Wie lange „hält“ die Interessenabwägung beim Direktmarketing?
PSP Case Study zur DSGVO: Praxisfall 8

DSGVO: Praktischer Fall

Die Huber AG betreibt eine CRM-Datenbank mit Kontaktdaten von Ansprechpartnern. Teils handelt es sich um Repräsentanten von Unternehmen, mit denen die Huber AG in Geschäftsbeziehung stand, steht oder gerne stehen würde. Teils handelt es sich um soziale oder politische Kontakte, etwa der Vertreter von Vereinen, die von der Huber AG gesponsert werden, oder von Personen des öffentlichen Lebens, mit denen die Huber AG den Kontakt pflegt. Solche Kontaktdaten ergeben sich aus E-Mail-Verkehren, aus der Übergabe von Visitenkarten, aus Telefonaten und Ähnlichem. Die Huber AG geht davon aus, aufgrund ihres Interesses an Direktmarketing (hierzu zählt nicht nur kommerzielle Kommunikation im engeren Sinne, d. h. Werbung) die entsprechenden Daten aufgrund einer Interessenabwägung verarbeiten zu dürfen.

EU-Kommissarin Věra Jourová erklärte im Mai 2018 in einem Interview: „Wenn Ihnen jemand eine E-Mail schreibt und Ihnen zugesteht, dass Sie seine Daten verwenden dürfen, dann ist doch klar, dass er Ihnen eine Einwilligung erteilt.“ Dabei bezog sie sich wohl darauf, dass die DSGVO im Regelfall (Art. 4 Nr. 11 DSGVO) keine „ausdrückliche“ Einwilligung fordert, sondern auch eine stillschweigende Einwilligung zulässig ist, solange eine „eindeutige bestätigende Handlung“ des Betroffenen vorliegt. Damit bedürfte es in solchen Fällen – dazu wird man auch die Übergabe einer Visitenkarte zählen – keiner Interessenabwägung. Auch die „Orientierungshilfe“ der Datenschutzkonferenz zum Thema Direktwerbung vom November 2018 führt aus, dass die Übergabe einer Visitenkarte grundsätzlich eine wirksame Einwilligung („zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme“) darstellt.

Welche Informationen setzt die Erteilung einer Einwilligung voraus?

Erwägungsgrund 42 der DSGVO sieht aber verschiedene Mindestinformationen vor, die dem Einwilligenden bekannt sein müssen, bevor er eine „informierte“ Einwilligung abgeben kann („Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen.“). Bezüglich der Konkretisierung der Zwecke fordert die Datenschutzkonferenz übrigens selbst, dass „die Produkte oder Dienstleistungen, für die geworben werden soll“, dem Einwilligenden bekannt sein müssen, ansonsten ist seine Einwilligung nicht „informiert“ genug, um wirksam sein zu können. Jeder Unternehmer weiß nun aber, dass ein „Kontakt“ eben oft zunächst nur ein „Kontakt“ ist; an welchem Produkt oder an welcher Dienstleistung der „Kontakt“ später einmal interessiert sein könnte, weiß man häufig anfangs noch nicht. Dabei muss man noch nicht einmal an einen Mischkonzern, der ein breites Produktportfolio abdeckt, denken.

Daneben verlangt Art. 7 Abs. 3 DSGVO, dass die betroffene Person vor Abgabe der Einwilligungserklärung davon in Kenntnis gesetzt werden muss, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen, und dass durch diesen Widerruf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt wird.

Mitunter werden auch noch weitergehende Informationen im Vorfeld der Einwilligung gefordert. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg vertritt im Ratgeber Beschäftigtendatenschutz vom März 2019 etwa die Auffassung, dass die Kenntnis der Speicherdauer notwendige Voraussetzung für eine wirksame Einwilligung sei. Der Thüringer Landesbeauftragte für Datenschutz geht hingegen in seinem Tätigkeitsbericht 2018 aufs Ganze und fordert für eine informierte Einwilligungserklärung das „gesamte Paket“ der Pflichtinformationen – und zusätzlich die Pflichtinformationen als solche:

„Als Orientierungsrahmen für Art und Umfang der Informationspflichten gelten die Angaben in Art. 13 und 14 der DS-GVO. Diese Informationspflichten sind jedoch zusätzlich zu erfüllen [...].“

In die gleiche Richtung weist übrigens die „Planet49“-Entscheidung des Europäischen Gerichtshofs vom Oktober 2019, die aber genaugenommen nicht im Datenschutzrecht, sondern im „E-Privacy-Recht“ spielt (siehe dazu auch noch Fall 17 in Bezug auf die Speicherung von Cookies an sich). Dort geht es um eine Vorschrift für Cookies auf Endgeräten – gleich ob personenbezogen oder nicht –, nach der eine Einwilligung des Nutzers „auf der Grundlage von klaren und umfassenden Informationen“ erforderlich ist, die er vorher gemäß der (damals gültigen) Datenschutz-Richtlinie zu erhalten hat. Der Verweis in der sog. „Cookie-Richtlinie“ von 2009 auf die Datenschutz-Richtlinie 1995 wird seit Inkrafttreten der DSGVO durch einen Verweis auf Art. 13/14 DSGVO ersetzt. Hier fordert der Europäische Gerichtshof aber auch für die Zeit vor dem Inkrafttreten der DSGVO nicht nur sämtliche in der Datenschutz-Richtlinie 1995 vorgeschriebenen Pflichtinformationen als Voraussetzung für die wirksame „Cookie-Einwilligung“, sondern auch die Angabe der Dauer der Verarbeitung (die heute standardmäßig in Art. 13/14 Abs. 2 lit. a DSGVO vorgegeben ist). In der Datenschutz-Richtlinie 1995 war nämlich der Katalog der Pflichtinformationen noch mit „insbesondere“ eingeleitet worden und die Dauer der Verarbeitung war nicht ausdrücklich mit aufgeführt worden – der Europäische Gerichtshof hat die Dauer der Verarbeitung hier als weitere Pflichtinformation „hinzu-interpretiert“ (wobei der Europäische Gerichtshof die „Dauer der Speicherung des Cookies“ insoweit mit der „Dauer der Verarbeitung“ gleichsetzt). Dieses „insbesondere“ fehlt in Art. 13/14 DSGVO, d. h. der dort genannte Katalog der Pflichtinformationen ist abschließend (bis jemandem etwas Neues dazu einfällt). Man findet sich also durchaus in guter Gesellschaft, wenn man fordert, dass dem Betroffenen vor einer Einwilligung zunächst sämtliche Pflichtinformationen zur Verfügung gestellt werden müssen; vorher ist keine wirksame Einwilligung möglich.

Wenig konkret ist hingegen das Standard-Datenschutzmodell in Abschnitt B2 („Einwilligungsmanagement“). Hiernach ist die Einwilligung nur wirksam, wenn vorher eine „umfassende Information des Betroffenen über die Datenverarbeitung erfolgt ist“. Was „umfassend“ genau meint, wird nicht definiert.

Ausnahmen von diesen „Vorinformationspflichten“, wie weit auch immer diese gezogen werden mögen, sieht der Wortlaut der DSGVO nicht vor, obgleich manche Juristen – Jourová folgend – es bei einer stillschweigend erteilen Einwilligung damit nicht so genau nehmen. Die „durch die Umstände“ erteilte Einwilligung, die nach dieser Auffassung trotz des klaren Wortlauts doch (vom Ergebnis her) „irgendwie möglich sein muss“, erinnert insoweit an die eigentlich vom Wortlaut her ebenso unbedingte Forderung der DSGVO, die Pflichthinweise „zum Zeitpunkt der Erhebung“ mitzuteilen, gleich ob die Erhebung schriftlich, mündlich, telefonisch oder durch Handzeichen erfolgt. Auch der Weg über die dem Betroffenen „offensichtlich“ bereits vorliegenden Pflichtinformationen (Art. 13 Abs. 4, 14 Abs. 5 lit. a) DSGVO) ist nur schwer zu begründen (siehe Fall 1).

Ist eine Interessenabwägung die bessere Einwilligung?

Eine Passage des Tätigkeitsberichts 2017/2018 des bayerischen Landesamtes für Datenschutzaufsicht in Bezug auf Nutzeranfragen in einem Kontaktformular – als Analogie zur E-Mail – legt nahe, dass dort die Ansicht der EU-Kommissarin über das Vorliegen einer Einwilligung nicht geteilt wird:

Grundsätzlich bedarf es keiner Einwilligung durch den Nutzer, da die Datenverarbeitung auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO gestützt werden kann. Der Verantwortliche hat ein berechtigtes Interesse daran, Nutzeranfragen, die über das Kontaktformular eingehen, zu beantworten.

Kann man sich aber nun nicht sicher sein, dass die Übersendung einer E-Mail oder die Übergabe einer Visitenkarte, wenn letzteres als „Erhebung“ einzustufen wäre (siehe Fall 1), eine (stillschweigende) Einwilligung darstellt, so neigen Juristen dazu, eine Alternativbegründung hinterherzuschieben. Man würde „hilfsweise“, also für den Fall, dass die Einwilligung nicht „funktioniert hat“, von einer Interessenabwägung ausgehen. Ein Unwirksamkeitsrisiko kann es ja nicht nur im Hinblick auf die „Nichtausdrücklichkeit“ der Einwilligung oder auf die nicht ausreichende Vorinformationen, sondern auch im Hinblick auf eine Einwilligungserklärung mit zu weit gefasster Zweckdefinition geben (im Extremfall: „Einwilligung in die Verarbeitung zu beliebigen Zwecken“).

Allerdings gibt es nun wieder Juristen, die in Anlehnung an das (deutsche) Recht der Allgemeinen Geschäftsbedingungen eine solche Hilfskonstruktion für unzulässig halten. Hiernach war entweder der Legitimationsgrund das, was der Verantwortliche in den Pflichthinweisen angegeben hat, oder er war etwas anderes, dann hat der Verantwortliche den falschen Legitimationsgrund angegeben und (u. a.) falsche Pflichthinweise gegeben (siehe auch Fall 26). Auf Basis dieses Gedankens hat die österreichische Datenschutzbehörde in einem Bescheid vom November 2018 ausgeführt:

„Zunächst ist der Einwilligung nicht mit der erforderlichen Klarheit zu entnehmen, für welche Datenverarbeitungen die Einwilligung die Rechtsgrundlage darstellt. In der bereitgestellten Information nach Art. 13 DSGVO wird als Rechtsgrundlage zwar die Einwilligung genannt, es werden jedoch auch andere Rechtsgrundlagen, wie bspw. die Erfüllung rechtlicher Verpflichtungen oder die Wahrung berechtigter Interessen angeführt. Insofern ist unklar, für welche konkreten Datenverarbeitungen die Einwilligung die Rechtsgrundlage ist. Die Einwilligungserklärung erweist sich daher in diesem Punkt als rechtswidrig.“

Dieser Gedanke ist durchaus ernst zu nehmen, denn nicht notwendige Einwilligungen können auch rechtsmissbräuchlich von ahnungslosen Kunden „eingeheimst“ werden, wie folgende Passage aus dem Tätigkeitsbericht 2018 der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen zeigt:

„Nach der Datenschutzgrundverordnung sind Datenverarbeitungen im Zusammenhang mit Vertragsabschlüssen oder aufgrund besonderer gesetzlicher Verpflichtungen grundsätzlich zulässig, ohne dass es einer gesonderten Einwilligung der oder des Betroffenen bedürfte. Wir erhielten Anhaltspunkte dafür, dass das eine oder andere Kreditinstitut die Unsicherheit seiner Kundinnen und Kunden über die neuen Datenschutzregeln dazu genutzt haben könnte, sich unter Vorspiegelung der Notwendigkeit der Abgabe einer datenschutzrechtlichen Einwilligungserklärung weitergehende Möglichkeiten zur Auswertung und Nutzung der Kundendaten zu verschaffen. Mangels personeller Ressourcen konnten wir diesen Hinweisen bislang bedauerlicherweise nicht nachgehen.“

Im zugrundeliegenden Gedankengang ähnlich formuliert der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern in seinem Tätigkeitsbericht 2018 zur „überflüssigen“ Einwilligung:

In vielen Fällen ist jedoch die Datenverarbeitung bereits aufgrund eines Vertrages durch eine andere Rechtsgrundlage (nämlich Art. 6 Abs. 1 b DS-GVO) abgedeckt. In derartigen Fällen wurden jedoch oft (um „sicherzugehen“) zusätzliche Einwilligungen von den jeweiligen Vertragspartnern eingeholt. Dies kann bei diesen zu dem Missverständnis führen, man könne die erteilten Einwilligungen mit Wirkung für die Zukunft widerrufen, wodurch die wirksame Rechtsgrundlage für eine Datenverarbeitung entfallen würde, obwohl eine solche in dem geschlossenen Vertrag nach Art. 6 Abs. 1 b DS-GVO tatsächlich existiert. Mit Blick auf den Grundsatz der Transparenz und Fairness gemäß Art. 5 Abs. 1 a DS-GVO ist jedoch ein Wechseln zwischen Einwilligungen und anderen Rechtsgrundlagen grundsätzlich unzulässig.“

Dem liegt jeweils der Gedanke zugrunde, dass eine Einwilligung nur eingeholt werden „darf“, wenn man als Betroffener auch die „echte“ Wahl hat, die Einwilligung zu verweigern. Würde nämlich der Betroffene die Einwilligung verweigern und der Verantwortliche erwidern „Gut, dann machen wir es eben über eine Interessenabwägung“, dann wirft das schon die Frage auf, ob der Verantwortliche überhaupt ernstlich eine Einwilligung einholen wollte.

Der Thüringer Landesbeauftragte für Datenschutz postuliert daher in seinem Tätigkeitsbericht 2018 letztlich – aus Fürsorge für den Verantwortlichen – ein Rangverhältnis der Legitimationsgrundlagen:

„Sofern die datenverarbeitende Stelle bei der betroffenen Person eine Einwilligungserklärung einholt, signalisiert sie ihr, dass es für die Zulässigkeit einer Datenverarbeitung allein auf ihr Einverständnis ankommen soll. Dann aber wäre es in sich widersprüchlich und damit unzulässig, wenn die datenverarbeitende Stelle im Falle der Verweigerung oder Unwirksamkeit der Einwilligung alternativ doch wieder auf einen gesetzlichen Erlaubnistatbestand zurückgreifen könnte [...]. Daher sollte die Einwilligung als Rechtsgrundlage für die Verarbeitung nur dann herangezogenen werden, wenn die Verarbeitung auf keinen der anderen Sachverhalte in Art. 6 Abs. 1 Buchstabe b) bis f) DS-GVO gestützt werden kann. Zwar steht die Einwilligung als Rechtsgrundlage gleichwertig neben den anderen Erlaubnistatbeständen, ist aber als Rechtsgrundlage für eine Datenverarbeitung deutlich unzuverlässiger, da der jederzeit mögliche Widerruf der Einwilligungserklärung dazu führt, dass die betroffene Person die Löschung der sie betreffenden Daten verlangen kann und der Verantwortliche verpflichtet ist, diese Daten ohne unangemessene Verzögerung zu löschen.“

Diese „Vorzugswürdigkeit“ der Interessenabwägung aus pragmatischen Gründen könnte allerdings mit dem möglichen, in Fall 17 betrachteten Vorrang der Einwilligung kollidieren. Diese weitere Problematik soll daher hier nicht vertieft werden.

Angefügt sei hier lediglich noch, dass auch die griechische Datenschutzaufsichtsbehörde in die gleiche Richtung tendiert. Dort hatte ein Arbeitgeber „sicherheitshalber“ Einwilligungen seiner Beschäftigten eingeholt:

„The principles of lawful, fair and transparent processing of personal data pursuant to Article 5(1)(a) of the GDPR require that consent be used as the legal basis in accordance with Article 6(1) of the GDPR only where the other legal bases do not apply so that once the initial choice has been made it is impossible to swap to a different legal basis. In case the data subject withdraws his or her consent, it is not allowed to carry on the processing of personal data under a different legal basis. Where the legal basis of consent is properly applied, in the sense that no other legal basis is applicable, refusal of consent or its withdrawal is equivalent to an absolute prohibition on the processing of personal data. 

Consent of data subjects in the context of employment relations cannot be regarded as freely given due to the clear imbalance between the parties.

In this case, the choice of consent as the legal basis was inappropriate, as the processing of personal data was intended to carry out acts directly linked to the performance of employment contracts, compliance with a legal obligation to which the controller is subject and the smooth and effective operation of the company, as its legitimate interest.“

Ohne dass es dort spezifisch um Pflichthinweise ging, hat allerdings zumindest der BGH in seiner Entscheidung zur Vererbung von Facebook-Accounts vom Juli 2018 ohne weiteren Kommentar eine bestimmte Datenverarbeitung legitimationsmäßig „auf zwei Beine gestellt“, nämlich gleichberechtigt auf einen Vertrag und auf eine Interessenabwägung. Der BGH – wenn auch nicht der für Datenschutzrecht eigentlich zuständige Senat – schreibt wörtlich:

„Die Erlaubnistatbestände des Art. 6 Abs. 1 Buchst. b und f DS-GVO begründen jeweils eigenständig die datenschutzrechtliche Zulässigkeit der Zugangsgewährung für die Klägerin.“

Das klingt so, als könnte man eine datenschutzrechtliche Legitimation auch alternativ begründen – darf das nun aber auch ein Verantwortlicher in seinen Pflichthinweisen (siehe auch Fall 26) oder nur ein Gericht?

Woraus werden mutmaßliche Interessen abgeleitet?

Beruft sich also die Huber AG von vornherein nur auf eine Interessenabwägung, so würde sie mit ihrem (im „gesetzesgleichen“ Erwägungsgrund 47 als legitim bezeichneten) Interesse an Direktmarketing – in einem weit verstandenen Sinne – argumentieren. Weit verstanden deshalb, weil es durchaus auch den Standpunkt gibt, dass „Direktmarketing“ im genannten Erwägungsgrund nicht die Ansprache neuer Kunden, sondern nur das Bewerben von Bestandskunden meint. Dieser Ansicht ist etwa die Niederländische Datenschutzaufsichtsbehörde in einer Veröffentlichung vom November 2019. Nach ihr kann Direktmarketing in Bezug auf Neukunden kein legitimes Interesse begründen, denn ein solches Interesse sei ein rein kommerzielles Interesse. Kommunikation mit Neukunden kann, wenn man dies zugrunde legt, nur auf Basis einer Einwilligung in die Bewerbung stattfinden.

Das Rechtsprinzip, das einer Interessenabwägung zugrunde liegt, kann als „mutmaßliche Einwilligung“ des Betroffenen umschrieben werden. Man fragt also, ob der Betroffene, wenn er es objektiv und neutral sehen würde, mit der Datenverarbeitung einverstanden wäre, wenn ihm das Interesse des Verantwortlichen und sein eigenes Interesse bekannt wären und er diese beiden „fair“ abwägen würde. Umgangssprachlich heißt Interessenabwägung schlicht „Na, da kann der Betroffene doch eigentlich nichts dagegen haben“. Bei abstrakter Betrachtung (Abwägung) würde demnach meist das Direktmarketing-Interesse des Unternehmens an der Verarbeitung der Kontaktdaten das auf der anderen Seite stehende Interesse des Betroffenen, davon verschont zu bleiben, überwiegen. Insbesondere gilt dies natürlich, wenn der Betroffene ein Repräsentant eines Unternehmens ist und es nur um seine unternehmensbezogenen Kontaktdaten geht (siehe dazu auch Fall 20). Die Berliner Beauftragte für Datenschutz und Information führt in ihrem Jahresbericht 2018 zur Abwägung sibyllinisch aus:

„Entscheidend ist daher, ob die Verarbeitung personenbezogener Daten für bestimmte Bereiche der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird und ob es der Vernunft entspricht, Nachteile für das Selbstbestimmungsrecht hinzunehmen“.

Das birgt natürlich ein erhebliches Risiko, zu einem falschen Abwägungsergebnis zu gelangen, weil man „typische“ Verhaltensweisen in einer Sozialsphäre unterschätzt hat. Der „Drahtverhau“ der Interessenabwägung wird in Fall 29 eingehender behandelt.

Nachlassende Interessen

Der im vorliegenden Fall entscheidende Aspekt betrifft nun jedoch die Frage, ob nach einer bestimmten Zeit, in der entweder die Kontaktdaten des Betroffenen von der Huber AG nicht verwendet werden oder der Betroffene nicht auf Kommunikationsversuche der Huber AG reagiert, diese Interessenabwägung „kippt“, weil das Direktmarketing-Interesse der Huber AG „verblasst“ ist. Diese Frage stellt sich für die Interessenabwägung übrigens ebenso wie für eine erteilte Einwilligung (wobei es hier nicht um Spezialfälle wie die Produkteinstellung eines Produktes, auf dessen Bewerbung sich die Interessenabwägung oder Einwilligung ursprünglich bezog, gehen soll).

Hinsichtlich dieses – durchaus nicht identischen – Parallelfalles ziehen die Aufsichtsbehörden in der „Orientierungshilfe“ der Datenschutzkonferenz zum Thema Direktwerbung vom November 2018 eine Entscheidung des Landgerichts München I aus dem Jahr 2010 in einem einstweiligen Verfügungsverfahren – also nach „summarischer Prüfung des Anspruchs“, d. h. mit reduziertem Prüfungsmaßstab – heran. Im zugrunde liegenden Fall hatte eine Privatperson eine Werbe-E-Mail erhalten und ein Wettbewerbsverein verlangte die Unterlassung solcher Zusendungen auf Basis des Wettbewerbsrechts. Der Absender der Werbe-E-Mail erklärte, die betroffene Person habe etwa 17 Monate vor der E-Mail-Zusendung an einem Gewinnspiel teilgenommen und sich dort einverstanden erklärt, Werbe-E-Mails zu erhalten. Der Betroffene bestritt dies, einen präsenten Zeugen des Absenders wollte das Gericht nicht anhören. Es urteilte vielmehr in wenigen Sätzen, dass es gar nicht darauf ankomme, ob die Einwilligung seinerzeit erteilt worden war, denn selbst wenn der Betroffene diese erteilt hätte, hätte sie „jedenfalls ihre Aktualität“ verloren. Das Gericht hat also eine Einwilligungserklärung im Sinne des Wettbewerbsrechts einem Verfallsdatum unterworfen. Weder ging es hier um Datenschutzrecht (um die DSGVO schon gar nicht) noch wurde die Frage beantwortet, wie ein solches Verfallsdatum zum Gesetzestext „hinzuerfunden“ werden kann – denn der Gesetzestext sieht ein solches Verfallsdatum nicht explizit vor. Dies hat übrigens der Bundesgerichtshof Anfang 2018 – mit Verweis auf ähnliche Urteile anderer Gerichte aus den Jahren 2008, 2011 und 2013 – klargestellt:

„Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die RL 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt“.

Im Falle des BGH sah die geprüfte wettbewerbsrechtliche Einwilligungsklausel eine Wirkung der Einwilligung bis zwei Jahre nach dem Ende eines „Telekommunikationsdienstleistungsvertrages“ vor. Wie also die deutschen Datenschutzbehörden den Mut aufbringen können, sich auf die genannte „Mindermeinungs-Entscheidung“ des Landgerichts München I aus dem Jahr 2010 zu beziehen, bleibt im Dunkeln.

Für den Fall der Interessenabwägung wird man demnach allenfalls – im Einklang mit einigen Kommentaren, aber ohne Äußerung der Datenschutzbehörden spezifisch dazu – konstatieren müssen, dass die Zeitdauer für den Interessenfortfall nach den Umständen des Einzelfalles zu beurteilen ist. Eine klare Zeit(ober)grenze für den „Ablauf“ der Interessenabwägung – wenn es diesen denn überhaupt geben sollte – wird man aus der DSGVO hingegen nicht herleiten können. Allerdings ging der sog. „Düsseldorfer Kreis“ der Datenschutzbehörden unter dem zuvor geltenden BDSG noch mit Blick auf Kundendaten von einer festen Frist aus, nämlich davon, dass diese im Grundsatz zwei Jahre nach dem letzten aktiven Geschäftskontakt zu einer betroffenen Person für die werblichen Zwecke der Reaktivierung und Rückgewinnung genutzt werden können. Nach Ablauf dieser Frist sei somit regelmäßig von einer fehlenden Erforderlichkeit der Datenspeicherung auszugehen.

Ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz vom September 2019 lässt den konkreten Maßstab nicht erkennen:

„Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren.“

Hier wird also der ungefähre Maßstab „jahrelang“ verwendet. Im Beschluss der Datenschutzkonferenz zum Thema Asset Deal vom Mai 2019 wird dies für die Übernahme von Bestandskunden auf drei Jahre festgeschrieben:

„Daten von Bestandskundinnen und -kunden, bei denen die letzte aktive Vertragsbeziehung mehr als 3 Jahre zurückliegt, unterliegen bei einer erwerbenden Stelle einer Einschränkung der Verarbeitung. Diese Daten dürfen zwar übermittelt, aber eben nur wegen gesetzlicher Aufbewahrungsfristen genutzt werden.“

Auch hier bleibt völlig unklar, woher diese Frist kommt, die zwar der zivilrechtlichen Regelverjährung entsprechen mag, was aber mit Datenschutzrecht und Interessenabwägung – noch dazu ohne jede Begründung – wenig zu tun hat.

Fristenmanagement oder Warten auf Widerspruch?

Den meisten Literaten und Richtern wird allerdings nicht klar sein, was das in der Praxis heraufbeschwört: Jedes Unternehmen müsste für jeden Kontakt eine „Eieruhr“ führen, die durch tatsächlichen Kontakt mit dem Betroffenen „neu aufgezogen“ wird. Ist die „Eieruhr“ einmal abgelaufen, kann die Interessenabwägung die weitere Verarbeitung dieser konkreten Kontaktadresse nicht mehr rechtfertigen; die Daten müssen dann gelöscht werden. Wie lange aber ist die Zeit, auf welche die „Eieruhr“, gegebenenfalls mehrmals, eingestellt wird? Dies ist ganz entscheidend für die Frage, wie lange die Speicherung (d. h. das Vorhalten) dieser Kontaktdaten noch rechtmäßig ist. Denn nach dieser Zeit endet der Lebenszyklus der entsprechenden Kontaktdaten aus datenschutzrechtlichen Gründen. Und dies ist – wie immer im Datenschutzrecht – eine Frage des Einzelfalls.

Man könnte nun allerdings auch einen Schritt weitergehen und die Interessenabwägung datenschutzrechtlich solange gültig sein lassen, bis die betroffene Person widerspricht (was sie jederzeit tun kann). Man würde also, um es im Sinne des Wettbewerbsrechts und der dortigen Regelungen über „unzumutbare Belästigungen“ auszudrücken, eine einzige „Belästigung“ der betroffenen Person in Kauf nehmen, aber den Zeitpunkt dieser „Belästigung“ dem Verantwortlichen überlassen. Nach der ersten Verwendung der Kontaktdaten – also der „Belästigung“ – kann die betroffene Person dann entscheiden, ob sie wieder (wann auch immer) belästigt werden will. Widerspricht sie, dürfen die Daten nicht mehr für Direktmarketing-Zwecke verwendet werden. Tut sie das nicht, darf sie noch einmal – gleich zu welchem Zeitpunkt – „belästigt“ werden. Warum soll das nach 12 oder 17 Monaten anders zu sehen sein als nach 8 oder 10 Jahren? Auch nach 17 Monaten wird die betroffene Person schon vergessen haben, dass sie ihre Daten für Direktmarketing-Zwecke zur Verfügung gestellt hat – so wohl auch im oben beschriebenen Fall des Landgerichts München I. Der Wortlaut der DSGVO schließt diese Lesart nicht aus.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden