Einigungsstelle hat einen gütlichen Ausgleich anzustreben. Sie kann den Parteien einen schriftlichen, mit Gründen versehenen Einigungsvor- schlag machen. Der Einigungsvorschlag und seine Begründung dürfen nur mit Zustimmung der Parteien veröffentlicht werden. Kommt ein Vergleich zustande, so muss er in einem besonderen Schrift stück niedergelegt und unter Angabe des Tages seines Zustandekom- mens von den Mitgliedern der Einigungsstelle, welche in der Verhand- lung mitgewirkt haben, sowie von den Parteien unterschrieben werden. Aus einem vor der Einigungsstelle geschlossenen Vergleich findet die Zwangsvollstreckung statt; § 797a der Zivilprozessordnung ist entspre- chend anzuwenden. Die Einigungsstelle kann, wenn sie den geltend gemachten Anspruch von vornherein für unbegründet oder sich selbst für unzuständig erachtet, die Einleitung von Einigungsverhandlungen ablehnen. Durch die Anrufung der Einigungsstelle wird die Verjährung in gleicher Weise wie durch Klageerhebung gehemmt. Kommt ein Vergleich nicht zustande, so ist der Zeitpunkt, zu dem das Verfahren beendet ist, von der Einigungsstelle festzustellen. Die vorsitzende Person hat dies den Parteien mitzuteilen. (10) Ist ein Rechtsstreit der in Absatz 3 Satz 2 bezeichneten Art ohne vor herige Anrufung der Einigungsstelle anhängig gemacht worden, so kann das Gericht auf Antrag den Parteien unter Anberaumung eines neuen Termins aufgeben, vor diesem Termin die Einigungsstelle zur Herbeiführung eines gütlichen Ausgleichs anzurufen. In dem Verfahren über den Antrag auf Erlass einer einstweiligen Verfügung ist diese Anordnung nur zulässig, wenn der Gegner zustimmt. Absatz 8 ist nicht anzuwenden. Ist ein Verfahren vor der Einigungsstelle anhängig, so ist eine erst nach Anrufung der Einigungsstelle erhobene Klage des Antragsgegners auf Feststellung, dass der geltend gemachte Anspruch nicht bestehe, nicht zulässig. (11) Die Landesregierungen werden ermächtigt, durch Rechtsverordnung die zur Durchführung der vorstehenden Bestimmungen und zur Rege lung des Verfahrens vor den Einigungsstellen erforderlichen Vorschriften zu erlassen, insbesondere über die Aufsicht über die Einigungsstellen, über ihre Besetzung unter angemessener Beteiligung der nicht den Indus- trie- und Handelskammern angehörenden Unternehmern (§ 2 Abs. 2 bis 6 des Gesetzes zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern in der im Bundesgesetzblatt Teil III, Gliederungsnum- mer 701-1, veröffentlichten bereinigten Fassung) und über die Vollstre- ckung von Ordnungsgeldern sowie Bestimmungen über die Erhebung von Auslagen durch die Einigungsstelle zu treffen. Bei der Besetzung der Einigungsstellen sind die Vorschläge der für ein Bundesland errichteten, mit öffentlichen Mitteln geförderten Verbrau- cherzentralen zur Bestimmung der in Absatz 2 Satz 2 genannten Ver- braucher zu berücksichtigen. (12) Abweichend von Absatz 2 Satz 1 kann in den Ländern Brandenburg, Mecklenburg-Vorpommern, Sachsen, Sachsen-Anhalt und Thüringen die Einigungsstelle auch mit einem Rechtskundigen als Vorsitzendem besetzt werden, der die Befähigung zum Berufsrichter nach dem Recht der Deutschen Demokratischen Republik erworben hat. KAPITEL 4 | STRAF- UND BUßGELDVORSCHRIFTEN § 16 Strafbare Werbung (1) Wer in der Absicht, den Anschein eines besonders günstigen Angebots hervorzurufen, in öffentlichen Bekanntmachungen oder in Mitteilungen, die für einen größeren Kreis von Personen bestimmt sind, durch unwahre Angaben irreführend wirbt, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Wer es im geschäftlichen Verkehr unternimmt, Verbraucher zur Abnah- me von Waren, Dienstleistungen oder Rechten durch das Versprechen zu veranlassen, sie würden entweder vom Veranstalter selbst oder von einem Dritten besondere Vorteile erlangen, wenn sie andere zum Ab schluss gleichartiger Geschäfte veranlassen, die ihrerseits nach der Art dieser Werbung derartige Vorteile für eine entsprechende Werbung weiterer Abnehmer erlangen sollen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Ein Joint Venture von arvato und Creditreform § 17 Verrat von Geschäfts- und Betriebsgeheimnissen (1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungs- dauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Ab sicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unterneh- mens Schaden zuzufügen, 1. sich ein Geschäfts- oder Betriebsgeheimnis durch a) Anwendung technischer Mittel, b) Herstellung einer verkörperten Wiedergabe des Geheimnisses oder c) Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unbefugt verschafft oder sichert oder 2. ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Absatz 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. gewerbsmäßig handelt, 2. bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll, oder 3. eine Verwertung nach Absatz 2 Nr. 2 im Ausland selbst vornimmt. (5) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungs- behörde wegen des besonderen öffentlichen Interesses an der Strafver- folgung ein Einschreiten von Amts wegen für geboten hält. (6) § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend. § 18 Verwertung von Vorlagen (1) Wer die ihm im geschäftlichen Verkehr anvertrauten Vorlagen oder Vor- schriften technischer Art, insbesondere Zeichnungen, Modelle, Schablonen, Schnitte, Rezepte, zu Zwecken des Wettbewerbs oder aus Eigennutz un befugt verwertet oder jemandem mitteilt, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungs- behörde wegen des besonderen öffentlichen Interesses an der Strafver folgung ein Einschreiten von Amts wegen für geboten hält. (4) § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend. § 19 Verleiten und Erbieten zum Verrat (1) Wer zu Zwecken des Wettbewerbs oder aus Eigennutz jemanden zu bestimmen versucht, eine Straftat nach § 17 oder § 18 zu begehen, oder zu einer solchen Straftat anzustiften versucht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs oder aus Eigen nutz sich bereit erklärt oder das Erbieten eines anderen annimmt oder mit einem anderen verabredet, eine Straftat nach § 17 oder § 18 zu be gehen oder zu ihr anzustiften. (3) (4) (5) § 31 des Strafgesetzbuches gilt entsprechend. Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfol- gungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend. § 20 (1) (2) (3) Bußgeldvorschriften Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 7 Abs. 1 in Verbindung mit Abs. 2 Nr. 2 gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung mit einem Telefonanruf wirbt. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden. Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen. ANHANG | (ZU § 3 ABS. 3) (Fundstelle: BGBl. I 2010, 262-263) Unzulässige geschäftliche Handlungen im Sinne des § 3 Abs. 3 sind 1. die unwahre Angabe eines Unternehmers, zu den Unterzeichnern eines Verhaltenskodexes zu gehören; 2. die Verwendung von Gütezeichen, Qualitätskennzeichen oder Ähnlichem ohne die erforderliche Genehmigung; 3. die unwahre Angabe, ein Verhaltenskodex sei von einer öffentlichen oder anderen Stelle gebilligt; 4. die unwahre Angabe, ein Unternehmer, eine von ihm vorgenommene geschäftliche Handlung oder eine Ware oder Dienstleistung sei von einer öffentlichen oder privaten Stelle bestätigt, gebilligt oder ge nehmigt worden, oder die unwahre Angabe, den Bedingungen für die Bestätigung, Billigung oder Genehmigung werde entsprochen; 5. Waren- oder Dienstleistungsangebote im Sinne des § 5a Abs. 3 zu einem bestimmten Preis, wenn der Unternehmer nicht darüber auf klärt, dass er hinreichende Gründe für die Annahme hat, er werde nicht in der Lage sein, diese oder gleichartige Waren oder Dienst- leistungen für einen angemessenen Zeitraum in angemessener Menge zum genannten Preis bereitzustellen oder bereitstellen zu lassen (Lockangebote). Ist die Bevorratung kürzer als zwei Tage, obliegt es dem Unternehmer, die Angemessenheit nachzuweisen; 6. Waren- oder Dienstleistungsangebote im Sinne des § 5a Abs. 3 zu einem bestimmten Preis, wenn der Unternehmer sodann in der Ab sicht, stattdessen eine andere Ware oder Dienstleistung abzusetzen, eine fehlerhafte Ausführung der Ware oder Dienstleistung vorführt oder sich weigert zu zeigen, was er beworben hat, oder sich weigert, Bestellungen dafür anzunehmen oder die beworbene Leistung inner halb einer vertretbaren Zeit zu erbringen; 7. die unwahre Angabe, bestimmte Waren oder Dienstleistungen seien allgemein oder zu bestimmten Bedingungen nur für einen sehr begrenzten Zeitraum verfügbar, um den Verbraucher zu einer sofor tigen geschäftlichen Entscheidung zu veranlassen, ohne dass dieser Zeit und Gelegenheit hat, sich auf Grund von Informationen zu ent scheiden; 41 8. Kundendienstleistungen in einer anderen Sprache als derjenigen, in der die Verhandlungen vor dem Abschluss des Geschäfts geführt worden sind, wenn die ursprünglich verwendete Sprache nicht Amtssprache des Mitgliedstaats ist, in dem der Unternehmer nieder gelassen ist; dies gilt nicht, soweit Verbraucher vor dem Abschluss des Geschäfts darüber aufgeklärt werden, dass diese Leistungen in einer anderen als der ursprünglich verwendeten Sprache erbracht werden; 9. die unwahre Angabe oder das Erwecken des unzutreffenden Eindrucks, eine Ware oder Dienstleistung sei verkehrsfähig; 10. die unwahre Angabe oder das Erwecken des unzutreffenden Ein drucks, gesetzlich bestehende Rechte stellten eine Besonderheit des Angebots dar; 11. der vom Unternehmer finanzierte Einsatz redaktioneller Inhalte zu Zwecken der Verkaufsförderung, ohne dass sich dieser Zusam- menhang aus dem Inhalt oder aus der Art der optischen oder akustischen Darstellung eindeutig ergibt (als Information getarnte Werbung); 12.unwahre Angaben über Art und Ausmaß einer Gefahr für die per sönliche Sicherheit des Verbrauchers oder seiner Familie für den Fall, dass er die angebotene Ware nicht erwirbt oder die angebotene Dienstleistung nicht in Anspruch nimmt; 13. Werbung für eine Ware oder Dienstleistung, die der Ware oder Dienst leistung eines Mitbewerbers ähnlich ist, wenn dies in der Absicht geschieht, über die betriebliche Herkunft der beworbenen Ware oder Dienstleistung zu täuschen; 14. die Einführung, der Betrieb oder die Förderung eines Systems zur Verkaufsförderung, das den Eindruck vermittelt, allein oder haupt- sächlich durch die Einführung weiterer Teilnehmer in das System könne eine Vergütung erlangt werden (Schneeball- oder Pyramiden- system); 15. die unwahre Angabe, der Unternehmer werde demnächst sein Geschäft aufgeben oder seine Geschäftsräume verlegen; 16. die Angabe, durch eine bestimmte Ware oder Dienstleistung ließen sich die Gewinnchancen bei einem Glücksspiel erhöhen; 17. die unwahre Angabe oder das Erwecken des unzutreffenden Ein drucks, der Verbraucher habe bereits einen Preis gewonnen oder werde ihn gewinnen oder werde durch eine bestimmte Handlung einen Preis gewinnen oder einen sonstigen Vorteil erlangen, wenn es einen solchen Preis oder Vorteil tatsächlich nicht gibt, oder wenn jedenfalls die Möglichkeit, einen Preis oder sonstigen Vorteil zu erlangen, von der Zahlung eines Geldbetrags oder der Übernahme von Kosten abhängig gemacht wird; 18.die unwahre Angabe, eine Ware oder Dienstleistung könne Krank- heiten, Funktionsstörungen oder Missbildungen heilen; 19.eine unwahre Angabe über die Marktbedingungen oder Bezugsquellen, um den Verbraucher dazu zu bewegen, eine Ware oder Dienstleistung zu weniger günstigen Bedingungen als den allgemeinen Marktbe- dingungen abzunehmen oder in Anspruch zu nehmen; 20.das Angebot eines Wettbewerbs oder Preisausschreibens, wenn weder die in Aussicht gestellten Preise noch ein angemessenes Äqui valent vergeben werden; 42 21.das Angebot einer Ware oder Dienstleistung als »gratis«, »umsonst«, »kostenfrei« oder dergleichen, wenn hierfür gleichwohl Kosten zu tragen sind; dies gilt nicht für Kosten, die im Zusammenhang mit dem Eingehen auf das Waren- oder Dienstleistungsangebot oder für die Abholung oder Lieferung der Ware oder die Inanspruchnahme der Dienstleistung unvermeidbar sind; 22.die Übermittlung von Werbematerial unter Beifügung einer Zahlungs aufforderung, wenn damit der unzutreffende Eindruck vermittelt wird, die beworbene Ware oder Dienstleistung sei bereits bestellt; 23. die unwahre Angabe oder das Erwecken des unzutreffenden Ein drucks, der Unternehmer sei Verbraucher oder nicht für Zwecke seines Geschäfts, Handels, Gewerbes oder Berufs tätig; 24.die unwahre Angabe oder das Erwecken des unzutreffenden Ein- drucks, es sei im Zusammenhang mit Waren oder Dienstleistungen in einem anderen Mitgliedstaat der Europäischen Union als dem des Warenverkaufs oder der Dienstleistung ein Kundendienst verfügbar; 25.das Erwecken des Eindrucks, der Verbraucher könne bestimmte Räum lichkeiten nicht ohne vorherigen Vertragsabschluss verlassen; 26.bei persönlichem Aufsuchen in der Wohnung die Nichtbeachtung einer Aufforderung des Besuchten, diese zu verlassen oder nicht zu ihr zurückzukehren, es sein denn, der Besuch ist zur rechtmäßigen Durchsetzung einer vertraglichen Verpflichtung gerechtfertigt; 27.Maßnahmen, durch die der Verbraucher von der Durchsetzung seiner vertraglichen Rechte aus einem Versicherungsverhältnis dadurch ab gehalten werden soll, dass von ihm bei der Geltendmachung seines Anspruchs die Vorlage von Unterlagen verlangt wird, die zum Nach weis dieses Anspruchs nicht erforderlich sind, oder dass Schreiben zur Geltendmachung eines solchen Anspruchs systematisch nicht beantwortet werden; 28.die in eine Werbung einbezogene unmittelbare Aufforderung an Kinder, selbst die beworbene Ware zu erwerben oder die beworbene Dienstleistung in Anspruch zu nehmen oder ihre Eltern oder andere Erwachsene dazu zu veranlassen; 29.die Aufforderung zur Bezahlung nicht bestellter Waren oder Dienst leistungen oder eine Aufforderung zur Rücksendung oder Aufbe wahrung nicht bestellter Sachen, sofern es sich nicht um eine nach den Vorschriften über Vertragsabschlüsse im Fernabsatz zulässige Ersatzlieferung handelt, und 30.die ausdrückliche Angabe, dass der Arbeitsplatz oder Lebens unterhalt des Unternehmers gefährdet sei, wenn der Verbraucher die Ware oder Dienstleistung nicht abnehme. ANHANG BDSG Bundesdatenschutzgesetz Allgemeine und gemeinsame Bestimmungen Rechtsgrundlagen der Datenverarbeitung Rechte des Betroffenen Aufsichtsbehörde Sondervorschriften beDirect ist ein Joint Venture von arvato und Creditreform ERSTER ABSCHNITT ALLGEMEINE UND GEMEINSAME BESTIMMUNGEN § 1 Zweck und Anwendungsbereich des Gesetzes (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. (2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung perso- nenbezogener Daten durch 1. öffentliche Stellen des Bundes, 2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie a) Bundesrecht ausführen oder b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt, 3. nichtöffentliche Stellen, soweit sie die Daten unter Einsatz von Daten- verarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. (3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. (4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsver fahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts per sonenbezogene Daten verarbeitet werden. (5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertrags- staat des Abkommens über den Europäischen Wirtschaftsraum bele- gene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland er hebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt. §2 (1) 44 Öffentliche und nichtöffentliche Stellen Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten die aus dem Sonderver mögen Deutsche Bundespost durch Gesetz hervorgegangenen Unter nehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht. (2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechts- pflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffent- lichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. (3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffent- liche Stellen des Bundes, wenn 1. sie über den Bereich eines Landes hinaus tätig werden oder 2. dem Bund die absolute Mehrheit der Anteile gehört oder die abso lute Mehrheit der Stimmen zusteht. Andernfalls gelten sie als öffentliche Stellen der Länder. (4) Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesell- schaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. § 3 Weitere Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach be stimmten Merkmalen zugänglich ist und ausgewertet werden kann. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. (4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personen bezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten gespeicherter personen- bezogener Daten, 3. Übermitteln das Bekanntgeben gespeicherter oder durch Daten verarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. (6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natür lichen Person zugeordnet werden können. Ein Joint Venture von arvato und Creditreform (6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifika- tionsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirt- schaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. (9) Besondere Arten personenbezogener Daten sind Angaben über die ras sische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesund- heit oder Sexualleben. (10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, 1. die an den Betroffenen ausgegeben werden, 2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verar- beitet werden können und 3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. (11) Beschäftigte sind: 1. Arbeitnehmerinnen und Arbeitnehmer, 2. zu ihrer Berufsbildung Beschäftigte, 3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), 4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte, 5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte, 6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, 7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, 8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Solda- tinnen und Soldaten sowie Zivildienstleistende. § 3a Datenvermeidung und Datensparsamkeit Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie mög lich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind perso- nenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. §4 (1) Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvor- schrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. (2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Auf wand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. (3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Er teilung der Auskunft Voraussetzung für die Gewährung von Rechtsvor- teilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären. § 4a Einwilligung (1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Ein zelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. § 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen (1) Für die Übermittlung personenbezogener Daten an Stellen 1. in anderen Mitgliedstaaten der Europäischen Union, 2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder 3. der Organe und Einrichtungen der Europäischen Gemeinschaften gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europä- ischen Gemeinschaften fallen. 45 (2) (3) (4) (5) (6) Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. Satz 2 gilt nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden Gründen der Verteidigung oder zur Erfüllung über- oder zwischenstaatliche Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde. Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. § 4c Ausnahmen (1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungs bereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutz niveau nicht gewährleistet ist, zulässig, sofern 1. der Betroffene seine Einwilligung gegeben hat, 2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Be troffenen getroffen worden sind, erforderlich ist, 3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwort- lichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll, 4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Inte resses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist, 5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder 6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Vorausset- zungen im Einzelfall gegeben sind. 46 (2) (3) Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. Bei den Post- und Telekommunikationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor. Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit. § 4d Meldepflicht (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nichtöffentlichen verantwortlichen Stellen der zuständigen Auf- sichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundes beauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftrag ten für den Datenschutz bestellt hat. (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personen bezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbei tung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Ver arbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der Übermittlung, 2. zum Zweck der anonymisierten Übermittlung oder 3. für Zwecke der Markt- oder Meinungsforschung gespeichert werden. (5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verar-beitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäft lichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Ein Joint Venture von arvato und Creditreform (6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden. § 4e Inhalt der Meldepflicht Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen: 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. eine Beschreibung der betroffenen Personengruppen und der dies- bezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mit geteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten, 9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu be- urteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicher heit der Verarbeitung angemessen sind. § 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend. § 4f (1) (2) Beauftragter für den Datenschutz Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nichtöffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erfor- derlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nichtöffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässig- keit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwort- lichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen. (3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entspre- chender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nichtöffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, wider rufen werden. Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kün digung innerhalb eines Jahres nach der Beendigung der Bestellung un zulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. (4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. (4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kennt- nis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Grün den ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeug nisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot. (5) Die öffentlichen und nichtöffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erfor- derlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauf- tragten für den Datenschutz wenden. § 4g Aufgaben des Beauftragten für den Datenschutz (1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zu ständige Behörde wenden. Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen. Er hat insbesondere 1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automati- sierten Verarbeitung personenbezogener Daten rechtzeitig zu unter- richten, 2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den je weiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. 47 (2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Be auftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. (2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestel- lung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen. (3) Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den Datenschutz und dem Behördenleiter entscheidet die oberste Bundesbehörde. § 5 Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nichtöffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. § 6 (1) (2) (3) Rechte des Betroffenen Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanz verwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterrichten. In diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6. Personenbezogene Daten über die Ausübung eines Rechts des Betrof- fenen, das sich aus diesem Gesetz oder aus einer anderen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflichten der verantwortlichen Stelle verwendet werden. § 6a Automatisierte Einzelentscheidung (1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Ent scheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person statt gefunden hat. 48 (2) Dies gilt nicht, wenn 1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder 2. die Wahrung der berechtigten Interessen des Betroffenen durch ge eignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert. (3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten. § 6b Beobachtung öffentlich zugänglicher Räume mit optisch elektronischen Einrichtungen (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektro- nischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen. (3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur ver arbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straf taten erforderlich ist. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen. (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. § 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbei- tungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbei- tung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Me diums einschließlich der Art der zu verarbeitenden personenbezo- genen Daten, 3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maß nahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. Ein Joint Venture von arvato und Creditreform (2) (3) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein. § 7 Schadensersatz Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personen- bezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. § 8 (1) (2) (3) (4) (5) (6) Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Daten- schutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet. Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130.000 Euro begrenzt. Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamt- betrag zu dem Höchstbetrag steht. Sind bei einer automatisierten Verarbeitung mehrere Stellen speiche- rungsberechtigt und ist der Geschädigte nicht in der Lage, die spei- chernde Stelle festzustellen, so haftet jede dieser Stellen. Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen Gesetzbuchs. Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung. § 9 Technische und organisatorische Maßnahmen Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. § 9a Datenschutzaudit Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch beson- deres Gesetz geregelt. § 10 Einrichtung automatisierter Abrufverfahren (1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des ein zelnen Abrufs bleiben unberührt. (2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen: 1. Anlass und Zweck des Abrufverfahrens, 2. Dritte, an die übermittelt wird, 3. Art der zu übermittelnden Daten, 4. nach § 9 erforderliche technische und organisatorische Maßnahmen. Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden. (3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unter Mitteilung der Festle- gungen nach Absatz 2 zu unterrichten. Die Einrichtung von Abrufverfah- ren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn das für die speichernde und die ab rufende Stelle jeweils zuständige Bundes- oder Landesministerium zugestimmt hat. (4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässig keit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichproben verfahren festgestellt und überprüft werden kann. Wird ein Gesamt- bestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Fest stellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes. (5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann. § 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen er hoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maß nahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 49 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbe- sondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhält nissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Dul dungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm be schäftigten Personen gegen Vorschriften zum Schutz personenbezo- gener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber ge genüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auf tragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vor schriften über den Datenschutz verstößt, hat er den Auftraggeber unver züglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nichtöffentliche Stellen, bei denen der öffentlichen Hand die Mehr heit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Daten- schutzgesetze der Länder, 2. die übrigen nichtöffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder War tung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. ZWEITER ABSCHNITT DATENVERARBEITUNG DER ÖFFENTLICHEN STELLEN §§ 12 -26 (…) 50 DRITTER ABSCHNITT DATENVERARBEITUNG NICHTÖFFENTLICHER STELLEN UND ÖFFENTLICH-RECHTLICHER WETTBEWERBSUNTERNEHMEN Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung § 27 Anwendungsbereich (1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit perso- nenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen ver arbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 1. nichtöffentliche Stellen, 2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26. (2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. § 28 Datenerhebung und -speicherung für eigene Geschäftszwecke (1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezoge ner Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäfts zwecke ist zulässig, 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält- nisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. (2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig: 1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3, 2. soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten oder b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutz- Ein Joint Venture von arvato und Creditreform würdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder 3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Inte resse des Betroffenen an dem Ausschluss der Zweckänderung erheb- lich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (3) Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Ange hörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist 1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppen- zugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Ruf-nummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat, 2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder 3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes steuerbegünstigt sind. Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern. Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermitt- lung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall muss die Stelle, die die Daten erstmals erhoben hat, aus der Werbung eindeutig hervorgehen. Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten ver antwortliche Stelle eindeutig erkennbar ist. Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Nach den Sätzen 1, 2 und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder ge nutzt werden, für den sie übermittelt worden sind. (3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung beson ders hervorzuheben. (3b) Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumut barer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilli- gung ist unwirksam. (4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Verar- beitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsge- schäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. In den Fällen des Absatzes 1 Satz 1 Nummer 1 darf für den Widerspruch keine strengere Form verlangt werden als für die Begrün dung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuld verhältnisses. (5) Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm über- mittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nichtöffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt. Die übermittelnde Stelle hat ihn darauf hinzuweisen. (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personen- bezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn 1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder 4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungs vorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhält- nismäßigem Aufwand erreicht werden kann. (7) Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unter liegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 ge nannten Zwecken richtet sich nach den für die in Satz 1 genannten Per sonen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Ange hörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuches genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre. 51 (8) (9) Für einen anderen Zweck dürfen die besonderen Arten personenbezo gener Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. Organisationen, die politisch, philosophisch, religiös oder gewerkschaft- lich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. Absatz 2 Nummer 2 Buchstabe b gilt entsprechend. § 28aDatenübermittlung an Auskunfteien (1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung be rechtigter Interessen der verantwortlichen Stelle oder eines Dritten er forderlich ist und 1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreck- bar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt, 2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist, 3. der Betroffene die Forderung ausdrücklich anerkannt hat, 4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Über mittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und d) der Betroffene die Forderung nicht bestritten hat oder 5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Über mittlung unterrichtet hat. Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet. (2) Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durch führung und Beendigung eines Vertragsverhältnisses betreffend ein Bank geschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei denn, dass das schutzwürdige Inte resse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. Der Betroffene ist vor Abschluss des Vertrages hierüber zu unterrichten. Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. Zur zu künftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertrag lichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig. 52 (3) Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. Die Auskunftei hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten. § 28bScoring Zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathe matisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind; 2. im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen; 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden; 4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berech- nung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu doku- mentieren. § 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung (1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen per sonenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adress handel dient, ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz würdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensicht- lich überwiegt, oder 3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespei- chert werden. § 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden. (2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn 1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Inte resse an ihrer Kenntnis glaubhaft dargelegt hat und 2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz- würdiges Interesse an dem Ausschluss der Übermittlung hat. § 28 Absatz 3 bis 3b gilt entsprechend. Bei der Übermittlung nach Satz 1 Nr. 1 sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. Bei der Übermittlung im automatisierten Abrufver fahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten über mittelt werden. Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen. Ein Joint Venture von arvato und Creditreform (3) (4) (5) (6) (7) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeich- nis oder Register ersichtlich ist. Der Empfänger der Daten hat sicherzu- stellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden. Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5. § 28 Abs. 6 bis 9 gilt entsprechend. Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum genauso zu behandeln wie Auskunfts- verlangen inländischer Darlehensgeber. Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. Die Unterrichtung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 6a bleibt unberührt. § 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form (1) Werden personenbezogene Daten geschäftsmäßig erhoben und gespei- chert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Diese Merkmale dürfen mit den Einzel angaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforder lich ist. (2) Die Veränderung personenbezogener Daten ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz- würdiges Interesse an dem Ausschluss der Veränderung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Veränderung offensichtlich überwiegt. (3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. (4) § 29 gilt nicht. (5) § 28 Abs. 6 bis 9 gilt entsprechend. §30aGeschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung (1) Das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezo- gener Daten für Zwecke der Markt- oder Meinungsforschung ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz- würdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt. Besondere Arten personenbezogener Daten (§ 3 Absatz 9) dürfen nur für ein bestimmtes Forschungsvorhaben erhoben, verarbeitet oder genutzt werden. (2) Für Zwecke der Markt- oder Meinungsforschung erhobene oder gespei- cherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet oder genutzt werden. Daten, die nicht aus allgemein zugänglichen Quellen entnommen worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, dürfen nur für das Forschungsvorhaben verarbeitet oder genutzt werden, für das sie erhoben worden sind. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann. (3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Zweck des Forschungsvorhabens, für das die Daten erhoben worden sind, möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies nach dem Zweck des Forschungsvorhabens erfor- derlich ist. (4) § 29 gilt nicht. (5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend. § 31 | Besondere Zweckbindung Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespei- chert werden, dürfen nur für diese Zwecke verwendet werden. § 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungs verhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforder- lich ist und das schutzwürdige Interesse des Beschäftigten an dem Aus schluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, ins besondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhält- nismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. 53 Zweiter Unterabschnitt Rechte des Betroffenen § 33 Benachrichtigung des Betroffenen (1) Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kennt nis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benach- richtigen. Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Be troffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. (2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, nament lich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen, 4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorge- sehen ist, 5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhält nismäßigen Aufwand erfordern würde, 6. die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde, 7. die Daten für eigene Zwecke gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unver- hältnismäßig ist oder b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt, 8. die Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffent- licht haben, oder b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt (§ 29 Absatz 2 Satz 2) und eine Benachrichtigung wegen der Viel zahl der betroffenen Fälle unverhältnismäßig ist, 9. aus allgemein zugänglichen Quellen entnommene Daten geschäfts mäßig für Zwecke der Markt- oder Meinungsforschung gespeichert sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. Die verantwortliche Stelle legt schriftlich fest, unter welchen Vorausset- zungen von einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird. 54 § 34 Auskunft an den Betroffenen (1) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. Der Betroffene soll die Art der personenbezogenen Daten, über die Aus kunft erteilt werden soll, näher bezeichnen. Werden die personenbezo genen Daten geschäftsmäßig zum Zweck der Übemittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheim nisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (1a) Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen. Satz 1 gilt entsprechend für den Empfänger. (2) Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten sechs Monate vor dem Zugang des Aus- kunftsverlangens erhobenen oder erstmals gespeicherten Wahr scheinlichkeitswerte, 2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten- arten und 3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeits- werte einzelfallbezogen und nachvollziehbar in allgemein verständ- licher Form. Satz 1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle 1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. Hat eine andere als die für die Entscheidung verantwortliche Stelle 1. den Wahrscheinlichkeitswert oder 2. einen Bestandteil des Wahrscheinlichkeitswerts berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche nach den Sätzen 1 und 2 erforderlichen Angaben auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. Im Falle des Satzes 3 Nr. 1 hat die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. In diesem Fall hat die andere Stelle, die den Wahrscheinlichkeitswert be rechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber dem Betroffenen unentgeltlich zu erfüllen. Die Pflicht der für die Berech- nung des Wahrscheinlichkeitswerts verantwortlichen Stelle nach Satz 3 entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem Recht nach Satz 4 Gebrauch macht. Ein Joint Venture von arvato und Creditreform (3) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichert, hat dem Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen, auch wenn sie weder automatisiert verarbeitet werden noch in einer nicht automa- tisierten Datei gespeichert sind. Dem Betroffenen ist auch Auskunft zu erteilen über Daten, die 1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll, 2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Aus kunftserteilung nutzt. Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheim- nisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (4) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erhebt, speichert oder verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunfts verlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und letzt bekannten Anschriften der Dritten, an die die Werte übermittelt worden sind, 2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunfts- verlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben, 3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Datenarten sowie 4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeits- werte einzelfallbezogen und nachvollziehbar in allgemein verständ- licher Form. Satz 1 gilt entsprechend, wenn die verantwortliche Stelle 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. (5) Die nach den Absätzen 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden; für andere Zwecke sind sie zu sperren. (6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung an gemessen ist. (7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist. (8) Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Text form verlangen. Für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirt schaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann nicht verlangt werden, wenn 1. besondere Umstände die Annahme rechtfertigen, dass Daten un richtig oder unzulässig gespeichert werden, oder 2. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind. (9) Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen. Er ist hierauf hinzuweisen. § 35 Berichtigung, Löschung und Sperrung von Daten (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Geschätzte Daten sind als solche deutlich zu kennzeichnen. (2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist, 2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerk- schaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der ver antwortlichen Stelle nicht bewiesen werden kann, 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder 4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres, beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforder- lich ist. Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegen- stehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutz- würdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (4a) Die Tatsache der Sperrung darf nicht übermittelt werden. (5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbei- tung oder Verarbeitung in nicht automatisierten Dateien erhoben, ver arbeitet oder genutzt werden, soweit der Betroffene dieser bei der ver antwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutz würdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechts vorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit be stritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zu- gänglichen Quellen entnommen und zu Dokumentationszwecken ge speichert sind. Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden. 55 (7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermitt lung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Inte ressen des Betroffenen nicht entgegenstehen. (8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der ver antwortlichen Stelle oder eines Dritten liegenden Gründen unerläss- lich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. Dritter Unterabschnitt Aufsichtsbehörde § 38 (1) (2) (3) 56 Aufsichtsbehörde Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automati- sierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisier- ten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten entsprechend. Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1. Das Register kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen. Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist darauf hinzuweisen. (4) (5) (6) (7) Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertra- genen Aufgaben erforderlich ist, während der Betriebs- und Geschäfts- zeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der Auskunfts pflichtige hat diese Maßnahmen zu dulden. Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vor- schriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organi- satorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbun- den sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuver- lässigkeit nicht besitzt. Die Landesregierungen oder die von ihnen ermächtigten Stellen bestim- men die für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden. Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe bleibt unberührt. § 38aVerhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen (1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. (2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. VIERTER ABSCHNITT SONDERVORSCHRIFTEN § 39 (1) (2) Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen Personenbezogene Daten, die einem Berufs- oder besonderen Amtsge- heimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. In die Übermittlung an eine nichtöffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen. Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist. Ein Joint Venture von arvato und Creditreform § 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungs- einrichtungen (1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. (2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert. (3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personen bezogene Daten nur veröffentlichen, wenn 1. der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. § 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien (1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhe- bung, Verarbeitung und Nutzung personenbezogener Daten von Unter nehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen. (2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nut- zung personenbezogener Daten durch die Deutsche Welle zur Veröffent- lichung von Gegendarstellungen des Betroffenen, so sind diese Gegen darstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst. (3) Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit 1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann, 2. aus den Daten auf die Person des Einsenders oder des Gewährsträgers von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann, 3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde. Der Betroffene kann die Berichtigung unrichtiger Daten verlangen. (4) Im Übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a. Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt. § 42 Datenschutzbeauftragter der Deutschen Welle (1) Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauervon vier Jahren, wobei Wiederbestellungen zulässig sind. Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden. (2) (3) (4) (5) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unter- worfen. Im Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden. Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994 einen Tätigkeitsbericht. Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. Die §§ 4f und 4g bleiben unberührt. § 42aInformationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchti- gungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Auf- sichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenenmuss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kennt niserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhält nismäßigen Aufwand erfordern würde, insbesondere aufgrund der Viel zahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffent- lichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffe nen gleich geeignete Maßnahme. Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungs- pflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen ver wendet werden. 57 FÜNFTER ABSCHNITT SCHLUSSVORSCHRIFTEN § 43 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, 2a.entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Daten übermittlung festgestellt und überprüft werden kann, 2b.entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht voll ständig oder nicht in der vorgeschriebenen Weise erteilt oder ent gegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverar beitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, 3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betrof- fene Kenntnis erhalten kann, 3a.entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, 4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, 4a.entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet, 6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektro- nische oder gedruckte Adress-, Rufnummern-, Branchen- oder ver gleichbare Verzeichnisse aufnimmt, 7. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt, 7a.entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt, 7b.entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet. 8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, 8a.entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, ent gegen § 34 Absatz 1a, entgegen § 34 Absatz 2 Satz 1, auch in Ver- bindung mit Satz 2, oder entgegen § 34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht recht- zeitig erteilt oder entgegen § 34 Absatz 1a Daten nicht speichert, 8b.entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht voll ständig oder nicht rechtzeitig übermittelt, 8c.entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht recht- zeitig an die andere Stelle verweist, 9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt, 10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder 11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwider handelt. 58 (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält, 3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Ver arbeitungen oder nicht automatisierten Dateien verschafft, 4. die Übermittlung von personenbezogenen Daten, die nicht allge- mein zugänglich sind, durch unrichtige Angaben erschleicht, 5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittel ten Daten für andere Zwecke nutzt, 5a.entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht, 5b.entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt, 6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder 7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geld buße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrig- keit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. § 44 Strafvorschriften (1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Ent gelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betrof- fene, die verantwortliche Stelle, der Bundesbeauftragte für den Daten- schutz und die Informationsfreiheit und die Aufsichtsbehörde. SECHSTER ABSCHNITT ÜBERGANGSVORSCHRIFTEN § 45 Laufende Verwendungen Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personen- bezogener Daten und zum freien Datenverkehr zur Anwendung gelan- gen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezo- gener Daten, die am 23. Mai 2001 bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Ein Joint Venture von arvato und Creditreform § 46 Weitergeltung von Begriffsbestimmungen (1) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei 1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder 2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeord- net und ausgewertet werden kann (nicht automatisierte Datei). Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können. (2) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte ver wendet, ist Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. (3) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger verwendet, ist Empfänger jede Person oder Stelle außerhalb der verant- wortlichen Stelle. Empfänger sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europä- ischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. § 47 Übergangsregelung Für die Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010, 2. für Zwecke der Werbung bis zum 31. August 2012. § 48 Bericht der Bundesregierung Die Bundesregierung berichtet dem Bundestag 1. bis zum 31. Dezember 2012 über die Auswirkungen der §§ 30a und 42a, 2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29. Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen empfehlen, soll der Bericht einen Vorschlag enthalten. ANLAGE (ZU § 9 SATZ 1) Fundstelle des Originaltextes: BGBl. I 2003, 88 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu ver wehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungs systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektro- nischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertra- gung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbei- tungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag ver arbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 59 Der direkte Draht: Ihre beDirect-Ansprechpartner HABEN SIE FRAGEN? Unsere Experten beraten Sie gern telefonisch oder per E-Mail. Vereinbaren Sie einen Termin für ein ausführliches persönliches Gespräch! Kundencenter Gütersloh Impressum Ariane Eggers Telefon 05241 80-45614 [email protected] beDirect GmbH & Co. KG Carl-Bertelsmann-Straße 105–107 33311 Gütersloh Telefon 05241 80-45600 Telefax 05241 80-45699 Nicole Heublein Telefon 05241 80-45611 [email protected] Services online Im Internet unter » www.bedirect.de finden Sie nützliche Informationen und Planungshilfen. Unsere Produktbroschüren liegen hier auch als PDF-Dateien zum Download bereit. Rechtliche Hinweise Trotz gewissenhafter Erstellung wird eine Haftung für die Richtigkeit und Vollständigkeit nicht übernommen. Die Ausführungen ersetzen weder die rechtliche Überprüfung einer Werbemaßnahme noch die Beratung hinsichtlich einer solchen Maßnahme. 60 Handelsregister-Nr.: Amtsgericht Gütersloh HRA 4251 Umsatzsteuer-ID-Nr.: DE 813285800 Steuernummer: 347/5900/3143 Geschäftsführer: Roland Meyer Pers. haftende Gesellschafterin: beDirect Verwaltungs-GmbH Sitz: Gütersloh, Amtsgericht Gütersloh HRB 4170 Herausgeber: beDirect GmbH & Co. KG Redaktion: Elena Baeder Gestaltung: bif Stand der Bearbeitung: 07.06.2012 © 2012 beDirect GmbH & Co. KG
