EU-Datenschutz-Verordnung und Direktmarketing

von Rechtsanwalt Rolf Becker WIENKE & BECKER - KÖLN, mail@rolfbecker.de
Die EU-Datenschutzverordnung soll ein großer Wurf werden. Viviane Reding, als EU-Kommissarin zuständig für Justiz, Grundrechte und Bürgerschaft , stellte ihn am 25.01.2012 vor. Die Verordnung soll unmittelbar in allen EU-Staaten gelten. Unternehmen schauen vor allem auf Einschränkungen, die der Entwurf ihnen im Marketing auferlegen könnte. Zur ersten Erleichterung trägt bei, dass das ursprünglich vorgesehene komplette Verbot des Direktmarketing ohne Einwilligung nicht mehr enthalten ist. Kritisiert wird in erster Linie die strenge Zweckbindung. Nach Art. 5 des Entwurfs müssen personenbezogene Daten „für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“. Die Zwecke müssen der betroffenen Person mitgeteilt werden „einschließlich der Geschäfts- und allgemeinen Vertragsbedingungen“, wenn es um eine Verarbeitung für vertragliche Zwecke geht.

Das macht Schwierigkeiten, wenn man sich erst später entscheidet, ansonsten zulässige Werbemaßnahmen zu entwickeln, beispielsweise wenn ein Katalog an Kunden versendet werden soll, die bei der Erhebung ihrer Daten z.B. beim Kauf nicht darüber informiert wurden, dass die Daten auch für Werbezwecke verwendet werden können. Bislang ist die Zweckbindung nicht so eng im deutschen Recht verankert und es sind auch Zweckänderungen denkbar.

In Art. 19 des Entwurfs ist zudem ein dem deutschen Recht vergleichbare Regelung implementiert, wonach der Betroffene bei einer Datenverarbeitung zur Direktwerbung das Recht hat, „dagegen unentgeltlich Widerspruch einzulegen. Die betroffene Person muss ausdrücklich in einer verständlichen und von anderen Informationen klar abgegrenzten Form auf dieses Recht hingewiesen werden.“ Dies entspricht bisherigen deutschen Regelungen in § 28 BDSG.

Auf automatischem Profiling basierende Maßnahmen werden in Art. 20 des Entwurfs eingeschränkt. Solche automatisch ausgelösten Maßnahmen mit rechtlichen Wirkungen wären z.B. die Verweigerung von bestimmten Zahlungsarten gegenüber einer Person. Aber auch alle automatischen Maßnahmen „deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder in der Analyse beziehungsweise Voraussage etwa ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Situation, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens besteht“, werden eingeschränkt. Das dürfte auch Targeting-Maßnahmen betreffen. Diese Maßnahmen werden allerdings nicht komplett untersagt, sondern an die Schaffung bestimmter Voraussetzungen gebunden („Recht auf direkten persönlichen Kontakt“ oder Einwilligung verbunden mit „entsprechenden Garantien“).

Wer jetzt für das Print-Direktmarketing aufatme, kann sich zu früh freuen.

An fast 30 Stellen sind im Entwurf Möglichkeiten vorgesehen, weitergehende Regelungen durch die EU-Kommission zu erlassen (delegated acts). Diese sollen wirksam werden, wenn Parlament und Rat nicht widersprechen. Das dürfte – abgesehen von verfassungsrechtlichen Bedenken – Weiterungen Tür und Tor öffnen. Abgesehen davon behält sich die Kommission das Recht zur Festlegung bestimmter Umsetzungsmodalitäten vor (implementing acts). So ist es z.B. ohne weiteres möglich, Details für eine vorzunehmende Interessenabwägung so festzulegen, dass man in der Praxis nur mit Einwilligungslösungen weiter kommt. Auch der geplante Schutz für „Kinder“, der definitionsgemäß (Art. 4: „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;) bis zur Volljährigkeit geht, ist ohne funktionierende einfache Altersverifikationssysteme mit Sicherheit ein Marketinghemmnis.

Auch welche Bürden eine „Recht auf Vergessenwerden“ nach Entzug der Einwilligung einem Unternehmen auferlegt, wenn es versuchen muss, den Anspruch auf „Unterlassung jeglicher weiteren Verbreitung“ zu erfüllen:

„Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt. Hat der für die Verarbeitung Verantwortliche einem Dritten die Veröffentlichung personenbezogener Daten gestattet, liegt die Verantwortung dafür bei dem für die Verarbeitung Verantwortlichen.“ Art. 17 Abs. 2.

Datenschutz wird also das Dauerthema der nächsten Jahre. Dies zeigt auch die durch die IHK Schlewig-Holstein beim Verwaltungsgericht Schleswig gegen das Unabhängige Landeszentrum für Datenschutz (ULD) eingereichte Klage gegen die Untersagung der Nutzung von Facebook-Fan-Seiten. Bekanntlich droht das ULD mit Bußgeldern (7 Bescheide gingen an Unternehmen, 6 an öffentliche Stellen), wobei KMU laut ULD-Chef Thilo Weichert zur Zeit nichts zu fürchten haben.