Das Millionen-Bußgeld für die AOK sollte alle Unternehmen sensibilisieren. Das E-Mail-Marketing muss sich peinlich genau an die Bestimmungen der DSGVO halten - sonst wird's teuer. [...]
Der Datenschutzbeauftragte des Landes Baden-Württemberg hat gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,2 Millionen Euro verhängt. Ursächlich für das Bußgeld war die Verwendung personenbezogener Daten von 500 Personen im Rahmen einer E-Mail-Marketing-Kampagne, obwohl die betroffenen Personen einer Nutzung zu Werbezwecken nicht zugestimmt hatten.
Der Versand von Newslettern oder Marketing-E-Mails spielt in nahezu jedem Unternehmen eine zentrale Rolle. Umso wichtiger ist hier eine adäquate Umsetzung der Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Meldepflicht bei Datenpannen
Ein wesentlicher Inhalt der Pflichten aus der DSGVO ist die (potenzielle) behördliche Meldepflicht aus den Artikeln 33 und 34, wenn es zu einer Datenpanne kommt. Ob eine Meldung an die Behörde tatsächlich erforderlich ist, lässt sich an folgendem Schema prüfen: In einem ersten Schritt ist festzustellen, ob überhaupt eine Datenpanne im Sinne der genannten Artikel vorliegt. Wann das der Fall ist, regelt Art. 4 Nr. 12 DSGVO. Demnach ist von einer Datenpanne auszugehen, wenn die Datensicherheit unbeabsichtigt oder unrechtmäßig verletzt wurde, sodass durch den Verantwortlichen verarbeitete personenbezogene Daten verloren gehen, verändert oder unbefugt offengelegt werden oder für Unbefugte zugänglich sind. Wird ein Newsletter an Personen versandt, die zuvor widersprochen oder widerrufen haben, so erfüllt diese Verarbeitung mangels unbefugter Offenlegung (die Daten gehen nur an den Betroffenen) nicht die Kriterien des Art. 4 Nr. 12 DSGVO an einen Datenschutzverstoß.
Für den Fall einer Datenpanne ist sodann zu prüfen, ob eine Meldepflicht an die zuständige Aufsichtsbehörde besteht. Dies ist stets dann der Fall, wenn die Datenpanne nicht lediglich ein geringes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat. Wird ein Newsletter an eine Person versandt, die vorher widersprochen oder ihre Einwilligung widerrufen hat, so besteht regelmäßig nur ein marginales Risiko, da die betroffene Person nur ihre eigenen Daten erhält.
Wird ein Newsletter unter Angabe aller Empfängeradressen versandt (Adressen im CC- statt im BCC-Feld), so ist regelmäßig von einem erheblichen Risiko für die betroffene Person auszugehen, da die Daten etwa durch Dritte für Social Engineering verwendet werden können. Im Fall, dass ein Newsletter unter Verwendung der falschen Anrede versandt wird (Herr Müller statt Herr Schmidt), besteht in der Regel auch kein konkretes Risiko für den Betroffenen. Anders verhält es sich jedoch, wenn die Person aufgrund eines nicht häufig vorkommenden Namens leicht zu identifizieren ist oder aufgrund der Art des Newsletters (zum Beispiel Erotik-Newsletter) ein Diskriminierungspotenzial erwachsen kann.
Schließlich müssen Verantwortliche prüfen, ob zusätzlich eine Information an die betroffene Person selbst notwendig ist. Nach Art. 34 Abs. 1 und 2 ist das stets dann notwendig, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Dieses besteht bei einem Newsletterfehlversand regelmäßig nicht, es sei denn, es gibt ausnahmsweise ein solches Risiko für den Betroffenen aufgrund der Sensibilität und des Umfangs der betroffenen Daten oder der Betroffene ist ausnahmsweise identifizierbar und es droht etwa eine besonders große Stigmatisierung.
Es liegt auf der Hand, dass die datenschutzrechtlichen Meldepflichten im Marketing-Bereich aufgrund der erheblichen Bußgelder nicht nur einen elementaren wirtschaftlichen Faktor darstellen, sondern durch die Auslegungsbedürftigkeit der Artikel 33 und 34 DSGVO in der Praxis in zahlreichen Fallgruppen auch unterschiedlich ausfallen. Firmen sollten sich deswegen unverzüglich einen umfassenden Überblick verschaffen, wenn es zu einem Fehlversand kommt.
Be the first to comment