Das Listenprivileg als Ausnahme
Foto: DLA Piper
Die gute Nachricht: Es gibt auch Ausnahmen von dieser Einwilligungserfordernis. Nach dem "Listenprivileg" kann die Verarbeitung oder Nutzung personenbezogener Daten für werbliche Zwecke auch ohne explizite Einwilligung zulässig sein. Aber nur dann, wenn für eigene Angebote geworben wird und die Daten entweder beim Betroffenen selbst erhoben wurden oder aus öffentlichen Verzeichnissen stammen.
Zudem bezieht sich das Listenprivileg nur auf ganz bestimmte Daten. Dazu zählen Berufs- oder Geschäftsbeziehung, Name, Anschrift und Geburtsdatum. Und Werbung per Telefon ist beispielsweise nicht vom Listenprivileg gestützt.
Für das Gros der Industrieunternehmen, die mit personenbezogenen Daten werbliche Zwecke verfolgen, gilt dieses Privileg jedenfalls nicht. Sie müssen sich spätestens jetzt mit dem Säubern der Kundendaten beschäftigen, um den Termin noch fristgerecht einhalten zu können.
- Datenschützer gegen BDSG
Wenn es um vermeintlichen Datenmissbrauch seitens Konzernen wie Facebook und Google geht, sind die Hamburger Datenschützer streng. Doch laut Spiegel Online lag bei der Web-Präsenz der Aufsichtsbehörde selbst monatelang einiges im Argen: Dort wurde ein Tracking-Dienst eingesetzt, der die Nutzerinformationen nicht gesetzeskonform verarbeitet. Die Datenschützer betreiben diesen Service zwar nicht selbst, peinlich ist es trotzdem. Auch Gespräche mit Google über dessen Analyse-Dienst Google Analytics brach die Behörde aus ähnlichen Gründen ab. Die Behörde zog Konsequenzen und ließ die Website vorrübergehend abschalten. - Patientendaten auf der Straße
In Schleswig-Holstein lagerten über Monate, vielleicht sogar Jahre hinweg tausende vertrauliche Patientendaten offen und frei zugänglich auf Servern eines IT-Dienstleisters. Nach Berichten des Landesdatenschützers Thilo Weichert waren Desorganisation und die Nutzung einer handgestrickten Lösung der Grund für die Panne. Der betroffene IT-Dienstleister Rebus betreibt Datenbanken für mehrere soziale Dienste in Deutschland. - Zwölfjährige zum Bund
Die Kieler Nachrichten berichten, dass aufgrund einer Datenpanne im Rathaus Eutin das Kieler Kreiswehrersatzamt 2.300 Minderjährige angeschrieben hat. Inhalt des Postanschreibens: Werbung für eine Karriere bei der Bundeswehr. Der Grund: Die fehlerhaften Daten seien aus dem Eutiner Rathaus an das Kreiswehrersatzamt übermittelt worden. Die Datensätze stammen aus dem Einwohner-Meldesystem. Per Pressemitteilung entschuldigte sich das Rathaus für den Fehler. Ein Datenfenster sei irrtümlich falsch ausgefüllt worden. - Vertrauliche Dateien auf dem Flohmarkt
Laut eines Berichts aus der "Zeit" sind vertrauliche Dokumente der Stadtverwaltung Glücksburg durch eine schwere Panne in falsche Hände geraten. Nach Recherchen des Radiosenders NDR Info fand ein Mann aus Glücksburg die Daten offenbar auf Festplatten und Servern, die er nach eigenen Angaben auf einem Flohmarkt erworben hatte. Die Verwaltung habe den Flohmarkt selbst organisiert, weil sie in ein neues Rathaus gezogen sei. Interessierte Bürger konnten deshalb das alte Inventar erwerben.
Einige abschreckende Szenarien
Es gibt sicher diejenigen, die den Stichtag erst einmal auf sich zukommen lassen und mit Eintreten der neuen Vorschrift noch lange nicht BDSG-konform handeln. Sie sollten wissen, dass durchaus einige abschreckende Szenarien denkbar sind: Ein BDSG-Verstoß kann mit einer Geldbuße von maximal 300.000 Euro sanktioniert werden, eine Summe, die sicherlich nur größere Unternehmen in Kauf nehmen werden.
Es kann auch passieren, dass die Behörden eine weitere Datenverarbeitung stoppen. Das kann im schlimmsten Fall zur Insolvenz eines Unternehmens führen. Zudem drohen Abmahnungen und Schadensersatzforderungen nach UWG, wenn Verbraucher und Kaufleute unerlaubt zu werblichen Zwecken angesprochen werden.
Die Wahrscheinlichkeit dass eine Behörde von sich aus tätig wird, ist sicher gering. Umso größer ist allerdings die Gefahr seitens der Kunden selbst. Wenn jemand sich über die unrechtmäßige Verwendung seiner Kunden bei der einer Behörde beschwert, kann es schnell eng werden.
Die Unternehmen werden also nicht umhin kommen, ihre Datenbanken so bald wie möglich im Hinblick auf die Protokollierung des Kundeneinverständnisses zu durchforsten. Wichtig ist dabei, folgende Punkte akribisch zu prüfen: Wie wurde die Einwilligung eingeholt? Wie wurde sie erteilt, für welche Kanäle wurde sie erteilt? Und inwieweit wurde sie auch einwandfrei dokumentiert? (qua)