Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (22): Werbung : aus der RDV 6/2015, Seite 306 bis 309
Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*
Gruppenversicherung nur mit Einwilligung
Sozialverbände schließen zugunsten ihrer Mitglieder Gruppenversicherungsverträge ab, d.h. Rahmenverträge mit Versicherungsunternehmen, die den Mitgliedern unter bestimmten Voraussetzungen den Abschluss von Einzelversicherungsverträgen zu günstigeren als den üblichen Konditionen ermöglichen. Diese zugunsten ihrer Mitglieder stattfindende Aktivität berechtigt den Verband jedoch nicht zur Weitergabe der Adressdaten der Mitglieder nach § 28 Abs. 3 BDSG, da nach Satz 6 der Übermittlung keine schutzwürdige Interessen der Betroffenen entgegenstehen dürfen. Dies ist hier der Fall (vgl. NdsLfDI, 21. TB, 2011/2012, S. 51), da die Mitgliederdaten im ihrem regelmäßigen Kontext mit Gesundheitsdaten den Schutz besonderer Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) genießen. Demnach ist für die Übermittlung personenbezogener Daten von Mitgliedern von Sozialverbänden an ein Versicherungsunternehmen für die Werbung zum Abschluss von – wenn auch vergünstigten – Verträgen die freiwillige und informierte Einwilligung (§ 4a Abs. 1 BDSG) Voraussetzung.
Vorgedruckte Kontodaten des „Spenders“ bei Spendenwerbung
Mit der Reichweite des § 28 Abs. 3 BDSG hatte sich der HessDSB (48. TB, 2014, Zif. 5.3.7) zu befassen. Ein Verein hatte Spendenaufrufe an Personen versandt, die bereits in der Vergangenheit mittels Überweisung auf das Konto des Vereins gespendet hatten, Dem Spendenaufruf-Schreiben lag ein Überweisungsträger bei, der neben den Daten des Vereins auch den aus der erstmaligen Überweisung des Spenders entnehmbaren Namen und Kontodaten (Kontonummer und Bankleitzahl/IBAN und BIC) enthielt.
Als Erlaubnisnorm kommt hier § 28 Abs. 3 BDSG mit den Zulässigkeitsalternativen des S. 2 Nr. 1 und 3 in Betracht. Die Daten des Spenders wurden gespeichert als sog. Bestandsdaten im Rahmen einer Schenkung, als die sich die Spende rechtlich darstellt (Rechtsgeschäftliches Schuldverhältnis gem. § 28 Abs. 1 S. 1 Nr. 1 BDSG). Damit durften zwar die Listendaten, nicht jedoch die Kontonummer zu weiteren Werbeaktionen genutzt werden. Wesentlich ist sodann, dass ein in § 28 Abs. 3 S. 3 BDSG erlaubtes Hinzuspeichern weiterer Daten für die Kontonummer nicht in Betracht kommt. Die Daten, die hinzugespeichert werden, muss die verantwortliche Stelle gestützt auf andere Zulässigkeitstatbestände rechtmäßig erhoben bzw. übermittelt bekommen haben. Die „Zuspeicherung“ ist dann auf ihre Zulässigkeit im Rahmen der Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG zu prüfen.
Zu beachten ist dabei aber auch § 28 Abs. 5 BDSG, der dem Empfänger der hier durch die Bank übermittelten Daten es in der Regel untersagt, die ihm für einen bestimmten Zweck übermittelten Daten für andere Zwecke zu verarbeiten. Die Mitteilung der Kontodaten des A erfolgte ausschließlich zur Durchführung des Zahlungsverkehrs. Für eine Zweckänderung fehlt es an einem die Zweckbindung aufhebenden berechtigten Interesse, das hier allein darin besteht, A durch ein bereits „fertiges“ Überweisungsformular zur Zahlung zu motivieren.
Die für Spendenwerbung auch in Betracht kommende spezielle Zulässigkeitsalternative des § 28 Abs. 3 S. 2 Nr. 3 BDSG beschränkt sich auch auf die Listendaten und erlaubt sowieso kein Hinzuspeichern.
Schließlich kann, wie der HessDSB festhält, keine konkludente Einwilligung des Betroffenen zur Nutzung der Kontodaten daraus gefolgert werden, dass er diese auf dem Überweisungsträger angegeben und dann mittels der Bank an den Verein „übermittelt“ hat.
Post von der Apotheke
In der Beurteilung der brieflichen Kontaktpflege einer Apotheke mit ihren „langjährigen, treuen“ Kunden kam der HessDSB (43. TB, 2014, Ziff. 5.6.1.1) zu dem Ergebnis, dass diese nur mit Einwilligung der Betroffenen erfolgen dürfe.
Im vorliegenden Fall versendete eine hessische Apotheke mehrmals im Jahr Briefe an ihre „langjährigen, treuen“ Kunden. Die Liste mit den Adressen der angeschriebenen Kunden wurde nach Auskunft der Apotheke seit vielen Jahren über die Rückmeldungen der Kunden im Rahmen von Gewinnspielen und direkter Kundenansprache in der Apotheke gepflegt und aktualisiert.
Auch im vorliegenden Fall kommt als Möglichkeit, eine Adressliste ohne eine Einwilligung der Kunden zum Zwecke der Werbung zu nutzen, § 28 Abs. 3 S. 2 BDSG in Betracht. Die Erhebung und Speicherung der Adressen der Kunden als Bestandsdaten im Rahmen des mit der Rezepteinlösung oder mit einem sonstigen Einkauf verbundenen Vertrages ist nicht erforderlich. Auch wenn auf Rezepten die Kundenadresse vermerkt ist, dürfen diese Daten daher nicht für Werbeschreiben bzw. Erstellung einer Kundenliste verwendet werden. Anderes gilt jedoch, wenn die Apotheke als Service eine Bestellung dem Kunden an die von ihm angegebene Adresse zustellt und dazu eine Zustellliste führt. Ansonsten bleibt daher für die Apotheke nur die Möglichkeit, Kundenadressen mit einer schriftlichen, nachweisbaren Einwilligung der Betroffenen zu erheben.
Daten des Hompage-Impressums sind keine Quelle für Werbedaten
Die pflichtgemäß auf einem Homepage-Impressum (§ 5 Abs. 1 Nr. 1 und 2 TMG) anzugebenden Daten über die postalische und elektronische Erreichbarkeit eines geschäftsmäßigen Diensteanbieters sind zwar öffentlich zugängliche Daten; dürfen deswegen gleichwohl regelmäßig nicht für die werbliche Ansprache von Verbrauchern verwendet werden (vgl. BayLDA, TB 2013/14, Ziff. 12.2). Für postalische Werbung erlaubt § 28 Abs. 1 S. 2 Nr. 1 BDSG ohne Einwilligung nur die Nutzung von aus öffentlichen Adress-Verzeichnissen stammenden Daten. Eine Homepage fällt nicht unter diesen Begriff. Etwas anderes gilt nur für briefliche Werbung im geschäftlichen Bereich (§ 28 Abs. 1 S. 2 Nr. 2 BDSG).
Für E-Mail-Werbung würde die Nutzung der auf der Homepage angegeben E-Mailadresse immer nur nach erteilter ausdrücklicher Einwilligung zulässig sein (§ 7 Abs. 2 Nr. 3 UWG), da hier die Voraussetzungen des § 4 Abs. 3 UWG für uneingewilligte Werbung per elektronische Postzusendung, fehlen. Das gilt auch für B2B-Werbung, da das UWG hier nicht zwischen Verbraucher- und geschäftlicher Ansprache unterscheidet.
Datenankauf zur Telefonwerbung
Einmal mehr weist der BlnBfDI (TB 2014, Ziff. 9.6) auf die Sorgfaltspflichten hin, die beim Erwerb von Datensätzen zur Telefonwerbung bei Adresshändlern zu beachten sind.
Zulässig ist die Erhebung, Verarbeitung oder Nutzung der Telefondaten eines Verbrauchers zu diesem Zweck nur, wenn er hierin ausdrücklich eingewilligt hat (§ 7 Abs. 2 Nr. 2 UWG). Häufig entsprechen die Einwilligungserklärungen, die die Adresshändler oder Dritte z.B. im Rahmen von Gewinnspielaktionen oder Vertragsabschlüssen einholen, jedoch nicht den gesetzlichen Anforderungen, weil dem Betroffenen mit dem Einwilligungstext nicht verdeutlich wird, für welche Datenverarbeitungsvorgänge, zu welchen Zwecken und für welche Daten das Einverständnis eingeholt wird. Bei Einwilligungen für Telefonwerbung muss aus der Erklärung deutlich hervorgehen, für welche Produktart geworben werden soll und dass die Daten für diese Zwecke an dritte Unternehmen übermittelt werden. Mit dieser Problematik müssen Datenkäufer rechnen, da sie nach dem Ankauf selbst die verantwortliche Stellen und daher verpflichtet sind, durch geeignete Maßnahmen sicherzustellen, dass die Daten rechtmäßig erhoben und verarbeitet werden. Die bloße vertragliche Zusicherung des Verkäufers, dass wirksame Einwilligungserklärungen vorliegen, und die Absicherung der Erklärung durch die Vereinbarung einer Vertragsstrafe genügt nicht.
Nach der Empfehlung des BlnBfDI hat der Adressenkäufer wie folgt vorzugehen: In einer ersten Stufe hat er sich durch die Vorlage der verwendeten Blanko-Einwilligungstexte des Verkäufers zu vergewissern, dass die vom Händler eingeholten Einwilligungserklärungen überhaupt formal den gesetzlichen Anforderungen entsprechen. Diese Prüfung ist zu dokumentieren.
In einer weiteren Stufe sollte das ankaufende Unternehmen die Plausibilität der Datenerhebung durch den Verkäufer prüfen. Unstimmigkeiten bei Gewerbeanmeldungen oder Gewinnspiele, bei denen augenscheinlich veraltete Geräte verlost werden, sprechen nicht gerade für die Seriosität des Verkäufers. Zu beachten sei, dass regelmäßig auch Minderjährige nicht in die Weitergabe ihrer Daten an Dritte zu Werbezwecken einwilligen können (vgl. BGH, Urteil vom 22. Januar 2014 – I ZR 218/12) und dass laut BGH (Urteil vom 10. Februar 2011 – I ZR 164/09) die Speicherung einer IPNummer nicht ausreicht, um eine Einwilligungserklärung des Betroffenen für Werbeanrufe nachzuweisen, da hiermit nicht belegt werden kann, ob der Betroffene tatsächlich die Daten angegeben hat. Außerdem wird durch eine Bestätigungsmail im elektronischen Double-Opt-In-Verfahren weder ein Einverständnis in Werbeanrufe belegt, noch führt sie für sich allein zu einer Beweiserleichterung zugunsten des Werbenden.
Kundendaten als Mitgift für den neuen Arbeitgeber
Mit Bußgeldern hat der LfDI NRW (22. TB, 2015, Ziff. 5.9) einen Arbeitgeber und seinen neuen Mitarbeiter wegen der unbefugten Übermittlung bzw. Speicherung von Kundendaten aus dem frühreren Beschäftigungsverhältnis des Neueingestellten belegt. Der Mitarbeiter hatte rund 200 Adressdaten nebst Telefonnummern der von ihm betreuten Kunden eines Sanitätshauses mitgehen lassen und unter dem Kopfbogen des neuen Arbeitgebers zur Fortsetzung der bisherigen Zusammenarbeit geworben. Auch wenn die Betreuung der betroffenen Kunden zu den Aufgaben des Mitarbeiters gehörte, so handelte sich um Kundendaten des früheren Arbeitgebers, die der Mitarbeiter bereits nach § 5 BDSG nicht weitergeben durfte. Einer Übermittlung stand zudem generell entgegen, dass es sich ggf. um Gesundheitsdaten handelte, deren Weitergebe nur mit Einwilligung zulässig gewesen wäre (§§ 3 Abs. 9, 28 Abs.6 BDSG).
Je nach der Fallgestaltung hätte auch eine Strafbarkeit nach § 17 UWG wegen des Verrats von Geschäfts- und Betriebsgeheimnissen in Betracht kommen können.
§ 17 Verrat von Geschäfts- und Betriebsgeheimnissen
(1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen,
- sich ein Geschäfts- oder Betriebsgeheimnis durch
- a) Anwendung technischer Mittel,
- b) Herstellung einer verkörperten Wiedergabe des Geheimnisses oder
- c) Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unbefugt verschafft oder sichert oder
- ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Abs. 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt.
(3) Der Versuch ist strafbar.
(4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. gewerbsmäßig handelt, 2. bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll, oder 3. eine Verwertung nach Abs. 2 Nummer 2 im Ausland selbst vornimmt.
(5) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.
(6) § 5 Nummer 7 des Strafgesetzbuches gilt entsprechend.
Nach dem BGH (Urteil vom 27. April 2006 – I ZR 126/03) kann eine Liste mit Kundendaten unabhängig davon ein Geschäftsgeheimnis i.S. von § 17 Abs. 1 UWG darstellen, ob ihr ein bestimmter Vermögenswert zukommt. Auch Adressen, an die ein Unternehmen Werbebriefe versandt hatte, können bereits den Tatbestand als Geschäftsgeheimnis erfüllen (OLG Köln, Urteil vom 5. Februar 2010 – 6 U 136/09). Danach kann ein ausgeschiedener Mitarbeiter, der ein Geschäftsgeheimnis seines früheren Arbeitgebers aus schriftlichen Unterlagen entnimmt, die er während des früheren Dienstverhältnisses zusammengestellt und im Rahmen seiner früheren Tätigkeit befugtermaßen bei seinen privaten Unterlagen – etwa in einem privaten Adressbuch oder auf einem privaten PC – aufbewahrt hat, sich dadurch dieses Geschäftsgeheimnis unbefugt i.S. von § 17 Abs. 2 Nr. 2 UWG verschaffen (im Anschluss an BGH, Urt. v. 19.12.2002 – I ZR 119/00, GRUR 2003, 453 = WRP 2003, 642 – Verwertung von Kundenlisten). Andererseits liegt eine Wegnahme im Sinne von § 17 Abs. 2 Nr. 1 Buchst. c UWG liegt nicht vor, wenn der Täter bereits Alleingewahrsam an der Verkörperung hat. Der Tatbestand des Sicherns im Sinne von § 17 Abs. 2 Nr. 1 Buchst. b UWG erfordert, dass eine schon vorhandene Kenntnis genauer oder bleibend verfestigt wird; es reicht nicht aus, dass ein Mitarbeiter beim Ausscheiden aus einem Dienstverhältnis die Kopie eines Betriebsgeheimnisses des bisherigen Dienstherrn enthaltenden Dokuments mitnimmt, die er im Rahmen des Dienstverhältnisses befugt angefertigt oder erhalten hatte (BGH, Urteil vom 23. Februar 2012 – I ZR 136/10).
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.