Zur Navigation springen Zum Inhalt springen Zum Footer springen

Direktmailing und GDPR – Versendung an Adressen aus öffentlich zugänglichen Registern, Teil 2

Rechtstipp vom 22.09.2018
Rechtstipp vom 22.09.2018

2.4 Anwendung der Notwendigkeitsprüfung

Im Rahmen der Anwendung der Notwendigkeitsprüfung muss man sich mit der Tatsache befassen, ob die oben beschriebene Verarbeitung personenbezogener Daten für die Ausübung der Tätigkeit der Gesellschaft und der Klienten der Gesellschaft notwendig ist und ob das verfolgte Ziel nicht anders erreicht werden kann.

Im Hinblick darauf, dass sich die Gesellschaft vor allem mit der Gewährung von Dienstleistungen im Zusammenhang mit Fundraising befasst, einschließlich der Sicherstellung von neuen Geldbeiträgen und Einkommensquellen für ihre Klienten, sind wir der Auffassung, dass ohne die Kontaktaufnahme mit neuen potentiellen Spendern die Gesellschaft dieses Ziel überhaupt nicht erreichen könnte. 

Die Kontaktaufnahme mit neuen potentiellen Spendern durch Direktmailing kann also für die Erfüllung des hauptsächlichen unternehmerischen Ziels der Gesellschaft und ebenso für die Erfüllung der sich für die Gesellschaft aus den mit den Klienten der Gesellschaft abgeschlossenen Verträgen ergebenden Pflichten für notwendig gehalten werden.

Wir vermuten des Weiteren, dass die Erschließung neuer Einnahmequellen und gleichzeitig neuer Geldmittel für die weitere Entwicklung auch für die Klienten der Gesellschaft aus dem Kreis der karitativen Organisationen notwendig ist. Es kann nämlich angenommen werden, dass die Klienten der Gesellschaft ohne diese Geldmittel ihre Tätigkeit nicht mehr weiter ausüben können oder ihre Tätigkeit für die Zukunft einschränken müssen, wobei diese Subjekte primär aus den Spenden Dritter finanziert werden und ihr lebenswichtiges Interesse die Erhaltung ihrer bisherigen gemeinnützigen Tätigkeit ist.

Des Weiteren sollte die Gesellschaft zu Zwecken des Direktmailings nur personenbezogene Daten in einem unbedingt notwendigen Umfang dazu verarbeiten, dass sie potentielle Spender in Form einer schriftlichen Mitteilung – eines Schreibens – ansprechen kann. In diesem Zusammenhang machen wir darauf aufmerksam, dass die Gesellschaft zum Zweck der Minimierung des Umfangs der verarbeiteten personenbezogenen Daten die Form einer nichtadressierten schriftlichen Mitteilung anstatt einer adressierten schriftlichen Mitteilung beim Vergleich der Erfolgsquote der einzelnen Formen des Direktmailings überlegen sollte.

Für die Anwendung des zweiten Teils der Notwendigkeitsprüfung muss berücksichtigt werden, ob die Gesellschaft oder die Klienten der Gesellschaft das verfolgte Ziel anders erreichen können und wenn dies der Fall ist, ob die gewählte Form die Interessen, Rechte und Freiheiten der betroffenen Personen im Zusammenhang mit dem Schutz ihrer personenbezogenen Daten nicht besser schützt. Diese andere Form sollte jedoch nicht im Missverhältnis insbesondere zu den für das Direktmailing aufgewendeten Kosten stehen.

Im Hinblick auf die uns von der Gesellschaft mitgeteilten Informationen verstehen wir, dass es auch weitere Möglichkeiten gibt, wie man das verfolgte Ziel erreichen kann. Zu diesen Möglichkeiten gehören insbesondere (i) der Einkauf einer Datenbank neuer Kontakte von einem Dritten und (ii) die Ansprache von potentiellen Spendern im Rahmen einer Kontaktmarketingkampagne auf öffentlichen Plätzen.

Die erste erwähnte Möglichkeit bringt jedoch in der Regel erheblich höhere Kosten, da es ein geringes Angebot an solchen Kontaktdaten gibt und ebenso Rechtsrisiken mit sich, weil die Kontaktdaten in solchen Datenbanken üblicherweise nicht regelmäßig aktualisiert werden und es problematisch ist, rückwirkend zu prüfen, ob sie in Übereinstimmung mit der DSGVO erhoben wurden.

Die zweite erwähnte Möglichkeit ist ebenso im Vergleich zum Direktmailing nicht kosteneffizient, wobei die Kosten bei der Ansprache eines potentiellen Spenders auf einem öffentlichen Platz im Vergleich zum Direktmailing erheblich höher sind, obwohl es dabei nur zu einer minimalen Erhebung personenbezogener Daten von potentiellen Spendern kommt.

Aus den oben angeführten Gründen kann daher angenommen werden, dass die beschriebene Form der Verarbeitung personenbezogener Daten seitens der Gesellschaft auch der Notwendigkeitsprüfung standhält.

2.5 Anwendung der Verhältnismäßigkeitsprüfung

Im Rahmen der Verhältnismäßigkeitsprüfung wird geprüft, ob die Interessen, Rechte und Freiheiten der betroffenen Personen hinsichtlich ihrer personenbezogenen Daten über die berechtigten Interessen der Gesellschaft oder der Klienten der Gesellschaft an der Verarbeitung personenbezogener Daten zu dem oben angeführten Zweck nicht überwiegen. Es werden (i) die Art der Interessen, (ii) die Auswirkungen der Verarbeitung und (iii) Garantien für den Schutz, die errichtet werden können oder errichtet wurden, beurteilt.

Art der Interessen

Im Hinblick darauf, dass persönliche Daten einem im Voraus nicht eigeschränkten Kreis von Personen in der öffentlichen Datenbank zugänglich gemacht werden, kann vermutet werden, dass betroffene Personen begründet erwarten können, dass sie von Dritten mit direkten Geschäftsangeboten kontaktiert werden.

Die von der Gesellschaft verarbeiteten personenbezogenen Daten umfassen nicht jene Kategorien personenbezogener Daten, die durch die Grundverordnung besonders geschützt würden (z. B. Angaben über den Gesundheitszustand).

Außerdem kann man aufgrund der verfügbaren Informationen nicht annehmen, dass die Verarbeitung personenbezogener Daten, so wie sie oben beschrieben ist, die Interessen, Rechte oder Freiheiten der betroffenen Personen beeinträchtigen würden, wenn die Verarbeitung in Form eines unregelmäßigen und gelegentlichen Direktmailings erfolgt und wenn den Gegenstand der Verarbeitung nur personenbezogene Daten im Umfang von Vor- und Zuname und Adresse auf dem Umschlag bilden, d. h. die für die Ansprache potentieller Spender in Form eines adressierten Schreibens notwendigen Angaben.

Auswirkungen der Verarbeitung

Der Zweck, zu dem personenbezogene Daten von der Gesellschaft verarbeitet werden, kann als gesellschaftlich nutzbringend betrachtet werden, wenn das Ziel der Verarbeitung personenbezogener Daten die Beschaffung von Geldmitteln für die Klienten der Gesellschaft für Wohltätigkeitszwecke ist. Diese Klienten sind dabei von der Beschaffung von Beiträgen – Spenden – von Dritten in der Regel existentiell abhängig. 

Dieses allgemeine Interesse der Gesellschaft an der Unterstützung der karitativen Tätigkeit sollte dabei Vorrang vor Einzelinteressen an der Verarbeitung personenbezogener Daten, die aus den öffentliche Datenbanken erhoben wurden, haben, und zwar unter der Voraussetzung, dass von der Gesellschaft die nachstehend angeführten Garantien eingehalten werden und dass die Verarbeitung personenbezogener Daten den betroffenen Personen nicht einen unverhältnismäßigen Schaden z. B. durch eine häufige Belästigung mit Beantragungen von Beiträgen bewirkt. [10]

Man kann auch nicht davon ausgehen, dass die Verarbeitung personenbezogener Daten durch die Gesellschaft die Interessen oder Rechte der betroffenen Person erheblich beeinträchtigen würde, indem die Gesellschaft personenbezogene Daten nur im Umfang von Vor- und Zuname und Wohnsitz verarbeitet und zu diesem Zweck nur einen Kommunikationskanal verwendet – ein Schreiben, das an die betroffenen Personen per Post übersandt wird [11], also keine Kombination von mehreren Kommunikationskanälen auf einmal.

Die Auswirkungen der Verarbeitung personenbezogener Daten können sich jedoch in einem solchen Fall zum Nachteil der Gesellschaft verändern, wenn die Gesellschaft die vernünftigerweise zu erwartende Häufigkeit der Übersendung von Anträgen für Beiträge der betroffenen Personen überschreiten sollte.

Garantien

Zum Zweck des Schutzes der Interessen, Rechte und Freiheiten der betroffenen Personen sollte die Gesellschaft nach unserer Auffassung insbesondere folgende Garantien in Bezug auf den Schutz bei der Verarbeitung personenbezogener Daten stellen:

(i) die Gesellschaft sollte nicht den Umfang der Verarbeitung personenbezogener Daten erweitern (z. B. Verarbeitung des Geburtsdatums der betroffenen Person usw.);

(ii) die Gesellschaft sollte die erhobenen personenbezogenen Daten zu keinem anderen als zu dem oben festgesetzten Zweck nutzen (z. B. aus den erhobenen personenbezogenen Daten eine eigene Datenbank von Spendern ohne die ausdrückliche Zustimmung der betroffenen Person bilden) oder die personenbezogenen Daten keinem Dritten zugänglich machen (sei es gegen Entgelt oder unentgeltlich) mit Ausnahme einzelner Klienten der Gesellschaft, falls die jeweilige betroffene Person auf den Antrag zur Übersendung eines Beitrags an einen solchen Klienten aktiv reagieren sollte;

(iii) die Gesellschaft sollte personenbezogene Daten transparent verarbeiten, d. h. sie sollte den betroffenen Personen im Rahmen der ersten Kontaktaufnahme ausreichende detaillierte Informationen über die Verarbeitung ihrer personenbezogenen Daten durch die Gesellschaft bereitstellen, spätestens jedoch innerhalb von 1 Monat nach Erhebung der personenbezogenen Daten durch die Gesellschaft;

(iv) die Gesellschaft sollte ausreichende technische und organisatorische Maßnahmen [12] zum Zweck des Schutzes personenbezogener Daten ergreifen (z. B. Schlösser, Sicherheitsrichtlinien, Verschlüsselung, Zugangsrechte für Informationssysteme usw.), einschließlich insbesondere der Einführung des Ablaufs bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde;

(v) die Gesellschaft sollte personenbezogene Daten nur für die zur Erfüllung des oben angeführten Zwecks unbedingt notwendige Zeit verarbeiten und danach sollte sie personenbezogene Daten entweder anonymisieren oder vernichten; die Pflicht der Gesellschaft, in einem unbedingt notwendigen Umfang das Verzeichnis der betroffenen Personen, die der Übersendung von unerbetener Werbung durch die Gesellschaft widersprochen haben, zu führen, bleibt davon unberührt;

(vi) die Gesellschaft sollte im Rahmen jedes Kontakts mit der betroffenen Person dieser ermöglichen, dass sie auf eine einfache und leicht zugängliche Art ausschließen kann, dass sie von der Gesellschaft jederzeit in der Zukunft in Form von Direktmailing kontaktiert wird (sog. Opt-out) [13], [14]. Im Hinblick auf die obigen Ausführungen sind wir daher der Auffassung, dass auch die Verhältnismäßigkeitsprüfung für die oben erwähnte Verarbeitung personenbezogener Daten unter der Voraussetzung der Erfüllung der oben angeführten Garantien erfüllt wurde.

2.6 Ausgewählte Pflichten der Gesellschaft, die sich aus der Grundverordnung ergeben

Wir weisen darauf hin, dass zusammen mit jedem adressierten schriftlichen Antrag für einen Beitrag zu Wohltätigkeitszwecken, spätestens jedoch innerhalb von 1 Monat nach Erhebung personenbezogener Daten die Gesellschaft verpflichtet ist, betroffene Personen insbesondere über folgendes in Kenntnis zu setzen [15]:

(i) Identifikations- und Kontaktdaten der Gesellschaft als des Verantwortlichen,

(ii) Kontaktangaben des eventuellen Datenschutzbeauftragten,

(iii) Zweck und Rechtsgrundlage der Verarbeitung personenbezogener Daten, d. h. Direktmailing aufgrund eines berechtigten Interesses gemäß Art. 6 Abs. 1 Lit. f) DSGVO,

(iv) Kategorie der betreffenden personenbezogenen Daten, d. h. Vor- und Zuname und Adresse,

(v) eventuelle Empfänger oder Kategorien von Empfängern personenbezogener Daten, d. h. Klienten der Gesellschaft im Falle einer aktiven Beantwortung des Antrags für einen Beitrag seitens der betroffenen Person,

(vi) eventuelle Absicht der Gesellschaft, personenbezogene Daten außerhalb der EU zu übermitteln,

(vii) Dauer, für die die personenbezogenen Daten gespeichert werden, gegebenenfalls die Kriterien für die Festlegung dieser Dauer,

(viii) nähere Spezifikation der berechtigten Interessen der Gesellschaft und der Klienten der Gesellschaft aus dem Kreis der Wohltätigkeitsorganisationen,

(ix) Hinweis auf einige Rechte der betroffenen Personen gemäß DSGVO, zum Beispiel das Recht auf Auskunft über die personenbezogenen Rechte, das Recht auf deren Korrektur, Löschung und Einschränkung der Verarbeitung, das Recht, Widerspruch gegen die Verarbeitung personenbezogener Daten einzulegen, das Recht auf Übertragbarkeit personenbezogener Daten, das Recht auf Beschwerde bei einer Aufsichtsbehörde, die in der Tschechischen Republik das Amt für den Schutz personenbezogener Daten ist,

(x) Quelle, aus der die personenbezogenen Daten stammen, d. h. aus öffentlichen Datenbanken.

Die Gesellschaft sollte des Weiteren regelmäßig überprüfen, ob sie auch Weiterhin die Bedingungen für die Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses der Gesellschaft oder von Klienten der Gesellschaft erfüllt.

Die Gesellschaft ist des Weiteren verpflichtet, eine Liste der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen.

2.7 Stellungnahmen von Fachleuten in der ausländischen Literatur der übrigen EU-Mitgliedsländer

Im Rahmen der Beurteilung der gegenständlichen Rechtsproblematik haben wir auch ausländische Fachliteratur analysiert, wobei die oben angeführten Schlussfolgerungen auch fachliche Assoziationen in Deutschland und Österreich vertreten, wie z. B. der Deutsche Dialogmarketing Verband [16], die größte nationale Assoziation der Dialogmarketing-Unternehmen in Europa und einer der führenden Verbände der Kommunikationsindustrie in Deutschland, die seit dem Jahr 1948 existiert und Interessen von Benutzern und Dienstleistern vertritt), DMVÖ – Dialog Marketing Verband Österreich [17]) und/oder Wirtschaftskammer Österreich [18]).

Auf der Website der Wirtschaftskammer Österreich wird z. B. folgendes angeführt:

„Datenermittlung

Adressverlage und Direktmarketingunternehmen sind zum Zweck der Vorbereitung und Durchführung von Marketingaktionen Dritter oder für das Listbroking zur Datenermittlung aus folgenden Quellen berechtigt:

  • öffentlich zugängliche Informationen (z. B. bereits aufgezeichnete öffentlich zugängliche Daten aus Firmenbuch, Grundbuch, Gewerberegister, Telefonbuch etc., aber auch an öffentlich zugänglichen Orten möglicher Wahrnehmungen, die für Marketingzwecke erst aufgezeichnet werden müssen),
  • Befragung der Betroffenen,
  • Kunden- und Interessentendateien Dritter,
  • Marketingdateien anderer Adressverlage und Direktmarketingunternehmen.“ [19] 

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.