Gefahrenpunkt Werbenutzung
Geht es um den geschäftlichen Einsatz von Kundendaten, sollte vor allem in zwei Bereichen ganz genau hingeschaut werden: der Umfang einer zulässigen Datenverwendung zu Werbezwecken und das Einschalten von Dienstleistern, die Umgang mit den Daten erhalten (z.B. Callcenter).
Oft wird übersehen, dass es entscheidend auf die Art der werblichen Ansprache ankommt, ob diese also postalisch, per E-Mail oder SMS, per Telefax oder per Telefon erfolgt. Die auch durch die Datenschutz-Novelle II neu gefasste Regelung in § 28 Abs. 3 BDSG, die ausdrücklich eine Werbenutzung von Daten unter bestimmten Voraussetzungen zulässt (und die auch das viel zitierte "Listenprivileg" enthält) regelt grundsätzlich nur die postalische Werbung. Für Werbemaßnahmen per E-Mail, SMS, Fax und Telefon muss eine ausdrückliche Einwilligung der Kunden eingeholt werden (lediglich für E-Mail-Werbung besteht eine enge Ausnahmevorschrift für Bestandskunden).
Erschwerend kommt hinzu, dass an eine wirksame Erteilung einer solchen Einwilligung strenge Anforderungen gestellt werden. Nach der jüngsten Rechtsprechung des BGH (zuletzt im Fall "Happy Digits") ist es erforderlich, dass solche Einwilligungen separat durch eine gesonderte Angabe erteilt werden; eine Vermischung mit anderen Erklärungen - etwa in AGB - ist nicht zulässig.
Stopp dem unkontrollierten Datenabfluss
Arbeitet ein Unternehmen mit einem externen Dienstleister, wie z.B. einem Callcenter zusammen, hat es in Bezug auf eine rechtskonforme Verwendung der Kundendaten ganz besondere Verpflichtungen, da die Callcenter in den meisten Fällen die Kundenkommunikation übernehmen. Aus diesem Umstand haben viele Callcenter in der Vergangenheit ihren eigenen Vorteil gezogen und Daten unberechtigt weiterverkauft. Daher unbedingt bei der Vertragsgestaltung die entsprechenden Grundlagen hierfür prüfen. Die geänderten gesetzlichen Anforderungen sehen vor, auch die vor dem 1. 9. 2009 begründeten aber noch laufenden Auftragsdatenverarbeitungsverträge an die neuen Vorgaben anzupassen - Ausnahmen oder Übergangsfristen gibt es nicht.
Zum einen ist der Katalog der Mindestinhalte von so genannten Auftragsdatenverarbeitungsverträgen, auf insgesamt 10 Regelungsgegenstände ausgedehnt worden. Zum anderen sind Auftraggeber jetzt verpflichtet, zu kontrollieren ob der Auftragnehmer auch die technischen und organisatorischen Schutzmaßnahmen vor Beginn der Datenverarbeitung einhält. Ferner muss er das regelmäßig kontrollieren und das Ergebnis dieser Prüfungen auch dokumentieren.
Hinsichtlich der Kontrollpflicht ist noch unklar, welche Maßnahmen in welchen Intervallen zu ergreifen sind. Entscheidend dabei ist klar der Umfang der Datenverarbeitung und die Art der betroffenen Daten. Neben einer Vor-Ort-Kontrolle und einer Vorlage von Zertifikaten und Audits dürfte auch eine Bestätigung des betrieblichen Datenschutzbeauftragten des Auftragnehmers ein geeignetes Mittel sein. Wichtig ist nur, dass die Unternehmen überhaupt kontrollieren.