Veranstaltungen

Kundendatenschutz
Leitfaden für die Praxis
Herausgegeben von
der Gesellschaft für Datenschutz und
Datensicherung e.V., Bonn
und
dem Zentralverband der deutschen
Werbewirtschaft e.V., Berlin
mit Unterstützung durch
den Deutschen Industrie- und
Handelskammertag e.V., Berlin
2. Auflage
2008
Kundendatenschutz
Leitfaden für die Praxis, 2. Auflage, 2008
Herausgeber:
Zentralverband der deutschen Werbewirtschaft e.V. (ZAW) und
Gesellschaft für Datenschutz und Datensicherung e.V. (GDD)
- Alle Rechte vorbehalten 2008 Zentralverband der deutschen Werbewirtschaft e.V. (ZAW)
Am Weidendamm 1A 10117 Berlin
Gesellschaft für Datenschutz und Datensicherung e.V. (GDD)
Pariser Str. 37 53117 Bonn
Nachdruck und Vervielfältigung jeder Art sind nur mit ausdrücklicher Genehmigung des ZAW bzw. der GDD gestattet.
Verlag edition ZAW
ISBN 978-3-931937-40-9
Die Auslieferung erfolgt durch die DATAKONTEXT GmbH, Frechen.
Vorwort
Die persönliche Ansprache des zielgruppengerechten Konsumenten
durch die Anbieter von Waren oder Dienstleistungen gehört zu den
effizientesten Mitteln der Kundengewinnung und -bindung. Allerdings: Nicht alles, was technisch möglich ist - und betriebswirtschaftlich vielleicht durchaus interessant erscheint - lässt sich auch
einwandfrei realisieren. Der Grund liegt in den engen rechtlichen
Grenzen, die zahlreiche Gesetze - z.B. das Gesetz gegen den unlauteren Wettbewerb oder das Bundesdatenschutzgesetz - dem Gestaltungs- und Variantenreichtum von Direktmarketingmaßnahmen
setzen.
Die vorliegende Schrift soll zum einen einen praxisorientierten
Überblick vermitteln: über rechtmäßige Maßnahmen, aber auch
unerlaubte Aktionen, über die Rechtspositionen des umworbenen
Kunden als dem sog. „Betroffenen“ und über die bestehenden Kontrollmechanismen. Zum anderen soll sie - und das ist das eigentliche
Anliegen der beiden Herausgeberorganisationen - Hilfestellung denjenigen Unternehmen bieten, die das Medium der Direktwerbung
und Methoden des Customer Relationship Managements in ihre
Vertriebsstrukturen integriert haben. Eine Überfrachtung der Darstellung mit wissenschaftlichen Diskussionen und entsprechenden
Nachweisen wurde bewusst vermieden. Die angegebenen Fundstellen sind keine erschöpfenden Nachweise von Gerichtsentscheidungen und Literaturmeinungen, sondern sie stellen nur eine - allerdings für entscheidungserheblich gehaltene - Auswahl dar.
Die Arbeit nimmt nicht für sich in Anspruch, vollständig und abschließend die Praxis abzubilden oder alle Rechtsfragen erschöpfend zu behandeln. Sie beschränkt sich vielmehr auf die Beschreibung typischer Abläufe, Fallgestaltungen und rechtlicher Probleme
und will damit auch die Möglichkeit einer „Parallelwertung“ anderer
vergleichbarer, hier ausdrücklich nicht angesprochener Verfahren
eröffnen.
Die zweite Auflage berücksichtigt zwischenzeitlich ergangene Rechtsprechung mit Bezug zum Kundendatenschutz, entsprechende aktuelle Literatur sowie die neuesten Tätigkeitsberichte der Datenschutzaufsichtsbehörden. Darüber hinaus wurde eine Anpassung
des Leitfadens an das zwischenzeitlich in Kraft getretene Telemediengesetz (TMG) vorgenommen und eine Vielzahl von neuen praxisrelevanten Fragestellungen des Kundendatenschutzes aufgearbeitet bzw. vertieft. Beispielhaft seien hier etwa die Themen Lifestyle-Datenerhebungen und Verbraucherbefragungen, der Mitarbeiter als Kunde, „Virales Marketing“ und der Umgang mit Webcams
und RFID-Chips genannt.
Dr. Georg Wronka
Hauptgeschäftsführer des Zentralverbands der deutschen Werbewirtschaft e.V. - ZAW
Prof. Peter Gola
Vorstandsvorsitzender der Gesellschaft für Datenschutz und Datensicherung e.V. - GDD
Dezember 2007
Kundendatenschutz
Inhaltsverzeichnis
Inhaltsverzeichnis
Kapitel I:
Kundendatenschutz - Worum geht es? ....... 13
1. Daten als Grundlage der Kundenbeziehung ....................13
2. Die Datenschutzregeln des BDSG ....................................15
2.1 Die informationelle Selbstbestimmung ...............15
2.2 Der Anwendungsbereich des BDSG.....................17
2.3 Transparenz gegenüber dem Betroffenen ..........19
2.4 Fazit .....................................................................20
3. Datenschutz und unlauterer Wettbewerb.......................20
3.1 Wettbewerbswidrige Kundenansprache.............20
3.2 Wechselbeziehungen zwischen
UWG und BDSG ...................................................25
Kapitel II:
Wie kann ich Kontakt mit dem Kunden
aufnehmen? .............................................. 27
1. Daten als Ausgangsbasis ..................................................27
2. Die rechtliche Situation....................................................28
3. Grundsatz der Direkterhebung ........................................29
4. Unterrichtung bei der Datenerhebung ............................31
4.1 Allgemeines .........................................................31
4.2 Hinweis auf Zweckbestimmung ...........................32
4.3 Empfehlung fremder Produkte bzw.
Versand fremder Werbung..................................35
4.4 Hinweis auf Kategorien von Datenempfängern .........................................................36
4.5 Hinweispflicht bei Couponheften und
Verbundwerbung.................................................36
5. Folgen fehlender oder unvollständiger Information .......37
6. Allgemeine Ansprache mit Responseelementen.............37
7. Die Kontaktaufnahme per Online-Kommunikation.........40
5
Inhaltsverzeichnis
Kundendatenschutz
7.1 Der Ablauf der Online-Kommunikation...............40
7.2 Erhebung im Internet - Inhaltsebene.................. 42
7.3 Erhebung zur/bei der Nutzung von
Onlinediensten - Diensteebene...........................48
7.4 Informationspflichten.......................................... 54
Kapitel III:
Welche Stellen liefern Daten zur
Kundenansprache? .....................................59
1. Geschäftsmäßiger Adresshandel ..................................... 59
2. Lifestyle-Datenerhebungen und
„Verbraucherbefragungen“ ............................................. 60
3. Nicht geschäftsmäßige Weitergabe von
Adressdaten ..................................................................... 62
3.1 Das Listenprivileg.................................................62
3.2 Entgegenstehende schutzwürdige
Interessen............................................................64
3.3 Grenzen des Listenprivilegs................................. 65
4. Lettershop und Listbroking .............................................. 68
Kapitel IV: Wie kann man allgemein zugängliche
Quellen nutzen? .........................................69
1. Allgemein zugängliche Quellen........................................69
2. Erleichterte Erhebungs- und Verarbeitungsbedingungen ....................................................................71
Kapitel V:
Welche Möglichkeiten bestehen zur
Optimierung von Adressmaterial? ..............73
1. Allgemeines...................................................................... 73
2. Aussortieren durch Waschabgleich ................................. 73
3. Bewertung mit Hilfe soziodemografischer Daten ...........74
6
Kundendatenschutz
Inhaltsverzeichnis
Kapitel VI: Wie können Kundendaten zur Werbung
eingesetzt werden? ................................... 77
1. Die Interessen von Werbenden und Umworbenen.........77
2. Briefwerbung/Mailings ....................................................79
2.1 Die informierte Duldung......................................79
2.2 Information über die „verantwortliche
Stelle“ ..................................................................82
2.3 Ausübung des Widerspruchs ...............................83
2.4 Handlungspflichten des Unternehmens ..............83
2.5 Die Robinsonliste .................................................85
3. Telefon-, Fax- und E-Mail-Werbung.................................86
3.1 Allgemeines .........................................................86
3.2 Werbung per Telefon ..........................................87
3.2.1 Allgemeines .............................................87
3.2.2 Telefonwerbung gegenüber
Privatpersonen........................................90
3.2.3 Einwilligung im Rahmen von AGB ...........92
3.2.4 Vermutete Einwilligung im
geschäftlichen Bereich ............................93
3.2.5 Persönlichkeitsrechtsschutz im
nicht geschäftlichen Bereich ...................94
3.2.6 Handlungsanleitung ................................94
3.2.7 Exkurs: Ermittlung von Kundenverhalten im Rahmen der
Marktforschung .......................................96
3.3 Werbung per Fax .................................................98
3.4 Werbung per E-Mail ............................................98
3.4.1 Zulässigkeit des Versands von
E-Mail-Werbung ......................................98
3.4.2 Der Werbehinweis nach TMG .................99
3.4.3 Exkurs: „Virales Marketing“ ....................99
7
Inhaltsverzeichnis
Kundendatenschutz
3.5 Robinsonlisten...................................................101
4. Vertreterbesuche ...........................................................102
5. Unterlassungs- und Schadensersatzansprüche .............102
Kapitel VII: Welche Daten werden für den
Vertrag mit dem Kunden benötigt?........... 105
1. Die Zweckbestimmung des Vertrages ...........................105
2. „Nebenbei“ mitgeteilte Daten .......................................106
3. Daten zur Identifikation des Kunden .............................107
4. Bezahlung mittels EC-Karte............................................109
5. Storno und Umtausch ....................................................110
6. Kommunikationsdaten ..................................................111
7. Daten zur Bonität des Kunden .......................................112
7.1 Die Berechtigung zur Überprüfung der
Kreditwürdigkeit................................................112
7.2 Das Schuldnerverzeichnis..................................114
7.3 Interne und externe Warndateien ....................116
7.4 Auskunfteien .....................................................118
7.5 Bewertung durch Scoring ..................................122
7.6 Soziodemografische Adressenbewertung .........127
8. Exkurs: Der Mitarbeiter als Kunde.................................127
Kapitel VIII: Welche Daten können zur Fortsetzung
der Kundenbeziehung genutzt werden?....131
1. Die Löschungs- und Sperrungspflichten nach
Wegfall der Zweckbestimmung .....................................131
2. Die Möglichkeit der Zweckerweiterung
oder -änderung ..............................................................133
3. Mehr Wissen über den Kunden .....................................135
3.1 Methoden der Zielgruppenfindung...................135
8
Kundendatenschutz
Inhaltsverzeichnis
3.2 Kundenbefragung ..............................................136
3.2.1 Allgemeines ...........................................136
3.2.2 Eigene Kundenbefragung ......................136
3.2.3 Beauftragung eines spezialisierten
Instituts .................................................137
3.3 Verbraucherscoring/soziodemografische
Bewertung .........................................................139
3.4 Datawarehouse/Datamining .............................141
3.5 Profilbildung ......................................................141
4. Wie erhalte ich die Kundenbeziehung? .........................142
4.1 Customer Relationship Management (CRM).....142
4.2 Kundenkonto .....................................................143
4.3 Kundenkarten ....................................................144
Kapitel IX:
Welche Grenzen bestehen bei der technischen Überwachung von Kunden?......... 147
1. Schutz vor unerwünschten Kunden durch
Maßnahmen der Videoüberwachung............................147
1.1 Regelungsvorgaben des BDSG...........................147
1.2 Der allgemeine Schutzanspruch ........................149
1.3 Praxisbeispiele ...................................................150
2. Datenerhebung per RFID ...............................................150
2.1 Die Überwachungstechnik .................................150
2.2 Probleme beim Kundendatenschutz .................151
2.3 Handlungsvorgaben...........................................152
Kapitel X:
Wann dürfen Kundendaten
weitergegeben werden? .......................... 155
1. Allgemeines....................................................................155
2. Inanspruchnahme von
Dienstleistern/Auftragsdatenverarbeitung ...................155
9
Inhaltsverzeichnis
Kundendatenschutz
3. Weitergabe von Kundendaten an Stellen
im Ausland .....................................................................158
3.1 Freier Datenfluss innerhalb der EU ...................158
3.2 Weitergabe in Drittländer.................................158
4. Firmenzusammenschlüsse und -verkäufe .....................160
5. Adressenvalidierung ......................................................163
Kapitel XI:
Welche Möglichkeiten bestehen im
Umgang mit säumigen Kunden? ............... 165
1. Allgemeines....................................................................165
2. Einschaltung eines Rechtsanwaltes ...............................165
3. Einschaltung eines Inkassounternehmens ....................166
3.1 Auftragsdatenverarbeitung oder
Funktionsübertragung.......................................166
3.2 Einschaltung von Inkassounternehmen
bei Bestehen einer besonderen
Schweigepflicht (§ 203 StGB) ............................167
3.3 Das Eintreibungsverfahren................................168
4. Verkauf bzw. Abtretung „unsicherer“ Forderungen .....169
5. Auskunftsersuchen bei Meldeämtern ...........................170
6. Recherchen durch Detektive .........................................172
Kapitel XII: Eigenwerbung mit Kundendaten............... 173
1. Allgemeines....................................................................173
2. Verwendung von Kundenbildern zu Werbezwecken ....173
3. Übertragung von Kundenbildern im Internet................175
4. Sonstige Formen der Werbung mit Kundendaten.........176
Kapitel XIII: Welche Rechte kann der Betroffene
geltend machen? ......................................179
1. Unabdingbare Rechtspositionen ...................................179
10
Kundendatenschutz
Inhaltsverzeichnis
2. Transparenzrechte.........................................................179
2.1 Information bei der Direkterhebung .................179
2.2 Information beim Einsatz von mobilen
Speichermedien.................................................179
2.3 Benachrichtigung ...............................................181
2.4 Auskunft.............................................................185
2.5 Einsicht in das Verfahrensverzeichnis ...............186
3. Gestaltungsrechte ..........................................................188
3.1 Allgemeines .......................................................188
3.2 Berichtigung.......................................................188
3.3 Löschung............................................................189
3.4 Sperrung ............................................................189
3.5 Allgemeines Widerspruchsrecht........................190
Kapitel XIV: Wer achtet auf die Einhaltung der
„Spielregeln“?.......................................... 193
1. Ein komplexes Kontrollsystem.......................................193
2. Der Kunde ......................................................................193
3. Die Aufsichtsbehörde.....................................................197
4. Mitbewerber, Wettbewerbs- und
Verbraucherverbände....................................................197
5. Staatsanwaltschaft/Gericht ...........................................199
6. Datenschutzbeauftragter...............................................201
Abkürzungsverzeichnis ................................................ 203
Stichwortverzeichnis ................................................... 205
11
Kundendatenschutz - Worum geht es?
Kapitel I:
1.
Kapitel I
Kundendatenschutz - Worum geht es?
Daten als Grundlage der Kundenbeziehung
Kundengewinnung und Kundenbindung sind für jedes Unternehmen existenzielle Fragen. Bei den hierzu beschrittenen Wegen ist jedoch der Konflikt mit dem Datenschutz häufig nicht
fern 1.
1
So mag der Versender von Dritte-Welt-Waren, der Adressen von
Käufern einer Blindenwerkstatt in der Hoffnung erworben hatte,
hier eine karitativ eingestellte Kundschaft ansprechen zu können,
nicht damit gerechnet haben, anschließend in eine Auseinandersetzung mit der Datenschutzaufsichtsbehörde verwickelt zu werden, die den Erwerb der Daten als rechtswidrig beurteilte 2.
2
Auch wenn es auf den ersten Blick nur um Adressen ging: Es
handelt sich um vom Bundesdatenschutzgesetz (BDSG) geschützte personenbezogene Daten. Dazu zählen nicht nur qualifizierte,
den Betroffenen besonders kennzeichnende Angaben, sondern
auch so simple Merkmale wie Anschrift oder Telefonnummer.
Hier kam jedoch mit besonderer Relevanz die Klassifizierung des
Adresseninhabers als Blindenwarenkäufer hinzu.
3
BDSG
§ 1 Abs. 1: Zweck dieses Gesetzes ist es, den Einzelnen davor
zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
§ 3 Abs. 1: Personenbezogene Daten sind Einzelangaben über
persönliche oder sachliche Verhältnisse einer bestimmten
oder bestimmbaren Person (Betroffener).
1
2
Podlech/Pfeifer, Die informationelle Selbstbestimmung im Spannungsfeld
zu modernen Werbestrategien, RDV 1998, S. 139.
Vgl. Hamburgischer Datenschutzbeauftragter, 5. Tätigkeitsbericht (1987),
S. 106.
13
Kapitel I
Kundendatenschutz - Worum geht es?
4
Ähnlich ging es dem Inhaber eines Auktionshauses, dem die Versteigerung des Inventars eines insolventen Bauunternehmens
übertragen war. Nachdem er sich die Faxnummern der Bauunternehmen der Region verschafft hatte, lud er diese per Fax zu
der lukrative Schnäppchen bietenden Versteigerung ein. Dass er
anschließend auf Grund der Klage eines seiner potenziellen Kunden zur Unterlassung derartiger Werbung und zur Übernahme
der angefallenen Gerichts- und Anwaltskosten verurteilt werden
würde3 , hatte er wohl nicht vorausgesehen. Unzulässig war diese
Art der werblichen Ansprache u.a. wegen der unzumutbaren
persönlichkeitsrechtswidrigen Belästigung durch die Werbung.
5
Zielgerichtetes Marketing setzt voraus, dass man seine Kunden
kennt und ihnen ihren Bedürfnissen entsprechende Angebote
unterbreiten kann. Hierzu dient z.B. die Ausgabe von Kundenkarten. Gegen Gewährung eines (geringfügigen) Rabatts, von Prämien oder sonstigen Sonderkonditionen erhält das Unternehmen
Kenntnis vom Konsumverhalten seiner Kunden und damit wichtige Hinweise für sein Produktangebot und seine Vertriebsstrategien. Nicht verwundern sollte die Zahl der Unternehmen, die
sich nach Einführung solcher Karten in datenschutzrechtliche
Auseinandersetzungen - vornehmlich mit Verbraucherschutzorganisationen - verstrickt sahen4 . Erforderlich ist nämlich, dass der
Kunde weiß, worauf er sich einlässt und erst nach vollständiger
Information über die Verwendung seiner Daten seine Bereitschaft zur entsprechenden Nutzung erklärt.
6
Insoweit nicht nur datenschutz-, sondern zugleich auch wettbewerbswidrig ist es, wenn der Kunde bewusst über die eigentlichen Zwecke der Verwendung seiner Daten getäuscht wird, so
z.B. wenn ein Unternehmen unter Vorspiegelung einer Marktund Meinungsumfrage in Wirklichkeit Werbung für ein bestimmtes Produkt macht oder dem Betroffenen Daten entlocken
3
4
14
Vgl. OLG Hamm vom 18.01.2005 - 4 U 126/04 -, RDV 2005, S. 118.
Zur Praxis der AGB-Verbandsklage vgl. Heidemann-Peuser, Rechtsko nforme
Ausgestaltung von Datenschutzklauseln, DuD 2002, S. 389.
Kundendatenschutz - Worum geht es?
Kapitel I
will, die anderen Werbungtreibenden für Marketingzwecke zur
Verfügung gestellt werden sollen.
Schließlich hilft es auch nicht immer weiter, wenn man auf
„Nummer Sicher“ gehen will und die Einwilligung des Kunden zu
der beabsichtigten Verwendung seiner Daten einholt. Bescheinigen lassen musste sich das der Veranstalter eines Sweepstakes,
dessen Teilnahmebedingungen die Veröffentlichung von Name
und Bild 5 der Gewinner vorsah. Das Gericht erkannte hierin eine
mit dem Recht der Allgemeinen Geschäftsbedingungen nicht zu
vereinbarende pauschale Ermächtigung zum Eingriff in das Persönlichkeitsrecht6.
2.
Die Datenschutzregeln des BDSG
2.1
Die informationelle Selbstbestimmung
Das Bundesverfassungsgericht7 geht davon aus, dass grundsätzlich jeder selber darüber bestimmen soll, wer durch die Verarbeitung seiner personenbezogenen Daten Wissen über ihn ansammelt. Der Gesetzgeber hat daher den Umgang mit personenbezogenen Daten unter ein Verbot mit Erlaubnisvorbehalt gestellt
(§ 4 Abs. 1 BDSG). Die Verarbeitung personenbezogener Daten
ist danach grundsätzlich verboten und nur gestattet, wenn
-
sich eine gesetzliche Erlaubnisregelung findet oder
-
der Betroffene (= Kunde) in der gesetzlich vorgeschriebenen Art und Weise eingewilligt hat.
Erlaubnis- aber auch Verbotsregelungen können sich aus Vorschriften ergeben, die die Nutzung von Kundendaten speziell
regeln (so z.B. im Handels-, Gewerbe- oder Steuerrecht). Ansonsten erlaubt aber auch das BDSG selbst unter bestimmten Vor5
6
7
Vgl. zur Werbung mit Kundenbildern nachstehend Rdnr. 396 ff.
OLG Karlsruhe, Urteil vom 17.07.1987- 14 U 234/85 -, RDV 1988, S. 146.
BVerfG, Urteil vom 15.12.1983 - 1 BvR 209, 269, 362, 420, 440, 484/83,
BVerfGE 65, 1.
15
7
8
9
Kapitel I
Kundendatenschutz - Worum geht es?
aussetzungen die Verarbeitung von Kundendaten zu Marketingzwecken (§§ 28, 29 BDSG).
10
Findet sich kein gesetzlicher Erlaubnistatbestand für die beabsichtigte Erhebung, Verarbeitung oder Nutzung, so ist die Einholung einer Einwilligung erforderlich, d.h. eine in voller Kenntnis
der beabsichtigten Verarbeitungen freie und jederzeit widerrufliche, in der Regel schriftlich abzugebende Zustimmungserklärung
des Betroffenen (§ 4a Abs. 1 BDSG).
§ 4a Abs. 1 BDSG: Die Einwilligung ist nur wirksam, wenn sie
auf der freien Entscheidung des Betroffenen beruht. Er ist auf
den vorgesehenen Zweck der Erhebung, Verarbeitung oder
Nutzung sowie, soweit nach den Umständen des Einzelfalles
erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der
Schriftform, soweit nicht wegen besonderer Umstände eine
andere Form angemessen ist. Soll die Einwilligung zusammen
mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.
11
Eine Einwilligung sollte allerdings nur dann eingeholt werden,
wenn kein gesetzlicher Verarbeitungstatbestand vorhanden ist,
da ansonsten bei dem Betroffenen der Eindruck entstehen
könnte, dass die Verarbeitung gänzlich im Rahmen seines informationellen Selbstbestimmungsrechts liegt und damit ggf.
durch den Widerruf der Einwilligung wieder beendet werden
kann.
12
Kritisch ist die Einholung einer Einwilligung, wenn bei Abschluss
eines Vertrages ein so erhebliches Verhandlungsungleichgewicht besteht, dass der Kunde seinen informationellen Selbstschutz nicht eigenverantwortlich und selbstständig sicherstellen
kann. So entschied das Bundesverfassungsgericht 8 unlängst, dass
die im Rahmen von Berufsunfähigkeitsversicherungen erhobe8
16
Beschluss vom 23.10.2006 - 1 BvR 2027/02 -, RDV 2007, S. 20.
Kundendatenschutz - Worum geht es?
Kapitel I
nen pauschalen Schweigepflichtentbindungen mit dem Recht
auf informationellen Selbstschutz unvereinbar sind und den Betroffenen daher von den Versicherungsunternehmen eine Alternative zur pauschalen Preisgabe der Daten angeboten werden
müsse.
Bevorzuge der betroffene Kunde statt einer pauschalen Einwilligung die Einholung der Schweigepflichtentbindung im Einzelfall,
dürften ihm allerdings auch - im angemessenen Umfang - die
dadurch verursachten Kosten auferlegt werden, so das Gericht.
Auch dass es auf Grund des aufwändigeren Verfahrens ggf. zu
einer gewissen Zeitverzögerung bei der Bearbeitung komme, sei
vom Kunden zu akzeptieren.
2.2
Der Anwendungsbereich des BDSG
Das BDSG reglementiert nicht nur die Verarbeitung im eigentlichen Sinne, d.h. das Speichern, Verändern (hierzu gehört auch
das Pseudonymisieren und das Anonymisieren), Übermitteln,
Sperren und Löschen von personenbezogenen Daten (§ 3 Abs. 4
BDSG), sondern auch die vorgelagerte Phase des Erhebens (Beschaffens) und die nachgelagerte Phase des Nutzens (interne
Verwendung gespeicherter Daten). Dabei steht jede dieser Phasen unter dem Verbot mit Erlaubnisvorbehalt, d.h., sie ist ggf.
gesondert auf ihre Zulässigkeit zu prüfen. Andererseits ist die
Erhebung, Speicherung und ggf. Übermittlung aber häufig auch
durch die gleiche Zweckbestimmung legitimiert.
Unterschiedliche und ggf. auch erst nachträglich erweiterte
Zweckbestimmungen liegen z.B. vor, wenn zur Vertragsdurchführung erhobene Daten von vorneherein oder zumindest später
auch Werbezwecken dienen sollen 9 . Keine unter das Verbot mit
Erlaubnisvorbehalt fallende Veränderung oder Nutzung ist die
anonymisierte Auswertung personenbezogener Daten.
9
13
Vgl. nachstehend Rdnr. 284 ff.
17
14
Kapitel I
Kundendatenschutz - Worum geht es?
Umgang mit personenbezogenen Daten
Erheben
Speichern
Verarbeiten
Verändern
Übermitteln
Nutzen
Sperren
Löschen
Anonymisieren
Pseudonymisieren
15
Die Regelungen des BDSG stellen im Wesentlichen auf die durch
die Möglichkeiten automatisierter Verarbeitung eintretenden
Gefahren ab10. Seine Regelungen greifen im Bereich der Privatwirtschaft daher nur, wenn die Daten entweder automatisiert
(d.h. unter Einsatz von Datenverarbeitungsanlagen) oder aber
zumindest in einer Auswertungen zulassenden Struktur (nicht
automatisierte Datei) verarbeitet werden. Ausgenommen sind
Verarbeitungen, die ausschließlich privaten oder familiären Zwecken dienen.
10
18
Das BVerfG (Rdnr. 8) begründet im Volkszählungsurteil das Erfordernis für
den Persönlichkeitsrechtsschutz mit „den modernen Bedingungen der Datenverarbeitung“.
Kundendatenschutz - Worum geht es?
Kapitel I
Anwendung des BDSG bei privaten Stellen
personenbezogene Daten
= jede Einzelangabe über eine natürliche Person
ja
nicht ausschließlich für
persönliche oder familiäre Zwecke
ja
automatisierte Datenverarbeitung
nein
ja
nicht automatisierte
Datei
ja
BDSG
2.3
Transparenz gegenüber dem Betroffenen
Das BDSG verlangt Transparenz für den Kunden11. Der Kunde
muss informiert werden, von wem welche Arten von Daten für
welche Zwecke verarbeitet werden. Dies gilt bei der Datenerhebung beim Betroffenen (§ 4 Abs. 3 BDSG), der Speicherung von
nicht beim Betroffenen erhobenen Daten (§ 33 Abs. 1 BDSG)
ebenso wie bei der Einwilligung (§ 4a Abs. 1 BDSG). Will der Kunde Kenntnis über die Daten im Einzelnen haben, steht ihm ein
Recht auf Auskunft zu (§ 34 BDSG). Bei unrichtigen oder unzulässigen Verarbeitungen kann er Korrekturrechte (§ 35 BDSG) geltend machen.
11
Vgl. im Einzelnen nachstehend Rdnr. 41 ff.
19
16
Kapitel I
2.4
17
Kundendatenschutz - Worum geht es?
Fazit
Gewährleistet wird das Persönlichkeitsrecht des Betroffenen
somit zum einen dadurch, dass die Erhebung, Verarbeitung und
Nutzung seiner Daten entweder durch ein Gesetz oder von ihm
selbst „freigegeben“ sein muss. Zum anderen sollen keine Verarbeitungen „hinter dem Rücken“ des Betroffenen stattfinden;
deshalb werden durch das BDSG den verantwortlichen Stellen
umfassende Informations- und Transparenzpflichten auferlegt.
Der Datenschutz im BDSG
18
19
Verbot mit Erlaubnisvorbehalt
Informations-/Korrekturrechte
Gestattung durch
-spezielle Rechtsnorm
-Erlaubnisnorm des BDSG
-Einwilligung des Betroffenen
Transparenz durch
- Information bei
Datenerhebung
- Benachrichtigung
- Auskunft an den Betroffenen
- Korrektur/Löschung/
Widerspruch
Werden die Kontakte mit dem Kunden im Rahmen des
E-Commerce über das Internet hergestellt, so wird der Datenschutz durch die speziellen Regelungen des Telemediengesetzes
(TMG) sichergestellt12.
3.
Datenschutz und unlauterer Wettbewerb
3.1
Wettbewerbswidrige Kundenansprache
Auf die Möglichkeiten zur Gewinnung neuer Kunden geht auch
das Gesetz gegen den unlauteren Wettbewerb (UWG) ein. Dabei
steht häufig die Art und Weise der Aufnahme des Kundenkontakts im Blickpunkt - sei es, dass der Kunde „über den Tisch ge12
20
Vgl. im Einzelnen nachstehend Rdnr. 77 ff.
Kundendatenschutz - Worum geht es?
Kapitel I
zogen“ werden soll oder dass er sich in unzumutbarer Weise
belästigt sieht.
§ 2 Abs. 1 Nr. 1 UWG: Wettbewerbshandlung (ist) jede Handlung einer Person mit dem Ziel, zugunsten des eigenen oder
eines fremden Unternehmens den Absatz oder den Bezug von
Waren oder die Erbringung oder den Bezug von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.
§ 3 UWG: Unlautere Wettbewerbshandlungen, die geeignet
sind, den Wettbewerb zum Nachteil der Mitbewerber, der
Verbraucher oder der sonstigen Marktteilnehmer nicht nur
unerheblich zu beeinträchtigen, sind unzulässig.
§ 7 Abs. 1 UWG: Unlauter im Sinne von § 3 handelt, wer einen
Marktteilnehmer in unzumutbarer Weise belästigt.
Beispiele unlauteren Handelns zählen die §§ 4 bis 7 UWG auf:
-
13
20
Beeinflussung der Entscheidungsfreiheit durch Ausübung von Druck (§ 4 Nr. 1 UWG): Hierunter kann z.B.
das sog. „Anreißen“ von Kunden fallen, d.h. das gezielte Ansprechen von Passanten an öffentlichen Orten.
Dies gilt jedenfalls dann, wenn der Werbende zunächst
als solcher nicht erkennbar ist und der Angesprochene
sich auch nicht sofort dem Gespräch entziehen kann.
Auch ein „übertriebenes Anlocken“ durch das Versprechen von Zusatzleistungen kann hierunter fallen. Dies
ist dann der Fall, wenn die Art der Zusatzleistung die
Rationalität der Nachfragentscheidung verdrängt13.
Noch keine Bedenken hatte das OLG Hamburg dagegen (Urteil vom
10.04.2003 - I ZR 291/00 -, NJW 2003, S. 3197), dass bei Begründung einer
zweijährigen Mitgliedschaft in einem Buchklub fünf Bücher unentgeltlich
überlassen werden. Der BGH (Urteil vom 09.06.2004 - I ZR 187/02 -, EWiR
2004, S. 841) sah in der Werbung eines Fahrschulunternehmens, nach der
jeder Fahrschüler zur bestandenen Prüfung einen Gutschein in Höhe von
250 €für einen Fahrzeugkauf in einem bestimmten Autohaus erhalte, ebenfalls noch kein unlauteres Wettbewerbsverhalten.
21
21
Kapitel I
Kundendatenschutz - Worum geht es?
-
Ausnutzen der Unerfahrenheit von Kindern (§ 4 Nr. 2
UWG): Beispielsweise ist die Erhebung von Daten von
Kindern als Mitglieder eines Kinder-Automobil-Clubs
durch einen Autohersteller zwecks frühzeitiger Kundenbindung ohne Einwilligung der Eltern unzulässig14.
-
Verschleierung des Werbecharakters der Wettbewerbshandlung (§ 4 Nr. 3 UWG): Dies ist z.B. dann der
Fall, wenn Daten unter Vorspiegelung einer Meinungsumfrage zu Werbezwecken erhoben werden sollen15
oder wenn Teilnehmer eines angeblichen Preisausschreibens zu einer Gewinnausgabe eingeladen werden und es sich tatsächlich um eine Verkaufsveranstaltung handelt.
-
Verschleierung der Teilnahmebedingungen bei Preisausschreiben oder Gewinnspielen mit Werbecharakter (§ 4 Nr. 5 UWG): Soll der Gewinner eines Wettbewerbs zu Werbezwecken mit Bild - auch Fotos können
personenbezogene Daten i.S. des BDSG sein - veröffentlicht werden, genügt ein Hinweis in den AGB
nicht 16.
Unabhängig von derartigen Fallkonstellationen handelt unlauter,
wer Marktteilnehmer in unzumutbarer Weise belästigt (§ 7
Abs. 1 UWG). Eine derartige Belästigung kann etwa in einem
Eindringen in die Individualsphäre durch „offensives“ Ansprechen auf der Straße oder durch einen unerbetenen Telefonanruf
(sog. cold call) liegen. Für die Wettbewerbswidrigkeit bestimmend17 ist dabei nicht nur das Gewicht der Belästigung im kon14
15
16
17
22
OLG Frankfurt a.M., Urteil vom 30.06.2005 - 6 U 168/04 -, RDV 2005, S. 270.
OLG Köln, Urteil vom 22.11.1991 - 6 U 103/91 -.
OLG Karlsruhe, Urteil vom 17.07.1987 - 14 U 234/85 -, RDV 1988, S. 146.
So die Rechtsprechung im Hinblick auf das sog. „Anreißen“ von Kunden
(BGH, Urteil vom 01.04.2004 - I ZR 227/01 -, RDV 2004, S. 218) oder unerbetene telefonische Ansprache selbst für den Fall, dass in anderer Sache
bereits Vertragsbeziehungen bestehen (zuletzt OLG Frankfurt a.M., Urteil
vom 21.07.2005 - 6 U 175/04 -, RDV 2005, S. 269).
Kundendatenschutz - Worum geht es?
Kapitel I
kreten Einzelfall, sondern auch der Grad der Belästigung, der bei
einem Umsichgreifen der Werbemethode eintreten würde. Für
den Fall unerbetener telefonischer Kundenwerbung wird diesem
Aspekt in § 7 Abs. 2 Nr. 2 UWG Rechnung getragen18.
Unter verschiedenen Aspekten kann auch die Gewinnung von
Kunden im Rahmen sog. Laien- oder Freundschaftswerbung
unzulässig sein. Kunden zur Gewinnung neuer Kunden anzuleiten, ist zwar nicht generell unzulässig. Dies gilt insbesondere für
Branchen, in denen diese Werbeformen üblich sind wie z.B. im
Zeitschriftenhandel, im Bausparwesen oder im Rahmen sog.
Sammelbestellungen.
22
Nach Aufhebung des Rabattgesetzes und der Zugabenverordnung zieht auch die Gewährung einer angemessenen Prämie im
Falle eines Vertragsabschlusses für sich allein genommen nicht
die Wettbewerbswidrigkeit derartiger Werbeformen nach sich.
23
Unlauterkeit kann aber z.B. daraus resultieren, dass die Werbung
Waren oder Dienstleistungen betrifft, für die besondere Werbeverbote bestehen. Dies ist in § 7 Abs. 1 des Heilmittelwerbegesetzes der Fall, nach dem das Anbieten, Ankündigen oder Gewähren von Zuwendungen oder sonstigen Werbegaben beim
Verkauf von Medizinprodukten unzulässig ist. Ein Verstoß hiergegen begründet zugleich eine unlautere Wettbewerbshandlung19.
24
Im Übrigen können weitere Begleitumstände zur unsachlichen
Beeinflussung und unzumutbaren Belästigung des Umworbenen
und damit zur Wettbewerbswidrigkeit führen. Letzteres ist anzunehmen, wenn private Beziehungen kommerzialisiert werden
sollen und der Betroffene in seiner Privatsphäre - ggf. verdeckt für ihm nicht bekannte kommerzielle Zwecke ausgeforscht wird.
Diese besonders problematische „verdeckte Laienwerbung“ liegt
vor, wenn ein Kunde mit sensiblen Angaben versehene Adressen
18
19
Vgl. nachstehend Rdnr. 185 ff.
BGH, Urteil vom 06.07.2006 - I ZR 145/03 -, NJW 2006, S. 3203.
23
25
Kapitel I
Kundendatenschutz - Worum geht es?
von Dritten ohne deren Einverständnis weitergibt und bereits
dafür oder bei Gewinnung des Neukunden eine nennenswerte
Provisionszahlung oder eine sonstige ins Gewicht fallende Belo hnung erhält.
Richtet ein Automobilhändler an Käufer der von ihm vertriebenen Fahrzeuge brieflich die Aufforderung, ihm die Adressen anderer potenzieller Kaufinteressenten mitzuteilen, und verbindet
er diese Aufforderung mit dem Versprechen, die Mitteilung den
eventuellen Interessenten bei der werblichen Ansprache zu verschweigen und dem Informanten im Falle des Zustandekommens eines Kaufvertrages eine Geldprämie von 100,- DM zu
zahlen, so ist dies unter mehreren Gesichtspunkten - in erster
Linie wegen der damit angestrebten Laienwerbung in verdeckter Form - in Würdigung der Gesamtumstände sowie der bestehenden Nachahmungsgefahr wettbewerbswidrig i.S.d. UWG20.
26
Darüber hinaus kann eine unzulässige Zwangslage für den B eworbenen eintreten, wenn ein Unternehmen einen vermeintlichen Interessenten „auf Empfehlung“ eines anderen Kunden anspricht 21, da sich der angesprochene Kunde möglicherweise dem
empfehlenden Kunden aus persönlichen Gründen verpflichtet
fühlt. Rechtswidrig kann die Einschaltung des Laien schließlich
deshalb sein, weil der Laie mangels Sachkenntnis keine hinreichende Produktinformation geben kann22.
20
21
22
24
BGH, Urteil vom 14.05.1990 - I ZR 2004/90 -, DB 1992, S. 646 = NJW 1992,
S. 2419 = RDV 1993, S. 124.
Vgl. Urteil des OLG Karlsruhe vom 12.07.1995 - 4 W 45/95 -, RDV 1997,
S. 33: „Wird von einem Zeitungsverlag eine Prämie für die Mitteilung von
Nichtbeziehern seiner Zeitung ausgelobt, denen er sodann „auf Empfehlung“ des Informanten ein Probeabonnement anbietet, so verstößt dies unter dem Gesichtspunkt unzulässiger Laienwerbung gegen § 1 UWG und ist
zudem irreführend gemäß § 3 UWG.“
Vgl. zur unzulässigen Aktion einer Krankenkasse „Mitglieder werben Mitglieder“, wobei für 30 neue Mitglieder eine Reise im Wert von 1000,- DM
ausgelobt war: OLG Düsseldorf, Urteil vom 14.03.2000 - 20 U 66/99 -, WRP
2000, S. 1191.
Kundendatenschutz - Worum geht es?
3.2
Kapitel I
Wechselbeziehungen zwischen UWG und BDSG
Bei den aufgezeigten Beispielen unlauteren Wettbewerbs han- 27
delt es sich regelmäßig auch um einen BDSG-Verstoß. Dies ergibt
sich daraus, dass der potenzielle Kunde entgegen den Transparenzpflichten über die Zweckbestimmung der Datenerhebung
nicht hinreichend informiert bzw. durch die Art und Weise der
Datenerhebung in seinem Persönlichkeitsrecht verletzt wird.
Hat ein Unternehmen Kundendaten eines Mitbewerbers „unter
der Hand“ 23 von einem Mitarbeiter der Konkurrenz erworben,
so kann zum einen der Konkurrent die Löschung der Daten verlangen; ein Löschungsrecht bezüglich rechtswidrig übermittelter
Daten steht zum anderen aber auch dem Betroffenen zu. Allgemein gesprochen: Unter Verstoß gegen das UWG erfolgte Datenerhebungen oder -verarbeitungen können auch ein Verarbeitungsverbot nach dem BDSG zur Folge haben24.
28
Ein unlauteres Handeln kann schließlich darin liegen, dass Dienstleistungen angeboten werden, deren Durchführung einen Datenschutzverstoß indiziert. So räumte das OLG Düsseldorf25 einem
Wettbewerber einen Unterlassungsanspruch gegenüber einem
Unternehmen ein, der die Archivierung von Patientendaten
durch Personen anbietet, die außerhalb der Untersuchungs- und
Behandlungsstätte tätig sind, und dabei nicht darauf hinweist,
dass vorab die Zustimmungserklärungen der betroffenen Patienten eingeholt werden müssen.
29
Eine weitere Frage ist, ob Verstöße gegen das BDSG zugleich
unlauteres Handeln im Sinne des UWG darstellen.
30
23
24
25
Dieser Verrat von Geschäftsgeheimnissen ist untersagt und strafrechtlich
sanktioniert (§ 17 UWG).
Vgl. hierzu im Einzelnen Busse, Wechselwirkungen zwischen BDSG und
UWG - Auswirkungen auf das Direktmarketing, RDV 2005, S. 260; Heil, Neues Wettbewerbsrecht: Wechselwirkungen zwischen UWG und Datenschutz,
RDV 2004, S. 205; Schulze zur Wiesche, Die neuen Zulässigkeitsgrenzen für
Direktmarketing, CR 2004, S. 742.
Urteil vom 20.08.1996 - 20 U 139/95 -, CR 97, S. 536.
25
Kapitel I
Kundendatenschutz - Worum geht es?
Wechselwirkung zwischen BDSG und UWG
Verstoß gegen verbraucherschützende Normen
des BDSG = unlautere Wettbewerbshandlung
BDSG
- Persönlichkeitsschutz -
UWG
- Verbraucherschutz -
Nach UWG unzulässige Datenerhebung
führt i.d.R. zur BDSG-Löschungspflicht
31
Nach § 4 Nr. 11 UWG liegt ein unlauteres Handeln auch dann
vor, wenn einer gesetzlichen Vorschrift zuwider gehandelt wird,
„die auch dazu bestimmt ist, im Interesse der Marktteilnehmer
das Marktverhalten zu regeln“. Nach der Rechtsprechung hat das
BDSG - jedenfalls mit der Gesamtheit seiner Normen - keine
verbraucherschützende Funktion26. Selbst bei einem Verstoß
gegen die Pflicht zur Belehrung über das gegenüber Werbung
bestehende Widerspruchsrecht (§ 28 Abs. 4 S. 2 BDSG) hat die
Rechtsprechung 27 einen gleichzeitigen UWG-Verstoß verneint.
32
Die Funktion des Verbraucherschutzes ist jedoch den Informationspflichten nach § 4 Abs. 3 BDSG zuzusprechen, insbesondere
weil diese weitgehend mit den Informationspflichten beim Fer nabsatz (§ 312c Abs. 1 Nr. 1 BGB28) korrespondieren29.
26
27
28
29
26
Müller, Datenschutz als Verbraucherschutz, in: Bäumler/von Mutius (Hrsg.),
Datenschutz als Wettbewerbsvorteil, 2002, S. 20; Wei chert, Datenschutz als
Verbraucherschutz, DuD 2001, S. 264.
HansOLG, Urteil vom 09.06.2004 - 5 U 186/03 -, RDV 2005, S. 119 (Leitsatz);
OLG Düsseldorf, Urteil vom 20.02.2004 - I 7U 149/03 -, RDV 2004, S. 222 =
ZUM-RD 2004, S. 236.
Vgl. ferner Verordnung über Informations- und Nachweispflichten nach
bürgerlichem Recht - BGBInfoVO - in der Fassung der Bekanntmachung vom
05.08.2002 (BGBl. I 3002), zuletzt geändert durch Gesetz vom 02.12.2004
(BGBl. I 3102).
Vgl. OLG Frankfurt, Urteil vom 02.02.2001 - 13 U 204/98 -, RDV 2001,
S. 131.
Kontaktaufnahme
Kapitel II
Kapitel II: Wie kann ich Kontakt mit dem Kunden aufnehmen?
1.
Daten als Ausgangsbasis
Um mit einer direkten Ansprache, also personenbezogen, werben zu können, benötigt man Kontaktadressen potenzieller Interessenten, seien es zunächst auch nur Name und Anschrift. Aber
auch Telefon- oder Faxnummer und die E-Mail-Adresse sind für
eine Kontaktaufnahme von großem Interesse. Der Erfolg der
Werbung hängt jedoch davon ab, dass solche Interessenten angesprochen werden, die als Abnehmer der beworbenen Produkte überhaupt in Betracht kommen. Daher können z.B. der Beruf,
die Vermögenssituation, ein Hobby oder das Alter für die „Zielgruppe“ eine Rolle spielen.
33
Die Wege zur Beschaffung von Daten sind vielfältig. Man kann
sich per Couponanzeige, Postwurfsendung oder Vertreterbesuch
an den Betroffenen wenden. Die Daten können von anderen
Unternehmen oder geschäftsmäßigen Adresshändlern bezogen
werden. Auch sog. allgemein zugängliche Quellen wie Telefonbücher, Zeitungsanzeigen oder sonstige Veröffentlichungen lassen
sich auswerten.
34
Datenquellen
Betroffener
Dritte
verantwortliche
Stelle
allgemein
zugängliche
Quellen
eigene Erkenntnisse
27
Kapitel II
35
Auf welchem Wege auch vorgegangen werden soll, das BDSG
stellt für das von ihm als „Erheben“ bezeichnete Beschaffen der
Daten klare Kriterien auf. Werden diese nicht beachtet, so besteht die Gefahr, dass auch die gesamte nachfolgende Datenverarbeitung bzw. -nutzung als unzulässig anzusehen ist.
2.
36
Kontaktaufnahme
Die rechtliche Situation
Wegen des Verbots mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG)
muss bereits bei der Datenerhebung - jedenfalls, wenn die Daten
anschließend gespeichert werden - geprüft werden, ob sich eine
gesetzliche Regelung findet, die die Erhebung legitimiert. Soweit
nicht bereits eine spezielle Norm, also eine Vorschrift, die auf
den konkreten Sachverhalt abstellt, die Zulässigkeit bzw. Unzulässigkeit der Erhebung oder Verarbeitung regelt, ist auf § 28
Abs. 1 S. 1 Nr. 2 BDSG als zentrale Erlaubnisvorschrift abzustellen.
§ 28 Abs. 1 S. 1 Nr. 1 und 2 BDSG: Das Erheben, Speichern,
Verändern oder Übermitteln personenbezogener Daten oder
ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,
1. wenn es der Zweckbestimmung eines Vertragsverhältnisses
oder vertragsähnlichen Vertrauensverhältnisses mit dem
Betroffenen dient,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt,
(...).
28
Kontaktaufnahme
Kapitel II
Es gilt neben dem Grundsatz der Datensparsamkeit und Datenvermeidung (§ 3a BDSG) das sog. Erforderlichkeitsprinzip. Dies
bedeutet, dass nur solche Daten erhoben und gespeichert werden dürfen, die zur sachgerechten Informationszusendung notwendig sind. Abzuwägen sind das - grundsätzlich berechtigte Interesse des Werbungtreibenden an den für die werbliche Ansprache erforderlichen Daten und die möglicherweise entgegenstehenden schutzwürdigen Interessen des Betroffenen (Umworbenen).
37
Soweit auch § 28 BDSG nicht zum Ziel führt, bleibt nur noch das
Einholen einer Einwilligung des Betroffenen.
38
Erforderlich ist die Einwilligung regelmäßig, wenn sog. besondere
Arten personenbezogener Daten betroffen sind.
39
§ 3 Abs. 9 BDSG: Besondere Arten personenbezogener Daten
sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Das BDSG gestattet die Verarbeitung dieser Daten nur unter ganz
bestimmten Voraussetzungen (§ 28 Abs. 6 bis 9), zu denen Zwecke des Marketing grundsätzlich nicht gehören.
3.
40
Grundsatz der Direkterhebung
Das BDSG betont darüber hinaus den Grundsatz der Direkterhebung beim Betroffenen. Grundsätzlich sollen Informationen über
den Betroffenen nicht hinter seinem Rücken beschafft werden.
Er soll vielmehr bei der Erhebung mitwirken. Keine Direkterhebung liegt z.B. vor, wenn ein Kunde mittels Videokameras oder
über den Einsatz von RFID-Chips heimlich beobachtet wird. Dem
Betroffenen muss die reale Möglichkeit der Entscheidung über
die Preisgabe seiner Daten verbleiben.
29
41
Kapitel II
Kontaktaufnahme
§ 4 Abs. 2 BDSG:
Personenbezogene Daten sind beim Betroffenen zu erheben.
Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2. a) (…) der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
42
Voraussetzung für die Durchführung einer Direkterhebung ist es
jedoch, dass es überhaupt möglich ist, den Betroffenen selbst
anzusprechen. Sollen über einen Adresshändler Daten pote nzieller Kunden beschafft werden 30, entfällt diese Möglichkeit. Insoweit gilt aber:
43
Die Befugnis zur Beschaffung von Daten bei Dritten kann sich
zunächst aus Rechtsvorschriften ergeben. Eröffnet eine Rechtsvorschrift die Möglichkeit, sich eine bestimmte Auskunft von
einem Dritten einzuholen, ermöglicht sie damit zugleich auch
eine Abweichung vom Grundsatz der Direkterhebung.
44
Zulässig ist es also, wenn ein Auskunftsrecht gegenüber den Behörden ausgeübt wird, um einen unbekannt verzogenen Schuldner aufzuspüren. Nach der Zivilprozessordnung dürfen Industrieund Handelskammern listenmäßige Abdrucke aus den Schuldnerverzeichnissen der Amtsgerichte erstellen und sie ihren Mitgliedern zum laufenden Bezug überlassen (§ 915 e und f ZPO) 31.
30
31
30
Zur Zulässigkeit des Adresshandels vgl. nachstehend unter Rdnr. 120 ff.
Berliner Beauftragter für den Datenschutz und die Informationsfreiheit,
Nr. 30 der Materialien zum Datenschutz, S. 24.
Kontaktaufnahme
Kapitel II
Ausgewertet werden dürfen auch allgemein zugängliche Quellen32. Voraussetzung ist jedoch stets, dass die Datenerhebung
und die nachfolgende Verarbeitung mit § 28 BDSG zu vereinbaren sind.
Zulässig ist die Datenerhebung bei einem Dritten darüber hinaus,
wenn der Geschäftszweck eine Dritterhebung erfordert. Dies
kann etwa bei der Einholung von Bonitätsauskünften oder der
Einschaltung eines Detektivs der Fall sein.
45
Der Grundsatz der Direkterhebung verfolgt den Zweck, Transparenz für die Kunden zu schaffen. Der Kunde soll wissen, wer zu
welchen Zwecken Daten über ihn erhebt. Um dies zu gewährleisten, hat der Gesetzgeber in § 4 Abs. 3 S. 1 BDSG eine spezielle
Unterrichtungspflicht geschaffen.
46
4.
Unterrichtung bei der Datenerhebung
4.1
Allgemeines
Der „Befragte“ ist bei Datenerhebung gemäß § 4 Abs. 3 S. 1
BDSG über die Zweckbestimmung derselben zu informieren.
Zudem besteht die Pflicht solche Stellen zu benennen, an die die
Daten weitergegeben werden sollen.
47
Die Unterrichtungspflicht entfällt, wenn der Betroffene bereits
auf andere Weise Kenntnis erlangt hat. Erforderlich ist insoweit
die positive Kenntnis des Betroffenen. Hinsichtlich der Empfänger der Daten genügt es, wenn nach den Umständen des Einzelfalles mit der Weitergabe an diese gerechnet werden muss. Die
„Branchenüblichkeit“ einer Datenübermittlung oder sonstigen
Datenweitergabe ist dafür zwar ein Indiz, allerdings kommt es
immer auf den Blickwinkel des jeweils Betroffenen an. Es empfiehlt sich daher, den Betroffenen im Zweifelsfall zu unterrichten.
48
Dabei sind der Name und die postalische Anschrift der verantwortlichen Stelle anzugeben.
49
32
Vgl. nachstehend Rdnr. 137.
31
Kapitel II
Kontaktaufnahme
§ 4 Abs. 3 BDSG: Werden personenbezogene Daten beim
Betroffenen erhoben, so ist er, sofern er nicht bereits auf
andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
1. die Identität der verantwortlichen Stelle,
2. die Zweckbestimmungen der Erhebung, Verarbeitung
oder Nutzung und
3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der
Übermittlung an diese rechnen muss,
zu unterrichten. Werden personenbezogene Daten beim
Betroffenen auf Grund einer Rechtsvorschrift erhoben, die
zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit
seiner Angaben hinzuweisen. Soweit nach den Umständen
des Einzelfalles erforderlich oder auf Verlangen, ist er über
die Rechtsvorschrift und über die Folgen der Verweigerung
von Angaben aufzuklären.
50
Die Erfüllung der Unterrichtungspflicht nach § 4 Abs. 3 S. 1 BDSG
ersetzt nicht eine ggf. erforderliche und an den Anforderungen
des § 4a BDSG auszurichtende Einwilligung 33. Sie setzt vielmehr
voraus, dass der beabsichtigte Datenumgang nach § 28 BDSG
gestattet ist. Ist jedoch die Einwilligung einzuholen, liegt regelmäßig eine Kenntniserlangung auf „andere Weise“ im Sinne von
§ 4 Abs. 3 S. 1 BDSG vor.
4.2
51
Hinweis auf Zweckbestimmung
Der Hinweis auf den Zweck der Erhebung soll den Betroffenen
darüber unterrichten, wozu die Daten benötigt werden, soweit
33
32
Vgl. zur Einwilligung auch nachfolgend Rdnr. 189 ff.
Kontaktaufnahme
Kapitel II
die Zweckbestimmungen nicht offensichtlich sind. Dabei sind
sämtliche Zwecke anzugeben.
Soll also per Couponabschnitt Prospektmaterial oder ein Freiexemplar einer Zeitschrift angefordert werden und dient die Adresse ausschließlich der Zusendung der angeforderten Lieferung, ist
eine Information über diese (offensichtliche) Zweckbestimmung
entbehrlich. Soll der Interessent anschließend auch beworben
werden, ist allerdings diese Absicht entsprechend mitzuteilen.
52
Formulierungsbeispiel:
Wir speichern Ihre Daten zur Zusendung der angeforderten
Probeexemplare und um Ihnen auch künftig Informationen
über unsere aktuellen Produkte zukommen lassen zu können.
Fällt die Entscheidung für die werbliche Nutzung von Datensätzen erst nach ihrer Erhebung, genügt ein im Zusammenhang mit
der Werbebotschaft ergehender Hinweis, der zudem die erforderliche Belehrung über die Möglichkeit des Werbewiderspruchs
enthalten kann34.
53
Die Unterrichtung kann wie im folgenden Beispielsfall mit der - in
diesem Zusammenhang nicht zwingend gesetzlich vorgeschriebenen - Belehrung35 über die Rechte des Betroffenen versehen
werden.
54
34
35
Anders Innenministerium Baden-Württemberg, Vierter Tätigkeitsbericht,
2007, S. 52: „Banken dürfen Kundendaten dafür verwenden, für bankeigene
Produkte zu werben. Bei der Erhebung der Daten, zum Beispiel bei der Eröffnung eines Kontos, muss der Kunde allerdings über die Zweck bestimmungen der Erhebung, Verarbeitung oder Nutzung unterrichtet werden.
Beabsichtigt ein Unternehmen, die personenbezogenen Daten erst nach
der Erhebung für Werbezwecke zu verwenden, muss der Kunde nachträglich unterrichtet werden, weil er mit einer solchen Datenverwendung wegen der fehlenden Information bei Beginn der Vertragsbeziehungen nicht
rechnen muss.“
Zur Informationspflicht bezüglich des Rechts auf Werbewiderspruch vgl.
nachstehend Rdnr. 167 ff.
33
Kapitel II
Kontaktaufnahme
Formulierungsbeispiel, welches sich auf die - über § 28 BDSG
legitimierte - Verwendung von Daten bezieht, die im Zusammenhang mit der Rabattkarte eines Zeitungsverlags an36
fallen :
„Die Firma XY, Anschrift, erhebt, verarbeitet und nutzt die Abonnentendaten (Name, Anschrift, Abonummer) und die beim
Einsatz der Kundenkarte anfallenden Daten, soweit dies für
die Durchführung des Bonusprogramms erforderlich ist.
Weiterhin können Name und Anschrift der Karteninhaber für
Marktforschungs- und Marketingzwecke im Rahmen der gesetzlichen Bestimmungen genutzt werden. Eine Nutzung für
Marketingzwecke erfolgt nur, soweit diese Vorteile, Vergünstigungen oder Ähnliches bieten. Eine Marktforschung muss
zum Ziel haben, die Angebote im Rahmen der Kundenkarte zu
verbessern. Gegen die Nutzung der Abonnentendaten für
Marktforschungs- und Marketingzwecke kann bei der Firma
XY Widerspruch eingelegt werden.
Eine Übermittlung von Abonnentendaten an Dritte findet
nicht statt. Seine Rechte nach dem Bundesdatenschutzgesetz,
insbesondere auf Auskunft (§ 34 BDSG) sowie Berichtigung,
Löschung und Sperrung (§ 35 BDSG) kann der Teilnehmer
durch schriftliche Erklärung gegenüber der Firma XY ausüben.“
55
Werden Daten erhoben, die für die Zusendung des Informationsmaterials oder des Probeexemplars nicht erforderlich sind
(hierzu genügt regelmäßig die Adresse), so ist auf den Werbezweck und die Freiwilligkeit der Angaben hinzuweisen.
56
Ggf. können die auszufüllenden Datenfelder auch mit einem
Sternchen versehen werden, das in einer Fußnote entsprechend
erläutert wird.
36
34
2. Tätigkeitsbericht (2006) der Bayerischen Datenschutzaufsichtsbehörde
für den nicht-öffentlichen Bereich, Ziff. 9.1.2, S. 46 f.
Kontaktaufnahme
Kapitel II
Formulierungsbeispiel:
Um Ihnen zukünftig Ihren Bedürfnissen entsprechende Produktinformationen zukommen lassen zu können, bitten wir Sie
noch um folgende freiwillige Angabe: (...).
4.3
Empfehlung fremder Produkte bzw. Versand fremder
Werbung
Beabsichtigt ein Unternehmen die eigenen Kundendaten auch
für Werbemaßnahmen Dritter einzusetzen, indem unter Rückgriff auf die eigenen Kundendaten ein Versand fremder Werbung erfolgt bzw. den eigenen Kunden Empfehlungsschreiben
bezüglich der Produkte Dritter geschickt werden, ist auch über
diese geplanten Datennutzungen zu informieren.
57
Formulierungsvorschlag:
Wir verarbeiten die Daten zur Abwicklung Ihrer Bestellung sowie für eigene Werbezwecke. Des Weiteren werden die Daten
von uns genutzt, um Empfehlungen bezüglich der Produkte
unserer Partnerunternehmen auszusprechen bzw. Ihnen eigene Produktinformationen dieser Unternehmen zukommen zu
lassen. Eine Weitergabe Ihrer Daten findet hierbei nicht statt.
Wird Werbung von Kooperationspartnern versandt, ist in das
Werbeanschreiben zum einen ein eindeutiger Hinweis auf die
verantwortliche Stelle, d.h. den Versender des Werbeanschreibens aufzunehmen; zudem ist in den Schreiben auf die Kooperation hinzuweisen, da der Betroffene auf Grund seiner Kundenbeziehung zum versendenden Unternehmen nicht davon ausgehen
muss, dass bei der Bestellung eines Produkts ein anderes, ihm
ggf. bis dahin völlig fremdes Unternehmen Vertragspartner
wird37.
37
Innenministerium Baden-Württemberg, Dritter Tätigkeitsbericht, 2005,
S. 27.
35
58
Kapitel II
4.4
Kontaktaufnahme
Hinweis auf Kategorien von Datenempfängern
59
§ 4 Abs. 3 S. 1 BDSG verpflichtet dazu, über die Kategorien von
Datenempfängern aufzuklären, soweit der Betroffene nicht nach
den Umständen des Einzelfalles mit der Übermittlung an diese
rechnen muss.
60
Sollen also die Daten im Rahmen des durch § 28 BDSG Erlaubten
Dritten (z.B. dem Konzernverbund angehörenden Firmen) zu
Werbezwecken zur Verfügung gestellt werden, ist auch dieses
mitzuteilen.
Formulierungsbeispiel:
Wir verarbeiten die Daten, um Ihren Informationswunsch zu
erfüllen sowie für eigene Werbezwecke.
Des Weiteren stellen wir die Daten namhaften (alternativ: mit
uns konzernverbundenen) Unternehmen der XY-Branche zur
Verfügung, damit auch diese Ihnen Angebote zukommen lassen können.
4.5
61
Hinweispflicht bei Couponheften und Verbundwerbung
Zur praxisgerechten Handhabung der Hinweispflicht ist bei Couponheften (Hefte mit mehreren an diverse Firmen adressierten
Postkarten) und Verbundwerbung (Werbung zur Prospektanforderung von verschiedenen Unternehmen auf einer Postkarte)
auch eine leicht modifizierte Verfahrensweise akzeptabel. Ist
schon auf Grund der Größe des Coupons die Aufbringung der
Information nach § 4 Abs. 3 BDSG nicht möglich, genügt ein genereller Hinweis (z.B. in einem Anschreiben der auf dem Deckblatt des Heftes)38.
38
36
Bei Coupons in Zeitschriften kann es ggf. genügen, wenn der Betroffene im
Rahmen der Ausführung der Bestellung auf die weitere Werbeabsicht hingewiesen wird, so Innenministerium Baden-Württemberg, Dritter Tätigkeitsbericht, 2005, S. 51 f.
Kontaktaufnahme
5.
Kapitel II
Folgen fehlender oder unvollständiger Information
Gesetzlich ungeregelt ist die Frage, welche Rechtsfolgen die
Nichtbeachtung dieser Informationspflichten nach sich zieht.
62
Ein Verstoß gegen die Informationspflicht nach § 4 Abs. 3 S. 1
BDSG wirkt sich jedenfalls dann auf die Zulässigkeit des Datenumgangs aus, wenn der Grundsatz von Treu und Glauben verletzt ist39. Dies ist nicht nur der Fall, wenn über die Zwecke der
Datenerhebung getäuscht wird, sondern auch, wenn Verarbeitungen stattfinden sollen, auf die sich die Betroffenen bei Kenntnis der Zweckbestimmung möglicherweise nicht einlassen würden40. In diesem Fall besteht Grund zur Annahme, dass schutzwürdige Interessen des Betroffenen beeinträchtigt werden (§ 28
Abs. 1 S. 1 Nr. 2 BDSG). Eine insoweit unzulässige Datenerhebung
hat zur Folge, dass die Daten nicht weiterverwendet (verarbeitet
oder genutzt) werden dürfen und der Betroffene einen Anspruch
auf Löschung dieser Daten hat (§ 35 Abs. 2 Nr. 1 BDSG).
63
Somit empfiehlt sich die korrekte Erfüllung der Informationspflicht aus § 4 Abs. 3 BDSG auch schon deshalb, weil sonst ein
Risiko besteht, dass die gesamte anknüpfende Datenverarbeitung als unzulässig eingestuft wird.
64
6.
Allgemeine Ansprache mit Responseelementen
Werbemedien mit Coupons erleichtern es den Interessenten, in
Kontakt mit dem werbenden Unternehmen zu treten. Gleichzeitig kann das werbende Unternehmen den Informationsfluss
steuern und durch die Gestaltung der Coupons für seine Zwecke
relevante Daten erfragen.
65
Dabei sind verschiedene Fallgestaltungen möglich. Zum einen ist
an die reine Informationsanforderung zu denken. Diese kann
66
39
40
Innenministerium Baden-Württemberg, Hinweise zum BDSG Nr. 41 (RDV
2004, S. 234 ff.; im Internet bereitgestellt unter www.im.bwl.de).
Vgl. auch Gola/Schomerus, BDSG, Kommentar, 9. Auflage, München 2007,
§ 4 Rdnr. 48.
37
Kapitel II
Kontaktaufnahme
etwa dergestalt erfolgen, dass Interessenten in einem allgemeinen Prospekt oder Flyer die Möglichkeit geboten wird, Spezialkataloge oder Informationen zu bestimmten Produkten anzufordern. Zum anderen können Preisausschreiben oder Gewinnspiele veranstaltet werden, die den potenziellen Interessenten einen
zusätzlichen Anreiz zur Preisgabe ihrer Daten geben sollen.
67
68
69
70
Die Frage, welche Daten mittels dieser Werbemedien abgefragt
werden dürfen, hängt entscheidend von der Art der angeforderten Information ab:
Name und Anschrift
Sollen die Informationen per Post übersandt oder soll der Gewinner eines Preisausschreibens ermittelt werden, sind Name
und Anschrift naturgemäß erforderlich.
E-Mail-Adresse
Sollen die Informationen per E-Mail übermittelt werden, ist die
Kenntnis der E-Mail-Adresse erforderlich. Ansonsten ist diese
Angabe freiwillig und als solche zu kennzeichnen. Soll die E-MailAdresse für eigene Werbeaktionen verwendet werden, ist § 7
UWG zu beachten, der die Verwendung von E-Mail-Adressen für
Werbezwecke ohne Einwilligung des Interessenten nur unter
eingeschränkten Bedingungen zulässt41.
Telefonnummer
Die Telefonnummer kann beispielsweise abgefragt und genutzt
werden, um Rückfragen zur Informationsanforderung (z.B. unleserliche Zustelladresse) zu ermöglichen. Da die Lieferung jedoch
auch an Interessenten ohne Telefonanschluss erfolgen kann, ist
die Angabe als freiwillig zu kennzeichnen. Soll die Telefonnummer für Werbeanrufe genutzt werden, muss dafür eine ausdrückliche Einwilligung des Interessenten eingeholt werden42.
41
42
38
Vgl. nachfolgend Rdnr. 207 ff. sowie Splittgerber/Zscherpe/Goldmann, Werbe-E-Mails - Zulässigkeit und Verantwortlichkeit, WRP 2006, S. 178.
Vgl. im Einzelnen nachfolgend Rdnr. 185 ff.
Kontaktaufnahme
Kapitel II
Unzulässig wäre es, die Bearbeitung einer Antwort-/Bestellkarte
von der Vollständigkeit aller Angaben abhängig zu machen und
dabei die Telefonnummer auch für Werbezwecke zu verwenden.
71
Überreicht der Interessent seine Visitenkarte, auf der neben der
Adresse auch elektronische Kommunikationsdaten verzeichnet
sind, so kann hieraus nicht ohne weiteres die konkludente
(schlüssige) Einwilligung entnommen werden, allgemein zu Marketingzwecken angerufen werden zu wollen.
72
Freiwillige Angaben
Werden für die unmittelbare Durchführung der Informationsanforderung nicht benötigte Daten abgefragt, so ist die Kennzeichnung „freiwillig“ kein Freibrief für jegliche Datenverarbeitung.
Der Interessent muss darüber informiert werden, welche Verarbeitungen beabsichtigt sind und was mit den freiwilligen Angaben geschieht.
Besonderheiten bei Gewinnspielen/Preisausschreiben
Bei Gewinnspielen oder Preisausschreiben muss das sog. Kopplungsverbot (§ 4 Nr. 6 UWG) beachtet werden.
73
74
§ 4 Nr. 6 UWG: Unlauter im Sinne von § 3 handelt insbesondere, wer
(…)
6. die Teilnahme von Verbrauchern an einem Preisausschreiben oder Gewinnspiel von dem Erwerb einer Ware oder
der Inanspruchnahme einer Dienstleistung abhängig macht,
es sei denn, das Preisausschreiben oder Gewinnspiel ist naturgemäß mit der Ware oder der Dienstleistung verbunden; (...).
Demnach darf die Teilnahme an einem Gewinnspiel oder Preisausschreiben nicht von einer Informationsanforderung oder der
Preisgabe von Daten abhängig gemacht werden.
39
75
Kapitel II
76
Kontaktaufnahme
Bei der Gestaltung entsprechender Teilnahme-/Bestellformulare
muss daher jeder Eindruck einer Verbindung von Informationsbestellung und Gewinnspielteilnahme vermieden werden. Gefordert ist eine optische und inhaltliche Trennung des Anforderungs- und des Gewinnspielteils. Der Hinweis auf den Gewinn
muss so gestaltet werden, dass der verständige Verbraucher
nicht annimmt, er müsse Informationen anfordern oder bestimmte Daten preisgeben, um seine Gewinnchance zu wahren
oder zu erhöhen. Wenn allerdings diese Vorgaben ei ngehalten
werden, ist ein Nebeneinander von Gewinnspiel und Informationsanforderung auf einem Werbemedium zulässig43.
7.
Die Kontaktaufnahme per Online-Kommunikation
7.1
Der Ablauf der Online-Kommunikation
77
Inzwischen gibt es kaum noch ein Unternehmen, welches nicht
versucht, mit - potenziellen - Kunden „elektronisch“ in Kontakt
zu treten, sei es, dass man sich auf einer eigenen Homepage
präsentiert und dort Informationen bereitstellt, sei es, dass man
über eine E-Mail-Adresse erreichbar ist und seine Kunden per
E-Mail (z.B. per Newsletter) über eigene Angebote informiert.
78
Bei der Beschaffung der Daten für die Online-Kommunikation
sind gegenüber der zuvor betrachteten Offline-Kommunikation
einige Besonderheiten zu beachten, wobei drei Ebenen der Datenerhebung zu unterscheiden sind:
79
Inhaltsebene (Ebene 1)
Die Inhaltsebene bezeichnet die Ebene, auf der der Austausch
der eigentlichen Kommunikationsinhalte stattfindet (z.B. Angabe
der erforderlichen Informationen zur Bezahlung und Lieferung
einer online gekauften Ware). Es handelt sich also um dieselben
Informationen, die auch im Rahmen eines herkömmlichen Geschäftes preisgegeben werden. Es werden lediglich elektronische
Formulare anstelle von solchen aus Papier verwandt.
43
40
BGH, Urteil vom 03.03.2005 - I ZR 117/02 -, GRUR 2005, S. 599.
Kontaktaufnahme
Kapitel II
Auf die Inhaltsebene findet das BDSG Anwendung.
80
Diensteebene/Interaktionsebene (Ebene 2)
Auf der Diensteebene findet die technische Interaktion zwischen
Nutzer und Anbieter statt. Hierzu stellt der Anbieter die Plattform in Form eines sog. Telemediendienstes zur Verfügung.
Beispiele für derartige Dienste sind:
-
Online-Angebote von Waren oder Dienstleistungen
mit unmittelbarer Bestellmöglichkeit,
-
die kommerzielle Verbreitung von Informationen
über Waren-/Dienstleistungsangebote mit elektronischer Post (z.B. Werbe-Mails),
-
der Zugang zu einem besonders geschützten Bereich.
82
Im Hinblick auf diese zweite Ebene ist das Telemediengesetz
(TMG) einschlägig. Die Datenschutzvorschriften des TMG (§§ 11
bis 15) finden Anwendung, soweit personenbezogene Daten bei
der Nutzung von Telemediendiensten anfallen44. Hierzu gehören
ausgehend von der IP-Adresse 45 des Internetnutzers auch Kennung und Passwort zur Nutzung eines Online-Dienstes oder sonstige personenbezogene Daten zur Anmeldung für einen OnlineDienst.
Telekommunikationsebene/Transportebene (Ebene 3)
Auf dieser Ebene findet der technische Datentransport (z.B. der
Netzbetrieb) statt. Dieser erfolgt ganz oder überwiegend in der
Form der Telekommunikation. Die maßgeblichen Datenschutzregeln für die entsprechenden Provider sind im Telekommunikati44
45
81
In § 11 Abs. 3 TMG ist eine Ergänzung zum Geltungsbereich der Datenschutzbestimmungen für solche Telemediendienste erfolgt, die zugleich
dem Telekommunikationsgesetz unterliegen. Für diese Anbieter (InternetAccess, E-Mail-Übertragung) gelten die Datenschutzvorschriften des TKG
und nur sehr eingeschränkt die des TMG.
Vgl. hierzu AG Berlin Mitte, Urteil vom 27.03.2007 - 5 C 314/06 -, MIR 2007,
Dok. 377 (mit weiteren Nachweisen).
41
83
84
Kapitel II
Kontaktaufnahme
onsgesetz (§§ 88, 91 ff. TKG) geregelt.
85
Da auf allen drei Ebenen unterschiedliche Rechtsgrundlagen
maßgeblich sind, ist es für die Nutzung von online erhobenen
Daten zu Marketingzwecken wichtig, festzustellen, auf welcher
Ebene und in welchem Zusammenhang die Daten erhoben werden. Für Unternehmen, die nicht als klassische Telekommunikationsanbieter am Markt agieren, spielen die erste und zweite
Ebene die größte Rolle.
7.2
Erhebung im Internet - Inhaltsebene
86
Soweit die Inhaltsebene betroffen ist, folgt die Datenerhebung
im Internet und die weitere Nutzung der erhobenen Daten
grundsätzlich den gleichen Spielregeln wie im Offline-Bereich,
d.h., bei der Erhebung muss klar werden, wer für welche Zwecke
Daten erhebt, wer die Daten nutzen soll und welche Angaben für
den jeweiligen Zweck erforderlich (verpflichtend) und welche
freiwillig sind.
87
Daneben können weitere Informationspflichten z.B. nach der
Verordnung über Informations- und Nachweispflichten nach
bürgerlichem Recht46 bestehen.
88
Webportale
Besondere Beachtung muss die Gestaltung der Abfrageformulare finden. Häufig sind als „freiwillig“ gekennzeichnete Felder auf
programmtechnischer Ebene als Pflichtfeld angelegt, so dass die
Nutzer unzulässigerweise zur Eingabe der Daten gezwungen
werden. Auch genügt es nicht, in den Allgemeinen Geschäftsbedingungen oder den Datenschutzhinweisen auf die Zweckbestimmung der Datenerhebung hinzuweisen. Vielmehr sollten die
Angaben zur Zweckbestimmung unmittelbar bei dem Erhebungs46
42
Verordnung über Informations- und Nachweispflichten nach bürgerlichem
Recht - BGBInfoVO - in der Fassung vom 05.08.2002 (BGBl. I 3002), zuletzt
geändert durch Gesetz vom 02.12.2004 (BGBl. I 3102). Siehe auch § 312c
BGB.
Kontaktaufnahme
Kapitel II
vorgang erfolgen bzw. abrufbar sein. Zum Schutz der Daten muss
der Anbieter ferner ein Datenschutz- und Datensicherheitskonzept für das Internetangebot implementieren.
Der Verband der deutschen Internetwirtschaft empfiehlt, bei der
Gestaltung eines Web-Formulars auf folgende Punkte zu achten47:
89
1. leicht auffindbares Eingabefenster für E-Mail-Adresse
2. Grundsatz der Datensparsamkeit: Es sind nur Informationen abzufragen, die tatsächlich benötigt werden. Den
Interessenten ist der Hintergrund der Abfrage zu erläutern.
3. Ermöglichung eines anonymen Bezugs verbunden mit
explizitem Hinweis auf diese Option
4. leicht und schnell auffindbare Abbestell- und Änderungsmöglichkeit
5. Hinweis auf die Verwendung und Speicherung der online
erhobenen Daten
Newsletter
Bei der Anmeldung für einen Newsletter muss die E-MailAdresse naturgemäß angegeben werden. Oft werden darüber
hinaus weitere Daten wie Name und Anschrift erhoben. Diese
werden zur Zusendung des Newsletters jedoch nicht zwingend
benötigt und sind somit nicht als Pflichtfelder auszugestalten.
Die Erhebung als freiwillige Angaben - z.B. mit der Zweckbestimmung „um Sie in dem Newsletter persönlich ansprechen zu
können“ - bleibt unbenommen.
Im Rahmen des Anmeldeformulars sollte auch eine einfache
Abmeldemöglichkeit für den Newsletter vorgesehen werden.
47
eco Electronic Commerce Forum - Verband der deutschen Internetwirtschaft e.V., Richtlinie für erwünschtes Online-Direktmarketing, Version 1.21
vom 10.09.2002, S. 10.
43
90
91
Kapitel II
Kontaktaufnahme
Beispiel (Online-Bestellformular):
Bitte geben Sie Ihre Daten an:
Rechnungsanschrift
Vorname*
Nachname*
Firma/Organisation
Straße/Nr.*
TEL*
FAX
E-Mail*
(* = Pflichtangaben)
Wir verarbeiten Ihre oben angegeben Daten zur Abwicklung
Ihrer Bestellung durch uns oder Logistik-Dienstleister sowie
zur Information über unsere aktuellen Angebote. Darüber
hinaus ermöglichen wir verbundenen Unternehmen, Ihnen
interessante Informationen zukommen zu lassen.
Die E-Mail-Adresse dient der Bestellbestätigung sowie der
Information über vergleichbare Angebote unseres Hauses.
Sollten Sie Letzteres nicht wünschen, können Sie diese Nutzung jederzeit untersagen, ohne dass andere als die Übermittlungskosten nach den jeweiligen Basistarifen entstehen.
44
Kontaktaufnahme
Kapitel II
Beispiel 48:
Möchten Sie immer auf dem neuesten Stand sein, welche spannenden Neuigkeiten es auf unserer Website gibt? Dann abonnieren Sie doch einfach unseren kostenlosen Newsletter.
Wir planen, Ihnen diesen E-Mail-Newsletter einmal pro Woche
zu senden, um Sie auf dem Laufenden zu halten. So wird Ihr
E-Mail-Eingang nicht überfüllt, dennoch Sie sind immer im Bilde,
welche aufregenden Neuheiten wir zu bieten haben.
Datenschutz
Wir versichern, dass Ihre E-Mail-Adresse nur in Zusammenhang
mit dem von uns abonnierten Newsletter verwendet wird.
Kündigen
Wenn Sie Ihr Abo kündigen möchten, dann können Sie das jederzeit tun, indem Sie auf diese Seite zurückkehren, Ihre
E-Mail-Adresse eingeben, Kündigen anwählen und Senden anklicken.
Neue E-Mail-Adresse
Wenn sich Ihre E-Mail-Adresse geändert hat, kündigen Sie bitte
Ihr Abo für diese alte Adresse (siehe oben) und melden Sie sich
mit Ihrer neuen E-Mail-Adresse an.
Anmelden
Bitte geben Sie Ihre vollständige E-Mail-Adresse an (z.B.
[email protected]), wählen Sie Anmelden und klicken Sie
Senden an.
E-Mail-Adresse:
48
Anmelden
Absenden
Kündigen
eco Electronic Commerce Forum - Verband der deutschen Internetwirtschaft e.V., Richtlinie für erwünschtes Online-Direktmarketing, S. 15.
45
Kapitel II
92
93
Kontaktaufnahme
Produktregistrierung
Immer mehr Produkte werden mit der Aufforderung verkauft,
sich online registrieren zu lassen. Bei der Registrierung werden
dann regelmäßig personenbezogene Daten des Käufers/Nutzers
sowie das Interesse an weiteren Produktinformationen erfragt.
Hierzu hat das Landgericht München 49 folgende Grundsätze herausgearbeitet:
-
Eine Registrierung darf nicht erzwungen werden, zumindest dann nicht, wenn dem Käufer nicht bereits
beim Kauf die Registrierungspflicht bewusst war.
-
Es darf mit einer Registrierung nicht die Preisgabe personenbezogener Daten erzwungen werden, die dazu
dienen, den Vertrieb des Produktes zu erleichtern,
bzw. als Basis für weitere Werbemaßnahmen zu dienen. In dem Fall, der dem Landgericht München vorlag,
war z.B. die Zeile „Möchten Sie Info-Post bekommen?“
bereits automatisch mit einem „Ja“ versehen.
Einwilligung (Double-Opt-In)
Im Bereich der Online-Medien gestaltet es sich schwierig, vom
Betroffenen eine formgerechte Einwilligung50 zum Datenumgang zu erhalten. Die Einwilligung muss nach § 4a Abs. 1 S. 3
BDSG nämlich grundsätzlich schriftlich vorliegen, d.h. eigenhändig unterschrieben.
94
Als Ersatz für die Schriftlichkeit setzt sich in der Online-Praxis
immer mehr das sog. „Double-Opt-In“-Verfahren durch.
95
Hierunter versteht man eine Methode, bei der eine Anforderung/Registrierung/Einwilligung erst dann endgültig wirksam
wird, wenn diese noch ein zweites Mal bestätigt wurde. Bei diesem Verfahren erhält der Kunde nach der Anforderung/Registrierung/Einwilligung eine E-Mail, mittels der er über besondere
49
50
46
LG München I, Urteil vom 04.04.2000 - 7 O 115/00 -, RDV 2000, S. 175 ff.
Vgl. auch bei Zscherpe, Anforderungen an die datenschutzrechtliche Einwilligung im Internet, MMR 2004, S. 723.
Kontaktaufnahme
Kapitel II
Verfahren (z.B. einen individuell für ihn angelegten Link) seine
ursprüngliche Entscheidung bestätigen muss. Hierüber soll die
Autorisierung des Partners sichergestellt werden. Erst wenn die
empfängerseitige Bestätigung erfolgt ist, wird z.B. ein Dienst
wirksam.
Beispiel Anmeldung:
Sehr geehrter Nutzer,
vielen Dank, dass Sie sich für unseren Newsletter angemeldet
haben. Zum Schutz Ihrer Privatsphäre erhalten Sie nun zuerst
eine E-Mail zugeschickt, in der Sie einen Link finden, mit dem
Sie Ihre Anmeldung zum Newsletter bitte bestätigen.
Beispiel Bestätigungsmail:
Sehr geehrte/r ... ,
Sie haben sich zu unserem Newsletter angemeldet.
Da uns der Schutz vor Spam sehr wichtig ist, müssen Sie die
Anmeldung erst über folgenden Link bestätigen:
<http://www.hr-international.de/dienste/newsletter/
bestaetigen.php? newsletterempfaenger email= & newsletterempfaenger schluessel= >
Sie können den Link über einen Doppelklick/Klick aufrufen.
Falls Ihr E-Mail-Programm das nicht unterstützt, markieren
Sie den Link, kopieren Sie ihn mit [STRG+C] in die Zwischenablage und fügen Sie diesen mit [STRG+V] in die Internetadress-Zeile Ihres Browsers ein.
Sie können auch auf unsere Webseiten gehen und dort über
unser Newsletterformular (http://www.hr-international.de/
index.php? seite=newsletter bestaetigung) die Anmeldung
mit folgendem Schlüssel komplettieren: (...)
47
Kapitel II
Kontaktaufnahme
Falls Sie diese Mail jedoch fälschlicherweise erhalten haben,
können Sie Ihr Benutzerkonto sofort über folgenden Link
wieder löschen: http://www.hr-international.de/dienste
/newsletter/abmelden.php? newsletterempfaenger email=
&newsletterempfaenger Schluessel= >
Vielen Dank für Ihr Interesse.
Mit freundlichen Grüßen
7.3
96
97
98
Erhebung zur/bei der Nutzung von Onlinediensten
- Diensteebene
Bei der Nutzung eines Telemediendienstes können drei unterschiedliche Arten von Daten anfallen, nämlich Bestands-, Nutzungs- und Abrechnungsdaten, für die auf Grund ihrer unterschiedlichen Zweckbestimmung verschiedene Verarbeitungserlaubnisse bzw. -verbote bestehen.
Bestandsdaten
Als Bestandsdaten werden personenbezogene Daten des Nutzers
bezeichnet, die für die Begründung, inhaltliche Ausgestaltung
oder Änderung des Vertragsverhältnisses über die Nutzung des
Telemediendienstes erforderlich sind (§ 14 Abs. 1 TMG). Sie fallen nur bei solchen Anbietern von Telemediendiensten an, die
mit dem Nutzer die Erbringung ihrer Dienstleistung regeln, z.B.
weil sie die Leistung nicht unentgeltlich erbringen oder weil sie
die Leistung nur einem bestimmten Kreis zugänglich machen
wollen (z.B. geschützter Bereich auf einer Homepage, Anmeldung/Registrierung des Zugangs zu einem Bestellsystem). Inhalt
der Regelung ist die Vermittlung bzw. die Gestattung des Zugangs zu den Telemediendiensten. Zu den Bestandsdaten zählen
insbesondere der Name des Nutzers, Anschrift, E-Mail-Adresse,
Identifizierungs- und Authentifizierungsinformationen sowie die
je nach Art des Vertrages vereinbarten Nutzungsmodalitäten.
Der Umgang mit Bestandsdaten ist auf die Begründung, inhaltliche Ausgestaltung oder Änderung des Vertragsverhältnisses
48
Kontaktaufnahme
Kapitel II
über die Nutzung des Telemediendienstes zu beschränken. Werden Daten zur Durchführung des Dienstes erhoben und gespeichert, so ist eine Verwendung für andere Zwecke, zu denen auch
die Werbeansprache 51 zählt, ohne Einwilligung verboten.
Beispiel:
Erhebung von Daten zur Freischaltung eines geschlossenen
Bereichs im Internet: Die Daten sind erforderlich zur Prüfung
der Legitimation des Beantragenden und zur Bestätigung der
Freischaltung des Zugangs (E-Mail-Adresse).
Passwort-Beantragung für Mitglieder-Service
Die Nutzung des geschlossenen Bereichs steht nur Mitgliedern zur Verfügung. Wenn Sie bereits Mitglied sind, dann
können Sie Ihr persönliches Passwort durch Eingabe Ihrer
Mitgliedsnummer im unteren Formular anfordern.
Vorname
Nachname
Firmenname
Mitglieds-Nr.
E-Mail-Adresse
Wählen Sie ein Passwort
Bestätigen Sie das Passwort
Formular abschicken
51
Nach Auffassung des Hessischen Innenministeriums (vgl. Aufsichtsbehörden
für den Datenschutz im nicht öffentlichen Bereich in Hessen, 31. Tätigkeitsbericht, Landtags-Drucksache 16/1680 vom 11.12.2003, S. 32 ff.) können
die Bestandsdaten ohne Einwilligung z.B. zur E-Mail-Ansprache von eigenen
Vertragskunden verwendet werden, soweit die Ansprache die inhaltliche
Ausgestaltung des Vertragsverhältnisses betrifft und nicht überwiegend
Werbebotschaften oder konkrete reklameartige Waren- oder Dienstleistungsangebote enthält. Hinzuweisen ist j edoch darauf, dass diese Auffassung vor Inkrafttreten des neuen UWG geäußert wurde.
49
Kapitel II
Kontaktaufnahme
99 Bei der Einholung einer Einwilligung hat der Diensteanbieter
allerdings zu beachten, dass er die Erbringung des Dienstes nicht
von einer Einwilligung des Nutzers in eine Verarbeitung oder
Nutzung seiner Daten für andere Zwecke, z.B. in die Nutzung
oder Vermarktung der Bestandsdaten zu Werbezwecken, abhängig machen darf, wenn dem Nutzer ein anderer Zugang zu dem
Telemediendienst nicht oder nicht in zumutbarer Weise möglich
52
ist (sog. Kopplungsverbot nach § 12 Abs. 3 TMG) .
Nutzungsdaten
100 Als Nutzungsdaten werden personenbezogene Daten eines Nut-
zers bezeichnet, die erforderlich sind, um die Inanspruchnahme
des Dienstes zu ermöglichen bzw. diesen abzurechnen. Sie fallen
technisch bedingt an, um die Verbindung zum Telemediendienst
herzustellen oder aufrecht zu erhalten. Erfasst werden insbesondere Merkmale zur Identifikation des Nutzers, Angaben über
Beginn, Ende und Umfang der jeweiligen Nutzung sowie über die
vom Nutzer in Anspruch genommenen Telemedien (§ 15 Abs. 1
S. 2 TMG). Die Nutzungsdaten setzen sich insbesondere aus der
IP-Adresse des Nutzers, Zeitangaben, Angaben zum Browser und
den besuchten Webseiten zusammen.
Beispiel (Protokollierung von Nutzungsdaten):
68.142.251.XX - - [16/Dec/2005:06:47:25 +0100] "GET /Inhalt/
eintrag.htm HTTP/1.0" 200 1310 "-" "Mozilla/5.0 (compatible;
Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.142.251.XX - - [16/Dec/2005:08:46:47 +0100] "GET
/robots.txt HTTP/1.0" 404 1564 "-" "Mozilla/5.0 (compatible;
Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
101 Nutzungsdaten führen ohne weitere Informationen - z.B. durch
personenbezogene Zuordnung der IP-Adresse - nicht zur unmittelbaren Identifizierung des Nutzers, so dass hierüber nicht ohne
52
50
Vgl. hierzu die Entscheidung des OLG Brandenburg zur „Datenschutzerklärung“ von eBay (Urteil vom 11.01.2006 - 7 U 52/05 -, MMR 2006, S. 405).
Kontaktaufnahme
Kapitel II
weiteres Kontakt zu einem Kunden aufgebaut werden kann.
Dennoch hat das Amtsgericht Berlin Mitte die IP-Adresse als
personenbezogenes Datum angesehen53.
Der Umgang mit Nutzungsdaten ohne weitere Einwilligung des 102
Nutzers beschränkt sich darauf, die Inanspruchnahme von Diensten zu ermöglichen und abzurechnen (§ 15 Abs. 1 S. 1 TMG). Sie
dürfen daher grundsätzlich nur für die Dauer der Nutzung des
Dienstes gespeichert werden und sind mit Beendigung der Nutzung zu löschen, soweit sie nicht für Zwecke der Abrechnung mit
dem Nutzer benötigt werden54.
Sollen die Nutzungsdaten für sonstige Zwecke genutzt werden, 103
z.B. für Zwecke der Werbung, der Marktforschung oder um zur
bedarfsgerechten Gestaltung des Dienstes Nutzungsprofile zu
erstellen, ist die Einwilligung des Nutzers erforderlich. Werden
die Nutzungsprofile pseudonym55 erstellt, so ist dies zulässig,
soweit der Nutzer dem nicht widerspricht (auf dieses Recht ist
der Nutzer hinzuweisen) und die Nutzungsprofile nicht mit Daten
über den Träger des Pseudonyms zusammengeführt werden.
Abrechnungsdaten
Abrechnungsdaten sind Nutzungsdaten, die über das Ende des 104
Nutzungsvorgangs hinaus verarbeitet und genutzt werden, weil
sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind
(§ 15 Abs. 4 S. 1 TMG ). In der Regel werden zur Abrechnung der
Nutzung eines Dienstes Bestandsdaten und Nutzungsdaten kombiniert.
53
54
55
AG Berlin Mitte, Urteil vom 27.03.2007 - 5 C 314/06 -. Das Urteil ist über die
MIR Dok. Nr. 377 über nachfolgenden Link abrufbar: http://medieninternet-und-recht.de.
Vgl. zuletzt AG Berlin Mitte, a.a.O., mit weiteren Nachweisen; zur Löschungspflicht beim Access-Provider vgl. nachstehend Rdnr. 105.
Nach § 3 Abs. 6a BDSG ist Pseudonymisieren „das Ersetzen des Namens und
anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die
Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren“.
51
Kapitel II
Kontaktaufnahme
105 Dabei werden Angaben über Anbieter, Zeitpunkt, Dauer, Art,
Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch
genommener Dienste nur dann erkennbar sein, wenn der Nutzer
einen Einzelnachweis verlangt. Wird hingegen z.B. ein Telemediendienst auf Basis einer Flat-Rate abgerechnet, so soll nach
hierzu ergangener Rechtsprechung 56 eine längerfristige Speicherung dynamischer IP-Adressen zu Abrechnungszwecken nicht
57
erforderlich sein .
106 Eine weitergehende Nutzung der Abrechnungsdaten ohne Ein-
willigung des Nutzers ist nicht zuletzt durch das weitgehende
Weitergabeverbot und die kurze Aufbewahrungsdauer von maximal sechs Monaten nach Versendung der Rechnung ausgeschlossen (§ 15 Abs. 7 TMG).
Elektronische Einwilligung
107 Im Bereich des TMG ist für den Umgang mit Bestands-, Nut-
zungs- und Abrechnungsdaten die Möglichkeit der Einholung
einer elektronischen Einwilligung gesetzlich vorgesehen.
108 Insoweit wird im Gegensatz zu § 4a BDSG58 auf das grundsätzli-
che Formerfordernis der Schriftlichkeit verzichtet. Daher wird
auch in diesem Bereich das "Double-Opt-In"-Verfahren59 empfohlen und von den Datenschutzaufsichtsbehörden anerkannt 60.
56
57
58
59
60
52
AG Darmstadt, Urteil vom 30.06.2005 - 300 C 397/04 -, RDV 2005, S. 227;
bestätigt durch LG Darmstadt, Urteil vom 25.01.2006 - 25 S 118/2005 -,
DuD 2006, S. 178; anderer Ansicht: Aufsichtsbehörde für den Datenschutz
im nicht öffentlichen Bereich in Hessen, 31. Tätigkeitsbericht, LT-Drs.
16/1680 vom 11.12.2003, S. 26 ff.
Vgl. aber auch AG Bonn, Urteil vom 05.07.2007 - 9 C 177/07 -, CR 2007,
S. 640, wonach die Speicherung von Datenvolumen und IP-Adresse zur
Missbrauchsbekämpfung für den Zeitraum von sieben Tagen verhältnismäßig sein soll.
Vgl. insofern auch Rdnr. 190 f.
Vgl. vorstehend Rdnr. 93 ff.
Aufsichtsbehörde für den Datenschutz im nicht öffentlichen Bereich
in Hessen, 31. Tätigkeitsbericht, Landtags-Drucksache 16/1680 vom
11.12.2003, S. 32.
Kontaktaufnahme
Kapitel II
Auch hier gilt das sog. Kopplungsverbot61.
§ 13 Abs. 2 und 3 TMG:
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der
Diensteanbieter sicherstellt, dass
1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt
hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann
und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die
Zukunft widerrufen kann.
(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Abs. 2 Nr. 4 hinzuweisen. (…)
Durch die Protokollierung und die Möglichkeit, den Inhalt der 109
Einwilligung jederzeit abzurufen, wird die abgegebene Einwilligung dokumentiert. Insoweit ist darauf zu achten, dass im Rahmen eines Versionsmanagements nicht die aktuelle Einwilligung,
sondern die tatsächlich abgegebene Erklärung abgerufen wird.
Beispiel einer elektronischen Einwilligung 62:


Die AGB habe ich gelesen und akzeptiere sie.
In die Übermittlung meiner gespeicherten personenbezogenen Daten (Adresse, Telefonnummer) an dritte Unternehmen für die Verwendung zu werblichen Zwecken willige ich
ein.
Näheres hierzu finden Sie in § ... der AGB (Link).
Registrierung abschicken
61
62
Vgl. OLG Brandenburg, Urteil vom 01.11.2006 - 7 U 52/05 -, MMR 2006,
S. 405 sowie vorstehend Rdnr. 74 ff.
Bayerische Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich,
2. Tätigkeitsbericht (2006), S. 26 = RDV 2007, S. 86.
53
Kapitel II
7.4
Kontaktaufnahme
Informationspflichten
110 Nach § 4 Abs. 3 BDSG ist der Betroffene, sofern bei ihm perso-
nenbezogene Daten erhoben werden und er nicht bereits auf
andere Weise Kenntnis erlangt hat, von der verantwortlichen
Stelle über ihre Identität sowie die Zweckbestimmungen des
Datenumgangs zu informieren. Auch über die Kategorien von
Empfängern ist zu unterrichten, soweit der Betroffene nach den
Umständen des Einzelfalles nicht mit der Übermittlung an diese
rechnen muss. Neben den Informationspflichten, die nach dem
BDSG zu beachten sind 63, ergeben sich für den Onlinebereich
zusätzliche Informationspflichten in Bezug auf die Transparenz
64
der verantwortlichen Diensteanbieter und des Datenumgangs .
Anbieterkennzeichnung
111 Es ist sicherzustellen, dass bei Onlinediensten der verantwortli-
che Anbieter schnell und einfach ausgemacht werden kann. Diese sog. Anbieterkennzeichnung (§ 5 TMG) dient auch dazu, die
verantwortliche Stelle im Sinne des Datenschutzrechtes zu identifizieren (sog. Transparenzgebot).
112 Dem Gesetzeswortlaut nach betrifft die Informationspflicht nur
Dienste, die in der Regel gegen Entgelt angeboten werden. Damit
sollen Informationsangebote, die keinen wirtschaftlichen Hintergrund haben (z.B. rein private Homepages) von dieser Verpflichtung ausgenommen werden. Fraglich ist, ob die jetzige Gesetzesformulierung so auszulegen ist, dass alle kommerziellen Webseiten, unabhängig davon, ob es sich um unmittelbar kostenpflichtige Angebote handelt oder nicht, von der Pflicht zur Anbieterkennzeichnung betroffen sein sollen. Nach dem Erwägungsgrund 18 der E-Commerce-Richtlinie (2000/31/EG) sollen nicht
nur Dienste erfasst werden, bei denen online Verträge geschlos63
64
54
Vgl. vorstehend Rdnr. 47 ff.
Zur Kennzeichnungspflicht bei E-Mail-Werbung vgl. Rdnr. 209 f.
Kontaktaufnahme
Kapitel II
sen werden können. Im Falle wirtschaftlicher Betätigung sollen
daneben auch Online-Informationsdienste, die von den Nutzern
nicht vergütet werden, erfasst sein.
§ 5 Abs. 1 TMG: Diensteanbieter haben für geschäftsmäßige, in
der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:
1. den Namen und die Anschrift, unter der sie niedergelassen
sind, bei juristischen Personen zusätzlich die Rechtsform,
den Vertretungsberechtigten und, sofern Angaben über das
Kapital der Gesellschaft gemacht werden, das Stamm- oder
Grundkapital sowie, wenn nicht alle in Geld zu leistenden
Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen,
2. Angaben, die eine schnelle elektronische Kontaktaufnahme
und unmittelbare Kommunikation mit ihnen ermöglichen,
einschließlich der Adresse der elektronischen Post,
3. soweit der Dienst im Rahmen einer Tätigkeit angeboten
oder erbracht wird, die der behördlichen Zulassung bedarf,
Angaben zur zuständigen Aufsichtsbehörde,
4. das Handelsregister, Vereinsregister, Partnerschaftsregister
oder Genossenschaftsregister, in das sie eingetragen sind,
und die entsprechende Registernummer,
5. (…)
6. in Fällen, in denen sie eine Umsatzsteueridentifikationsnummer nach § 27a des Umsatzsteuergesetzes oder eine
Wirtschafts-Identifikationsnummer nach § 139c der Abgabenordnung besitzen, die Angabe dieser Nummer,
7. bei Aktiengesellschaften, Kommanditgesellschaften auf Aktien und Gesellschaften mit beschränkter Haftung, die sich in
Abwicklung oder Liquidation befinden, die Angabe hierüber.
Die Anbieterkennzeichnung muss auf der Homepage des Anbie- 113
55
Kapitel II
Kontaktaufnahme
ters von jeder Seite aus einfach per Hyperlink aufrufbar sein.
Durchgesetzt hat sich hierbei die Bezeichnung als „Impressum“ 65.
Für eine leichte Erkennbarkeit und unmittelbare Erreichbarkeit
im Sinne der Bestimmung des TMG ist es nach der Rechtsprechung 66 ausreichend, wenn das Impressum eines InternetAuftritts über zwei Links erreichbar ist. Inzwischen hat der BGH67
dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob
neben der Nennung der E-Mail-Adresse auch die Angabe einer
Telefonnummer bzw. die Ermöglichung eines zweiten Kommunikationsweges unter Verwendung von Anfragemasken notwendig
ist. Die Rechtsprechung in Deutschland ist hierzu bislang uneinheitlich.
Datenschutzerklärung
114 Soweit auf Grund der Nutzung des Dienstes personenbezogene
Daten erhoben, verarbeitet oder genutzt werden, gehört es zu
den Pflichten des Diensteanbieters, hierüber aufzuklären (§ 13
Abs. 1 TMG).
§ 13 Abs. 1 TMG: Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der
Erhebung und Verwendung personenbezogener Daten sowie
über die Verarbeitung seiner Daten in Staaten außerhalb des
Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr.
L 281 S. 31) in allgemein verständlicher Form zu unterrichten,
sofern eine solche Unterrichtung nicht bereits erfolgt ist. (...)
Der Inhalt der Unterrichtung muss für den Nutzer jederzeit
abrufbar sein.
65
66
67
56
Für ein Muster siehe z.B. Der Landesbeauftragte für den Datenschutz Niedersachsen (Hrsg.), Datenschutzgerechtes Internetangebot der Wirtschaft,
Kapitel 3.7.1.
BGH, Urteil vom 20.07.2006 - I ZR 228/03 -, MMR 2007, S. 40.
Beschluss vom 26.04.2007 - I ZR 190/04 -, MMR 2007, S. 505.
Kontaktaufnahme
Kapitel II
Durchgesetzt hat sich hierzu die Verlinkung einer „Datenschutz- 115
erklärung“ oder „Privacy Policy“, die wie der Link zum „Impressum“ an zentraler, gut erkennbarer Stelle ins Webangebot eingebunden wird und von überall per Mausklick leicht erreichbar
ist.
Die Datenschutzerklärung bezieht sich im Wesentlichen auf den 116
Umgang mit Nutzungsdaten. Werden diese nicht protokolliert,
sollte kurz dargestellt werden, dass keine personenbezogenen
Daten gespeichert werden. Werden sie protokolliert, ist der Umgang mit den Daten kurz zu erläutern. Als vertrauensbildende
Maßnahme können in die Datenschutzerklärung zudem weitere
Aussagen zum Datenschutz eingebunden werden.
Beispiel (Auszug):
Zugriff auf das Internetangebot
Jeder Zugriff auf unser Internetangebot wird in einer Protokolldatei gespeichert. In der Protokolldatei werden folgende Daten
maximal 14 Tage gespeichert:
- Name der abgerufenen Datei
- Datum und Uhrzeit des Abrufs
- übertragene Datenmenge
- Meldung, ob der Abruf erfolgreich war
Die gespeicherten Daten werden nur zur Optimierung des Internetangebotes ausgewertet. (...) IP-Adressen werden nicht über
das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert.
Die Datenschutzerklärung ersetzt nicht die konkrete Information 117
des Betroffenen bei der Erhebung von personenbezogenen Daten gemäß § 4 Abs. 3 BDSG.
Cookies
Sollen Besucher einer Internetseite individuell angesprochen 118
werden, werden häufig sog. Cookies eingesetzt. Dies sind kleine
57
Kapitel II
Kontaktaufnahme
Textdateien, die durch einen Webserver auf der Festplatte des
Nutzers abgelegt werden, um ihn beim Besuch bestimmter We bserver wieder zu erkennen oder Daten über das Surfverhalten in
dem Cookie zu hinterlegen. Damit handelt es sich um „automatisierte Verfahren“ im Sinne von § 13 Abs. 1 S. 2 TMG, die eine
spätere Identifizierung des Nutzers ermöglichen und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
vorbereiten. Der Nutzer ist daher zu Beginn des Verfahrens (d.h.
beim Setzen des Cookies) zu unterrichten. Der Inhalt dieser Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
119 Der Umgang mit Cookies kann regelmäßig durch den Benutzer
eines Browsers selbst geregelt werden. Auch hierfür ist die Aufklärung über Sinn und Zweck der Cookies als Entscheidungsgrundlage hilfreich. Die Unterrichtung erfolgt in der Regel im
Rahmen der „Datenschutzerklärung“.
Beispiel68:
Informationen über Personalisierung mit Cookies
Cookies helfen uns, Ihre XY-Website genau auf Ihre Bedürfnisse zuzuschneiden. Cookies sind Text-Informations-Dateien, die
Ihr Web-Browser auf Ihrem Computer abspeichert, wenn Sie
eine Web-Site öffnen.
XY.com verwendet diese Cookie-Technologie, um die XYWebsite für Sie auf Ihre Landessprache und das Alter Ihres Babys zugeschnitten einzurichten. Die meisten Browser akzeptieren Cookies automatisch, bieten aber die Möglichkeit an, Cookies abzulehnen, oder vor Speicherung eine Warnung anzuzeigen. Eventuell müssen Sie Ihren Browser entsprechend einrichten, um unser Informationsangebot vollständig nutzen zu können. Wenn Sie unsere Datenschutzerklärung sehen wollen,
klicken Sie hier.
68
58
eco Electronic Commerce Forum - Verband der deutschen Internetwirtschaft e.V., Richtlinie für erwünschtes Online-Direktmarketing, S. 16.
Mögliche Datenlieferanten
Kapitel III
Kapitel III: Welche Stellen liefern Daten zur
Kundenansprache?
1.
Geschäftsmäßiger Adresshandel
Zum Versand von Werbebotschaften können Adressen zunächst 120
von Unternehmen erworben oder bei diesen genutzt werden, die
den Verkauf oder die Vermietung von Adressen geschäftsmäßig
betreiben. Die Rechtsgrundlage für ihre Tätigkeit findet sich in
§ 29 BDSG. Entweder werden dabei die Daten - ggf. nur zur vorübergehenden Nutzung - an das werbende Unternehmen übermittelt. Oder der Versand wird von dem Adresshändler bzw.
einem zwischengeschalteten Dienstleistungsunternehmen im
Wege des sog. Lettershopverfahrens durchgeführt, indem der
Adresshändler unter Nutzung eigener oder fremder Datenbestände - Letzteres geschieht dann im Auftrag des Listeigners - die
Zusammenführung des Werbemittels mit den Adressdaten sowie
den Versand übernimmt.
§ 29 Abs. 1 und 2 BDSG:
(1) Das geschäftsmäßige Erheben, Speichern oder Verändern
personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien, dem Adresshandel oder der Markt- und Meinungsforschung dient, ist zulässig, wenn
1. kein Grund zu der Annahme besteht, dass der Betroffene
ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, oder
2. die Daten aus allgemein zugänglichen Quellen entnommen
werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung,
Speicherung oder Veränderung offensichtlich überwiegt.
§ 28 Abs. 1 S. 2 ist anzuwenden.
59
Kapitel III
Mögliche Datenlieferanten
(2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist
zulässig, wenn
1. a) (….) oder
b) es sich um listenmäßig oder sonst zusammengefasste
Daten nach § 28 Abs. 3 Nr. 3 handelt, die für Zwecke der
Werbung oder der Markt- oder Meinungsforschung
übermittelt werden sollen, und
2. kein Grund zu der Annahme besteht, dass der Betroffene
ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. (…)
121 Der Handel mit Adressen ist im Rahmen des § 29 BDSG zulässig,
solange der Betroffene nicht widersprochen hat und die verantwortliche Stelle auch nicht aus sonstigen Gründen annehmen
muss, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung bzw. Nutzung seiner personenbezogenen Daten hat.
2.
Lifestyle-Datenerhebungen und „Verbraucherbefragungen“
122 Personenbezogene Datensätze sind aus Unternehmenssicht um-
so wertvoller, je ausführlichere Informationen sie über die betroffenen Personen enthalten. Adresshändler versenden daher
zwecks Beschaffung entsprechender Informationen detaillierte
„Haushalts- bzw. Verbraucherbefragungen“ mit zum Teil mehr
als 100 Fragen. Mittels der Bögen sollen etwa Angaben über das
Haushaltseinkommen, Grundeigentum, bestehende Versicherungen, Kauf- und sonstige Lebensgewohnheiten, Freizeitverhalten oder den Gesundheitszustand gewonnen werden. Als Anreize zur Teilnahme werden vielfach Preisausschreiben oder Gewinnspiele eingesetzt69.
69
60
Siehe hierzu OLG Stuttgart, Urteil vom 27.11.1998 - 2 U 111/98 -, RDV 1999,
S. 77 = DuD 1999, S. 296.
Mögliche Datenlieferanten
Kapitel III
Derartige Datenerhebungen sowie die nachfolgende Datennut- 123
zung durch die werbenden Unternehmen werden i.d.R. über eine
entsprechende informierte Einwilligung (§ 4a BDSG) der Befragten legitimiert. Zwar orientieren sich die entsprechenden Anbieter aus Akzeptanzgründen hinsichtlich der Gestaltung der Fragebögen - und zum Teil auch hinsichtlich ihrer Firmierung - gerne
an den anerkannten Instituten der Markt- und Meinungsforschung. Im Hinblick auf die notwendige Information über die
Zwecke der Datenverarbeitung (§ 4a S. 2 BDSG) bzw. die erforderliche Freiwilligkeit der Einwilligung ist es aus datenschutzrechtlicher Sicht allerdings erforderlich, Verwechslungen mit der
herkömmlichen Markt- und Meinungsforschung, bei der die
Antworten ausschließlich anonymisiert bzw. statistisch verwendet werden, in ausreichendem Maße auszuschließen.
Soweit im Rahmen der Erhebung auch besondere Arten perso- 124
nenbezogener Daten abgefragt werden wie z.B. Informationen
über das Vorliegen bestimmter Erkrankungen oder die politische
Einstellung des Befragten betreffende Daten, muss die datenschutzrechtliche Einwilligung sich ausdrücklich auf diese beziehen (§ 4a Abs. 3 BDSG) .
Schwierigkeiten kann im Einzelfall die Wahrung von § 4 Abs. 3 125
S. 1 Nr. 3 BDSG bereiten, wonach der Betroffene bei der D atenerhebung über die „Kategorien von Empfängern“ zu informieren
ist. Als Empfänger kommen nämlich praktisch alle Unternehmen
in Betracht, deren Angebot zu dem aus dem Fragebogen ableitbaren Interessenprofil der Betroffenen passt. Wird in der Einwilligungserklärung eine offene, beispielhafte Beschreibung gewählt
wird, die geeignet ist, den Betroffenen die mögliche Bandbreite
der potenziellen Empfänger bewusst zu machen, ist dies als ausreichend anzusehen70.
70
Vgl. 16. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Landtags-Drucksache 16/1680 vom 11.12.2003, S. 45 (mit entsprechendem Formulierungsbeispiel).
61
Kapitel III
Mögliche Datenlieferanten
Vgl. Jahresbericht 2000 des Berliner Beauftragten für Datenschutz und Informationsfreiheit, 4.6.3 Marketing:
„Die Bewag hat den Fragebogen an ihre 350.000 besten Kunden (Kunden mit dem höchsten Stromverbrauch) versandt. Um
diese Kunden langfristig an die Bewag zu binden, ist beabsichtigt, an diese Kunden Geschenkgutscheine zu versenden. Der
Fragebogen soll dazu dienen, die Kunden entsprechend ihren
Neigungen und "Erlebniswelten" in Geschenkgutscheinklassen
einzuteilen. Eine weitere Nutzung der personenbezogenen Daten ist nicht beabsichtigt.
Da die Fragebogenaktion der Bewag nicht auf eine gesetzliche
Ermächtigungsnorm gestützt werden kann, ist sie nur rechtmäßig, wenn eine wirksame Einwilligung des Betroffenen vorliegt. Dies setzt voraus, dass der Betroffene auf den Zweck der
Speicherung hinzuweisen ist (vgl. § 4 Abs. 2 S. 1 BDSG). Für die
Kunden der Bewag war aus dem Anschreiben der Bewag nicht
nachvollziehbar, was genau mit den Daten geschehen sollte.
Zu einer vollständigen Aufklärung waren die verwendeten Begriffe "interne Kundenbetreuung" bzw. "tolle Serviceangebote"
zu unbestimmt. Wir haben der Bewag deshalb empfohlen, bei
zukünftigen Befragungen den Zweck der Speicherung näher zu
spezifizieren. Die Bewag hätte von Anfang an deutlich machen
müssen, dass die Befragung zur Zuordnung von Werbegeschenken erforderlich ist. Hierdurch wären im Übrigen auch
Irritationen vermieden worden, durch die der Wert der Werbekampagne geschmälert wurde.“
3.
Nicht geschäftsmäßige Weitergabe von Adressdaten
3.1
Das Listenprivileg
126 Auch den Adresshandel nicht geschäftsmäßig 71 betreibende Un-
ternehmen (z.B. Versandhandelsunternehmen) und Organisatio71
62
Geschäftsmäßig ist jede auf eine gewisse Dauer angelegte Tätigkeit, vgl.
Gola/Schomerus (vgl. Fn. 40), § 29 Rdnr. 4.
Mögliche Datenlieferanten
Kapitel III
nen (z.B. Vereine) können ihre Adressdaten u.a. im Rahmen des
sog. Listenprivilegs (§ 28 Abs. 3 S. 1 Nr. 3 BDSG) für Werbezwecke anderer Stellen nutzen bzw. die Daten an diese übermitteln.
Häufig geschieht dies im Konzernverbund.
§ 28 Abs. 3 BDSG: (3) Die Übermittlung oder Nutzung für einen anderen Zweck ist auch zulässig:
(....)
3. für Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe
handelt, die sich auf
a) eine Angabe über die Zugehörigkeit des Betroffenen zu
dieser Personengruppe,
b) Berufs-, Branchen- oder Geschäftsbezeichnung,
c) Namen,
d) Titel,
e) akademische Grade,
f) Anschrift und
g) Geburtsjahr
beschränken
und kein Grund zu der Annahme besteht, dass der Betroffene
ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat,
(…).
In den Fällen des Satzes 1 Nr. 3 ist anzunehmen, dass dieses
Interesse besteht, wenn im Rahmen der Zweckbestimmung
eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten übermittelt werden sollen, die sich
1. auf strafbare Handlungen,
2. auf Ordnungswidrigkeiten sowie
3. bei Übermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse
beziehen.
63
Kapitel III
Mögliche Datenlieferanten
127 Ggf. ist aber auch der Verkauf der Kundendaten eines der letzten
Geschäfte, das ein in Insolvenz gegangenes Unternehmen noch
tätigt. Dies ist nur im Rahmen der BDSG-Grenzen zulässig, auf
deren Einhaltung auch der Käufer der Adressen zu achten hat 72.
128 Voraussetzung für eine Übermittlung oder Nutzung im Rahmen
des Listenprivilegs ist, dass der Betroffene nicht widersprochen
hat (§ 28 Abs. 4 BDSG) und kein sonstiges schutzwürdiges Interesse am Ausschluss der Übermittlung bzw. Nutzung besteht.
3.2
Entgegenstehende schutzwürdige Interessen
129 Ein entgegenstehendes Interesse besteht z.B. bei der Übermitt-
lung der Bewohnerdaten eines Altenheims an den Veranstalter
von Kaffeefahrten 73. Gleiches gilt für den Fall, dass ein Spezialversender auf dem Gebiet der Erotik, der Medizin oder eines
anderen sensiblen Bereichs seine Kundendaten anderen Unternehmen zur Verfügung stellen wollte.
130 Vereine mögen ein Interesse haben, Daten ihrer Mitglieder z.B.
an Sponsoren, Anbieter von Gruppenversicherungen oder Ausstatter weiterzugeben und dies vielfach auch als im Interesse
ihrer Mitglieder liegend ansehen. Letzteres gilt jedenfalls dann,
wenn die Mitglieder in den Genuss vergünstigter Angebote
kommen sollen. Gleichwohl werden die Mitglieder bisweilen ein
schutzwürdiges Interesse daran haben, nicht zum Gegenstand
eines „Adresshandels“ gemacht zu werden. Vor allem Mitglieder
örtlicher Vereine vertrauen regelmäßig darauf, dass der Verein
personenbezogene Daten der Mitglieder grundsätzlich nicht für
74
vereinsfremde Zwecke verwendet .
72
73
74
64
Vgl. auch Landesbeauftragte für den Datenschutz und Informationsfreiheit
NRW, 17. Tätigkeitsbericht (2005), 5.3 zur Weitergabe von Abonnentendaten durch insolvente Zeitungsverlage.
Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2004, S. 96.
Vgl. auch Leitfaden des Innenministeriums Baden-Württemberg zum „Datenschutz im Verein“, S. 15 (http://www.im.baden-wuerttemberg.de).
Mögliche Datenlieferanten
3.3
Kapitel III
Grenzen des Listenprivilegs
Übermittelt werden dürfen im Rahmen des Listenprivilegs jedoch 131
nur im Gesetz aufgezählte listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe, soweit eine
Beschränkung auf die folgenden Angaben stattfindet: Angabe
über die Zugehörigkeit zur Personengruppe (z.B. Hobbygärtner),
Berufs-, Branchen- oder Geschäftsbezeichnung, Name, Titel,
akademische Grade, Anschrift, Geburtsjahr. Zu beachten ist, dass
die Gruppenbeschreibung vielfach bereits bei Angabe der Datenquelle erfüllt sein wird (z.B. Kunden des Weinhändlers X).
Berliner Landesbeauftragter für Informationsfreiheit und Datenschutz, Jahresbericht 2002, S. 132:
„Ein Berliner Unternehmen hatte die Kundendaten des Hamburger Unternehmens aufgekauft, um die Kunden des Hamburger Unternehmens zu bewerben. Zwischen den Vertragspartnern wurde vereinbart, dass nicht nur die in der Werbewirtschaft üblichen und durch § 28 Abs. 3 Nr. 3 BDSG gestatteten Daten wie Name, Anschrift, Zugehörigkeit zu einer Personengruppe übermittelt wurden, sondern eine Vielzahl von Daten, durch die der Datenaufkäufer in die Lage versetzt wurde,
bei den einzelnen potenziellen Neukunden auch festzustellen,
ob es sich um „interessante Akquiseobjekte“ handelte. Im Einzelnen wurden folgende Daten übermittelt: Lieferadressen-/
Kundennummer, Liefername, Lieferstraße, Lieferort, Adressenabnahmestelle, Rechnungsadresse, Telefon-/Faxnummer,
E-Mail-Adresse, Bankverbindung, Kontoinhaber, Zahlungsart,
Kundenart, Besteuerung, Lieferbeginn und Verbrauch.
Wir haben das Berliner Unternehmen darauf hingewiesen,
dass es für den Kauf eines derartigen Datensatzes keine
Rechtsgrundlage im Bundesdatenschutzgesetz gibt und somit
die Erhebung und Speicherung dieser Daten rechtswidrig war
und nach § 43 Abs. 2 Nr. 1 BDSG auch als Ordnungswidrigkeit
geahndet werden könnte.“
65
Kapitel III
Mögliche Datenlieferanten
132 Da für eine zulässige Übermittlung die in der Liste zusammenge-
fasste Personengruppe nur durch ein einziges Merkmal beschrieben sein darf, werden die Möglichkeiten, die sich aus dem
Listenprivileg ergeben, in der Praxis vielfach als unzureichend
angesehen. Oder anders ausgedrückt: Die Berufung auf § 28
Abs. 3 S. 1 Nr. 3 BDSG wird nur in wenigen Ausnahmefällen möglich sein.
133 Die Marketingzwecke privilegierende Zulässigkeitsregel des § 28
Abs. 3 S. 1 Nr. 3 BDSG schließt den Rückgriff auf die übrigen
Übermittlungserlaubnisse des § 28 BDSG nicht aus. Danach kann
sowohl das eigene berechtigte Interesse als auch ein solches des
Datenempfängers die Übermittlung von Kundendaten zu Marketingzwecken rechtfertigen (§ 28 Abs. 1 S. 1 Nr. 2 BDSG bzw. § 28
Abs. 3 S. 1 Nr. 1 BDSG). Das Unternehmen muss aber davon ausgehen können, dass hierdurch schutzwürdige Interessen der
Betroffenen nicht beeinträchtigt werden.
134 Kann Letzteres - wie es z.B. bei dem Bankgeheimnis unterworfe-
nen Daten der Fall ist - nicht ausgeschlossen werden, so ist eine
Einwilligung des Kunden einzuholen. Dabei sind zum einen die
Datenflüsse, Zweckbestimmungen und konkreten Empfänger75
hinreichend zu beschreiben. Zum anderen ist der Kunde darauf
hinzuweisen, dass er die Erklärung auch streichen bzw. jederzeit
widerrufen kann.
75
66
So sind nach Ansicht der Aufsichtsbehörden bei Übermittlungen im Finanzverbund die möglichen Datenempfänger - die Angabe „Verbundpartner“ oder „inländische Tochtergesellschaften“ allein genügt nicht - ebenso
zu nennen wie die zu übermittelnden Daten, wobei der Zusatz „und vergleichbare Daten“ der Kreditwirtschaft die Möglichkeit gibt, in gewissem
Umfang auf veränderte Bedingungen zu reagieren (vgl. HambDSB, 16. Tätigkeitsbericht (1997), S. 88). Von der Benennung der selbständigen Außendienstmitarbeiter wird in der Praxis im Hinblick auf deren Vielzahl und
Fluktuation abgesehen. Die abstrakte Angabe ist aber erforderlich (Beispiel: „des für ihren Bezirk zuständigen Außendienstmitarbeiters/Finanzberaters“). Ist der Empfänger mit Adresse benannt, so entfällt für ihn die
Benachrichtigungspflicht nach § 33 BDSG.
Mögliche Datenlieferanten
Kapitel III
Einwilligungserklärung76
für die Datenübermittlung zwischen der Bank und
ihren Kooperationspartnern
Die Erklärung ist freiwillig und ohne Einfluss auf den Vertrag
mit der Bank.
Die ... -Bank (genaue Anschrift)
und
... (jeweils genaue Anschrift)
- im Folgenden Kooperationspartner genannt arbeiten im Interesse einer umfassenden Beratung und
Betreuung ihrer Kunden zusammen.
Damit mich/uns auch die Kooperationspartner der o. a. Bank
sowie deren zuständige Außendienstmitarbeiter in allen Fragen zu Finanzdienstleistungen (z.B. Bausparen, Baufinanzierung, Immobilienvermittlung, sonstige Kreditinstituts- und
Versicherungsprodukte) umfassend beraten können, bin
ich/sind wir damit einverstanden, dass die o.a. Bank den Kooperationspartnern bzw. deren zuständigen Außendienstmitarbeitern die für die Aufnahme und Durchführung der Beratung erforderlichen Angaben zur dortigen Datenverarbeitung
und Nutzung übermittelt.
Übermittelt werden dürfen (einzelne Datenkategorien können
gestrichen werden):
- Personalien (Name, Anschrift, Geburtsdatum, Familienstand, Beruf oder vergleichbare Daten)
- Kontokorrent (Saldo/Limit oder vergleichbare Daten)
- Karten (Produkt/Anzahl oder vergleichbare Daten)
- Einlagen (Produktart, Guthaben, Verzinsung, Laufzeit oder
vergleichbare Daten)
- Kredite (Produktart, Guthaben, Verzinsung, Laufzeit oder
vergleichbare Daten)
76
Der Text wurde entnommen bei Schaffland/Wiltfang, BDSG, § 4a, Anhang 1 (Stand: Lieferung 1/07).
67
Kapitel III
Mögliche Datenlieferanten
Verwahrungsgeschäfte (Kurswert oder vergleichbare Daten).
In diesem Rahmen entbinde ich/entbinden wir die o. a. Bank
zugleich vom Bankgeheimnis.
Ich bin einverstanden.
Ich bin nicht einverstanden.
Die vorstehenden Einwilligungserklärungen kann ich/können
wir ohne Einfluss auf den Vertrag mit der Bank jederzeit für
die Zukunft widerrufen.
___________________
__________________________
(Ort, Datum )
(Unterschrift des Kunden)
-
4.
Lettershop und Listbroking
135 Möglichkeiten des gezielten Versands der Werbebotschaft kö n-
nen auch ohne Übermittlung der Daten dadurch realisiert werden, dass Listeigner - das können z.B. Versandhändler, Buchclubs
und ähnliche Unternehmen, aber auch Adresshändler und Direktmarketingunternehmen sein - ihre Datenbestände nach Konsumenten mit gewünschten Merkmalen durchforsten und dann
selbst oder unter Einschaltung eines für sie als Auftragnehmer
tätigen Lettershops den Versand der Werbung übernehmen. Hier
findet dann „nur“ eine Datennutzung und keine Übermittlung
statt. Die Datennutzung ist zwar auch im Hinblick auf die Beeinträchtigung schutzwürdiger Interessen der Betroffenen zu überprüfen ist, wird jedoch in der Regel unbedenklich sein.
136 Werbung treibende Unternehmen mit Eignern der für sie inte-
ressanten Datenbestände zusammenzuführen, ist die Aufgabe
sog. Listbroker (Adressmakler). Ein Listbroker verfügt über dezidierte Kenntnisse der auf dem Markt vorhandenen Adressbestände und vermittelt zwischen Unternehmen, die eine Werbekampagne bei definierten Zielgruppen planen, und Unternehmen, die über entsprechende Datenbestände verfügen. Das reine Listbroking hat keinerlei unmittelbaren Datenumgang zum
Gegenstand und ist damit datenschutzrechtlich irrelevant.
68
Allgemein zugängliche Quellen
Kapitel IV
Kapitel IV: Wie kann man allgemein zugängliche Quellen nutzen?
1.
Allgemein zugängliche Quellen
Als Konsequenz aus dem Grundrecht der Informationsfreiheit 137
(Art. 5 Abs. 1 S. 1 GG) gelten im Hinblick auf den Umgang mit
Daten aus allgemein zugänglichen Quellen gewisse Zulässigkeitserleichterungen.
Als allgemein zugängliche Quellen sind solche Informationsquel- 138
len anzusehen, die sich sowohl ihrer technischen Ausgestaltung
als auch ihrer Zielsetzung nach dazu eignen, einem individuell
nicht bestimmbaren Personenkreis Informationen zu vermitteln 77. Hierzu zählen etwa Angaben in Massenmedien, wie Zeitungen, Rundfunk und Fernsehen, ebenso wie Daten auf Internetseiten oder in CD-ROM-Dateien, Lexika, Adress- und Telefonverzeichnisse78.
Öffentliche Verzeichnisse bzw. Register zählen nur dann zu den 139
allgemein zugänglichen Quellen, wenn die Einsichtnahme nicht
von einem besonderen berechtigten Interesse abhängig ist (so
aber das Schuldnerverzeichnis79 nach § 915 ZPO).
Manche Register enthalten Daten, die nur zum Teil allgemein 140
zugänglich sind. Dies gilt z.B. für das Melderegister80. Zwar ist die
einfache Melderegisterauskunft (§ 21 Abs. 1 MRRG) von keinerlei
Voraussetzungen abhängig, für die erweiterte Auskunft (§ 21
Abs. 2 MRRG) bedarf es dagegen der Glaubhaftmachung eines
berechtigten Interesses. Gruppenauskünfte (d.h. Melderegisterauskünfte über eine Vielzahl namentlich nicht bezeichneter Ein77
78
79
80
BVerfGE 27, 71, (83); 27, 104 (108); 33, 52 (65).
Simitis in: Simitis (Hrsg.), BDSG, Kommentar, 6. Auflage, Baden-Baden 2006,
§ 28 Rdnr. 189.
Zur Möglichkeit, Daten aus dem Schuldnerverzeichnis zur Bonitätsüberprüfung zu verwenden, vgl. nachfolgend Rdnr. 242 ff.
Zum Melderegister vgl. im Einzelnen unter Rdnr. 386 ff.
69
Kapitel IV
Allgemein zugängliche Quellen
wohner) sind sogar nur bei Vorliegen eines öffentlichen Interesses zulässig (§ 21 Abs. 3 MRRG).
Beispiel (Widerspruch gegen Datenweitergabe):
Absender:
An
die Gemeinde */die Stadt*/
das Amt* ...............................................
- Meldebehörde Widerspruch gegen die Weitergabe meiner Daten gemäß
§§ 32, 34a, 35 Meldegesetz für das Land MecklenburgVorpommern (Landesmeldegesetz - LMG -)
Sehr geehrte Damen und Herren,
hiermit widerspreche ich der Weitergabe meiner Daten





an Parteien, Wählergruppen und andere Träger von
Wahlvorschlägen im Zusammenhang mit Parlamentsund Kommunalwahlen sowie verfassungsrechtlich oder
gesetzlich vorgesehenen Abstimmungen (§ 35 Abs. 1
LMG),
an Mandatsträger, Presse oder Rundfunk bei Anfragen
nach Alters- oder Ehejubiläen (§ 35 Abs. 2 LMG),
an Adressbuchverlage zum Zwecke der Veröffentlichung
in einem Adressbuch (§ 35 Abs. 3 LMG)
an öffentlich-rechtliche Religionsgesellschaften meiner
Familienangehörigen (Ehegatte, minderjährige Kinder, Eltern minderjähriger Kinder), denen ich selbst nicht angehöre (§ 32 Abs. 2 LMG).
als einfache Melderegisterauskunft mittels automatisierten Abrufs über das Internet (§ 34a Abs. 2 LMG)
Unterschrift, Datum
70
Allgemein zugängliche Quellen
Kapitel IV
Kommerzielle Interessen (z.B. Werbeinteressen) können ggf. ein 141
berechtigtes, nicht aber ein öffentliches Interesse begründen81.
Selbst einfache Melderegisterauskünfte dürfen im Übrigen dann
nicht erteilt werden, wenn diese erkennbar für den Zweck der
Direktwerbung begehrt werden und der Betroffene einer Weitergabe seiner Daten zu diesen Zwecken zuvor ausdrücklich widersprochen hat, so das BVerwG82 unter Hinweis auf das Recht
auf informationelle Selbstbestimmung.
2.
Erleichterte Erhebungs- und Verarbeitungsbedingungen
Adressdaten aus allgemein zugänglichen Quellen können zu 142
Werbezwecken Verwendung finden, es sei denn, die schutzwürdigen Interessen der Betroffenen am Ausschluss derselben
überwiegen offensichtlich (§ 28 Abs. 1 S. 1 Nr. 3 BDSG). Es müsste also offenkundig sein, dass eine Nutzung der Informationen zu
Werbezwecken mit den Persönlichkeitsrechten der Betroffenen
nicht zu vereinbaren ist. So wäre es etwa unzulässig, Todesanzeigen nach Daten der Angehörigen auszuwerten, um diese als
mögliche Erben dann zwecks Anlageberatung zu bewerben.
Erleichtert verwendbar sind dagegen die an Baustellen ange- 143
brachten Bauscheine, um den Bauherrn oder beteiligten Firmen
sachbezogene Leistungen anzubieten83. Gleiches gilt für die Erhebung und Verarbeitung von außen erkennbarer Merkmale des
Wohngebäudes 84 und der damit verbundenen Bewertung der
Bewohner.
Die Nutzung von allgemein zugänglichen Adressen kann aller- 144
dings auch aus anderen rechtlichen Gründen ausgeschlossen
sein. So genießen Adresssammlungen als Datenbankwerke i.S.d.
81
82
83
84
Medert/Süßmuth, Melderecht des Bundes und der Länder, LoseblattKommentar, § 21 MRRG Rdnr. 45 (Stand: 21. Lieferung, Juni 2004).
Urteil vom 21.06.2006 - 6 C 05/05 -, RDV 2006, S. 263.
Gola/Schomerus (vgl. Fn. 40), § 28 Rdnr. 45a; a.A. Simitis in: Simitis
(vgl. Fn. 78), § 28 Rdnr. 190.
Gola/Schomerus (vgl. Fn. 40), § 28 Rdnr. 45.
71
Kapitel IV
Allgemein zugängliche Quellen
§ 87a Urheberrechtsgesetz in der Regel Urheberrechtsschutz85.
Auch in den Allgemeinen Geschäftsbedingungen vieler Adressdatenbanken finden sich Bestimmungen, die eine werbliche Nutzung der enthaltenen Daten ausschließen. Zu beachten ist ferner,
dass der Betroffene über den dem Erhebungsvorgang nachfo lgenden Verarbeitungsprozess - also die Übernahme und Speicherung der Daten - grundsätzlich86 gemäß § 33 Abs. 1 S. 1 BDSG
zu benachrichtigen ist. Das speichernde Unternehmen hat gemäß § 33 Abs. 2 S. 2 BDSG schriftlich festzuhalten, unter welchen
der gesetzlich geregelten Voraussetzungen ggf. von einer Benachrichtigung abgesehen wird.
145 Die Zusammenführung von Daten aus verschiedenen allgemein
zugänglichen Quellen ist nur eingeschränkt zulässig. So wird von
den Datenschutzaufsichtsbehörden bemängelt, wenn Kleinanzeigen ausgewertet werden, um aus den dort angegebenen Telefonnummern mittels einer sog. Inverssuche 87 Adressdaten für
Werbezwecke zu erhalten: Indem der Betroffene nur seine Telefonnummer angegeben habe, habe er kundgetan, dass er nur
telefonisch und von konkreten Interessenten angesprochen werden wolle und sein Name und seine Adresse unbekannt bleiben
sollen.
85
86
87
72
So hat der BGH (Urteil vom 06.05.1999 - I ZR 199/96 -, RDV 1999, S. 263 =
NJW 99, S. 2898) Telefonbüchern als Datenbanken i.S.d. § 87a UrhG Urheberrechtsschutz gewährt. Eine Übernahme der Daten durch Dritte zur Herstellung von Telefonbuch-CDs ist danach ohne entsprechende Nutzungsvereinbarung unzulässig.
Zum Verfahren und den insoweit bestehenden Ausnahmen vgl. nachfolgend Rdnr. 411 ff.
§ 105 Abs. 3 TKG erlaubt die Auskunft über Namen oder Namen und Anschrift von Teilnehmern, von denen nur die Rufnummer bekannt ist. Eine
solche Inverssuche ist jedoch nur erlaubt, wenn der Teilnehmer im Telefonbuch oder einem öffentlichen elektronischen Telefonverzeichnis eingetragen ist und gegen die Inverssuche keinen Widerspruch bei dem Telekommunikationsunternehmen eingelegt hat. Dieses hat den Widerspruch in den
Telefonverzeichnissen zu vermerken.
Optimierung von Adressmaterial
Kapitel V
Kapitel V: Welche Möglichkeiten bestehen zur Optimierung von Adressmaterial?
1.
Allgemeines
Nicht zu verkennen ist das Interesse von Unternehmen, nur sol- 146
che Personen werblich anzusprechen und als Kunden zu gewinnen, die im Hinblick auf ihre Kaufkraft als Käufer der angebotenen Produkte in Frage kommen. Dazu bedarf es über die Adresse
hinausgehender Angaben. Ferner sollen nach Möglichkeit solche
Adressen direkt ausgesondert werden, bei denen der Abschluss
des Geschäfts möglicherweise zu einem finanziellen Risiko führt.
Zu beachten ist allerdings, dass das bloße Interesse, nur „er- 147
wünschte“ Kunden werblich ansprechen zu wollen, das Erheben
und Speichern von Daten über die konkrete finanzielle Situation
einer Person regelmäßig nicht rechtfertigen kann.
2.
Aussortieren durch Waschabgleich
Adressbestände können bereinigt werden, indem unerwünschte 148
Werbeadressaten durch Abgleich mittels einer Referenzdatei
herausgefiltert werden. Dieser Waschabgleich ist prinzipiell auf
zwei Wegen denkbar88:
Zum einen besteht die Möglichkeit, dass eine Auskunftei oder ein 149
sonstiger Listeigner den Adressbestand des Unternehmens mit
einer bei der Auskunftei bzw. beim Listeigner geführten Datei
mit „Negativadressen“ abgleicht und den „bereinigten“ Bestand
zurückgibt. Diese Konstellation ist datenschutzrechtlich insofern
problematisch, als der Adresseigner mittels der bei ihm vorhandenen Ausgangsdaten die ausgesonderten Adressen rekonstruieren kann. Die darin liegende Datenübermittlung wird in der Regel jedoch erst beim bevorstehenden Abschluss eines Geschäftes
88
Vgl. zum Folgenden Innenministerium Baden-Württemberg, Dritter Tätigkeitsbericht (2005), Datenschutz im nicht öffentlichen Bereich, S. 25 f.
73
Kapitel V
Optimierung von Adressmaterial
mit wirtschaftlichem Risiko zulässig sein, da bis zu diesem Zeitpunkt die schutzwürdigen Interessen der betroffenen Personen
an der Wahrung der Vertraulichkeit ihrer finanziellen Situation
überwiegen.
150 Zum anderen kann der Versand der Werbebotschaft durch Ein-
schaltung eines Direktmarketingunternehmens oder eines Adressbrokers erfolgen, das bzw. der zuvor einen Waschabgleich
durchgeführt hat. Da das Unternehmen in diesem Fall keine
Kenntnis erlangt, wer die „schwarzen Schafe“ innerhalb seiner
Interessenten-/Kundendatenbank sind, ist dieses Verfahren aus
Datenschutzsicht unproblematisch.
3.
Bewertung mit Hilfe soziodemografischer Daten
151 Ein weiterer Weg zur Beurteilung der Kaufkraft ist die Bewertung
von Adressen durch Heranziehung soziodemografischer Daten
(d.h. statistische Daten über die soziale Struktur der Bevölkerung
in bestimmten Wohnbereichen) des entsprechenden Wohngebiets oder Straßenabschnitts.
152 Hierbei kann auf das Angebot von Dienstleistern zurückgegriffen
werden, die Datenbanken mit entsprechend aufgearbeiteten
Informationen entweder zum „Ankauf“ anbieten oder aber die
Datenbestände eines Listeigners durch entsprechenden Abgleich
mit den soziodemografischen Daten anreichern. Dabei geht es
z.B. um die Qualität der Wohnlage, das Wahlverhalten der Bewohner oder die Zahl der Autobesitzer in dem betreffenden Viertel. Diese Daten werden zur Analyse von Interessenten- oder
Kundendaten herangezogen, um Adressdaten entsprechend der
gewünschten Zielgruppe einordnen zu können (z.B. nach Kaufkraft).
153 Die soziodemografische Datenbank besteht i.d.R. aus anonymi-
sierten und kumulierten Datensätzen und ist somit datenschutzrechtlich nicht weiter problematisch. Rechtliche Schwierigkeiten
bereitet dagegen die Verknüpfung der soziodemografischen Da74
Optimierung von Adressmaterial
Kapitel V
ten mit den personenbezogenen Daten der Interessenten bzw.
Kunden. Für die Verknüpfung der Daten gilt das Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG). Ob die Bewertung des Kunden mittels statistischer und daher nur bedingt zutreffender
Daten zulässig ist, hängt - ähnlich wie bei dem insoweit vergleichbaren Scoring89 - davon ab, welcher Art die zu Grunde liegenden Daten bzw. die hieraus abgeleiteten Erkenntnisse sind.
Während die Heranziehung einer statistischen Bewertung der 154
Kaufkraft eines Straßenabschnitts (z.B. an Hand der Häuserstruktur, des Wählerverhaltens, der Berufe der Bewohner) noch
durch das legitime Interesse an zielgerichteter Werbung gedeckt
ist, sieht dies bei Hinweisen von der Art „asozial“ oder „Asylanten“ oder sonstigen diskriminierenden Angaben anders aus. Unzulässig ist auch, wenn die bewertete Einheit so klein ist, dass es
sich nicht mehr um statistische Angaben, sondern um konkrete
Aussagen zu einem Haushalt oder sogar einer Person handelt.
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, 17. Datenschutzbericht 2005, 5.4 Adressen machen Leute? - Statistische Daten zu Kaufkraft und Zahlungsmoral (Auszug):
„Das Interesse an Informationen zu Finanzstatus und Bonität privater Haushalte wächst stetig. So möchten sich Unternehmen vor zahlungsunfähigen oder -unwilligen Kundinnen und Kunden schützen und zugleich erfahren, in welchen
Wohngebieten sich eine gezielte Werbung überhaupt lohnt.
Auch Privatpersonen haben Interesse daran, etwa vor dem
Kauf einer Immobilie Informationen über die Wohngegend
einzuholen. Zu diesem Zweck können interessierte Personen
auf einer CD statistische Adressbewertungen abrufen, die
jedoch an datenschutzrechtliche Grenzen stoßen.
Dieses gestiegene Informationsbedürfnis diente auch einem
Unternehmen in Nordrhein-Westfalen im Berichtszeitraum
89
Vgl. im Einzelnen nachfolgend Rdnr. 265 ff.
75
Kapitel V
Optimierung von Adressmaterial
als Anlass zu einer Geschäftsidee: die Firma entwickelte eine
CD, die Auskunft über statistische Kaufkraftdaten und Risikoklassen privater Haushalte in Deutschland gab. Diese
Software bietet der Nutzerin oder dem Nutzer die Möglichkeit, Kaufkraft und Risikostruktur eines ausgewählten Straßenabschnittes zu bestimmen. An dieser Geschäftsidee war
neu, die CD in einer Massenauflage in den Handel zu bringen, um sie an beliebig viele Personen verkaufen zu können.
Diese CD sorgte für große Aufregung in den Medien und
führte zu zahlreichen Beschwerden von Bürgerinnen und
Bürgern. (...)
Bei der Prüfung des Produkts hat sich herausgestellt, dass
bei der Kaufkraftbewertung einzelner Straßen das Ergebnis
derart ausfallen kann, dass ein Rückschluss auf einzelne
Haushalte und Personen in einigen Konstellationen möglich
ist. (...)
Insbesondere bei „Neugierauskünften“ über persönlich bekannte Personen wie Nachbarn und Freundinnen oder
Freunde ist eine Personenbeziehbarkeit möglich. Gerade
diese Verwendungsmöglichkeit wurde in der Werbung für
das Programm besonders hervorgehoben. In diesen Fällen
bedarf es nicht einmal der Nachforschung mittels eines Adressbuchs, da die Programmnutzenden die Software zur Bewertung konkreter Adressen verwenden, zu denen sie den
persönlichen Bezug unmittelbar selbst herstellen können.
Da anhand der getroffenen Feststellungen eine Personenbeziehbarkeit der ermittelten Daten gegeben ist und es keine
rechtliche Grundlage gibt, nach der eine Kaufkraftbewertung bei möglicher Personenbeziehbarkeit zulässig wäre, ist
ein Ordnungswidrigkeitsverfahren gegen das Unternehmen
wegen unbefugter Übermittlung personenbezogener Daten
eingeleitet worden. (...)“
76
Werbung
Kapitel VI
Kapitel VI: Wie können Kundendaten zur Werbung
eingesetzt werden?
1.
Die Interessen von Werbenden und Umworbenen
Die werbliche Ansprache potenzieller Interessenten ist, auch 155
wenn sie zuvor nicht gefragt wurden, nicht schon per se rechtswidrig. Im Gegenteil: Die werbliche Betätigung genießt nicht nur
Grundrechtsschutz 90, sondern sie dient - wie die Rechtsprechung91 anerkannt hat - dem Interesse der Allgemeinheit an Informationen über das Marktgeschehen und dem Interesse des
Einzelnen hinsichtlich der Ausrichtung seines Konsumverhaltens.
Gleichwohl sollte die Zahl derer, die sich durch adressierte Wer- 156
bung belästigt fühlen, nicht unterschätzt werden. Zudem gehen
Gesetzgeber und Rechtsprechung davon aus, dass dem erklärten
bzw. erkennbaren Willen eines Bürgers, von unerwünschter
Werbung verschont zu bleiben, grundsätzlich Rechnung zu tragen ist 92.
93
So entschied der BGH bereits vor knapp 20 Jahren hinsichtlich 157
erkennbar unerwünschter (z.B. durch Anbringen von entsprechenden Briefkastenaufklebern) nicht adressierter Briefkastenwerbung. Die Gerichte räumen dem Haus- oder Wohnungseigentümer bzw. -besitzer aus §§ 1004, 903, 862 BGB das Recht ein,
90
91
92
93
Vgl. etwa BVerfG, Beschluss vom 18.02.2002 - 1 BvR 1644/01 -, NJW 2002,
S. 3091.
Vgl. LG Nürnberg-Fürth, Urteil vom 28.02.1985 - 4 O 7731/84 -, NJW 1985,
S. 1642: „Schließlich dient Werbung im allgemeinen und die Werbedrucksache im besonderen im Interesse durchsichtiger Marktlage der erwünschten
Information des Publikums.“; ähnlich LG Berlin, Urteil vom 06.01.1984 - 15
O 654/83 -, NJW 1984, S. 2423 f.: „Werbung ist ein heute nicht mehr wegzudenkender Faktor der Kommunikation. (…) Werbung liefert zudem Informationen, die vielfach nützlich sein können.“
Vgl. OLG Stuttgart, Urteil vom 21.08.1987 - 2 U 33/87 -, ZIP l987, S. l487;
BVerwG, Urteil vom 21.04.1989 - 7 C 48.88 -, NJW l989, S. 2409
= RDV l989, S. l7l.
Urteil vom 20.12.1988 - VI ZR 182/88 -, NJW l989, S. 902 = RDV l989, S. l24.
77
Kapitel VI
Werbung
sich gegen eine Beeinträchtigung seiner räumlich-gegenständlichen Sphäre durch das Aufdrängen von unerwünschten Werbematerialien zur Wehr zu setzen.
158 Auch das BDSG greift diesen Schutzanspruch auf, indem es dem
Betroffenen ein Recht gibt, der Verarbeitung personenbezogenen Daten zu Werbezwecken zu widersprechen (§ 28 Abs. 4
BDSG). Die Datenschutzaufsichtsbehörden gewähren den betroffenen Bürgern insoweit Hilfestellung. „Adressenhandel und Umgang mit unerwünschter Werbung“ ist der Titel einer kostenlos
zu beziehenden Informationsschrift 94. Sie geben auch vorgedruckte Postkarten aus, mit denen Bürger der Nutzung oder
Übermittlung ihrer personenbezogenen Daten für Werbezwecke
widersprechen können.
159 In einer Reihe von bereichsspezifischen Regelungen geht der
Gesetzgeber noch einen Schritt weiter, indem er die Nutzung von
Kundendaten für Werbezwecke ausdrücklich oder inzidenter an
die Einwilligung des Kunden knüpft.
160 Das Erfordernis der Einwilligung in die Verarbeitung oder Nut-
zung von Kundendaten zu Werbezwecken kann sich zunächst
daraus ergeben, dass der Gesetzgeber die Verarbeitung oder
Nutzung von personenbezogenen Daten nur für bestimmte, abschließend genannte Zwecke gestattet und dabei Marketing bzw.
Werbung nicht benennt. Ein Beispiel hierfür sind die die Werbung nicht umfassenden abschließenden Verarbeitungs- und
Nutzungsregelungen des TMG. Das TKG erlaubt dem Telekommunikationsdienstleister die Werbung nur für eigene Zwecke,
lässt somit eine Übermittlung zu Werbezwecken ohne Einwilligung nicht zu.
161 Den Sozialleistungsträgern ist die Verarbeitung und Nutzung von
Sozialdaten nur zu bestimmten aufgeführten Zweckbestimmungen gestattet, wozu die Werbung grundsätzlich nicht gehört.
94
78
Berliner Beauftragter für Datenschutz und Informationsfreiheit, Ratgeber
zum Datenschutz Nr. 2 (Bezugsquelle: www.datenschutz-berlin.de).
Werbung
Kapitel VI
Soll die werbliche Ansprache elektronisch (Telefon, Fax, E-Mail) 162
erfolgen, fordert der Gesetzgeber im Regelfall ebenfalls die vorherige Einwilligung des Adressaten95.
Geht es also darum, potenzielle Kunden gezielt anzusprechen, sei 163
es, dass man auf die eigene Kunden- und Interessentendatei
zurückgreift, sei es, dass man Adressen von Adresshändlern oder
anderen Unternehmen bezieht, so ist die Zulässigkeit an den
erklärten oder vermuteten Willen des Betroffenen geknüpft. Je
nach Art der Ansprache darf er entweder nicht gegen seinen
Willen oder erst nach seiner Einwilligung beworben werden.
2.
Briefwerbung/Mailings
2.1
Die informierte Duldung
Briefwerbung ist im Regelfall so lange zulässig, wie der Empfän- 164
ger nicht widersprochen hat, d.h. die Briefwerbung duldet.
Handelt es sich um nicht adressierte Sendungen, kann der Wi- 165
derspruch durch äußerliche Hinweise (Briefkastenaufkleber)
erfolgen. Dabei kann der Betroffene differenzieren96. Der Hinweis „Keine Werbung einwerfen“ erstreckt sich nach der Auslegung nur auf unadressierte Werbesendungen und lässt damit die
Zustellung von Anzeigeblättern nebst Werbebeilage weiter zu97.
Sollen auch Anzeigenblätter nicht zugestellt werden, so ist dies
deutlich zu erklären (etwa mit dem Hinweis „Keine Werbung und
keine Anzeigenblätter“). Werbebeilagen in Abonnementtageszeitungen kann der Empfänger nicht untersagen. Hier bleibt nur der
Verzicht auf den Bezug der Zeitung 98. Die Pflicht zur Beachtung
des Werbeverbots gilt auch für die Post, d.h., auch dem Briefträ95
96
97
98
Vgl. im Einzelnen nachfolgend Rdnr. 182 ff.
Rath-Glawatz, Rechtsfragen der Haushaltswerbung (Briefkastenwerbung) Dargestellt anhand der Rechtsprechung zur Markteinführung von „Einkauf
Aktuell“, K&R 2007, S. 295, 297.
OLG Stuttgart, Urteil vom 12.11.1993 - 2 U 117/93 -, NJW-RR 1994, S. 502;
a.A.: OLG Karlsruhe, Urteil vom 30.07.1991 - 18a U 46/91.
LG Bonn, Urteil vom 09.01.1992 - 15 O 341/91 -, NJW 1992, S. 1112.
79
Kapitel VI
Werbung
ger ist es untersagt, mit der Tagespost zu verteilende unadressierte Werbesendungen einzuwerfen.
166 Ist auf der Werbezuschrift eine Adresse (adressierte Werbung)
aufgebracht, muss sie von dem Postzusteller auf Grund des B eförderungsauftrages dem Adressaten zugeleitet werden. Der
Empfänger muss sich gegen weitere Zusendungen - und dem
damit verbundenen Einsatz seiner Daten - beim Absender (werbendes Unternehmen) bzw. den für die Datenverarbeitung verantwortlichen Stellen verwahren. Das Recht, adressierter Werbung zu widersprechen, ist auch im BDSG geregelt.
§ 28 Abs. 4 S. 1 BDSG: Widerspricht der Betroffene bei der
verantwortlichen Stelle der Nutzung oder Übermittlung seiner
Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung, ist eine Nutzung oder Übermittlung für diese
Zwecke unzulässig.
167 Auf dieses Recht ist der Betroffene entsprechend hinzuweisen.
§ 28 Abs. 4 S. 2 und 3 BDSG: Der Betroffene ist bei der Ansprache zum Zwecke der Werbung oder der Markt- und Meinungsforschung über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt,
die bei einer ihm nicht bekannten speichernden Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene
Kenntnis über die Herkunft der Daten erhalten kann. Widerspricht der Betroffene bei dem Dritten, dem die Daten nach
Absatz 3 übermittelt werden, der Verarbeitung oder Nutzung
für Zwecke der Werbung oder Markt- und Meinungsforschung,
hat dieser die Daten für diese Zwecke zu sperren.
168 Die Pflicht, auf das Widerspruchsrecht hinzuweisen, besteht im
Zusammenhang mit grundsätzlich jeder Ansprache zum Zwecke
80
Werbung
Kapitel VI
der Werbung 99. Eine ständige Wiederholung des Hinweises ist im
Rahmen laufender Kontakte nicht zwingend, sofern sichergestellt
ist, dass der Betroffene die Information bereits erhalten hat. Zur
Steigerung der Akzeptanz der Werbemaßnahmen empfiehlt es
sich, die Widerspruchsmöglichkeit bereits bei der Erhebung der
Kundendaten anzubieten. Der Hinweis braucht dann nicht bei
jeder folgenden Ansprache wiederholt zu werden100 .
Formulierungsbeispiel:
Bei der Datenerhebung: Wir verarbeiten diese Daten zur
Durchführung Ihrer Bestellung und um Ihnen Informationen
über unsere Produktpalette zukommen zu lassen. Wenn Sie
derartige Informationen nicht wünschen, kreuzen Sie bitte hier
an: O
Bei der werblichen Ansprache: Wenn Sie derartige Informationen künftig nicht mehr wünschen, bitten wir um einen entsprechenden Hinweis, den wir selbstverständlich sofort b erücksichtigen werden. oder
Wenn Sie künftig unsere interessanten Angebote nicht mehr
erhalten möchten, können Sie bei uns der Verwendung Ihrer
Daten für Werbezwecke widersprechen 101.
Der Hinweis muss so erfolgen, dass er für den Empfänger augen- 169
fällig ist, sei es, dass er gesondert in dem Mailing oder dem zugesandten Bestellformular erscheint, sei es, dass er an deutlicher
99
100
101
Entsprechende Regelungen finden sich in speziellen Datenschutzvorschriften: § 95 Abs. 2 S. 2 und 3 TKG gestattet dem Anbieter von Telekommunikationsdiensten, die im Rahmen einer bestehenden Kundenbeziehung erhaltene Rufnummer, E-Mail-Adresse oder Postadresse für die Versendung
von Text- und Bildmitteilungen zu Werbe- und Marktforschungszwecken zu
verwenden, es sei denn, dass der Teilnehmer widersprochen hat. Der Teilnehmer ist bei der Erhebung oder der erstmaligen Speicherung der Rufnummer oder Adresse und bei jeder Versendung einer Nachricht auf sein
Widerspruchsrecht hinzuweisen.
Gola/Schomerus (vgl. Fn. 40), § 28 Rdnr. 63.
Entnommen: DDV (Hrsg.), Best Practice Guide Nr. 3, BDSG 2001, 4. Auflage,
Januar 2007, Ziff. 2.1.1.
81
Kapitel VI
Werbung
Stelle auf der Umschlagseite eines Katalogs oder auf der Rückseite des Kuverts abgedruckt ist.
2.2
Information über die „verantwortliche Stelle“
170 Voraussetzung für die Ausübung des Widerspruchsrechts ist,
dass der Betroffene weiß, wer Adressat des Widerspruchs ist.
Daher verpflichtet § 28 Abs. 4 S. 2 BDSG, bei der werblichen Ansprache die Stelle zu benennen, die über die Daten des Kunden
verfügt. In der Regel wird dies das werbende Unternehmen sein.
Häufig verfügt dieses aber nicht selbst über die verwendeten
Anschriften, sondern es hat sie - wie dargestellt102 - anderweitig
zur dortigen Nutzung zwecks Versands angemietet.
171 Dann ist entweder der Adresseigner als Adressat des Wider-
spruchs mitzuteilen.
Formulierungsbeispiel:
Wenn Sie zukünftig keine Informationen mehr über unsere
Produkte erhalten möchten, können Sie der Verwendung Ihrer
Daten für Werbezwecke widersprechen. Bitte wenden Sie sich
hierzu an die Firma (…).
172 Oder es wird sichergestellt, dass ein bei dem werbenden Unter-
nehmen eingehender Widerspruch auch an die Daten speichernde Stelle gelangt. Auf Werbeunterlagen sind insoweit regelmäßig
Prüfnummern angebracht, die auf die Datenquelle hinweisen.
Formulierungsbeispiel:
Wenn Sie unsere interessanten Angebote nicht mehr erhalten
möchten, können Sie bei uns der Nutzung Ihrer Daten für Werbezwecke widersprechen. Teilen Sie uns dies bitte schriftlich
unter Beifügung des Werbemittels mit Ihrer Adresse mit 103.
102
103
82
Vgl. im Einzelnen vorstehend Rdnr. 120 ff.
Entnommen: DDV (Hrsg.), Best Practice Guide Nr. 3, BDSG 2001, 4. Auflage,
Januar 2007, Ziff. 2.1.2.
Werbung
2.3
Kapitel VI
Ausübung des Widerspruchs
Für die Ausübung des Widerspruchs ist keine bestimmte Form 173
vorgeschrieben. Er kann daher auch schlüssig erklärt werden. Die
Mitteilung über den Abbruch der Geschäftsbeziehungen enthält
ebenso den Willen, nicht mehr umworben zu werden, wie die
Verweigerung der Annahme von Werbesendungen.
Bei der Ausübung des Widerspruchs kann der Betroffene auch 174
differenziert vorgehen, indem er sich z.B. nicht gegen die Zusendung jeglicher Werbung ausspricht, sondern etwa nur die Übermittlung seiner Daten an andere Unternehmen zu Werbezwecken untersagt.
2.4
Handlungspflichten des Unternehmens
Folge eines Widerspruchs ist zunächst ein entsprechendes Ver- 175
wendungsverbot, wonach mit Zugang (§ 130 BGB) des Widerspruchs die Nutzung und/oder Übermittlung der Daten zu den
beanstandeten Zwecken der Werbung und/oder Markt- und
Meinungsforschung unzulässig ist. Gleiches gilt für die zukünftige
Erhebung von Daten zu den beanstandeten Zwecken.
Sind die Daten in einer Datei nicht ausschließlich zu Werbezwe- 176
cken, sondern auch mit einer anderen (zulässigen) Zweckbestimmung enthalten (z.B. in einer - nicht nur der Werbung dienenden - allgemeinen Kundendatei), so bleiben die Daten für den
anderen Zweck weiterhin legitim gespeichert. Das werbebezogene Nutzungsverbot ist jedoch zu vermerken, d.h., die Daten sind
für Werbezwecke zu sperren. Dies kann entweder dadurch geschehen, dass der jeweilige Datensatz mit einem entsprechenden Vermerk versehen wird, oder dadurch, dass eine separate
Sperrdatei aufgebaut wird, mit der vor Durchführung von Werbeaktionen ein Abgleich vorgenommen wird.
Das Werbeverbot gilt für jede Form der werblichen Ansprache. 177
Untersagt ist es somit auch, der im Rahmen einer laufenden Vertragsbeziehung versandten Korrespondenz Werbeblätter beizu83
Kapitel VI
Werbung
legen, es sei denn, dass diese sich auf die Gestaltung der Vertragsbeziehung erstrecken 104. So kann eine Kreditkartenorganisation unter Hinweis auf erhöhte Zinsen für Guthaben auf dem
Kreditkartenkonto für entsprechende Anlagen werben, eine Aufforderung zur „honorierten“ Gewinnung neuer Kreditkarteninhaber gehört schon nicht mehr dazu105.
178 Zu beachten ist, dass selbst ausschließlic h zu Werbezwecken
gespeicherte Daten bei Vorliegen eines Widerspruchs entgegen
§ 35 Abs. 2 Nr. 1 BDSG nicht vollständig gelöscht werden müssen. Soll dem Wunsch des Betroffenen nach Unterlassung von
Werbung so weit wie möglich Rechnung getragen werden, sollte
diese Tatsache in einer Sperrdatei weiterhin gespeichert bleiben106 . Sollen nämlich künftig für Werbeaktionen fremde oder
neu angekaufte Adressbestände (mit-)verwendet werden, ist
ansonsten nicht auszuschließen, dass die Person, die den Widerspruch erhoben hat, in den Neuadressen wieder erscheint107 .
Über die Aufnahme in die Sperrdatei ist der Betroffene zu benachrichtigen; dies gilt jedenfalls für den Fall, dass er die Löschung seiner Daten beantragt hat. Möglicherweise wird es der
Betroffene dann vorziehen, zufällig hin und wieder von unver104
105
106
107
84
Simitis in: Simitis (Fn.78), § 28 Rdnr. 278; Gola/Wronka, Das Widerspruchsrecht gegenüber der Verarbeitung personenbezogener Daten zu Zwecken
der Werbung, RDV 1996, S. 217, 220. Vgl. allerdings auch OVG Lüneburg,
Urteil vom 15.03.1988 - 10 OVG A 12/86 -, RDV 1988, S. 265 zur Beifügung
von Werbebeilagen in Postgirosendungen.
Die Rechtslage ist insofern mit derjenigen bei der Telefonwerbung zu vergleichen, im Rahmen derer solche Anrufe ohne Einwilligung in Betracht
kommen, die der Klärung mit dem Vertragsverhältnis zusammenhängender
Fragen dienen. Vgl. hierzu im Einzelnen unter Rdnr. 187.
Dieses Vorgehen entspricht der Empfehlung der Datenschutzaufsichtsbehörden, vgl. Innenministerium Baden-Württemberg, Hinweise zum BDSG
Nr. 34 (im Internet bereitgestellt unter www.im.bwl.de).
Vgl. auch OLG Bamberg, Urteil vom 12.05.2005 - 1 U 143/04 -, DuD 2005,
S. 618. Danach hat der von belästigenden E-Mails Betroffene einen Anspruch auf Löschung seiner Daten. Geht sein Anspruch dahin, vor weiteren
Belästigungen geschützt zu werden, so besteht für die E-Mail-Adresse nur
ein Anspruch auf Sperrung.
Werbung
Kapitel VI
langter Werbung "belästigt" zu werden, als in einer Art "Querulantendatei" gespeichert zu sein. Wohlgemerkt: Das Gesetz verlangt diese Vorgehensweise nicht zwingend, aus Imagegründen
ist eine solche kundenfreundliche Reaktion aber zu empfehlen.
Formulierungsbeispiel:108
Ihrem Wunsch, von uns keine Werbung mehr zu erhalten,
werden wir unverzüglich Rechnung tragen. Dies ist aber im
Hinblick auf zukünftige Werbeaktionen nur zuverlässig möglich, wenn wir Sie in die bei unsere „Werbesperrdatei“ aufnehmen. Sofern Sie möchten, dass Ihre Daten gelöscht werden, kommen wir selbstverständlich auch dem nach, können
jedoch bei Nutzung neuer Adressbestände dann nicht mehr
ausschließen, dass sich auch Ihre Adresse darunter befindet.
Kommt das Unternehmen dem Widerspruch gegen die Werbung 179
nicht nach, hat der Kunde einen zivilrechtlichen Unterlassungsanspruch (§ 1004 BGB), den er gerichtlich durchsetzen kann.
Übermittelt ein Unternehmen Daten trotz vorliegenden Wider- 180
spruchs an Dritte, so wird dies je nach Sachlage als Ordnungswidrigkeit (§ 43 Abs. 2 Nr. 1 BDSG) oder Straftat (§ 44 Abs. 1
BDSG)109 sanktioniert. Eine Ordnungswidrigkeit ist auch die fehlende Belehrung über das Widerspruchsrecht (§ 43 Abs. 1 Nr. 3
BDSG).
2.5
Die Robinsonliste
Als freiwillige Aktion bietet der Deutsche Direktmarketing Ver- 181
band e.V. (DDV) den Eintrag in die sog. „Robinsonliste“ 110 an. Mit
108
109
110
Anmerkung: Diese Variante kommt nur in Betracht, wenn keine weiteren
Beziehungen zum Interessenten bestehen. Bei einer laufenden Kundenbeziehung kommt ein Löschen nicht in Betracht.
Vgl. hierzu nachfolgend Rdnr. 439 ff.
Antragsformulare sind unter http://www.direktmarketing-info.de/mailing/
Robinsonliste.pdf oder unter der folgenden Postadresse erhältlich: DDV
Robinsonliste, Postfach 1401, 71243 Ditzingen.
85
Kapitel VI
Werbung
ihrer Hilfe kann man sich gegen adressierte Werbung generell
oder auch nur gegen Werbung im Hinblick bestimmte Angebotsbereiche wehren 111. Die Liste bietet der Verband sowohl Mitgliedern als auch Nichtmitgliedern gegen ein Entgelt in einer regelmäßig aktualisierten Version zum Abgleich mit ihren Adressbeständen an. Eine allgemeine Pflicht von Unternehmen zur Nutzung der Liste besteht nicht 112. Hierzu besteht auch keine Verpflichtung gegenüber dem Betroffenen, wenn sich Unternehmen
zur Beachtung der Liste in einer Art Selbstverpflichtung festlegen 113. Jedoch ist der Eintrag dann zu beachten, wenn die Liste
zur Kenntnis genommen wurde. Zudem muss sich ein Unternehmen, das die Liste nicht nutzt, natürlich fragen, ob Werbung
bei erklärten Werbegegnern nicht kontraproduktiv wirkt.
3.
Telefon-, Fax- und E-Mail-Werbung
3.1
Allgemeines
182 Werbende Unternehmen nutzen vermehrt auch die Möglichkei-
ten der elektronischen Kommunikation. Hierzu gehört einmal
die zumeist in „profimäßiger“ Organisation von Call Centern
durchgeführte telefonische Ansprache. 2005 waren in Deutschland rund 5.500 Call Center mit 330.000 Mitarbeitern tätig.
183 Daneben werden Werbebotschaften - u.a. in Form regelmäßig
versandter Newsletter - massenhaft mittels elektronischer Post
(E-Mail) auf den Weg gebracht. Obwohl die Rechtslage eindeutig
und Werbung auf elektronischem Wege (Telefon, Fax, E-Mail,
SMS) gemäß § 7 UWG regelmäßig an die zuvor erteilte Einwilli111
112
113
86
Die Zahl der eingetragenen Adressen liegt bei 555.000 (Stand: April 2005).
Im Hinblick auf Nachweise für andere Auffassungen vgl. bei Gola/
Schomerus (vgl. Fn. 40), § 28 Rdnr. 60. Jedenfalls vor einer geschäftsmäßigen Vermarktung von Adressen sind Robinsondaten zu entfernen, vgl. Gola/Wronka, Das Widerspruchsrecht gegenüber der Verarbeitung personenbezogener Daten zu Zwecken der Werbung, RDV 1996, S. 217, 221.
Es genügt insofern auch nicht, Personen, die einen Werbewiderspruch
einlegen, lediglich auf die Robinsonliste zu verweisen; vgl. Innenministerium Baden-Württemberg, Hinweise zum BDSG Nr. 34, RDV 1996, S. 44 ff.
Werbung
Kapitel VI
gung geknüpft ist114 , besteht ein erheblicher Unterschied zwischen Rechtslage und praktizierter Wirklichkeit. Die Menge unzulässiger Telefon-115 , Fax- und insbesondere E-Mail-Werbung, der
der Betroffene in der Regel hilflos gegenüber steht, ist beachtlich. Spam hat inzwischen Ausmaße angenommen, dass die Umworbenen Techniken einsetzen, um sich zur wehren116 .
Aber auch wenn es nicht um Werbung geht, so muss die elektro- 184
nische Ansprache unterbleiben, wenn sie dem erklärten oder
erkennbaren Willen des Betroffenen zuwider läuft. Der Wunsch,
im Rahmen einer Telefonumfrage nicht als befragte Person ausgewählt zu werden, wird z.B. schon dann anzunehmen sein,
wenn der Betroffene seine Telefonnummer gar nicht oder nicht
in automatisiert geführten Verzeichnissen bekannt gegeben hat.
3.2
Werbung per Telefon
3.2.1 Allgemeines
Telefonwerbung wurde bereits von der Rechtsprechung117 und 185
wird nunmehr auch vom Gesetzgeber enge Grenzen gezogen 118.
114
115
116
117
118
Vgl. bereits BGH, Urteil vom 19.06.1970 - I ZR 115/68 -, GRUR 1970, S. 524 =
MDR 1970, S. 826 (Telefonwerbung I) und BGH, Urteil vom 08.06.1989 - I ZR
178/87 -, NJW 1989, S. 2820 (Telefonwerbung II) sowie BGH, Urteil vom
11.03.2004 - I ZR 81/01 -, RDV 2004, S. 168 (E-Mailwerbung).
Um sich von den „schwarzen Schafen“ im Telefonmarketing abzugrenzen,
haben sich im DDV organisierte Anbieter von TeleMedien- und Call CenterServices in einem Council zusammengeschlossen, der sich im Rahmen einer
Selbstverpflichtung einen Ehrenkodex gegeben hat. Vgl. hierzu unter
http://www.ddv.de/unsere_aufgaben/index_unsere_aufgaben_councilstelemedien.html.
Zu sog. Spam-Filtern und ihrer Zulässigkeit vgl. bei Gola, Datenschutz und
Multimedia am Arbeitsplatz, Frechen 2005, Rdnr. 95 ff.
Dazu, dass sich an den bis dato von der Rechtsprechung gezogenen Zulässigkeitsgrenzen durch das neue UWG nichts geändert hat: Busse
(vgl. Fn. 24), RDV 2005, S. 260; Heil (vgl. Fn. 24), RDV 2004, S. 205; Schulze
zur Wiesche (vgl. Fn. 24), CR 2004, S. 742.
Zunehmend werden auch sog. Sprachcomputer eingesetzt. Derartige Anrufe unterliegen den gleichen Bedingungen wie persönliche Gespräche.
87
Kapitel VI
Werbung
In Umsetzung europäischen Rechts119 konkretisiert § 7 Abs. 2
Nr. 2 UWG das in § 3 UWG ausgesprochene Verbot unlauteren
Wettbewerbs für das Telefonmarketing. Danach handelt unlauter, wer Telefonwerbung gegenüber Verbrauchern120 ohne deren
Einwilligung bzw. gegenüber sonstigen Marktteilnehmern121 ohne deren zumindest mutmaßliche Einwilligung betreibt122.
186 Mit dem Verstoß gegen § 7 UWG korrespondiert eine Verletzung
des BDSG: Unlautere Werbemaßnahmen sind mangels legitimer
Zweckbestimmung nicht durch § 28 BDSG gedeckt.
187 Auch bei bestehenden Vertragsbeziehungen sind nur Anrufe ge-
stattet, die der Klärung von unmittelbar mit dem Vertragsverhältnis zusammenhängenden Fragen dienen. Unter das Verbot
der sog. „Cold Calls“ können auch schon Anrufe fallen, die den
Kunden zur inhaltlichen Änderung des bestehenden Vertrages
bewegen sollen123 . Unzulässig ist es auch, telefonisch nachzufragen, wie ein Kunde eine ihm zuvor zugesandte Werbung bewerte 124.
119
120
121
122
123
124
88
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates über die
Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in
der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische
Kommunikation) vom 12.07.2002 (Amtsblatt L 201/37).
Gemäß § 13 BGB ist dies jede natürliche Person, die ein Rechtsgeschäft zu
einem Zweck abschließt, der weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden kann.
Gemäß § 2 Abs. 1 Nr. 2 UWG sind "Marktteilnehmer" neben Mitbewerbern
und Verbrauchern alle Personen, die als Anbieter oder Nachfrager von Waren oder Dienstleistungen tätig sind.
Zur Forderung nach einer Liberalisierung des Telefonmarketings vgl. Engels,
Liberalisierung des Telefonmarketings, Mehrwert durch Selbstregulierung,
K&R 2002, S. 642; vom Bundesrat gewünschte Lockerungen - BundestagsDrucksache 15/1487, S. 31 - konnten sich nicht durchsetzen.
OLG Frankfurt, Urteil vom 21.07.2005 - 6 U 175/04 -, RDV 2005, S. 269; des
Weiteren OLG Köln (Urteil vom 23.11.2001 - 6 U 133/01 -, RDV 2002, S. 82)
bezüglich eines Anrufs, mit dem der Kunde zur Umstellung seines „Normaltelefontarifs“ auf einen Spezialtarif, der vermeintlich günstiger sein soll,
veranlasst werden soll.
OLG Stuttgart, Urteil vom 17.01.2002 - 2 U 95/01 -, RDV 2003, S. 31.
Werbung
Kapitel VI
§ 7 UWG
(1) Unlauter im Sinne von § 3 handelt, wer einen Marktteilnehmer
in unzumutbarer Weise belästigt.
(2) Eine unzumutbare Belästigung ist insbesondere anzunehmen
1. bei einer Werbung, obwohl erkennbar ist, dass der Empfänger
diese Werbung nicht wünscht;
2. bei einer Werbung mit Telefonanrufen gegenüber Verbrauchern ohne deren Einwilligung oder gegenüber sonstigen
Marktteilnehmern ohne deren zumindest mutmaßliche Einwilligung;
3. bei einer Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post, ohne dass
eine Einwilligung des Adressaten vorliegt;
4. bei einer Werbung mit Nachrichten, bei der die Identität des
Absenders, in dessen Auftrag die Nachricht übermittelt wird,
verschleiert oder verheimlicht wird oder bei der keine gültige
Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne
dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
(3) Abweichend von Absatz 2 Nr. 3 ist eine unzumutbare Belästigung bei einer Werbung mit elektronischer Post nicht anzunehmen, wenn
1. ein Unternehmer im Zusammenhang mit dem Verkauf einer
Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
2. der Unternehmer die Adresse zur Direktwerbung für eigene
ähnliche Waren oder Dienstleistungen verwendet,
3. der Kunde der Verwendung nicht widersprochen hat und
4. der Kunde bei der Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er
der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach Basistarifen entstehen.
89
Kapitel VI
Werbung
188 Unerbetene Verbraucherumfragen sind dann als Werbung zu
qualifizieren, wenn sie von Marktforschungsunternehmen im
Auftrag anderer Unternehmen durchgeführt werden, um - ggf.
auch nur mittelbar - der Absatzförderung zu dienen125 .
3.2.2 Telefonwerbung gegenüber Privatpersonen
189 Telefonwerbung gegenüber Privaten ist nur zulässig, wenn der
Angerufene zuvor - und nicht erst während des Anrufs - eine
entsprechende Einwilligung abgegeben hat. Diese kann dabei
nicht allein darin gesehen werden, dass der Kunde bei dem Ausfüllen eines Coupons oder Antrags ohne nähere Erläuterung seine Telefonnummer angibt. Wenn auf dem Formular zur Teilnahme an einem Preisausschreiben, zur Bestellung eines Probeabonnements oder zur Zusendung von kostenlosen Proben die
Angabe der Telefonnummer vorgesehen ist, ist zunächst nach § 4
Abs. 3 BDSG der Verwendungszweck mitzuteilen. Soll der Tei lnehmer werblich angesprochen werden - und sei es nur, dass er
befragt werden soll, ob ihm die zugesandte Zeitschrift gefallen
hat und er den befristeten Bezug nicht fortsetzen möchte -, so ist
hierzu die Einwilligung einzuholen.
190 Nach Ansicht der Datenschutzaufsichtsbehörden126 muss dabei
grundsätzlich die Schriftform eingehalten werden. Denn nach
ihrer Auffassung wird § 4a BDSG nicht durch § 7 Abs. 2 Nr. 2
und 3 UWG verdrängt. Selbst wenn man davon ausgehen wollte,
so die Behörden, dass die genannten Bestimmungen im Verhältnis zum BDSG spezielle Regelungen darstellen, gingen sie dem
BDSG nur insofern vor, als ihr Regelungsbereich reiche. § 7 Abs. 2
125
126
90
Dies ist nach dem LG Hamburg, Urteil vom 30.06.2006- 309 S 27/05 -, RDV
2007, S. 78 (Ls) der Fall, wenn Verbrauchergewohnheiten im Zusammenhang mit Produkten und Dienstleistungen erfragt werden.
Auffassung des Düsseldorfer Kreises zur Notwendigkeit einer schriftlichen
Einwilligung in telefonische Werbung, RDV 2007, S. 86. A.A. Drewes/Siegert,
Die konkludente Einwilligung in Telefonmarketing und das Ende des Dogmas von der datenschutzrechtlichen Schriftform, RDV 2006, S. 139.
Werbung
Kapitel VI
Nr. 2 und 3 UWG regele aber nur die Frage, ob eine Einwilligung
erforderlich sei und dass in Ausnahmefällen (nicht bei Verbrauchern!) eine mutmaßliche Einwilligung ausreiche. Über die in §
4a BDSG geregelten Themen, insbesondere die Hinweispflichten
und die Schriftlichkeit werden hingegen keine Aussage getroffen.
Auch nach § 4a BDSG kommen allerdings Ausnahmen von der 191
Schriftform in Betracht, wenn „wegen besonderer Umstände
eine andere Form angemessen ist“. Umstritten ist, ob hiervon
auch eine stillschweigende bzw. konkludente Erklärung erfasst
wird127 . Jedenfalls dürfen die Schutznormen nicht dadurch umgangen werden, dass die Einwilligung erst im Zusammenhang mit
der telefonischen Werbeansprache am Telefon eingeholt wird.
Als ausreichend anzusehen ist die Möglichkeit des „Streichens“ 192
des die Werbeabsicht ausdrückenden Passus128. Ist nicht erkennbar, dass die Leistung auch ohne Angabe der Telefonnummer
oder E-Mail-Adresse gewährt wird, so ist die Angabe als freiwillig
zu kennzeichnen129.
Formulierungsbeispiel:
Ich bin damit einverstanden, dass Sie mir - auch telefonisch weitere interessante Angebote Ihres Hauses unterbreiten (ggf.
streichen). Die Angabe der Telefonnummer ist im Übrigen freigestellt.
Genügen muss es auch, wenn die Angabe der Telefonnummer 193
oder E-Mail-Adresse als freiwillig gekennzeichnet und mit einem
127
128
129
Vgl. Gola/Schomerus (vgl. Fn. 40), § 4a Rdnr. 5 d; Drewes/Siegert, Die konkludente Einwilligung in Telefonmarketing und das Ende des Dogmas von
der datenschutzrechtlichen Schriftform, RDV 2006, S. 139; Aufsichtsbehörde Baden-Württemberg, RDV 2007, S. 86. Zu den Anforderungen an die
Einwilligung in Telefonwerbung nach dem UWG vgl. außerdem Wegmann,
WRP 2007, S. 1141.
So OLG München, Urteil vom 28.09.2006 - 29 U 2769/06 -, RDV 2007, S. 27
(nicht rechtskräftig); zur Gegenansicht vgl. etwa Vierter Tätigkeitsbericht
des Innenministeriums Baden-Württemberg (2007), S. 138.
Vgl. hierzu die Erläuterungen zu § 4 Abs. 3 BDSG unter Rdnr. 47 ff.
91
Kapitel VI
Werbung
entsprechenden Hinweis hinsichtlich der geplanten werblichen
Verwendung versehen ist. Eine gesonderte Unterschrift ist insoweit als entbehrlich anzusehen.
Formulierungsbeispiel:
Mit der Angabe meiner Telefonnummer bzw. E-Mail-Adresse
gestatte ich der Firma XY, mich per Telefon oder E-Mail über
interessante Angebote zu informieren.
194 Die Abgabe der Einwilligung ist zum Zwecke des Nachweises
ordnungsgemäßen Vorgehens zu dokumentieren.
3.2.3 Einwilligung im Rahmen von AGB
195 Hingewiesen werden muss in diesem Zusammenhang allerdings
darauf, dass der BGH 130 formularmäßige Klauseln zur Einwilligung
in Telefonwerbung auch nach dem Recht der Allgemeinen Geschäftsbedingungen (§§ 307 ff. BGB) geprüft hat und derartige
Bestimmungen in Formularverträgen selbst für den Fall für unwirksam erklärt hat, dass dem Kunden ausdrücklich freigestellt
war, die Einwilligung jederzeit zu widerrufen. Dies gilt jedenfalls
dann, wenn die vorformulierte Einverständniserklärung Werbung
in Angelegenheiten ermöglichen soll, die über das konkrete Vertragsverhältnis, mit dem die Abgabe der Erklärung im Zusammenhang steht, hinausgehen.
196 Über AGB können keine pauschalen, für den Betroffenen nicht
überschaubaren „Generalermächtigungen“ eingeholt werden131 .
130
131
92
BGH, Urteil vom 16.03.1999 - XI ZR 76/98 -, NJW 1999, S. 1864
= DB 1999, S. 1109 = BB 1999, S. 1130 sowie BGH, Urteil vom 27.01.2000 I ZR 241/97 -, NJW 2000, S. 2677 = MDR 2000, S. 962 (Telefonwerbung VI).
Kritisch hierzu von Westphalen, Anmerkung zum Urteil des BGH vom
16.03.1999 - XI ZR 76/98 -, BB 1999, S. 1131.
Nach LG Bonn, Urteil vom 31.10.2006 - 11 0 66/06 -, RDV 2007, S. 77 wird
sowohl gegen §§ 4, 4a BDSG als auch gegen § 307 Abs. 1 S. 2 BGB verstoßen.
Werbung
Kapitel VI
Nach dem OLG Hamm 132 ist eine inmitten einer Auftragsbestätigung enthaltene Erklärung, nach der das Einverständnis in die
telefonische Übermittlung weiterer interessanter Angebote per
Handyservice erklärt wird, wegen Verstoßes gegen das Transparenzgebot des § 307 Abs. 1 S. 2 BGB nichtig. Die Interpretationsmöglichkeit der Erklärung, dass das Einverständnis auch telefonische Angebote von Drittanbietern umfasse, stelle im Hinblick auf
den für den Betroffenen unüberschaubaren Bereich des Adresshandels zudem eine unangemessene Benachteiligung dar.
3.2.4 Vermutete Einwilligung im geschäftlichen Bereich
Bei Werbung im geschäftlichen Bereich darf auch auf das mut- 197
maßliche Einverständnis abgestellt werden. Nach Auffassung
des BGH133 kann dieses wegen des geringen Maßes der Belästigung beispielsweise unterstellt werden, wenn ein Telefonbuchverlag einen Telefonanruf, mit dem die Daten des kostenlosen
Grundeintrags für ein Neuwerk überprüft werden sollen, zur
Werbung für weitere entgeltliche Erweiterungen des Eintrags
nutzt.
Eine mutmaßliche Einwilligung setzt die begründete Annahme 198
eines entsprechenden Interesses des angerufenen Gewerbetreibenden voraus, was u.a. von dem auf die Tätigkeit des Betroffenen bezogenen Inhalt des Angebots abhängt. Nach dem BGH 134
genügt es in der Regel nicht, wenn das offerierte Angebot auf
dem Gebiet liegt, auf dem der Gewerbetreibende selbst als Anbieter auftritt. Auch ein objektiv ungünstiges Angebot (z.B. Vermittlung von Bauaufträgen gegen Provision) kann eine negatives
Indiz sein.
132
133
134
Urteil vom 15.08.2006 - 4 U 78/06 -, RDV 2006, S. 263.
Urteil vom 05.02.2004 - I ZR 87/02 -, RDV 2004, S. 220.
Urteil vom 16.11.2006 - I ZR 191/03 -, GRUR 2007, S. 607.
93
Kapitel VI
Werbung
3.2.5 Persönlichkeitsrechtsschutz im nicht geschäftlichen
Bereich
199 Die aufgezeigten Einschränkungen gelten auch für Telefonwer-
bung, die nicht im geschäftlichen Wettbewerb stattfindet. Nach
der vom BVerfG135 bestätigten Auffassung der Zivilgerichte 136
verletzen auch unerbetene Anrufe oder E-Mails137 politischer
Parteien im Wahlkampf (Wahlwerbung) das Persönlichkeitsrecht
des Betroffenen138 .
3.2.6 Handlungsanleitung
200 Die Aufsichtsbehörde Baden-Württemberg hat - ausgehend von
der Prüfung von Lotteriewerbung durch Call Center - allgemeine
Hinweise zur Telefonwerbung gegeben. Dabei wird auch auf die
Rolle des Call Centers als Auftragsdatenverarbeiter eingegangen.
Vierter Tätigkeitsbericht des Innenministeriums BadenWürttemberg, 2007, 6.3 Lotterien (Auszug):
-
135
136
137
138
94
Im Verhältnis zwischen Lotterieeinnehmern, Kooperationspartnern, Call Centern und Sub-Call Centern muss vertraglich klar geregelt sein, wer verantwortliche Stelle im Sinne
des § 3 Abs. 7 BDSG ist und daher die datenschutzrechtlichen Verpflichtungen (z.B. Auskunfts- beziehungsweise Löschungsanspruch) erfüllen muss.
BVerfG, Beschluss vom 01.08.2002 - 2 BvR 2135/01 -, NJW 2002, S. 2938:
„1. Dem aus Art. 21 Abs. 1 S. 1 GG den politischen Parteien zustehenden
Recht, an der politischen Willensbildung mitzuwirken und für sich zu werben, steht das Recht des Einzelnen aus Art. 2 Abs. 1 GG gegenüber, von unerwünschter Werbung verschont zu bleiben.
2. Der Briefkastenaufkleber „Keine Werbung einwerfen“ bezieht auch politische Flugblätter der Parteien mit ein.“
Vgl. OLG Stuttgart, Beschluss vom 11.03.1988 - 5 W 13/88 -, ZIP 1988,
S. 674.
OLG München, Urteil vom 12.02.2004 - 8 U 4223/03 -, RDV 2004, S. 223.
Zur Wahlwerbung vor Betriebsratswahlen etc. durch Kandidaten vgl. Gola,
Datenschutz und Multimedia am Arbeitsplatz (Fn. 116), Rdnr. 375 ff.
Werbung
Kapitel VI
-
Sofern ein Vertragspartner Daten im Auftrag eines anderen
verarbeitet, ist dies in eindeutiger Weise zum Ausdruck zu
bringen. Dazu gehört, dass ein schriftlicher Auftrag erteilt
wird, der den Vorschriften des § 11 Abs. 2 S. 2 BDSG genügt.
Der Auftrag muss klare Festlegungen hinsichtlich der Datenerhebung, -verarbeitung oder -nutzung, der erforderlichen
technischen und organisatorischen Maßnahmen und etwaiger Unterauftragsverhältnisse enthalten. Pauschale Aussagen genügen nicht. Selbstverständlich ist, dass der Auftraggeber den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen
und organisatorischen Maßnahmen sorgfältig auswählt und
sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt.
-
Im Falle telefonischer Werbung muss der Anrufer nicht nur
seinen Namen und die datenschutzrechtlich verantwortliche
Stelle, sondern ggf. auch die Stelle nennen, bei der er beschäftigt ist (z.B. Name des Call Centers). Diese Angabe, auf
die in der Praxis meist verzichtet wird, halten wir, insbesondere wenn ein Lotterieeinnehmer mehrere Call Center beschäftigt, für erforderlich, um Beschwerdefälle aufklären zu
können. Call Centern sollte aus Gründen der Transparenz eine Rufnummerunterdrückung verwehrt sein. Es gilt der
Grundsatz, dass seriöse Call Center nichts zu verbergen haben. Der Vertrag sollte hierzu klare Regelungen enthalten.
-
Die Rahmenbedingungen für die telefonische Werbung sollten im Vertrag aufgeführt werden; den schlichten Hinweis
auf § 7 UWG halten wir nicht für ausreichend, da zumindest
ein Teil der Call Center-Betreiber nicht weiß, was datenschutzrechtlich zu beachten ist.
-
Von der Einwilligung in die telefonische Werbung sind die
Einwilligung in die Teilnahme am Lotteriespiel und die Erhebung und Verarbeitung der Adress- und Kontodaten zu un95
Kapitel VI
Werbung
terscheiden. Selbstverständlich müssen auch insoweit die
Unterrichtungs- und Hinweispflichten nach § 4 Abs. 3 BDSG
beachtet werden. Die Einwilligung in die Teilnahme am Lotteriespiel muss eindeutig dokumentiert werden; sie darf sich
nicht auf die Angabe beschränken, dass die Einwilligung erteilt wurde. Vereinbarungen müssen hierzu Näheres enthalten.
-
In dem Beziehungsgeflecht zwischen Lotterieeinnehmern,
Kooperationspartnern, Call- und Sub-Call Centern muss für
die Betroffenen klar erkennbar sein, wohin sie sich mit einem Werbewiderspruch wenden können. Es ist sicherzustellen, dass Werbewidersprüche in eine von der verantwortlichen Stelle eingerichtete Werbesperrdatei eingetragen werden. Vor Werbemaßnahmen muss ein Abgleich mit der
Werbesperrdatei erfolgen.
-
Verweigert ein Betroffener die Einwilligung in die Telefonwerbung, bedarf es keiner Eintragung in eine Werbesperrdatei.
3.2.7 Exkurs: Ermittlung von Kundenverhalten im Rahmen der
Marktforschung
201 Telefonische Befragungen von Verbrauchern über ihr Konsum-
verhalten im Rahmen der Marktforschung unterliegen nicht den
Beschränkungen des UWG. Gleichwohl stellt sich auch hier die
Frage, ob die Erhebung von der Marktforschung dienenden Daten durch Anrufe von Privat- bzw. Geschäftsnummern ohne Weiteres gestattet ist.
202 Eine Einholung des Einverständnisses des Betroffenen wird in der
Regel auch nicht möglich sein, wenn - wie dies häufig geschieht die Generierung der Telefonnummern mittels Zufallsgeneratoren erfolgt. Das führt sogar dazu, dass auch Nummern angerufen
werden, die nicht in öffentlich zugänglichen Verzeichnissen aufgeführt sind. Dass bei Einsatz von Zufallsgeneratoren auch solche
96
Werbung
Kapitel VI
Nummern angerufen werden, die nicht existent sind, ist insofern
unproblematisch, als die Anrufe an den Interviewer erst durchgestellt werden, wenn sie angenommen werden.
Die Erhebung und Verarbeitung von personenbezogenen Daten 203
zum Zwecke der Marktforschung richtet sich mangels bereichsspezifischer Regelung nach dem BDSG. Da der für die Tätigkeit
von Markt- und Meinungsforschungsinstituten maßgebende
§ 30 BDSG keine Zulässigkeitsregelung ist139, bedarf nach herrschender Meinung die Erhebung und Speicherung der Umfragedaten der Einwilligung des Betroffenen. Wenn die Institute
Kontaktdaten aus allgemein zugänglichen Quellen oder von Adresshändlern legitim bezogen haben, wird insoweit auf das Erfordernis der Einwilligung verzichtet. Nicht zum Zuge kommt das
BDSG im Übrigen, wenn bereits die Erhebung der Daten ohne
Personenbezug erfolgt.
Damit ist jedoch noch keine Aussage zur Zulässigkeit der Befra- 204
gung per „cold call“ getroffen. Die Situation stellt sich in der juristischen Bewertung grundsätzlich nicht anders dar als bei Werbeanrufen. Auch hier steht eine Verletzung des allgemeinen Persönlichkeitsrechts (Privatnummer) bzw. des Rechts am eingerichteten und ausgeübten Gewerbebetrieb (Geschäftsnummer) im
Raum. Besonders problematisch ist, wenn nach dem Willen des
Betroffenen geheime Telefonnummern im Zufallsverfahren angerufen werden. Die Rechtsprechung140 berücksichtigt das zu
Gunsten der Marktforschung vorgebrachte Argument der sozialpolitischen und wirtschaftlichen Bedeutung dann nicht, wenn
eine Umfrage auf Daten über „Kundenverhalten“ ausgerichtet ist
und damit konkreten kommerziellen Interessen dient.
Anderes gilt nur bei Umfragen mit originär wissenschaftlicher 205
139
140
Vgl. Gola/Schomerus (vgl. Fn. 40), § 30 Rdnr. 3 ff.
LG Hamburg, Urteil vom 30.06.2006 - 309 S 276/05 -, GRUR 2007, S. 61 =
NJW-RR 2007, S. 45; OLG Stuttgart, Urteil vom 17.01.2002 - 2 U 95/01 -,
RDV 2003, S. 31; LG Berlin, Urteil vom 30.5.2006 - 16 O 923/05 (Urteil des
LG Berlin ist abrufbar unter http://www.jurpc.de/rechtspr/20070007.htm).
97
Kapitel VI
Werbung
oder gesellschaftspolitischer Zielsetzung (z.B. bei der Wahlforschung 141). Hier ist wegen der Aktualität und der Strukturierung
der Auswahl der Angerufenen das Interesse an der Durchführung
der Befragung per Telefon evident. Auch hier muss aber der Anruf unterbleiben, wenn der Betroffene die Befragung abgelehnt
hat. Ausgeschaltet sein muss ferner der Anruf nicht öffentlich
verzeichneter Nummern.
3.3
Werbung per Fax
206 Werbung per Fax oder mittels automatischer Anrufmaschinen
ist immer an die Einwilligung des Umworbenen geknüpft. Auch
im geschäftlichen Bereich kann sich der Absender nicht auf eine
mutmaßliche Zustimmung berufen142 . An der Unzulässigkeit unaufgefordert übermittelter Faxwerbung an Gewerbetreibende
ändert sich auch nichts durch die Entwicklung hin zum PC -Fax143.
3.4
Werbung per E-Mail
3.4.1 Zulässigkeit des Versands von E-Mail-Werbung
207 Für die Werbung per E-Mail fordert das UWG ebenfalls grund-
sätzlich eine Einwilligung (§ 7 Abs. 2 Nr. 3 UWG).
208 Eine Ausnahme vom Einwilligungserfordernis ist allerdings in § 7
Abs. 3 UWG geregelt. Danach ist eine Einwilligung144 für die
E-Mail-Werbung ausnahmsweise entbehrlich, wenn kumulativ
141
142
143
144
98
Zur datenschutzrechtlichen Problematik der insoweit erhobenen besonderen Arten personenbezogener Daten vgl. Gola/Schomerus (vgl. Fn. 40), § 4a
Rdnr. 16a.
Schmittmann, Telefaxübermittlungen im Zivilrecht unter besonderer Berücksichtigung des Wettbewerbsrechts, 1999.
BGH, Urteil vom 01.06.2006 - I ZR 167/03 -, NJW 2006, S. 3781 (zu § 1 UWG
alter Fassung). Nachgedacht werden könnte allenfalls über eine analoge
Anwendbarkeit des § 7 Abs. 3 UWG auf PC-Faxe. Allerdings dürfte das werbende Unternehmen regelmäßig nicht wissen, ob der Beworbene über ein
herkömmliches Faxgerät oder ein PC-Fax verfügt.
Zu den Anforderungen an die Einwilligung vgl. unter Rdnr. 189 ff.
Werbung
Kapitel VI
folgende Voraussetzungen vorliegen:
-
Der Unternehmer hat die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten.
-
Er verwendet die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen.
-
Der Kunde hat der Verwendung der E-Mail-Adresse
nicht widersprochen.
-
Der Kunde wird bei der Erhebung der Adresse sowie
bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach Basistarifen entstehen.
3.4.2 Der Werbehinweis nach TMG
Um das ggf. zeitaufreibende Lesen von E-Mail-Werbung zu ver- 209
meiden, verpflichtet der - nach § 16 Abs. 1 TMG bußgeldbewehrte - § 6 Abs. 2 TMG den Absender einer Werbe-E-Mail, den
kommerziellen Charakter der Botschaft bereits in der Kopf- und
Betreffzeile hinreichend deutlich zu machen. § 6 Abs. 2 TMG
findet neben § 7 UWG Anwendung, d.h., die entsprechend zu
kennzeichnende kommerzielle Kommunikation muss stets auch
wettbewerbsrechtlich zulässig sein.
Ob die Regelung zu einer Reduzierung des Spam-Versands bzw. 210
des hierdurch verursachten Aufwandes beitragen kann, erscheint
zweifelhaft. Insbesondere wird der weit überwiegende Teil der
ungewollten Werbenachrichten aus dem Ausland versandt.
3.4.3 Exkurs: „Virales Marketing“
Neben den herkömmlichen Werbeformen wie z.B. Banner- oder 211
E-Mail-Werbung werden im Internet zunehmend individualisierte und personalisierte Werbemethoden eingesetzt. Der Trend
99
Kapitel VI
Werbung
geht zu sog. viralem Marketing, das existierende soziale Netzwerke nutzt, um Aufmerksamkeit auf Marken, Produkte, Dienstleistungen und Kampagnen zu richten. Dies geschieht, indem mit
der Werbebotschaft ein kostenloser Nutzen verbunden wird.
Beispielhaft seien hier die inzwischen weit verbreiteten E-CardAngebote genannt, die dem Nutzer die Möglichkeit eröffnen, zu
einem meist vorgegebenem Motiv eine persönliche Botschaft auf
einem Server zu deponieren und zu veranlassen, dass ein Dritter
(„Empfänger“) per E-Mail hierüber benachrichtigt und eingeladen wird, die elektronische Karte (und ggf. daneben angezeigte
Werbung) zu betrachten. Ferner zählen die z.B. von Versandhandelsunternehmen oder Verlagen online angebotenen Produktbzw. Artikelempfehlungsfunktionen zu den neuen Mischformen
von vorgefertigtem Gehalt und privat veranlasster Weiterleitungsfunktion. In diesen Fällen können die Nutzer entsprechende
(mit Werbung versehene) Internetseiten mit persönlichem Kommentar an Freunde und Bekannte elektronisch weiterleiten.
212 Der Einsatz solcher E-Mail-basierter viraler Marketinginstrumen-
te ist in Deutschland rechtlich problematisch. Unterschiedliche
Gerichtsentscheidungen zu „E-Cards“145 verstärken die Rechtsunsicherheit bei den Diensteanbietern. Während teilweise von der
Unzulässigkeit solcher Werbeformen ausgegangen wird146, fordern andere eine differenzierte Betrachtung: Ein Rechtsverstoß
komme bei einem überwiegend privaten Inhalt der E-Mail erst
bei bedingt vorsätzlicher Belästigung des Empfängers in Betracht. Anders als bei der „klassischen“ E-Mail-Werbung sei
145
146
100
Die Entscheidungen sind teilweise zu E-Cards ergangen, die Wahlwerbung
beinhalteten. Die Zusendung politischer Informationen wurde angesichts
der Entscheidung des BVerfG vom 01.08.2002 - 2 BvR 2135/01 -, NJW 2002,
S. 2938 der Zusendung kommerzieller Werbung gleichgestellt.
LG Nürnberg-Fürth, Beschluss vom 04.03.2004 - 4HK O 2056/04 -, CR 2004,
S. 702 (zur Unlauterkeit einer prämienbasierten Produktempfehlung); KG
Berlin, Beschluss vom 22.06.2004 - 9 W 53/04 -, MMR 2004, S. 616 und AG
Rostock, Urteil vom 28.01.2003 - 43 C 68/02 -, MMR 2003, S. 345 fordern
für Wahlwerbung ein „opt-in“ des Empfängers und bejahen eine mittelbare
Störerhaftung des Anbieters von Versandmöglichkeiten für E-Cards.
Werbung
Kapitel VI
grundsätzlich keine Einwilligung des Empfängers („opt-in“) erforderlich 147. Es müsse dem Umstand Rechnung getragen werden,
dass die teils kommerziellen E-Cards von einer Privatperson an
Freunde und Bekannte verschickt würden. Etwas anderes soll
allerdings in den Fällen gelten, in denen der Nutzer Unternehmer
ist oder ihm vom Anbieter des Dienstes eine (Geld-) Prämie für
die Weiterleitung versprochen wird 148.
Es bleibt abzuwarten, ob höchstrichterlich solche E-Mail- 213
basierten Werbeformen auch ohne Einwilligung des Empfängers
als zulässig angesehen werden, in denen der private Inhalt gegenüber den Werbeaussagen im Vordergrund steht. Hier kann
die bloße Bereitstellung und Ausführung eines Dienstes nicht als
ausreichend belästigende Mitwirkung des Anbieters gewertet
werden149 . Die Werbebotschaft wird schließlich von eigenverantwortlich handelnden Verbrauchern weitergeleitet, so dass
eine Gleichsetzung mit herkömmlicher Spam-Werbung nicht
gerechtfertigt erscheint.
3.5
Robinsonlisten
Zur Vermeidung unerwünschter Telefon-, Telefax- bzw. E-Mail- 214
Werbung bieten verschiedene Organisationen ebenfalls sog.
Robinsonlisten150 an. Diese gehen jedoch weitgehend ins Leere,
da für die Telefon-, Telefax- bzw. E-Mail-Werbung im Regelfall
ohnehin die Einwilligung des Betroffenen erforderlich ist. Relevanz kann der Eintrag also nur gegenüber elektronischer Ansprache haben, die ausnahmsweise ohne Einwilligung zulässig ist
(Markt- und Meinungsforschung, Telefonate in unmittelbarem
147
148
149
150
OLG Nürnberg, Urteil vom 25.10.2005 - 3 U 1084/05 -, MMR 2006, S. 111
(zur grundsätzlichen Zulässigkeit nicht prämienbasierter Produktempfehlungssysteme).
Weber/Meckbach, MMR 2007, S. 482; Rössler, WRP 2005, S. 438.
Zu Recht wird eine Überdehnung der Grundsätze der Störerhaftung kritisiert und eine Beachtung der geänderten BGH-Rechtsprechung zu dieser
Rechtsfigur eingefordert, vgl. Weber/Meckbach, MMR 2007, S. 482.
Vgl. www.robinsonliste.de; www.retarus.de/robinsonliste.
101
Kapitel VI
Werbung
Zusammenhang mit einer laufenden Geschäftsbeziehung, mutmaßliche Einwilligung in Telefonwerbung im geschäftlichen Bereich etc.).
4.
Vertreterbesuche
215 Im Gegensatz zum Telefonat werden unerbetene Vertreterbesu-
che im Allgemeinen für zulässig gehalten. Auch hier gilt, dass ein
entsprechender Hinweis an der Tür zu beachten ist. Zudem ist es
rechtswidrig, wenn der Vertreter sich den Zugang unter einem
Vorwand zu erschleichen versucht, so z.B., wenn eine Sammlung
für einen karitativen Zweck vorgespiegelt wird, es in Wahrheit
aber um den Verkauf eines Zeitschriftenabonnements geht.
216 Unzulässig ist es ferner, bestimmte besondere Situationen des
Kunden auszunutzen. So hat das BVerfG151 ein Urteil für rechtens
angesehen, in dem einem Steinmetz untersagt wird, unter Auswertung von Todesanzeigen Hinterbliebene zwecks Bestellung
eines Grabsteins aufzusuchen. U.a. wurde der Steinmetz auf die
Möglichkeit verwiesen, die Akzeptanz des Besuchs vorher nachzufragen. Dies wäre allerdings nur schriftlich, nicht telefonisch
möglich (§ 7 Abs. 2 Nr. 2 UWG).
5.
Unterlassungs- und Schadensersatzansprüche
217 Die unzulässige werbliche Ansprache stellt eine Rechtsverletzung
des Betroffenen dar, der in seinem allgemeinen Persönlichkeitsrecht (Privatadresse/-nummer) bzw. in seinem Recht am eingerichteten und ausgeübten Gewerbebetrieb (Geschäftsadresse/
-nummer) verletzt wird152. Dem Betroffenen steht ein Unterlassungsanspruch153 sowie ein Anspruch auf Schadensersatz zu
151
152
153
102
Beschluss vom 08.02.1972 - 1 BvR 170/71 -, BVerfGE 32, 311.
Vgl. AG Ludwigshafen, Urteil vom 17.02.2006 - 2b C 509/05 -, RDV 1996,
S. 269 (Ls).
AG Hamburg-Bergedorf, Urteil vom 06.04.2006 - 410D C 30/06 -, RDV 2006,
S. 213; AG Hamburg, Urteil vom 15.12.2005 - 7A C 144/05 -, RDV 2006,
S. 175.
Werbung
Kapitel VI
(§§ 823 Abs. 1, 1004 BGB). Erstattungsfähig sind etwa die Kosten
eines insoweit in Anspruch genommenen Rechtsanwalts.
§ 823 BGB:
(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die
Gesundheit, die Freiheit, das Eigentum oder ein sonstiges
Recht eines anderen widerrechtlich verletzt, ist dem anderen
zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen
ein den Schutz eines anderen bezweckendes Gesetz verstößt.
Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses
auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur
im Falle des Verschuldens ein.
§ 1004 BGB:
(1) Wird das Eigentum in anderer Weise als durch Entziehung
oder Vorenthaltung des Besitzes beeinträchtigt, so kann der
Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen,
so kann der Eigentümer auf Unterlassung klagen.
(2) Der Anspruch ist ausgeschlossen, wenn der Eigentümer zur
Duldung verpflichtet ist.
Daneben kommen ggf. Unterlassungs- und Schadensersatzan- 218
sprüche der Mitbewerber bzw. Wettbewerbs- und Verbraucherverbände nach UWG in Betracht154 .
Nach dem BGH155 kann der Inhaber eines privat genutzten Mobil- 219
funkanschlusses, dem eine unverlangte Werbe-SMS zugesandt
worden ist und der deshalb den Veranlasser zivilrechtlich in An154
155
So einigte sich der Telekommunikationsanbieter Tele2 mit der Verbraucherzentrale Bayern in einem Verfahren wegen unerlaubter Telefonwerbung vor dem Landgericht Düsseldorf (38 O 145/06) auf die Zahlung einer
Vertragsstrafe von 240.000 €
. Vgl. im Übrigen nachstehend Rdnr. 448 ff.
Urteil vom 19.07.2007 - I ZR 191/04 -, RDV 2007, S. 209.
103
Kapitel VI
Werbung
spruch nehmen möchte, von der Telefongesellschaft Auskunft
über Namen und Anschrift des Absenders verlangen.
220 Zu beachten ist, dass die Unzulässigkeit der vorhergehenden
Werbeansprache die Wirksamkeit eines Rechtsgeschäfts grundsätzlich unberührt lässt156 . Insbesondere können Verträge regelmäßig auch formlos (z.B. über Telefon) geschlossen werden.
Sofern es sich um ein Geschäft handelt, dass im Rahmen des
Fernabsatzes geschlossen wurde, besteht ein besonderes Widerrufsrecht (§ 312d Abs. 1 i.V.m. § 355 BGB).
§ 312d Abs. 1 BGB:
(1) Dem Verbraucher steht bei einem Fernabsatzvertrag ein
Widerrufsrecht nach § 355 zu. Anstelle des Widerrufsrechts
kann dem Verbraucher bei Verträgen über die Lieferung von
Waren ein Rückgaberecht nach § 356 eingeräumt werden.
(...).
§ 355 Abs. 1 BGB:
(1) Wird einem Verbraucher durch Gesetz ein Widerrufsrecht
nach dieser Vorschrift eingeräumt, so ist er an seine auf den
Abschluss des Vertrags gerichtete Willenserklärung nicht mehr
gebunden, wenn er sie fristgerecht widerrufen hat. Der Widerruf muss keine Begründung enthalten und ist in Textform oder
durch Rücksendung der Sache innerhalb von zwei Wochen gegenüber dem Unternehmer zu erklären; zur Fristwahrung genügt die rechtzeitige Absendung.
(...).
156
104
Vgl. aber Geiger, Aufgedrängte Vertragsschlüsse durch Zusammenwirken
von Adresshandel, Telefonmarketing und angemaßten Einzugsermächtigungen, NJW 2007, S. 3030, der vorschlägt, das überraschende Ansprechen
am Telefon in der Wohnung bzw. am Arbeitsplatz in den Anwendungsbereich des Haustürgeschäfts mit einzubeziehen, um den Betroffenen auf diese Weise ein Anfechtungsrecht zu verschaffen.
Vertragsabwicklung
Kapitel VII
Kapitel VII: Welche Daten werden für den Vertrag mit
dem Kunden benötigt?
1.
Die Zweckbestimmung des Vertrages
Kommt es zu einem Vertragsabschluss mit einem Kunden oder 221
soll es dazu kommen, dürfen selbstverständlich alle Informationen erhoben und verarbeitet werden, die für die Entscheidung
über den Vertragsabschluss - d.h. im Rahmen des zu diesem
Zeitpunkt bestehenden vertragsähnlichen Vertrauensverhältnisses - und die nachfolgende Durchführung des Vertrages benötigt
werden.
§ 28 Abs. 1 S. 1 Nr. 1 BDSG: Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre
Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke
ist zulässig,
1. wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit
dem Betroffenen dient,
(...).
Welche Daten jedoch im Einzelnen als der Vertragsbeziehung 222
„dienlich“ benötigt werden, hängt von der Art des Vertrages und
seiner inhaltlichen Gestaltung, d.h. den vereinbarten Rechten
und Pflichten ab. Während es beim Barkauf in einem Ladengeschäft im Zusammenhang mit der Eingehung und der Abwicklung
des Geschäfts nicht erforderlich ist, personenbezogene Daten zu
erheben, sieht das bei einem Kreditkauf anders aus.
Auf die Vertragserfüllung können sich z.B. Fitnessstudios hin- 223
sichtlich der dort nicht ungewöhnlichen routinemäßigen Speicherung von beim Einsatz einer computerlesbaren Mitgliedskarte
anfallenden Anwesenheitszeiten, Verzehrdaten etc. berufen,
solange die Check-in- bzw. Check-out-Daten oder Verzehrdaten
105
Kapitel VII
Vertragsabwicklung
für Abrechnungszwecke benötigt werden157 . Für die Verwendung
der Daten zur Beratung und Betreuung des Kunden ist die Einwilligung der Betroffenen erforderlich.
Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2002, Ziffer 4.6.5 zur Beanstandung
der Speicherung von Kundendaten bei einem Pizzabäcker:
„Neben der Speicherung von erforderlichen Daten wie Name,
Vorname, Straße, Hausnummer, Postleitzahl und Lage der
Wohnung speichert das Unternehmen das Datum der ersten
Bestellung, das Datum der letzten Bestellung sowie kumuliert
alle bisher vorgenommenen Bestellungen (z.B. 5x Pizza Tonno,
3x Pizza Salami, 2 gemischte Salate etc.). Die Speicherung dieser Daten wurde damit begründet, dass das von dem Unternehmen verwendete Computerprogramm dies so vorsieht. Da
aber die Speicherung dieser Daten nicht zur Zweckbestimmung
des Vertragsverhältnisses mit dem Betroffenen erforderlich ist,
ist die kumulierte Speicherung der bestellten Waren rechtswidrig (§ 28 Abs. 1 S. 1 Nr. 1 BDSG). Eine Datenspeicherung
kann nicht damit begründet werden, dass das EDV-System die
Daten automatisch speichert (Grundsatz der Datenvermeidung und Datensparsamkeit, vgl. § 3a BDSG).“
2.
„Nebenbei“ mitgeteilte Daten
224 Keinesfalls lässt sich aus der Vertragsbeziehung die Speicherung
von Daten rechtfertigen, die der Kunde „nebenbei“ mitteilt. Teilt
er etwa beim Einkauf mit, dass der eingekaufte Wein für die am
Wochenende anstehende Silberhochzeit benötigt wird, dass die
bestellte Fahrkarte zu einem Kuraufenthalt wegen Rheumabeschwerden führen soll oder dass er den Bankkredit benötige,
weil er der Tochter zum bestandenen Examen ein Auto kaufen
will, so bedarf die Speicherung dieser „Softdaten“ der ausdrück157
106
Vgl. Landesbeauftragte für Datenschutz und Informationsfreiheit NRW,
18. Datenschutzbericht (2005-2006), Ziff. 7.9.
Vertragsabwicklung
Kapitel VII
lichen Einwilligung158.
Auch bei längerfristigen Vertragsbeziehungen ist die Speicherung 225
bzw. Nutzung derartiger Daten nicht unter dem Aspekt der Kundenbetreuung159 legitimiert.
Vgl. zu einem Kundenbetreuungsprogramm Berliner Banken:
Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2003, S. 100:
„Um eine gute Gesprächsatmosphäre mit dem Kunden sicherzustellen, sollten die Kundenberater Daten zu Ess- und Trinkgewohnheiten (Kaffee oder Tee) speichern; außerdem sollten
Informationen zu möglichen einleitenden Gesprächsthemen
wie Hobbys (Golf, Segeln etc.) festgehalten werden. Da die
Speicherung derartiger Daten sich nicht im Rahmen der
Zweckbestimmung des Vertragsverhältnisses mit dem Betroffenen bewegt, haben wir die Banken aufgefordert, diesen Datensatz nicht mehr zu verwenden.“
3.
Daten zur Identifikation des Kunden
Adressdaten
Die Angabe des Namens und der Adresse des Kunden kann be- 226
reits erforderlich sein, wenn Ware ins Haus geliefert werden soll.
Gleiches gilt, wenn Waren nur an bestimmte Kunden abgegeben
werden oder zu Beweiszwecken - solche bestehen ggf. z.B. gegenüber den Finanzbehörden - festgehalten werden soll, dass ein
158
159
Landesbeauftragter für den Datenschutz Niedersachsen, XVI. Tätigkeitsbericht (2001/2002), S. 145 zu von Call Centern geführten Kundengesprächen:
„Besonders Daten, wie sie nur bei einem telefonischen, d.h. mündlichen,
Kundenkontakt anfallen und die nicht unmittelbar den Geschäftszweck
betreffen, sondern „nebenbei“ mitgeteilt werden, weil der Agent diese auf
Grund ausgefeilter Fragetechnik in geschickter Weise ermittelt, sind für umfangreiche Auswertungen von Interesse. Es ist unstrittig, dass die Speicherung dieser Daten ohne Einwilligung des Betroffenen, wenn sie nicht vollständig und dauerhaft anonymisiert werden, unzulässig ist.“
Zum Customer Relationship Management vgl. nachfolgend Rdnr. 314 ff.
107
Kapitel VII
Vertragsabwicklung
bestimmter Kunde eine Leistung (z.B. Barauszahlung bei Reklamation) erhalten hat.
Familienstand
227 Angaben zum Familienstand, wie „verheiratet, verwitwet, ledig,
geschieden, getrennt lebend“, oder „eheähnliche Lebensgemei nschaft“ können nur dann und insoweit für einen Vertragsschluss
relevant sein, wenn hiervon der Leistungsumfang (z.B. bei Mietverträgen) abhängt. Sollen die Daten zu Scoring-Zwecken160 erhoben werden, so ist der Kunde hierüber zu informieren.
Adressdaten Dritter
228 Daten Dritter dürfen z.B. dann gespeichert werden, wenn diesen
gegenüber die vereinbarte Leistung erbracht werden soll. Ist
jedoch z.B. der Blumenstrauß abgeliefert, dürfen die Daten des
Empfängers nicht mehr für Marketingzwecke verwendet werden.
Vorlage des Personalausweises
229 Ist die Kenntnis der Identität des Kunden für den Vertragsab-
schluss bzw. die Vertragsabwicklung erforderlich, so ist das Unternehmen berechtigt, sich den Personalausweis vorlegen zu
lassen161. Die Speicherung eines Fotos ist zur bloßen Identitätskontrolle regelmäßig nicht erforderlich 162. Hierzu genügt die Vorlage eines Ausweises.
230 Unverhältnismäßig ist es in der Regel auch, sich die Nummer des
Ausweises zu notieren oder den Personalausweis insgesamt zu
fotokopieren und einzuspeichern, da dieser mehr Daten enthält
als zum Festhalten der Identität des Kunden benötigt werden163 .
160
161
162
163
108
Vgl. hierzu nachfolgend Rdnr. 265 ff. und Rdnr. 307 ff.
So z.B. bei Flügen mit sog. Billigfliegern, bei denen die Reise nur von der
gebuchten Person angetreten werden darf. Zur Überprüfung der Identität
von Schwarzfahrern vgl. Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2002, S. 140.
Vgl. Landesbeauftragte für Datenschutz und Informationsfreiheit NRW,
18. Datenschutzbericht (2005-2006), Ziff. 7.9 zur Überprüfung des Abonnementinhabers bei einem Fitnessstudio.
Ausführlich zum Thema Ausweiskopien: Innenministerium Baden-Württemberg, Dritter Tätigkeitsbericht (2005), Ziff. 7.2. Vgl. zudem auch Berliner
Vertragsabwicklung
Kapitel VII
Dies gilt beispielsweise für das Geburtsdatum. Gespeichert werden darf es nur dann, wenn es zur genauen Identifikation des
Kunden, auch zur Vermeidung von Verwechselungen erforderlich
ist. Zur Feststellung der für den Abschluss des Geschäfts ggf.
erforderlichen Volljährigkeit genügt die Speicherung der Angabe
„über 18 Jahre“.
Soll der Ausweis im Rahmen der Eingangskontrolle einer Disko- 231
thek nicht nur zur Alterskontrolle vorgezeigt, sondern auch als
Pfand bis zum Verlassen der Diskothek hinterlegt werden, muss
den Jugendlichen zumindest frei gestellt sein, auch eine andere
Pfandhinterlegung (z.B. das Handy) zu wählen164 .
Es bestehen aber auch gesetzliche Berechtigungen bzw. Ver- 232
pflichtungen zur Speicherung einer Kopie des Personalausweises.
Dies ist z.B. in § 95 Abs. 4 TKG (zur Überprüfung der Angaben des
Teilnehmers) oder in § 9 GWG (für den Fall, dass eine auf Dauer
angelegte Geschäftsbeziehung mit dem Kreditinstitut begründet
wird) der Fall.
4.
Bezahlung mittels EC-Karte
Bezahlt der Kunde mittels EC-Karte, kann ebenfalls die Vorlage 233
des Personalausweises angezeigt sein. Hierbei ist hinsichtlich des
abzusichernden Zahlungsrisikos zu unterscheiden, ob die Zahlung
über die Eingabe der PIN oder im Lastschriftverfahren mittels
Unterschrift erfolgt.
Im PIN-Verfahren wird die Freigabe des Zahlungsbetrags online 234
in Echtzeit bestätigt. Eine Identifizierung zur Forderungsrealisierung oder Betrugsbekämpfung ist nicht erforderlich. Gleiches gilt
auch für die Zahlung mit Kreditkarte und PIN.
Anders ist es beim Lastschriftverfahren. Hier wird aus der EC- 235
Karte lediglich die Bankverbindung ausgelesen zwecks später
164
Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2003,
S. 107 zu Speicherungen im Rahmen des Spielbankgesetzes.
ULD, Tätigkeitsbericht 2005, S. 77.
109
Kapitel VII
Vertragsabwicklung
erfolgender Abbuchung durch den Händler. Die Vorlage des
Ausweises kann verlangt werden, um die Namensgleichheit des
Zahlenden mit dem Karteninhaber festzustellen. Da der Kunde
die Ware sofort mitnimmt, hat der Händler ein berechtigtes Interesse, zu erfahren, wem er Warenkredit einräumt. Zur Sicherstellung der Forderungsdurchsetzung können daher auch Name und
Anschrift kurzfristig (d.h. bis zur erfolgten Zahlung) festgehalten
165
werden . Es ist ein Verfahren zu wählen, bei dem die Löschung
routinemäßig und unschwer erfolgen kann. Im Übrigen lässt sich
der Händler jedoch für den Fall, dass die Lastschrift nicht erfolgreich ist, auch per Unterschrift des Kunden generell ermächtigen,
seine Adressdaten von seiner Bank zu verlangen166 .
5.
Storno und Umtausch
236 Bei einem Umtausch von Waren besteht ggf. auch ein berechtig-
tes Interesse an der Registrierung von Name und Anschrift des
Kunden und der Überprüfung der Angaben mittels Vorlage des
Personalausweises. Dieses kann sich zum einen daraus ergeben,
dass sich eventuell erst nachträglich feststellen lässt, ob die umgetauschte Ware beschädigt ist. Zum anderen kann dies nötig
sein, um in diesem Zusammenhang auftretenden Manipulationen durch das Personal vorzubeugen167 . Dabei ist jedoch das
Verhältnismäßigkeitsprinzip zu wahren.
237 Darüber hinaus besteht ein Interesse des Verkäufers oder Ver-
sandhändlers, Name und Adresse von Kunden festzuhalten, die
in größerem Umfang von ihrem Recht, den Abschluss von Geschäften ohne Angabe von Gründen rückgängig zu machen oder
165
166
167
110
Vgl. ULD, Hinweise zur Erhebung personenbezogener Daten bei der Bezahlung mittels EC-Karte (www.datenschutzzentrum.de/wirtschaft/
datenerhebung_ec-karte.htm).
Im Hinblick hierauf will der Berliner Beauftragte für Datenschutz und Informationsfreiheit (Jahresbericht 1999, S. 135) nur den Namensvergleich zulassen.
So die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW,
16. Tätigkeitsbericht (2003), S. 78.
Vertragsabwicklung
Kapitel VII
Waren umzutauschen, Gebrauch machen. Dies geschieht letztlich auch mit dem Ziel, solche Kunden von der Belieferung auszuschließen. Das OLG Hamburg168 konnte auch keinen Verstoß gegen das UWG darin erblicken, dass der Kunde von dem Versandhändler „vorgewarnt“ wird, indem er gebeten wird, künftig nur
noch solche Waren zu bestellen, die er wirklich behalten will.
Unabhängiges Landeszentrum für Datenschutz Schleswig
Holstein, 24. Tätigkeitsbericht (2002), Ziff. 6.4.2: Fehler einer
Kassiererin
„Bei der Kundin eines Supermarktes wurde an der Kasse ein
Artikel im Wert von 3,98 DM versehentlich zweimal erfasst.
Der Irrtum war schnell erkannt, die Rückzahlung des überzahlten Betrages war ebenfalls kein Problem. Im Gegenzug beharrte die Kassiererin jedoch darauf, dass Name, Anschrift und Telefonnummer der Kundin auf einem sog. „Retourbon” eingetragen wurden.
Wir hielten die Erfassung der Kundendaten bei reinen Tippoder Erfassungsfehlern an der Kasse mangels Erforderlichkeit
der Daten für unzulässig. Im Gegensatz zur Warenrückgabe
oder Reklamation (hier könnte sich ja im Nachhinein heraus
stellen, dass die zurückgegebene Ware beschädigt ist) ist bei
reinen Preiserfassungsfehlern mit sofort anschließender Erstattung kein Fall denkbar, der die spätere Kenntnis der Kundendaten erfordern würde.“
6.
Kommunikationsdaten
Über die Adresse hinausgehende Kommunikationsdaten (Tele- 238
fon- oder Faxnummer, E-Mailadresse etc.) sind für die Vertragsabwicklung regelmäßig nicht erforderlich. Erforderlich kann die
Telefonnummer oder E-Mailadresse im Einzelfall aber z.B. sein,
wenn im Rahmen der Vertragsbeziehung anfallende Informatio168
Urteil vom 25.11.2004 - 5 U 22/04 -.
111
Kapitel VII
Vertragsabwicklung
nen schnellstmöglich mitgeteilt werden müssen oder die Organisation der Kundenbeziehung bei dem Unternehmen so gestaltet
ist, dass die Kommunikation nur elektronisch erfolgt. Oder: Eine
Taxizentrale vergewissert sich durch Rückruf über die Richtigkeit
der telefonischen Taxianforderung. Ist der Rückruf erfolgt, muss
die Telefonnummer des Bestellers allerdings gelöscht werden, es
sei denn, dass eine regelmäßige Geschäftsbeziehung besteht.
239 Keine Bedenken bestehen dagegen, die Telefonnummer in der
Kundendatei zu speichern, wenn der Kunde sie selber - z.B. auf
seinem Briefkopf - mitgeteilt hat oder wenn sie im Telefonbuch
verzeichnet ist (§ 28 Abs. 1 S. 1 Nr. 2 und 3 BDSG). Verwendet
werden darf sie jedoch nur für Telefonate zur Klärung von Fragen
im Rahmen der laufenden Geschäftsbeziehung.
Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2002, Ziff. 4.6.5 zur Beanstandung der
Speicherung von Kundendaten bei einem Pizzabäcker:
Bei einer Pizzabestellung wird die Telefonnummer gespeichert,
diese stellt gleichzeitig die Kundennummer bei zukünftigen Bestellungen dar. Gegen die Verwendung der Telefonnummer als
Kundennummer bestehen zwar keine grundsätzlichen datenschutzrechtlichen Bedenken, wir haben dem Unternehmen allerdings empfohlen, Kunden bei einer Erstbestellung auf die
Verwendung der Telefonnummer als Kundennummer aufmerksam zu machen.
7.
Daten zur Bonität des Kunden
7.1
Die Berechtigung zur Überprüfung der Kreditwürdigkeit
240 Es besteht nicht nur ein berechtigtes Interesse daran, festzuhal-
ten, wem eine Leistung auf Kredit gewährt wird, sondern ggf.
auch daran, festzustellen, ob der Kunde kreditwürdig ist, d.h., ob
nicht die Gefahr besteht, dass die Rechnung letztlich offen bleibt.
Hierzu können Auskünfte bei auf dem Markt befindlichen Kreditinformationsdiensten eingeholt werden. Das erforderliche be112
Vertragsabwicklung
Kapitel VII
rechtigte Interesse an der Übermittlung der Daten (§ 29 Abs. 2
S. 1 Nr. 1 a) BDSG) setzt aber ein tatsächliches Kreditrisiko voraus 169.
ULD, Tätigkeitsbericht 2005, Ziff. 5.3 zu Bonitätsabfragen bei
kostenlosen Testangeboten:
„Der Anbieter eines Informationsangebotes für Webseiten
musste seine Praxis der Vertragsanbahnung korrigieren. Er
warb mit einem für drei Monate kostenfreien Testangebot mit
speziell dafür geschaffenen Internetseiten für das jeweilige
Gewerbe. Ein Freiberufler meldete sich auf das verlockende
Angebot und ließ sich für einen Platz im Internetangebot des
Unternehmens registrieren. Er staunte nicht schlecht, als er
kurze Zeit später eine unbegründete Absage erhielt. Noch
überraschter war er über die Auskunft erst auf seine Nachfrage hin, eine Bonitätsabfrage bei einer bundesweit aktiven
Auskunftei habe ergeben, dass ihm die notwendige Kreditwürdigkeit fehle.
Eine Bonitätsauskunft wegen der Reservierung für ein zunächst kostenfrei bleibendes Angebot ist unzulässig. Voraussetzung für die Einholung von solchen Auskünften ist ein „berechtigtes Interesse“. Hieran fehlt es, wenn dem anfragenden
Unternehmen zunächst in keiner Weise ein kreditorisches Risiko entsteht.“
Die kumulative Anforderung einer Einkommensbescheinigung 241
des Arbeitgebers, einer detaillierten Vermögensaufstellung und
des Einkommensteuerbescheides ist nach Auffassung einiger
Aufsichtsbehörden nur bei sehr hohen und nicht durch Sicher169
Zur regelmäßigen Unzulässigkeit der Abfrage der Bankverbindung zu Zwecken der Bonitätsprüfung bei kostenlos gewährten Leistungen vgl. Berliner
Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2003,
S. 109. Zum Erfordernis eines kreditorischen Risikos vgl. auch Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2002,
S. 131 f.
113
Kapitel VII
Vertragsabwicklung
heitsleistungen abgedeckten Kreditsummen170 als verhältnismäßig anzusehen.
7.2
Das Schuldnerverzeichnis
242 Über die Bonität eines zukünftigen Kunden können die bei den
Amtsgerichten 171 geführten Schuldnerverzeichnisse Informationen liefern.
243 Verzeichnet werden die Personen, die eine eidesstattliche Versi-
cherung (früher: Offenbarungseid) gemäß § 807 ZPO abgegeben
haben oder gegen die zur Erzwingung der Abgabe der Erklärung
nach § 901 ZPO die Haft angeordnet ist. Zudem wird aufgenommen, wer eine eidesstattliche Versicherung nach § 284 AO oder
vor einer Verwaltungsvollstreckungsbehörde abgegeben hat.
244 Das Schuldnerverzeichnis ist zwar öffentlich, jedoch keine allge-
mein zugängliche Quelle172 . Zugang erhält nur, wer die Auskunft
für einen der in § 915 Abs. 3 ZPO geregelten Zwecke benötigt.
245 Auskunft ist danach u.a. möglich
-
für Zwecke der Zwangsvollstreckung,
-
um gesetzliche Pflichten zur Prüfung der wirtschaftlichen Zuverlässigkeit zu erfüllen oder
-
um wirtschaftliche Nachteile abzuwenden, die daraus
entstehen können, dass Schuldner ihren Zahlungsverpflichtungen nicht nachkommen.
246 Die Zweckbestimmungen des § 915 Abs. 3 ZPO haben abschlie-
ßenden Charakter. Der Verstoß ist bußgeldbewehrt.
170
171
172
114
Das ULD geht hier von einem durch sonstige Sicherheiten nicht abgedec kten Betrag ab 250.000 €aus. Vgl. die von Verbraucherverbänden und dem
ULD herausgegebene Schrift „Datenschutz für Verbraucher“, S. 27.
Auch die örtlichen Industrie- und Handelskammern nehmen gegenüber
ihren Mitgliedern eine entsprechende Informationsaufgabe wahr (§ 915e
ZPO). Einige Bundesländer führen überdies ein paralleles Gesamtregister.
Vgl. hierzu auch vorstehend Rdnr. 139.
Vertragsabwicklung
Kapitel VII
Die Löschung der Eintragung bzw. eine entsprechende Fiktion 247
regeln §§ 915a, 915b Abs. 2 ZPO; spätestens erfolgt die Löschung
nach drei Jahren.
§ 915 ZPO (Auszug):
(1) Das Vollstreckungsgericht führt ein Verzeichnis der Personen, die in einem bei ihm anhängigen Verfahren die eidesstattliche Versicherung nach § 807 abgegeben haben
oder gegen die nach § 901 die Haft angeordnet ist. In dieses
Schuldnerverzeichnis sind auch die Personen aufzunehmen,
die eine eidesstattliche Versicherung nach § 284 der Abgabenordnung oder vor einer Verwaltungsvollstreckungsbehörde abgegeben haben. Die Vollstreckung einer Haft ist in
dem Verzeichnis zu vermerken, wenn sie sechs Monate gedauert hat. Geburtsdaten der Personen sind, soweit bekannt, einzutragen.
(...)
(3) Personenbezogene Informationen aus dem Schuldnerverzeichnis dürfen nur für Zwecke der Zwangsvollstreckung
verwendet werden, sowie um gesetzliche Pflichten zur Prüfung der wirtschaftlichen Zuverlässigkeit zu erfüllen, um
Voraussetzungen für die Gewährung von öffentlichen Leistungen zu prüfen oder um wirtschaftliche Nachteile abzuwenden, die daraus entstehen können, dass Schuldner ihren
Zahlungsverpflichtungen nicht nachkommen, oder soweit
dies zur Verfolgung von Straftaten erforderlich ist. Die Informationen dürfen nur für den Zweck verwendet werden,
für den sie übermittelt worden sind. Nichtöffentliche Stellen
sind darauf bei der Übermittlung hinzuweisen.
§ 915b Abs. 1 ZPO (Auszug):
(1) Der Urkundsbeamte der Geschäftsstelle erteilt auf Antrag Auskunft, welche Angaben über eine bestimmte Person
in dem Schuldnerverzeichnis eingetragen sind, wenn dargelegt wird, dass die Auskunft für einen der in § 915 Abs. 3 be115
Kapitel VII
Vertragsabwicklung
zeichneten Zwecke erforderlich ist. (...)
7.3
Interne und externe Warndateien
248 Um sich vor „faulen“ Kunden zu schützen, kann das Unterneh-
men zunächst auf eigene Erkenntnisse aus früheren Geschäftsbeziehungen, d.h. eine hausinterne Warndatei zurückgreifen 173 .
Hierzu zählen Dateien über Personen, die z.B. auf Grund Ladendiebstahls Hausverbot erhalten oder betrügerisch Waren bestellt
haben, zu deren Bezahlung sie nicht willens oder nicht in der
Lage waren. Dabei können auch Haushaltsdaten eine Rolle spielen, wenn säumige Schuldner mit gleicher Adre sse und gleichem
Nachnamen aufgetreten sind. Im Zweifel wird dann ein Versandgeschäft nicht gegen Rechnung, sondern nur gegen Nachnahme
erfolgen.
249 Daneben gibt es brancheninterne Warndateien, wie dies z.B. im
Versicherungsgewerbe 174 der Fall ist. Die Zulässigkeit derartiger
Systeme hängt entscheidend von der Art der eingemeldeten
Daten ab. Danach muss der Betroffene es ggf. hinnehmen, in
eine Warndatei aufgenommen zu werden, wenn die Existenz der
Datei für das Geschäftsleben relevant ist und Anlass für die Aufnahme objektive Tatbestände oder Verhaltensweisen sind, die
von der Rechtsordnung missbilligt werden175. Insoweit kann auf
die nachfolgenden Ausführungen zu den Auskunfteien verwiesen
werden 176.
250 Sollen in eine Warndatei darüber hinausgehende Angaben auf-
genommen bzw. übermittelt werden, so ist dies nur auf Grund
einer entsprechenden Einwilligung des Betroffenen möglich.
173
174
175
176
116
Zur weitreichenden Zulässigkeit ausschließlich unternehmensintern betriebener Warnsysteme vgl. Reif, Warnsysteme der Wirtschaft und Kundendatenschutz, RDV 2007, S. 5 f.
Vgl. Hamburgischer Datenschutzbeauftragter, Tätigkeitsbericht 2002/2003,
S. 90.
Gola/Schomerus (vgl. Fn. 40), § 29 Rdnr. 14.
Vgl. nachfolgend Rdnr. 254 ff.
Vertragsabwicklung
Kapitel VII
Unterschiedlich beurteilt werden sog. Mieterwarndateien. Als
besonders problematisch wird insofern der Zugriff von Vermietern auf branchenübergreifende Systeme empfunden. So bedeute nicht jedes Fehlverhalten auf einem anderen Gebiet wie z.B.
das Nichtbegleichen einer Handyrechnung, dass eine Säumigkeit
auch bei der Mietzahlung drohe177. Bedenken werden zudem
hinsichtlich der Freiwilligkeit von datenschutzrechtlichen Einwilligungserklärungen vorgebracht, die im Zusammenhang mit Mieterwarndateien abgegeben werden178 .
251
Besonderes Gewicht gewinnt der Datenschutz schließlich bei 252
solchen Warndateien, die sensible und ggf. einer besonderen
Schweigepflicht unterliegende Daten umfassen. Zu den besonderen Arten personenbezogener Daten zählen u.a. Gesundheitsdaten (vgl. § 3 Abs. 9 BDSG). Eine der „Warnung“ von Ärzten vor
Patienten, die ihre Arztrechnungen nicht zu bezahlen pflegen,
dienende Warndatei setzt zunächst aus datenschutzrechtlicher
Sicht eine Einwilligung voraus, da eine gesetzliche Grundlage für
die Übermittlung der betreffenden Gesundheitsdaten in § 28
Abs. 6 bis 9 BDSG nicht enthalten ist; darüber hinaus bedarf es
im Hinblick auf die speziellen ärztlichen Geheimhaltungspflichten
einer Entbindung von der Schweigepflicht (§ 203 Abs. 1 StGB).
Einzuholen ist die entsprechende Erklärung des Patienten sowohl
179
von dem einmeldenden als auch von dem abfragenden Arzt .
Des Weiteren ist zu berücksichtigen, dass der Zweck einer derartigen Datei bereits erfüllt ist, wenn gespeichert wird, dass eine
177
178
179
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit zum
Thema „Warndateien im Wohnungswesen“. Der Text findet sich auf der
Homepage (www.bfdi.bund.de) unter dem Stichwort „Verbraucherschutz
und Auskunfteien“ im Themenbereich „Wirtschaft und Finanzen“. Ebenso:
Regierungspräsidium Dresden, Endauswertung der koordinierten Datenschutzkontrolle von Wohnungsunternehmen (30.12.2005), 7.4 Brancheninterne Warnsysteme (vgl. http://www.rp-dresden.de/ds/praxis/kontrolle_
wohnungswirtschaft.pdf).
Vgl. etwa ULD, Tätigkeitsbericht 2005, S. 73.
2. Tätigkeitsbericht (2006) der Bayerischen Datenschutzaufsichtsbehörde
für den nicht-öffentlichen Bereich, Ziff. 8.1, S. 40 ff.
117
Kapitel VII
Vertragsabwicklung
konkrete Person mit einer Rechnung in Verzug geraten ist. Eine
Information, bei welchem Arzt der Zahlungsrückstand besteht,
ist dagegen nicht nötig.
253 Eine ähnlich gelagerte Problematik besteht auch bei Systemen,
mittels derer vor sog. Krankenhauswanderern gewarnt werden
soll 180. Hierbei handelt es sich um Personen, die Krankheiten
lediglich zu dem Zweck vortäuschen, ins Krankenhaus aufgenommen und verpflegt zu werden.
7.4
Auskunfteien
254 Bonitätsauskünfte stellen auch Kreditauskunfteien gegen ent-
sprechendes Entgelt zur Verfügung. Hierzu gehört z.B. die
SCHUFA (Schutzvereinigung für allgemeine Kreditsicherung)181 ,
die ihren Vertragspartnern im Rahmen eines gegenseitigen Datenmeldeverfahrens Informationen über Kreditnehmer zur Verfügung stellt.
255 Neben den zur Identifizierung notwendigen Angaben (Name,
Anschrift, Geburtsdatum) werden von den Auskunfteien verschiedenste Informationen gespeichert, die Rückschlüsse auf das
Einkommen bzw. Vermögen der betroffenen Person zulassen.
Üblich ist insbesondere die Aufnahme von Angaben zur ausgeübten Tätigkeit, zum Arbeitgeber, zu Grundbesitz, Bankverbindungen, Schulden, eidesstattlichen Versicherungen, Zwangsversteigerungsverfahren, Haftbefehlen wegen Säumigkeit und vollstreckbaren Schuldtiteln. Nicht gespeichert werden dürfen Daten, bei denen Grund zur Annahme besteht, dass der Betroffene
ein schutzwürdiges Interesse am Ausschluss der Speicherung hat
bzw. - soweit es sich um Daten aus allgemein zugänglichen Quel180
181
118
Vgl. hierzu auch Innenministerium Baden-Württemberg, Tätigkeitsbericht
1995, Abschnitt „Gesundheit“, RDV 1996, S. 98.
Zur SCHUFA vgl. ULD, SCHUFA FAQ (https://www.datenschutzzentrum.de/
faq/schufa.htm); Kloepfer/Kutzbach, SCHUFA und Datenschutzrecht, MMR
1998, S. 650; Kamlah, Das SCHUFA-Verfahren und seine datenschutzrechtliche Zulässigkeit, MMR 1999, S. 395.
Vertragsabwicklung
Kapitel VII
len handelt oder Daten, die die verantwortliche Stelle veröffentlichen dürfte - Informationen, bei denen das schutzwürdige Interesse des Betroffenen am Ausschluss der Speicherung offensichtlich überwiegt (§ 29 Abs. 1 BDSG).
Nicht beeinträchtigt sind schutzwürdige Belange in der Regel, 256
wenn durch die Auskunftei richtige, objektive und aussagekräftige Informationen über die Bonität und sonstige wirtschaftliche
Verhältnisse gespeichert werden. Dagegen können Aussagen wie
„playboyhaftes Verhalten“ oder „schlechter Gesundheitszustand“ (sensitives Datum), die durchaus bonitätsrelevant wären,
das Persönlichkeitsrecht des Betroffenen verletzen. Bei fehlenden tatsächlichen Informationen statistische Daten (Schätzdaten) zu speichern, ist nur bei entsprechender Kennzeichnung
rechtmäßig182 .
Die Informationen der Auskunfteien stammen zu großen Teilen 257
aus allgemein zugänglichen Quellen 183. Dies sind insbesondere
Zeitungen, Hörfunk, Fernsehen, Telefonbücher und Branchenverzeichnisse sowie öffentliche Register184. Auskunfteien können
zudem auf das (nicht allgemein zugängliche) Schuldnerregister
(§§ 915 ff. ZPO)185 und auf (freiwillige) Selbstauskünfte der Betroffenen zurückgreifen.
Eine weitere wichtige Informationsquelle sind Datenübermitt- 258
lungen durch die Unternehmen, die mit der Auskunftei in
Informationsaustausch stehen. Interessant sind für die Auskunfteien insofern Angaben über die vertragsgemäße oder nicht vertragsgemäße Abwicklung von Geschäftsbeziehungen. Als Grundlage für derartige Übermittlungen kommt § 28 Abs. 1 S. 1 Nr. 2
182
183
184
185
Die Aussagen in diesem Absatz sind der Broschüre „Handels- und Wirtschaftsauskunfteien“ entnommen. Diese ist unter http://www.datenschutzberlin.de/infomat/dateien/ratgeber/ratgeb_6.pdf abrufbar.
Vgl. hierzu im Einzelnen unter Rdnr. 137 ff.
Schaffland/Wiltfang, Bundesdatenschutzgesetz, § 28 Rdnr. 134 (Stand: Lieferung 1/2006).
Vgl. hierzu Rdnr. 242 ff.
119
Kapitel VII
Vertragsabwicklung
BDSG (Wahrung der berechtigten Interessen der verantwortlichen Stelle) bzw. § 28 Abs. 3 S. 1 Nr. 1 BDSG (Wahrung der berechtigten Interessen eines Dritten) in Betracht. Das Eigeninteresse der einmeldenden Unternehmen ergibt sich daraus, dass
diese selbst auf einen funktionierenden Informationspool angewiesen sind, in den vollständige und umfassende Daten eingemeldet werden186 . Beide genannten Rechtsgrundlagen erlauben
allerdings eine Übermittlung erst nach sorgfältiger Betrachtung
der betroffenen Interessen. Insoweit sind folgende Grundsätze
entwickelt worden187 :
259 Positivmerkmale, d.h. Angaben, die die Aufnahme und ord-
nungsgemäße Abwicklung von Geschäftsbeziehungen betreffen,
dürfen nach Maßgabe der angesprochenen Vorschriften grundsätzlich nicht übermittelt werden188.
260 Die Übermittlung „harter“ Negativmerkmale ist in aller Regel
zulässig. „Harte“ Negativmerkmale sind solche, die durch staatliche Mitwirkung entstanden sind oder eine solche Bedeutung
haben, dass entgegenstehende Interessen nicht schutzwürdig
sind (Abgabe einer eidesstattlichen Versicherung, Scheckkartenmissbrauch, Zwangsvollstreckung, Insolvenz etc.).
261 „Weiche“ Negativmerkmale, d.h. Negativmerkmale, die einseitig
auf Veranlassung von Gläubigern und ohne gerichtliche Prüfung
entstehen (Inkassoverfahren, Mahnbescheide, Mietrückstände
etc.), können nach § 28 BDSG nur übermittelt werden, wenn
sichergestellt ist, dass die schutzwürdigen Interessen des Betroffenen berücksichtigt wurden. So wird die Übermittlung des Datums eines Mahnbescheids nur als zulässig erachtet, wenn die zu
Grunde liegende Forderung unbestritten ist und das Mahnverfahren lediglich der Erlangung eines Titels dient.
186
187
188
120
Duhr in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003,
7.5 Datenschutz in Auskunfteien, Rdnr. 28.
Duhr in: Roßnagel (Fn. 186), 7.5. Datenschutz in Auskunfteien, Rdnr. 32 ff.
A.A. Taeger, Datenschutz im Versandhandel: Übermittlung von Kundendaten mit positivem Bonitätswert, BB 2007, S. 785.
Vertragsabwicklung
Kapitel VII
Die Weitergabe von Daten über Zahlungsrückstände durch Unternehmen an Auskunfteien setzt voraus, dass keine (vernünftigen) Zweifel an der Zahlungsunfähigkeit bzw. Zahlungsunwilligkeit des Betroffenen bestehen können. Wann dies im Einzelfall
anzunehmen ist, ist umstritten189 .
262
Weiterreichende Übermittlungsmöglichkeiten als vorab darge- 263
stellt können lediglich durch eine entsprechende Einwilligung
des Kunden geschaffen werden190 . Im Bereich der SCHUFA geschieht dies durch Unterzeichnung der sog. SCHUFA-Klausel.
Die Übermittlung personenbezogener Daten durch Auskunfteien 264
richtet sich nach § 29 Abs. 2 BDSG. Danach ist eine Übermittlung
zulässig, wenn der Dritte, dem die Daten übermittelt werden, ein
berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat
und kein Grund zur Annahme besteht, dass der Betroffene ein
schutzwürdiges Interesse am Ausschluss der Übermittlung hat.
Dies ist z.B. dann der Fall, wenn vor einem konkreten Vertragsschluss Informationen abgefordert werden, um das finanzielle
Risiko besser kalkulieren zu können.
189
190
Nach der (engen) Auffassung der bayerischen Aufsichtsbehörde (2. Tätigkeitsbericht (2006), Ziff. 8.1, S. 40 ff.) ist Voraussetzung, dass es sich um eine unbestrittene Forderung handelt und der Schuldner insgesamt mindestens viermal gemahnt wurde, davon zweimal qualifiziert durch einen Anwalt oder ein Inkassounternehmen. Vgl. aber auch OLG Saarbrücken
(Beschluss vom 06.10.2005 - 8 UH 323/05-99 -, DSB 1/2007, S. 20), das eine
Datenübermittlung für zulässig erachtet, wenn sich das Kreditinstitut im
Einzelfall vergewissert hat, dass das Verhalten des Kunden auf Zahlungsunfähigkeit oder Zahlungsunwilligkeit beruht. Dies ist - unabhängig von der
Zahl erfolgter Mahnungen - anzunehmen, wenn der Schuldner ausdrücklich
erklärt hat, er sei zur Zahlung nicht in der Lage.
Anmerkung: Die Weitergabe von Angaben über untitulierte Forderungen
wird in Zukunft ggf. durch einen speziellen BDSG-Tatbestand geregelt.
Vgl. insoweit Duhr in: Roßnagel (Fn. 186), 7.5 Datenschutz in Auskunftei en,
Rdnr. 35 ff.
121
Kapitel VII
7.5
265
Vertragsabwicklung
Bewertung durch Scoring
Bonitätswerte können auch ausgehend von statistischen Erfahrungswerten gewonnen werden (Scoring)191 . Hierbei wird der
Kunde in einem mathematisch-statistischen Verfahren mit bisherigen Kunden mit gleichen Merkmalen verglichen. Wenn Kunden
mit den gleichen Werten bislang ein bestimmtes Ausfallrisiko
aufgewiesen haben, wird der Betroffene ebenfalls als ein solcher
Risikokunde betrachtet192 . Der Scorewert enthält also ein Wahrscheinlichkeitsurteil darüber, wie kreditwürdig eine bestimmte
Person ist, und stellt damit ein personenbezogenes Datum
dar193 .
266 Um eine Person zu „scoren“, werden Informationen über die
Person benötigt. Hierbei kann es sich um folgende Informationen
handeln:
-
Daten aus dem zu Grunde liegenden Vertrag,
-
Daten aus früheren Verträgen mit dem Betroffenen,
-
dem Betroffenen zugeordnete soziodemografische Daten194 ,
-
von Auskunfteien übermittelte Daten sowie
-
von anderen Unternehmen übermittelte Daten.
267 Wird dabei auf der Zweckbestimmung eines Vertrages dienende
Daten (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) zurückgegriffen, handelt es
sich um eine zweckändernde Nutzung. Die Zulässigkeit dieser
zweckändernden Nutzung sowie auch der Erhebung von sonsti191
192
193
194
122
Vgl. hierzu auch nachfolgend Rdnr. 307 ff.
Vgl. auch Landesbeauftragte für Datenschutz und Informationsfreiheit
NRW, 17. Datenschutzbericht (2005), S. 60 ff.
Vgl. Gola/Schomerus (vgl. Fn. 40), § 3 Rdnr. 3a sowie § 6a Rdnr. 15a; Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, 17. Datenschutzbericht (2005), S. 61; Klein, Zur datenschutzrechtlichen Relevanz des
Scorings von Kreditrisiken, BKR 2003, S. 488; a.A.: Wuermeling, Scoring von
Kreditrisiken, NJW 2002, S. 3508.
Vgl. hierzu auch nachfolgend Rdnr. 271 und 307 ff.
Vertragsabwicklung
Kapitel VII
gen scoringrelevanten Daten - sei es bei dem Betroffenen, sei es
bei einem Dritten - ist im Rahmen der Interessenabwägung nach
§ 28 Abs. 1 S. 1 Nr. 2 BDSG zu prüfen, wobei im Einzelnen fraglich
ist, welche Daten berechtigterweise als Grundlage eines Scoring
erhoben und ausgewertet werden können195 .
Innenministerium Baden-Württemberg, Dritter Tätigkeitsbericht (2005), S. 29:
„Als Erstes stellt sich die Frage, welche einzelnen Merkmale in
die Berechnung des Scorewerts einfließen dürfen: nur solche,
die eine unmittelbare Aussagekraft zu Zahlungsverhalten, Einkommens- und Vermögensverhältnissen aufweisen, wie etwa
das monatliche Einkommen oder Einträge im Schuldnerverzeichnis? Oder dürfen auch Daten einbezogen werden, die
zwar keinen unmittelbaren Bonitätsbezug aufweisen, bei denen aber mittels eines wissenschaftlichen Standards entsprechenden statistischen Verfahrens ein gesicherter Zusammenhang zur Kreditwürdigkeit nachgewiesen wurde, wie etwa
beim Alter oder beim Wohnumfeld? Und wie ist es, wenn diese
Daten (z.B. das Alter) geschätzt oder aus öffentlichen Quellen
hergeleitet werden (z.B. Herleitung des Familienstands aus
dem Telefonbucheintrag)? Geklärt werden muss auch, ob diese
Fragen unterschiedlich beantwortet werden müssen, je nachdem, wozu der Scorewert verwendet wird (also etwa bei der
Kreditvergabe durch eine Bank anders als bei der Festlegung
195
Bei den Aufsichtsbehörden bestehen noch unterschiedliche Auffassungen,
wie die Zulässigkeit von Scoringverfahren zu bewerten ist, vgl. Innenministerium Baden-Württemberg, Dritter Tätigkeitsbericht (2005), S. 28; ULD,
SCHUFA FAQ (https://www.datenschutzzentrum.de/faq/schufa.htm). Zur
unterschiedlichen Beurteilung eines internen (= durch den Vertragspartner)
und eines externen Scoring (= durch eine Auskunftei) vgl. bei Weichert, Datenschutzrechtliche Anforderungen an Verbraucher-Kredit-Scoring, DuD
2005, S. 582.
Anmerkung: Im Hinblick auf Zulässigkeit und Transparenz von Scoringverfahren sind zum Zeitpunkt der Drucklegung der Broschüre gesetzgeberische
Regelungen in Planung.
123
Kapitel VII
Vertragsabwicklung
der Zahlungsart im Versandhandel?).“
268
Scoringauswertungen bedürfen zwar nicht generell einer Einwilligung, jedoch ist bei der Datenerhebung nach § 4 Abs. 3 BDSG
hierüber zu informieren. Im Hinblick auf die auf Grund persönlicher Besonderheiten eventuell unzutreffende Bewertung ist ein
Widerspruchsrecht nach § 35 Abs. 5 BDSG zuzugestehen196.
Landesbeauftragter für den Datenschutz Niedersachsen:
„Weitere Leitplanken zum Einsatz von Scoringsystemen“
(Auszug)
„Soweit eine Erhebung der Daten für ein Scoring auf der
Grundlage des § 28 BDSG erfolgt, ist der Betroffene gemäß § 4
Abs. 3 Nr. 2 BDSG über diesen zusätzlichen Zweck (Scoring z.B.
zur Risikoeinschätzung bei Kreditvergabe) zu informieren. Dabei ist zu unterscheiden und auch deutlich zu machen, welche
Daten nach § 28 Abs. 1 S. 1 Nr. 1 BDSG und welche nach § 28
Abs. 1 S. 1 Nr. 2 BDSG erhoben werden. Aus der Darstellung
des Zweckes muss auch hervorgehen, welche konkreten Daten
auch oder ausschließlich für ein Scoring erhoben werden.
Werden Daten über den Betroffenen nicht unmittelbar bei diesem erhoben, dürfen gemäß § 4 Abs. 2 BDSG keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Außerdem
bestehen die Benachrichtigungspflichten nach § 33 Abs. 1
BDSG.
Um dem Betroffenen die Möglichkeit zu geben, entsprechende
Anhaltspunkte vorbringen zu können, ist er vor der Beschaffung entsprechender Informationen - bzw. bereits vor Beginn
der die Beschaffung begründenden Vereinbarung - über diese
Tatsache und den Lieferanten der Daten in Kenntnis zu setzen.“
196
124
Innenministerium Baden-Württemberg, Dritter Tätigkeitsbericht (2005),
S. 30.
Vertragsabwicklung
Kapitel VII
Entsprechende Zulässigkeits- und Informationsaspekte sind zu
beachten, wenn der Scorewert extern (d.h. über eine Auskunftei)
ermittelt wird, was die Übermittlung der Grunddaten des zu
scorenden Kunden an die Auskunftei voraussetzt.
269
Das Scoringverfahren darf nicht zu einer unzulässigen automati- 270
sierten Einzelentscheidung führen, d.h., das Ergebnis darf nicht
zur einzigen Grundlage der Entscheidung gegen den Abschluss
des Geschäfts gemacht werden (§ 6a BDSG) 197 . Dem Betroffenen
muss die Möglichkeit eröffnet sein, Argumente vorzutragen,
nach denen die statistische Bewertung auf ihn nicht zutrifft.
§ 6a Abs. 1 und 2 BDSG:
(1) Entscheidungen, die für den Betroffenen eine rechtliche
Folge nach sich ziehen oder ihn erheblich beeinträchtigen,
dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen.
(2) Dies gilt nicht, wenn
1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen
Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder
2. die Wahrung der berechtigten Interessen des Betroffenen
durch geeignete Maßnahmen gewährleistet und dem Betroffenen von der verantwortlichen Stelle die Tatsache des
Vorliegens einer Entscheidung im Sinne des Absatzes 1 mit197
Vgl. hierzu Bundesbeauftragter für den Datenschutz, Tätigkeitsbericht
2001-2002, Ziff. 10.5.2 zu dem beanstandeten Verfahren, übermittelte
Scorewerte direkt in andere Entscheidungsparameter einzuarbeiten.
Anmerkung: Nach einem zum Zeitpunkt der Drucklegung der Broschüre
vorliegenden Referentenentwurf zur Änderung des BDSG könnte § 6a BDSG
ggf. künftig auch auf „überwiegend“ automatisierte Einzelentscheidungen
anwendbar sein.
125
Kapitel VII
Vertragsabwicklung
geteilt wird. Als geeignete Maßnahme gilt insbesondere die
Möglichkeit des Betroffenen, seinen Standpunkt geltend zu
machen. Die verantwortliche Stelle ist verpflichtet, ihre
Entscheidung erneut zu prüfen.
126
Vertragsabwicklung
7.6
Kapitel VII
Soziodemografische Adressenbewertung
Als eigenständiges Bewertungsmerkmal oder als Bestandteil eines Scoringverfahrens können soziodemografische Daten (Daten
über die soziale Struktur der Bevölkerung in bestimmten Wohnbereichen) dienen198. Die Zulässigkeit der Bewertung des Kunden
mittels der als wahrscheinlich behandelten statistischen Erkenntnisse hängt davon ab, dass nur solide Aussagen und nicht zur
Diskriminierung/Ghettoisierung bestimmter Bevölkerungs- oder
Wohngebietsgruppen führende Daten Verwendung finden.
8.
271
Exkurs: Der Mitarbeiter als Kunde
Ein Unternehmen kann in unterschiedlichen Vertragsbeziehungen zu einem Betroffenen stehen. Dies ist insbesondere der Fall,
wenn ein Mitarbeiter gleichzeitig Kunde seines Arbeitgebers ist.
So sind z.B. Beschäftigte eines Kaufhauses oft zugleich auch dessen Kunden.
Verantwortliche Stelle
als Unternehmer
272
Verantwortliche Stelle
als Arbeitgeber
Informationsrückgriff bei berechtigtem Interesse bzw. Bezug
zu Rechten/Pflichten des anderen Vertragsverhältnisses
Kunde/Mitarbeiter
Das BDSG erlaubt die Verwendung der im Zusammenhang mit
der Abwicklung des jeweiligen Vertragsverhältnisses mitgeteilten
bzw. ansonsten erhobenen und gespeicherten Daten zunächst
nur im Rahmen der betreffenden vertraglichen Beziehung (§ 28
Abs. 1 S. 1 Nr. 1 BDSG). Sollen Informationen auch in der anderen Vertragsbeziehung verwendet werden, so setzt diese Zweck198
Vgl. hierzu auch nachfolgend Rdnr. 307 ff.
127
273
Kapitel VII
Vertragsabwicklung
änderung eine vorhergehende Interessenabwägung199 voraus
(§ 28 Abs. 2 BDSG)200 . Erforderlich ist in der Regel das Bestehen
eines Bezugs zu den Rechten und Pflichten des anderen Vertragsverhältnisses.
274
Ein entgegenstehendes Interesse des Mitarbeiters bzw. Kunden
kann insbesondere in Fällen anzunehmen sein, in denen vertrauliche bzw. sensiblere Daten betroffen sind.
275
Ist der Angestellte eines Kreditinstituts gleichzeitig auch dessen
Kunde, so ist es grundsätzlich unzulässig, aus dem Arbeitsverhältnis stammende Gesundheitsdaten bei der Entscheidung über
eine Kreditvergabe oder Informationen über Kontobewegungen
im Rahmen von Personalentscheidungen zu berücksichtigen.
Verwendung im Arbeitsverhältnis finden darf dagegen der von
der Revision bei der routinemäßigen Überprüfung von Kundendaten festgestellte Verdacht von Insidergeschäften.
Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 1995, S. 192:
„Grundsätzlich hat die Revision selbstverständlich das Recht,
Kundenkonten zu kontrollieren. Im vorliegenden Fall interessierte sich die Revision jedoch nicht für die Konten als Kundenkonten, sondern ausschließlich als Mitarbeiterkonten.
Hierbei hat die Revision den Umstand ausgenutzt, dass die
jeweiligen Mitarbeiter - eigentlich eher zufällig - bei ihrem Arbeitgeber ihr Privatkonto führten. Diese Konten darf die Innenrevision nur überprüfen, wenn sie als normale Kundenkonten für die Revision von Bedeutung sind. Die generelle Kontrolle von Mitarbeiterkonten ist auch und gerade zur Aufklärung von Straftaten - insbesondere ohne vorherige Einschaltung des Betriebsrates und Mitteilung an die Betroffenen nicht zu akzeptieren.“
199
200
128
Vgl. auch Rdnr. 284 sowie Rdnr. 37.
Gola/Schomerus (vgl. Fn. 40), § 28 Rdnr. 17.
Vertragsabwicklung
Kapitel VII
Keine Zweckänderung auf Grund einer Interessenabwägung ist
möglich, soweit besondere Arten personenbezogener Daten (§ 3
Abs. 9 BDSG) betroffen sind, da insofern gemäß § 28 Abs. 6 bis 9
BDSG spezielle Zulässigkeitsregeln gelten.
276
Ein Verbot der Zweckänderung kann sich zudem daraus ergeben,
dass die Zwecke der Verarbeitung abschließend festgelegt sind 201
bzw. die Nutzung zu bestimmten Zwecken gesetzlich explizit
untersagt ist202 .
277
Auch wenn der Arbeitgeber Personaldaten nicht zu Werbezwecken übermitteln darf, so steht einer Nutzung der Adressdaten
zur Werbung für eigene Produkte jedenfalls dann nichts entgegen, wenn Sonderkonditionen gewährt werden. Auch Empfehlungen für vergünstigte Produkte anderer Konzerngesellschaften
können an die Mitarbeiter weitergeleitet werden.
278
Zu beachten ist, dass die automatisierte Verarbeitung von Mitarbeiterdaten auch dann der Mitbestimmung des Betriebsrats unterliegt, wenn die Daten aus der Kundenbeziehung stammen 203.
Eine Kundenbeziehung liegt auch vor, wenn ein Mitarbeiter die
betrieblichen Kommunikationseinrichtungen auch für private
Zwecke nutzen darf204.
279
201
202
203
204
Vgl. z.B. für die „Kundendaten“ von bei einer Krankenversicherung Beschäftigten: § 284 SGB V.
Vgl. § 35 Abs. 1 S. 3 SGB I (Sozialgeheimnis): „Sozialdaten der Beschäftigten
und ihrer Angehörigen dürfen Personen, die Personalentscheidungen treffen oder daran mitwirken können, weder zugänglich sein noch von Zugriffsberechtigten weitergegeben werden.“
Vgl. HessVGH vom 09.11.1988, AiB 89, S. 126 für „Kundendaten“ bei der
AOK beschäftigter Mitarbeiter.
Das insoweit geltende Fernmeldegeheimnis (§ 88 TKG) darf nur in den
gesetzlich geregelten Fällen oder bei Einverständnis des Beschäftigten
durchbrochen werden. Vgl. hierzu Gola, Datenschutz bei Multimedia am
Arbeitsplatz, Frechen 2006, Rdnr. 278 ff.
129
Fortsetzung der Kundenbeziehung
Kapitel VIII
Kapitel VIII: Welche Daten können zur Fortsetzung
der Kundenbeziehung genutzt werden?
1.
Die Löschungs- und Sperrungspflichten nach Wegfall der
Zweckbestimmung
Auch wenn der Prospekt versandt oder die Vertragsbeziehung 280
mit dem Kunden abgewickelt, d.h. die Ware geliefert, die Dienstleistung erbracht ist, soll der Kontakt mit dem Kunden in der
Regel nicht beendet werden. Die Daten sollen häufig vielmehr
weiter gespeichert und für Marketingzwecke genutzt werden.
Andererseits ergab sich die Berechtigung zur Speicherung daraus, dass die Daten z.B. für die Durchführung des Vertrages
benötigt wurden (§ 28 Abs. 1 S. 1 Nr. 1 BDSG). Dieser Zweck ist
nunmehr - sofern nicht vertragliche Nachwirkungen bestehen205 weggefallen.
Fällt der Zweck, für den die Daten benötigt wurden, weg, so 281
schreibt das BDSG grundsätzlich die Löschung der Daten vor
(§ 35 Abs. 2 Nr. 3 BDSG), d.h. die vollständige Unkenntlichmachung oder physikalische Beseitigung (§ 3 Abs. 4 Nr. 5 BDSG).
Regierungspräsidium Darmstadt, 13. Tätigkeitsbericht
(1999), Ziffer 20: Warum Kundendaten löschen - der Speicherplatz reicht doch noch
„Bei einem bundesweit organisierten System zum (Vor-) Verkauf von Konzert- und sonstigen Eintrittskarten wurde ein
Programm angewandt, bei welchem ein programmmäßiges
(softwaremäßiges) Löschen von personenbezogenen Daten
nicht vorgesehen war. Es bestand die Anweisung an die verkaufenden Stellen, dass der Datensatz im Bereich des Namens205
Ggf. kann dem Vertrag noch ein vertragsähnliches Vertrauensverhältnis mit
Nebenpflichten nachfolgen; so rechtfertigt sich etwa die Speicherung von
Autokäufern für Rückrufaktionen, vgl. Gola/Schomerus (vgl. Fn. 40), § 28
Rdnr. 27.
131
Kapitel VIII
Fortsetzung der Kundenbeziehung
feldes mit Buchstabenkombinationen zu überschreiben sei,
wenn ein Kunde eine Löschung verlange.
Die Aufsichtsbehörde hält das Löschen von Bestellerdaten im
Kartenvorverkaufgeschäft für unabdingbar, da, nachdem die
Karten gekauft worden sind, ein Zweck hinsichtlich der Verarbeitung personenbezogener Daten für die Vorabbestellung
nicht mehr vorhanden ist. Sie forderte daher das Unternehmen
auf, das Verfahren in absehbarer Zeit so zu verändern, dass für
die Mitarbeiter in den einzelnen Verkaufsstellen die Möglichkeit besteht, ein automatisches programmmäßiges Löschen
vorzunehmen.“
282 Anstelle der Löschung kann auch die bloße Sperrung genügen,
d.h. die Einschränkung der weiteren Verarbeitung oder Nutzung
durch entsprechende Kennzeichnung (§ 3 Abs. 4 Nr. 4 BDSG).
§ 35 Abs. 2 und 3 BDSG (Auszug):
(2) (...) Personenbezogene Daten sind zu löschen, wenn (...)
3. sie für eigene Zwecke verarbeitet werden, sobald ihre
Kenntnis für die Erfüllung des Zwecks der Speicherung
nicht mehr erforderlich ist,
(...).
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. im Falle des Absatzes 2 Nr. 3 einer Löschung gesetzliche,
satzungsmäßige oder vertragliche Aufbewahrungsfristen
entgegenstehen,
2. Grund zu der Annahme besteht, dass durch eine Löschung
schutzwürdige Interessen des Betroffenen beeinträchtigt
würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung
nicht oder nur mit unverhältnismäßig hohem Aufwand
möglich ist.
132
Fortsetzung der Kundenbeziehung
Kapitel VIII
So werden die Kundendaten zwar nach Ende der Vertragsbezie- 283
hung mit dem Kunden auf Grund handels- oder steuerrechtlicher
Vorschriften weiter aufbewahrt werden müssen. Dies erfolgt
dann aber nur für diesen Zweck, so dass eine Verarbeitung oder
Nutzung für Marketingzwecke entfällt, es sei denn, die nachfolgenden Überlegungen zur Zweckänderung kämen zum Tragen.
2.
Die Möglichkeit der Zweckerweiterung oder -änderung
Das BDSG gestattet in gewissem Rahmen aber auch, dass Daten, 284
die ursprünglich für einen bestimmten Zweck erhoben und gespeichert wurden, noch für andere Zwecke genutzt werden. Voraussetzung ist, dass hierfür ein berechtigtes Interesse besteht
und keine erkennbaren schutzwürdigen Interessen des Kunden
entgegenstehen (§ 28 Abs. 2 i.V.m. Abs. 1 S. 1 Nr. 2 und 3 BDSG).
Bestand diese Absicht nicht bereits bei der Datenerhebung, so
können Daten eines Postkäufers nunmehr auch jetzt noch unter
Rückgriff auf § 28 Abs. 1 S. 1 Nr. 2 BDSG für Marketingzwecke
weiter verarbeitet bzw. genutzt werden206. Ebenso darf ein Hotel
die Stammdaten von Hotelgästen speichern, um diese bei einem
erneuten Aufenthalt als Service direkt auf dem Meldezettel einzudrucken.
Speichert dagegen eine Bank im Rahmen einer Kreditbeantra- 285
gung erhobene Daten nach Ablehnung des Kredits noch einen
Zeitraum von sechs Monaten, um ihre Filialen im Falle einer erneuten Kreditbeantragung „vorzuwarnen“, so sieht der Berliner
Datenschutzbeauftragte 207 hierfür kein berechtigtes Interesse.
Einmal sei es unwahrscheinlich, dass sich der abgelehnte An- 286
tragsteller bei einem erneuten Versuch der Kreditbeantragung
ausgerechnet an eine Filiale der gleichen Bank wende. Zum anderen sei es auch möglich, dass sich die persönlichen Verhältnis206
207
Die Aufsichtsbehörden sehen dies zum Teil anders (vgl. Fn. 34).
Berliner Beauftragter für Datenschutz und Akteneinsicht, Jahresbericht
2000, Ziffer 4.6.1.
133
Kapitel VIII
Fortsetzung der Kundenbeziehung
se des Antragstellers zwischenzeitlich geändert hätten. Keine
Bedenken hatte man gegen die Umwidmung eines Teils der Antragsdaten in Werbedaten, sofern sich die Bank auf die nach § 28
Abs. 3 S. 1 Nr. 3 BDSG privilegierten Listendaten beschränke.
Berliner Datenschutzbeauftragter, Jahresbericht 1998, Ziff.
3.3 zu Schwarzfahrerdateien (Auszug)
„Zweck der Datenerhebung ist einerseits die Beitreibung des
erhöhten Beförderungsentgelts und zum anderen die Erfassung
von Wiederholungsfällen (ggf. mit dem Ziel der Anzeigeerstattung wegen Beförderungserschleichung). Letzteres Interesse
besteht auch dann, wenn der Schwarzfahrer das erhöhte Beförderungsentgelt sofort bar bezahlt. Rechtsgrundlage für die
Datenverarbeitung der Deutschen Bahn (DB) sowie der S-Bahn
ist § 28 Abs. 1 S. 1 Nr. 2 BDSG, für die der Berliner Verkehrsbetriebe (BVG) § 3 Abs. 1 der BetriebeVO.
Sowohl DB als auch S-Bahn haben ein berechtigtes (wirtschaftliches) Interesse daran, den ihnen jeweils zustehenden erhöhten Fahrpreis einzufordern. Sie haben auch ein berechtigtes
Interesse daran, als Verletzte Strafanzeige zu erstatten. Ein
überwiegendes schutzwürdiges Interesse des Betroffenen an
dem Ausschluss dieser Datenspeicherung kann nicht anerkannt
werden.
Von großer Bedeutung für die Betroffenen ist natürlich die Frage, wie lange die Daten gespeichert werden.
Die Speicherdauer bei den Vorgängen der DB beträgt grundsätzlich ein Jahr, das bei einem Wiederholungsfall erneut zu
laufen beginnt, maximal jedoch drei Jahre. Bedenken gegenüber dieser Speicherfrist bestehen nicht, da das Unternehmen
drei Jahre lang die Beförderungserschleichung strafrechtlich
verfolgen lassen kann (§ 78 Abs. 2 Nr. 5 Strafgesetzbuch), andererseits aber nicht verfolgen lässt, wenn der Betroffene innerhalb eines Jahres nicht nochmals auffällt. Insofern ist die
Kenntnis der Daten für diese Zeiträume erforderlich im Sinne
des § 35 Abs. 2 Nr. 3 BDSG.“
134
Fortsetzung der Kundenbeziehung
Kapitel VIII
Als rechtmäßig ist es also auch anzusehen, Personen, die sich 287
eine Leistung unentgeltlich „erschleichen“, nicht nur zwecks Beitreibung des Entgelts, sondern auch im Hinblick auf im Wiederholungsfall zu ergreifende Konsequenzen zu erfassen208.
Ergibt sich z.B. nach Übernahme des Unternehmens in einen 288
Konzern der Wunsch, vorhandene Kundendaten auch anderen
konzernangehörigen Gesellschaften zur Verfügung zu stellen, so
ist dies, jedenfalls wenn der in § 28 Abs. 3 S. 1 Nr. 3 BDSG genannte Datenkatalog nicht überschritten wird, regelmäßig zulässig209 . Im Übrigen kommt ein Versand der Werbebotschaft durch
die neue Konzerngesellschaft in Betracht - ggf. unter Einschaltung eines sog. Lettershops.
3.
Mehr Wissen über den Kunden
3.1
Methoden der Zielgruppenfindung
Um den Kunden z.B. durch seinen potenziellen Wünschen ent- 289
sprechende Angebote an das eigene Unternehmen zu binden,
besteht der Wunsch, den Kunden und seine Interessen besser
kennen zu lernen.
Dazu dienen u.a. die Verfahren zum Verbraucherscoring, die 290
Auswertung von bislang unstrukturierten Kundendaten im Rahmen von Datawarehouse- und Dataminingverfahren sowie das
Customer Relationship Management (CRM).
Zusätzliches Wissen über die Bedürfnisse und die Zufriedenheit 291
des Kunden kann aber auch über das bewährte Mittel der Kundenbefragung erlangt werden. Anstelle der Durchführung einer
eigenen Kundenbefragung bietet sich hierbei auch die Einschaltung spezialisierter Dienstleister an.
208
209
Zu Warndateien vgl. auch vorstehend Rdnr. 248 ff.
Vgl. hierzu aber unbedingt auch oben unter Fn. 34. Hinsichtlich der sich
insoweit bei international tätigen Konzernen ergebenden Probleme vgl.
nachfolgend Rdnr. 351 ff.
135
Kapitel VIII
3.2
Fortsetzung der Kundenbeziehung
Kundenbefragung
3.2.1 Allgemeines
292 Qualifizierte Kundenbefragungen sind integraler Bestandteil der
Marketingplanung, eines am Kunden orientierten Qualitätsmanagements sowie eines effektiven CRM-Systems. Zur Verbesserung der Kundenbindung und zur Optimierung von Werbemaßnahmen bietet sich neben der Auswertung von Kundendaten im
Rahmen sog. Datawarehouse- und Dataminingverfahren primär
die unmittelbare Befragung des Kunden selbst an.
293 Solche Kundenbefragungen können in verschiedener Form erfol-
gen, woraus unterschiedliche datenschutzrechtliche Anforderungen resultieren.
3.2.2 Eigene Kundenbefragung
294 In Hotels ist es heute vielfach üblich, dass der Gast auf seinem
Zimmer ein Formular findet, in welchem er gebeten wird, Mitteilung über seine Zufriedenheit mit den Leistungen des Hotels zu
machen bzw. konkrete Anregungen und Beschwerden vorzubringen. Teilweise ist die Angabe des Namens des Gastes explizit
vorgesehen, manchmal verbunden mit dem Hinweis auf eine
Verlosung von Preisen unter den Teilnehmern. Aber auch wenn
die Angabe des Namens freigestellt ist oder ein Name gar nicht
erst erfragt wird, handelt es sich häufig - jedenfalls zunächst - um
die Erhebung personenbezogener Daten, da der Aussteller identifizierbar ist.
295 Derartige Befragungen sind zulässig, soweit klargestellt bzw.
offenkundig ist, dass die Beantwortung der Fragen freiwillig erfolgt, und dem Betroffenen die mit der Befragung einhergehenden Zwecke hinreichend transparent gemacht werden (§ 4 Abs. 3
S. 1 und 2 BDSG). Mit der Beantwortung der Fragen bringt der
Kunde zum Ausdruck, dass er in seinen schutzwürdigen Interessen nicht beeinträchtigt wird (§ 28 Abs. 1 BDSG).
136
Fortsetzung der Kundenbeziehung
Kapitel VIII
Dienen die Angaben nur als Grundlage interner Maßnahmen zur 296
Verbesserung des Service, sind sie nachfolgend entsprechend zu
anonymisieren. Will man sich bei einem Kunden - ggf. unter Zusendung eines Geschenks - entschuldigen, so ist auch die dazu
erforderliche Datenverarbeitung zulässig.
Für mündliche Befragungen durch Interviewer gilt das zuvor Aus- 297
geführte entsprechend, wobei hier zumeist (z.B. bei Befragung
von Fluggästen oder Kunden der Bahn) die Anonymität von vorneherein gewahrt ist. Mit dem BDSG vereinbar ist es im Übrigen
auch, wenn die Befragung (z.B. des Hotelgasts nach dem Ende
des Aufenthalts) per Post erfolgt.
Problematisch ist dagegen der Fall, dass die Kundenbefragung 298
per Telefon erfolgen soll. Insofern ist die Rechtsprechung des
OLG Stuttgart 210 zu berücksichtigen, wonach auch nur mittelbar
der Absatzförderung dienende telefonische Meinungsbefragungen als Werbung und damit als nach dem UWG einwilligungsbedürftig anzusehen sind.
3.2.3 Beauftragung eines spezialisierten Instituts
Will sich das Unternehmen bezüglich der Kundenbefragung der 299
Hilfe eines Markt- und Meinungsforschungsinstituts bedienen,
so setzt dies die Weitergabe von Kundendaten an das Institut
voraus.
Nimmt das Institut die Aufgabe im Wege der Auftragsdatenver- 300
arbeitung (§ 11 BDSG)211 wahr, dürfen alle Kundendaten weitergegeben werden, die auch der Auftraggeber selbst für die Umfrageaktion benötigen würde 212. Der „Auftrag“ muss hinsichtlich
210
211
212
Urteil vom 17.01.2002 - 2 U 95/01 -, RDV 2003, S. 31.
Vgl. Rdnr. 346 ff.
Zur Unzulässigkeit der Weitergabe der Kundenadresse bei Durchführung
einer Telefonbefragung vgl. 15. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden (2001), LT-Drs. 15/4659, Ziff. 9.4, S. 33.
137
Kapitel VIII
Fortsetzung der Kundenbeziehung
der Datenverarbeitungsaufgaben präzise gefasst sein. U.a. muss
der Beauftragte verpflichtet werden, auf die Freiwilligkeit der
Beantwortung der Fragen hinzuweisen213 .
301 Probleme bestehen jedoch auch bei der Einschaltung von Auf-
tragnehmern, wenn die weiterzugebenden Kundendaten besonderen Geheimhaltungsverpflichtungen unterliegen. Z.B. bedürfte
ein Apotheker oder Arzt auf Grund der bestehenden Schweigepflicht der Einwilligung seiner Kunden/Patienten.
302 Keiner gesetzlichen, sondern einer vertraglichen Schweigepflicht
unterliegen Banken gegenüber ihren Kunden. Fraglich ist auch
hier, ob die Bank trotz der für sie bestehenden Verpflichtung zur
Wahrung des Bankgeheimnisses zur Einschaltung eines Befragungsinstituts berechtigt ist 214.
303 Um auszuschließen, dass durch die Datenverarbeitung im Auf-
trag schutzwürdige Interessen des Kunden berührt werden, sollten diese mit Hinweis auf ein ihnen eingeräumtes Widerspruchsrecht 215 über die beabsichtigte Befragung individuell und nicht
etwa nur durch Hinweise auf der Bankhomepage informiert werden. Es ist dann anzugeben, welche personenbezogenen Daten
zu diesem Zweck an welche Stelle weitergegeben werden sollen.
Insbesondere ist klarzustellen, ob die Angaben des Kunden dem
auftraggebenden Kreditinstitut zur Beschwerdebearbeitung unter Nennung des Kunden zurückgemeldet werden sollen. Eine
Information erscheint auch deshalb ratsam, weil der Kunde von
einer unbefugten Übermittlung ausgehen könnte, wenn er von
einem Markt- und Meinungsforschungsinstitut unvermittelt auf
seine Kundenbeziehung zum Kreditinstitut angesprochen wird.
213
214
215
138
7. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Mecklenburg-Vorpommern (2004/2005), Ziff. 6.
Vgl. hierzu bei Gola, Datenschutz im Call Center, 2. Auflage, Frechen 2006,
S. 124 ff.
Vgl. zum gesamten Absatz: Innenministerium Baden-Württemberg, Hinweise zum Datenschutz für die private Wirtschaft (Nr. 37), Ziff. 2, S. 7
(http://www.innenministerium.baden-wuerttemberg.de). Die Bank muss
eine angemessene Widerspruchsfrist benennen.
Fortsetzung der Kundenbeziehung
Kapitel VIII
Unproblematisch ist es, wenn das Markt- und Meinungsfor- 304
schungsinstitut einen Fragebogen entwickelt, der vom Kreditinstitut unmittelbar selbst versandt wird. Sofern die Kunden die
Möglichkeit haben, den ausgefüllten Fragebogen anonym an das
Forschungsinstitut zur Auswertung zurückzuleiten, findet bei
diesem kein Umgang mit personenbezogenen Daten statt.
Erhält das Institut nur einen allgemein gehaltenen Auftrag, bei 305
dem es den Umfang und die Art der Fragen sowie den Ablauf der
Untersuchung selbstständig bestimmen kann, kann die Verarbeitung der personenbezogenen Daten der Kunden nicht mehr als
Datenverarbeitung im Auftrag im Sinne von § 11 BDSG bewertet
werden. Die Auftragsdatenverarbeitung ist durch die Beschränkung auf eine ausführende Tätigkeit gekennzeichnet. Im Falle
eines lediglich allgemein gehaltenen Befragungsauftrags ist daher von einer Datenübermittlung auszugehen.
Hierfür stellt § 28 BDSG keine ausreichende Grundlage dar. Ins- 306
besondere liegt die Kundenbefragung nicht mehr im Rahmen der
konkreten Vertragsbeziehung mit dem Kunden. Folglich ist eine
Einwilligung in die Übermittlung erforderlich. Eine bloße Unterrichtung wäre nicht ausreichend.
3.3
Verbraucherscoring/soziodemografische Bewertung
Wie bereits erwähnt, werden Scoringverfahren insbesondere 307
zum Ausschluss von Kreditrisiken eingesetzt. Scoringverfahren
können aber auch genutzt werden, um die Wahrscheinlichkeit
eines bestimmten Konsumentenverhaltens zu ermitteln. Prognostiziert werden etwa die Reaktion auf Werbeansprache, Abschlusswahrscheinlichkeiten in Bezug auf Verträge, das Inkassoverhalten sowie die Wahrscheinlichkeit von Leistungsstörungen 216. Ermittelt werden sollen Kunden, die die Absicht haben,
zur Konkurrenz zu wechseln. Auch können Produkte identifiziert
216
Vgl. Weichert, Datenschutzrechtliche Anforderungen an VerbraucherKredit-Scoring, DuD 2005, S. 582.
139
Kapitel VIII
Fortsetzung der Kundenbeziehung
werden, die der Kunde wahrscheinlich kaufen würde. Einsatz
finden die Systeme bei Kundenanfragen ebenso wie bei der Beurteilung des weiteren Kaufverhaltens vorhandener Kunden.
Zitat aus der Kundeninformation eines Dienstleisters217 :
„Dazu vergleichen die Systeme die Interessentendaten mit
dem Idealprofil von Kunden, die bereits in einer Datenbank gespeichert sind. Kunden, die einen attraktiven CustomerLifetime-Value aufweisen, die von ihren Wünschen, Affinitäten
besonders gut zum Unternehmen passen und mit der Geschäftsbeziehung zufrieden sind. Die verwendeten Daten können Produktionsnutzungsdaten, Hobbys, Alter etc. sein.“
308 Die Zulässigkeit, derartige Auswertungen ohne Einwilligung
durchzuführen, hängt auch hier davon ab, welcher Art die Erkenntnisse sind und zu welchen Zwecken sie verwendet werden.
309 Ist Konsequenz einer auf Grund objektiver und nicht diskriminie-
render Kriterien ermittelten negativen Prognose, dass dem Interessenten/Kunden nur wenig oder gar keine Aufmerksamkeit
gewidmet wird, dass seine Anfrage standardmäßig beantwortet
wird oder dass kein Kontakt mehr mit ihm gesucht wird, so wird
dies im Regelfall seine schutzwürdigen Interessen nicht beeinträchtigen und auch nicht gegen das Verbot der automatisierten
Einzelentscheidung 218 (§ 6a BDSG) verstoßen. Dieses greift nur,
wenn die negative Entscheidung eine rechtliche Folge nach sich
zieht oder den Betroffenen erheblich beeinträchtigt. Wird die
Adresse des Betroffenen durch Auswertung seines Kaufverhaltens, seiner Wohnumgebung etc. bewertet, um seine Kaufkraft
oder seine potenziellen Kaufinteressen zu ermitteln, so liegt darin zwar die Bewertung einzelner Persönlichkeitsmerkmale219 .
Wird darauf gestützt ausschließlich automatisiert darüber entschieden, ob dem Betroffenen Prospekte zugesendet werden
217
218
219
140
www.crm-expert-site.de; Beratungsbrief 10/04.
Vgl. hierzu auch vorstehend Rdnr. 270.
Gola/Schomerus (vgl. Fn. 40), § 6a Rdnr. 10.
Fortsetzung der Kundenbeziehung
Kapitel VIII
sollen oder ob er in eine Datei mit besonders zu pflegenden
Kunden aufgenommen wird, so ist indes die geforderte negative
Rechtsfolge oder erhebliche Beeinträchtigung nicht gegeben220 .
Gleichermaßen zu bewerten ist die mit entsprechender Zielrich- 310
tung erfolgende Bewertung von Kunden mit soziodemografischen Daten.
3.4
Datawarehouse/Datamining
221
Der Begriff des Datawarehouse stammt aus dem Informati- 311
onsmanagement in der Betriebswirtschaft. Ein Datawarehouse
ist eine zentrale Datensammlung, deren Inhalt für verschiedene
unspezifizierte Zwecke langfristig ausgewertet werden soll. Die
Daten werden i.d.R. aus dem operativen Geschäft eines Unternehmens heraus dupliziert und aufgearbeitet, bevor sie in das
Datawarehouse einfließen. Datamining bezeichnet den Prozess,
mit dem ein Datawarehouse analysiert und ausgewertet wird.
Von der Akkumulierung der Daten verspricht man sich, bisher
unbekannte Zusammenhänge zwischen Einzeldaten zu erkennen.
Die Datenverarbeitung innerhalb eines solchen Systems wird oft 312
nur auf Grund einer Einwilligung zulässig sein. Etwas anderes gilt
natürlich, wenn es sich um anonymisierte Datensätze handelt.
3.5
Profilbildung
Führen die Auswertungen des Kundenverhaltens und der durch 313
Scoring und/oder soziodemografische Bewertungen gewonnenen Erkenntnisse dazu, den Kunden nicht nur einer bestimmten
Zielgruppe zuzuordnen, sondern zu einem über das konkrete
220
221
Vgl. die entsprechende Begründung zur EU-Datenschutzrichtlinie bei Ehmann/Helfrich, EG-Datenschutzrichtlinie, Köln 1999, Art. 15 Rdnr. 18 f.
Baeriswyl, Data Mining und Data Warehousing: Kundendaten als Ware oder
geschütztes Gut, RDV 2000, S. 6; Möller, Data Warehouse als Warnsignal an
die Datenschutzbeauftragten, DuD 1998, S. 555; Möncke, Data Warehouse
- eine Herausforderung für den Datenschutz, DuD 1998, S. 561.
141
Kapitel VIII
Fortsetzung der Kundenbeziehung
bzw. vermutete Konsumverhalten hinausgreifenden Persönlichkeitsprofil, so besteht ein Konflikt mit datenschutzrechtlichen
Grundprinzipien 222, wobei es in der Praxis nur schwer bestimmbar ist, wann hinsichtlich Quantität und Qualität der Daten über
einen Kunden eine mit dem Anspruch auf Persönlichkeitsschutz
nicht mehr zu vereinbarende Grenze zur Bildung des Persönlic hkeitsprofils überschritten ist. Des Weiteren ergibt sich die Frage,
wie der vom Gesetz gewollten Transparenz gegenüber den Betroffenen - u.a. im Zusammenhang mit der Abgabe einer Einwilligung - praxisgerecht Rechnung getragen werden kann.
Mikrozensusentscheidung des Bundesverfassungsgerichtes 223
„Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn
der Staat das Recht für sich in Anspruch nehmen könnte, den
Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität
einer statistischen Erhebung, und ihn damit wie eine Sache zu
behandeln, die einer Bestandsaufnahme in jeder Beziehung
zugänglich ist.“
4.
Wie erhalte ich die Kundenbeziehung?
4.1
Customer Relationship Management (CRM)
314 Das Customer Relationship Management224 (CRM) „versucht mit
Hilfe moderner Informations- und Kommunikationstechnologien
auf lange Sicht profitable Kundenbeziehungen durch ganzheitl i222
223
224
142
Jacob/Jost in „Marketingnutzung von Kundendaten und Datenschutz - ein
Widerspruch?“, DuD 2003, 621; von Lewinski, Persönlichkeitsprofile und
Datenschutz bei CRM, RDV 2003, S. 122.
BVerfG, Beschluss vom 16.07.1969 - 1 BvL 19/63 -, BVerfGE 27, 1.
Zu den insoweit auftretenden datenschutzrechtlichen Fragestellungen vgl.
auch Taeger, Kundenprofile im Internet - Customer Relationship Management und Datenschutz, K&R 2003, S. 220; ferner Wimmer, Privacy-based
Marketing - kundenzentrierte Ansätze im CRM, Oldenburger Beiträge zum
Zivil- und Wirtschaftsrecht, Band 16, 2005; Zu Vertragsverhältnissen und
CRM bei Mehrwertdiensten vgl. Schmitz/Eckhardt, CR 2006, S. 323.
Fortsetzung der Kundenbeziehung
Kapitel VIII
che und individuelle Marketing-, Vertriebs-, und Servicekonzepte
aufzubauen und zu festigen“225 .
Vereinfacht ausgedrückt besteht ein CRM-System aus Daten- 315
bankanwendungen, die eine strukturierte und automatisierte
Erfassung von Kundenkontakten und -daten ermöglichen. Aus
betriebswirtschaftlicher Sicht besteht der Anspruch, sämtliche
Kundendaten und Transaktionen zu speichern. CRM-Systeme
bereiten diese Daten so auf, dass sie allen Abteilungen in geeigneten Konstellationen u.a. in einer Kundendatenbank zur Verfügung stehen. Typische Informationsfelder bestehen in den
Grunddaten (Adressdaten etc.), Potenzialdaten (Anhaltspunkte
für kundenindividuelle Nachfragevolumen in der Zukunft), Aktionsdaten (Historie der kundenspezifischen Aktionsdaten) und
Reaktionsdaten (Historie des Kundenverhaltens)226.
4.2
Kundenkonto
Das Kundenkonto-Modell ist ein typisches Instrument der Kun- 316
denbindung. Mit dem Kunden wird eine Art vertragliche Rahmenbeziehung begründet, die z.B. Funktionen wie eine persönliche Bestellverwaltung, die Verwaltung unterschiedlicher Lieferadressen und Zahlungsmethoden, die Teilnahme an Sonderaktionen oder das Anlegen von „Merk- oder Wunschzetteln“ eröffnet. Das Unternehmen speichert die Stammdaten des Kunden
und kann bei Folgebestellungen auf diese zurückgreifen. Dem
Kunden wird die erneute An- bzw. Eingabe der Daten erspart.
Die Speicherung und Verarbeitung von Daten im Rahmen eines 317
Kundenkontos ist gemäß § 28 Abs. 1 S. 1 Nr. 1 BDSG zulässig.
Dies gilt jedenfalls insoweit, als die Stammdaten des Kunden
betroffen sind. Sollen weitere Daten gespeichert und verarbeitet
werden, hängt die Zulässigkeit von der Ausgestaltung des Kun225
226
Vgl. Hettich/Hippner/Wilde: Customer Relationship Management (CRM),
in: Das Wirtschaftsstudium, Jahrgang 29, Nr. 10/2000, S. 1346 bis 1366; vgl.
ferner bei Wimmer (vgl. Fn. 224), S. 14 ff.
Vgl. ferner bei Wimmer (vgl. Fn. 224), S. 36 ff.
143
Kapitel VIII
Fortsetzung der Kundenbeziehung
denkontomodells im Einzelnen ab. Ist beispielsweise vorgesehen,
eine Bestellhistorie für Garantiezwecke zu speichern, wäre die
entsprechende Datenverarbeitung ebenfalls gemäß § 28 Abs. 1
S. 1 Nr. 1 BDSG zulässig. Anders verhält es sich, wenn die Daten
schwerpunktmäßig im Interesse des Unternehmens genutzt
werden sollen. Die werbliche Auswertung und Nutzung der Daten ist ggf. unter dem Aspekt des § 28 Abs. 1 S. 1 Nr. 2 BDSG,
hilfsweise einer Einwilligung zu beurteilen.
4.3
Kundenkarten
227
318 Kundenbindungssysteme in Form von Kundenkarten
werden
in zwei verschiedenen Grundformen angeboten. Zum einen existieren einfache Kundenkarten, die Unternehmen für ihre eigenen
Kunden ausgeben, um diese mit Vergünstigungen und besonderen Serviceleistungen an das Unternehmen zu binden (Kundenbindungssysteme im 2-Parteien-Verhältnis). Daneben ist aber
auch eine neue Entwicklung hin zu unternehmensübergreifenden
Kundenbindungssystemen zu beobachten. Der Kunde kann seine
Karte dabei in allen angeschlossenen Unternehmen einsetzen
(Kundenbindungssysteme im Mehr-Parteien-Verhältnis).
319 Ähnliche Entwicklungen haben sich in einzelnen Nischenberei-
chen und Regionen vollzogen. Im Rahmen eines modernen
Stadtmarketings bieten Energieversorgungsunternehmen oder
andere Kundenkartenbetreiber zunehmend Bonuskarten unter
Einbeziehung des lokalen Einzelhandels (sog. City Cards) an.
320 Der große Erfolg derartiger Systeme - die Marktführer bilden
Payback und Happy Digits - ist auf die beim Einsatz der Karten in
Aussicht gestellten Rabatte zurückzuführen. Hierzu schließt der
Kunde einen Rabattvertrag mit dem Systembetreiber als Herausgeber der Karte. Der Systembetreiber unterhält wiederum
Vertragsbeziehungen zu den sog. Partnerunternehmen, auf Basis
227
144
Weber/Jacob/Rieß/Ullmann, Neue Wege der Kundenbindung aus Datenschutzsicht: Bonuskarten-Systeme, DuD 2003, S. 614.
Fortsetzung der Kundenbeziehung
Kapitel VIII
derer den Karteninhabern ein Rabatt - meist in Form von Gutschriften bei dem Systembetreiber - eingeräumt wird. Neben der
reinen Rabattgewährung enthält ein solcher Vertrag häufig auch
andere Leistungen des Systembetreibers gegenüber dem Kunden. In der Regel richtet er ein Bonuskonto für den Kunden ein
und übernimmt die Verwaltung und Auszahlung der Prämienpunkte. Die Höhe des gewährten Rabatts wird entweder vom
jeweiligen Partnerunternehmen oder für ein Programm gemeinsam von allen Partnerunternehmen festgelegt.
Systembetreiber
(Rabattvertrag)
(Rabatt und
Marketing)
Kunde
(Kaufvertrag)
Partnerunternehmen
Aus datenschutzrechtlicher Sicht ist bei Kundenkartensystemen 321
zwischen den Verarbeitungszwecken „Rabattabwicklung“ und
„Werbung und Marktforschung“ zu differenzieren.
Soweit die Datenverarbeitung der Abwicklung des Rabattvertra- 322
ges dient, ist sie über § 28 Abs. 1 S. 1 Nr. 1 BDSG legitimiert.
Hiervon werden nicht nur die Stammdaten des Kunden erfasst,
sondern auch Programmdaten wie Ort und Datum des Karteneinsatzes, Preis der erworbenen Ware oder Dienstleistung und
Höhe der Rabattgutschrift. Die Erhebung und Verarbeitung von
Informationen über die erworbene Ware oder Dienstleistung ist
nach § 28 Abs. 1 S. 1 Nr. 1 BDSG nur zulässig, wenn die Höhe der
Bonusgutschrift nicht nur von dem Preis, sondern zumindest
auch von der Art der Ware oder Dienstleistung abhängig ist.
Die Speicherung von weiteren Daten und die Nutzung zu Werbe- 323
zwecken soll nach Auffassung der Aufsichtsbehörden nur zulässig
145
Kapitel VIII
Fortsetzung der Kundenbeziehung
sein, soweit eine Einwilligung der Betroffenen vorliegt228. Eine
Ausnahme gilt jedenfalls für die Übermittlung oder Nutzung im
Rahmen des Listenprivilegs (§ 28 Abs. 3 S. 1 Nr. 3 BDSG).
Beispiel: Einwilligungsklausel Payback229
Einwilligung in Werbung und Marktforschung: Mit meiner
Unterschrift erkläre ich mich einverstanden, dass die von mir
oben angegebenen Daten sowie die Rabattdaten (Waren/Dienstleistungen, Preis, Rabattbetrag, Ort und Datum des
Vorgangs) für an mich gerichtete Werbung (z.B. Informationen über Sonderangebote, Rabattaktionen) per Post und mittels ggf. von mir beantragter Services (SMS oder E-Mail Newsletter) sowie zu Zwecken der Marktforschung ausschließlich
von der Loyalty Partner GmbH und den Partnerunternehmen
gemäß Nummer 2 der beiliegenden Hinweise zum Datenschutz gespeichert und genutzt werden.
Mein Einverständnis kann ich jederzeit gegenüber dem PAYBACK Service Center oder der Loyalty Partner GmbH, Postfach
23 21 02, 85330 München-Flughafen, widerrufen.
□Hier ankreuzen, falls die Einwilligung nicht erteilt wird.
324 Sollen ausschließlich anonymisierte Datensätze in das System
fließen, bestehen keine Datenschutzbedenken.
325 Einige Kundenkarten werden mit einer Kreditkartenfunktion
angeboten. Insofern ist zu beachten, dass der Betreiber Daten
von dem Kreditkartenanbieter nur erhalten darf, wenn eine entsprechende Einwilligung des Kunden - ggf. mit der Entbindung
von der Wahrung des Bankgeheimnisses - vorliegt. Dies gilt sowohl für die Antragsdaten als auch für Daten, die beim Karteneinsatz anfallen.
228
229
146
Vgl. hierzu Innenministerium Baden-Württemberg, Datenschutz im nicht
öffentlichen Bereich, Dritter Tätigkeitsbericht (2005), S. 120 ff.
Nach dem OLG München, Urteil vom 28.09.2006 - 29 U 2769/06 -, RDV
2007, S. 27 ist eine „Opt-Out“-Klausel zulässig (nicht rechtskräftig; anders:
LG München I, Urteil vom 09.03.2006 - 12 O 12679/05 -, RDV 2006, S. 169).
Technische Kundenüberwachung
Kapitel IX
Kapitel IX: Welche Grenzen bestehen bei der
technischen Überwachung von Kunden?
1.
1.1
Schutz vor unerwünschten Kunden durch Maßnahmen der
Videoüberwachung
Regelungsvorgaben des BDSG
Zum eigenen Schutz - ggf. aber auch zum Schutz der Kunden - vor 326
Diebstählen, Vandalismus und Überfällen werden Verkaufsräume, Ladengeschäfte, Eingangsbereiche, Hotelflure etc. häufig
durch Videokameras überwacht. Teilweise dient die Technik nur
zur Übertragung von Bildern auf einen Bildschirm, teilweise werden die Bilder aber auch aufgezeichnet.
Eine Reglementierung hat der Einsatz derartiger Überwachungs- 327
technik u.a. in § 6b BDSG gefunden, der die Beobachtung öffentlich zugänglicher Räume mittels optisch-elektronischer Einrichtungen regelt.
§ 6b BDSG regelt die Überwachung von sich in öffentlich zugäng- 328
lichen Räumen aufhaltenden Personen. Der Begriff „Räume“ ist
im Sinne öffentlich zugänglicher „Bereiche“ zu verstehen. Für das
Vorliegen eines öffentlich zugänglichen Raumes ist entscheidend,
ob der Raum entweder dem öffentlichen Verkehr gewidmet ist
oder nach dem erkennbaren Willen des Berechtigten von jedermann genutzt oder betreten werden darf. Dies trifft auf Ausstellungsräume eines Museums, Verkaufsräume eines Warenhauses,
Schalterhallen eines Bahnhofs ebenso zu wie auf Schwimmbäder,
Bibliotheken etc. Ob für die Nutzung ein Entgelt zu entrichten ist,
spielt keine Rolle, sofern jeder Zahlende Zutritt erhält.
Für die Verkaufsraumüberwachung kommen zwei der in § 6b 329
Abs. 1 BDSG genannten Zweckbestimmungen in Frage, nämlich
die Wahrnehmung des Hausrechts (Nr. 2) und die Wahrnehmung
berechtigter Interessen für konkret festgelegte Zwecke (Nr. 3).
Hinsichtlich der Zulässigkeit der Videoüberwachung ist dabei 330
danach zu differenzieren, ob über die Videokamera lediglich eine
147
Kapitel IX
Technische Kundenüberwachung
Beobachtung erfolgt (§ 6b Abs. 1 BDSG) oder ob auch aufgezeichnet wird (§ 6b Abs. 3 BDSG). Eine Aufzeichnung ist nur dann
erforderlich, wenn eine direkte Überwachung aus objektiven
Gründen nicht möglich ist. Ist in einem angemessenen Zeitraum
nach der Aufzeichnung kein Auswertungsanlass (z.B. Verdacht
einer Straftat) eingetreten, ist die Aufzeichnung zu löschen.
§ 6b BDSG: (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass
schutzwürdige Interessen der Betroffenen überwiegen.
(2) Der Umstand der Beobachtung und die verantwortliche
Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten
Zwecks erforderlich ist und keine Anhaltspunkte bestehen,
dass schutzwürdige Interessen der Betroffenen überwiegen.
Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die
staatliche und öffentliche Sicherheit sowie zur Verfolgung von
Straftaten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Daten einer
bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
148
Technische Kundenüberwachung
1.2
Kapitel IX
Der allgemeine Schutzanspruch
Schutzansprüche des Kunden gegen die Beobachtung bzw. Auf- 331
zeichnung können sich aus verschiedenen Quellen ergeben.
Gleichgültig, ob - bei Videoüberwachung öffentlicher Räume § 6b BDSG zur Anwendung kommt oder - wenn im Rahmen der
Videoüberwachung von nicht öffentlich zugänglichen Räumen
personenbezogene Daten automatisiert oder dateimäßig verwendet werden - § 28 BDSG bzw. ggf. „nur“ der Anspruch auf
Persönlichkeitsschutz (Recht am eigenen Bild): der Beurteilungsrahmen ist stets der Gleiche230 .
In jedem Fall ist das Interesse an der Überwachung abzuwägen 332
mit entgegenstehenden schutzwürdigen Interessen des Betroffenen. Insofern ist zunächst davon auszugehen, dass eine Überwachung in Umkleide-, Dusch- oder Toilettenräumen regelmäßig
unzulässig ist 231. Diesbezüglich ist auch die spezielle Strafvorschrift des § 201a StGB zu beachten232. Wesentlicher Punkt im
Rahmen der Abwägung ist im Übrigen die Intensität der Beobachtung, also die Frage, ob der Kunde nur gelegentlich (etwa
beim Betreten des Eingangsbereichs) oder dauernd erfasst wird.
Schließlich ergibt sich aus der Interessenabwägung auch der
bereits angesprochene Vorrang der bloßen Beobachtung vor der
Aufzeichnung.
Der Umstand der Videoüberwachung und die verantwortliche 333
Stelle sind gemäß § 6b Abs. 2 BDSG in geeigneter Weise (z.B.
durch ein entsprechendes Hinweisschild) transparent zu machen. Die Bestimmung der insoweit geeigneten Maßnahmen
bleibt der beobachtenden Stelle überlassen. Die Informations230
231
232
Gola/Klug, Videoüberwachung gemäß § 6b BDSG - Anmerkungen zu einer
verunglückten Gesetzeslage, RDV 2004, S. 65. Vgl. außerdem Ziegler, Das
Hausrecht als Rechtfertigung einer Videoüberwachung, DuD 2003, S. 337.
Vgl. Landesbeauftragte für Datenschutz und Informationsfreiheit NRW,
17. Datenschutzbericht (2005), S. 46 ff.
Vgl. hierzu bei Gola, Der neue strafrechtliche Schutz vor unbefugten Bildaufnahmen im Lichte der Zulässigkeits- und Straftatbestände des BDSG,
RDV 2004, S. 215.
149
Kapitel IX
Technische Kundenüberwachung
pflicht greift auch außerhalb des Anwendungsbereichs des § 6b
BDSG, da eine heimliche Videoüberwachung nur in extremen
Ausnahmefällen zulässig sein kann. Das Deutsche Institut für
Normung (DIN) hat insofern ein einheitliches Piktogramm entwickelt.
334 Häufig wird die Tatsache der Beobachtung bereits dadurch er-
kennbar sein, dass die Videokamera für jedermann gut sichtbar
installiert ist.
1.3
Praxisbeispiele
335 Während in Gaststätten neben Kassen oder Eingangstüren eine
Berechtigung zur Aufstellung von Videokameras bestehen kann,
gilt das für den Aufenthaltsbereich der Gaststätte regelmäßig
nicht. Das Persönlichkeitsrecht wird es regelmäßig nicht erlauben, in diesem „Freizeitbereich“, der häufig mit Bekannten etc.
aufgesucht wird, gefilmt bzw. beobachtet zu werden233 .
336 Besonderer Betrachtung bedarf es, wenn das Videobild auch von
den Kunden selbst zur Kenntnis genommen werden kann, z.B.,
weil in einem Hotel die Bildschirme für Gäste einsehbar an der
Rezeption stehen. Denn dies erzeugt zwar einerseits die gebotene Transparenz, andererseits gibt es den Gästen die Möglichkeit,
sich gegenseitig zu beobachten 234. Während ein Blick auf den
Parkplatz und die dort stehenden Fahrzeuge noch akzeptabel ist,
gilt das für einen Bildschirm, der das Hallenbad zeigt, nicht.
2.
Datenerhebung per RFID
2.1
Die Überwachungstechnik
337 Die rechtlichen Vorgaben des Kundendatenschutzes sind auch
bei dem demnächst wohl zunehmenden Einsatz der RFIDTechnik (Radio Frequency Identification) zu beachten. RFID233
234
150
ULD, Tätigkeitsbericht 2007, Ziff. 5.4, S. 88.
Zur Unzulässigkeit ULD, Tätigkeitsbericht 2007, Ziff. 5.4, S. 88.
Technische Kundenüberwachung
Kapitel IX
Technik ermöglicht, dass mit Hilfe von Funketiketten (RFID-Chips,
auch Tags genannt) gespeicherte Daten berührungslos und ohne
Sichtkontakt an ein Empfangsgerät (oft gekoppelt mit einem
Computer) übermittelt werden. Von herkömmlichen Datenerfassungen unterscheidet sich die RFID-Technik durch die von dem
Betroffenen ggf. nicht initiierte und vielfach auch nicht bemerkte
Datenmeldung. Die RFID-Tags funktionieren nach dem Prinzip
eines Transponders, indem die Tags über elektromagnetische
Wellen angesprochen und ihre Informationen ausgelesen bzw.
von ihnen gesendet werden. Das Lesegerät kann die Informationen mit einer Datenbank verknüpfen, welche sie mit weiteren
Daten zusammenführt235 und ggf. zur weiteren Verarbeitung
wieder auf den RFID-Chip zurück überträgt236. Die Chips sind so
klein, dass sie z.B. auf Konsumgütern untergebracht werden
können, ohne dass ihre Existenz bemerkt wird. Ihre Reichweite
zum Auslesegerät ist jedoch auf Entfernungen im zweistelligen
Meterbereich begrenzt 237.
2.2
Probleme beim Kundendatenschutz
Bereits Anwendung findet die RFID-Technik im Bereich der Logis- 338
tik, indem Waren im Betriebsablauf hinsichtlich Artikelnummer,
Produktherkunft oder Preis identifiziert und bestimmungsgemäß
verteilt werden können. Ein Anwendungsbeispiel bilden auch
Warenhäuser238, wo durch RFID ggf. Kassenpersonal eingespart
werden kann.
235
236
237
238
Zur Funktionsweise und zu den Einsatzmöglichkeiten in Supermärkten vgl.
von Westerholt/Döring, Datenschutzrechtliche Aspekte der Radio Frequency Identification, CR 2004, S. 710.
Zur diesbezüglichen Informationspflicht nach § 6c BDSG vgl. nachstehend
Rdnr. 408 ff.
Vgl. Hansen/Wiese, RFID - Radio Frequency Identification, DuD 2004, S. 109
zu der insoweit unterschiedlich aufwendigen Technik.
Vgl. hierzu die Gesamtbetriebsvereinbarung zum RFID-Einsatz bei der Kaufhof Warenhaus AG, RDV 2005, S. 185.
151
Kapitel IX
Technische Kundenüberwachung
339 Fragen des Kundendatenschutzes treten dann auf, wenn die das
Produkt beschreibenden Daten auch dem Verbraucher zugeschrieben werden können, was z.B. bei unbarer Bezahlung schon
bisher ohne weiteres möglich ist. Wenn Kunde n- und Kreditkarten auch mit entsprechenden RFID-Chips ausgerüstet werden, so
ist zudem - für den Kunden unbemerkt - feststellbar, vor welchen
Regalen mit welchen Waren er länger verweilt hat oder welche
Gegenstände er in die Hand genommen und wieder zurückgelegt
hat. Wird ein in einer Jacke etc. enthaltener Chip nach dem Kauf
nicht entfernt, so kann der Geschäftsinhaber den Kunden bei
seinem nächsten Besuch im Geschäft z.B. auf ein zur Jacke passendes Sonderangebot von Hosen hinweisen oder für die Analyse des Käuferverhaltens feststellen, wie lange der Kunde die
Jacke bereits trägt239.
340 Gekaufte Artikel können so u.U. dauerhaft einem bestimmten
Käufer zugeordnet werden, falls keine Gegenmaßnahmen ergriffen werden.
2.3
Handlungsvorgaben
341 Aus Sicht des Landesbeauftragten für den Datenschutz und das
Recht auf Akteneinsicht Brandenburg 240 muss die Aufmerksamkeit beim RFID-Einsatz der Einhaltung grundlegender datenschutzrechtlicher Prinzipien wie z.B. der Datensparsamkeit,
Zweckbindung und Transparenz gelten. Aus diesem Grund seien
239
240
152
Vgl. 13. Tätigkeitsbericht (2004/2005) der Landesbeauftragten für den Datenschutz und das Recht auf Akteneinsicht Brandenburg, Ziff. 1.2.2: „Eindeutige auf dem RFID-Chip gespeicherte Daten (wie z.B. seine Seriennummer) werden zunächst ohne konkreten Personenbezug erfasst und gespeichert. Wenn man annimmt, dass bestimmte Objekte stets von derselben
Person mitgeführt werden (z.B. Brille, Armbanduhr, Schuhe), lassen sich
über das Auslesen der eindeutigen Identifikatoren der an solchen Objekten
angebrachten Chips Bewegungs- und Konsumprofile des Träger erstellen.
Weiterhin ist auch die spätere Verknüpfung mit konkreten Personendaten
wie Name, Adresse usw. möglich.“
13. Tätigkeitsbericht (2004/2005), Ziff. 1.2.3.
Technische Kundenüberwachung
Kapitel IX
Entwickler und Anwender/Betreiber von RFID-Systemen gefordert, soweit möglich auf die Herstellung eines Personenbezugs in
derartigen Systemen zu verzichten oder geeignete Alternativen
hierfür zu erarbeiten. Sollte sich die Verarbeitung personenbezogener Daten in einem konkreten RFID-System als unverzichtbar
erweisen, so seien insbesondere:
-
betroffene Kunden umfassend über den Einsatz von
RFID-Chips und Lesegeräten, den Umfang und Inhalt
der über sie gespeicherten Daten sowie deren Verwendungszweck zu informieren,
-
jegliche personenbezogene Daten nur solange zu speichern, wie es zur Erreichung des jeweiligen Zwecks erforderlich ist,
-
Verknüpfungen zwischen Daten nur auf Basis einer bestehenden Rechtsgrundlage oder einer informierten
Einwilligung des Betroffenen über die potenzielle Datenverarbeitung vorzunehmen,
-
Möglichkeiten zur Deaktivierung/Löschung von RFIDChips zu schaffen, insbesondere dann, wenn die Chipdaten für die spezifischen Zwecke nicht mehr erforderlich sind,
-
Möglichkeiten zur wirksamen, fallweisen und nutzergesteuerten Blockierung des unbefugten Auslesens von
RFID-Chips zu realisieren und die Betroffenen hierüber
zu informieren,
-
Alternativen zur Nutzung von RFID-Chips vorzusehen
und auch anonymes Kaufen weiterhin zu ermöglichen,
-
die Vertraulichkeit der gespeicherten und übertragenen Informationen durch wirksame Authentifizierung
der beteiligten Systemkomponenten und durch Verschlüsselung sicherzustellen.
153
Kapitel IX
Technische Kundenüberwachung
Weitergehende Informationen und Anregungen für die datenschutzgerechte Gestaltung von RFID-Systemen seien dem Working-Paper 105 der Gruppe nach Artikel 29 EG-Datenschutzrichtlinie zu entnehmen241 .
241
154
Vgl. hierzu http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/
2005/wp105_de.pdf.
Weitergabe von Kundendaten
Kapitel X
Kapitel X: Wann dürfen Kundendaten weitergegeben
werden?
1.
Allgemeines
Es wurde bereits aufgezeigt 242, dass Kundendaten im Rahmen 342
der Erlaubnistatbestände des § 28 Abs. 1 und 3 BDSG auch anderen Unternehmen für Werbezwecke zur Verfügung gestellt werden dürfen. Besondere Vorgaben sind allerdings zu beachten,
wenn diese Unternehmen außerhalb der EU angesiedelt sind.
Keiner Frage bedarf es auch, dass ein Unternehmen die zur Ein- 343
leitung von rechtlichen Schritten gegen säumige Kunden erforderlichen Kundendaten an einen Rechtsanwalt oder das Gericht
übermitteln darf (§ 28 Abs. 1 S. 1 Nr. 2 BDSG). Besonderer datenschutzrechtlicher Betrachtung bedarf jedoch die Einschaltung
von Inkassounternehmen243.
Zudem können zur Anbahnung, Aufrechterhaltung oder Abwick- 344
lung der Kundenbeziehung im Wege sog. Auftragsdatenverarbeitung Dienstleistungen Dritter in Anspruch genommen werden,
denen hierzu ein Zugriff auf Kundendaten gewährt werden muss.
Eine Weitergabe von Kundendaten erfolgt schließlich auch, wenn 345
ein Unternehmen Kunden als Referenz benennt bzw. mit Namen
und/oder Bild in Prospekten und Anzeigen veröffentlicht244.
2.
Inanspruchnahme von Dienstleistern/Auftragsdatenverarbeitung
Zur Verarbeitung von Kundendaten nehmen die Unternehmen 346
vielfach die Unterstützung von Dienstleistern245 im Rahmen einer
242
243
244
245
Vgl. hierzu im Einzelnen vorstehend Rdnr. 126 ff.
Zum Umgang mit säumigen Kunden vgl. nachstehend Rdnr. 368 ff.
Zur Eigenwerbung mit Kundendaten vgl. nachstehend Rdnr. 394 ff.
Zur Pflicht, hierüber zu informieren, vgl. vorstehend Rdnr. 59 ff. und nachfolgend Rdnr. 415.
155
Kapitel X
Weitergabe von Kundendaten
in § 11 BDSG geregelten Auftragsdatenverarbeitung in Anspruch. Dabei kann es etwa um die Erhebung und Speicherung
von Kundendaten durch ein mit dem Kundenkontakt beauftragtes externes Call Center gehen. Oder ein Lettershop bzw. eine
Druckerei werden beauftragt, Werbeschreiben, Prospekte, Zeitschriften oder sonstige Medien direkt an vom Auftraggeber bereitgestellte Kundenadressen auszuliefern. Oder ein Meinungs246
forschungsinstitut soll eine Erhebung zur Kundenzufriedenheit
durchführen.
347 Werden zu derartigen Zwecken dem beauftragten Dienstleister
Kundendaten zur Verfügung gestellt oder gibt der Dienstleister
für den Auftraggeber erhobene Daten an diesen weiter, so steht
diesen Vorgängen das Zulässigkeitsregime des BDSG nicht entgegen, da die Datenflüsse zwischen Auftraggeber und Auftragnehmer vom BDSG nicht dem Vorgang der Datenübermittlung zugeordnet werden. Der Beauftragte wird vielmehr so behandelt, als
ob er Teil des den Auftrag erteilenden Unternehmens wäre.
348 Voraussetzung für diese Privilegierung ist, dass der Auftraggeber
„Herr der Daten“ bzw. Datenverarbeitungen bleibt, d.h., der
Auftragnehmer nur 247 im Rahmen der vom Auftraggeber erteilten Weisungen handelt (§ 11 Abs. 3 BDSG). Diese hat der Auftraggeber in einem schriftlichen Vertrag zu fixieren, wobei u.a.
auch die von dem Auftragnehmer zu treffenden technischen und
organisatorischen Maßnahmen festzulegen sind248.
246
247
248
156
Vgl. hierzu im Einzelnen oben unter Rdnr. 299 ff.
Zu der sowohl zwischen den Aufsichtsbehörden als auch in der Literatur
unterschiedlichen Beurteilung der Zulässigkeit eines dem Auftragnehmer
eingeräumten Ermessenspielraums und zur Abgrenzung der Auftragsdatenverarbeitung von der Funktionsübertragung vgl. etwa Sut schet, Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, S. 97; Kramer/Herrmann, Auftragsdatenverarbeitung, CR 2003, S. 938; Müthlein/Heck, Outsourcing und Datenschutz, 3. Auflage, Frechen 2006, S. 34 ff.
Vertragsmuster und zahlreiche weiterführende Hinweise zur Auftragsdatenverarbeitung finden sich in der GDD-Broschüre „Datenschutz beim Outsourcing“, 2. Auflage, 2006.
Weitergabe von Kundendaten
Kapitel X
§ 11 BDSG (Auszug):
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und
anderer Vorschriften über den Datenschutz verantwortlich.
(...)
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung
der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag
ist schriftlich zu erteilen, wobei die Datenerhebung,
-verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse
festzulegen sind. (...) Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen
und organisatorischen Maßnahmen zu überzeugen.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der
Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Anweisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften des Datenschutzes verstößt, hat er den Auftraggeber unverzüglich
darauf hinzuweisen.
(…)
Die von dem Auftraggeber angewiesenen Erhebungen, Verarbei- 349
tungen oder Nutzungen müssen sich natürlich im Rahmen des
BDSG bewegen. Der Auftraggeber darf dem Auftragnehmer nur
solche Tätigkeiten übertragen, die er ohne Verstoß gegen das
BDSG auch selbst vornehmen könnte.
Die Privilegierung der Weitergabe von Daten im Rahmen einer 350
Auftragsvergabe greift jedoch nicht mehr, wenn die Auftragnehmer in sog. Drittstaaten249 (d.h. Ländern außerhalb der EU)
angesiedelt sind (§ 3 Abs. 8 S. 3 BDSG).
249
Gola/Klug, Grundzüge des Datenschutzrechts, München 2003, S. 61.
157
Kapitel X
Weitergabe von Kundendaten
3.
Weitergabe von Kundendaten an Stellen im Ausland
3.1
Freier Datenfluss innerhalb der EU
351 Sollen Kundendaten an ausländische Stellen, z.B. grenzüber-
schreitend an konzernangehörige Unternehmen weitergeleitet
werden, so ist im Hinblick auf die Zulässigkeit der Weitergabe
zwischen EU- bzw. EWR250-angehörigen Staaten und sog. Drittländern251 zu differenzieren. Erfolgt die Datenweitergabe an eine
Stelle innerhalb der EU respektive des Europäischen Wirtschaftsraums, so ist deren Zulässigkeit an denselben Kriterien festzumachen, wie sie auch für eine Datenweitergabe zwischen zwei in
Deutschland ansässigen Unternehmen gelten.
352 Wenn Kundendaten von einem deutschen Auftraggeber im We-
ge der Auftragsdatenverarbeitung an einen Auftragnehmer mit
Sitz in der EU bzw. dem EWR weitergegeben werden, liegt keine
Datenübermittlung im Sinne von § 3 Abs. 4 Nr. 3 BDSG vor, da
der Auftragnehmer hierbei nicht Dritter ist (§ 3 Abs. 8 S. 3 BDSG).
Befindet sich der Empfänger der Daten jedoch in einem „uns icheren“252 Drittland bedarf es im Regelfall zusätzlicher ausreichender Schutzgarantien.
3.2
Weitergabe in Drittländer
353 Voraussetzung für die Weitergabe von Kundendaten in sog.
Drittländer ist zunächst, dass die entsprechenden Datenübermittlungen innerhalb Deutschlands bzw. der EU zulässig wären.
354 Darüber hinaus gestatten die §§ 4b, 4c BDSG Datenübermittlun-
gen in sog. Drittländer grundsätzlich nur dann, wenn bei dem
Empfänger ein angemessenes Schutzniveau gewährleistet ist,
d.h., keine Datenschutzgefährdungen des Betroffenen dadurch
250
251
252
158
EU-Staaten sowie Norwegen, Island und Liechtenstein.
Vgl. hierzu etwa Räther/Seitz, Übermittlung personenbezogener Daten in
Drittländer, MMR 2002, S. 425.
§ 4b Abs. 2 S. 2 BDSG regelt die Angemessenheit des Schutzniveaus beim
Datenempfänger als grundsätzliche Übermittlungsvoraussetzung.
Weitergabe von Kundendaten
Kapitel X
entstehen, dass seine Daten in ein ggf. „datenschutzloses“ Ausland gelangen 253.
Allein unter den in § 4c Abs. 1 BDSG enumerativ aufgeführten 355
Ausnahmetatbeständen ist die Weitergabe von Kundendaten an
Stellen in Drittländern auch ohne angemessenes Schutzniveau
zulässig. Abgesehen von der Einwilligung254 des Kunden (§ 4c
Abs. 1 S. 1 Nr. 1 BDSG) gestatten § 4c Abs. 1 S. 1 Nr. 2 und 3
BDSG Drittlandtransfers, die im Rahmen von vorvertraglichen
Maßnahmen bzw. zur Vertragsabwicklung erforderlich sind. § 4c
Abs. 1 S. 1 Nr. 2 BDSG ist einschlägig, wenn die vertragliche Leistung bzw. das vorvertragliche Verhältnis die Datenübermittlung
ins Drittland bedingt. Die Vorschrift setzt voraus, dass der Betroffene Vertragspartei ist bzw. dass er die vorvertraglichen Maßnahmen veranlasst hat. Erlaubt ist z.B. die Verarbeitung von Daten zur Ausarbeitung von Angeboten über touristische Leistungen und ggf. zur vorläufigen Reservierung durch ein Reisebüro
auf Wunsch des Betroffenen. Neben internationalen Beförderungsleistungen und der Reservierung von Hotels, Mietwagen
etc. im Drittland kommen auch Datenübermittlungen im Rahmen
des internationalen Zahlungsverkehrs255 und per Versand abgewickelte Kaufverträge als typische Beispiele in Betracht. § 4c
Abs. 1 S. 1 Nr. 3 BDSG betrifft demgegenüber Fälle, in denen die
Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags
erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde bzw.
geschlossen werden soll.
Ist kein Ausnahmetatbestand nach § 4c Abs. 1 BDSG gegeben, 356
setzt die Übermittlung ein angemessenes Schutzniveau beim
Datenempfänger im Drittland voraus (§ 4b Abs. 2 BDSG). Hin253
254
255
Backes/Eul/Guthmann/Martwich/Schmidt, Entscheidungshilfe für die Übermittlung personenbezogener Daten in Drittländer, RDV 2004, S. 156.
Näher hierzu Gola/Klug (Fn. 249), S. 66 ff.
Dammann in: Dammann/Simitis, EG-Datenschutzrichtlinie, Baden-Baden
1997, Art. 26 Erl. 6.
159
Kapitel X
Weitergabe von Kundendaten
sichtlich bestimmter Drittländer hat die EU-Kommission das Vorliegen eines angemessenen Schutzniveaus verbindlich festgestellt 256. Im Übrigen kann das fehlende Datenschutzniveau im
Drittland durch ausreichende Garantien ausgeglichen werden257 .
Hierzu liegen von der EU-Kommission akzeptierte Standardvertragsklauseln vor, welche zum Gegenstand einer zwischen der
übermittelnden und empfangenden Stelle zu Gunsten des Betroffenen zu treffenden Datenschutzvereinbarung zu machen
sind. Daneben kann das notwendige Datenschutzniveau bei ko nzerninternen Übermittlungen durch verbindliche Unternehmensregelungen herbeigeführt werden258 .
4.
Firmenzusammenschlüsse und -verkäufe
357 Ob ein Zusammenschluss von Firmen zur Befugnis des Gesamt-
unternehmens führt, über die gegenseitigen Kundendaten zu
verfügen, hängt entscheidend von der Art des Zusammenschlusses ab.
358 Wird ein Unternehmen z.B. durch Aktienkauf in einen Konzern
eingegliedert, so stellen sich Zugriffe anderer Konzernunternehmen auf dessen Kundendaten als - über eine entsprechende
Rechtsgrundlage zu legitimierende - Datenübermittlungen (§ 3
Abs. 4 Nr. 3b BDSG) dar.
359 Es bleibt dann im Einzelfall zu prüfen, ob ein konkretes aus der
neuen Konzernsituation resultierendes Übermittlungsinteresse
nach § 28 Abs. 1 S. 1 Nr. 2 bzw. Abs. 3 S. 1 Nr. 1 BDSG besteht.
Ggf. kann ein Grund zur Annahme entgegenstehender Interessen
dabei auch durch eine Widerspruchslösung ausgeräumt werden.
Im Übrigen kommt eine Übermittlung im Rahmen des Listenprivi256
257
258
160
Überblick bei Gola/Schomerus (vgl. Fn. 40), § 4b Rdnr. 14.
Vgl. insoweit Räther/Seitz, Ausnahmen bei Datentransfer in Drittstaaten Die beiden Ausnahmen nach § 4c Abs. 2 BDSG: Vertragslösung und Code of
Conduct, MMR 2002, S. 520.
Zu einer mit der Nutzung derartiger Garantien verbundenen Genehmigungspflicht vgl. Gola/Schomerus (vgl. Fn. 40), § 4c Rdnr. 10.
Weitergabe von Kundendaten
Kapitel X
legs (§ 28 Abs. 3 S. 1 Nr. 3 BDSG) in Betracht. Greifen die Erlaubnistatbestände des BDSG nicht - was in der Praxis vielfach der
Fall sein wird - so bedarf der konzerninterne Datenfluss der Einwilligung259.
Soll der von einem Finanzdienstleister bislang durch eigene Bera- 360
ter wahrgenommene Kundendienst nunmehr in einer für alle
Konzernfirmen tätigen neu gegründeten Gesellschaft aufgehen,
so kann dies nach Information der Kunden und Einräumung einer
Widerspruchsmöglichkeit erfolgen. Gleiches gilt für einen Handwerker, der seinen Betrieb verkauft260. Bei einem Arzt, Steuerberater oder Rechtsanwalt darf der Zugriff des Nachfolgers auf die
Patienten-/Klientendaten im Hinblick auf § 203 StGB 261 erst erfolgen, wenn die Zustimmung vorliegt262 .
Kommt es zu einer Fusion, d.h. einer Verschmelzung von Unter- 361
nehmen nach § 2 Umwandlungsgesetz (UmwG), so tritt mit der
entsprechenden Registereintragung Gesamtrechtsnachfolge ein.
Das neue bzw. das eine andere Firma übernehmende Unternehmen tritt in die Verträge mit den Kunden ein. Ob dies auch
dazu führt, dass das übernehmende Unternehmen aus datenschutzrechtlicher Sicht nicht mehr als Dritter anzusehen ist, ist
umstritten 263.
259
260
261
262
263
Vgl. auch die vorstehende Erklärung für den Finanzdienstleistungsbereich,
Rdnr. 134.
Vgl. Gola/Schomerus (vgl. Fn. 40), § 28 Rdnr. 50.
Zu § 203 StGB vgl. Rdnr. 376 f.
BGH, Urteil vom 11.12.1991 - VIII ZR 4/91 -, NJW 1992, S. 737 und Urteil
vom 17.05.1995 - VIII ZR 94/94 -, NJW 1995, S. 2026.
So die Aufsichtsbehörden: XVIII. Tätigkeitsbericht (2005-2006) des Landesbeauftragten für den Datenschutz Niedersachsen, S. 8 ff.; Innenministerium
Baden-Württemberg, Hinweise zum BDSG für die private Wirtschaft Nr. 38,
RDV 2000, S. 83; ferner Dieckmann/Eul/Klevenz, Verhindert der Datenschutz Fusionen? - Fusionen aus der Sicht der betrieblichen Datenschutzbeauftragten, RDV 2000, S. 149; a.A. Wengert/Widmann/Wengert, Bankfusionen und Datenschutz - Eine kritische Betrachtung der Fusionspraxis - RDV
2000, S. 47; Simitis in: Simitis (Fn. 78), § 28 Rdnr. 88.
161
Kapitel X
Weitergabe von Kundendaten
§ 2 UmwG:
Rechtsträger können unter Auflösung ohne Abwicklung verschmolzen werden
1. im Wege der Aufnahme durch Übertragung des Vermögens eines Rechtsträgers oder mehrerer Rechtsträger
(übertragende Rechtsträger) als Ganzes auf einen anderen bestehenden Rechtsträger (übernehmender Rechtsträger) oder
2. im Wege der Neugründung durch Übertragung der
Vermögen zweier oder mehrerer Rechtsträger (übertragende Rechtsträger) jeweils als Ganzes auf einen neuen,
von ihnen dadurch gegründeten Rechtsträger
gegen Gewährung von Anteilen oder Mitgliedschaften des
übernehmenden oder neuen Rechtsträgers an die Anteilsinhaber (Gesellschafter, Partner, Aktionäre oder Mitglieder)
der übertragenden Rechtsträger.
§ 20 UmwG (Auszug):
(1) Die Eintragung der Verschmelzung in das Register des
Sitzes des übernehmenden Rechtsträgers hat folgende Wirkungen:
1. Das Vermögen der übertragenden Rechtsträger geht
einschließlich der Verbindlichkeiten auf den übernehmenden Rechtsträger über.
2. Die übertragenden Rechtsträger erlöschen. Einer besonderen Löschung bedarf es nicht.
3. Die Anteilsinhaber der übertragenden Rechtsträger
werden Anteilsinhaber des übernehmenden Rechtsträgers; (...)
162
Weitergabe von Kundendaten
5.
Kapitel X
Adressenvalidierung
Adressen veralten schnell. Alleine etwa 5 bis 10 % werden pro 362
Jahr durch Umzüge überholt. Gleichwohl soll der Kontakt mit
dem Interessenten bzw. Kunden aufrecht erhalten werden. Dieses Interesse besteht nicht nur im Hinblick auf weitere werbliche
Ansprachen. Eventuell geht es auch darum, noch offene Ansprüche gegenüber dem Kunden durchzusetzen264 .
Um eine Adresse auf ihre Korrektheit zu überprüfen bzw. gegen 363
die neue Anschrift auszutauschen, können z.B. - neben anderen
Direktmarketingunternehmen - die Dienstleistungen der Deutschen Post AG in Anspruch genommen werden. Zur Aktualisierung der Adressen bietet die Deutsche Post AG - zum Teil in Kooperation mit ihr verbundenen Unternehmen wie der Deutschen
Post Direkt GmbH und der Deutschen Post Adress GmbH - diverse Dienste an.
Ein Ziel der Verarbeitung von Adressdaten durch die Deutsche 364
Post AG ist die ihr gesetzlich (§ 7 Abs. 5 Postdienste-Datenschutzverordnung) gestattete Anschriftenprüfung. Auf Ersuchen externer Adressinhaber wird mitgeteilt, ob die von diesen angegebene
Anschrift richtig ist. Im Rahmen des sog. Alt-/Neuabgleichs dürfen Schreibfehler und ähnliche offenbare Unrichtigkeiten bei der
Angabe einer gegenwärtig bestehenden Anschrift berichtigt
werden. Die Mitteilung an den externen Adressinhaber wird im
Auftrag der Deutschen Post AG von der Tochtergesellschaft
Deutsche Post Direkt GmbH vorgenommen.
Weiter wird im Rahmen des Nachsendeverfahrens zur Verhinde- 365
rung der weiteren Aufgabe von Postsendungen an die Altadresse
eine Bekanntgabe der vollständigen Neuadresse an den Absender vorgenommen, wenn bei Erteilung des Nachsendeauftrags
eine entsprechende Einwilligungserklärung abgegeben wurde
oder gesetzliche Auskunftsansprüche bestehen (z.B. Auskunftsanspruch von Gerichten und Behörden auf Mitteilung der aktuel264
Vgl. hierzu unter Rdnr. 368 ff.
163
Kapitel X
Weitergabe von Kundendaten
len Anschrift zu Postzwecken). Der nötige Adressabgleich wird
mit Hilfe der Umzugsdatenbank durchgeführt, die die Deutsche
Post Adress GmbH mit den Informationen aus den Nachsendeaufträgen pflegt.
366 Darüber hinaus führen die Deutsche Post Direkt GmbH und zahl-
reiche Wettbewerber aus dem Kreis der Direktwerbeunternehmen auch Adressdatenbestände, die zur Adressvalidierung herangezogen werden. Diese Referenzdatenbanken beruhen auf
Adressbeständen, welche von Versendern, Buchclubs, Adresshändlern usw. zur eigenen Verwendung auf Grundlage des BDSG
erworben wurden.
367 Eine weitere Möglichkeit, zumindest die Anschrift unbekannt
verzogener Schuldner zu erfahren, ergibt sich aus dem Melderecht265 .
265
164
Vgl. hierzu unter Rdnr. 386 ff.
Der säumige Kunde
Kapitel XI
Kapitel XI: Welche Möglichkeiten bestehen im
Umgang mit säumigen Kunden?
1.
Allgemeines
Kann oder will ein Kunde des Unternehmens eine offene Forde- 368
rung desselben nicht begleichen (z.B. wegen finanzieller Schwierigkeiten), so stellt sich aus Unternehmenssicht die Frage, welche
datenschutzrechtlichen Rahmenbedingungen sich im Hinblick auf
das sog. Forderungsmanagement ergeben. Bedeutsam ist etwa,
inwiefern es zulässig ist, spezialisierte Dienstleistungsunternehmen mit der Betreibung von Forderungen zu betrauen bzw. Forderungen gänzlich zu veräußern.
Häufig wird es in diesem Zusammenhang zudem notwendig, die 369
neuen Adressen unbekannt verzogener Schuldner zu ermitteln.
Von Interesse sind folglich die Anforderungen an entsprechende
Melderegisterauskünfte.
2.
Einschaltung eines Rechtsanwaltes
Keiner Frage bedarf es, dass ein Unternehmen die zur Einleitung 370
von rechtlichen Schritten gegen säumige Kunden erforderlichen
Kundendaten an einen Anwalt oder das Gericht übermitteln darf
(§ 28 Abs. 1 S. 1 Nr. 2 BDSG).
Dies gilt selbst dann, wenn dadurch Daten offenbart werden, die 371
einer besonderen Schweigepflicht nach § 203 Abs. 1 StGB unterliegen, wie z.B. bei gerichtlicher Geltendmachung der Honorarforderung eines Arztes. Denn auch wenn hierbei Einzelheiten des
Patientengeheimnisses an die Öffentlichkeit geraten, muss es
dem Schweigepflichtigen gestattet sein, seine Honorarforderung
gerichtlich durchzusetzen und sich hierbei anwaltlicher Hilfe zu
bedienen, da er ansonsten rechtlos stünde 266.
266
BGH, Urteil vom 05.12.1995 - X ZR 121/93 -, NJW 1996, S. 775.
165
Kapitel XI
Der säumige Kunde
3.
Einschaltung eines Inkassounternehmens
3.1
Auftragsdatenverarbeitung oder Funktionsübertragung
372 Im Rahmen der Aufgabenauslagerung allgemein bzw. in Fällen
der Nichterfüllung ausstehender Forderungen bedienen sich
Unternehmen häufig sog. Inkassobüros, d.h. Dienstleistern, die
sich gewerbsmäßig mit der Einziehung fremder oder zur Einziehung abgetretener Forderungen befassen. Wird die Forderung
abgetreten - wie dies etwa bei den von sog. ärztlichen Verrec hnungsstellen in Rechnung gestellten Arzthonoraren der Fall ist -,
kann die Inkassostelle sie nun im eigenen Namen geltend machen267 . Sonst versucht der Dienstleister, die Forderung im Namen seines Auftraggebers zu realisieren. Beide Fälle setzen die
Weitergabe der für die Geltendmachung der Forderung erforderlichen Daten an das Inkassounternehmen voraus.
373 Soll die Forderung für das Unternehmen eingezogen werden, so
sind zwei verschiedene Konstellationen zu unterscheiden:
374 Handelt es sich um eine Auftragsdatenverarbeitung im Sinne
des § 11 BDSG268 , bedarf die Offenlegung der Kundendaten keiner besonderen Befugnisnorm. Eine Auftragsdatenverarbeitung
kann insbesondere dann angenommen werden, wenn lediglich
der Versand standardisierter Mahnschreiben und die Überwachung eines möglichen Zahlungseingangs übertragen ist269.
375 Andernfalls - und das ist wohl in der Praxis der Regelfall - liegt
eine sog. Funktionsübertragung und damit eine besonders zu
legitimierende Datenübermittlung vor. Eine derartige Übermittlung wird sich regelmäßig über § 28 Abs. 1 S. 1 Nr. 2 BDSG (Wahrung berechtigter Interessen der verantwortlichen Stelle) recht267
268
269
166
Zur Abtretung von Forderungen vgl. Rdnr. 381 ff.
Vgl. vorstehend Rdnr. 346 ff.
Zur Abgrenzung der Auftragsdatenverarbeitung von der Funktionsübertragung bei der Inanspruchnahme von Leistungen eines Inkassobüros vgl. die
umfassenden Ausführungen im Jahresbericht 1998 des Berliner Datenschutzbeauftragten, 3.3. „Die ungeahnten Folgen eines fehlenden Fahrscheins“, S. 44 ff.
Der säumige Kunde
Kapitel XI
fertigen lassen. Ein Unternehmen muss grundsätzlich das Recht
haben, bestehende Forderungen, die der Betroffene trotz mehrerer Mahnungen nicht bezahlt hat, mit Hilfe eines Inkassounternehmens einziehen zu lassen. Ein Überwiegen der schutzwürdigen Interessen der Betroffenen am Ausschluss der Übermittlung kann sich aber möglicherweise dann ergeben, wenn die
Daten von dem Inkassounternehmen seinerseits an ein anderes
Unternehmen weitergegeben werden270 .
3.2
Einschaltung von Inkassounternehmen bei Bestehen einer besonderen Schweigepflicht (§ 203 StGB)
Besteht eine besondere Schweigepflicht nach § 203 StGB, so 376
setzt die Weitergabe der Forderung an ein Inkassounternehmen
eine Einwilligung des Betroffenen voraus - und zwar gleichgültig,
ob das Inkassounternehmen als Auftragsdatenverarbeiter oder
im Wege der Funktionsübertragung tätig wird 271.
Nach § 203 Abs. 1 StGB wird derjenige, der unbefugt ein fremdes 377
Geheimnis, namentlich ein zum persönlichen Lebensbereich
gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm u.a. als
270
271
-
Arzt, Zahnarzt oder Apotheker,
-
Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,
-
Rechtsanwalt, Notar, Wirtschaftsprüfer, vereidigtem
Buchprüfer oder Steuerberater,
Jahresbericht 1998 des Berliner Datenschutzbeauftragten, S. 47 f. Hinsichtlich der Einschaltung von Inkassounternehmen durch Berufsgeheimnisträger vgl. Innenministerium Baden-Württemberg, Hinweis zum BDSG Nr. 40,
Teil C (abgedruckt in RDV 2002, 148 ff.; im Internet bereitgestellt unter
www.im.bwl.de) sowie ULD, Zur datenschutzrechtlichen Zulässigkeit der
Einschaltung von externen Inkassounternehmen zur Eintreibung von Forderungen der Krankenhäuser aus Behandlungsverträgen (im Internet unter
https://www.datenschutzzentrum.de/medizin/krankenh/inkasso.htm).
Vgl. hierzu auch die Ausführungen zur Abtretung unter Rdnr. 381 ff.
167
Kapitel XI
-
Der säumige Kunde
Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen Verrechnungsstelle
anvertraut worden oder sonst bekannt geworden ist, wird mit
Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
3.3
Das Eintreibungsverfahren
378 Inkassobüros werden ggf. auch eingeschaltet, da sich der Gläubi-
ger von diesen „mehr Druck“ für die Durchsetzung seiner Forderung verspricht. Zu beachten ist jedoch, dass dieser Druck nicht
zu einer - strafbaren (§ 240 StGB) - Nötigung ausarten darf. Ein
Schuldner, der zur Abgabe einer Willenserklärung (z.B. Abtretung
des Lohnanspruchs) widerrechtlich durch Drohung bestimmt
worden ist, kann diese Erklärung anfechten (§ 123 Abs. 1 BGB).
379 Unzulässig ist es auch, den Schuldner mit einer datenschutzwi-
drigen Offenlegung seiner Schuldnerdaten zu nötigen. Der Gläubiger hat bestehende Zahlungsrückstände grundsätzlich vertraulich zu behandeln. So dürfte etwa ein Tierarzt in seinem Warteraum keine Schuldnerliste aushängen272 . Keinesfalls kommt die
Veröffentlichung von Schuldnerdaten im Internet in Betracht273 .
Ebenfalls wäre es unzulässig, die ausstehende Forderung dadurch zu offenbaren, dass die Mahnung per Postkarte oder durch
einen vollautomatisierten Mahnanruf erfolgt.
380 Als zudem wettbewerbswidrig zu bewerten wäre es, säumige
Kunden auf Schritt und Tritt von einem mit schwarzen Anzug,
Melone und Fliege bekleideten „schwarzen Mann“ verfolgen zu
lassen274.
272
273
274
168
19. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz
im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden
(2005), LT-Drs. 16/5892, Ziff. 10.1, S. 22.
Vgl. Landesbeauftragte für Datenschutz und Informationsfreiheit NRW,
15. Datenschutzbericht (2001), Ziff. 16.1.3, S. 134.
LG Leipzig, Urteil vom 31.08.1994 - 6 O 4342/94 -, NJW 1995, S. 3190; LG
Köln, Beschluss vom 25.07.1994 - 81 O 114/94.
Der säumige Kunde
4.
Kapitel XI
Verkauf bzw. Abtretung „unsicherer“ Forderungen
Auf Seiten des Abtretungsempfängers (Zessionars) setzt eine 381
Forderungsabtretung die Kenntnis der betreffenden Schuldnerdaten voraus. Ist in dem Vertrag zwischen dem Schuldner und
dem Abtretenden (Zedenten) die Möglichkeit der Zession entsprechend geregelt, so kann die damit einhergehende Datenübermittlung auf Basis von § 28 Abs. 1 S. 1 Nr. 1 BDSG (Vertrag
bzw. vertragsähnliches Vertrauensverhältnis) zulässig sein.
Im Übrigen kann die Weitergabe der notwendigen Informationen 382
nach § 28 Abs. 1 S. 1 Nr. 2 BDSG (Übermittlung im berechtigten
Interesse der verantwortlichen Stelle) zulässig sein, wenn man
davon ausgeht, dass mit der Datenübermittlung primär dem
Interesse des Zedenten an der Forderungsverwertung Rechnung
getragen wird275, bzw. nach § 28 Abs. 3 S. 1 Nr. 1 BDSG (Übermittlung im berechtigten Interesse eines Dritten), wenn man
vorwiegend auf die Interessen des Zessionars abstellt276 .
Nach beiden vorgenannten Regelungen ist eine Abwägung zwi- 383
schen berechtigten und schutzwürdigen Interessen erforderlich.
Insoweit ist zunächst festzustellen, dass ein berechtigtes Interesse des Zedenten bzw. Zessionars nur dann in Betracht kommen
kann, wenn die Abtretung rechtmäßig ist. Besteht etwa ein vertragliches oder gesetzliches Abtretungsverbot, scheidet die Annahme eines berechtigten Interesses von vornherein aus. Im
Übrigen muss das schutzwürdige Interesse des Schuldners daran,
dass kein außerhalb des Vertrages stehender Dritter Kenntnis
seiner Vertragsdaten erhält, jedenfalls dann zurücktreten, wenn
dem Schuldner auf Grund einer von ihm zu verantwortenden
Vertragsstörung zugemutet werden kann, dass sich der Vertragspartner der Forderung durch Verkauf entledigt277.
275
276
277
So das ULD im „Fallbeispiel: Datenschutzrechtliche Bewertung zum Verkauf
von Darlehen an Unternehmen im Ausland“. Das Dokument findet sich unter https://www.datenschutzzentrum.de/wirtschaft/praxis/20070208.htm.
So Simitis in: Simitis (vgl. Fn. 78), § 28 Rdnr. 210.
Vgl. ULD, a.a.O.
169
Kapitel XI
Der säumige Kunde
384 Bezüglich der Abtretung von Darlehensforderungen eines Kredit-
instituts hat der Bundesgerichtshof nunmehr jüngst entschieden,
dass weder das Bankgeheimnis noch das Bundesdatenschutzgesetz deren Wirksamkeit entgegenstehe 278. Zwar könne die aus
dem Bankgeheimnis folgende Verschwiegenheitspflicht mit der
Auskunftspflicht des Zedenten nach § 402 BGB in Konflikt geraten. Dies könne aber lediglich zu einer Schadensersatzpflicht auf
schuldrechtlicher Ebene führen, lasse jedoch die dingliche Wirksamkeit der Forderungsabtretung unberührt. Auch die Regelungen des BDSG wirkten sich insofern nicht aus. Zum einen sei man
der Ansicht, dass § 134 BGB bei einer gegen Vorgaben des BDSG
verstoßenden Abtretung nicht anwendbar sei, so das Gericht.
Zum anderen gelangten die Vorschriften des BDSG im Verhältnis
zum Bankgeheimnis nur dann zur Anwendung, wenn eine Frage
auf Grund des Bankgeheimnisses nicht abschließend beurteilt
werden könne.
385 Eine Unwirksamkeit der Abtretung ist allerdings dann gegeben,
wenn Honorarforderungen von Ärzten, Rechtsanwälten, Steuerberatern oder sonstigen in § 203 Abs. 1 StGB genannten Personenkreisen betroffen sind, da die letztgenannte Regelung ein
gesetzliches Verbot im Sinne von § 134 BGB darstellt 279.
5.
Auskunftsersuchen bei Meldeämtern
386 Die gesetzliche Grundlage für die Übermittlung von Daten aus
dem Melderegister und damit für die Melderegisterauskunft an
Dritte bilden das Melderechtsrahmengesetz (MRRG) in den
§§ 17 bis 22 sowie die jeweiligen Landesmeldegesetze.
387 Die einfache Melderegisterauskunft (§ 21 Abs. 1 MRRG) bezieht
sich auf Vor- und Familiennamen, Doktorgrad und Anschriften
278
279
170
BGH, Urteil vom 27.02.2007 - XI ZR 195/05 -, RDV 2007, S. 118.
Vgl. BGH, Urteil vom 10.07.1991 - VIII ZR 296/90 -, NJW 1991, S. 2955 (Arzt)
sowie Urteil vom 25.03.1993 - IX ZR 192/92 -, NJW 1993, S. 1638 (Rechtsanwalt).
Der säumige Kunde
Kapitel XI
einzelner bestimmter Einwohner (Abs. 1 S. 1) oder einer Vielzahl
namentlich bezeichneter Bewohner (Abs. 1 S. 2). Abgesehen von
den von Amts wegen zu beachtenden Ausschlussgründen der
§ 21 Abs. 5 und 7 MRRG sowie den nach § 6 MRRG zu beachtenden schutzwürdigen Interessen des Betroffenen, ist die einfache
Melderegisterauskunft von keinerlei Voraussetzungen abhängig.
Werden zusätzlich Angaben über frühere Vor- und Familienna- 388
men, Geburtstag und -ort, gesetzliche Vertreter, Staatsangehörigkeiten, frühere Anschriften, Ein- und Auszugstermine, Familienstand, Vor- und Nachname des Ehegatten bzw. Lebenspartners oder Sterbetag und -ort benötigt, können diese Angaben
nur mittels einer erweiterten Melderegisterauskunft (§ 21
Abs. 2 MRRG) erlangt werden. Die wichtigste Voraussetzung für
die Erteilung einer erweiterten Auskunft ist die Glaubhaftmachung eines berechtigten Interesses.
Das Vorliegen eines berechtigten Interesses ist insbesondere 389
dann anzunehmen, wenn der Auskunftssuchende die erbetenen
Daten zur Rechtsverfolgung (Klageerhebung) oder Rechtsvertei280
digung benötigt . Auch vorvertragliche Beziehungen können zu
einem berechtigten Interesse führen. So fragen bei den Meldebehörden häufig (zukünftige) Gläubiger bzw. Auskunfteien im
Hinblick auf frühere Anschriften an. Ziel ist die Vornahme von
Recherchen am früheren Wohnort, z.B. durch Einsicht in das bei
den Amtsgerichten geführte Schuldnerverzeichnis.
Die Recherchen bei den Meldeämtern erweisen sich zum Teil als 390
sehr mühsam und zeitraubend. So muss das nachforschende
Unternehmen zunächst einmal das jeweils zuständige Einwohnermeldeamt ermitteln. Hinzu kommt, dass die Gebühren und
Zahlungsmodalitäten bei den Ämtern bundesweit sehr unterschiedlich geregelt sind. Die Adressermittlung bei den Meldeämtern wird daher inzwischen auch von spezialisierten Dienstleis280
Zum gesamten Absatz vgl. Medert/Süßmuth, Melderecht des Bundes und
der Länder, Loseblatt-Kommentar, § 21 MRRG Rdnr. 31 ff. (Stand: 21. Lieferung, Juni 2004).
171
Kapitel XI
Der säumige Kunde
tungsunternehmen übernommen. Speichert der Dienstleister
zuvor eingeholte einfache Melderegisterauskünfte, um später
auf Basis der gespeicherten Datensätze Auskünfte an Anfragende
erteilen zu können, ist seine Dienstleistung nicht mehr als Auftragsdatenverarbeitung gemäß § 11 BDSG anzusehen, sondern
als Auskunftstätigkeit nach § 29 BDSG zu beurteilen281.
391 Der Aufbau eines Internetservices zur transeuropäischen Adress-
ermittlung und Adressverifizierung ist das Ziel von RISER
(Registry Information Service on European Residents)282. Der
Service soll Unternehmen, Bürgerinnen und Bürgern über ein
mehrsprachiges Web-Portal die Abfrage offizieller Adressinformationen bei den unterschiedlichen europäischen Registern
ermöglichen.
6.
Recherchen durch Detektive
392 Neben der klassischen Adressermittlung über die Einwohner283
meldeämter oder die Post bieten u.a. auch Inkassobüros detektivische Ermittlungen nach den gesuchten Schuldnern an.
393 Derartige Datenerhebungen bei Dritten können nach dem BDSG
zulässig sein. In Betracht kommen auch Anfragen beim Arbeitgeber des Schuldners, soweit dieser bekannt ist. Schutzwürdige
Interessen des Arbeitnehmers müssen insofern zumeist zurücktreten, soweit ein rechtskräftiger Vollstreckungstitel besteht284 .
Im Übrigen wird ein Arbeitgeber im Rahmen seiner Fürsorgepflicht bei fehlender Einwilligung des Arbeitnehmers jedoch in
der Regel von der Auskunftserteilung absehen müssen.
281
282
283
284
172
Hierzu sowie zu den daraus resultierenden Konsequenzen: 18. Bericht der
Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden (2004), LT-Drs.
16/4752, S. 19 f.
Zu Riser vgl. https://www.datenschutzzentrum.de/riser/projekt.htm.
Vgl. hierzu Rdnr. 362 ff.
ULD, 29. Tätigkeitsbericht 2007, Ziff. 5.10, S. 94 f.
Eigenwerbung mit Kundendaten
Kapitel XII
Kapitel XII: Eigenwerbung mit Kundendaten
1.
Allgemeines
Soll auf dem Werbeprospekt des Hotels das Haus nicht leer, son- 394
dern bevölkert mit Gästen erscheinen, will eine Boutique mit der
bei ihr einkaufenden prominenten Kundschaft werben oder sollen etwa Dankschreiben zufriedener Kunden zu Marketingzwecken genutzt werden, so ergibt sich die Frage, unter welchen
rechtlichen Bedingungen dies möglich ist.
Die Veröffentlichung von Kundendaten ist als Sonderfall einer 395
Übermittlung285 an den Zulässigkeitstatbeständen des BDSG zu
messen, wenn die Daten aus einer dateigebundenen oder automatisierten Verarbeitung stammen 286. Für die Veröffentlichung
von Bildern sind zudem die vorrangigen Regelungen des Kunsturhebergesetzes maßgebend.
2.
Verwendung von Kundenbildern zu Werbezwecken
Sollen Kundenbilder zu Werbezwecken eingesetzt werden, so 396
sind die im Kunsturhebergesetz (KunstUrhG) 287 enthaltenen speziellen Regelungen zum Schutz des Rechtes am eigenen Bild zu
beachten.
Demnach dürfen Bildnisse des Kunden grundsätzlich nur mit 397
dessen Einwilligung288 verbreitet oder öffentlich zur Schau gestellt werden, wobei eine Einwilligung im Zweifel als erteilt gilt,
285
286
287
288
Vgl. Gola/Schomerus (vgl. Fn. 40), § 3 Rdnr. 33.
Vgl. vorstehend Rdnr. 15.
Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und
der Photographie vom 09.01.1907 (RGBl. S. 7), zuletzt geändert durch Gesetz vom 16.02.2001 (BGBl. I S. 266).
Verstöße begründen ggf. einen Schmerzensgeldanspruch, vgl. AG Nürnberg
(Urteil vom 20.08.1999 - 14 C 8040/98 -, ZUM-RD 2000, 204) zur Zahlung
eines Schmerzensgeldes, weil eine Partnervermittlungsagentur das Foto einer Kundin unerlaubt in einer Kontaktanzeige eingesetzt hatte.
173
Kapitel XII
Eigenwerbung mit Kundendaten
wenn der Kunde dafür, dass er sich abbilden ließ, ein Entgelt
erhalten hat.
KunstUrhG
§ 22: Bildnisse dürfen nur mit Einwilligung des Abgebildeten
verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt.
§ 23: (1) Ohne die nach § 22 erforderliche Einwilligung dürfen
verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der Zeitgeschichte;
2. Bilder, auf denen die Personen nur als Beiwerk neben einer
Landschaft oder sonstigen Örtlichkeit erscheinen;
(...).
(2) Die Befugnis erstreckt sich jedoch nicht auf eine Verbreitung und Schaustellung, durch die ein berechtigtes Interesse
des Abgebildeten oder, falls dieser verstorben ist, seiner Angehörigen verletzt wird.
398 Nach § 23 Abs. 1 Nr. 2 KunstUrhG dürfen Bilder, auf denen die
Personen nur als Beiwerk neben einer Landschaft oder einer
sonstigen Örtlichkeit - also auch als Kunden im Verkaufsraum
eines Warenhauses - erscheinen, ohne Einwilligung des Betroffenen verbreitet und zur Schau gestellt werden, falls hierdurch kein
berechtigtes Interesse des Abgebildeten289 verletzt wird. Dies
setzt nicht notwendigerweise voraus, dass die betreffenden Personen nicht mehr erkennbar sind. Entscheidend ist, dass das Bild
durch die abgebildete Landschaft bzw. Örtlichkeit und nicht
289
174
So entschied etwa das OLG Oldenburg (GRUR 1986, S. 464 ff.), dass der
Betroffene die Abbildung auf dem Werbeplakat einer politischen Partei
selbst dann von seiner Zustimmung abhängig machen darf, wenn er nur als
Beiwerk im Sinne des § 23 Abs. 1 Nr. 2 KunstUrhG erscheint.
Eigenwerbung mit Kundendaten
Kapitel XII
durch die Personenabbildung geprägt ist. Die Personenabbildung
muss somit derart untergeordnet sein, dass sie auch entfallen
oder ausgetauscht werden könnte, ohne das Gegenstand und
Charakter des Bildes sich veränderten.
Ohne Einwilligung verbreitet und zur Schau gestellt werden dür- 399
fen ferner Bildnisse von Personen der Zeitgeschichte (§ 23 Abs. 1
Nr. 1 KunstUrhG). Voraussetzung ist allerdings ein berechtigtes
Informationsbedürfnis der Allgemeinheit290. Die Bilder von Prominenten zu Werbezwecken einzusetzen, wird daher regelmäßig 291 nicht durch § 23 Abs. 1 Nr. 1 KunstUrhG gedeckt sein.
Vielmehr ist eine Einwilligung erforderlich. Für eine Einwilligung
im Sinne des § 22 KunstUrhG ist keine bestimmte Form vorgeschrieben, so dass eine Einwilligung grundsätzlich auch konkludent (d.h. durch schlüssiges Verhalten) erfolgen kann. Eine konkludente Einwilligung kann sich etwa daraus ergeben, dass jemand in Kenntnis des Verwendungszwecks der Bilder bewusst
für den Fotographen posiert hat.
3.
Übertragung von Kundenbildern im Internet
Diskotheken, Restaurants, Modeboutiquen etc. setzen im Rah- 400
men ihrer Marketingkonzepte inzwischen häufig auch auf eine
Live-Übertragung ihres „Geschäftsbetriebs“ im Internet (Webcams). Problematisch ist in diesem Zusammenhang insbesondere
die weltweite Verbreitung der Bilder und deren nahezu unbegrenzbare Verfügbarkeit für den Internet-Nutzer bei Entfallen
290
291
Vgl. zum Fehlen dieses Interesses die sog. „Paul Dahlke“-Entscheidung des
BGH (BGHZ 20, S. 345 ff.), bei der eine Aufnahme des Schauspielers auf einem Motorroller, die im Rahmen einer „Homestory“ erstellt worden war,
von der Motorrollerfirma ohne Einwilligung zu Werbezwecken veröffentlicht wurde.
Bejaht wurde das Informationsinteresse für die Abbildung des Tennisspielers Boris Becker in Schlagstellung auf dem Einband eines Tennislehrbuchs,
das eine individuelle Lernmethode vermittelt, die sich an den verschiedenen Techniken bekannter Spieler orientiert (OLG Frankfurt, AfP 1988,
S. 62 ff.).
175
Kapitel XII
Eigenwerbung mit Kundendaten
jeglicher Kontroll- und Löschungsmöglichkeiten.
401 Jedenfalls in den Fällen, in denen die Kunden derart erfasst wer-
den, dass sie erkennbar sind, muss die Übertragung daher für sie
rechtzeitig kenntlich gemacht werden292. Ob dem Kunden auch
das Recht eingeräumt werden muss, die Diskothek oder das Ladenlokal zu betreten, ohne gefilmt zu werden, erscheint fraglich 293.
402 Als Werbemaßnahme bieten einige Unternehmen über ihre In-
ternetseiten auch eine Art Ortsbesichtigung der Umgebung ihrer
Geschäftsräume an 294. Auch hier gilt, dass derartige Verfahren
- schon mangels der Möglichkeit der Einholung der Einwilligung
der Betroffenen - nur zulässig sind, wenn durch eine entsprechend „unscharfe“ Einstellung der Kamera der sensible Nahbereich nicht personenbezogen erfasst wird.
4.
Sonstige Formen der Werbung mit Kundendaten
403 Sollen Kunden anderen Kunden als Referenz benannt oder Dank-
schreiben von Kunden veröffentlicht werden, so könnte sich im
Geltungsbereich des BDSG die Befugnis hierzu im Rahmen einer
Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG ergeben.
Es ist aber anzunehmen, dass das schutzwürdige Interesse des
Betroffenen am Ausschluss der Übermittlung die berechtigten
Interessen der verantwortlichen Stelle an derselben regelmäßig
292
293
294
176
19. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz
im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden,
LT-Drs. 16/5892, 14.3 „Live-Übertragungen“ aus einer Modeboutique, wo
zusätzlich auch auf die Bedenken eingegangen wird, welche sich aus Sicht
des Arbeitnehmerdatenschutzes gegen Webcams in Ladenlokalen ergeben.
So offenbar die Hessische Datenschutzaufsicht für den nicht öffentlichen
Bereich, a.a.O.
19. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz
im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden,
LT-Drs. 16/5892, 14.2 Interaktive Webcam sowie ULD, 29. Tätigkeitsbericht
(2007), S. 89 zu einer dazu noch unmittelbar vor der Dienststelle des ULD
stattfindenden Übertragung aus der Fußgängerzone.
Eigenwerbung mit Kundendaten
Kapitel XII
überwiegen wird. Denn mit der Weitergabe der personenbezogenen Daten können für den Kunden erhebliche Beeinträchtigungen einhergehen (z.B. Belästigung durch Nachfragen Dritter,
Aufhebung der Anonymität, eventuell eine Offenbarung sensibler Daten).
Die dann erforderliche Einwilligung setzt eine dezidierte Infor- 404
mation des Betroffenen darüber voraus, welche der über ihn
vorhandenen Daten im Rahmen welcher konkreten Werbeaktion
genutzt werden sollen 295. So geht z.B. mit der Veröffentlichung
von Angaben im Internet auf Grund von seiner Reichweite eine
gänzlich andere Beeinträchtigung der Persönlichkeitsrechte einher als mit der Veröffentlichung in einem Werbe-Flyer.
Formulierungsbeispiel:
„Hiermit erkläre ich mein Einverständnis, auf der Homepage
der Firma XY AG als Referenzkunde genannt zu werden. Das
Einverständnis bezieht sich auf die Angabe des Namens und
der Kundeneigenschaft. Weitergehende Angaben, z.B. zu meiner Zufriedenheit mit den Produkten der Firma XY AG, werden
nicht erfolgen.
Diese Erklärung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.“
Im Hinblick auf Kundendankschreiben ergibt sich die Frage, in- 405
wieweit in der Einsendung eines derartigen Schreibens zugleich
eine konkludente, d.h. schlüssige Einwilligung in die Veröffentlichung desselben gesehen werden kann. Dies wird regelmäßig
nicht der Fall sein. Aus dem Wunsch, einem bestimmten Unternehmen seine Anerkennung auszusprechen, kann nicht zwangsläufig geschlossen werden, dass das Unternehmen auch berechtigt sein soll, das Schreiben werbewirksam einzusetzen. Eine
295
Zum Widerruf einer Einwilligung in die Veröffentlichung von Filmaufnahmen vgl. LG Hamburg, Urteil vom 21.01.2005 - 324 O 448/04 -, RDV 2006,
S. 77.
177
Kapitel XII
Eigenwerbung mit Kundendaten
konkludente Einwilligung durch das Dankschreiben wird nur
dann angenommen werden können, wenn sich aus demselben
über den Umstand der Danksagung und Anerkennung hinaus
besondere Anhaltspunkte für eine Zustimmung zur Veröffentlichung ergeben. In Zweifelsfällen sollte beim Kunden entsprechend nachgefragt werden.
178
Rechte der Betroffenen
Kapitel XIII
Kapitel XIII: Welche Rechte kann der Betroffene geltend machen?
1.
Unabdingbare Rechtspositionen
Zu den grundlegenden und ausdrücklich als unabdingbar be- 406
zeichneten Rechten des Betroffenen zählt das BDSG in § 6 Abs. 1
das Recht auf Auskunft sowie die Korrekturrechte (Berichtigung,
Löschung, Sperrung). Diese Rechte stehen in unmittelbarem Zusammenhang zueinander. Nur, wenn der Betroffene weiß, wer
welche Daten zu welchen Zwecken verarbeitet, kann er sich dagegen wehren, dass unzulässige oder unrichtige Verarbeitungen
erfolgen. Die für die Wahrnehmung seiner Rechte erforderliche
Transparenz wird aber nicht nur durch das Recht auf Auskunft,
sondern auch durch vorgelagerte Informationspflichten sichergestellt.
2.
Transparenzrechte
2.1
Information bei der Direkterhebung
Transparenz hinsichtlich der Verarbeitung ihn betreffender Da- 407
ten wird dem Kunden zunächst dadurch geschaffen, dass die
Daten in der Regel bei ihm selbst und nicht hinter seinem Rücken
erhoben werden sollen (Direkterhebungsgrundsatz) und dass
ihm dabei offen zu legen ist, wer die Daten für welche Zwecke
verarbeitet (§ 4 Abs. 2 und 3 BDSG)296.
2.2
Information beim Einsatz von mobilen Speichermedien
In § 6c BDSG sind besondere Informationspflichten gegenüber 408
dem Kunden für diejenigen Fälle geregelt, in denen an ihn sog.
mobile personenbezogene Speicher- und Verarbeitungsmedien
ausgegeben werden.
296
Vgl. vorstehend Rdnr. 47 ff.
179
Kapitel XIII
Rechte der Betroffenen
6c BDSG:
(1) Die Stelle, die ein mobiles personenbezogenes Speicherund Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das
ganz oder teilweise auf einem solchen Medium abläuft, auf
das Medium aufbringt, ändert oder hierzu bereithält, muss
den Betroffenen
1. über ihre Identität und Anschrift,
2. in allgemein verständlicher Form über die Funktionsweise
des Mediums einschließlich der Art der zu verarbeitenden
personenbezogenen Daten,
3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und
35 ausüben kann, und
4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen
unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat.
(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu
tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem
Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.
(3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein.
409 Mobile personenbezogene Speicher- und Verarbeitungsmedien
sind Datenträger, auf denen personenbezogene Daten über die
Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und bei denen der
Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann (§ 3 Abs. 10 BDSG). Ein Hauptbeispiel
für derartige Medien sind sog. Smart Cards. Aber auch die Tech180
Rechte der Betroffenen
Kapitel XIII
nologie der leistungsfähigeren, der sog. „intelligenten“ RFIDChips unterscheidet sich insofern kaum noch297 .
Die Informationspflicht aus § 6c Abs. 3 BDSG greift nicht nur, 410
wenn der Kunde den Datenverarbeitungsvorgang selbst beeinflusst - z.B. durch Eingabe in ein Lesegerät -, sondern sie greift
auch bzw. erst recht, wenn die Verarbeitung ohne eigenes aktives Handeln geschieht. § 6c Abs. 3 BDSG verpflichtet gerade
dann zur eindeutigen Transparenz gegenüber dem Kunden.
2.3
Benachrichtigung
Werden Daten anderweitig, z.B. bei Dritten, aus allgemein zu- 411
gänglichen Quellen, durch eigene Beobachtungen etc. erhoben,
so sieht das BDSG in § 33 Abs. 1 die Verpflichtung des Unternehmens vor, den Betroffenen über die Speicherung zu benachrichtigen, d.h. ihm eine Information über die Art der Daten, die
Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung
und die Identität der verantwortlichen Stelle zukommen zu lassen.
Die Benachrichtigungspflicht besteht grundsätzlich nur einmal 412
und zwar bei Datenverarbeitungen für eigene Zwecke bei der
erstmaligen298 Speicherung und bei Adresshändlern und sonstigen die Daten zum Zwecke der Übermittlung speichernden Stellen bei der ersten Übermittlung.
Erwirbt ein Direktmarketingunternehmen beispielsweise Adres- 413
sen über Besucher von Campingmessen, um sie Herstellern von
Campingartikeln zur Verfügung zu stellen, so entsteht die Benachrichtigungspflicht bei der erstmaligen Übermittlung (Verkauf/Vermietung) der Daten.
297
298
Zum Einsatz von RFID-Chips vgl. auch Rdnr. 337 ff. Dazu inwieweit - abhängig von der jeweiligen Ausgestaltung des RFID-Chips - § 6c BDSG zum Tragen kommt: Lahner, Anwendung des § 6c BDSG auf RFID, DuD 2004, S. 723;
Hornung, RFID und datenschutzrechtliche Transparenz, MMR 5/2006, S. XX.
Vgl. jedoch auch bei Gola/Schomerus (vgl. Fn. 40), § 33 Rdnr. 16 f.
181
Kapitel XIII
Rechte der Betroffenen
Formulierungsbeispiel:
Wir (oder: die XY-GmbH) speichern Ihre Adressdaten in einer
Datei über Campinginteressenten, um sie namhaften Unternehmen und Institutionen zur Verfügung zu stellen, damit diese Ihnen Angebote und Informationen zukommen lassen können.
414 Dem Empfängerunternehmen, das die Campinginteressentenda-
ten neu speichert, obliegt nunmehr ebenfalls die Verpflichtung,
den Betroffenen hierüber zu informieren299 . Die Informationsverpflichtung bezieht sich auch auf die Art der Daten, d.h., anzugeben ist auch, wenn andere als die reinen Adressdaten gespeichert sind. Handelt es sich z.B. um Adressen von Inhabern
einer bestimmten Berufsgruppe, ist auch dieses mitzuteilen. Die
Mitteilung kann ggf. zusammen mit der ersten werblichen Ansprache erfolgen und zwar am besten verbunden mit der Bele hrung über das Widerspruchsrecht (§ 28 Abs. 4 S. 2 BDSG) 300. Die
Information muss jedoch in einer Weise erfolgen, dass sie ins
Auge fällt und nicht z.B. im Kleingedruckten eines Katalogs untergeht.
Formulierungsbeispiel:
Wir haben Sie in unsere Interessentendatei aufgenommen, in
der Adressen und Berufsangaben gespeichert sind. Wenn Sie
an Informationen über aktuelle Angebote unseres Hauses nicht
bzw. nicht mehr interessiert sein sollten, bitten wir um eine
entsprechende Mitteilung, der wir selbstverständlich Rechnung
tragen werden.
299
300
182
Erfolgt die Übermittlung durch die Bereitstellung von Adressaufklebern zur
einmaligen Nutzung, so wird die an sich bestehende Benachrichtigungspflicht mit Absenden des Briefes obsolet, weil damit eine Speicherung, über
die zu benachrichtigen wäre, entfallen ist. Vgl. Gola/Schomerus (vgl.
Fn. 40), § 33 Rdnr. 10.
Vgl. zum Werbewiderspruch vorstehend unter Rdnr. 166 ff.
Rechte der Betroffenen
Kapitel XIII
Werden die Daten auch Dritten zur Verfügung gestellt oder wer- 415
den Auftragsdatenverarbeiter eingeschaltet, ist der Empfänger
bzw. sind zumindest die Kategorien der Empfänger mitzuteilen.
Formulierungsbeispiel:
Der X-Verlag speichert Ihre Adressdaten für eigene Informationszwecke und ermöglicht es Unternehmen der X-Verlagsgruppe, Ihnen Informationen über ihre Produkte zukommen zu lassen. Bei der technischen Durchführung der genannten Zwecke
sind teilweise externe Dienstleister eingeschaltet.
Wird der Versand der Werbebotschaft im Rahmen eines sog. 416
Lettershopverfahrens durchgeführt, wird dadurch keine gesonderte Benachrichtigungspflicht ausgelöst. Der Adressat des Briefes muss aber ggf. über den Eigner der genutzten Daten informiert werden, um dort sein Widerspruchsrecht nach § 28 Abs. 4
BDSG ausüben zu können.
Von der Verpflichtung zur Benachrichtigung gibt es umfangreiche 417
Ausnahmen (§ 33 Abs. 2 BDSG). So entfällt die Benachrichtigungspflicht u.a., wenn der Betroffene auf andere Weise Kenntnis von der Speicherung erlangt hat. Diese Kenntnis kann jedoch
nicht ohne weiteres unterstellt werden, nur weil der Betroffene
ein Werbeschreiben eines Unternehmens erhalten hat. Das unter dem Namen der Firma zugesandte Schreiben könnte auch
unmittelbar von einem Adresshändler im Lettershopverfahren
versandt worden sein.
Für Adresshändler besteht insbesondere dann keine Benachrich- 418
tigungspflicht, wenn nur die Listendaten nach § 28 Abs. 3 S. 1
Nr. 3 BDSG gespeichert sind und die Erfüllung der Informationspflicht unverhältnismäßig wäre.
Eine weitere Ausnahme von der Benachrichtigungsverpflichtung 419
besteht, wenn Daten für eigene Werbezwecke aus öffentlichen
Quellen301 entnommen wurden und die Benachrichtigung wegen
301
Vgl. hierzu Rdnr. 137 ff.
183
Kapitel XIII
Rechte der Betroffenen
der Vielzahl der Fälle unverhältnismäßig ist. Da die Benachrichtigung jedoch oft zusammen mit der ersten werblichen Ansprache
erfolgen kann, wird der in diesem Zusammenhang entstehende
Aufwand jedoch regelmäßig nicht als unverhältnismäßig zu bewerten sein.
§ 33 Abs. 2 BDSG:
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
(...)
7. die Daten für eigene Zwecke gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind
und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, oder
b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es
sei denn, dass das Interesse an der Benachrichtigung
die Gefährdung überwiegt, oder
8. die Daten geschäftsmäßig zum Zweck der Übermittlung
gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind,
soweit sie sich auf diejenigen Personen beziehen, die
diese Daten veröffentlicht haben, oder
b) es sich um listenmäßig oder sonst zusammengefasste
Daten handelt (§ 29 Abs. 2 Nr. 1 Buchstabe b)
und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist.
Die verantwortliche Stelle legt schriftlich fest, unter welchen
Voraussetzungen von einer Benachrichtigung nach S. 1 Nr. 2
bis 7 abgesehen wird.
184
Rechte der Betroffenen
2.4
Kapitel XIII
Auskunft
Gemäß § 34 Abs. 1 BDSG kann der Betroffene auch konkret 420
Auskunft verlangen über
-
die zu seiner Person gespeicherten Daten, auch soweit
sie sich auf die Herkunft der Daten beziehen,
-
Empfänger oder Kategorien von Empfängern, an die
die Daten weitergegeben werden, sowie
-
den Zweck der Speicherung.
Da Unternehmen oft eine Vielzahl an personenbezogenen Daten 421
speichern (z.B. Versandhandelsunternehmen, Banken oder Versicherungen), soll der Betroffene nach Möglichkeit die Art der
personenbezogenen Daten, über die er Auskunft verlangt, näher
konkretisieren.
Beispiel für eine Auskunft:
Bei uns sind folgende Daten über Sie gespeichert: (näher
ausführen)
Wir haben Ihre Daten (ggf. weiter ausführen) von dem Unternehmen XY erhalten. Diese werden von uns zu Zwecken
der Durchführung des Vertrages sowie für Direktmarketingmaßnahmen verarbeitet und genutzt. Zudem geben wir
Ihre Daten an uns konzernmäßig verbundene Unternehmen
weiter.
Die Auskunft ist schriftlich (§ 34 Abs. 3 BDSG) und unentgeltlich 422
(§ 34 Abs. 5 BDSG) zu erteilen. Bei geschäftsmäßiger Datenverarbeitung zum Zwecke der Übermittlung (z.B. Auskunfteien, Adresshändler, Markt- und Meinungsforscher) darf für die Auskunftserteilung ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken
nutzen kann. Dies ist z.B. bei einer SCHUFA-Selbstauskunft der
Fall, für die derzeit 7,80 €berechnet wird.
Bei automatisierten Einzelentscheidungen im Sinne von § 6a 423
185
Kapitel XIII
Rechte der Betroffenen
BDSG302 bezieht sich das Recht des Betroffenen auf Auskunft
auch auf den logischen Aufbau der automatisierten Verarbeitung
der ihn betreffenden Daten. Die verantwortliche Stelle ist allerdings derzeit 303 noch nicht verpflichtet, Angaben zur Gewichtung
der Einzelinformationen sowie zu ihrer wechselseitigen Abhängigkeit zu machen. Von daher erteilt die SCHUFA den Betroffenen Auskunft über die gespeicherten Daten sowie über den sich
daraus ergebenden tagesaktuellen Scorewert.
2.5
Einsicht in das Verfahrensverzeichnis
424 Gemäß § 4g Abs. 2 S. 2 BDSG hat der betriebliche Datenschutz-
beauftragte jedermann auf Antrag Einsicht in das sog. Verfahrensverzeichnis zu geben. Dieses Recht ist nicht nur den Betroffenen vorbehalten. Das Verzeichnis enthält einen nicht personenbezogenen pauschalen Überblick über die gesamten Date nverarbeitungen des Unternehmens und soll dem Bürger Transparenz über seine mögliche Eigenschaft als Betroffener geben304.
425 Durch Einsicht bzw. Auskunft über den Inhalt kann jeder Interes-
sierte Informationen auch über die Datenflüsse im Kundenbereich erhalten. Eine Auskunftsverweigerung im Hinblick auf Geheimhaltungsinteressen kennt das BDSG nicht. Im Einzelnen sind
im Verfahrensverzeichnis folgende Angaben enthalten:
302
303
304
186
-
Name oder Firma der verantwortlichen Stelle,
-
Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens
berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
Vgl. vorstehend Rdnr. 270 sowie Rdnr. 309.
Anmerkung: Zum Zeitpunkt der Drucklegung dieser Ausarbeitung sind
gesetzgeberische Regelungen in Planung, um die Transparenz von Scoringverfahren für die Betroffenen zu erhöhen.
Eine Anleitung zur Erstellung eines Verfahrensverzeichnisses enthält die
GDD-Praxishilfe I „Verarbeitungsübersicht, Verfahrensverzeichnis, Vorabkontrolle“.
Rechte der Betroffenen
Kapitel XIII
-
Anschrift der verantwortlichen Stelle,
-
Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
-
eine Beschreibung der betroffenen Personengruppen
und der diesbezüglichen Daten oder Datenkategorien,
-
Empfänger oder Kategorien von Empfängern, denen
die Daten mitgeteilt werden können,
-
Regelfristen für die Löschung der Daten,
-
eine geplante Datenübermittlung in Drittstaaten.
Wie die Einsicht oder die Auskunft gewährt wird, entscheidet der 426
Datenschutzbeauftragte. Ggf. reicht auch eine mündliche Auskunft. Jedoch muss er unverzüglich tätig werden (§ 121 BGB).
Ein Entgelt oder die Offenlegung der Motive zu verlangen, wäre 427
unzulässig. Hinzuweisen ist auch darauf, dass die Mitteilung von
jedem Interessierten bei Nichtreaktion klageweise geltend gemacht werden könnte.
Vgl. das Beispiel in: DDV (Hrsg.), Das neue BDSG 2001 - Auswirkungen auf das Direktmarketing, Best Practice Guide
Nr. 3, 4. Auflage, 2007, S. 11:
Eine Person wendet sich an ein Versicherungsunternehmen
und wünscht Auskunft über die Zweckbestimmung und die Kategorien regelmäßiger Empfänger von Informationen aus bestehenden Kundendatenbanken.
Die Auskunft ist zu erteilen. Sie kann selbst dann nicht verweigert werden, wenn die Anfrage von einem Mitarbeiter eines
Konkurrenzunternehmens stammt oder der Inhalt der Auskunft Geschäftsgeheimnisse enthält. Ob missbräuchliche Auskünfte verweigert werden können, beantwortet das Gesetz
nicht.
187
Kapitel XIII
Rechte der Betroffenen
Transparenz gegenüber dem Betroffenen
Information bei der Direkterhebung
(Vorrang der Direkterhebung)
speziell: §§ 6b, 6c BDSG
Benachrichtigung
über Speicherung bzw.
erstm. Übermittlung
(falls nicht beim
Betroffenen erhoben)
über verantwortliche Stelle
bei werblicher
Ansprache
verantwortliche
Stelle
Auskunft über die
Daten und ihre
Verarbeitung
speziell: § 6a BDSG
Einsicht in das Verfahrensregister
(beim behördlichen/betrieblichen DSB)
3.
Gestaltungsrechte
3.1
Allgemeines
428 Die Information über die Tatsache der Datenspeicherung und
ggf. deren genaue Kenntnisnahme im Wege der Auskunft versetzt die Betroffenen in die Lage, gegen unrichtige, unzulässige
oder auch nur unerwünschte Verarbeitungen vorzugehen.
3.2
Berichtigung
429 Gemäß § 35 Abs. 1 BDSG sind Unternehmen verpflichtet, nur
korrekte Daten über den Betroffenen zu speichern. Bei Unrich188
Rechte der Betroffenen
Kapitel XIII
tigkeit besteht ein Anspruch auf Berichtigung. Sofern anderen
Unternehmen unrichtige Daten übermittelt worden sind, sind
diese gemäß § 35 Abs. 7 BDSG zu verständigen.
3.3
Löschung
Ein Anspruch auf Datenlöschung - d.h. das völlige Unkenntlich- 430
machen der Daten - besteht gemäß § 35 Abs. 2 S. 2 BDSG in vier
Fällen:
3.4
-
Die Speicherung ist unzulässig.
-
Es handelt sich um besonders sensitive Daten, deren
Richtigkeit vom Unternehmen nicht bewiesen werden
kann.
-
Der Zweck der Speicherung ist weggefallen.
-
Soweit Daten geschäftsmäßig zum Zwecke der Übermittlung verarbeitet werden: wenn eine Prüfung jeweils am Ende des vierten Kalenderjahres beginnend
mit der erstmaligen Speicherung ergibt, dass eine längere Speicherung nicht erforderlich ist.
Sperrung
Im Hinblick auf das Ende der Kundenbeziehung geht das Gesetz 431
zunächst von einer Löschung - d.h. der Unkenntlichmachung (§ 3
Abs. 4 Nr. 5 BDSG) - der Daten aus. Die Löschungsverpflichtung
wird jedoch durch eine Pflicht zur Sperrung ersetzt, sofern gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsvorschriften der Löschung entgegenstehen (§ 35 Abs. 3 Nr. 1 BDSG).
Sperrung bedeutet, dass die Daten gekennzeichnet werden, um
ihre weitere Verarbeitung oder Nutzung einzuschränken (§ 3
Abs. 4 Nr. 4 BDSG). Sofern eine Löschung wegen der besonderen
Art der Speicherung einen unverhältnismäßigen Aufwand bedeuten würde, genügt ebenfalls die Sperrung (§ 35 Abs. 3 Nr. 3
BDSG). Dies ist regelmäßig der Fall bei Dateien, die zum Zwecke
189
Kapitel XIII
Rechte der Betroffenen
der Datensicherung (Backup) gespeichert sind. Hier genügt die
einfache Kennzeichnung durch Sperrvermerk.
432 Eine Sperrverpflichtung im Sinne einer eingeschränkten Nut-
zungsmöglichkeit entsteht überdies, wenn der Betroffene gemäß
§ 28 Abs. 4 BDSG sein Recht auf Werbewiderspruch geltend gemacht hat305 . Insoweit ist der Datensatz nicht komplett zu löschen, sondern nur entsprechend zu kennzeichnen, um eine
Nutzung zu Werbezwecken auszuschließen.
433 Sofern der Betroffene geltend macht, die vom Unternehmen
gespeicherten Daten seien unrichtig, besteht gemäß § 35 Abs. 4
BDSG ebenfalls - bis zum Beweis des Gegenteils - die Verpflichtung zur Sperrung dieser Daten.
3.5
Allgemeines Widerspruchsrecht
434 Auch wenn die verantwortliche Stelle im Rahmen der notwendi-
gerweise pauschalen Interessenabwägung berechtigterweise zu
der Überzeugung gelangt ist, dass die schutzwürdigen Interessen
des Betroffenen nicht beeinträchtigt werden, kann diese Bewertung im Einzelfall unzutreffend sein, weil in der Person eines
Betroffenen individuelle bzw. subjektive Belange - eben weil sie
nicht bekannt waren - nicht berücksichtigt wurden. Für diesen
Fall räumt § 35 Abs. 5 BDSG dem Betroffenen das Recht ein, den
ihn betreffenden Verarbeitungen zu widersprechen306 . Eine Form
ist nicht vorgeschrieben. Im Gegensatz zum gegenüber unerwünschter Werbung in § 28 Abs. 4 BDSG gewährten allgemeinen
Widerspruchsrecht 307, liegt es hier im eigenen Interesse des Betroffenen, dass er den Widerspruch begründet. So ist es z.B. berechtigt, dass ein Hotelgast der Speicherung seiner Adresse in
der Hotelgästedatei auch dann widersprechen kann, wenn diese
nur zum Ausfüllen der Formulare bei erneutem Besuch und zur
305
306
307
190
Vgl. im Einzelnen vorstehend Rdnr. 175 ff.
Gola, Informationelle Selbstbestimmung in Form des Widerspruchsrechts,
DuD 2001, S. 278.
Vgl. Rdnr. 166 ff.
Rechte der Betroffenen
Kapitel XIII
Rabattgewährung Verwendung finden soll.
Des Weiteren kann der Betroffene eine per Einwilligung legiti- 435
mierte Verarbeitung grundsätzlich durch Widerruf der Einwilligung308 beenden. Allerdings sollte die Einwilligung nicht willkürlich, sondern entsprechend den Grundsätzen von Treu und Glauben nur dann zurückgenommen werden, wenn für ihre Erteilung
maßgebende Gründe entfallen sind, sich wesentlich geändert
oder die tatsächlichen Voraussetzungen sich verändert haben309.
Die BDSG-Gestaltungsrechte
Berichtigung unrichtiger Daten
(ggf. Information des Dritten, dass unrichtige
Daten weitergegeben wurden)
Löschung/Sperrung unzulässiger,
nicht mehr erforderlicher oder
bestrittener Daten
(ggf. Gegendarstellung)
verantwortliche
Stelle
Widerspruch
gegenüber
unerwünschter
Werbung
Widerspruch auf Grund entgegenstehender persönlicher Gegebenheiten
(zusätzlich grundsätzliches Recht auf
Rücknahme einer Einwilligung)
Eine Einwilligung ist zudem dann nicht widerrufbar, wenn sie
308
309
Zur Widerruflichkeit der Einwilligung vgl. bei Gola/Schomerus (vgl. Fn. 40),
§ 4a Rdnr. 17 ff.
Gola/Schomerus (vgl. Fn. 40), § 4a Rdnr. 18.
191
Kapitel XIII
Rechte der Betroffenen
verbunden ist mit rechtsgeschäftlichen Abreden und die Einwilligung der Abwicklung einer vertraglichen Beziehung dient (§ 28
Abs. 1 S. 1 Nr. 1 BDSG) 310.
310
192
Gola/Wronka, Datenschutzrechtliche Auswirkungen einseitig erklärter oder
vertraglich gezogener Verarbeitungs- und Verwertungsgrenzen, RDV 2007,
S. 59.
Kontrolle und Sanktionen
Kapitel XIV
Kapitel XIV: Wer achtet auf die Einhaltung der „Spielregeln“?
1.
Ein komplexes Kontrollsystem
Die Einhaltung der Vorgaben des Kundendatenschutzes wird von 436
verschiedenen Stellen überprüft. Hierzu gehört zunächst der
Kunde selbst. Dieser kann über die Wahrnehmung seiner datenschutzrechtlichen Informations- und Gestaltungsrechte die Datenschutzkonformität des Unternehmenshandelns beurteilen.
Daneben haben private bzw. staatliche Stellen sowohl unter dem
Blickpunkt des Datenschutzes als auch zur Beachtung des lauteren Wettbewerbs Überwachungs- und Einwirkungsbefugnisse.
Aufsichtsbehörde
Verbände
(UWG, BGB)
Kunde
Unternehmen
Datenschutzbeauftragter
Mitbewerber
2.
Staatsanwaltschaft/Gericht
Der Kunde
Grundlage der Datenschutzkontrolle durch den Kunden sind ins- 437
besondere die Verpflichtung der verantwortlichen Stelle zur Information (§ 4 Abs. 3 BDSG) bzw. Benachrichtigung (§ 33 BDSG)
sowie seine unabdingbaren Rechte auf Auskunft, Berichtigung,
193
Kapitel XIV
Kontrolle und Sanktionen
Löschung und Sperrung (§ 6 Abs. 1 BDSG). Darüber hinaus steht
dem Kunden das allgemeine Widerspruchsrecht gemäß § 35
Abs. 5 BDSG (Widerspruch bei besonderer Eingriffsqualität) und
- im Falle der Direktwerbung - das besondere Widerspruchsrecht
aus § 28 Abs. 4 S. 1 BDSG (Werbewiderspruch) zu.
438 Bei Zweifeln an der Datenschutzkonformität kann sich der Kunde
an den Datenschutzbeauftragten des Unternehmens (§ 4f Abs. 5
S. 2 BDSG) und/oder die Aufsichtsbehörde (§ 38 BDSG) wenden.
Ggf. kann der Kunde auch ein Ordnungswidrigkeiten- bzw. Strafverfahren einleiten lassen oder Schadensersatzansprüche geltend machen.
439 Im Hinblick auf die Einleitung eines Bußgeld- bzw. Strafverfah-
rens ist zu beachten, dass insoweit nicht nur ein Rückgriff auf
diverse Tatbestände des Strafgesetzbuches in Betracht kommt,
sondern das BDSG mit den §§ 43, 44 BDSG auch über eigene
Bußgeld- und Straftatbestände verfügt.
440 Der Ordnungswidrigkeitentatbestand des § 43 BDSG unter-
scheidet zwischen Verstößen gegen Verfahrensvorschriften
(Abs. 1) und Verstößen gegen materielle Schutzvorschriften
(Abs. 2). Erstere können mit einem Bußgeld bis zu 25.000,- €,
Letztere mit einem Bußgeld bis zu 250.000,- €geahndet werden.
Beispiele für Verstöße im Sinne des § 43 Abs. 1 BDSG sind etwa
194
-
der Verstoß gegen die Pflicht zur Bestellung eines
Datenschutzbeauftragten,
-
die mangelnde Information über den Werbewiderspruch bzw. die Verletzung der Benachrichtigungspflicht aus § 33 BDSG,
-
die Verletzung der Zweckbindung übermittelter Daten,
-
die Missachtung der gegenüber der Aufsichtsbehörde
bestehenden Auskunfts- bzw. Duldungspflichten und
-
die Zuwiderhandlung gegen eine vollziehbare Anordnung der Aufsichtsbehörde.
Kontrolle und Sanktionen
Kapitel XIV
BDSG
§ 43 Abs. 2 und 3: (2) Ordnungswidrig handelt, wer vorsätzlich
oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein
zugänglich sind, erhebt oder verarbeitet,
2. unbefugt personenbezogene Daten, die nicht allgemein
zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
3. unbefugt personenbezogene Daten, die nicht allgemein
zugänglich sind, abruft oder sich oder einem anderen aus
automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
4. die Übermittlung von personenbezogenen Daten, die nicht
allgemein zugänglich sind, durch unrichtige Angaben erschleicht,
(...).
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit
einer Geldbuße bis zu fünfundzwanzigtausend Euro, in den
Fällen des Absatzes 2 mit einer Geldbuße bis zu zweihundertfünfzigtausend Euro geahndet werden.
§ 44 BDSG:
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung
gegen Entgelt oder in der Absicht, sich oder einen anderen zu
bereichern oder einen anderen zu schädigen, begeht, wird mit
Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind
der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und
die Aufsichtsbehörde.
195
Kapitel XIV
Kontrolle und Sanktionen
441 Soweit Schadensersatz wegen materieller Schäden begehrt
wird, enthält das BDSG mit § 7 BDSG einen eigenen Haftungstatbestand.
§ 7 BDSG:
Fügt eine verantwortliche Stelle dem Betroffenen durch eine
nach diesem Gesetz oder nach anderen Vorschriften über den
Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung
oder Nutzung seiner personenbezogenen Daten einen Schaden
zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz
verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche
Stelle die nach den Umständen des Falles gebotene Sorgfalt
beachtet hat.
442 § 7 BDSG erfasst allerdings nicht jeden beliebigen Datenschutz-
verstoß. Tatbestandsmäßig sind nur Datenschutzverletzungen,
die auf eine unzulässige oder unrichtige Erhebung, Verarbeitung
oder Nutzung personenbezogener Daten zurückzuführen sind.
Die Haftung nach § 7 BDSG setzt zudem ein Verschulden der
verantwortlichen Stelle voraus. Allerdings wird ein solches zu
Gunsten des Betroffenen vermutet, solange nicht die verantwortliche Stelle nachgewiesen hat, dass sie die im Verkehr erforderliche Sorgfalt beachtet hat (§ 7 S. 2 BDSG).
443 § 7 BDSG ist keine abschließende und ausschließliche Rege-
lung 311. Das allgemeine Schadensrecht (§§ 280, 311 Abs. 2,
823 ff. BGB) bleibt daneben anwendbar312 .
444 Ob § 7 BDSG auch den Schadensersatz wegen immaterieller
Schäden umfasst, ist umstritten313. Verneint man dies, sind im
Hinblick auf ein mögliches Schmerzensgeld die allgemeinen zivilrechtlichen Regelungen zur Anwendung zu bringen.
311
312
313
196
Gola/Schomerus (vgl. Fn. 40), § 7 Rdnr. 16.
Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Auflage,
München 2005, S. 421.
Vgl. insoweit Gola/Schomerus (vgl. Fn. 40), § 7 Rdnr. 12 und 19.
Kontrolle und Sanktionen
3.
Kapitel XIV
Die Aufsichtsbehörde
Die Einhaltung des Datenschutzes wird von den Datenschutzauf- 445
sichtsbehörden in den Bundesländern „von Amts wegen“ kontrolliert. Es muss also weder der Verdacht eines Datenschutzverstoßes bestehen noch ein Antrag des Betroffenen vorliegen,
damit die Aufsichtsbehörde tätig werden kann.
Zur Durchführung ihrer Aufgaben sind der Aufsichtsbehörde 446
durch das BDSG Informations-, Betretens-, Besichtigungs-, Prüfungs- und Einsichtsrechte eingeräumt (§ 38 Abs. 3 und 4 BDSG).
Der Aufsichtsbehörde stehen Anordnungs- und Untersagungsbefugnisse bezüglich der zur Gewährleistung des Datenschutzes
erforderlichen technischen und organisatorischen Maßnahmen
zu (§ 38 Abs. 5 BDSG). Sofern ihr diese Aufgabe zugewiesen ist,
führt sie Bußgeldverfahren nach § 43 BDSG durch. Sie kann
Strafantrag nach § 44 BDSG stellen.
Soweit die Daten verarbeitende Stelle der Gewerbeordnung 447
unterliegt, können Datenschutzverstöße auch auf Grundlage des
Gewerberechtes sanktioniert werden (§ 38 Abs. 7 BDSG). Zuständig insoweit ist das Gewerbeaufsichtsamt.
4.
Mitbewerber, Wettbewerbs- und Verbraucherverbände
Denkbar ist, dass eine Verletzung des Datenschutzrechtes 448
zugleich einen Verstoß gegen das Wettbewerbsrecht (Gesetz
gegen den unlauteren Wettbewerb - UWG) darstellt314 . In den
§§ 8 bis 10 UWG werden Ansprüche auf Beseitigung und Unterlassung, auf Schadensersatz und auf Abschöpfung des unlauter
erzielten Gewinns geregelt.
Während der Schadensersatzanspruch gemäß § 9 UWG nur vom 449
geschädigten Mitbewerber geltend gemacht werden kann, sind
hinsichtlich der Durchsetzung des Beseitigungs- und Unterlassungsanspruchs (§ 8 Abs. 3 UWG) bzw. des Gewinnabschöp314
Vgl. vorstehend Rdnr. 27 ff.
197
Kapitel XIV
Kontrolle und Sanktionen
fungsanspruchs (§ 10 Abs. 1 UWG) verschiedene Stellen und
Institutionen anspruchs- und klageberechtigt:
-
Mitbewerber (nur Beseitigung bzw. Unterlassung),
-
Verbände zur Förderung gewerblicher oder selbstständiger beruflicher Interessen von Anbietern von Waren
oder Dienstleistungen,
-
Einrichtungen, die in die beim Bundesamt für Justiz geführte Liste qualifizierter Einrichtungen nach § 4 Unterlassungsklagengesetz oder in ein entsprechendes Verzeichnis von Verbraucherschutzverbänden der EGKommission eingetragen sind sowie
-
Industrie- und Handelskammern sowie Handwerkskammern.
450 Den im UWG privilegierten Verbänden und Institutionen stehen
auch noch die Klagebefugnisse aus dem Unterlassungsklagenge315
setz (UKlaG) offen.
451 Ein Anspruch auf Unterlassung bzw. Widerruf nach dem UKlaG
besteht in folgenden Fällen:
315
316
198
-
Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen (AGB), die nach der Inhaltskontrolle unwirksam sind (§ 1 UKlaG), oder
-
Zuwiderhandlung gegen Verbraucherschutzgesetze
(z.B. Vorschriften zum Verbrauchsgüterkauf, zu Haustürgeschäften, Reiseverträgen, Fernabsatzverträgen)316
(§ 2 UKlaG).
Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen
Verstößen, neugefasst durch Bekanntmachung vom 27.08.2002 (BGBl. I
S. 3422, 4346), zuletzt geändert durch Gesetz vom 16.07.2007 (BGBl. I
S. 1330).
Zur Frage, inwieweit BDSG-Normen verbraucherschützende Funktion haben
vgl. vorstehend Rdnr. 30 ff.; zum Verhältnis von § 2 UKlaG und der Klagebefugnis aus § 8 Abs. 2 Nr. 3 UWG vgl. Hanseatisches OLG, Urteil vom
09.06.2004 - 5 U 186/03 -, RDV 2005, S. 119 (Leitsatz).
Kontrolle und Sanktionen
Kapitel XIV
Verstoßen z.B. datenschutz- oder wettbewerbsrechtliche Einwil- 452
ligungsklauseln gegen das AGB-Recht (§§ 307 bis 309 BGB), können die Verbraucherverbände eine Abmahnung aussprechen
und, sofern der Abmahnung nicht Folge geleistet wird, vom Instrument des abstrakten Unterlassungsverfahrens Gebrauch
machen317.
5.
Staatsanwaltschaft/Gericht
Sollten durch den Datenschutzverstoß auch Straftatbestände 453
verwirklicht werden, kommt eine Verfolgung durch die Staatsanwaltschaft und anschließende Aburteilung durch das Gericht in
Betracht.
Wie bereits angesprochen verfügt das BDSG mit § 44 über einen 454
eigenen Straftatbestand. Unter dem Gesichtspunkt der Entkriminalisierung ist die Strafvorschrift jedoch auf vorsätzliche Handlungen gegen Entgelt oder in Bereicherungs- oder Fremdschädi318
gungsabsicht begrenzt .
Straftaten nach dem BDSG können mit einer Freiheitsstrafe bis 455
zu zwei Jahren oder Geldstrafe geahndet werden. Die Taten
werden jedoch nur auf Antrag verfolgt (§ 44 Abs. 2 S. 1 BDSG).
Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sowie die Aufsichtsbehörde (§ 44 Abs. 2 S. 2 BDSG).
Als strafrechtlich Verantwortlicher kommt nicht nur die Unter- 456
nehmensleitung in Betracht, sondern vielmehr auch der den
Datenschutzverstoß konkret veranlassende Mitarbeiter. Dieser
verletzt durch ein entsprechendes Verhalten zugleich auch seine
gesetzliche Verpflichtung zur Wahrung des Datengeheimnisses
(§ 5 BDSG).
317
318
Zu den regen Aktivitäten der Verbraucherschutzvereinigungen gegenüber
insoweit unzulässigen Einwilligungsklauseln vgl. Heidemann-Peuser, Rechtskonforme Gestaltung von Datenschutzklauseln, DuD 2002, S. 389.
Gola/Klug (Fn. 249), S. 120.
199
Kapitel XIV
Kontrolle und Sanktionen
§ 5 BDSG:
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu
verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen
sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis
zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
457 Neben den Strafnormen des BDSG bleibt auch das allgemeine
und sonstige bereichsspezifische Strafrecht anwendbar. Zu denken ist insoweit insbesondere an folgende Regelungen:
200
-
§ 202a StGB (Ausspähen von Daten)
-
§ 202b StGB (Abfangen von Daten)
-
§ 202c StGB (Vorbereiten des Ausspähens oder
Abfangens von Daten)
-
§ 203 StGB (Verletzung von Privatgeheimnissen)
-
§ 206 StGB (Verletzung des Post-/Fernmeldegeheimnisses)
-
§ 263a StGB (Computerbetrug)
-
§ 266 StGB (Untreue)
-
§ 269 StGB (Fälschung beweiserheblicher Daten)
-
§ 270 StGB (Täuschung im Rechtsverkehr bei Datenverarbeitung)
-
§ 303a StGB (Datenveränderung)
-
§ 303b StGB (Computersabotage)
-
§ 17 UWG (Industriespionage, Verrat von Geschäftsgeheimnissen)
Kontrolle und Sanktionen
Kapitel XIV
Für die unbefugte Verwendung von Kundendaten durch Mitar- 458
beiter ist insbesondere § 17 UWG relevant319 . Strafrechtliche
320
Sanktionen nach § 17 UWG hat der BGH nicht nur bei der unbefugten Weitergabe von Kundendaten, sondern auch für den
Fall anerkannt, dass Namen aus einer Kundenliste des früheren
Arbeitgebers in einen anderen Betrieb eingebracht werden. Dem
stehe auch nicht entgegen, dass der ausgeschiedene Mitarbeiter
die verwendeten Daten im Rahmen des früheren Arbeitsverhältnisses befugtermaßen in seinen privaten Unterlagen (privates
Adressbuch, privater PC) aufbewahrt habe. Er hätte diese Daten
löschen bzw. vernichten müssen. Unzulässig ist es auch, sich bei
den Kunden vor dem Ausscheiden aus dem Betrieb per Rundschreiben zu verabschieden und dabei auf die neue Tätigkeit als
Wettbewerber bzw. für einen Wettbewerber hinzuweisen321 .
§ 17 UWG schützt jedoch nicht das informationelle Selbstbe- 459
stimmungsrecht der betroffenen Kunden, sondern das Unternehmen vor derartigen unlauteren Wettbewerbsmaßnahmen.
Das Strafantragsrecht steht dementsprechend nur dem Arbeitgeber zu.
6.
Datenschutzbeauftragter
Auch innerhalb des Unternehmens selbst wird die Beachtung des 460
Datenschutzes kontrolliert. Dies ist Aufgabe des Datenschutzbeauftragten. Sobald ein Unternehmen mehr als neun Personen
beschäftigt, die - zumindest auch - mit der Verarbeitung personenbezogener Daten (das sind in jedem Fall die Kunden- und
Personaldaten) befasst sind, muss es einen betrieblichen Datenschutzbeauftragten bestellen. Dies wird in der Regel ein eigener
Mitarbeiter sein. Ist ein Mitarbeiter mit der erforderlichen Sach319
320
321
Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Auflage, Frechen 2004, S. 311; Busse in: Besgen/Prinz, Neue Medien und Arbeitsrecht,
Bonn 2006, § 10 Rdnr. 157 ff.
Urteil vom 27.04.2006 - I ZR 126/03 -, NJW 2006, S. 3424.
BGH, Urteil vom 22.04.2004 - I ZR 303/01 -, NJW 2004, S. 2385.
201
Kapitel XIV
Kontrolle und Sanktionen
kunde nicht vorhanden, kann auch externer Sachverstand zu
Rate gezogen werden322 . Der Verstoß gegen die Bestellpflicht ist
eine Ordnungswidrigkeit gemäß § 43 BDSG.
461 Der Datenschutzbeauftragte hat nach dem BDSG die Aufgabe, im
Unternehmen auf die Einhaltung der Vorschriften über den Datenschutz hinzuwirken. Insbesondere überwacht er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme,
mit deren Hilfe personenbezogene Daten verarbeitet werden,
wie z.B. Kundendatenbanken, und macht die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des Datenschutzes und den jeweiligen E rfordernissen
vertraut.
462 Der Datenschutzbeauftragte ist Ansprechpartner und Repräsen-
tant des Unternehmens in Datenschutzfragen323 . Dem Recht des
Betroffenen, sich jederzeit unmittelbar an den Datenschutzbeauftragten wenden zu können (§ 4f Abs. 5 S. 2 BDSG), entspricht
die Pflicht des Datenschutzbeauftragten, sich dessen Anliegen
- unter Wahrung der Verpflichtung zur Verschwiegenheit (§ 4f
Abs. 4 BDSG) - auch anzunehmen.
322
323
202
Bei der Suche nach einem externen Datenschutzbeauftragten bzw. datenschutzrechtlichen Sachverständigen unterstützt Sie die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD). Nähere Informationen finden Sie
unter www.gdd.de.
Gola/Klug (Fn. 249), S. 115.
Kundendatenschutz
Abkürzungsverzeichnis
Abkürzungsverzeichnis
a.A.
a.a.O.
Abs.
AfP
AG
AGG
AiB
AO
BB
BDSG
BGB
BKR
BGH
BVerfG
BVerfGE
BVerwG
CR
CRM
DB
DDV
DSB
DuD
etc.
Fn.
GG
ggf.
GRUR
GWG
HessVGH
anderer Ansicht
am angegebenen Ort
Absatz
Archiv für Presserecht
Amtsgericht
Allgemeines Gleichbehandlungsgesetz
Arbeitsrecht im Betrieb
Abgabenordnung
Betriebs-Berater (Zeitschrift)
Bundesdatenschutzgesetz
Bürgerliches Gesetzbuch
Zeitschrift für Bank- und
Kapitalmarktrecht (Zeitschrift)
Bundesgerichtshof
Bundesverfassungsgericht
Bundesverfassungsgericht,
Entscheidungssammlung
Bundesverwaltungsgericht
Computer und Recht (Zeitschrift)
Customer Relationship Management
Der Betrieb (Zeitschrift)
Deutscher Direktmarketing Verband
Datenschutz-Berater
Datenschutz und Datensicherheit
(Zeitschrift)
und so weiter
Fußnote
Grundgesetz
gegebenenfalls
Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift)
Geldwäschegesetz
Hessischer Verwaltungsgerichtshof
203
Abkürzungsverzeichnis
i.V.m.
JuS
K&R
LG
Ls
LT-Drs.
MDR
MDStV
MMR
NJW
NJW-RR
OLG
PDSV
Rdnr.
RDV
S.
SGB I
SGB V
StGB
TMG
TKG
u.a.
ULD
UWG
WRP
ZIP
ZPO
204
Kundendatenschutz
in Verbindung mit
Juristische Schulung (Zeitschrift)
Kommunikation & Recht (Zeitschrift)
Landgericht
Leitsatz
Landtagsdrucksache
Monatsschrift für Deutsches Recht
(Zeitschrift)
Mediendienste-Staatsvertrag
MultiMedia und Recht (Zeitschrift)
Neue Juristische Wochenschrift
(Zeitschrift)
NJW-Rechtsprechungsreport, Zivilrecht
(Zeitschrift)
Oberlandesgericht
Postdienste-Datenschutzverordnung
Randnummer
Recht der Datenverarbeitung (Zeitschrift)
Seite bzw. Satz
Sozialgesetzbuch - Erstes Buch
(Allgemeiner Teil)
Sozialgesetzbuch - Fünftes Buch
(Krankenversicherung)
Strafgesetzbuch
Telemediengesetz
Telekommunikationsgesetz
unter anderem
Unabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein
Gesetz gegen den unlauteren
Wettbewerb
Wettbewerb in Recht und Praxis
Zeitschrift für Gesellschaftsrecht und
Insolvenzpraxis (Zeitschrift)
Zivilprozessordnung
Kundendatenschutz
Stichwortverzeichnis
Stichwortverzeichnis
(Zahlenangaben = Rdnr.)
Abbruch der Geschäftsbeziehung 173
Abfrageformular (Web) 88
Abrechnung 102, 104
Adress- und Telefonverzeichnis 138
Adressat des Widerspruchs 170
Adresshandel 120, 121
AGB-Recht 7, 195, 452
Aktienkauf 358
Allgemein zugängliche
Quellen 44, 138, 257
Altenheim 129
Anbieterkennzeichnung 111
Angemessenes Schutzniveau 354, 356
Annahmeverweigerung
(Werbung) 173
Anregung 294
Anreißen von Kunden 20
Anschriftenprüfung 364
Anspruch- und Klageberechtigung (UWG) 449
Arbeitgeber des
Schuldners 393
Arzt 360
Aufsichtsbehörde 438, 445
Auftragsdatenverarbeitung 300, 346, 352, 374
Ausfallrisiko
(Forderung) 265
Auskunft 16, 219, 420
Ausländische Stelle 351
Ausnahmetatbestand 355
Automatische Anrufmaschine 206
Automatisierte Einzelentscheidung 270, 309, 423
Automatisierte Verarbeitung 15
B ank
302
Bankgeheimnis 134, 384
Bauschein 143
Beiwerk (KunstUrhG) 398
Belästigung 4, 21, 25
Benachrichtigung 144, 178,
270
Benachrichtigungspflicht 412
Beschwerde 294
Beseitigung (UWG) 448
Bestandsdaten 97
Bestellhistorie 317
Bestellpflicht 460
Betroffener 217
Bonitätsauskunft 45
205
Stichwortverzeichnis
Bonuskarte 319
Briefkastenaufkleber 165
Briefkastenwerbung 157
Bußgeld 440
Call Center
182, 346
City Card 319
Cold Call 21, 187
Cookies 118
Coupon 61, 65
Customer Relationship
Management 314
D ankschreiben
403
Darlehensforderung 384
Datamining 311
Datawarehouse 311
Datei 15
Datenbeschaffung 34
Datenerhebung bei
Dritten 393
Datengeheimnis 456
Datennutzung 135
Datenschutzbeauftragter 438, 460
Datenschutzerklärung 115
Datensicherheitskonzept 88
Datenübermittlung 149,
305, 347, 413
Datenverarbeitung 14
Detektiv 45
Deutsche Post AG 363
Direkterhebungsgrundsatz 41, 407
206
Kundendatenschutz
Double-Opt-In 94, 108
Drittland 351, 353
Drittstaaten 350
E -Card
211
E-Commerce 18
Eidesstattliche Versicherung 243
Eingangskontrolle 231
Einkommensbescheinigung 241
Einkommensteuerbescheid 241
Einwilligung 7, 10, 38, 93,
99, 159, 183, 189, 208,
263, 295, 312, 317, 323,
325, 355, 397, 404
Einzelnachweis 105
Elektronische Einwilligung 107
Elektronische Kommunikation 182
E-Mail-Adresse 238
E-Mail-Werbung 207, 209
Empfänger 48
Erforderlichkeitsprinzip 37
Erhebung von Daten 14, 35
EU bzw. EWR 351
EU-Kommission 356
Fax
4, 206, 238
Fernabsatz 220
Firmenzusammenschluss 357
Kundendatenschutz
Flat-Rate 105
Forderungsabtretung 381
Freundschaftswerbung 22
Funktionsübertragung 375
Fusion 361
Geburtsdatum
230
Gesetz gegen den unlauteren Wettbewerb 19
Gesundheitsdaten 252
Gewerbeordnung 447
Gewinnabschöpfung 448
Gewinnspiel 66
Grundrecht der Informationsfreiheit 137
H aushaltsdaten
248
Hausrecht 329
Herr der Daten 348
Hinweisschild (Videoüberwachung) 333
Homepage 113
Honorarforderung 385
Hotelgast 284
Hyperlink 113
Impressum
113
Informationeller Selbstschutz 12
Informationsaustausch 258
Informationspflicht 110
Inkassobüro 372
Insolvenz 127
Stichwortverzeichnis
Interessenabwägung 37,
63, 128, 133, 255
Internet 404
Inverssuche 145
Kaufkraft
146
Kaufkraft eines Straßenabschnitts 154
Kinder 20
Kommerzielle Kommunikation 209
Konsumverhalten 5, 201,
307
Kontaktadresse 33
Kontaktdaten 203
Konzern 288, 358
Konzernverbund 60
Kopf- und Betreffzeile 209
Kopplungsverbot 74, 99,
108
Korrekturrecht 16
Krankenhauswanderer 253
Kreditauskunftei 254
Kreditbeantragung 285
Kreditkartenfunktion
(Kundenkarte) 325
Kreditrisiko 240
Kundenbefragung 292
Kundenbilder 396
Kundenbindung 1
Kundenbindungssysteme 318
Kundendankschreiben 405
207
Stichwortverzeichnis
Kundendatenschutz
Kundendaten 395
Kundendatenbank 315
Kundengewinnung 1
Kundenkarten 5, 318
Kundenkonto 316
Nutzung von Daten 14
Nutzungsdaten 100
Nutzungsprofil
(Internet) 103
Nutzungsverbot 176
L aienwerbung
Ö ffentliche Quellen
22, 25
Lastschriftverfahren 235
Lettershop 120, 135, 288,
346, 416
Listbroker 136
Listeigner 135
Listenprivileg 126, 286, 418
Löschung 28, 102, 281, 431
M ahnbescheid
261
Markt- und Meinungsforschung 6, 201, 203,
299, 323, 346
Melderegister 140, 386
Mieterwarndatei 251
Mitarbeiter 272
Mitbewerber 218
Multimediarecht 83
Mutmaßliches Einverständnis 197
Nachsendeverfahren
Negativmerkmale
- hart 260
- weich 261
Newsletter 90
Nötigen 378
208
365
139,
419
Öffentlicher Raum 328
Ordnungswidrigkeit 180,
440
Personaldaten
278
Personenbezogene
Daten 3, 39, 265
Persönlichkeitsprofil 313
Persönlichkeitsrecht 17
Pfandhinterlegung 231
PIN-Verfahren 234
Positivmerkmal 259
Prämienpunkte 320
Preisausschreiben 66
Privacy Policy 115
Pseudonym 103
R abattvertrag
320
Recht am eigenen Bild 396
Rechtsanwalt 360
Rechtsverfolgung 389
RFID 337, 409
RISER 391
Robinsonliste 181, 214
Kundendatenschutz
Schadensersatz
217, 448
- immateriell 444
- materiell 441
Schätzdaten 256
Schriftform 190
SCHUFA 254
SCHUFA-Klausel 263
Schuldnerliste 379
Schuldnerverzeichnis 44, 242
Schweigepflicht 12, 301,
376
Scoring 153, 265, 307, 423
Smart Cards 409
Sozialleistungsträger 161
Soziodemografische
Daten 151, 271, 310
Spam 183, 210
Speichermedien 408
Sperrdatei 178
Sperrung 176, 282, 431
Stammdaten 316
Standardvertragsklauseln 356
Statistische Daten 151, 256
Steuerberater 360
Stillschweigende
Erklärung 191
Strafbarkeit 453, 455
Strafgesetzbuch 439
Straßenabschnitt 151
Stichwortverzeichnis
T äuschung
20
Tele-/Mediendienste 83
Telefonmarketing 185
Telefonnummer 238
Telefonumfrage 184
Telekommunikationsdienstleister 160
Todesanzeige 142, 216
Transparenz 16, 27, 407
Treu und Glauben 63
Umfragedaten
203
Umzugsdatenbank 365
Unsachliche Beeinflussung 25
Unterlassung (BGB) 179,
217
Unterlassung (UWG) 448
Unterlassungsklagengesetz 450
Unterrichtungspflicht 48
Urheberrechtsschutz 144
Verbindliche Unternehmensregelungen 356
Verbot mit Erlaubnisvorbehalt 8, 36, 153
Verbraucher 31, 185
Verbraucherumfrage 188
Verbundwerbung 61
Verfahrensverzeichnis 424
209
Stichwortverzeichnis
Verhandlungsungleichgewicht 12
Verkaufsraum 329
Vermögensaufstellung 241
Veröffentlichung von
Kundendaten 7, 395
Veröffentlichung von
Schuldnerdaten 379
Versand fremder
Werbung 57
Vertragspartei 355
Vertragsverhältnis 98, 187
Vertreterbesuche 215
Verwendungsverbot 175
Videoüberwachung 326,
330, 331
Virales Marketing 211
Visitenkarte 72
Vorsätzliche Handlungen 454
Wahlwerbung
199
Warenumtausch 236
210
Kundendatenschutz
Warndatei 248, 249
Waschabgleich 148
Webcam 400
Werbesendung 165, 166
Werbung 323
Wettbewerbsrecht 19, 448
Widerspruchsrecht 31, 168,
268, 303
Wohngebiet 143, 151
Z ahlungsrückstand
262
Zedent 381
Zeitgeschichte (Personen)
399
Zessionar 381
Zielgruppe 33, 152
Zufallsgenerator 202
Zufriedenheit 294
Zusammenführung von
Daten 145
Zweckänderung 273
Zweckbestimmung 51