Thomas G. Müller, Rechtsanwalt und DSGVO-Experte, verrät, worauf bei Mailings und postalischer Werbung ankommt
Seit dem 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). Obgleich sie bereits 2016 in Kraft trat und das Bundesdatenschutzgesetz einen klar definierten Rechtsrahmen lieferte, herrscht zu diesem Thema in vielen Unternehmen noch Unsicherheit. Selfmailer-Blog-Redakteurin Susanne Huber-Schwarz sprach mit dem Berliner Rechtsanwalt und Datenschutz-Experten Thomas G. Müller (Kanzlei: Mueller legal) über die Konsequenzen der DSGVO für adressierte Werbepost. Gut zu wissen: Für Unternehmen, die auf postalische Mailings setzen, gibt es erfreuliche Nachrichten.
Herr Rechtsanwalt Müller. Sie beschäftigen sich seit über zehn Jahren mit dem Thema Mailings und Datenschutz. Bitte erläutern Sie zum Einstieg kurz die Vorteile der DSGVO für den Konsumenten.
Die DSGVO stärkt die Rechte von Konsumenten, selbstbestimmt über ihre Daten zu verfügen. Konsumenten sollen besser aufgeklärt werden, was mit ihren Daten geschieht. Außerdem können sie sich jederzeit über die von Ihnen gespeicherten Daten informieren und auch deren Löschung verlangen.
Welche Vorteile bringt die DSGVO für Unternehmen?
Zunächst einmal hat die Debatte um die DSGVO Unternehmen für das Thema Datenschutz sensibilisiert. Obwohl noch viel Verunsicherung herrscht, hilft diese Sensibilisierung dabei, sich über Prozesse, die in Unternehmen passieren, Gedanken zu machen. Ein rechtskonformer Umgang mit Daten kann auch zu einer Prozessverschlankung führen. Zum Beispiel, wenn man plötzlich merkt, dass für ein Projekt Daten erhoben wurden, die gar nicht benötigt werden.
Außerdem kann ein gut funktionierender Datenschutz ein Wettbewerbsvorteil sein. Denn wenn ein Auftragsdatenverarbeiter alle seine Prozesse DSGVO-konform gestaltet, stärkt dies das Vertrauensverhältnis dem Auftraggeber gegenüber.
Im Zusammenhang mit der DSGVO ist immer von personenbezogenen Daten die Rede. Was genau versteht man darunter?
Die DSGVO definiert personenbezogene Daten in Art. 4. Danach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Definition wurde bewusst sehr weit gefasst, um einen möglichst umfassenden Schutz für Konsumenten zu gewährleisten.
Was versteht man unter „sensiblen Daten“? Gebe ich als Kunde sensible Daten von mir preis, wenn ich bei Selfmailer.com einen Auftrag in Arbeit gebe? Welche Daten speichern Sie von mir als Auftraggeber und wie lange?
Der Begriff „sensible Daten“ ist im Gegensatz zu dem der „personenbezogenen Daten“ nicht durch den Gesetzgeber definiert. Der Begriff taucht daher auch nicht in der Datenschutz-Grundverordnung auf. Jedoch findet man den Begriff „sensibel“ in den Erwägungsgründen zur DSGVO. Als sensibel gelten danach jene personenbezogenen Daten, die einen besonderen Bezug zu Grundrechten und Grundfreiheiten aufweisen und bei deren Verarbeitung erhebliche Risiken für Grundrechte auftreten können. Beispiele sind die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, die sexuelle Orientierung, Gewerkschaftszugehörigkeit oder Gesundheitsfragen.
Sensible Daten werden bei Mailing-Aufträgen weder benötigt noch verarbeitet. Wir bitten alle Kunden darum, den Grundsatz der Datensparsamkeit zu beachten und nur die Daten herauszugeben, die zur Bearbeitung eines Auftrags unbedingt erforderlich sind. In der Regel handelt es sich dabei ausschließlich um Adressdaten. Diese speichern wir nach Zustellung des Mailings noch 6 Wochen und löschen sie danach.
Stichwort Datensparsamkeit: Was versteht man unter dem Grundsatz der Datenminimierung?
Der Grundsatz der Datenminimierung besagt, dass nur die Daten verarbeitet werden dürfen, die für den Zweck der Verarbeitung unbedingt erforderlich sind. Ist der Zweck der Versand eines Newsletters, so ist nur die E-Mail-Adresse erforderlich. Erhebe ich darüber hinaus die Anrede, um das Geschlecht für dynamischen Content zu nutzen, wie zum Beispiel in weiterer Folge Frauen einen Lippenstift und Männern Rasierklingen anzubieten, darf ich das nicht unter dem Vorwand des Newsletter-Versandes tun, sondern muss über mein Ziel der personalisierten Werbung im Rahmen der Datenerhebung informieren und dafür die Einwilligung einholen.
Darf ich auch nach Inkrafttreten der DSGVO Mailings per Post an meine Kunden verschicken? Was bedeutet in diesem Zusammenhang „berechtigtes Interesse“?
Das ist das Erfreuliche für alle Versender postalischer Mailings: Kundenwerbung per Post ist so gut wie immer zulässig. Die Gründe dafür sind komplex.
Fangen wir mit dem einfachsten Fall an, einem Mailing an B2B-Adressen. Wenn ich nur reine Firmendaten speichere, also Daten ohne Ansprechpartner, so handelt es sich dabei nicht einmal um personenbezogene Daten im Sinne der DSGVO. Kommt ein Ansprechpartner hinzu, werden aus den reinen Firmendaten geschützte personenbezogene Daten. Ab diesem Punkt muss die Datenverarbeitung durch den Gesetzgeber erlaubt sein. Das ist der Fall, sobald der Werbetreibende ein berechtigtes Interesse an der Datenvereinbarung hat.
Hilfreich ist nun der Blick in die Erwägungsgründe zur DSGVO. So heißt es im Erwägungsgrund 47: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden“, wenn der Betroffene „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.“ Hiervon kann man bei Kundendaten in aller Regel ausgehen.
Wie verhält es sich mit Fremdadressen? Kann ich weiterhin Adressen von Adressverlagen kaufen und diese für postalische Mailings nutzen?
Fremdadressen dürfen jedenfalls dann genutzt werden, wenn eine Einwilligung des Betroffenen vorliegt. War dies nicht der Fall, wird es komplizierter. Hier liefern weder die DSGVO noch die oben angesprochenen Erwägungsgründe einen eindeutigen Hinweis.
Und wie sieht es ohne datenschutzrechtliche Zustimmung bei Kauf- bzw. Mietadressen aus?
Liegt keine Zustimmung vor, kommt es darauf an, ob es für die Rechtmäßigkeit des Adresskaufs oder der Adressmiete ein berechtigtes Interesse des Verantwortlichen gibt und wie die Interessenabwägung zwischen den Interessen des Verarbeiters und des Betroffenen zu beurteilen ist. Vermutlich wird die Interessenabwägung bei öffentlich zugänglichen Daten zugunsten des Verarbeiters und Datennutzers ausgehen. Sind Informationen in einem Impressum oder Branchenportal für jedermann einsehbar, so ist es naheliegend, dass diese Daten auch für Werbezwecke verarbeitet werden. Folglich wäre es zulässig, den Geschäftsführer einer Firma mit einem postalischen Mailing anzuschreiben.
Möchte ich Marketingleiter oder Einkaufsleiter innerhalb einer Firma erreichen, ist es nicht mehr ganz so einfach. Zwar spricht viel dafür, dass ein am Markt aktives Unternehmen ein berechtigtes Interesse daran hat, im Rahmen seiner wirtschaftlichen Tätigkeit den richtigen Ansprechpartner bei einem potentiellen gewerblichen Kunden anzuschreiben. Es gibt derzeit aber leider noch keine Rechtsprechung, die das auch bestätigt.
Um auf Nummer sicher zu gehen, kann sich das werbende Unternehmen eines kleinen Tricks bedienen und vermeiden, selbst zum Datenverarbeiter zu werden. Möglich macht dies das so genannte Lettershop-Modell. Dabei werden Adressen vom Adresshändler direkt an den Lettershop oder die Mailing-Druckerei des Auftragsgebers geschickt. Dort erledigt man die Adressierung des Mailings. Somit muss das werbende Unternehmen im Fall einer Adressmiete später auch nicht mehr nachweisen, dass die übermittelten Daten nur für den Zeitraum der Adressmiete verwendet und anschließend ordnungsgemäß gelöscht wurden.
Darf ein Adressverlag auch sensible Daten verkaufen?
Grundsätzlich ist die Verarbeitung sensibler Daten verboten. Art. 9 Abs. 2 DSGVO nennt dazu einige Ausnahmen. So soll zum Beispiel selbst die Verarbeitung von Daten wie rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen möglich sein, wenn die betroffene Person diese Daten offensichtlich öffentlich gemacht hat. Im Sinne der Eigenverantwortung sollte sich jeder Gedanken machen, welche Informationen man zum Beispiel auf Facebook einstellt. Jedenfalls darf sich niemand anschließend wundern, wenn dort öffentlich gemachte Informationen in weiterer Folge verarbeitet und vermarket werden.
Ist es richtig, dass Unternehmer Daten zu Marketingklassifikationen und -informationen nur für Marketingzwecke nutzen dürfen, nicht aber zur Beurteilung der Bonität?
Diese Frage betrifft die Datenerhebung und die Information des Betroffenen über deren Gründe. Sofern ich angebe, Daten für Marketingzwecke zu erheben, erhalte ich auch nur die Einwilligung des Betroffenen, diese Daten für Marketingzwecke zu verarbeiten. Will ich gleichzeitig die Bonität des Betroffenen beurteilen, könnte das schon in Richtung Profiling gehen, also eine automatisierte Erstellung von Profilen auslösen.
Profiling ist gemäß Art. 22 DSGVO unzulässig, soweit eine ausschließlich automatisch generierte Verarbeitung personenbezogener Daten erfolgt und diese Verarbeitung rechtliche oder ähnliche Wirkung für den Betroffenen nach sich zieht. Die Beurteilung der Bonität ist sicher eine Verarbeitung, die rechtliche oder ähnliche Wirkungen entfaltet. Schließlich wird darüber entschieden, ob der Betroffene Kredit erhält oder ein Vertragsverhältnis mit ihm begründet wird. Allerdings kommt es auf die Ausschließlichkeit der automatischen Verarbeitung an. Ferner ist Profiling nach Art. 22 Abs.2 Nr.1 a zulässig, soweit es „für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich“ ist. Dies ist im Einzelfall zu beurteilen.
Dürfen Firmen jene Adressen, die sie vor dem 25.05.2018 gekauft haben, weiterhin benutzen?
Es kommt darauf an ob, die Adressen nach dem alten Recht rechtmäßig erhoben wurden. War dies der Fall und lag eine Einwilligung des Betroffenen vor, so dürfen diese Adressen auch weiterhin genutzt werden.
Wie lange dürfen personenbezogene Daten gespeichert werden? Wie löscht man DSGVO-konform digitale Daten? Wie macht man das analog?
Nach Art. 15 DSGVO sind personenbezogene Daten zu löschen, sobald sie nicht mehr benötigt werden oder wenn die betroffene Person die Löschung verlangt.
Datenverarbeitende Unternehmen müssen nachweisen können, dass sie Datenträger mit personenbezogenen Informationen sachgerecht gelöscht haben. Um diese Anforderung zu gewährleisten, empfiehlt es sich für jedes Unternehmen, ein Löschkonzept zu erstellen, im dem die Vorgehensweise der Löschung definiert wird. Dafür muss man sich alle Unternehmensprozesse ansehen, bei denen personenbezogene Daten verarbeitet werden und davon ausgehend geeignete Lösungen entwickeln.
Löschungen sind teilweise nicht unproblematisch ausführbar, zum Beispiel wenn in Datenbanken personenbezogene Daten mit anderen Informationen verknüpft sind. Hier müssen datenverarbeitende Unternehmen eng mit Ihren Softwareherstellern zusammenarbeiten, um stets datenschutzkonform handeln zu können.
„Analoges Löschen“ wird durch eine Vernichtung der geschriebenen beziehungsweise gedruckten Dokumente durchgeführt. Auf diese Weise entsorgt Selfmailer.com zum Beispiel adressierte Fehldrucke aus der Mailingproduktion.
Gibt es ein „Opt-out“ auch für Empfänger postalischer Mailings?
Die Datenverarbeitung im Rahmen postalischer Mailings unterliegt den Vorschriften der DSGVO. Deshalb gilt das Betroffenenrecht aus Art. 13 auch für den Empfänger eines Werbebriefes. Er kann unter den in Art. 13 DSGVO genannten Voraussetzungen verlangen, dass seine personenbezogenen Daten unverzüglich gelöscht werden.
Und in welcher Form muss ein Empfänger eines zugestellten Werbebriefs widersprechen?
Ein Formerfordernis gibt es nicht. Der Betroffene kann telefonisch, per E-Mail oder in jeder anderen Form widersprechen.
Wenn ich postalische Mailings mit dem Versand von Newslettern oder E-Mails kombiniere, was muss ich dabei beachten?
Aus rechtlicher Sicht muss ich beachten, dass jede Form der Nutzung (E-Mail oder Brief) jeweils für den dazugehörigen Datensatz erlaubt ist. Für den E-Mail-Newsletter bedeutet das, dass ich in jedem Fall die Einwilligung des Empfängers benötige (Opt-in-Verfahren).
Warum ist die Nutzung von Daten für postalische Mailings unproblematischer als beim Versand von E-Mails und Newslettern?
Bei Werbe-E-Mails und Newslettern brauchen Sie immer die Einwilligung des Empfängers. Postalische Mailings verwirklichen hingegen ein „berechtigtes Interesse“ des Versenders oder des werbenden Unternehmens. Das wissen wir so sicher, weil die Direktwerbung per Post explizit in den Erwägungsgründen der DSGVO Erwähnung findet (siehe Frage zum berechtigten Interesse und dem Erwägungsgrund 47).
Bedeutet das für Postmailings ein nachhaltiges Revival auch in puncto Sicherheit für die Empfänger? Steigt das Vertrauen der Empfänger in ein Unternehmen, das eher postalische Werbung verschickt als elektronische?
Die DSGVO wird definitiv das Revival gedruckter Mailings verstärken. Das Comeback gedruckter Mailings setzte schon vor Inkrafttreten der DSGVO ein, weil E-Mailings nur sehr schlechte Öffnungsraten haben und elektronische Newsletter oft im Spam-Ordner landen.
Da für seriöse Unternehmen Rechtssicherheit (auch in der Werbung) ein wichtiger Aspekt ist, wird die DSGVO das Comeback der postalisch zugestellten Mailings weiter beflügeln. Wie sich das aus Empfängersicht darstellt, müssen Sie die Marktforscher fragen. Jedenfalls gibt es Studien, die zeigen, dass Empfänger gedruckter Post mehr Vertrauen entgegenbringen als elektronischer Post.
Braucht es für die Verarbeitung der Daten durch Selfmailer.com und für die Übernahme des Versands im Rahmen Ihres Lettershops einen Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO?
Wir empfehlen all unseren Kunden eine solche schriftliche Vereinbarung abzuschließen, um das eigene datenschutzkonforme Verhalten zu dokumentieren. Eine Datenschutzvereinbarung können wir projektweise zur Verfügung stellen oder eine solche Vereinbarung über einen festgelegten Zeitraum abschließen.
Angenommen, ein Unternehmen verwendet den Selfmailer-Surprise mit abtrennbarer Seitenverklebung für den Versand von Fragebögen: Dürfen Firmen nach Inkrafttreten der DSGVO überhaupt noch Umfragen zur Marktforschung durchführen? Welche Daten gelten in einer Umfrage als sensibel?
Umfragen sind nach Inkrafttreten der DSGVO weiterhin möglich. Der Befragte ist dabei über alle preiszugebenden Informationen und den Zweck der Datenerhebung zu informieren. Insbesondere sollten Ort und Dauer der Speicherung, Herkunft und Verwendung der Daten sowie Kontaktinformationen transparent gemacht werden. Es gibt keine Sondervorschriften, die den Datenschutz von Umfragen regeln. Insofern kann man sensible Daten in diesem Zusammenhang so definieren wie eingangs erläutert. Insbesondere muss bei der Abfrage sensibler Daten Art. 9 DSGVO beachtet werden. Der Selfmailer Surprise eignet sich perfekt für Umfragen, weil er keinerlei Einblicke in den Inhalt gewährt.
Wenn ein Unternehmer ausgefüllte Antwortkarten erhält, beispielsweise von der Selfmailer-Responsecard, wie lange darf er die Karten aufbewahren? Wie lange darf er die erhaltenen Daten elektronisch speichern?
Die Daten dürfen nur so lange aufbewahrt werden, wie es für den Geschäftsprozess erforderlich ist. Bestehen auch keine gesetzlichen Aufbewahrungsfristen (was zum Beispiel der Fall sein kann, wenn die Karte eine Angebots-Anfrage enthält) so ist das Unternehmen, das die Daten erhoben hat, zur sofortigen Löschung verpflichtet.
Herr RA Müller, vielen Dank für das Gespräch!