23.08.2012 | Interview mit Dr. Kai Westerwelle

"Datensätze ohne Einwilligung müssen gelöscht werden"

"Wer die Nachweise nicht protokolliert, riskiert, dass er alle Daten löschen muss."
Bild: Dr. Kai Westerwelle

Anfang des Jahres, als wir uns mit Dr. Kai Westerwelle über die BDSG-Novelle unterhielten, schien das Ende der Übergangsfrist noch in weiter Ferne. Jetzt ist es so weit und wir fassen noch einmal die wichtigsten Statements des Fachanwalts für Informationstechnologierecht bei der Wirtschaftskanzlei Taylor Wessing zusammen. Denn es bestand und besteht Handlungsbedarf.

acquisa: Welches ist die am häufigsten falsch verstandene Regelung in der BDSG-Novelle?
Dr. Kai Westerwelle: Es gibt eine sehr wichtige Unterscheidung, die oft nicht getroffen wird: Geht es um die Einwilligung für die Aufnahme von Daten in eine CRM-Datenbank oder geht es um die Einwilligung, Werbung zu empfangen? Punkt eins klärt, ob ein Unternehmen die Daten überhaupt speichern darf, Punkt zwei besagt, was ein Unternehmen mit den gespeicherten Daten für Werbezwecke machen darf. Wenn zum Beispiel ein Besucher auf einem Messestand eine Visitenkarte abgibt und darum bittet, Informationen zugeschickt zu bekommen, und das Unternehmen sendet ihm diese Informationen und wirft anschließend die Visitenkarte weg, dann gibt es überhaupt kein Problem. Will das Unternehmen aber die Daten in seine CRM-Datenbank aufnehmen, braucht es dafür eine Einwilligung.

acquisa: Hat der Besucher diese Einwilligung nicht eigentlich schon damit erteilt, dass er freiwillig seine Visitenkarte abgegeben hat?
Westerwelle: Nein. Laut Gesetz bedarf diese Einwilligung der Schriftform, es sei denn, ein anderer Weg ist angemessen. Schriftform – und das ist wichtig – heißt: Auf Papier und mit Unterschrift. Unter bestimmten Bedingungen darf die Einwilligung auch per E-Mail erteilt werden. Problem bei der E-Mail ist die Authentizität: Man weiß nicht, ob die Person, die eine E-Mail-Adresse zum Beispiel auf einer Website angibt, tatsächlich der Inhaber dieser E-Mail-Adresse ist. Deshalb hat sich bei den Einwilligungen per E-Mail das sogenannte Double-Opt-In durchgesetzt. Um zu vermeiden, dass ein Dritter eine fremde E-Mail-Adresse genutzt hat, wird nach der Registrierung noch einmal eine Bestätigungsmail an die E-Mail-Adresse gesendet, die der Empfänger aktiv anklicken muss. Dieses Verfahren gilt unter Datenschützern derzeit als das sicherste.

acquisa: Wenn nun jemand zum Beispiel durch dieses Double-Opt-in eingewilligt hat, dass seine Daten in die Kundendatenbank integriert werden, muss das Unternehmen darüber hinaus noch fragen, ob es ihm Werbung schicken darf?
Westerwelle: Wenn das Datensubjekt – also in diesem Fall der Kunde oder Interessent – in die Datenerfassung einwilligt, kann das Unternehmen zwar postalisch werben, braucht aber noch zusätzliche Einwilligungen, falls es den Kunden oder Interessenten elektronisch und telefonisch ansprechen will. Holt es diese Einwilligung nicht ein, liegt wettbewerbsrechtlich eine sogenannte unzumutbare Belästigung vor.

acquisa: CRM-Experten in den Unternehmen beklagen, dass das Einholen all dieser Einwilligungen an die Grenzen der Wirtschaftlichkeit stößt.
Westerwelle: Das ist eine Frage der Kosten-Nutzen-Relation, es kommt eben auf den Nutzen an. Gefragt sind Aktion und Know-how. Eine Datenbank auf saubere Beine zu stellen, ist ein längerfristiger Prozess und der kostet Geld. Aber das ist nicht zu ändern.

acquisa: Nun muss man aber damit rechnen, dass viele Kunden ihre Einwilligung nicht geben werden und somit wertvolle Kundendatensätze verloren gehen.
Westerwelle: Ja, Schwund wird es sicherlich geben. Aber man darf nicht vergessen, dass Themen wie Datenschutz und Compliance einen großen Werbeeffekt haben. Sicherlich werden viele zunächst nicht antworten, aber dafür bekommt das Unternehmen eine saubere Datenbank und genießt ein gutes Image hinsichtlich des Datenschutzes.

acquisa: Dennoch ist das »Saubermachen« in der Datenbank ein sehr aufwendiges und teures Unterfangen.
Westerwelle: Auto fahren ist auch teuer. Wenn Sie Geld sparen wollen, dürfen Sie also nicht Auto fahren. Gleiches gilt für die Verwendung von Daten.

acquisa: Was passiert denn mit den Datensätzen derjenigen Kunden, die ihre Einwilligung nicht erteilen?

Westerwelle: Diese Datensätze müssen die Unternehmen nach dem 31. August löschen. Denn: Sie müssen nach diesem Zeitpunkt auf Anfrage der Datenaufsichtsbehörden nachweisen, wie ihre Datenbank beschaffen und ob sie datenschutzkonform ist.

acquisa: Und wenn die Prüfer feststellen, dass eine Datenbank nach August 2012 Adressen ohne Einwilligung enthält?
Westerwelle: Dann muss das Unternehmen die Daten löschen.

acquisa: Ach du meine Güte. Gilt das dann für alle Daten oder nur für die Daten, für die keine Einwilligung vorliegt?
Westerwelle: Das gilt für die Daten, für die das Unternehmen nicht den Nachweis der Einwilligung erbringen kann. Wer die Nachweise nicht protokolliert, riskiert also, dass er alle Daten löschen muss.

acquisa: Beim Gedanken, dass nach Auslauf der Übergangsfrist vielleicht ganze Kundendatenbanken gelöscht werden müssen, sträuben sich einem ja die Nackenhaare.

Westerwelle: Viele Leute regen sich – teilweise zu Recht – über die Bundesdatenschutzgesetze auf. Aber Fakt ist: Das ist Gesetz. Da gibt es keinen Diskussionsbedarf. Das Gesetz ist nun mal da, und wir reden über den Ablauf einer Übergangsfrist und nicht über eine Kannbestimmung. Handeln ist gefragt, nicht Diskutieren.

acquisa: Experten sagen, die Datenaufsichtsbehörden prüfen ein Unternehmen im Schnitt gut alle 250 Jahre. Das ist doch ein ziemlich geringes Risiko …
Westerwelle: … tatsächlich steigt gegebenenfalls die Wahrscheinlichkeit einer Prüfung mit der Größe des Unternehmens. Je kleiner, desto unwahrscheinlicher ist eine Prüfung. Aber die Gefahr droht auch nicht in erster Linie vonseiten der Datenschutzbehörden. Sie geht vielmehr vom Datensubjekt aus: Es kann jederzeit passieren, dass sich jemand, der sich unrechtmäßig angeschrieben, angemailt oder angerufen fühlt, bei der Datenschutzbehörde über das werbende Unternehmen beschwert. In einem solchen Fall ist die Behörde dazu verpflichtet, dem nachzugehen. Dann muss das Unternehmen nachweisen können, dass die Daten compliant sind. Die Menschen sind im Hinblick auf ihre Daten sensibel, und solche Beschwerden kommen häufiger vor als viele Unternehmen denken – das sollte man nicht unterschätzen. Die zweite Gefahr: Ist die Datenbank nicht rechtskonform und ein Unternehmen mailt oder ruft unrechtmäßig bei jemandem an, kann das ein Wettbewerbsverstoß sein. Unternehmen müssen damit rechnen, dass auch die Wettbewerbszentralen sich diesem Feld künftig stärker widmen werden. Kurzum: No risk, no fun halte ich in dieser Frage für die falsche Haltung.

acquisa: Droht außer einer Datenlöschung noch weiteres Unbill?
Westerwelle: Ja, die Aufsichtsbehörden können Bußgelder verhängen. Das ist ja vielleicht noch verkraftbar, die Behörden können Unternehmen aber auch die datenschutzrechtswidrige Tätigkeit untersagen. Das heißt, im schlimmsten Fall kann theoretisch sogar eine Betriebsstilllegung drohen.

acquisa: Wer haftet?
Westerwelle: Es kann sogar zu einer schadensersatzbegründenden Pflichtverletzung der Unternehmensleitung kommen, sofern die datenschutzrechtlichen Vorgaben nicht richtig in der Organisation des Unternehmens verankert wurden. In diesem Fall liegt gegebenenfalls ein Organisationsverschulden vor, was zu einer persönlichen Haftung der Unternehmensleitung oder des Aufsichtsrats führen kann.

acquisa: Letzte Frage: Nach zahlreichen Gesprächen mit Dienstleistern habe ich zwei Meinungen zu einem Sachverhalt: Die einen sagen, nach Ablauf der Frist am 31. August 2012 dürfe man auch dann ohne Opt-in agieren, wenn man die Transparenzregel anwende, also die Herkunft der Adresse nachweise. Die andere Gruppe sagt, ab dem 31. August 2012 benötige man auf jeden Fall ein Opt-in, wenn man Neukunden postalisch anschreibe. Was ist korrekt?

Westerwelle: Beide haben recht: Wenn Unternehmen Adressen von Dritten erwerben, müssen sie darauf achten, dass die Daten von dem Adressbroker datenschutzrechtlich korrekt erhoben wurden. Ich kann nur empfehlen, vertraglich abzusichern, dass der Adresshändler die Daten rechtmäßig erhoben hat und sie zudem auch zu den beabsichtigten Werbezwecken zur Verfügung stellen darf. Und das ist gegebenenfalls nicht genug: Das Oberlandesgericht Düsseldorf hat entschieden, dass es nicht ausreicht, sich dies zusichern zu lassen, sondern dass die Unternehmen dies auch stichprobenartig überprüfen müssen.

acquisa: Was für ein Aufwand.
Westerwelle: Das ist alles nicht ganz so schlimm. Auch hier gilt: Die Unternehmen müssen lediglich saubere Prozesse implementieren.

Schlagworte zum Thema:  Datenschutz, Database, Direktmarketing, Adressmanagement, Mailing

Aktuell

Meistgelesen