Direktmailing und GDPR – Versendung an Adressen aus öffentlich zugänglichen Registern, Teil 3

2.8 Ermittlung personenbezogener Daten von Dritten

In der Praxis kann es passieren, dass sich die Gesellschaft von einem Dritten (nachfolgend „Eigentümer der Datenbank“) gegen Entgelt den Zugang auf die Datenbank personenbezogener Daten, die dieser Dritte gebildet hat und verwaltet, verschafft (nachfolgend „Datenbank eines Dritten“), und personenbezogene Daten aus dieser Datenbank ad hoc für eine Direktwerbekampagne nutzt (sog. Vermietung der Datenbank).

Zu dem Zeitpunkt, wenn die Gesellschaft personenbezogene Daten aus der Datenbank erhält, wird sie zum Empfänger personenbezogener Daten und danach zum Verantwortlichen (sobald sie den Zweck ihrer weiteren Nutzung festgesetzt hat) und kann diese personenbezogenen Daten nur zu jenem Zweck weiter verarbeiten, zu dem sie der Eigentümer der Datenbank von den jeweiligen betroffenen Personen erhalten hat und nur in jenem Umfang, in dem diese betroffenen Personen ihre Zustimmung zur Übergabe ihrer personenbezogenen Daten an die Gesellschaft erteilt haben.

Die Gesellschaft ist verpflichtet, gegenüber den betroffenen Personen zusammen mit jedem adressierten schriftlichen Antrag auf einen Beitrag zu Wohltätigkeitszwecken, spätestens jedoch innerhalb von einem Monat nach Erhalt personenbezogener Daten, ihre Unterrichtungspflicht zu erfüllen (nähere Einzelheiten siehe obiger Punkt 2.6), einschließlich der Angabe der Quelle, aus der die Gesellschaft die betreffenden personenbezogenen Daten erhalten hat. Die Gesellschaft muss auch die Garantien hinsichtlich der Verarbeitung personenbezogener Daten einhalten, siehe oben.

Sollten die oben angeführten Bedingungen nicht erfüllt werden, sind wir der Auffassung, dass für die Verarbeitung personenbezogener Daten die Gesellschaft verantwortlich ist, obwohl diese Daten aus der Datenbank eines Dritten empfangen wurden. Die Gesellschaft kann jedoch den Eigentümer der Datenbank zur Erfüllung der oben angeführten und weiterer Bedingungen, die durch die DSGVO festgesetzt sind und des Weiteren zur Pflicht, die Gesellschaft im Falle einer Verletzung der Vertragspflichten des Eigentümers der Datenbank schadlos zu halten, vertraglich verpflichten, einschließlich eines Schadensersatzes für eventuelle Strafen, die der Gesellschaft seitens des Amts für den Schutz personenbezogener Daten auferlegt wurden. Die Gesellschaft sollte ebenso überprüfen, ob der Eigentümer der Datenbank personenbezogene Daten in Übereinstimmung mit der Grundverordnung erhalten hat und verarbeitet.

2.9 Verantwortung der Klienten der Gesellschaft aus dem Kreis wohltätiger Organisationen

Unter der Voraussetzung, dass personenbezogene Daten nicht von den Klienten der Gesellschaft aus dem Kreis von Non-Profit-Organisationen erhalten wurden und diese Klienten der Gesellschaft keinen Zugang zu den genutzten personenbezogenen Daten haben[20], vermuten wir, dass bis zu jenem Zeitpunkt, in dem die Klienten der Gesellschaft die Identität des konkreten Spenders erfahren, sie weder für den Verantwortlichen noch für den Auftragsverarbeiter gemäß der Grundverordnung gehalten werden können.

Sobald die Klienten der Gesellschaft die Identität der konkreten Spenders erfahren haben, sind wir der Auffassung, dass sie zu Verantwortlichen in Bezug auf personenbezogene Daten eines solchen Spenders werden, die sie aufgrund des Gesetzes verarbeiten (z. B. Buchführung oder Erfüllung von Steuerpflichten), ggf. aufgrund eines anderen Rechtstitels (z. B. ein berechtigtes Interesse an der Kontaktaufnahme mit einem solchen Spender in der Zukunft zum Zweck des Antrags für einen Beitrag für eine andere wohltätige Veranstaltung oder Erfüllung eines Schenkungsvertrags).

Die Klienten der Gesellschaft müssen jedoch gegenüber solchen Spendern die gemäß der Grundverordnung festgesetzten Pflichten erfüllen, die sie übrigens auch gegenüber allen ihren Spendern erfüllen sollten, es handelt sich vor allem um die Unterrichtspflichten. Diese Pflichten werden in der Regel durch die Veröffentlichung einer Erklärung über die Verarbeitung personenbezogener Daten auf der Website der jeweiligen Non-Profit-Organisation erfüllt.

Die Gesellschaft ist dagegen verpflichtet, in einer an potentielle Spender adressierten Aufforderung die Verarbeitung ihrer personenbezogenen Daten seitens der Gesellschaft in dem durch die Grundverordnung vorgeschriebenen Umfang transparent zu beschreiben und des Weiteren ist sie verpflichtet, potentielle Spender davon in Kenntnis zu setzen, dass die Klienten der Gesellschaft aus dem Kreis karitativer Organisationen den Zugang zu diesen personenbezogenen Daten erst zu jenem Zeitpunkt erhalten, an dem sie einen Geldbeitrag – eine Spende gewährt haben, und dass sie diese personenbezogenen Daten zu ihren im Voraus festgesetzten Zwecken weiter verarbeiten werden. Diese Pflichten können z. B. durch ein Memorandum oder durch eine Erklärung über die Verarbeitung personenbezogener Daten erfüllt werden, die einen Bestandteil des Direktmailings bilden.

3. Zusammenfassung

Bei der Erfüllung der oben angeführten Garantien ist die Gesellschaft berechtigt, die von der Gesellschaft aus öffentlichen Datenbanken erhobenen personenbezogenen Daten zum Zweck einer schriftlichen, an die betroffenen Personen adressierten Kontaktaufnahme mit Anträgen für einen Beitrag zur Tätigkeit der Klienten der Gesellschaft aus dem Kreis karitativer Organisationen zu verarbeiten.

Ähnlich äußerte sich auch die sog. Working Party 29[21] im Zusammenhang mit der vor dem Inkrafttreten der Grundverordnung wirksamen Rechtsregelung[22], indem sie eine direkte, aber unerbetene Kontaktaufnahme mit Wählern, deren Daten von einem Bewerber für ein öffentliches Amt während der Kampagne aus dem Wähler-Register erhoben wurden, als Verarbeitung personenbezogener Daten aufgrund des berechtigten Interesses eines solchen Bewerbers bezeichnet hat.[23] Diese Stellungnahme kann auch nach dem Inkrafttreten der Grundverordnung für relevant gehalten werden.

In diesem Zusammenhang kann auch auf die Literatur in anderen EU-Ländern hingewiesen werden, wobei es zum Beispiel in Österreich oder in Frankreich unzulässig ist, adressierte kommerzielle Kommunikation jenen Personen zu übersenden, die in einer Sonderliste registriert sind (sog. Robinsonliste oder La liste Robinson).[24], [25]

Übrigens, der Erwägungsgrund (47) der Grundverordnung lässt ausdrücklich zu, dass die Verarbeitung personenbezogener Daten zum Zweck des Direktmarketings, also zum Zweck einer direkten Kontaktaufnahme mit potentiellen Kunden, für die Verarbeitung aufgrund eines berechtigten Interesses gehalten werden kann.

Auch die Fachliteratur brachte die Schlussfolgerung zum Ausdruck, dass die Verarbeitung personenbezogener Daten, die aus öffentlichen Datenbanken erhoben wurden, durch die Grundverordnung weder verboten noch deutlich eingeschränkt ist.[26], [27] Wir vermuten deshalb, dass man einigen Auffassungen[28], dass die Beschaffung personenbezogener Daten aus öffentlichen Datenbanken durch GPDR ohne Weiteres verboten werden kann, nicht folgen kann.

Für weitere Informationen:

JUDr. Mojmír Ježek, Ph.D.

ECOVIS ježek, advokátní kancelář s.r.o.

tschechische Rechtsanwaltskanzlei

Mehr über ECOVIS ježek, advokátní kancelář s.r.o., tschechische Rechtsanwaltskanzlei:

ECOVIS ježek ist eine Anwaltskanzlei in Prag, die sich auf das Handels- und Immobilienrecht, die Prozessführung und das Banken- und Finanzrecht konzentriert. Mit ihrer umfassenden Bandbreite kompetent erbrachter Rechtsberatungsleistungen stellt sie eine attraktive, vollwertige Alternative für Mandanten der großen internationalen Kanzleien dar. Die langfristige erfolgreiche Zusammenarbeit mit führenden Rechtsberatungsunternehmen in den meisten europäischen Ländern und den USA (sowie weiteren Rechtsordnungen) bürgt dafür, dass die grenzübergreifende Dimension des jeweiligen Mandats stets eingehend berücksichtigt wird. Die tschechischen Juristen im Team von ECOVIS ježek weisen eine hervorragende Erfolgsbilanz bei der Erbringung von Beratungsleistungen an transnationale Konzerne, tschechische Großunternehmen, den Mittelstand sowie Freiberufler und Privatpersonen auf, die auf jahrelange, bei führenden Rechts- und Steuerberatungsunternehmen erworbene Erfahrung gründet. Weitere Auskünfte finden Sie auf unserer Homepage.

[20] Vgl. Entscheidung des Amts für den Schutz personenbezogener Daten, Az. UOOU-09830/13, in der sich der Verfahrensbeteiligte auf die Tatsache berufen hat, dass er nur eine Marketingkampagne für seinen Vertragspartner organisiert, der die Zustimmungen der Benutzer der jeweiligen E-Mail-Adressen zur Verfügung hat.

[21] Es handelt sich um die sog. Art.-29.Gruppe, die durch Art. 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr errichtet wurde. Durch das Inkrafttreten der DSGVO wurde dieses europäische Beratungsgremium zum Europäischen Datenschutzausschuss umgewandelt.

[22] Art. 7 Lit. f) der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr: „Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist: die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen. ”

[23] Siehe die Stellungnahme Nr. 06/2014 der sog. Working Party 29 vom 09.04.2014 (Seite 60, Beispiel 6), verfügbar unter: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf

[23] Siehe Art. 14 der Grundverordnung.

[24] Siehe https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-datenschutz-direktmarketing.html

[25] Siehe https://www.cnil.fr/sites/default/files/atoms/files/commerce_et_donnees_personelles.pdf

[26] Nonnemann, F. Verarbeitung von öffentlich verfügbaren personenbezogenen Daten und DSGVO. Právní rozhledy. 2018, Nr. 5, Seite 167-173.

[27] Vgl. die Schlussfolgerungen der Konferenz der ordentlichen Information Commissioner’s Office (analoge Behörde wie das tschechische Amt für den Schutz personenbezogener Daten im Vereinigten Königreich Großbritannien und Nordirland) (Seite 5 – 6), verfügbar unter: https://ico.org.uk/media/about-the-ico/documents/2013426/fundraising-conference-2017-paper.pdf

[28] Vgl. https://pravniradce.ihned.cz/c1-66000650-neziskovky-mohou-mit-problemy-s-oslovovanim-darcu