Am 31. August endete die Schonfrist für die Nutzung von Adress- und Kundendaten, die vor dem 01.09.2009 erhoben wurden. Seitdem kann es jeden treffen, der die in der letzten Novellierung beschlossenen Vorgaben des BDSG im Umgang mit personenbezogenen Daten nicht umgesetzt hat. Verstöße sind hierbei mit empfindlichen Strafen belegt, und können von den Aufsichtsbehörden mit bis zu 300.000 Euro geahndet werden. Auch geht er das Risiko ein durch Mitbewerber wegen Wettbewerbsverstößen belangt zu werden.
Das Problem ist, dass der Gesetzgeber im Rahmen der Novellierung des BDSG auch die Nutzung von personenbezogenen Daten für eigene Geschäftszwecke (wie z.B. Werbung) in §28 BDSG neu geregelt und strengere Auflagen als bisher festgesetzt hat. In §28 Abs. 3 ff. BDSG werden die Voraussetzungen festgelegt, welche zur Verwendung der Adressen für Werbezwecke erfüllt sein müssen:
- Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist zulässig, soweit der Betroffene eingewilligt hat. (§28 Abs. 3 BDSG)
- Sofern keine schriftliche Einwilligung vorliegt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen. (§28 Abs. 3a BDSG)
- Wurde die Einwilligung elektronisch abgegeben, muss diese protokolliert und jederzeit abrufbar sein. (§28 Abs. 3a BDSG)
- Außerdem muss der Betroffene die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. (§28 Abs. 3a BDSG)
Nichts geht ohne ein explizites und nachweisbares „Ja“ des Empfängers
Für Marketingzwecke gilt besondere Vorsicht da der Kundenwunsch hier im Mittelpunkt steht. Wer ab September 2012 keine hieb- und stichfeste Werbeeinverständniserklärung vorweisen kann, wird ein Problem haben, wenn er beispielsweise nach dem Versand eines Newsletters bei der Aufsichtsbehörde angezeigt wird. Hieb- und stichfest heißt, dass der Werbende eine vorliegende Werbegenehmigung (am besten mit Unterschrift) des Empfängers vorlegen kann. Das einfache Häkchen „JA, ich möchte den Newsletter erhalten“ auf einer Web-Seite reicht in seiner Funktion als „Single Opt-in“ hierbei nicht mehr aus. Verbunden mit einer weiteren protokolierten Bestätigungsmail ist aber auch dieses Vorgehen als „Double Opt-in“ weiterhin rechtens.
Folgende Punkte sind zu beachten:
- Es gibt keine niedrigen Verwarngelder mehr wenn Kundendaten unrechtmäßig erhoben und/oder verwendet werden.
- Missstände sind sofort abzustellen um einer drohenden Strafe oder Abmahnung zu entgehen.
- Alte Datenbestände, egal wann und wie sie erhoben wurden, unterliegen auch dem neuen Recht.
- Von allen Adressaten, die Sie künftig anschreiben möchten, und von denen noch keine Einverständniserklärung vorliegt, muss diese eingeholt werden.
- Die Einwilligung des Empfängers muss nachgewiesen werden, entweder durch eine Unterschrift oder durch ein eindeutiges „Double Opt-in-Verfahren“.
- Jedes Unternehmen sollte überlegen ob es einen Datenschutzbeauftragten bestellt, der über die Einhaltung der Datenschutzgesetze wacht. Für Unternehmen mit mehr als 9 Mitarbeitern die personenbezogene Daten verarbeiten, ist dies ohnehin Pflicht.
- Dem Recht des Betroffenen auf Sperrung, Löschung oder Berichtigung seiner Daten ist unverzüglich nachzukommen.
Mit freundlichen Grüßen
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Das BDSG im Netz
http://www.gesetze-im-internet.de/bdsg_1990/
Webseite der Bitkom
http://www.bitkom.org
tec4net – Ihr Starker IT-Partner