DA+

Aufsatz : Verantwortlichkeit und Transparenz im Lettershop-Verfahren : aus der RDV 2/2023, Seite 92 bis 97

Frank BeckerArchiv RDV
Lesezeit 21 Min.

Die Anzahl der Beschwerden bei Datenschutzaufsichtsbehörden wegen der Verletzung der Auskunftspflicht durch werbende Unternehmen, die sich zur Neukundenansprache des Lettershop-Verfahrens bedienen, ist hoch. Werbende Unternehmen erteilen häufig Negativauskünfte mit der Begründung, die Daten des Werbeadressaten nicht zu verarbeiten und datenschutzrechtlich nicht verantwortlich zu sein. Der nachfolgende Beitrag beleuchtet die Akteure im Lettershop-Verfahren (dazu I.), analysiert die datenschutzrechtlichen Verantwortlichkeiten (dazu II.) und betrachtet die daraus resultierenden Rechtsfolgen für die Auskunftspraxis der werbenden Unternehmen (dazu III.).

I. Das Lettershop-Verfahren

Um das Lettershop-Verfahren besser verstehen zu können, muss zunächst näher auf den Begriff des Adresshandels eingegangen werden.

1. Adresshandel

Unter den Adresshandel fallen das gewerbliche Sammeln, Analysieren für und das Weitergeben oder Vermitteln von Namen, Anschrift und weiteren personenbezogenen Daten an Unternehmen, die ihre Leistungen zielgruppengenau, etwa in Form von Werbebriefen, bewerben möchten[1] oder ihrerseits ebenfalls die Daten sammeln, analysieren, weitergeben oder vermitteln.[2] Abhängig davon, ob fremde Daten vermittelt oder eigene Daten weitergegeben werden, unterscheidet man begrifflich zwischen Adress- bzw. Listeigner auf der einen und Adress- bzw. Listbroker auf der anderen Seite.

Listeigner sind Unternehmen, die die gesammelten Daten der Betroffenen in eigenen Datenbanken gespeichert haben.[3] Die Erhebung dieser Daten erfolgt direkt beim Betroffenen beispielsweise über Gewinnspiele, Blogs, Vlogs und Social-Media-Profile und bei Dritten, etwa über öffentliche Verzeichnisse, wie Adress- oder Rufnummernverzeichnisse.[4] Teilweise werden die erhobenen Daten mit Bonitätsauskünften[5] und Informationen aus Mahn- und Insolvenzverfahren angereichert. Die daraus gewonnenen Datensätze lassen Rückschlüsse unter anderem auf die Wohnsituation, Konsumneigungen, Zahlungsfähigkeit und -bereitschaft zu. Diese wiederum erlauben Prognosen, mit welcher Wahrscheinlichkeit ein Interessent zum Kunde wird[6] und ob dieser im Anschluss als Kunde vertragstreu bleibt. Die Listeigner verwenden die zusammengeführten und gewonnenen Datensätze unter anderem, um Interessentengruppen zu bilden und Selektionen dieser Interessentengruppen nach bestimmten Merkmalen vornehmen zu können. Derartige Selektionen werden nach entsprechendem Auftrag eines werbetreibenden Unternehmens für gezielte Werbeaktionen vorgenommen.[7]

Als Listbroker bezeichnen sich oft Unternehmen, die Adressbestände[8] von einem Listeigner an ein werbendes Unternehmen[9] oder einen weiteren Listeigner vermitteln. Der Listeigner räumt dem Listbroker für seine Vermittlungstätigkeit ein Nutzungs- und Zugriffsrecht an den Adressbeständen ein, die in den Datenbanken des Listeigners verbleiben. Die Weitergabe an das werbende Unternehmen erfolgt durch den Listeigner. Dem Listbroker bleiben solche Weitergaben und -veräußerungen untersagt.[10]In der Praxis kommt es allerdings vor, dass der Listbroker im Verhältnis zum werbenden Unternehmen nicht als Vermittler auftritt, sondern den Anschein eines Listeigners erweckt und die Datensätze selbst an das werbende Unternehmen oder einen Lettershop weitergibt. Zum Teil arbeiten Listbroker mit weiteren Listbrokern oder Listeignern zusammen, die ihren Sitz in einem anderen Bundesland der Bundesrepublik Deutschland, einem anderen EU-Mitgliedstaat oder einem Drittstaat, z.B. in der Schweiz, haben.[11]

2. Lettershop-Verfahren

Beim Lettershop-Verfahren stellt das Unternehmen, dessen Produkte oder Dienstleistungen in Form eines Werbebriefs beworben werden sollen, einem Unternehmen die hierzu zu verwendenden Werbemittel zur Verfügung.[12]Dieses Unternehmen wird auch als Lettershop bezeichnet. Die Werbemittel, die dem Lettershop nun vorliegen, sind noch nicht personalisiert. Die zur Personalisierung der Werbebriefe notwendigen Datensätze mit Namen und Anschrift erhält der Lettershop von einem Listeigner. Der Listeigner selektiert die Datensätze nach denjenigen Kriterien, die vom werbenden Unternehmen im Vorfeld ausgewählt worden sind. Der Lettershop führt die Werbemittel und die Datensätze damit von zwei unterschiedlichen Unternehmen zusammen. Nach Personalisierung der Werbemittel und deren Druck werden die Werbebriefe an die Interessenten versendet.[13]Das werbende Unternehmen erhält die Datensätze des Listeigners nicht und erfährt nicht, an welche Personen die Werbebriefe versandt worden sind.[14]Insoweit wird in der Praxis auch häufig der Begriff der „Adressvermietung“ verwendet.[15]Das werbende Unternehmen erfährt von den Werbeadressaten in der Regel erst, nachdem diese von ihren Betroffenenrechten ihm gegenüber Gebrauch gemacht haben.

Die Datenverarbeitungen, die bis einschließlich zum Versand des personalisierten Werbebriefs erfolgen, lassen sich chronologisch grob in drei Phasen einteilen: 1. Phase: Sammeln und Analysieren von Datensätzen unter Namen und Anschrift von potenziellen Werbeadressaten durch den Listeigner; 2. Phase: Selektion der Werbeadressaten und Weitergabe der selektierten Adressdatensätze durch den Listeigner an den Lettershop; 3. Phase: Zusammenführung von Werbemitteln und Datensätzen der Werbeadressaten durch den Lettershop und Versand der Werbebriefe.

II. Datenschutzrechtliche Verantwortlichkeit

Datenschutzrechtlich Verantwortlicher ist gemäß Art. 4 Nr. 7 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemäß Art. 26 Abs. 1 S. 1 DS-GVO gemeinsam Verantwortliche. Verarbeitet eine Stelle personenbezogene Daten im Auftrag eines Verantwortlichen, ist sie gemäß Art. 4 Nr. 8 DS-GVO Auftragsverarbeiterin und nicht datenschutzrechtlich Verantwortliche.

1. Listeigner und Listbroker

Listeigner und Listbroker schließen in der Praxis oftmals einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 Abs. 3 S. 1 DS-GVO ab. Dieser Umstand bedeutet jedoch nicht zwingend, dass auch eine Auftragsverarbeitung vorliegt. Die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags nach Art. 28 Abs. 3 S. 1 DS-GVO ist Folge und nicht Voraussetzung der Qualifikation einer Datenverarbeitung als Auftragsverarbeitung. Eine entsprechende Prüfung am Maßstab des Art. 28 Abs. 1 DS-GVO erübrigt sich nicht.[16]

Eine Stelle ist als Auftragsverarbeiterin einzustufen, wenn sie von einer anderen, der verantwortlichen, Stelle organisatorisch getrennt ist und personenbezogene Daten in deren Auftrag verarbeitet. Eine Stelle verarbeitet Daten im Auftrag, wenn sie die Weisungen des Verantwortlichen in Bezug auf den Zweck und die wesentlichen Mittel umsetzt.[17] Unwesentliche Mittel können von der Stelle festgelegt werden, ohne dass dies zur Annahme der datenschutzrechtlichen Verantwortlichkeit führt. Wesentliche Mittel müssen vom Verantwortlichen festgelegt werden. Die wesentlichen Mittel stehen im engen Zusammenhang mit dem Zweck und dem Umfang der Verarbeitung und umfassen Festlegungen zu Art der Daten, Betroffenen, Empfänger und Dauer der Verarbeitung. Die unwesentlichen Mittel betreffen praktische Aspekte der Umsetzung, wie z.B. die Wahl der Hard- oder Software und der technischen und organisatorischen Datensicherheitsmaßnahmen[18] Je mehr die erbrachte Dienstleistung sich von der Datenverarbeitung entfernt, desto mehr kann die Stelle die Zwecke und Mittel selbst festlegen, ohne dass dies der Einstufung als Auftragsverarbeitung entgegensteht.[19] Verarbeitet eine Stelle die Daten über die ihr erteilten Weisungen hinaus und beginnt sie insoweit, die Zwecke und Mittel selbst zu bestimmen, ist sie nicht mehr Auftragsverarbeiterin, sondern Verantwortliche.[20]

Danach wird die Zusammenarbeit zwischen Listeigner und Listbroker häufig als Auftragsverarbeitung zu qualifizieren sein. Der Listbroker ist eine vom Listeigner getrennte Organisationseinheit und verarbeitet die Adressbestände in der Regel im Auftrag des Listeigners. Die Vereinbarung, nach der die Weitergabe der Adressbestände beim Listeigner verbleiben und dem Listbroker lediglich die Vermittlung der Daten gestattet sein soll, enthält eine Weisung des Listeigners in Bezug auf den Zweck und die wesentlichen Mittel. Die mit der Vermittlungstätigkeit des Listbrokers einhergehenden Datenverarbeitungen sind auf den Zweck der Weitergabe durch den Listeigner ausgerichtet und stellen insoweit eine von der Weitergabe getrennte Dienstleistung dar. Die Art der Daten und Betroffenen sind in Form von Adressdaten vom Listeigner festgelegt. Die Empfänger der Adressdaten sind ebenfalls, allerdings in negativer Hinsicht, bestimmt, indem dem Listbroker jedwede Weiterveräußerung und Weitergabe der Daten untersagt wird und die Daten in den Datenbanken des Listeigners zu verbleiben haben. Der Listbroker wird allerdings dann gemäß Art. 28 Abs. 10 DS-GVO als Verantwortlicher zu qualifizieren sein, wenn er gegenüber werbenden Unternehmen oder weiteren Listeignern die Weitergabe der Datensätze nicht dem Listeigner überlässt, sondern selbstständig vornimmt. In diesem Fall setzt sich der Listbroker über die Weisungen des Listeigners hinweg und bestimmt die Zwecke und Mittel eigenständig.

2. Listeigner und werbendes Unternehmen

Die Zusammenarbeit zwischen dem Listeigner einerseits und dem werbenden Unternehmen andererseits im Rahmen des Lettershop-Verfahrens wird in der Literatur zum Teil als Auftragsverarbeitung qualifiziert.[21] Der Deutsche Dialogmarketing Verband geht von einer alleinigen Verantwortlichkeit des Listeigners aus.[22]Die Datenschutzaufsichtsbehörden der Länder Baden-Württemberg,[23] Berlin[24] und Rheinland-Pfalz[25] nehmen dagegen eine gemeinsame Verantwortlichkeit an.

Die erstgenannte Auffassung ist mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) nicht vereinbar. Mit Blick auf die unter Schutzgesichtspunkten weite Auslegung der datenschutzrechtlichen Verantwortlichkeit[26] des EuGH und der Kriterien des Europäischen Datenschutzausschusses (EDSA) liegt kein Fall der Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit vor.

a) Gemeinsame Verantwortlichkeit

Zwei Stellen sind gemeinsam verantwortlich, wenn sie an der Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten gemeinsam beteiligt sind. Erforderlich sind eine gemeinsame Beteiligung sowie gemeinsam festgelegte Zwecke und Mittel.[27]

aa) Gemeinsame Beteiligung

Eine gemeinsame Beteiligung zweier Stellen an der Festlegung der Zwecke und Mittel liegt vor, wenn diese Stellen entscheidenden Einfluss auf das „Ob“ und „Wie“ einer Datenverarbeitung haben. Die Festlegung der Zwecke und Mittel kann sich aus einer gemeinsamen Entscheidung und mehreren konvergierenden Entscheidungen ergeben. Von konvergierenden Entscheidungen ist auszugehen, wenn die Entscheidungen einander ergänzen und die Verarbeitung ohne Beteiligung beider Stellen nicht möglich ist, weil die Verarbeitungsvorgänge untrennbar miteinander verbunden sind.[28]

Der Umstand allein, dass eine Stelle keinen Zugang zu den verarbeiteten personenbezogenen Daten hat, schließt eine gemeinsame Verantwortlichkeit nicht aus.[29] Über die Zwecke und Mittel einer Verarbeitung kann jemand auch dann entscheiden, wenn er weder Besitz an den Daten noch einen Zugriff auf sie hat. Lediglich insoweit, als eine Stelle allein über die Zwecke und Mittel von Verarbeitungsvorgängen entscheidet, die in der Verarbeitungskette vor- oder nachgelagert sind, ist von einer alleinigen datenschutzrechtlichen Verantwortlichkeit für den vor- oder nachgelagerten Verarbeitungsvorgang auszugehen.[30]

Nach diesen Maßstäben und Kriterien sind das werbende Unternehmen und der Listeigner an der Phase 2, die Selektion der Werbeadressaten und Weitergabe der selektierten Adressdatensätze durch den Listeigner an den Lettershop, und Phase 3, die Zusammenführung von Werbemitteln und Datensätzen der Werbeadressaten und Versand der Werbebriefe durch den Lettershop, gemeinsam beteiligt. Listeigner und werbendes Unternehmen haben entscheidenden Einfluss auf das „Ob“ und „Wie“ der Selektion der Werbeadressaten und den Versand der Werbebriefe. Die Verarbeitungsvorgänge der Auswahl der Kriterien für die Selektion und Übergabe der Werbemittel an den Lettershop durch das werbende Unternehmen einerseits sowie die Selektion als solche und Weitergabe der Datensätze an den Lettershop durch den Listeigner andererseits sind untrennbar miteinander verbunden. Ohne Auswahl der Kriterien für die Selektion der Werbeadressaten und Übergabe der Werbemittel durch das werbende Unternehmen an den Lettershop würden Werbebriefe überhaupt nicht oder ggfs. nicht an die Zielgruppen des werbenden Unternehmens versandt. Gleiches gilt für den Fall, in dem der Listeigner eine Selektion der Werbeadressaten nicht vornimmt und/oder deren Datensätze nicht an den Lettershop weitergibt.

Der gemeinsamen Beteiligung steht insoweit nicht entgegen, dass das werbende Unternehmen keinen Zugriff auf die Daten hat, die zur Bewerbung der Produkte und Dienstleistungen ausgewählt und genutzt werden. Unerheblich ist insoweit auch, ob das werbende Unternehmen selbst über die Datenbanken verfügt, in denen die Daten der Betroffenen gespeichert sind. Es kommt nicht darauf an, ob der Prozess zur Auswahl der mit Produkten und Dienstleistungen des Unternehmens Beworbenen und der Versand der Werbebriefe an diese in tatsächlicher Hinsicht vollumfänglich der unmittelbaren tatsächlichen Steuerung des werbenden Unternehmens oder Listeigners unterliegt. Es genügt vielmehr, wenn die Auswahl der Kriterien für die Selektion der zu bewerbenden Personen und die Überlassung der Werbemittel an den Lettershop in Händen des werbenden Unternehmens, die Selektion selbst und die Weitergabe an den Lettershop dagegen in den Händen des Listeigners liegen.[31]

Die Annahme einer gemeinsamen Beteiligung an Phase 1, das Sammeln und Analysieren von Datensätzen unter Namen und Anschrift von Werbeadressaten durch den Listeigner, erscheint dagegen fernliegend. Insoweit treffen der Listeigner und das werbende Unternehmen weder eine gemeinsame noch zwei konvergierende Entscheidungen. Für Letzteres fehlt die untrennbare Verbindung mit den Datenverarbeitungen aus den Phasen 2 und 3. Die unter Phase 1 zusammengefassten Datenverarbeitungen sind vielmehr als vorgelagerter Verarbeitungsvorgang zu qualifizieren, für den der Listeigner allein datenschutzrechtlich verantwortlich ist.

bb) Gemeinsam festgelegte Zwecke

Eine Verarbeitung erfolgt für gemeinsam festgelegte Zwecke, wenn die beteiligten Stellen die Daten für dieselben oder gemeinsame Zwecke verarbeiten. Von gemeinsamen Zwecken ist unter anderem dann auszugehen, wenn diese eng miteinander verknüpft sind oder sich ergänzen. Dies kann sich daraus ergeben, dass sich aus demselben Verarbeitungsvorgang ein beiderseitiger (wirtschaftlicher) Nutzen ergibt.[32] Im Zusammenhang mit der Einbindung eines Social Plug-Ins auf einer Website hat der EuGH entschieden, dass der Betreiber einer Website an der Festlegung der Zwecke und Mittel der Verarbeitung beteiligt ist, indem er das Social Plug-In in eine Website einbindet, um die Werbung für seine Waren zu optimieren, indem er sie im sozialen Netzwerk sichtbarer macht. Die damit einhergehenden Datenverarbeitungen erfolgten im wirtschaftlichen Interesse sowohl des Betreibers der Website als auch der des Anbieters des Social Plug-Ins.[33] Mit Blick auf den Betrieb einer Facebook Fanpage hat der EuGH entschieden, dass der Betreiber einer Facebook Fanpage und Meta an der Festlegung der Zwecke und Mittel der Verarbeitung der personenbezogenen Daten in Bezug auf die Besucher der Fanpage beteiligt sind, weil der Betreiber der Facebook Fanpage über die Nutzung der Facebook Fanpage Statistiken erhält und danach seine Werbetätigkeit genauer auf seine Zielgruppen ausrichten kann. Meta gewinnt ebenso zusätzliche Erkenntnisse über die entsprechenden Nutzer, kann Werbeinhalte Dritter präziser auf die Nutzerinteressen ausrichten und die Qualität der Werbeansprache verbessern.[34]

Vor diesem Hintergrund sind auch die Datenverarbeitungen der Phasen 2 und 3 als für gemeinsam festgelegte Zwecke erfolgend anzusehen. Die Zwecke, die von den Listeignern einerseits und dem werbenden Unternehmen andererseits mit der individuellen und zielgruppengenauen Versendung von Werbebriefen verfolgt werden, sind eng miteinander verknüpft. Die individuelle und zielgruppengenaue Versendung von Werbebriefen dient der Neukundengewinnung des werbenden Unternehmens. Dem Listeigner dient sie vor allem mit Blick auf das sich der Werbemaßnahme anschließende Reaktionsverhalten des Werbeadressaten als wichtiges Analysewerkzeug, um Erkenntnisse darüber zu gewinnen, ob der Werbeadressat mit der gewählten Anschrift existiert, die gewählte Anschrift noch aktuell ist und eine grundsätzliche Zu- oder Abneigung gegen Werbemaßnahmen oder die beworbene Ware oder Dienstleistung besteht. Letzteres lässt sich etwa aus einem Widerspruchsverlangen des Werbeadressaten ableiten und/oder daraus schließen, dass der Werbeadressat explizit mitteilt, sich für die Produkte oder Dienstleistungen bestimmter Kategorien oder das jeweilige Unternehmen nicht zu interessieren. Diese Erkenntnisse tragen dazu bei, die Aussagekraft der Datensätze zu einzelnen Interessenten zu erhöhen und damit die Qualität der Selektionen des Listeigners auch für andere Kunden zu erhöhen, die ihre Produkte und Dienstleistungen bewerben möchten. Aus der Datenverarbeitung, die mit der individuellen und zielgruppengenauen Versendung von Werbebriefen einhergeht, ergibt sich über das Reaktionsverhalten des Beworbenen folglich ein wirtschaftlicher Nutzen sowohl für die werbenden Unternehmen als auch für den Listeigner.

cc) Gemeinsam festgelegte Mittel

Eine Verarbeitung erfolgt nach gemeinsam festgelegten Mitteln, wenn die beteiligten Stellen Einfluss auf die Mittel der Verarbeitung ausüben. Insoweit muss nicht jede Stelle gleichermaßen Einfluss auf alle Mittel haben. Es genügt, wenn eine der beteiligten Stellen die Mittel der Datenverarbeitung durch die andere Stelle zur Verfügung stellt und die andere Stelle beschließt, diese Mittel für einen bestimmten Zweck zu nutzen.[35]Im Kontext des Betriebs einer Facebook Fanpage hat der EuGH entschieden, dass der Betreiber einer Facebook Fanpage durch die Festlegung der Parameter auf der Grundlage seiner Zielgruppe und der Ziele der Verwaltung und Förderung seiner Tätigkeiten als an der Festlegung der Mittel zur Datenverarbeitung im Zusammenhang mit den Besuchern seiner Fanpage beteiligt anzusehen ist.[36] Entscheidet eine Stelle, ein von einer anderen Stelle entwickeltes Instrument, das die Verarbeitung personenbezogener Daten ermöglicht, für eigene Zwecke zu nutzen, ist eine gemeinsame Entscheidung über die Mittel dieser Verarbeitung durch diese Stellen denkbar.[37]

Im Lichte dessen sind die Datenverarbeitungen der Phasen 2 und 3 als nach gemeinsam von werbenden Unternehmen und Listeignern festgelegten Mitteln erfolgend anzusehen. Die Listeigner ermöglichen die Selektion von Werbeadressaten anhand bestimmter Kriterien zur individuellen und zielgruppengenauen Versendung von Werbebriefen. Dies macht sich das werbende Unternehmen für eigene Werbezwecke zunutze, indem es durch die Auswahl der Selektionskriterien die Parameter der individuellen und zielgruppengenauen Werbeansprache auf Grundlage ihrer Zielgruppen und Absatzziele festlegt.

b) Alleinige Verantwortlichkeit

Nach Auffassung des Deutschen Dialogmarketing Verbandes sei der Listeigner allein datenschutzrechtlich verantwortlich. Das werbende Unternehmen entscheide darüber, dass an die selektierten Werbeadressaten Werbung versandt werde. Dies erfolge jedoch im Rahmen des Vertrags über die Durchführung einer Werbemaßnahme. Nach dem Vertragsschluss entscheide allein der Listeigner über die Durchführung der Werbemaßnahme. Die Entscheidungsphasen seien dadurch klar getrennt, was der Annahme einer gemeinsamen Verantwortlichkeit entgegenstehe.[38]

Diese Begründung überzeugt nicht. Das werbende Unternehmen entscheidet nicht allein, dass und an welche Werbeadressaten Werbebriefe versandt werden. Diese Entscheidung wird, wie zuvor ausgeführt, vom Listeigner und werbenden Unternehmen konvergierend getroffen. Eine klare Trennung der Entscheidungsphasen ohne gegenseitige inhaltliche Wechselwirkung liegt insoweit nicht vor. Für die Annahme eine gemeinsame Verantwortlichkeit spricht die vom EuGH unter Schutzgesichtspunkten weite Auslegung der datenschutzrechtlichen Verantwortlichkeit,[39] durch die sich praktisch häufig auftretende Schutzlücken vermeiden lassen. Gemeint sind solche, die vor allem dadurch entstehen, dass werbende Unternehmen Listeigner aus Drittstaaten beauftragen. Mag die DS-GVO über Art. 3 Abs. 2 DS-GVO auch auf Listeigner außerhalb der Europäischen Union anwendbar sein, vermag sie das Schutzdefizit, das sich vor allem aus der mangelnden Vollziehbarkeit der Vorschriften durch Datenschutzaufsichtsbehörden in Drittstaaten und einer dort fehlenden vergleichbaren Aufsichtsstruktur ergibt, nicht zu beseitigen.[40]Abhilfe ermöglicht vor allem die Annahme einer gemeinsamen Verantwortlichkeit des werbenden Unternehmens. Ist ein werbendes Unternehmen datenschutzrechtlich verantwortlich, erhält die zuständige Datenschutzaufsichtsbehörde Zugriff auf das werbende Unternehmen und kann die Einhaltung datenschutzrechtlicher Vorschriften nach Art. 57 Abs. 1 Buchstabe a DS-GVO überwachen und durchsetzen. Die betroffenen Werbeadressaten können ihre Betroffenenrechte geltend machen und deren mangelnde Erfüllung unter anderem im Wege der Beschwerde nach Art. 77 Abs. 1 DS-GVO rügen. Dadurch wird auch dem Postulat des Art. 26 DS-GVO, einen effektiven Betroffenenschutz und eine effektive behördliche Überwachung zu ermöglichen,[41] hinreichend Rechnung getragen.

3. Werbendes Unternehmen/Listeigner und Lettershop

Die Beauftragung eines Lettershops wird häufig als Auftragsverarbeitung qualifiziert.[42] Dies entspricht auch der Sichtweise der deutschen Datenschutzaufsichtsbehörden[43] und des Deutschen Dialogmarketing Verbands.[44] Im Ergebnis wird diese Einstufung häufig zutreffend sein. Mit Blick auf die gemeinsame Verantwortlichkeit des werbenden Unternehmens und des Listeigners wäre es allerdings nicht konsequent, den involvierten Lettershop lediglich als Auftragsverarbeiter entweder des Listeigners[45] oder des werbenden Unternehmens anzusehen. Konsequent ist es vielmehr, den Lettershop als Auftragsverarbeiter sowohl des werbenden Unternehmens als auch des Listeigners als gemeinsam Verantwortliche zu qualifizieren.

Lettershops sind in der Regel organisatorisch von Listeigner und werbenden Unternehmen getrennt. Mit dem Versand der Werbebriefe setzt der Lettershop die Zwecke des Listeigners und des werbenden Unternehmens um. Die wesentlichen Mittel, wie die Art der Daten, Betroffenen und Empfänger sowie Dauer der Verarbeitung werden von Listeigner und werbenden Unternehmen gemeinsam festgelegt, indem diese Stellen die zu verwendenden Adressdatensätze gemeinsam selektieren. Die Verknüpfung der ausgewählten Adressdatensätze mit den überlassenen Werbemitteln und der Versand der Werbebriefe stellen vom Lettershop festgelegte unwesentliche Mittel der Verarbeitung dar. Sie betreffen Aspekte der praktischen Umsetzung der Verarbeitung.

Eine solche Datenverarbeitung im Auftrag von gemeinsam Verantwortlichen ist nicht ausgeschlossen.[46]Der Wortlaut des Art. 28 Abs. 1 DS-GVO nimmt Bezug auf den Verantwortlichen. Nach der Legaldefinition des Art. 4 Nr. 7 DS-GVO ist Verantwortlicher auch die Stelle, die mit einer anderen Stelle die Zwecke und Mittel gemeinsam festlegt. Hinweise darauf, dass der Verordnungsgeber den Begriff des Verantwortlichen im Sinne des Art. 28 Abs. 1 DS-GVO von Art. 4 Nr. 7 DS-GVO abweichend und enger verstanden wissen wollte, ergeben sich aus Art. 28 DS-GVO nicht. Eine solche einschränkende Auslegung ist auch teleologisch nicht indiziert. Die Regelung des Art. 28 DS-GVO bezweckt, dass bei Auslagerungen von Datenverarbeitungen, die weisungsabhängig und damit in einem Über-Unterordnungs-Verhältnis vorgenommen werden, die Anforderungen der DS-GVO eingehalten werden.[47] Dieser Zweck wird nicht dadurch gefährdet, dass auf Seiten des Verantwortlichen mehrere Stellen existieren. Die hieraus resultierenden notwendigen Abstimmungen[48]zur Einhaltung der gesetzlichen Anforderungen betreffen in erster Linie nicht das Über-Unterordnungs-Verhältnis, sondern das Gleichordnungsverhältnis zwischen den gemeinsam Verantwortlichen. Sie sind daher auch in diesem Verhältnis vorzunehmen.

III. Rechtsfolgen für die Auskunftspraxis der werbenden Unternehmen

Die betroffene Person hat nach Art. 15 Abs. 1 DS-GVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die weiteren in Art. 15 Abs. 1 DS-GVO in Bezug genommenen Informationen.

Vor dem Hintergrund der gemeinsamen Verantwortlichkeit für die Selektion der Werbeadressaten und den Versand der Werbebriefe können werbende Unternehmen ihre bisherige Auskunftspraxis, wonach sie die Erteilung einer Auskunft mit der Begründung ablehnen, datenschutzrechtlich nicht verantwortlich zu sein, nicht aufrechterhalten.

1. Anknüpfungspunkt der Auskunftspflicht

Fraglich ist, ob das werbende Unternehmen dem Antragsteller abseits der Frage der datenschutzrechtlichen Verantwortlichkeit eine Negativauskunft mit der Begründung erteilen kann, dass es die Daten des Antragstellers tatsächlich nicht verarbeite.[49]

Mit Blick auf Wortlaut und Telos des Art. 15 Abs. 1 DS-GVO ist dies abzulehnen. Hätte der Verordnungsgeber die Auskunftspflicht über die datenschutzrechtliche Verantwortlichkeit hinaus an die tatsächliche Vornahme der Datenverarbeitung knüpfen wollen, hätte er sich nicht, wie geschehen, in Art. 15 Abs. 1 DS-GVO für die passive Formulierung „ob sie betreffende personenbezogene Daten verarbeitet werden“ entschieden. Er hätte stattdessen eine aktive Formulierung „ob er sie betreffende personenbezogene Daten verarbeitet“ gewählt. Eine kumulative Anknüpfung der Auskunftspflicht an die Vornahme der Datenverarbeitung liefe auch dem Zweck der Auskunftspflicht zuwider, die Verarbeitung personenbezogener Daten in Art und Umfang transparent zu machen.[50] Gerade in den Fällen, in denen der Verantwortliche Datenverarbeitungen nicht selbst vornimmt, sondern an andere Stellen auslagert und von diesen im Auftrag gemäß Art. 28 DS-GVO weiterverarbeiten lässt oder auf dem umgekehrten Wege von diesen im Auftrag erheben und weiterverarbeiten lässt, besteht ein erhöhtes Transparenzbedürfnis. In diesen Fällen könnte der Verantwortliche die Auskunft mit Blick auf seine Auftragsverarbeiter mit der Begründung verweigern, die Daten nicht selbst zu verarbeiten. Der Betroffene und Antragsteller erhielte folglich ein unvollständiges Bild von Art und Umfang der Verarbeitung seiner personenbezogenen Daten. Je nach Umfang derartiger Auslagerungen wären Art und Umfang der den Betroffenen betreffenden Datenverarbeitungen für diesen nicht mehr nachvollziehbar.

2. Art und Umfang Gemeinsam datenschutzrechtlich

Verantwortliche sind als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO zur Auskunft nach Art. 15 Abs. 1 DS-GVO verpflichtet. Wendet sich ein Werbeadressat mit einem Auskunftsverlangen an das werbende Unternehmen, muss es als gemeinsam für die Selektion der Werbeadressaten und den Versand der Werbebriefe Verantwortlicher nach Art. 26 Abs. 3 DS-GVO sicherstellen, dass der Antragsteller alle Informationen erhält, die ihm zustehen.[51] Dies gilt auch insoweit, als das werbende Unternehmen nicht über diese Information verfügt. In diesem Fall ist das werbende Unternehmen nach Art. 26 Abs. 3 DS-GVO verpflichtet, den beteiligten Listeigner dazu zu veranlassen, dem Antragsteller die nach Art. 15 Abs. 1 DS-GVO geschuldeten Informationen mitzuteilen.[52]

IV. Fazit

Abgesehen von der Sammlung und Analyse von Datensätzen unter Namen und Anschrift von Werbeadressaten sind für die Datenverarbeitungen, die im Lettershop-Verfahren erfolgen, werbende Unternehmen und Listeigner gemeinsam datenschutzrechtlich verantwortlich. Die Vermittlungstätigkeit des Listbrokers für den Listeigner wird häufig als Auftragsverarbeitung zu qualifizieren sein. Der Lettershop kann Auftragsverarbeiterin des mit dem Listeigner gemeinsam verantwortlichen werbenden Unternehmens sein. Werbende Unternehmen sind zur Auskunft nach Art. 15 Abs. 1 DS-GVO verpflichtet und daher gut beraten, ihre Auskunftsprozesse kritisch zu prüfen und, soweit notwendig, mit dem Listeigner abzustimmen. Der Einwand werbender Unternehmen, die Daten des Antragstellers tatsächlich nicht zu verarbeiten, greift nicht durch.

 

Frank Becker ist Volljurist und Datenschutzbeauftragter zweier Fachbehörden des Senats, eines Landesbetriebs und Instituts der Freien und Hansestadt Hamburg.

[1] LfDI Baden-Württemberg, Tätigkeitsbericht 2018, 116f

[2] Vgl. DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 4. Aufl., 13.

[3] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 35.

[4] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 49.

[5] LfDI Baden-Württemberg, Tätigkeitsbericht 2018, 117 f.

[6] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 6

[7] LfDI Baden-Württemberg, Tätigkeitsbericht 2020, 104.

[8] Datenschutzrecht für die Praxis, Schröder, 4. Kapitel Marketing und Werbung, 180

[9] Forgó/Helfrich/Schneider/Škorjanc, Betrieblicher Datenschutz, 3. Aufl. 2019, Annex: Rechtslage in Österreich, Rn. 3.

[10] Datenschutzrecht für die Praxis, Schröder, 4. Kapitel Marketing und Werbung, 179 f

[11] LfDI Baden-Württemberg, Tätigkeitsbericht 2020, 104

[12] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 19

[13] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 19.

[14] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 12.

[15] Kuchenbauer ZfDR 2022, 135 (136).

[16] So zutreffend Simitis/Hornung/Spiecker gen. Döhmann/Petri, Datenschutzrecht, 1. Aufl. 2019, Art. 28 Rn. 21

[17] EDSA, Leitlinien 07/2020, 30 Rn. 76 ff.

[18] EDSA, Leitlinien 07/2020, 17 Rn. 39 ff

[19] EDSA, Leitlinien 07/2020, 31 Rn. 82

[20] EDSA, Leitlinien 07/2020, 31 Rn. 81.

[21] Taeger/Gabel/Lutz, DS-GVO – BDSG – TTDSG, 4. Aufl. 2022, Art. 28 DS-GVO Rn. 16.

[22] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 40.

[23] LfDI Baden-Württemberg, Tätigkeitsbericht 2020, 104f.

[24] BInBDI, Tätigkeitsbericht 2019, 33f.

[25] LfDI Rheinland-Pfalz, Tätigkeitsbericht 2019, 51

[26] So EuGH NJW 2019, 290 Rn. 66 für Art. 2 Buchstabe d der Datenschutz-Richtlinie 95/46/EG.

[27] EDSA, Leitlinien 07/2020, 21 Rn. 50 ff.

[28] EDSA, Leitlinien 07/2020, 22 Rn. 53

[29] So EuGH NJW 2019, 290 Rn. 69

[30] So EuGH NJW 2019, 2760 Rn. 101 für Art. 2 Buchstabe d) der DatenschutzRichtlinie 95/46/EG.

[31] So auch LfDI Baden-Württemberg, Tätigkeitsbericht 2020, 104 f

[32] EDSA, Leitlinien 07/2020, 23 Rn. 59 ff.

[33] EuGH NJW 2019, 2758 Rn. 80.

[34] EuGH NJW 2018, 2539 Rn. 34 für Art. 2 Buchst. d) der Datenschutz-Richtlinie 95/46/EG

[35] EDSA, Leitlinien 07/2020, 24 Rn. 63 ff.

[36] EuGH NJW 2018, 2539 Rn. 39.

[37] EuGH NJW 2019, 2758 Rn. 77

[38] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 40.

[39] EuGH NJW 2019, 290 Rn. 66.

[40] So auch Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 3 Rn. 27; Wolff/Brink/Hanloser, BeckOK Datenschutzrecht, 41. Edition Stand 01.11.2021, Art. 3 Rn. 46.

[41] So auch Sydow/Marsch/Ingold, DS-GVO/BDSG, 3. Aufl. 2022, Art. 26 DS-GVO Rn. 1; Taeger/Gabel/Lang, Art. 26 DS-GVO Rn. 1; Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 26 Rn. 2.

[42] So insb. Kühling/Buchner/Hartung, DS-GVO BDSG, 3. Aufl. 2020, Art. 28 DS-GVO Rn. 45.

[43] Datenschutzkonferenz, Kurzpapier Nr. 13, Auftragsverarbeitung, Art. 28 DS-GVO vom 17.12.2018, 4; LDA Bayern, Auslegungshilfe „Was ist Auftragsverarbeitung und was nicht?“ vom 15.05.2019, 1.

[44] DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 47.

[45] So DDV e.V., Best Practice Guide, Europäische Datenschutz-Grundverordnung, 47

[46] So auch Taeger/Gabel/Lang, Art. 26 DS-GVO Rn. 68.

[47] Vgl. Erwägungsgrund 81 S. 1 DS-GVO

[48] Zu den möglichen Abstimmungsgegenständen: Taeger/Gabel/Lang, Art. 26 DS-GVO Rn. 68.

[49] Missverständlich insoweit Paal/Pauly/Paal, Art. 15 Rn. 19.

[50] Vgl. Erwägungsgrund 63 S. 1 DS-GVO.

[51] So auch BInBDI, Tätigkeitsbericht 2019, 34.

[52] So auch Taeger/Gabel/Lang, Art. 26 DS-GVO Rn. 104; BInBDI, Tätigkeitsbericht 2019, 34 f.