datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert

Datenverarbeitung zu Werbezwecken unter der DSGVO

/von

Wie bereits in anderen Artikeln thematisiert, werden mit der DSGVO viele Spezialregelungen, die wir aus dem BDSG kennen künftig entfallen. So ist es auch mit Regelungen zur Verarbeitung personenbezogener Daten zu Zwecken der Werbung. Künftig werden Verarbeitungen personenbezogener Daten zu Zwecken der Werbung daher entweder auf einer Einwilligung basieren oder auf dem recht unspezifisch formulierten Artikel 6 Abs. 1 lit. f DSGVO. Nach dieser Regelung ist zwischen den berechtigten Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person abzuwägen. Immerhin kann den Erwägungsgründen zu Art. 6 DSGVO entnommen werden, dass die Datenverarbeitung zu Zwecken der Direktwerbung als ein berechtigtes Interesse angesehen werden kann.

Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

Auch wenn nach der Abwägung gemäß Artikel 6 Abs. 1 lit. f DSGVO die Entscheidung zugunsten einer Verarbeitung personenbezogener Daten zu Zwecken der Werbung fällt, sind natürlich die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten zu beachten. Festgelegt sind diese in Artikel 5 DSGVO.

Demnach wird insbesondere darauf zu achten sein:

  • dass die Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Transparenzgebot). Dies bedeutet, dass die betroffene Person über die Tatsache der Verarbeitung zu informieren ist. Ebenso muss die Herkunft der Daten offengelegt werden,
  • dass die Zweckbindung befolgt wird,
  • dass die Datenverarbeitung dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind (Datenminimierung)
  • Speicher- und Löschfristen festgelegt und eingehalten werden.

Recht auf Widerspruch und Information

In Artikel 21 Abs. 2 bis 4 DSGVO wird das Thema “Werbung” dann doch noch direkt thematisiert. Folgendes wird dort festgelegt:

  • Werden personenbezogene Daten zu Zwecken der Direktwerbung verarbeitet, dann hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen
  • Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
  • Die betroffene Person ist spätestens zum Zeitpunkt der ersten Kommunikation auf das Recht zum Widerspruch hinzuweisen

Die übrigen Informationspflichten der DSGVO sind natürlich weiterhin zu beachten. Mehr zu diesem Thema finden Sie hier.

Was ist mit den besonderen Kategorien personenbezogener Daten?

Ähnlich wie im BDSG werden auch in der DSGVO Kategorien sensibler personenbezogener Daten einem besonderen Schutz unterworfen. Hierbei handelt es sich um Daten zur rassischen und ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung. Für diese Daten gibt es in der DSGVO keinen Erlaubnistatbestand der Verarbeitung zu Werbezwecken außer der Einwilligung. Festgelegt ist dies in Artikel 9 DSGVO. Eine zuvor eingeholte Einwilligung ist daher für diese Daten unerlässlich.

Konsequenzen

Als Konsequenz aus dem umfangreichen Informationspflichten wird sich ergeben, dass vertragliche Vereinbarungen oder Einwilligungserklärungen künftig deutlich umfangreicher werden als bisher. Hinzu kommt, dass spätere Zweckänderungen nur in sehr engen Grenzen zulässig sein werden. Das heißt in der erstmaligen Vereinbarung mit der betroffenen Person (Einwilligung oder Vertrag) wird eine verantwortliche Stelle möglichst alle Zwecke die beabsichtigt sind oder künftig vielleicht einmal beabsichtigt sein könnten bereits aufführen und die entsprechenden Informationen aufführen.

Ein weiterer Punkt ist, dass Empfänger in der DSGVO anders definiert sind als bisher. Während nach dem BDSG nur Dritte auch Empfänger sein konnten, ist nach der Artikel 4 DSGVO ein Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Das heißt, auch interne Stellen innerhalb der verantwortlichen Stelle wie die Personalabteilung, Rechtsabteilung etc. sind zumindest nach strenger Lesart dieses Artikels im Rahmen der Informationspflichten zu nennen.

Besonderheiten

  • § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) wird weiterhin neben der DSGVO Bestand haben. Daher wird Werbung per Telefon gegenüber Privatpersonen weiterhin als unzumutbare Belästigung bewertet und ist daher zu unterlassen. Gleiches gilt für Werbung per E-Mail oder Telefax. In diesen Fällen ist Direktwerbung ohne zuvor eingeholte Einwilligungserklärung nicht zulässig. Einzige Ausnahme ist die Werbung per E-Mail für Bestandskunden unter den weiteren Bedingungen des § 7 Abs. 3 UWG.
  • Der Düsseldorfer Kreis hat beschlossen, dass Einwilligungen die bereits vor Verabschiedung der DSGVO eingeholt wurden, in der Regel weiterhin gültig sein werden, auch wenn die Informationspflichten der DSGVO zum Zeitpunkt der Einholung der Einwilligung nicht erfüllt worden sind.

Führen Sie Direktwerbung für Ihre Produkten oder Dienstleistungen durch? Dann empfehlen wir, bereits jetzt die Einwilligungen an die Anforderungen der DSGVO anzupassen. Sprechen Sie uns an, gerne unterstützen wir Sie!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoAuftragsdatenverarbeitung – Anforderungen an den Vertrag
facebook gemeinsame verantwortlichkeit 26 dsgvoFacebook Like Button: Erste gerichtliche Entscheidung
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mailDie Reichweite des Auskunftsanspruchs – der BGH hat geurteilt
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenGesetzesänderung – Daten sind nun ganz offiziell ein Zahlungsmittel!
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDie Datenschutz-Folgenabschätzung (DSFA)
telefax vertraulichkeitVertraulichkeit bei der Verwendung von Telefax