Content

20. Kapitel: Datenschutzrecht in:

Axel Birk, Joachim Löffler

Marketing- und Vertriebsrecht, page 585 - 611

Lehr- und Praxishandbuch zum Gewerblichen Rechtsschutz, Kartell- und Vertriebsrecht

1. Edition 2012, ISBN print: 978-3-8006-4268-7, ISBN online: 978-3-8006-4269-4, https://doi.org/10.15358/9783800642694_585

Bibliographic information
Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 558 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 559 20. Kapitel: Datenschutzrecht Lit.: Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl., Frankfurt/M. 2011; Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, Kap. 9.2; Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl., Baden-Baden 2011 20.1 Überblick Ausgangsfall: Churn Management K und B sind Wettbewerber auf dem Strommarkt. Die B führte Anfang 2009 eine Briefwerbeaktion durch. Dabei schrieb sie gezielt Kunden, die von der B zur K gewechselt waren, an. Dazu benötigte B jeweils den Namen und die Adresse der ehemaligen Kunden. Diese Kundendaten hatte B zur Durchführung der Stromlieferungsverträge erhoben und gespeichert. Um die Wechselkunden zu identifizieren, waren die Datensätze nach zwei Kriterien sortiert worden, nämlich dem Kriterium „ehemaliger Kunde von B“ und dem Kriterium „aktuell Kunde von K“. Die B ist der Ansicht, dass die Daten ehemaliger Kunden dazu verwendet werden können, diese wieder zurückzugewinnen, auch wenn sie ursprünglich zu einem anderen Zweck gespeichert wurden. K macht dagegen geltend, dass es dafür ausreiche, die Daten nach dem Kriterium „ehemaliger Kunde von B“ zu sortieren. Die Verwendung eines zweiten Kriteriums „aktuell Kunde von K“ sei unzulässig. Außerdem hätte B die angeschriebenen Personen über das Recht auf Widerspruch gegen die Verwendung der Kontaktdaten aufklären müssen. (OLG Köln, 14.08.2009 – 6 U 70/09, GRUR-RR 2010, 34 „Rückgewinnungsschreiben“) 20.1.1 Rechtsgrundlagen 20.1.1.1 Grundrecht auf informationelle Selbstbestimmung Aus Anlass der im Jahr 1983 stattfindenden Volkszählung kam es zu einem Grundsatzurteil des BVerfG, in welchem das Gericht aus dem Grundrecht auf Schutz der Persönlichkeit zugleich ein Recht auf „informationelle Selbstbestimmung“ abgeleitet hat.1 Danach hat der einzelne Bürger die Befugnis, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. Personenbezogene Informationen sind dadurch zu einem Gut geworden, über das andere nur mit Einwilligung des Betroffenen oder auf Grund einer gesetzlichen Ermächtigung verfügen können. Da es sich bei Daten um immaterielle Güter handelt, besteht ein erhöhtes Risiko, dass der einzelne nicht mehr erkennen kann, wer was und wieviel über ihn weiß. Das Datenschutzrecht dient 1 Grundlegend BVerfG, 15.12.1983 – 1 BvR 209/83, NJW 1984, 419. 20. Kapitel: Datenschutzrecht 20.1 Überblick Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 558 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 559 20.1 Überblick 559 dazu, dem Bürger die Kontrolle über die Informationen zu seiner Person zu ermöglichen. Aus dieser Rechtsentwicklung ergibt sich zugleich, dass das Recht auf informationelle Selbstbestimmung und damit der Datenschutz nur für natürliche Personen und nicht für Unternehmen gelten, wie sich aus § 3 Abs. 1 BDSG ergibt.2 Allerdings kann es sein, dass Informationen über eine Gesellschaft sich auch auf einzelne von deren Gesellschaftern beziehen, wodurch die Informationen dann Personenbezug erhalten. Beispiel:3 K ist Immobilienkaufmann. B betreibt eine Auskunftsstelle für Handels- und Kreditauskünfte. K war alleiniger Gesellschafter und Geschäftsführer der E-GmbH, die wegen Insolvenz aus dem Handelsregister gelöscht wurde. B hat für Kreditauskünfte Angaben zur Person des K gespeichert, die er auf Anfrage Dritten mitteilt. Unter der Überschrift „Persönliches“ ist u. a. vermerkt, dass K Gesellschafter und Geschäftsführer der E-GmbH war. Weiter heißt es dort: „Die Eröffnung des Insolvenzverfahrens lehnte das Gericht mangels Masse am … ab.“ Der BGH hat die Informationen über die Gesellschafter- und Geschäftsführerstellung des K als personenbezogene Daten gewertet. Informationen über die Firma eines Einzelkaufmanns oder einer Ein-Mann-GmbH sind daher regelmäßig personenbezogene Daten. 20.1.1.2 Gesetze zum Datenschutz Der Datenschutz ist ein unübersichtliches Rechtsgebiet.4 Zum einen gibt es gleich mehrere Datenschutzgesetze und eine Vielzahl an verstreuten Datenschutzregelungen in anderen Gesetzen.5 Zum anderen sind die Struktur des für den Datenschutz zentralen Bundesdatenschutzgesetzes (BDSG), seine Prinzipien und seine Terminologie beim ersten Lesen nicht ganz einfach zu verstehen.6 Für das Marketing bedeutsam sind das BDSG und das Telemediengesetz (TMG). Letzteres enthält einige, das BDSG ergänzende Spezialvorschriften (siehe 20.4). a) Verhältnis des BDSG zu anderen Datenschutzgesetzen Das Verhältnis zwischen den besonderen Datenschutzregelungen und dem BDSG regelt § 1 Abs. 3 S. 1 BDSG. Danach haben in ihrem jeweiligen Anwendungsbereich die bereichsspezifischen Datenschutzvorschriften, wie insbesondere das TMG, Vorrang vor dem BDSG. Schlagwortartig kann man den Anwendungsbereich des TMG mit den Angeboten im Internet kennzeichnen. 2 OLG Karlsruhe, 02.12.1986 – 12 U 43/86, GmbHR 1988, 62. Im Bereich der Telekommunikation erstreckt sich der Datenschutz gemäß TKG ausnahmsweise auch auf Unternehmen. 3 BGH, 17.12.1985 – VI ZR 244/84, NJW 1986, 2505. 4 Vgl. Simitis, in Simitis (2011), Einleitung, insbes. Rn. 103 ff. 5 Daneben gibt es insbesondere noch die Landesdatenschutzgesetze und die datenschutzrechtlichen Regeln des Telekommunikationsgesetzes. 6 Hilfestellungen geben die Internetseiten der Datenschutzbeauftragten des Bundes und der Länder (http://www.bfdi.bund.de/cln_134/Vorschaltseite_DE_node.html) sowie das Innenministerium Baden-Württemberg unter http://www.innenministerium. baden-wuerttemberg.de/de/Datenschutz/83821.html. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 560 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 561 20. Kapitel: Datenschutzrecht560 Beispiel: Die Abfrage von Daten des Bestellers beim Online-Shopping unterfällt in erster Linie dem TMG. Erst wenn sich dort keine Bestimmungen für eine konkrete Fragestellung finden, kann auf das BDSG zurückgegriffen werden. b) Aufbau des BDSG Das BDSG gliedert sich in insgesamt sechs Abschnitte, wovon in der Praxis die ersten drei am wichtigsten sind. Das Gesetz unterscheidet in den Abschnitten zwei und drei danach, ob derjenige, der die Daten erhebt, verarbeitet oder nutzt (sog. „verantwortliche Stelle“ nach § 3 Abs. 7 BDSG), eine „öffentliche“ oder eine „nicht-öffentliche Stelle“ ist. Die Begriffe werden in § 2 BDSG definiert: Öffentliche Stellen sind insbesondere staatliche Behörden. Unternehmen, die Marktforschung betreiben oder Kundendaten erheben, sind nicht-öffentliche Stellen. Derjenige, bei dem die Daten erhoben werden, nennt das Gesetz den „Betroffenen“. Von den Unternehmen, die Daten erheben, und dem Betroffenen zu unterscheiden sind die „Dritten“. Nach der Definition in § 3 Abs. 8 BDSG sind das all diejenigen, die an der Datenerhebung nicht beteiligt sind, an die aber Daten übermittelt werden.7 In Abschnitt eins des BDSG finden sich Vorschriften, die allgemein für alle verantwortlichen Stellen, seien sie öffentlich oder nicht-öffentlich, gelten. Im Ergebnis kann man festhalten, dass für die Unternehmen nur die Abschnitte eins (§§ 1–11 BDSG) und drei (§§ 27–38a BDSG) von Bedeutung sind. 20.1.2 Grundbegriffe des Datenschutzes 20.1.2.1 Personenbezogene Daten a) Angaben über persönliche und sachliche Verhältnisse Geschützt werden nach § 1 BDSG personenbezogene Daten über persönliche und sachliche Verhältnisse einer natürlichen Person (des Betroffenen). Personenbezogene Daten sind „alle Informationen, die über eine Bezugsperson etwas aussagen oder mit ihr in Verbindung zu bringen sind“.8 Entscheidend ist, dass die Informationen einer Person zugeordnet werden können, wobei es ausreicht, wenn die Person bestimmbar ist. Beispiel: Eine IP-Adresse lässt grundsätzlich keine Zuordnung zu einem Nutzer zu, weil es kein öffentliches Verzeichnis gibt, aus dem sich entnehmen lässt, welche konkrete Person welche konkrete IP-Adresse nutzt. Die IP-Adresse im Büro gehört aber zu den personenbezogenen Daten, weil sie einen bestimmten Computerarbeitsplatz und damit einen bestimmten Arbeitnehmer zugeordnet ist. Zu den persönlichen Verhältnissen gehören insbesondere • alle Identifikationsmerkmale einer Person, wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Geburtstag, 7 Den Begriff „Übermittlung“ definiert § 3 Abs. 4 S. 2 Nr. 3 BDSG. 8 BGH, 23.06.2009 – VI ZR 196/08, NJW 2009, 2888 „spickmich.de“ Rn. 17. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 560 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 561 20.1 Überblick 561 • alle körperlichen Merkmale, wie Geschlecht, Augenfarbe, Größe, Gewicht sowie Angaben über den Gesundheitszustand und • alle institutionellen Merkmale, wie Religion, Partei-, Gewerkschafts- oder Vereinsmitgliedschaften, Gesellschafterstellung und Steuerklasse. Zu den sachlichen Verhältnissen gehören unter anderem Informationen über • die Vermögens- und Eigentumsverhältnisse sowie Vertragsbeziehungen, • das Nutzer-, Kommunikations- und Konsumentenverhalten sowie • den Arbeitsplatz, die berufliche Stellung und die dienstliche Beurteilungen einer Person. Nicht nur Tatsachenangaben sondern auch Meinungsäußerungen, Beurteilungen und Werturteile, die sich auf eine bestimmte oder bestimmbare Person beziehen, sind personenbezogene Daten. Beispiel:9 Die Bewertungen von Lehrern auf einer Internetplattform für Schüler sind personenbezogene Daten und unterfallen somit dem BDSG. b) Fehlender Personenbezug, Anonymisierung und Pseudonymisierung Informationen und Angaben, die keinen konkreten Personen zugeordnet werden können, sind keine personenbezogenen Daten und unterfallen somit auch nicht dem Datenschutzrecht. Der Personenbezug kann von Anfang an fehlen oder später wegfallen. Beispiel: Der Personenbezug fehlt von vornherein, wenn bei Markt- und Kundenbefragungen die Befragten keine Angaben zur Person machen müssen, also insbesondere keine Angaben zu Name und Adresse. Daher werden Umfragen zur Markt- und Konsumentenforschung häufig von vornherein anonym durchgeführt, weil dann das Datenschutzrecht nicht eingreift. Ein Personenbezug fehlt bzw. entfällt bei aggregierten, nach einem oder mehreren gemeinsamen Kriterien zusammengefassten Daten, die für eine Mehrheit von Personen gelten. Beispiel: Auf der Internetplattform „Schulradar“ wird von den Schülern u. a. die „Qualität der Lehrer“ an der jeweiligen Schule pauschal bewertet, ohne dass einzelnen Lehrern Noten zugeordnet sind. Zweifelhaft ist der Personenbezug, wenn sich die Daten auf eine genau abgrenzbare kleine Gruppe von Personen beziehen, wie etwa die Ergebnisse der Akkordarbeit einer Montagegruppe.10 Ein ursprünglich vorhandener Personenbezug von Daten fällt weg, wenn die Daten nach der Erhebung anonymisiert oder pseudonymisiert werden. Gemäß § 3 Abs. 6 BDSG sind Daten anonymisiert, wenn sie einzelnen Personen nicht mehr oder nur unter unverhältnismäßig großem Aufwand zugeordnet werden können. Die Anonymisierung verlangt also die Trennung der Einzelangaben 9 BGH, 23.06.2009 – VI ZR 196/08, NJW 2009, 2888 „spickmich.de“ Rn. 17. 10 Vgl. BAG, 18.02.1986 – 1 ABR 21/84, NZA 1986, 488. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 562 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 563 20. Kapitel: Datenschutzrecht562 von den Identifikationsangaben (insbes. den Namen). Werden die Identifikationsangaben gelöscht, sind die Daten endgültig anonymisiert. Werden die Datensätze lediglich technisch getrennt, bleiben aber beide in der Verfügungsgewalt eines Unternehmens, sind sie nicht anonymisiert, weil der Personenbezug wiederhergestellt werden kann. Es kann dann aber zu einer faktischen Anonymisierung kommen: Verkauft das Unternehmen die Einzelangaben getrennt von den Identifikationsdaten an eine andere Person bzw. an ein anderes Unternehmen, sind die Daten für das erwerbende Unternehmen faktisch anonymisiert, für das verkaufende Unternehmen bleiben sie personenbezogene Daten. In manchen Fällen können Daten nicht anonymisiert werden, weil sie sich nur dann sinnvoll verwenden lassen, wenn sie zumindest unter einem falschen Namen einer Person zugeordnet werden können. Der Austausch des echten Namens durch einen falschen nennt man pseudonymisieren (§ 3 Abs. 6a BDSG). Für das Pseudonymisieren gilt dasselbe wie für das faktische Anonymisieren. Beispiel: Schreiben Studenten Klausuren unter Angabe der Matrikelnummer, handelt es sich um pseudonymisierte Daten. Für den Korrektor sind die Klausuren faktisch anonymisiert und ohne Personenbezug. Für das Prüfungsamt sind es personenbezogene Daten, da jeder Matrikelnummer ein Student und die jeweilige Note zugeordnet werden kann. c) Sensible Daten Bestimmte personenbezogene Daten werden vom Datenschutzrecht als „sensible Daten“ besonders geschützt. Gemäß § 3 Abs. 9 BDSG gehören zu den sensiblen Daten Angaben über • die rassische und ethnische Herkunft, • politische Meinungen, • religiöse und philosophische Überzeugungen, • eine Gewerkschaftszugehörigkeit, • die Gesundheit, einschließlich eines etwaigen Alkohol- oder Drogenmissbrauchs, sowie • das Sexualleben. Für diese Art von Daten gibt es besondere Regeln für die Einwilligung (§ 4a Abs. 3 BDSG) und für die gesetzlich zulässige Verwendung (§§ 28 Abs. 6–9, 29 Abs. 5 BDSG). 20.1.2.2 Verwendungsformen der Daten Personenbezogene Daten werden zunächst beim Betroffenen erhoben und können anschließend verarbeitet oder genutzt werden. Die Begriffe, mit welchen die einzelnen Handlungen im Umgang mit Daten beschrieben werden, sind in § 3 BDSG definiert: • Nach § 3 Abs. 3 BDSG bedeutet „Erheben“ das Abfragen von Daten von einer identifizierbaren Person. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 562 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 563 20.1 Überblick 563 • Werden die Daten nach ihrer Erhebung anschließend gespeichert, verändert, an andere übermittelt, gesperrt oder gelöscht, spricht das Gesetz von „Verarbeitung“. Definitionen für die genannten einzelnen Verarbeitungsschritte finden sich in § 3 Abs. 4 BDSG. • Schließlich können Daten außer durch Verarbeitung noch in anderer Weise genutzt werden. Unter den Begriff der Nutzung gemäß § 3 Abs. 5 BDSG fallen Vorgänge wie das Kopieren oder die Anfertigung eines Aktenauszugs. Praxis: Aufklärung vor der Befragung Werden Markt- oder Kundenbefragungen nicht anonym, sondern unter Nennung von Name und Adresse, durchgeführt, ist der Befragte vor Beginn der Befragung gemäß § 4 Abs. 2 BDSG über die Identität des Befragungsunternehmens, den Zweck der Befragung und, wenn die Daten weitergeleitet werden, über die Empfängerunternehmen aufzuklären. Gleiches gilt, wenn ein Unternehmen in sonstiger Weise, etwa über ein Gewinnspiel, personenbezogene Daten erhebt. Der Teilnehmer muss dann schriftlich, z. B. auf der Teilnahmekarte, über diese Umstände informiert werden. Sollen die Daten zu Zwecken des Marketings verwendet werden, ist der Betroffene nach § 28 Abs. 4 BDSG außerdem darüber zu unterrichten, dass er der Verwendung seiner Daten zu diesen Zwecken widersprechen kann. In der Regel ist schließlich für die Erhebung und Verarbeitung von personenbezogenen Daten aus Befragungen zu Marketingzwecken die Einwilligung des Betroffenen erforderlich. 20.1.3 Grundsätze des Datenschutzrechts 20.1.3.1 Verbot mit Erlaubnisvorbehalt Den zentralen Grundsatz des Datenschutzrechts, das sog. „Verbot mit Erlaubnisvorbehalt“, enthält § 4 Abs. 1 BDSG. Damit ist gemeint, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten grundsätzlich verboten und nur dann zulässig ist, wenn entweder der Betroffene seine Einwilligung erteilt hat oder wenn eine gesetzliche Regelung dies erlaubt. • Wie und in welcher Form die Einwilligung des Betroffenen einzuholen ist, regelt § 4a BDSG. Sonderregeln dazu enthält § 28 Abs. 3a und 3b BDSG. • Gesetzliche Vorschriften, welche die Erhebung und Nutzung von personenbezogenen Daten für private Unternehmen erlauben, finden sich in §§ 28 ff. BDSG und in §§ 11 ff. TMG. Aus der Sicht des Marketings eines Unternehmens ist zuerst zu überlegen, welche personenbezogenen Daten auf der Grundlage gesetzlicher Vorschriften ohne Einwilligung des Kunden zu bekommen sind (siehe 20.2). Erst wenn zusätzliche Daten oder eine vom Gesetz nicht abgedeckte Verwendung der Daten von Interesse sind, muss (zusätzlich) eine Einwilligung des Betroffenen eingeholt werden (siehe 20.3). Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 564 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 565 20. Kapitel: Datenschutzrecht564 20.1.3.2 Zweckbindungs- und Erforderlichkeitsgrundsatz Der Zweckbindungsgrundsatz ist nicht ausdrücklich im BDSG geregelt. Er lässt sich aber aus den einzelnen Vorschriften des BDSG entnehmen: Personenbezogene Daten dürfen nur zu präzise bestimmten Zwecken und nicht etwa auf Vorrat erhoben und verarbeitet werden. Bevor Daten gesammelt und genutzt werden, muss daher ein konkret bestimmter Zweck festgelegt werden. Die zu dem festgelegten Zweck gesammelten Daten dürfen anschließend nicht einfach zu anderen Zwecken genutzt werden. Beispiel: Schließt das Unternehmen im Internet mit Kunden Kaufverträge ab, wird es zumindest Name, Adresse und eine Kontaktmöglichkeit (Telefonnummer oder E-Mail-Adresse) des Kunden abfragen und speichern. Der Zweck für diese Datenspeicherung ist die Abwicklung des Kaufvertrags, also etwa zur Lieferung der Kaufsache oder zur Entgegennahme von Reklamationen bei Mängeln. Etwas anderes ist es aber, wenn die Daten dazu benutzt werden sollen, demselben Kunden Werbung zu übersenden. Die nach der gesetzlichen Vorschrift des § 28 BDSG zulässige Speicherung der Daten zur Vertragsabwicklung ermöglicht es also nicht zugleich, die Daten zu Werbezwecken zu verwenden. Die Zweckbindung wird ergänzt durch den Grundsatz der Erforderlichkeit: Es dürfen immer nur soviele Daten erfragt und gespeichert werden, wie dies für den jeweiligen Zweck notwendig ist. Dieser Grundsatz wird durch § 3a BDSG ergänzt. Danach ist bereits bei der Programmierung von Datenbanken und Abfragemasken im Internet darauf zu achten, dass personenbezogene Daten nur im erforderlichen Umfang erhoben und gespeichert werden. Beispiel: Für die Abwicklung von Kaufverträgen, die über das Internet geschlossen wurden, ist die Abfrage der oben genannten verkaufsbezogenen Daten nötig. Es ist aber nicht nötig, Daten über die Religions- oder Parteizugehörigkeit, über das Geschlecht oder über die allgemeinen Eigentums- und Vermögensverhältnisse des Käufers zu erfragen und zu speichern. Der Grundsatz der Zweckbindung und Erforderlichkeit gilt auch für die Dauer der Datenspeicherung. Das Unternehmen darf rechtmäßig erhobene und verwendete Informationen nach § 35 Abs. 2 Nr. 3 BDSG nur solange speichern, wie es für die Erfüllung des Zwecks erforderlich ist. Beispiel: Nach Ablauf von zwei Jahren nach dem Kauf beweglicher Sachen sind die Gewährleistungsrechte des Kunden nach § 438 BGB verjährt. Für eine weitere Speicherung der Kundendaten ist damit der Zweck entfallen (näher dazu 21.1.1.1). 20.1.3.3 Transparenzgrundsatz Der Betroffene soll nach der Konzeption des BDSG wissen, was mit „seinen“ Daten geschieht. Eine Reihe von Vorschriften versucht, für die betroffenen Personen Transparenz zu schaffen: Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 564 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 565 20.1 Überblick 565 a) Grundsatz der Direkterhebung und Information Daten sind nach § 4 Abs. 2 S. 1 BDSG grundsätzlich bei der betroffenen Person direkt, und nicht über die Befragung anderer Personen, zu erheben. Jeder soll merken, wer, bei welcher Gelegenheit und zu welchem Zweck Daten von ihm abfragt. Deshalb ist derjenige, welcher die Daten erhebt, gemäß § 4 Abs. 3 und § 33 BDSG verpflichtet, die betroffenen Personen über seine Identität, den Zweck der Datenabfrage, die Art und die Verwendung der Daten zu unterrichten („Datenschutzerklärung“). Sollen die Daten an Dritte übermittelt werden, ist deren Identität anzugeben. Ein Verstoß gegen die Unterrichtungspflicht führt dazu, dass die Daten nicht verarbeitet werden dürfen. Praxis: Datenschutzerklärung Fa. Engelhorn/Mannheim „Wir wissen, dass Ihnen der sorgfältige Umgang mit Ihren personenbezogenen Daten sehr wichtig ist. Da der Datenschutz bei Engelhorn auch deshalb einen hohen Stellenwert einnimmt, halten wir uns bei der Erhebung, Verarbeitung und Nutzung streng an die gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes und des Telemediengesetzes. Zur Kreditprüfung und Bonitätsüberwachung kann die Weitergabe Ihrer Adress- und Bonitätsdaten an andere Konzernunternehmen, Konzernversandhandels- und Konzerndienstleistungsunternehmen sowie auch die Schufa und andere Wirtschaftsinformationsdienste erfolgen. Insbesondere bei gewünschter Lieferung auf Rechnung ist erforderlich, dass wir zu Zwecken der Bonitätsprüfung Daten wie Ihren Namen, Ihr Geburtsdatum und Ihre Anschrift mit folgendem Dienstleister austauschen: CEG Creditreform Consumer GmbH, Europadamm 2–6, 41460 Neuss. Adress- und Bestelldaten werden von uns sowie den zur Engelhorn-Gruppe gehörenden Unternehmen weiter für eigene Marketingzwecke erhoben, verarbeitet und an unsere Kooperationspartner für elektronische Werbung weitergegeben, wenn Sie dem zustimmen. Dazu werden Sie im Verlauf des Bestellvorgangs befragt. Unsere Kooperationspartner sind: Wiethe Interaktiv GmbH & Co. KG, Hermann-Müller-Straße 12, 49124 Georgsmarienhütte und eCircle GmbH, Nymphenburger Str. 86, 80636 München. Ihre schutzwürdigen Belange werden bei der Datenverarbeitung gemäß den gesetzlichen Bestimmungen berücksichtigt. Unsere Kooperationspartner haben wir ebenfalls auf die Einhaltung der gesetzlichen Bestimmung verpflichtet. Daten werden ausschließlich im notwendigen Umfang gespeichert, verarbeitet und soweit im Rahmen der Bestellabwicklung oder aus technischen Gründen erforderlich ggf. an verbundene Unternehmen oder unsere vorbezeichneten Kooperationspartner weitergegeben. Hinweis: Sie können der Nutzung, Verarbeitung oder Übermittlung Ihrer Daten zu Marketingzwecken jederzeit durch Mitteilung an uns, engelhorn sports GmbH, O 4,8, 68161 Mannheim, Postfach 12 05 53, 68056 Mannheim, oder info@engelhorn.de Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 566 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 567 20. Kapitel: Datenschutzrecht566 widersprechen bzw. Ihre Einwilligung widerrufen. Wir werden im Falle des Erhalts Ihres Widerspruchs bzw. Widerrufs die hiervon betroffenen Daten nicht mehr zu Marketingzwecken nutzen, verarbeiten und die weitere Zusendung von Werbemitteln einschließlich unseres Kataloges unverzüglich einstellen bzw. Ihre Daten nicht für Marketingzwecke weitergeben.“ (Abrufbar unter: www.engelhorn.de unter dem Link „Datenschutz“) b) Auskunftsrecht der betroffenen Personen Nach der Datenerhebung hat der Betroffene gemäß § 34 BDSG das Recht auf Auskunft über die gespeicherten Daten. Stellt er dabei fest, dass über ihn unrechtmäßige oder unzutreffende Daten gespeichert sind, kann er nach § 35 BDSG deren Löschung verlangen. Beispiel: Die „SCHUFA“ erhebt Daten von Bankkunden und stellt die kreditrelevanten Informationen den Banken zur Verfügung. Über die Homepage (http:// www.schufa.de/de/home/) hat jeder Bürger die Möglichkeit, sich über die von ihm gespeicherten Daten zu informieren und ggf. zu korrigieren. Die SCHUFA hat nach § 34 Abs. 2 BDSG die betroffene Person zudem über die Scoringwerte zu informieren, welche zur Einschätzung der Kreditwürdigkeit verwendet werden. Praxis: Gestaltung der Datensätze Um den Anforderungen des § 34 BDSG Genüge zu tun und etwaige Anfragen betroffener Personen beantworten zu können, müssen die zu Marketingzwecken gespeicherten Datensätze des Unternehmens mindestens folgende Informationen enthalten: – Zweck der Datenspeicherung (Abwicklung Kaufvertrag vom …, Werbeaktion vom …), – Identifikationsdaten (Name, Adresse, Telephonnummer, Kundennummer etc.), – Kaufbezogene Daten (Artikelnummer, Kaufdatum, Preis etc.), – Weitere marketingrelevante Daten (bisherige Einkäufe, zugesandte Werbung etc.), – Herkunft der Daten (selbst erhoben/erhoben von externem Dienstleister Firma …), – Unternehmen, an welche die Kundendaten ggf. übermittelt werden. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 566 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 567 20.2 Gesetzlich zulässige Datenverarbeitung 567 20.2 Gesetzlich zulässige Datenverarbeitung 20.2.1 Überblick über die gesetzlichen Erlaubnistatbestände Die §§ 28 ff. BDSG unterscheiden nach den Verwendungszwecken der Datenerhebung und Datenverarbeitung. Die grundlegende Unterscheidung der §§ 28, 29 BDSG differenziert danach, ob die Daten von dem Unternehmen zu „eigenen Geschäftszwecken“ oder zum „Zweck der Übermittlung“ erhoben werden. Maßgebliches Kriterium dafür ist, ob die Daten selbst bereits den Geschäftszweck darstellen und die Informationen anschließend „als Ware verkauft“ werden oder ob sie lediglich dazu dienen, ein anderes Geschäft zu ermöglichen bzw. abzuwickeln.11 Beispiel: Sind bei einer Bestellung im Internet vom Kunden Name, Adresse etc. anzugeben, erfolgt dies zu eigenen Zwecken des Online-Shops, weil dadurch die Vertragsabwicklung erst ermöglicht wird. Dagegen ist die Datenerhebung bei Auskunfteien und Marktforschungsunternehmen selbst schon der Geschäftszweck, weil diese Informationen anschließend an die Kunden verkauft werden. Die Abgrenzung kann schwierig sein, wenn das Unternehmen sowohl eigene als auch andere Zwecke mit der Datenerhebung verfolgt. Beispiel:12 Die Internet-Plattform „spickmich.de“ dient der Beurteilung von Lehrern und Schulen sowie als Schülernetzwerk. Die zu den einzelnen Lehrern gesammelten Bewertungen sind personenbezogene Daten, welche zum Zweck der Übermittlung an andere Nutzer erhoben und verarbeitet werden. Die Plattform finanziert sich über die geschaltete Werbung. Daher erfolgt die Datenverwendung indirekt auch zu eigenen Zwecken des Plattformbetreibers, der ein werbefinanziertes Geschäftsmodell aufgebaut hat. Nach Ansicht des BGH besteht der primäre Zweck der Datenerhebung darin, andere Schüler und Eltern über die Lehrer zu informieren und einen Meinungsaustausch zu ermöglichen. Die Daten würden zum Zweck der Übermittlung erhoben und verwendet. Dass die Daten zugleich die Finanzierung der Plattform über Werbung ermöglichen, sei nicht der eigentliche Zweck der Datenerhebung, sondern nur ein Nebeneffekt. Die datenschutzrechtliche Zulässigkeit werbefinanzierter Informationsplattformen und des Social Web ist daher in der Regel anhand von § 29 BDSG zu prüfen. Denkbar ist es auch, dass das Unternehmen die Daten sowohl zu eigenen als auch zu fremden Zwecken verarbeitet. In diesem Fall sind dann sowohl die Vorgaben des § 28 als auch des § 29 BDSG zu beachten.13 Neben der Grundunterscheidung enthalten die §§ 28 ff. BDSG noch Sondervorschriften zu folgenden marketingrelevanten Bereichen: • § 28 Abs. 3–5 BDSG: Datenverarbeitung zu Werbe- und Marketingzwecken sowie zum Zweck des Adresshandels, 11 Vgl. Simitis, in: Simitis (2011), § 28 Rn. 22 ff. 12 BGH, 23.06.2009 – VI ZR 196/08, NJW 2009, 2888 „spickmich.de“ Rn. 24. 13 Vgl. Simitis, in: Simitis (2011), § 28 Rn. 25 ff. 20.2 Gesetzlich zulässige Datenverarbeitung Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 568 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 569 20. Kapitel: Datenschutzrecht568 • § 28a BDSG: Datenverarbeitung über kreditrelevante Informationen durch Auskunfteien, • § 30a BDSG: Datenverarbeitung zu Zwecken der externen Markt- und Meinungsforschung. 20.2.2 Datenverwendung zu eigenen Zwecken: § 28 BDSG Die Vorschrift des § 28 BDSG ist nicht ganz einfach zu überblicken und kompliziert formuliert: • Abs. 1 enthält die Grundregel für die Datenerhebung zu eigenen Zwecken, • Abs. 2 befasst sich mit der Zulässigkeit einer Übermittlung oder Nutzung von Daten, die ursprünglich zu einem anderen Zweck erhoben wurden, • Abs. 3–5 enthalten Sonderregeln der Datenverarbeitung zu Werbe- und Marketingzwecken und die • Abs. 6–9 enthalten besondere Vorschriften für sensible Daten i. S. d. § 3 Abs. 9 BDSG. Die Grundregel der Datenerhebung und Datenverarbeitung zu eigenen Geschäftszwecken in Abs. 1 enthält drei Gründe für eine zulässige Datenverwendung. Danach ist das „Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten … für die Erfüllung eigener Geschäftszwecke“ zulässig, 1. wenn es für Abwicklung von Rechtsgeschäften erforderlich ist, 2. wenn es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist, oder 3. wenn die verwendeten Daten allgemein zugänglich sind. Die drei Zwecke sind alternativ zueinander zu verstehen: Werden Daten nach der Nr. 1 etwa zum Zweck der Vertragsabwicklung erhoben und verarbeitet, können sie anschließend nicht gemäß Nr. 2 zu anderen „berechtigten Interessen des Unternehmens“ verwendet oder mit weiteren Informationen ergänzt werden.14 20.2.2.1 Datenerhebung zu Vertragszwecken (Nr. 1) Nach der Nr. 1 sind Unternehmen berechtigt, alle erforderlichen Daten zur Begründung, Durchführung oder Beendigung von Rechtsgeschäften zu erheben. Die Vorschrift ist somit die Rechtsgrundlage zur Speicherung von Kundendaten. Beispiel: Rechtsgeschäfte entstehen nicht nur durch Verträge mit Kunden, sondern auch durch Werbeaktionen wie Gewinnspiele, Probeabonnements etc., bei denen der Kunde zur Teilnahme seinen Namen und seine Adresse angibt. In jedem Fall ist das Unternehmen berechtigt, Name und Adresse des Vertragspartners, eine schnelle Kontaktmöglichkeit (Telefonnummer, E-Mail-Adresse) 14 Zum Verhältnis der drei Varianten zueinander: siehe Simitis, in: Simitis (2011), § 28 Rn. 53 ff. und 98 ff. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 568 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 569 20.2 Gesetzlich zulässige Datenverarbeitung 569 und die Inhalte des Kaufvertrags zu speichern. Welche zusätzlichen Daten für die Abwicklung von konkreten Rechtsgeschäften „erforderlich“ sind, hängt von der Art des Vertrages ab. Beispiel: Erforderlich sind allgemein u. a. die Speicherung von etwaigen Reklamationen oder Serviceanfragen des Kunden sowie von Informationen über das Zahlungsverhalten des Kunden („offene Postenliste“). § 28 Abs. 1 Nr. 1 BDSG erlaubt aber weder die Speicherung von Kundeninformationen über die Abwicklung des konkreten Rechtsgeschäfts hinaus, also etwa zu Zwecken der Werbung, noch gar eine Erstellung detaillierter personenbezogener Kundenprofile bzw. Kundendossiers, noch eine dauerhafte Speicherung von Kundendaten auf Vorrat. Beispiel: Bei einem Kaufvertrag sind die Kundendaten gemäß § 35 Abs. 2 Nr. 3 BDSG wieder zu löschen, sobald keine Gewährleistungsansprüche mehr geltend gemacht werden können, also spätestens mit Ablauf der Zweijahresfrist des § 438 BGB. Bei Dauerschuldverhältnissen, wie etwa einem Mietvertrag oder Stromlieferung, sind die Daten zu löschen, wenn nach der Kündigung und Beendigung des Vertrags mit keinen Ansprüchen mehr zu rechnen ist. 20.2.2.2 Datenerhebung zur Wahrung berechtigter Interessen (Nr. 2) § 28 Abs. 1 Nr. 2 BDSG enthält eine generelle Regelung („Generalklausel“) für die Datenerhebung und Datenverarbeitung zu eigenen Geschäftszwecken. Die Vorschrift enthält vier sehr allgemein formulierte Voraussetzungen: • Das Unternehmen muss ein „berechtigtes Interesse“ an der Datenverwendung haben, sei es ideeller oder wirtschaftlicher Art, und • die Datenerhebung muss zur Umsetzung des Interesses „erforderlich“ sein. • Der Datenverwendung darf kein „schutzwürdiges Interesse“ des Betroffenen entgegenstehen, • welches das Interesse des Unternehmens „überwiegt“. Beispiel: Warenhersteller haben ein berechtigtes Interesse an der längerfristigen Speicherung von Kundendaten, um im Fall von Produktfehlern zur Vermeidung einer Produkthaftung gezielte Rückrufaktionen durchführen zu können. Dazu reicht es aus, Name und Adresse der Kunden zu speichern. Die Speicherung weitergehender Informationen über den Kunden ist dazu nicht erforderlich und damit auch nicht zulässig. Für die Erhebung und Speicherung von Daten potentieller Kunden und Interessenten besteht ein berechtigtes Interesse des Unternehmens. Erforderlich sind dazu Name, Adresse und eine schnelle Kontaktmöglichkeit. Der Speicherung weiterer Informationen etwa über persönliche Gewohnheiten und Verhaltensweisen potentieller Kunden stehen aber „schutzwürdige Interessen“ des potentiellen Kunden entgegen. Eine Speicherung solcher Daten ist daher unzulässig. a) Interessenabwägung Die Vorschrift selbst enthält keine klaren Vorgaben zur Zulässigkeit der Datenverwendung. Hinzu kommt, dass es bislang nur wenig Rechtsprechung Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 570 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 571 20. Kapitel: Datenschutzrecht570 gibt, welche nähere Vorgaben zur erforderlichen Abwägung der beiderseitigen Interessen macht. Wer sich bei der Erhebung und Verarbeitung von Daten auf § 28 Abs. 1 Nr. 2 BDSG beruft, muss sich der erheblichen Rechtsunsicherheit bewusst sein. Im Ernstfall eines Rechtsstreits läuft es auf eine Interessenabwägung hinaus, deren Ergebnis nur schwer zu prognostizieren ist: Das Interesse des Unternehmens ist regelmäßig ökonomischer Art: Es interessiert sich für die Konsumgewohnheiten, das Zahlungsverhalten und die finanziellen Verhältnisse oder den gesellschaftlichen Status der (aktuellen und potentiellen) Kunden. Auf der Seite des Betroffenen ist maßgeblich, inwieweit die Daten Einblicke in die persönliche Lebensführung gestatten, indem sie z. B. die Erstellung von Kundenprofilen oder Aussagen über die finanzielle Situation ermöglichen. Beispiel:15 Der DFB hat bei der Fußball-WM 2006 von sämtlichen Ticketbestellern nicht nur Name und Adresse, sondern auch die Nummer des Personalausweises verlangt und gespeichert. Die gespeicherte Nummer wurde beim Einlass in das Stadion später von Kontrolleuren überprüft. Der Abgleich war Bestandteil eines zweistufigen Systems, mit welchem der DFB die Sicherheit bei den Veranstaltungen gewährleisten wollte. Das Landgericht Frankfurt hat im Rahmen der nach § 28 Abs. 1 Nr. 2 BDSG vorzunehmenden Abwägung entschieden, dass das Interesse des DFB an einer möglichst gefahrlosen Veranstaltung der Fußballspiele das Interesse des einzelnen Ticketbesitzers an den Daten seines Personalausweises überwiegt. Die Verpflichtung, sich um die Sicherheit der Stadionbesucher zu sorgen, ist eine Nebenpflicht des Veranstalters aus § 241 Abs. 2 BGB. Das Interesse des DFB war daher hoch zu bewerten. Die Erhebung der Ausweisnummer war nach Ansicht des Gerichts auch erforderlich, weil insbesondere bei den ausländischen Fußballfans, etwa aus China, Japan oder Russland, eine Kontrolle anhand des Namens und der Adresse nicht zuverlässig hätte vorgenommen werden können. Dagegen war das Risiko der Ticketbesitzer gering, weil die Ausweisnummer keine Einblicke in die privaten Lebensumstände ermöglicht. b) Bonitätsdaten Die Regel des § 28 Abs. 1 Nr. 1 BDSG erlaubt nur die Speicherung von Informationen zur Zahlungsabwicklung des konkreten Vertrags. Ist das Rechtsgeschäft abgewickelt, sind diese Daten wieder zu löschen. Soll der Kauf auf Rechnung, auf Raten oder auf Kredit erfolgen, sind Unternehmen aber daran interessiert, bereits vor Abschluss von Rechtsgeschäften die Zahlungsbereitschaft bzw. Zahlungsfähigkeit der Kunden einschätzen zu können. Die Erhebung und Speicherung von Daten zur Bonität des Kunden erlaubt § 28 Abs. 1 Nr. 2 BDSG, allerdings begrenzt auf die sog. „harten Negativmerkmale“,16 d. h. auf Fälle der vom Kunden anerkannten oder gerichtlich festgestellten Zahlungsunwilligkeit oder Zahlungsunfähigkeit.17 Beispiel: Harte Negativmerkmale für die Bonität sind die Eröffnung eines Insolvenzverfahrens, gerichtlich festgestellte Forderungen oder die Durchführung einer Zwangsvollstreckung. Weiche Negativmerkmale sind einseitig vom Gläu- 15 LG Frankfurt, 23.05.2006 – 2-01 S 111/06, MMR 2006, 769. 16 BGH, 07.07.1983 – III ZR 159/82, NJW 1984, 436. 17 OLG Koblenz, 23.09.2009 – 2 U 423/09, MMR 2010, 277; OLG Frankfurt, 18.06.2008 – 23 U 221/07, NJW-RR 2008, 1228. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 570 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 571 20.2 Gesetzlich zulässige Datenverarbeitung 571 biger veranlasste Maßnahmen, wie insbesondere die Mahnung oder die Kreditkündigung, die weder gerichtlich geprüft noch vom Schuldner anerkannt sind. Weiche Negativmerkmale erhalten ein größeres Gewicht und werden zu harten Negativmerkmalen, wenn der Schuldner die Forderung entweder anerkannt hat oder zumindest nicht bestreitet. § 28a Abs. 1 BDSG bestimmt detailliert, welche Bonitätsdaten auch an externe Auskunfteien übermittelt werden dürfen. Das sind nur harte und mittlere Negativmerkmale. Sollen an die Auskunftei auch weiche Negativmerkmale übermittelt werden, ist der Betroffene davon zu informieren und ihm Gelegenheit zu geben, der Übermittlung zu widersprechen.18 Werden zur Bewertung der Bonität der Kunden außerdem statistische Scoringverfahren eingesetzt, hat das Unternehmen zusätzlich die Regelung des § 28b BDSG zu beachten (dazu näher unten 21.1.3). 20.2.2.3 Datenerhebung aus allgemein zugänglichen Quellen (Nr. 3) Personenbezogene Daten, die allgemein zugänglich sind, dürfen von Unternehmen gespeichert und verwendet werden. Allgemein zugänglich sind die Eintragungen in Telephonbüchern, Adressbüchern und Informationen, die sich aus den Medien, insbesondere aus Zeitungen und dem Internet, entnehmen lassen. Beispiel: Es ist zulässig, wenn Unternehmen Namen und Adressdaten aus dem Telephonbuch entnehmen. Bei der Kontaktaufnahme zur Werbung haben sie dann die Regeln des § 7 UWG zu beachten (siehe 8.3). 20.2.2.4 Änderung des Verwendungszwecks erhobener Daten Ursprünglich zu bestimmten Zwecken erhobene Daten können sich später auch in anderer Hinsicht als nützlich erweisen. Der Datenschutz steht einer solchen späteren Zweckänderung aber kritisch gegenüber. Unter welchen Voraussetzungen Daten zu anderen Geschäftszwecken verwendet werden dürfen, bestimmt § 28 Abs. 2 BDSG. Für das Marketing ist ausschließlich die Regel in Nr. 1 von Bedeutung, welche auf die Interessenabwägung nach § 28 Abs. 1 Nr. 2 BDSG verweist. Will das Unternehmen Informationen später zu anderen Zwecken verwenden, ist eine Abwägung der beiderseitigen Interessen vorzunehmen. Beispiel:19 Ein Stromanbieter erhebt bei Abschluss eines Vertrags Kundendaten gemäß § 28 Abs. 1 Nr. 1 BDSG. Wandert der Kunde später zu einem anderen Anbieter ab, stellt sich die Frage, ob der Stromanbieter die zur Vertragsabwicklung gespeicherten Kundendaten dazu verwenden darf, den verlorenen Kunden zurückzugewinnen, etwa indem er ihn gezielt anschreibt und besondere Angebote macht („Kundenrückgewinnungsmanagement“). Das OLG Köln deutet in einer Entscheidung an, dass der Kontakt mit ehemaligen Kunden und die Rückgewinnung durch werbliche Ansprache ein berechtigtes Interesse des Unternehmens darstellt und daher zulässig ist. 18 Vgl. die Entscheidung des BGH zur sog. „SCHUFA-Klausel“: BGH, 19.09.1985 – III ZR 213/83, NJW 1986, 46; vgl. Simitis, in: Simitis (2011), § 28 Rn. 137. 19 OLG Köln, 14.08.2009 – 6 U 70/09, GRUR-RR 2010, 34 „Rückgewinnungsschreiben“. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 572 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 573 20. Kapitel: Datenschutzrecht572 20.2.3 Datenverwendung zum Zweck der Werbung: § 28 Abs. 3 BDSG Unter den Begriff der „Werbung“ fällt nicht nur die Verwendung von personenbezogenen Daten zur direkten oder indirekten Ansprache von aktuellen und potentiellen Kunden, sondern auch eigene Kundenbefragungen des Unternehmens, die zur Ermittlung der Kundenzufriedenheit oder zum Test von noch nicht eingeführten Produkten durchgeführt werden.20 Werden Kunden oder sonstige Personen durch Werbung angesprochen, ist neben dem Datenschutzrecht immer auch § 7 UWG zu beachten (siehe 8.3). 20.2.3.1 Grundsatz: Einwilligung Die Verwendung von Daten zu Werbezwecken macht § 28 Abs. 3 S. 1 BDSG grundsätzlich von einer vorherigen Einwilligung gemäß § 4a BDSG abhängig. Für den Fall, dass die Einwilligung nicht schriftlich erteilt wird, macht § 28 Abs. 3a BDSG zusätzliche Vorgaben zur Form der Einwilligung. Das ist insbesondere bei Geschäftskontakten über das Internet von Bedeutung. 20.2.3.2 Ausnahme: Listenprivileg a) Begriff Ohne Einwilligung dürfen gemäß § 28 Abs. 3 S. 2 BDSG „listenmäßig … zusammengefasste Daten“ zu Zwecken der Werbung verwendet werden (sog. „Listenprivileg“). Damit meint das Gesetz ganz wörtlich eine Liste von Personen, die unter einem bestimmten Kriterium als Gruppe zusammengefasst sind. Beispiel: Liste der Rechtsanwälte in Heidelberg, Liste der Kunden einer Firma. Nicht zulässig ist es, eine Liste der Kunden der Firma, die Familie haben, zu bilden, weil die Gruppe dann mit Hilfe von zwei Kriterien (Kunde der Firma und Familie) ausgewählt wurde.21 Daher hat die Rechtsprechung in unserem Ausgangsfall entschieden, dass die Verwendung einer Adressenliste, die aus den beiden Kriterien „ehemaliger Kunde“ und „aktueller Kunde des Konkurrenten x“ gebildet wurde, nicht durch das Listenprivileg gerechtfertigt ist.22 Die Liste darf nur die personenbezogenen Daten enthalten, die in § 28 Abs. 3 S. 2 BDSG ausdrücklich genannt sind: • Name nebst Titel und akademischem Grad, • Anschrift, • Berufs-, Branchen- oder Geschäftsbezeichnung und • Geburtsjahr. Nicht zu den zulässigen Listendaten zählen also Telefonnummern oder E-Mail-Adressen sowie alle sonstigen marketingrelevanten Informationen, 20 Vgl. Ehmann, in: Simitis (2011), § 29 Rn. 79 f.; Davon abzugrenzen sind Markt- und Konsumentenbefragungen, die von darauf spezialisierten Gesellschaften im Auftrag anderer Unternehmen durchgeführt werden. Dafür gilt die Vorschrift des § 30a BDSG. 21 Vgl. Simitis, in: Simitis (2011), § 28 Rn. 233. 22 OLG Köln, 14.08.2009 – 6 U 70/09, GRUR-RR 2010, 34 „Rückgewinnungsschreiben“. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 572 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 573 20.2 Gesetzlich zulässige Datenverarbeitung 573 wie insbesondere Daten über das bisherige Käuferverhalten, über etwaige Reklamationen, über Kundenpräferenzen oder über persönliche Verhältnisse des Kunden. Sollen auch solche Daten erhoben und verarbeitet werden, ist daher grundsätzlich die Einwilligung des Betroffenen nötig (näher dazu unten 21.1.2.2). b) Zulässige Verwendungsweisen von Listendaten Die Listendaten darf das Unternehmen gemäß § 28 Abs. 3 S. 2 Nr. 1 – 3 BDSG zur Werbung für eigene Angebote verwenden, die sich • Nr. 1: an Bestandskunden oder • an sonstige Personen richtet, deren Adressen aus allgemein zugänglichen Verzeichnissen (insbes. Telefonbüchern oder Branchenverzeichnissen) stammen, • Nr. 2: an die berufliche Tätigkeit des Angesprochenen unter Verwendung seiner beruflichen Anschrift richtet. Die Werbung muss inhaltlich mit der beruflichen Tätigkeit der betroffenen Person in Zusammenhang stehen. Die verwendeten Listendaten müssen nicht allgemein zugänglichen Verzeichnissen entnommen sein, sondern können aus jeder Quelle stammen. Beispiel: Im Geschäftsleben ist es gang und gäbe, gegenseitig Visitenkarten auszutauschen. Es handelt sich dabei um personenbezogene, berufliche Daten. Von den Daten auf der Visitenkarte können also die Informationen, die zu den Listendaten gehören (insbesondere Name und Anschrift) zur geschäftlichen Werbung verwendet werden. Zulässig ist es nach § 28 Abs. 3 S. 5 BDSG auch, die Listendaten zur Werbung anderer Unternehmen zu verwenden, wenn die angesprochene Person erkennen kann, wer für die Datenverarbeitung verantwortlich ist. Unternehmen können dadurch den Zugang zu ihren Kunden verkaufen bzw. verpachten. Beispiel: Viele Online-Shops legen der versandten Ware häufig auch passende Prospekte anderer Unternehmen bei. Der Online-Shop nutzt seine Kundendaten also dadurch, dass er anderen Unternehmen einen Werbezugang eröffnet. Für den Kunden des Online-Shops ist auf Grund der Absenderangabe ohne weiteres erkennbar, dass lediglich der Online-Shop, bei dem er bestellt hat, die maßgebliche Stelle der Datenverwaltung ist. Schließlich erlaubt § 28 Abs. 3 S. 4 BDSG auch die Nutzung der Listendaten zu Zwecken des Adresshandels (siehe 21.2.2). Dabei werden Listendaten von einem Unternehmen („Dateneigner“) an ein anderes Unternehmen („werbendes Unternehmen“) zur werblichen Nutzung übermittelt. Unternehmen können also ihre Kundendaten auch verkaufen. Adresshandel ist unter zwei Voraussetzungen zulässig, die den betroffenen Personen den Weg „ihrer“ Daten transparent machen sollen: • Die Tatsache der Übermittlung muss vom Dateneigner, die Herkunft der Daten muss vom werbenden Unternehmen zu den jeweiligen Datensätzen Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 574 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 575 20. Kapitel: Datenschutzrecht574 gespeichert werden. Die Übermittlungskette muss also von jeder Seite dokumentiert sein. • Die angesprochenen Personen bzw. Verbraucher sind im Rahmen der Werbung über die Identität des Dateneigners zu informieren. Diese Informationen sollen dem Verbraucher die Möglichkeit geben, Widerspruch gegen die Datenverwendung zu Marketingzwecken beim Dateneigner zu erheben. 20.2.3.3 Widerspruchsrecht des Betroffenen Unabhängig davon, ob eine Einwilligung zur Werbung vorliegt oder ob das Listenprivileg eingreift, hat der Betroffene nach § 28 Abs. 4 BDSG das Recht, der Verwendung seiner Daten zu Werbezwecken zu widersprechen. Über dieses Recht ist er bei der Datenerhebung bzw. bei der ersten Werbeansprache zu unterrichten. Fehlt es an einer Information über das Widerspruchsrecht, ist die Datenverwendung unzulässig.23 20.2.4 Datenerhebung und -verwendung zum Zweck der Übermittlung 20.2.4.1 Gewerbliche Datenübermittlung und Auftragsdatenverarbeitung Der Handel mit personenbezogenen Daten kann selbst den Geschäftszweck eines Unternehmens darstellen. Das Geschäftsmodell solcher Unternehmen besteht darin, personenbezogene Informationen zu erheben und an andere Unternehmen zu vermarkten. Das Gesetz nennt selbst als Beispiele Auskunfteien und den Adresshandel. Beispiel: Die „SCHUFA“ als Auskunftei bietet Banken und anderen Unternehmen Informationen über die Bonität einzelner Personen an, um Forderungsausfälle zu minimieren. Adresshändler („List-Broker“) bieten anderen Unternehmen Listen mit Adressen von Personen zu Marketingzwecken an.24 Eine gewerbsmäßige Datenverarbeitung zu Zwecken der Übermittlung liegt vor, wenn das Unternehmen selbständig und in eigener Verantwortung Daten erhebt, verarbeitet, aufbereitet und gegen Entgelt „als Ware“ an andere übermittelt. Die Tätigkeit solcher Dienstleister unterliegt den Anforderungen des § 29 Abs. 1 BDSG, die Übermittlung der Daten an Dritte ist unter den Voraussetzungen des § 29 Abs. 2 BDSG zulässig. Von der Datenverarbeitung i. S. d. § 29 BDSG ist die Auftragsdatenverarbeitung abzugrenzen:25 Eine Auftragsdatenverarbeitung i. S. d. § 3 Abs. 8 BDSG liegt vor, wenn das beauftragende Unternehmen die Entscheidungsbefugnis über die Verwendung der Daten behält und dem externen Dienstleister keine eigenen Ermessensspielräume bei der Ergebung und Verwendung der Daten verbleiben. Der externe Dienstleister wird in diesem Fall wie eine ausgelagerte Abteilung 23 OLG Köln, 14.08.2009 – 6 U 70/09, GRUR-RR 2010, 34 „Rückgewinnungsschreiben“. 24 Eine Übersicht von Adresshändlern findet sich auf den Webseiten des Deutschen Dialogmarketing Verbands: http://www.ddv.de/. 25 Vgl. zur Abgrenzung Ehmann, in: Simitis (2011), § 29 Rn. 19. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 574 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 575 20.2 Gesetzlich zulässige Datenverarbeitung 575 des beauftragenden Unternehmens tätig, welches die Entscheidungsgewalt über die Daten hat. Vorgaben für die Auftragsdatenverarbeitung enthält § 11 BDSG. Beispiel: Auftragsdatenverarbeitung findet typischerweise bei der Auslagerung von der Unternehmens-EDV an ein externes Rechenzentrum statt; Auftragsdatenverarbeitung ist auch das Hosting eines Online-Shops oder die weisungsgebundene Kundenbetreuung durch ein beauftragtes Call Center. Checkliste: Funktionsübertragung Ob eine Auftragsdatenverarbeitung oder eine selbständige Datenverarbeitung nach § 29 BDSG (sog. „Funktionsübertragung“) vorliegt, kann auf der Grundlage der vertraglichen Regelungen zwischen den Unternehmen anhand folgender typischer Kriterien ermittelt werden: – Wer hat die Nutzungsrechte an den Daten (der Auftraggeber oder das beauftragte Unternehmen)? – Wer ist für die Sicherstellung der rechtlichen Zulässigkeit der Datenerhebung und Datenverwendung zuständig? Wer definiert die Prozesse bei der Erhebung, Verarbeitung oder Nutzung der Daten? – In wessen Namen erfolgt die Kontaktaufnahme mit den betroffenen Personen (im Namen des Auftraggebers oder des beauftragten Unternehmens)? – Wer ist für die Sicherstellung der Rechte von Betroffenen (Benachrichtigung, Auskunftserteilung etc.) verantwortlich? 20.2.4.2 Zulässigkeit der Datenverarbeitung zum Zweck der Übermittlung Die Zulässigkeit unterliegt einer zweistufigen Prüfung: § 29 Abs. 1 BDSG bestimmt die Voraussetzungen, unter denen die Erhebung und Speicherung der Daten zulässig ist, Abs. 2 enthält weitere Voraussetzungen für die Übermittlung der Daten an Dritte. • Die Datenerhebung und -speicherung ist zulässig, wenn der Betroffene kein „schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung“ hat, wenn die Daten aus „öffentlich zugänglichen Quellen entnommen werden können“ oder wenn es sich um Daten mit Bezug zu einer Kreditgewährung (§ 28a BDSG) handelt. • Die Datenübermittlung ist zulässig, wenn der Empfänger („Dritte“) ein berechtigtes Interesse an den Daten hat und kein „schutzwürdiges Interesse [des Betroffenen] an dem Ausschluss der Übermittlung“ entgegensteht. Beispiel:26 Die zweistufige Prüfung lässt sich gut am Urteil des BGH zum Internetportal „spickmich.de“ zur Lehrerbewertung erkennen: Die Zulässigkeit der Datenerhebung bestimmt sich nach § 29 Abs. 1 Nr. 1 BDSG. Zwar sind die Namen der Lehrer und der Schule über die Internetseiten der jeweiligen Schule in der Regel abrufbar und können damit „allgemein zugäng- 26 BGH, 23.06.2009 – VI ZR 196/08, NJW 2009, 2888 „spickmich.de“. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 576 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 577 20. Kapitel: Datenschutzrecht576 lichen Quellen“ (§ 29 Abs. 1 Nr. 2 BDSG) entnommen werden, die Bewertungen der Schüler jedoch nicht. Gemäß § 29 Abs. 1 Nr. 1 BDSG stellt sich die Frage, ob der Datenerhebung ein „schutzwürdiges Interesse“ der Lehrer entgegensteht. Abzuwägen war zwischen der Meinungsfreiheit der bewertenden Schüler auf der einen Seite und dem Persönlichkeitsrecht der Lehrer auf der anderen Seite. Letzteres hat der BGH als weniger gewichtig bewertet, weil es sich nicht um Details aus dem Privatleben der Lehrer handelt, sondern um die Bewertung ihrer beruflichen Fähigkeiten, mit welcher Lehrer wie auch andere Arbeitnehmer immer rechnen müssen. Die Bewertungskriterien des Portals hat das Gericht als sachbezogen erachtet. Die Zulässigkeit der Datenübermittlung bestimmt sich nach § 29 Abs. 2 BDSG. Für die Übermittlung spricht das Interesse von Schülern und Eltern, sich über die Qualität des Unterrichts an der jeweiligen Schule informieren zu können. Dem steht wiederum das Persönlichkeitsrecht des betroffenen Lehrers entgegen. Der BGH hat das Informationsinteresse höher bewertet, weil angesichts der begrenzten Aussagekraft der Bewertungen und der Begrenzung des Zugangs zum Portal durch eine vorherige Registrierung der Nutzer keine „Prangerwirkung“ für den Lehrer zu befürchten sei. 20.2.4.3 Datenverwendung zum Zweck der gewerblichen Marktforschung Einen Spezialfall der gewerbsmäßigen Datenerhebung, -verarbeitung und -übermittlung regelt § 30a BDSG. Die Vorschrift erfasst die geschäftsmäßige Marktforschung, welche darauf spezialisierte Gesellschaften im Auftrag anderer Unternehmen ausführen.27 § 30a BDSG enthält zwei alternative Kriterien der Zulässigkeit, welche § 29 Abs. 1 BDSG entsprechen. Insoweit kann auf die Ausführungen oben verwiesen werden. In der Praxis kommt es entscheidend darauf an, welcher Zweck mit der Marktforschung verfolgt wird und welche Daten dazu „erforderlich“ sind. Dazu unterscheidet Abs. 2 danach, ob die Daten aus allgemein zugänglichen Quellen stammen oder nicht: Daten aus allgemein zugänglichen Quellen (insbesondere Name, Adresse, Telephonnummer) dürfen für jegliche Zwecke der Markt- und Meinungsforschung genutzt werden. Alle übrigen Daten aus der Befragung sind streng an den Zweck der jeweiligen Befragung gebunden und dürfen nicht für andere Befragungen oder zu anderen Zwecken genutzt werden. 20.3 Einwilligung des Betroffenen Das Listenprivileg des § 28 Abs. 3 BDSG reicht in der Praxis für die Zwecke des Marketings oftmals nicht aus. Dann ist eine Einwilligung des Betroffenen in die Datenverarbeitung erforderlich. Für eine wirksame Einwilligung stellt das Gesetz in § 4a BDSG sowohl inhaltliche als auch formelle Voraussetzungen auf.28 27 Eigene Markt- und Kundenbefragungen unterfallen § 28 Abs. 3 BDSG. 28 Zur wirtschaftlichen Funktion der Einwilligung vgl. Buchner, DuD 2010, 39. 20.3 Einwilligung des Betroffenen Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 576 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 577 20.3 Einwilligung des Betroffenen 577 20.3.1 Inhaltliche Voraussetzungen Inhaltlich wirksam ist eine Einwilligung nur, wenn der Betroffene zuvor über die wesentlichen Umstände der Datenverwendung klar informiert wird und er die Einwilligung freiwillig erteilt. 20.3.1.1 Information Vor der Einwilligung ist der Betroffene über die Identität des datenerhebenden Unternehmens, den Zweck der Datenabfrage und die Verwendung der Daten zu unterrichten. Für die Information gilt das Bestimmtheitsgebot. Der Betroffene ist darüber aufzuklären, • wer seine Daten erhebt (Identität des Unternehmens), • welche Daten konkret erhoben und verarbeitet werden (insbes. Name, Adresse, Telefonnummer, E-Mail-Adresse etc.), • zu welchem Zweck die Daten verwendet werden (z. B. zum Zweck der Vertragsabwicklung), • ob und an welche anderen Unternehmen („Dritte“) die Daten übermittelt werden. Eine allgemeine Umschreibung genügt nicht.29 Vielmehr sind die Dritten konkret mit Firmenname und Adresse zu bezeichnen. Nur dann ist gewährleistet, dass der Betroffene überschauen kann, welchen Weg seine Daten nehmen können. Beispiel: Zu unbestimmt war folgende Klausel in den AGB einer Bank zur Übertragung von Daten an die Schufa:30 „Die Bank ist berechtigt, der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) und der KSV-Kreditschutzvereinigung W. Daten des Kreditnehmers und etwaiger Mitschuldner über die Aufnahme (Kreditbetrag, Laufzeit, Ratenhöhe) und Abwicklung dieses Kredits zur Speicherung zu übermitteln.“ Die Klausel ermöglicht nicht nur die Weitergabe von Kreditdaten (Darlehenshöhe, Zins und sonstige Konditionen), sondern pauschal auch die Übermittlung von Informationen über alle im Verlauf des Kreditverhältnisses auftretenden Störungen, wie z. B. Mahnungen, Kreditkündigungen, Mahnbescheide etc. Die Einwilligung hätte darauf eindeutig und klar hinweisen müssen. Als zu unbestimmt wurde auch eine Vertragsklausel in einem Mobilfunkvertrag beurteilt, wonach der Kunde zur Identitätsfeststellung seine ec-Kartendaten angeben sollte und das Mobilfunkunternehmen berechtigt war, die Daten bei der angegebenen Bank abzugleichen. Der eigentliche Zweck dieser Regelung lag nicht in der Identitätsfeststellung, sondern in einer Bonitätsprüfung. Darauf hätte dann aber klar und eindeutig hingewiesen werden müssen.31 20.3.1.2 Freiwilligkeit Freiwilligkeit bedeutet, dass der Betroffene seine Entscheidung, ob er in Erhebung, Verarbeitung oder Übermittlung seiner Daten einwilligt, ohne Druck und 29 OLG Hamm, 15.08.2006 – 4 U 78/06, MMR 2007, 54. 30 BGH, 19.09.1985 – III ZR 213/83, NJW 1986, 46 „SCHUFA-Klausel“. 31 BGH, 23.01.2003 – III ZR 54/02, NJW 2003, 1237 unter III. 4. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 578 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 579 20. Kapitel: Datenschutzrecht578 sonstige äußere Einflüsse treffen kann.32 Unzulässig ist es insbesondere, wenn Unternehmen den Abschluss eines Vertrages von der Einwilligung des Kunden abhängig machen (§ 28 Abs. 3b BDSG, § 12 Abs. 3 TMG).33 Beispiel: Kundenkartenprogramme erheben personenbezogene Daten von den teilnehmenden Verbrauchern, die vom Betreiber der Kundenkarte an die Partnerunternehmen weitergeleitet werden sollen. Der Betreiber der Kundenkarte benötigt von den Teilnehmern nach § 28 Abs. 3 BDSG eine Einwilligung in die Weiterleitung der Daten zu Zwecken der Werbung und Marktforschung. Die Einwilligung ist nur dann freiwillig, wenn die Teilnahme am Kundenkartenprogramm nicht von der Einwilligung in die Datenübermittlung abhängig gemacht wird. 20.3.2 Formelle Voraussetzungen Formell bedarf die Einwilligung grundsätzlich der Schriftform und muss, wenn sie mit anderen Erklärungen zusammen abgegeben wird, optisch deutlich hervorgehoben sein. Nach § 4a Abs. 1 S. 3 BDSG muss die Einwilligung grundsätzlich schriftlich, d. h. durch eine eigenhändige Unterschrift des Betroffenen, erfolgen. Bei Rechts- und Geschäftsbeziehungen im Internet wäre es allerdings unpraktisch, wenn für die Erhebung und Verwendung von Daten zuvor eine schriftliche Einwilligung eingeholt werden müsste. Daher erlauben § 28 Abs. 3a BDSG und § 13 Abs. 2 TMG die Einholung einer „elektronischen Einwilligung“, wenn der Internetanbieter „sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann und hierüber belehrt wird.“ Die Einwilligung muss nach § 4a Abs. 1 S. 4 BDSG „besonders hervorgehoben“ gestaltet sein. Bei der Gestaltung von Bestellformularen oder Bestellmasken im Internet ist auf eine optisch und drucktechnisch gut sichtbare und vom restlichen Vertragstext getrennte Einwilligungserklärung zu achten. Die Einwilligung muss dem Betroffenen „ins Auge springen“. Das kann durch Schriftgröße, Fettdruck oder Rahmensetzung geschehen. Es ist zulässig, die Einwilligung so zu formulieren, dass der Betroffene aktiv werden muss, wenn er sie nicht erteilen will, etwa indem er sie durchstreichen muss (sog. „Opt-out-Lösung“). Die Einwilligung muss also nicht vom Betroffenen aktiv angekreuzt oder gesondert unterschrieben werden, um wirksam zu sein (sog. „Opt-in-Lösung“).34 32 BVerfG, 23.10.2006 – 1 BvR 2027/02, MMR 2007, 93. 33 OLG Brandenburg, 11.01.2006 – 7 U 52/05, MMR 2006, 405 „ebay“. 34 Vgl. BGH, 16.07.2008 – VIII ZR 348/06, NJW 2008, 3055 „Payback“; BGH, 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 „Happy-Digits“. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 578 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 579 20.4 Sonderfragen des Datenschutzes im Internet 579 20.4 Sonderfragen des Datenschutzes im Internet 20.4.1 Personenbezogene Daten im Internet Der Begriff der personenbezogenen Daten bestimmt sich auch für den Bereich des Internets nach § 3 Abs. 1 BDSG. Sowohl hinsichtlich der IP- und E-Mail- Adresse als auch für Cookies stellt sich die Frage, ob es sich dabei um personenbezogene Daten handelt. 20.4.1.1 IP-Adresse IP-Adressen dienen der Identifikation von Computern im Internet. Die Adressen werden den Computern von den Accessprovidern, welche den Nutzern den Zugang zum Internet ermöglichen (Telekommunikationgesellschaften), zugewiesen. Beispiel: Accessprovider sind etwa die Deutsche Telekom, 1&1 (United Internet), Kabelgesellschaften wie Kabel BW oder Mobiltelefongesellschaften wie Vodafone. Es gibt dynamische und statische IP-Adressen. Bei den dynamischen IP-Adressen wird dem Computer vom Accessprovider eine gerade freie IP-Adresse aus einem Pool von Adressen zugewiesen. Statische IP-Adressen werden einem Computer vom Accessprovider fest zugewiesen.35 Momentan weisen Accessprovider ihren privaten Nutzern dynamische IP-Adressen zu, während die Verwendung statischer Adressen sich auf professionelle Nutzer, in der Regel juristische Personen, beschränkt. Der Accessprovider kennt Name und Adresse seines Vertragspartners, dem er den Zugang zum Internet verschafft, sowie die jeweils von ihm benutzte IP-Adresse. Diese Daten benötigt er für die Abrechnung der Telekommunikationskosten. IP-Adressen stellen für die Telekommunikationsgesellschaften daher personenbezogene Daten dar.36 Etwas anderes gilt aber grundsätzlich für die Anbieter von Inhalten im Internet (Telemedien). Beispiel: Telemedien sind etwa Informationsseiten, Online-Shops, Online-Medienangebote („Spiegel-Online“ etc.), Online-Banking, Video- und Musikplattformen, Internet-Suchmaschinen, Social Network Seiten etc. Für die Anbieter von Telemedien sind IP-Adressen alleine noch keine personenbezogenen Daten, weil damit der Nutzer nicht identifiziert werden kann. Diese Anbieter können auf die Daten der Accessprovider nicht zugreifen und daher nicht den hinter der IP-Adresse stehenden Nutzer identifizieren, weil es kein 35 Bei statischen IP-Adressen lässt sich deren Inhaber über www.ripe.net in der Regel ermitteln. 36 Vgl. Spindler/Nink, in: Spindler/Schuster (2011), § 11 TMG Rn. 8. 20.4 Sonderfragen des Datenschutzes im Internet Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 580 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 581 20. Kapitel: Datenschutzrecht580 öffentliches Verzeichnis der IP-Adressen und deren Inhaber gibt.37 IP-Adressen werden allerdings auch für die Anbieter von Telemedien personenbezogene Daten, wenn sich der Nutzer etwa über ein Log-in mit seinem Namen identifiziert. 20.4.1.2 E-Mail-Adressen Wie die IP-Adressen sind auch die E-Mail-Adressen im Internet eindeutig vergeben. Es gibt keine zwei gleichlautenden E-Mail-Adressen. Trotzdem besteht grundsätzlich kein Personenbezug, da die Adressen frei wählbar sind und eine zentrale Vergabe fehlt. E-Mail-Adressen sind aber dann personenbezogene Daten, wenn die Adresse, wie häufig, aus dem vollen Namen gebildet wird (z. B. axel.birk@hs-heilbronn.de) oder wenn mit Hilfe einer Internet-Suchmaschine bzw. Social Network Seiten (z. B. Facebook) der Besitzer der E-Mail-Adresse ermittelt werden kann.38 20.4.1.3 Cookies Cookies sind kleine Dateien, die vom Web-Server eines Internetanbieters über den PC-Browser auf dem Rechner des Nutzers abgespeichert werden. Sie dienen dazu, den Nutzer beim nächsten Besuch einer Internet-Seite wiederzuerkennen, wenn der Cookie eine über den einmaligen Besuch der Webseite hinausgehende Lebensdauer hat. In der Datei werden Informationen gespeichert, die im Zusammenhang mit der jeweiligen Internetseite stehen. Ob Cookies auf dem Computer abgelegt werden können und wie lange sie gespeichert bleiben, hängt auch von den Browsereinstellungen des Nutzers ab. Grundsätzlich kann über Cookies nicht auf die Identität eines bestimmten Nutzers geschlossen werden. Cookies sind dann datenschutzrechtlich neutral. Ein Personenbezug entsteht aber dann, wenn der Nutzer über die Verknüpfung des Cookies mit vorher gespeicherten personenbezogenen Daten identifiziert werden kann.39 Beispiel: Eine Identifikation des Nutzers über Cookies ist möglich, wenn er sich mit einem Log-in auf einer Internetseite anmeldet und der Anbieter dazu Name, Adresse und sonstige Daten des Nutzers gespeichert hat. Die über den Cookie gespeicherten Daten sind dann als Nutzerdaten gemäß § 15 Abs. 1 TMG zu qualifizieren (siehe 20.4.2.2). 20.4.2 Sonderregelungen Sonderregelungen des Datenschutzes für das Internet finden sich in §§ 91 ff. TKG (Telekommunikationsgesetz) und in den §§ 11 ff. TMG (Telemediengesetz). Das TKG gilt für die Accessprovider, die lediglich eine technische Übertragungs- 37 Str., ebenso AG München, 30.09.2008 – 133 C 5677/08, MMR 2008, 860; OLG Frankfurt, 16.06.2010 – 13 U 105/07, MMR 2010, 645; a. A. LG Darmstadt, 07.12.2005 – 25 S 118/05, MMR 2006, 330; vgl. Dammann, in: Simitis (2011), § 3 Rn. 32 ff. 38 Vgl. Dammann, in: Simitis (2011), § 3 Rn. 62. 39 Vgl. Dammann, in: Simitis (2011), § 3 Rn. 65. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 580 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 581 20.4 Sonderfragen des Datenschutzes im Internet 581 leistung erbringen. Das TMG gilt insbesondere für die Anbieter von Inhalten im Internet, aber auch für sonstige Formen von Telemedien. Beispiel: Telemedien sind insbesondere auch der Versand von Werbe-E-Mails (Newsletter) sowie Werbe-SMS oder -MMS. Die Vorschriften des TMG gehen als speziellere Regelungen für Einzelfragen dem BDSG vor.40 Soweit keine Sonderregeln vorhanden sind, ist gemäß § 12 Abs. 4 TMG auf das BDSG zurückzugreifen. Für den Bereich des Marketings können vor allem die Regelungen des TMG Bedeutung erlangen, weshalb wir uns darauf beschränken. 20.4.2.1 Allgemeine Informationspflichten a) Grundsatz § 13 TMG enthält eine Sonderregelung zu § 33 BDSG (siehe 20.1.3.3). Danach ist der Nutzer „zu Beginn des Nutzungsvorganges über Art, Umfang und Zweck“ der Erhebung und Verwendung personenbezogener Daten „in allgemein verständlicher Form zu unterrichten“. Der Internetnutzer soll vom Anbieter transparent erfahren, wer was über ihn wissen will und warum die Informationen benötigt werden. Die Datenschutzerklärung muss nach § 13 Abs. 1 S. 3 TMG für die Nutzer jederzeit abrufbar auf den Webseiten hinterlegt sein. b) Cookies § 13 Abs. 1 S. 2 TMG bezieht sich mit der Formulierung von „automatisierten Verfahren“ auf Cookies. Wenn über Cookies die Identifikation des Nutzers möglich ist und damit Personenbezug entsteht, insbesondere weil er sich über ein Log-in anmeldet, ist er vom Anbieter über das Setzen des Cookies in der Datenschutzerklärung zu informieren. Dadurch soll der Nutzer darauf aufmerksam gemacht werden und entscheiden können, ob er es zulassen will, dass der Anbieter Nutzungsprofile über seinen Weg durch die Webseiten erstellt. Außerdem ist der Nutzer nach § 15 Abs. 3 S. 2 TMG über die Möglichkeit des Widerspruchs zu informieren, wenn der Anbieter Nutzungsprofile speichern will. Checkliste: Inhalte Datenschutzerklärung 1. Identität des Anbieters: § 4 Abs. 3 Nr. 1 BDSG 2. Art der erhobenen und verarbeiteten personenbezogenen Daten sowie Umfang und Zweck der Verarbeitung: § 4 Abs. 3 Nr. 2 BDSG, § 13 Abs. 1 TMG 3. Werden die Daten an Dritte weitergeleitet? An welche Kategorien von Empfängern werden die Daten weitergeleitet?: § 4 Abs. 3 Nr. 3 BDSG, § 13 Abs. 1 S. 1 TMG 4. Werden die Daten in Staaten außerhalb der EU verarbeitet?: § 13 Abs. 1 S. 1 TMG 40 Vgl. Brockmann, in: Büscher/Dittmer/Schiwy (2011), Kap. 16 Rn. 86. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 582 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 583 20. Kapitel: Datenschutzrecht582 5. Werden Cookies oder ähnliche Techniken verwendet? § 13 Abs. 1 S. 2 TMG 6. Werden Nutzerprofile zu Zwecken der Werbung und Marktforschung erstellt und verwendet?: § 15 Abs. 3 TMG 7. Belehrung über die Möglichkeit zum Widerruf bei Verwendung von Daten zu Werbung und Marktforschung: § 15 Abs. 3 TMG 8. Belehrung über Informations- und Änderungsrechte des Betroffenen: § 34 BDSG 20.4.2.2 Gesetzlich zulässige Datenverarbeitung Das TMG folgt dem Grundsatz des § 4 BDSG und lässt eine Erhebung und Verwendung personenbezogener Daten zu, wenn entweder eine gesetzliche Regelung dies zulässt oder eine wirksame Einwilligung des Betroffenen vorliegt. Neben den §§ 28 ff. BDSG enthalten die §§ 14, 15 TMG Sonderregeln zur gesetzlichen Zulässigkeit der Datenverarbeitung. Danach sind drei Arten von Daten zu unterscheiden: Bestandsdaten, Nutzungsdaten und Abrechnungsdaten. a) Bestandsdaten Nach § 14 Abs. 1 TMG sind Bestandsdaten solche personenbezogenen Daten, welche für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen Internetanbieter und Nutzer erforderlich sind. Beispiel: Um eine Bestellung abwickeln zu können, benötigt ein Online-Shop zumindest den Namen und die Adresse sowie die E-Mail-Adresse des Nutzers/ Bestellers. Dazu gehören in der Regel auch die Log-in-Daten des Nutzers. Die bestellte Ware wird vom Online-Shop an eine Versandfirma, etwa DHL, übergeben. Dazu ist der Online-Shop berechtigt, die Adressdaten der Versandfirma zu übermitteln. Ist der Online-Shop nur die Plattform zur Vermittlung von Angeboten anderer Unternehmen, ist es außerdem zulässig, die Vertragsdaten nach dorthin zu übermitteln. b) Nutzungsdaten Der Internetanbieter darf gemäß § 15 Abs. 1 TMG zum zweiten auch Nutzungsdaten erheben und verwenden. Nutzungsdaten sind alle personenbezogenen Daten die für den konkreten Nutzungsvorgang und ggf. dessen Abrechnung erforderlich sind. Dazu gehören nach § 15 Abs. 1 S. 2 TMG insbesondere die Merkmale zur Identifikation des Nutzers, Angaben zu Beginn und Ende der Nutzung sowie Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Beispiel: Meldet sich der Nutzer eines Online-Shops durch ein Log-in auf der Seite des Anbieters an, bestehen die Identifikationsdaten in seinem Nutzernamen, dem Passwort und der IP-Adresse. Die Daten entsprechen weitgehend den Bestandsdaten für die Abwicklung von Bestellungen des Kunden. Nutzungsdaten sind zudem die Zeitpunkte des Log-in und des Log-out sowie insbesondere die vom Nutzer angeklickten Webseiten und Angebote. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 582 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 583 20.4 Sonderfragen des Datenschutzes im Internet 583 Nutzungsdaten ermöglichen dem Anbieter die Erstellung von Nutzungsprofilen, die er für die Zwecke des Marketings verwenden kann. § 15 Abs. 3 TMG lässt die Verwendung von Nutzungsprofilen für die „Zwecke der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung der Telemedien“ zu, wenn diese Daten unter einem Pseudonym gespeichert werden (siehe 20.1.2.1) und der Nutzer nicht widersprochen hat. Sollen zu Zwecken des Marketings über die Nutzungsdaten hinaus noch weitere personenbezogene Daten gespeichert werden, ist dies nur mit Einwilligung des Betroffenen zulässig. Beispiel: Für das Marketing sind neben den Nutzungsdaten vor allem noch Informationen über die persönlichen Verhältnisse des Nutzers und seine privaten Hobbys und Vorlieben von Interesse. Die Internetanbieter gründen dazu etwa „Communities“ oder ermöglichen den Nutzern die Erstellung eines „Profils“. Die Verwendung der in solchen Profilen oder Communities niedergelegten Informationen zu Marketingzwecken setzt die Einwilligung der Mitglieder voraus. Die Nutzungsdaten dürfen nach § 15 Abs. 5 S. 3 TMG außerdem zu Zwecken der Marktforschung anonymisiert an andere Internetanbieter übermittelt werden. c) Abrechnungsdaten Bei vielen Telemediendiensten ist die Nutzung der Angebote kostenlos. Der Nutzer bewegt sich frei auf den Angebotsseiten. Es fallen also gar keine Abrechnungsdaten an, deren Speicherung und Verarbeitung gemäß § 15 Abs. 4 TMG zulässig ist. Beispiel: Entgeltliche Online-Angebote, deren Nutzung abgerechnet wird, sind etwa Online-Datenbanken. Abrechnungsdaten fallen aber auch hier nur dann an, wenn die Nutzung zeitlich oder nach Datenmenge abgerechnet wird. Haben Anbieter und Nutzer eine Flatrate vereinbart, ist nur die Speicherung von Bestandsdaten, nicht aber die Speicherung von Abrechnungsdaten erforderlich.41 41 LG Darmstadt, 07.12.2005 – 25 S 118/2005, DuD 2006, 178. Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 584 Vahlen – Wirtschaftsrecht – Birk/Löffler – Marketing- und Vertriebsrecht Herstellung: Frau Deuringer 13.03.2012 Imprimatur Seite 585 21. Kapitel: Datenschutz im Marketing Nach dem Durchgang durch die Grundstrukturen der gesetzlichen Vorschriften sind wir in der Lage, die für die Praxis des Marketings wesentlichen Formen der Informationsgewinnung und Datenverwendung auf ihre rechtliche Zulässigkeit näher zu untersuchen. Wir beziehen dazu nicht allein das Datenschutzrecht, sondern auch das UWG und andere einschlägige Rechtsvorschriften mit ein. Der Aufbau orientiert sich dabei an den typischen Interessen eines Unternehmens im Bereich des Marketings: Es geht zunächst um die Beziehung zum Kunden, also etwa um die Ermittlung der Kundenpräferenzen bei der Produktgestaltung, der Preisbildung und der Kundenzufriedenheit sowie um Informationen über die Bonität des Kunden. Unternehmen benötigen Adressen und weitere Informationen für die Akquise. Außerdem möchte das Unternehmen im Rahmen der allgemeinen Marktforschung etwa wissen, wie bekannt seine Marke ist, welches Bild die Abnehmer von der Marke haben und wie die Marke positioniert ist. Schließlich geht es um Informationen über das Verhalten der Konkurrenz.1 21.1 Kundendaten Kundendaten benötigt jedes Unternehmen zunächst schlicht zur Abwicklung der abgeschlossenen Verträge und zur Aufrechterhaltung bestehender Geschäftsbeziehungen. Solche Daten erhält das Unternehmen bei jedem Verkaufsvorgang. Darüber hinaus sind kundenbezogene Daten für die Einschätzung der Bonität, die Werbung und das Kundenbeziehungsmanagement bzw. Customer Relationship Management (CRM) wichtig. Kundendaten unterliegen gemäß § 3 Nr. 1 BDSG nur dann dem Datenschutz, wenn sie sich auf natürliche Personen beziehen. Vom Datenschutz grundsätzlich nicht erfasst sind Informationen über Unternehmen (siehe 20.1.1.1).2 Beispiel: Der Hersteller kann also Informationen über seine Händler und deren Verkaufszahlen ohne weiteres speichern. Personenbezogen sind aber Informationen, welche über einzelne Mitarbeiter des Geschäftspartners, etwa Einkäufer oder Vertriebspersonen gespeichert werden. In der Praxis kommt es häufig vor, dass die Kundenkartei sowohl Daten von natürlichen Personen als auch von Unternehmen enthält. Es ist in diesen Fällen 1 Vgl. Berekoven/Eckert/Ellenrieder (2009), 4. Teil. 2 Eine Ausnahme davon soll aber für den Einzelkaufmann gelten: Zu dessen Firma gespeicherte Daten seien stets Daten zur Person des Kaufmanns. Vgl. Gola/Schomerus (2010), § 3 Rn. 11a. 21. Kapitel: Datenschutz im Marketing 21.1 Kundendaten

Chapter Preview

References

Zusammenfassung

Alles zum Marketing- und Vertriebsrecht.

Birk/Löffler, Marketing- und Vertriebsrecht

2012.

ISBN 978-3-8006-4268-7

Marketing- und Vertriebsrecht

Die aktuellen Rechtsfragen des Marketing- und Vertriebsrechts werden aus betriebswirtschaftlicher Sicht geklärt und umsetzbare Lösungen vorgestellt.

Die Schwerpunkte zum Marketing- und Vertriebsrecht

* Kaufrecht und Produkthaftung

* Produkt und Verpackung

* Markenrecht

* Unlauterer Wettbewerb

* Internationales Wettbewerbsrecht

* Koordination der Preisgestaltung

* Grenzen autonomer Preisgestaltung

* Preisdurchsetzung

* Vertrieb über externe Vertriebsorgane

* Direktvertrieb

* Problematische Vertriebspraktiken

* Internationales Vertriebsrecht

* Datenschutzrecht

* Datenschutz im Marketing.