Datenschutz-Risiken beim Newsletter-Versand

Das Millionen-Bußgeld für die AOK sollte alle Unternehmen sensibilisieren. Das E-Mail-Marketing muss sich peinlich genau an die Bestimmungen der DSGVO halten - sonst wird's teuer. [...]

Der Versand von Newslettern oder Marketing-E-Mails spielt in nahezu jedem Unternehmen eine zentrale Rolle (c) pixabay.com

Der Datenschutzbeauftragte des Landes Baden-Württemberg hat gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,2 Millionen Euro verhängt. Ursächlich für das Bußgeld war die Verwendung personenbezogener Daten von 500 Personen im Rahmen einer E-Mail-Marketing-Kampagne, obwohl die betroffenen Personen einer Nutzung zu Werbezwecken nicht zugestimmt hatten.

Der Versand von Newslettern oder Marketing-E-Mails spielt in nahezu jedem Unternehmen eine zentrale Rolle. Umso wichtiger ist hier eine adäquate Umsetzung der Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Meldepflicht bei Datenpannen

Ein wesentlicher Inhalt der Pflichten aus der DSGVO ist die (potenzielle) behördliche Meldepflicht aus den Artikeln 33 und 34, wenn es zu einer Datenpanne kommt. Ob eine Meldung an die Behörde tatsächlich erforderlich ist, lässt sich an folgendem Schema prüfen: In einem ersten Schritt ist festzustellen, ob überhaupt eine Datenpanne im Sinne der genannten Artikel vorliegt. Wann das der Fall ist, regelt Art. 4 Nr. 12 DSGVO. Demnach ist von einer Datenpanne auszugehen, wenn die Datensicherheit unbeabsichtigt oder unrechtmäßig verletzt wurde, sodass durch den Verantwortlichen verarbeitete personenbezogene Daten verloren gehen, verändert oder unbefugt offengelegt werden oder für Unbefugte zugänglich sind. Wird ein Newsletter an Personen versandt, die zuvor widersprochen oder widerrufen haben, so erfüllt diese Verarbeitung mangels unbefugter Offenlegung (die Daten gehen nur an den Betroffenen) nicht die Kriterien des Art. 4 Nr. 12 DSGVO an einen Datenschutzverstoß.

Für den Fall einer Datenpanne ist sodann zu prüfen, ob eine Meldepflicht an die zuständige Aufsichtsbehörde besteht. Dies ist stets dann der Fall, wenn die Datenpanne nicht lediglich ein geringes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat. Wird ein Newsletter an eine Person versandt, die vorher widersprochen oder ihre Einwilligung widerrufen hat, so besteht regelmäßig nur ein marginales Risiko, da die betroffene Person nur ihre eigenen Daten erhält.

Wird ein Newsletter unter Angabe aller Empfängeradressen versandt (Adressen im CC- statt im BCC-Feld), so ist regelmäßig von einem erheblichen Risiko für die betroffene Person auszugehen, da die Daten etwa durch Dritte für Social Engineering verwendet werden können. Im Fall, dass ein Newsletter unter Verwendung der falschen Anrede versandt wird (Herr Müller statt Herr Schmidt), besteht in der Regel auch kein konkretes Risiko für den Betroffenen. Anders verhält es sich jedoch, wenn die Person aufgrund eines nicht häufig vorkommenden Namens leicht zu identifizieren ist oder aufgrund der Art des Newsletters (zum Beispiel Erotik-Newsletter) ein Diskriminierungspotenzial erwachsen kann. 

Schließlich müssen Verantwortliche prüfen, ob zusätzlich eine Information an die betroffene Person selbst notwendig ist. Nach Art. 34 Abs. 1 und 2 ist das stets dann notwendig, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Dieses besteht bei einem Newsletterfehlversand regelmäßig nicht, es sei denn, es gibt ausnahmsweise ein solches Risiko für den Betroffenen aufgrund der Sensibilität und des Umfangs der betroffenen Daten oder der Betroffene ist ausnahmsweise identifizierbar und es droht etwa eine besonders große Stigmatisierung.

Es liegt auf der Hand, dass die datenschutzrechtlichen Meldepflichten im Marketing-Bereich aufgrund der erheblichen Bußgelder nicht nur einen elementaren wirtschaftlichen Faktor darstellen, sondern durch die Auslegungsbedürftigkeit der Artikel 33 und 34 DSGVO in der Praxis in zahlreichen Fallgruppen auch unterschiedlich ausfallen. Firmen sollten sich deswegen unverzüglich einen um­fassenden Überblick verschaffen, wenn es zu einem Fehlversand kommt.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*