Serie „Europäische Datenschutz-Grundverordnung (DS-GVO)“ 1.2

Teil 1 Grundlagen

1.2. Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich einer Verordnung definiert, in welchen Fällen sie gilt. Der Artikel 2 DS-GVO „Sachliche Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:

  1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
    1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
    2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
    3. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
    4. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
  3. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
  4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung soll also immer dann gelten, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.

Es muss also zunächst geklärt werden, was personenbezogene Daten sind. Es handelt sich dabei um alle Informationen über identifizierte oder identifizierbare natürliche Personen. Natürliche Personen sind in Abgrenzung zu juristischen Personen (Firmen, Behörden, Vereine usw.) schlicht Menschen. Identifizierbar sind natürliche Personen, wenn eine direkte Zuordnung über Name, Kennziffer, Standortdaten, Online-Kennung, besondere Merkmals usw. möglich ist. Es müssen also nicht bspw. der Name und die Adresse bekannt sein, um personenbezogene Daten zu sein. Wenn anhand von Daten ein einzelner Mensch (wieder)erkannt werden kann, handelt es sich um personenbezogene Daten. Selbst wenn die Personenbezogenheit nicht direkt, sondern nur indirekt mithilfe der Daten Dritter hergestellt werden kann, fallen sie unter die DS-GVO. Allerdings muss diese indirekte Möglichkeit auch tatsächlich bestehen; eine rein theoretisch bestehende Möglichkeit, die aber nicht ausgeübt werden kann, reicht dafür nicht aus. Alle Informationen heißt, dass wirklich selbst banalste Tatsachen, wie zum Beispiel, dass die Person zwei Arme hat, personenbezogene Daten sind. Es gibt im Zusammenhang mit personenbezogenen Daten keine irrelevanten Informationen.

Nachdem wir geklärt haben, was personenbezogene Daten sind, wenden wir uns der ganz oder teilweise automatisierten Verarbeitung zu. Auch hier ist zunächst zu klären, was Verarbeitung bedeutet. Artikel 4 Nummer 2 DS-GVO definiert Verarbeitung als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“. Das ist zweifellos eine Vereinfachung gegenüber der Regelung im Bundesdatenschutzgesetz (BDSG), das in § 11 noch zwischen erheben, verarbeiten und nutzen unterschieden hat. Die DS-GVO schenkt uns die Definition, dass schlicht alles, was mit personenbezogenen Daten passiert „verarbeiten“ ist.

Wenn also eine Verarbeitung personenbezogener Daten ganz oder teilweise automatisiert, das heißt mithilfe von Computern, passiert, soll die DS-GVO zur Anwendung kommen.

Aber auch wenn die Verarbeitung nicht automatisiert erfolgt soll die DS-GVO gelten. Allerdings nur dann, wenn die Daten in einem Dateisystem gespeichert werden oder werden sollen. Hier gilt es nun einen weitverbreiteten Irrtum zu korrigieren. Ein Dateisystem ist gemäß Artikel 4 Nummer 6 DS-GVO „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“ Dateisysteme sind also bei weitem nicht nur in Computern zu finden, sondern bspw. auch in Akten. Selbst in Schuhkartons gesammelte Zettel mit personenbezogenen Daten sind ein Dateisystem, wenn sie nach bestimmten Kriterien zugänglich sind. Das ist im Zweifel sogar dann schon anzunehmen, wenn sie einfach in chronologischer Reihenfolge übereinanderliegen, schlicht, weil der letzte Zettel immer obenauf gelegt wird. Letzteres könnte bspw. für Messe-Notizen gelten, die immer gleich nach einem Gespräch in einen vorbereiteten Karton gelegt werden. Selbst wenn die Zettel gar nicht streng übereinandergelegt werden, sondern ohne jedes System einfach abgelegt werden, stellen sie ein Dateisystem dar, wenn die Absicht besteht, sie später, in welcher Form auch immer, zu sortieren.

Einige Ausnahmen sieht Artikel 2 allerdings vor. Die wichtigste Ausnahme für alle, die nicht Behörde sind, ist, dass alle durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiteten personenbezogenen Daten nicht unter die DS-GVO fallen sollen.

Das Werbe-opt-in. Was geht, was geht nicht?

Dieser Beitrag behandelt das seit 2009 geltende Werbe-opt-in und von seinen Ausnahmen.

Das Bundesdatenschutzgesetz (BDSG) schreibt seit der Novelle 2009 grundsätzlich für das Senden einer werblichen Botschaft an eine Person die Einwilligung dieser Person vor. Für diese Vorschrift gibt es aber einige Ausnahmen.

In der Praxis ergeben sich für verschiedene Absendergruppen, unterschiedliche Medien und unterschiedliche Empfänger zahlreiche Varianten, auf die ich hier im Einzelnen eingehe.

Vorher noch einige Begriffserklärungen:

Opt-inEinwilligungsvorbehalt. Die beworbene Person muss der Werbung vor dem Versand zugestimmt haben.
Opt-outDie Person widerspricht vor oder nach dem Erhalt einer Werbung dem weiteren Versand.
ListendatenAdresslisten über Angehörige einer Personengruppe. Eine Personengruppe ist bspw. „Postkäufer Damenmode im gehobenen Segment“. Zu diesem Gruppenmerkmal dürfen folgende Daten in der Liste stehen:-      Berufs-. Branchen- und Geschäftsbezeichnung
–      Name
–      Titel
–      Akademischer Grad
–      Anschrift
–      Geburtsjahr

Das Gruppenmerkmals darf keinen „schutzwürdigen Interessen entgegenstehen“. Ist das Gruppenmerkmal bspw. „Abonnent einer homoerotischer Zeitschrift“ widerspricht das den schutzwürdigen Interessen der betroffenen Person, weil diese ggf. ihre sexuelle Neigung nicht öffentlich machen will.

Die Ausnahmen vom Werbe-opt-in

Absender ist Unternehmen (keine Spendenwerbung)
Medium ist physisches Mailing
Empfänger ist Privatperson
Grundsätzlich: Opt-in

Ausnahmen:

  1. An Bestandskunden – nur Listendaten und nur Werbung für eigene Angebote. Es muss nicht zwingend ein Kaufvertrag vorliegen. Interessenten, die von sich aus ein Angebot angefragt haben oder Gewinnspielteilnehmer (des auslosenden Unternehmens) dürfen ohne Einwilligung angeschrieben werden. Es dürfen Daten hinzugespeichert werden, auch aus fremden Quellen. Gemeint sind weitere Selektionskriterien, die es ermöglichen, die Beworbenen gezielter anzusprechen.
  2. Daten aus allgemein zugänglichen Verzeichnissen – nur Listendaten. Das sind bspw. Daten aus Adress- Rufnummern- oder Branchenverzeichnissen. Dabei müssen aber Urheberrechte beachtet werden. Allerdings verkaufen die Urheber oft das Recht, die Daten zu nutzen. Daten aus dem Internet zu beschaffen, erweist sich als wenig praktikabel. So sind Daten, die aus dem Impressum einer Internetseite entnommen werden, sicher nicht aus einem Verzeichnis. „Das“ Internet selbst ist nicht als Verzeichnis zu verstehen. Es dürfen Daten hinzugespeichert werden.
  3. Transparente Übermittlung – nur Listendaten. Liegt vor, wenn ein Unternehmen das Recht zur Nutzung der Adressen zu Werbezwecken einem anderen Unternehmen verkauft und dieses auf der Werbung die Quelle der Adressen nennt. Unternehmen A verkauft Adressen an Unternehmen B. Schickt Unternehmen B eine Werbung an die Personen aus der Liste, muss er Unternehmen A als Datenquelle auf der Werbung nennen. Die transparente Übermittlung muss zwei Jahre lang gespeichert werden, um der betroffenen Person nachträglich Auskunft geben zu können. Es dürfen Daten hinzugespeichert werden.
  4. Transparente Nutzung. Ein Unternehmen kann Adressen nutzen, ohne sie übermittelt zu bekommen. Das wird bspw. genutzt für Beipackwerbung. Es könnte einem Paket eines Versandhändlers eine personalisierte Werbebotschaft eines fremden Unternehmens beigelegt sein. In diesem Fall erhält das werbende Unternehmen die Adressen nicht und erfährt auch nicht im Einzelnen, wen es eigentlich beworben hat. Der Versandhändler produziert die Werbung selbst oder lässt sie produzieren. Nur, wenn das werbende Unternehmen den Kunden erfolgreich gewonnen hat, bekommt er die Adresse, meist durch die Bestellung, und es ist fortan auch seine Adresse. Ein weiterer Anwendungsfall der transparenten Übermittlung ist das so genannte Listbroking. Dabei wird eine Werbung für Unternehmen A bei einem Lettershop produziert mit Adressen von Unternehmen B. Unternehmen A weiß nur, dass die Adressen, ggf., auch nur ein kleiner, selektierter Teil der Adressen des Unternehmens B genutzt wird. Die Datenquelle muss auch hier transparent sein, also auf dem Mailing explizit genannt werden. Ein Beispiel: ein Fahrrad-Versandhändler besitzt eine Adressliste seiner Kunden. Hat bspw. ein Sportschuh-Versandhändler ein Interesse daran, die Adressen des Fahrrad-Händlers zu nutzen, kann der Fahrrad-Händler seine Daten an den Lettershop schicken und dieser produziert für den Schuh-Händler ein Mailing, ohne dessen Adressen an den Schuh-Händler zu schicken. Wiederum erfährt der Schuh-Händler nur dann, wen er angeschrieben hat, wenn der Angeschriebene sich bei ihm meldet, zum Beispiel etwas kauft oder einen Katalog anfordert. Der Listbroker ist nur Vermittler. Auch er bekommt keine Daten. Er vermittelt lediglich das Geschäft zwischen dem Fahrrad- und dem Schuh-Händler.

Absender ist Unternehmen (keine Spendenwerbung)
Medium ist physisches Mailing
Empfänger ist Unternehmen
Grundsätzlich: keine Einwilligung nötig

Die Werbung muss allerdings im Hinblick auf die berufliche Tätigkeit der Person erfolgen. Ist der Beworbene Lebensmittelhändler, darf er für eine Werbung für Wein angeschrieben werden. Handelt es sich allerdings um einen Bankangestellten, der für seinen privaten Gebrauch Wein kaufen soll, ist das nicht gestattet ohne Einwilligung oder der Anwendung einer der genannten Ausnahmen für Werbung mit einem physischen Mailing.

Absender ist Spendenorganisation
Medium ist physisches Mailing
Empfänger ist Privatperson oder Unternehmen

Steuerbegünstigte Organisationen nach § 10b Abs. 1 und §34g des Einkommensteuergesetztes und politische Parteien dürfen potenzielle Spender ohne Einwilligung um Spende bitten – nur Listendaten. Aber Achtung: das gilt nicht für Wahlwerbung der politischen Parteien. In diese muss entweder vorher eingewilligt worden sein oder es muss eine der Ausnahmeregelungen greifen, wie sie auch für Unternehmen gelten. Die Daten dazu dürfen auch dem Internet entnommen werden. Dem BDSG ist nicht zu entnehmen, ob die Datenquelle genannt werden muss. Die Datenschutzaufsichtsbehörden fordern es dennoch. In der Praxis wird es nach meinem Kenntnisstand nicht gemacht. Es dürfen keine Daten hinzugespeichert werden.

Absender ist Unternehmen
Medium ist elektronisches Mailing (E-Mail)
Empfänger ist Privatperson oder Unternehmen
Grundsätzlich: Opt-in

Ausnahmen gibt es keine. Auch nicht für Spendenorganisationen oder politische Parteien.

Absender ist Unternehmen
Medium ist Fax
Empfänger ist Privatperson oder Unternehmen
Grundsätzlich: Opt-in

Ausnahmen gibt es keine. Auch nicht für Spendenorganisationen oder politische Parteien.

Absender ist Unternehmen
Medium ist Telefon
Empfänger ist Privatperson oder Unternehmen
Grundsätzlich: Opt-in

Ausnahme: Die Werbung von Unternehmen an eine Person in einem Unternehmen. Sie muss, wie im Falle von physischen Mailing als Medium, im Hinblick auf die berufliche Tätigkeit der Person erfolgen.

Absender ist Spendenorganisation
Medium ist Telefon
Empfänger ist Privatperson oder Unternehmen
Grundsätzlich: kein opt-in erforderlich

Das gilt nicht für politische Parteien für Wahlwerbung. Wie im Falle von Mailings darf Wahlwerbung ohne opt-in nicht per Telefon erfolgen.

Entwicklung des Datenschutzes in Deutschland

Dieser Beitrag behandelt die Entwicklung des Datenschutzes in Deutschland und Europa.

Anfänge der Datenschutzgesetzgebung

Der Schutz personenbezogener Daten ist seit langem in Standes- oder Berufsethiken geregelt. Beispiele sind die ärztliche Schweigepflicht, das Steuergeheimnis, das Postgeheimnis oder auch das Beichtgeheimnis. Erste Überlegungen, Datenschutz in einem Gesetz zu regeln wurden in Deutschland in den 1960er Jahren angestellt. Das Bundesland Hessen hat 1970 das erste Datenschutzgesetz weltweit vorgelegt, der Bund zog 1977 nach. Bereits in diesen frühen Fassungen wurde vor allem auf die automatisierte Verarbeitung von Daten durch Behörden und Unternehmen eingegangen. Aktenmäßig erfasste Daten waren ausdrücklich ausgenommen. Unternehmen wurde die Speicherung, Verarbeitung und Nutzung – hier vor allem: Übermittlung, also Überlassung von Daten für andere, meist zu Werbezwecken – von personenbezogenen Daten ausdrücklich erlaubt, wenn sie sich auf

1. Namen,
2. Titel, akademische Grade,
3. Geburtsdatum,
4. Beruf, Branchen- oeder Geschäftsbezeichnung,
5. Anschrift,
6. Rufnummer

beschränkten und nicht mehr als eine „Angabe der Zugehörigkeit des Betroffenen zu einer Personengruppe“ enthielt.

Entwicklung des Datenschutzes in Deutschland und Europa

Bereits wenige Jahre nach der Einführung des BDSG 1977 hat das Bundesverfassungsgericht in seinem berühmten Urteil zur Volkszählung am 15. Dezember 1983 den Grundsatz der „informationellen Selbstbestimmung“ aufgestellt und damit dem BDSG bescheinigt, dass es den verfassungsrechtlichen Ansprüchen nicht genüge. Wieder war es das Bundesland Hessen, das diesen Grundsatz 1986 als erstes in ein Landesdatenschutzgesetz übernahm. Der Bund hat die informationelle Selbstbestimmung erst 1990 ins BDSG eingearbeitet.

Die Richtlinie 95/46/EG

Am 24. Oktober 1995 erließ die Europäische Union die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. In ihr wird erstmals auf europäischer Ebene der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ geregelt. Allein die Begründung für die Richtlinie umfasst in 72 Artikeln 4501 Wörter.

„Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“

Europäische Richtlinien sind nicht direkt geltendes Recht, sondern müssen innerhalb gesetzter Fristen in nationales Recht umgesetzt werden. In Deutschland wurde die Richtlinie durch das „Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze“ am 23. Mai 2001 umgesetzt. Es bedurfte dazu erst der Einleitung eines Vertragsverletzungsverfahrens, weil die ursprünglich gesetzte Frist von drei Jahre bereits 1998 verstrichen war.

2010 unterlag Deutschland in einem weiteren, 2005 eingeleiteten, Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof (EuGH). Der EuGH urteilte, dass die Bundesländer „staatliche Aufsicht über die Instanzen der Datenschutzkontrolle“ ausübten.

Datenschutznovelle 2009

Eine bedeutsame Änderung für die Werbewirtschaft wurde mit der zweiten Datenschutznovelle am 3. Juli 2009 vom Deutschen Bundestag verabschiedet. Dieser „Novelle II“ genannten Änderung des BDSG gingen jahrelange, teils erbittert geführte Verhandlungen zwischen der Werbewirtschaft und dem Deutschen Bundestag voraus. Hardliner auf Seiten der Datenschützer forderten eine schriftliche Einverständniserklärung für jeden Kontaktversuch eines Unternehmens mit einem potenziellen Kunden. Diese „opt-in“ genannte Regelung galt seit 2004 bereits für telefonische Kontaktanbahnung. Rechtliche Grundlage war hier allerdings nicht das BDSG, sondern das „Gesetz gegen den unlauteren Wettbewerb“. Es zielte vor allem auf am Telefon geschlossene Verkaufsverträge, die in den Jahren zuvor immens zugenommen hatten und zu einer regelrechten Plage wurden.

Die konsequente Anwendung des opt-in-Verfahrens für alle Werbeformen, besonders für die Werbung mit postalisch zugestellten Briefen (Mailings), hätte die Werbewirtschaft vor unlösbare Probleme gestellt. Der letztlich gefundene Kompromiss hat sich in der Praxis durchaus bewährt.

Bedeutsame Änderungen waren vor allem die faktische Aufhebung des Listenprivilegs, die zur Folge hatte, dass die qualitativ beste Quelle für Adressen weitgehend versiegt ist und die Einführung des opt-in-Verfahrens für Mailings, die aber abgemildert werden konnte.

Die Zukunft: Die Datenschutz-Grundverordnung

Mit der am 25. Januar 2012 im Rahmen der EU-Datenschutzreform von der Europäischen Kommission vorgestellten EU Datenschutz-Grundverordnung kommt eine Regelung, die europaweit einheitliche Datenschutz-Standards bringen wird, die für alle Unternehmen und Behörden gelten, die in Europa personenbezogene Daten nutzen, auch wenn sie außerhalb Europas ihren Sitz haben. Im Gegensatz zur Richtlinie 95/46/EG wird die Datenschutz-Grundverordnung unmittelbar geltendes Recht sein. Es bedarf nicht der Umsetzung in nationales Recht. Die EU Datenschutz-Grundverordnung ist am 24. Mai 2016 in kraft getreten und wird ab dem 25. Mai 2018 angewendet. In Kürze wird es hier einen ausführlichen Artikel über die EU Datenschutz-Grundverordnung geben.