Was ist passiert.
Eine Lieferkette für hat personenbezogene Daten von ehemaligen Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren und Werbe-E-Mails an diese verschickt. Darüber wurden Selbstauskünfte nicht bzw. nicht rechtzeitig erteilt. Zumindest in einem Fall Werbe wurden E-Mails trotz Widerspruch an den betroffenen Kunden versandt. Zusammen war das dem Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Rekordbußgeld von 195.407 Euro inkl. Gebühren wert. Die Entscheidung ist rechtskräftig.
Was wurde falsch gemacht
Der Versand trotz ausdrücklichem Widerspruch sowie die nicht erteilte Auskunft sind offensichtliche Verstöße. Etwas komplexer ist es bei der unterlassenen Löschung der Daten ehemaliger Kunden.
Die Zusendung von Werbe-Emails stützt sich aus Sicht des Datenschutzes, wenn keine Einwilligung vorliegt, in der Regel auf das berechtigte Interesse des Werbetreibenden nach Art. 6 Abs. 1 f) DSGVO. Daneben ist aber auch das Deutsche Gesetzt gegen den Unlauteren Wettbewerb (UWG) zu berücksichtigen. In §7 UWG steht unmissverständlich „Eine unzumutbare Belästigung ist stets anzunehmen … bei Werbung unter Verwendung … elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt“. Trotzdem dürfen Unternehmen an Kunden auch ohne ausdrückliche Einwilligung Werbe-E-Mails versenden, wenn die einschränkenden Bedingungen des Absatz 3 des Paragraphen erfüllt sind. Dazu muss der Unternehmer die E-Mail Adresse im Zusammenhang mit dem Verkauf der Ware oder Dienstleistung erhalten haben, darin für ähnliche Produkte werben, der Kunde nicht widersprochen haben und der Kunde in jeder Email auf sein Widerspruchsrecht hingewiesen werden.
Die Geschäftsbeziehungen in der Branche der Lebensmittellieferungen sind sicher eher kurzfristiger Natur und eine Bestellung von vor Jahren kann sicher nicht als stichhaltiges Argument verwendet werden, um daraus eine bestehende Kundenbeziehung abzuleiten. Damit kann die oben erwähnten Ausnahme aus §7 Abs. 3 UWG nicht angewendet werden. Dazu soll gemäß DSGVO die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben bzw. nur so lange gespeichert werden, wie es erforderlich ist (Erwägungsgrund 39, Art. 5 Abs. 1 e DSGVO). Die sich daraus ergebende notwendige Löschung wurde in vorliegenden Fall offenbar nicht durchgeführt.
Was sollte man beachten
Der Versand von Werbe-E-Mails an bestehende Kunden ist gemäß §7 UWG sowie Art. 13 der EU Richtlinie 2002/58/EG unter bestimmten Voraussetzungen grundsätzlich erlaubt. Bei der Benutzung der E-Mail-Adresse für die spätere oder regelmäßige Zusendung, z.B. von Newslettern, sollte aber beachtet werden, dass die Kundendaten irgendwann zu löschen sind und letztlich auch keine E-Mails mehr an diese versendet werden dürfen. Der Zeitraum, über den eine Zusendung zulässig sein sollte, lässt sich kaum allgemein angeben. Er hängt sicher von der Art des Geschäftes und der Kundenbeziehung ab. Unternehmen sind aber gut beraten sich nach bestem Wissen Gedanken zu machen, wie lange Sie diese Emails nach Ende der unmittelbaren Geschäftsbeziehung weiter nutzen wollen und die Gründe dokumentieren warum sie glauben, dass eine Speicherung und Verwendung über diesen Zeitraum zulässig sind.
Abschließende Betrachtung
Noch sind viele Aspekte bei der Interpretation des Datenschutzes noch nicht vollständig klar und Unternehmen laufen dadurch immer wieder Gefahr unabsichtlich Verstöße zu begehen, wenn Sie nicht auf Verarbeitungsvorgänge verzichten wollen, die vielleicht ein Mitbewerber ganz selbstverständlich weiter durchführt. In solchen Fällen sollte aber immer, ggf. unter Hinzuziehung fachlicher Unterstützung, nach bestem Wissen die Rechtfertigungsgründe ermittelt und auch dokumentiert werden. In diesem Sinne hoffen wir im Ausblick auf das kommende Jahr hoffen, dass die erwartete ePrivacy Verordnung mehr Fragen lösen als neue aufwerfen wird.
Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen in den Themen IT-Compliance, Informations-Sicherheitsmanagement und Datenschutz. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung von ISO/IEC 27001-Zertifizierungen können von Anwendern jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT-Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spe-zialisten bereit. Sie liefern Unternehmen u.a. aus den Marktsegmenten Energie, Medizin, Au-tomotive, und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept "Ihre Experten vor Ort" und ist mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.
Süd IT AG
Stahlgruberring 11
81829 München
Telefon: +49 (89) 4613505-12
Telefax: +49 (89) 4613505-99
http://www.sued-it.de
IT-Sicherheit
Telefon: +49 (175) 2214287
E-Mail: krempl@sued-it.de