Daten - Basis für die Kommunikation
Ob Sie etwas aus einem Katalog oder im Internet bestellen, einen E-Mail-Newsletter abonnieren oder einen Pkw leasen, bei all diesen Vorgängen werden persönliche Daten (so genannte personenbezogene Daten) erhoben und gespeichert. Dabei geht es nicht darum, den Kunden „auszuspionieren". Unternehmen benötigen diese Daten, um das Geschäft abzuwickeln (ohne Ihre Adresse kann der bestellte Computer nicht ausgeliefert werden), das finanzielle Risiko zu vermindern (das Autohaus möchte sich absichern, ob der Kunde die Leasingraten auch bezahlen kann) oder Ihnen die gewünschten Informationen zusenden zu können (den bestellten Newsletter). Name und Anschrift hat der Kunde oder Interessent selbst mitgeteilt, weitere Informationen zum Kontakt - z. B. Bestelldatum, gewünschtes Produkt oder besondere Vereinbarungen - speichert das Unternehmen ebenfalls. Schließlich ist es an langfristigen Beziehungen zu Ihnen interessiert, die es auch beispielsweise durch einen Umzug nicht unterbrochen sehen möchte. Auch Sie als Kunde profitieren von dauerhaften Bindungen: „Ihr" Unternehmen kennt Ihre Bedürfnisse und liefert gezielt Informationen über neue Produkte oder Dienstleistungen. Als Stammkunde werden Sie häufig sogar bevorzugt behandelt und erhalten z. B. Informationen über Aktionen und Sonderangebote.
Kundendaten sind für Unternehmen wichtig und von hoher wirtschaftlicher Bedeutung. Jedes Unternehmen wird sie hegen und pflegen und ist gesetzlich verpflichtet, sie gegen unberechtigte Zugriffe zu schützen. Auf der anderen Seite möchten Kunden selbstverständlich vermeiden, dass persönliche oder gar sensible Daten über die eigenen Finanzen oder die Gesundheit in falsche Hände geraten. Datenschutzbestimmungen regeln daher die Speicherung und Weitergabe von Daten und sorgen dafür, dass Daten nur im Rahmen des rechtlich Erlaubten erfasst, gespeichert und übermittelt werden. Die wichtigste Grundlage hierfür ist die Datenschutz-Grundverordnung (DS-GVO).
Die Datenschutz-Grundverordnung (DS-GVO) schützt die Grundrechte und Grundfreiheiten natürlicher Personen und soll den Einzelnen insbesondere davor schützen, dass er durch die Nutzung seiner personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
Die Verarbeitung personenbezogener Daten ist zulässig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Ohne Einwilligung ist die Verarbeitung unter anderem dann zulässig, wenn diese der Erfüllung eines Vertrags dient oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und auf Anfrage der betroffenen Person erfolgt.
Werbungtreibende Unternehmen benötigen keine Einwilligung vom Betroffenen, wenn die Verarbeitung personenbezogener Daten zur Wahrung ihrer berechtigten Interessen erforderlich ist und gleichzeitig die Interessen der Betroffenen auf Schutz der sie betreffenden personenbezogenen Daten nicht überwiegen (allgemeine Interessenabwägung). Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung gegenüber Verbrauchern kann daher als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Unter personenbezogenen Daten versteht das Gesetz alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung (z. B. Name, Kontonummer, Kfz-Kennzeichen, Online-Kennung, Standortdaten) identifiziert werden kann.
Darüber hinaus gibt es so genannte „besondere Kategorien personenbezogener Daten". Dazu gehören Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Der Umgang mit solchen Daten ist an strengere Vorausetzungen gebunden, deshalb ist die Verarbeitung solcher Daten grundsätzlich untersagt, es sei denn, der Betroffene hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) richtet sich an Anbieter von öffentlichen Telekommunikationsdiensten (z. B. Anbieter von Festnetz und Mobilfunk; Anbieter von Internetanschlüssen) sowie an Anbieter von Telemediendiensten (z. B. Betreiber von Webseiten, einer App oder Smart-Home-Anwendungen).
Es enthält in den §§ 19 bis 24 einige Datenschutzvorschriften für Telemedien, die die Regelungen der Datenschutz-Grundverordnung (DS-GVO) ergänzen. Gab es im Telemediengesetz (TMG) a. F. bis Ende 2021 noch Erlaubnistatbestände hinsichtlich der Auswertung von Bestands- und Nutzungsdaten, so sind jetzt allein Art. 6 und Art. 9 der DS-GVO maßgeblich, wenn es um die Frage der Rechtmäßigkeit der Verarbeitung geht. Auf Webseiten gelten somit grundsätzlich die Vorschriften der DS-GVO. § 21 TTDSG regelt, wann ein Anbieter von Telemedien im Einzelfall Auskunft über Bestandsdaten erteilen darf. Eine Sonderregelung für die elektronische Einwilligung, wie sie ehemals § 13 Abs. 2 und § 3 TMG vorsah, existiert nicht (mehr), sodass auch hier allein die Vorschriften der DS-GVO maßgeblich sind.
Der Schutz des TTDSG betrifft außerdem den Zugriff auf die Endgeräteintegrität. Ob dabei ein Personenbezug vorliegt, spielt keine Rolle. Geregelt wird die Frage, ob und wann Informationen auf Endgeräten mit Internetanschluss (PC, Smartphones, Tablets usw.) gespeichert und ausgelesen werden dürfen. Im Alltag wird hier auch von der so genannten "Cookie-Regelung" gesprochen. Auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 f DS-GVO darf in diesem Zusammenhang nicht abgestellt werden. Vor dem Speichern oder Auslesen ist stets die Einwilligung des Nutzers erforderlich. Ausnahmen sind nur in sehr engen Grenzen vorgesehen (§ 25 Abs. 2 Nr. 2 TTDSG). Wie eingangs erwähnt spielt es beim Einsatz von Cookies für das Einwilligungserfordernis keine Rolle, ob in dem Cookie personenbezogene Daten, etwa in Form einer eindeutigen Identifizierungsnummer, gespeichert sind oder auf diese zugegriffen werden soll.
Die Regelungsbereiche des TTDSG im Einzelnen:
- Fernmeldegeheimnis (einschließlich des Abhörverbotes und der Geheimhaltungspflicht der Betreiber von Funkanlagen);
- Besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien;
- Anforderungen an den Schutz der Privatsphäre im Hinblick auf die Mitteilung ankommender Verbindungen, die Rufnummernunterdrückung und -anzeige und die automatische Anrufweiterschaltung;
- Anforderungen an die Aufnahme in Endnutzerverzeichnisse und die Bereitstellung von Endnutzerdaten an Auskunftsdienste, Dienste zur Unterrichtung über einen individuellen Gesprächswunsch eines anderen Nutzers und Anbieter von Endnutzerverzeichnissen;
- Von Anbietern von Telemedien zu beachtende technische und organisatorische Vorkehrungen;
- Anforderungen an die Erteilung von Auskünften über Bestands- und Nutzungsdaten durch Anbieter von Telemedien;
- Schutz der Privatsphäre bei Endeinrichtungen hinsichtlich der Anforderungen an die Speicherung von Informationen in Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in Endeinrichtungen der Endnutzer gespeichert sind (sog. "Cookie-Regelung");
- Zuständigkeiten der Aufsichtsbehörden (BfDI und Bundesnetzagentur); Bei Telemedien bleiben die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 des BDSG unberührt.
Verbraucher können jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zu Werbezwecken einlegen. Auf dieses Widerspruchsrecht müssen sie audrücklich und spätestens zum Zeitpunkt der ersten Kommunikation mit dem werbungtreibenden Unternehmen oder der datenverarbeitenden Stelle hingewiesen werden. Der Hinweis hat dabei in einer verständlichen und von etwaigen anderen Informationen getrennten Form zu erfolgen. Soweit eine Information noch nicht erfolgt ist, finden sich daher z. B. in Werbeschreiben an geeigneter Stelle Informationen zum Widerrufsrecht und gegebenenfalls darüber, an wen (i. d. R. an das werbungtreibende Unternehmen selbst) Sie sich dazu wenden müssen.
Um sich der Verarbeitung bewusst zu sein, können Sie jederzeit bei der datenverarbeitenden Stelle um Auskunft über alle Daten bitten, die über Sie gespeichert sind. Der Auskunftsanspruch erfasst insbesondere die Informationen darüber, zu welchen Zwecken Ihre personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind und nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt. Eine Antwort erhalten Sie in der Regel kostenlos innerhalb eines Monats. Ein wichtiger Punkt in diesem Zusammenhang ist, dass die Informationen, die Sie erhalten, in präziser, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen müssen. Rechtsgrundlage für den Auskunftsanspruch ist Art. 15 DS-GVO.
Wenn die Auskunft verweigert wird oder Sie Zweifel haben, ob Ihnen korrekt Auskunft erteilt worden ist, können Sie sich an die zuständige Datenschutzaufsichtsbehörde (siehe unter "Aufsicht über den Datenschutz") wenden. Fügen Sie Ihren Schriftwechsel mit der jeweiligen Stelle in Kopie bei.
Speichert ein Unternehmen unrichtige Daten über Sie, muss es diese Daten berichtigen. Werden personenbezogene Daten von Ihnen unzulässigerweise gespeichert, muss das Unternehmen diese Daten löschen. Machen Sie von Ihrem Widerspruchsrecht Gebrauch, muss das Unternehmen Ihre Daten löschen bzw. sperren, damit Sie zukünftig nicht mehr angeschrieben werden. Damit Sie im Falle der personalisierten Briefwerbung nicht bei jedem Unternehmen einzeln widersprechen müssen, bietet der DDV den Eintrag in die DDV-Robinsonliste an.
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie einem Unternehmen freiwillig bereitgestellt haben oder die zur Erfüllung eines Vertrages erforderlich sind, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten, um sie gegebenenfalls anderen Unternehmen zu übermitteln. Betroffene sollen hier im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten erhalten.
Die Datenschutzaufsichtsbehörden der Länder und der oder die Bundesbauftragte für den Datenschutz und die Informationsfreiheit (BfDI) überwachen die Datenverarbeitung sowohl von Unternehmen als auch von Behörden. Verbraucherinnen und Verbraucher können sich bei vermuteten Datenschutzverstößen an die betrieblichen Datenschutzbeauftragten des jeweiligen Unternehmens oder an die regional zuständige Datenschutzaufsichtsbehörde wenden.
Werden Datenschutzbestimmungen nicht eingehalten, kommen Straf- und Bußgeldvorschriften zur Anwendung.
Geldbußen werden von der zuständigen Datenschutzaufsichtsbehörde verhängt, die zunächst prüft, ob das Bußgeld im Einzelfalls wirksam, verhältnismäßig und abschreckend ist. Bei der Entscheidung, ob und in welcher Höhe Sanktionen verhängt werden, steht den Datenschutzaufsichtssbehörden ein gesetzlicher Kriterienkatalog zur Verfügung, dessen Punkte in die Entscheidung mit einfließen müssen. Zu den Kriterien gehören u. a. Art, Schwere und Dauer des Verstoßes, vorsätzliches oder fahrlässiges Handeln und die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind. Straferhöhend wirken dabei u. a. die Vorsätzlichkeit des Verstoßes, fehlende Zusammenarbeit mit der Aufsichtsbehörde oder fehlende Maßnahmen zur Minderung des Schadens.
Bei vielen Verstößen gegen die Bestimmungen der DS-GVO, so u. a. auch bei Verstößen gegen die Auskunftspflichten nach Art. 15 DS-GVO, kann eine Geldbuße von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Der Katalog von weniger gewichtigen Verstößen führt zu Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist.
Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt (§ 42 Abs. 1 BDSG). Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen (§ 42 Abs. 2 BDSG). Diese Taten werden nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.
Am häufigsten werden Ihnen Unternehmen schreiben, mit denen Sie schon einmal Kontakt hatten. Zum Beispiel ein Unternehmen, bei dem Sie etwas gekauft, bestellt oder an dessen Gewinnspiel Sie teilgenommen haben. Das Unternehmen hat Sie deshalb in seine eigene Adressdatei aufgenommen.
Eine eigene Adressdatei mit aktuellen Angaben ist für Unternehmen, die Dialogmarketing einsetzen, von größter Bedeutung. Deshalb geben sich die Dialogmarketing-Anwender und -Dienstleister alle erdenkliche Mühe, ihre Daten auf dem neuesten Stand zu halten.
Doch auch von Unternehmen, mit denen Sie bisher keinen Kontakt hatten, können Sie Werbung erhalten. Diese haben Ihre Adresse beispielsweise aus öffentlich zugänglichen Quellen entnommen. Die Adressen können auch von einem anderen Unternehmen zur Nutzung bereitgestellt oder übermittelt worden sein.
Öffentlich zugängliche Quellen sind beispielsweise Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse. Jedes Unternehmen kann die Adressdaten aus diesen Quellen erheben und für Werbemaßnahmen nutzen. Dabei muss es jedoch etwaige Urheberrechte der Herausgeber des betroffenen Verzeichnisses beachten. Aufgrund dieser Hürden bedienen sich Unternehmen regelmäßig der Hilfe spezieller Dienstleister.