Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit teilte in ihrem 27. Tätigkeitsbericht (Redaktionsschluss: 31.12.2018, vorgelegt im Febr. 2019) mit, dass er gegenüber den ersten Unternehmen Verwarnungen, gemäß Art. 58 Abs. 2 lit. b DSGVO, ausgesprochen hat (S. 113-115). Grund für die Verwarnung sind werbliche Ansprachen gegenüber Verbrauchern.
Der Hamburgische BfDI kündigt konsequenterweise auch Bußgeldverfahren an, soweit es zu einer wiederholten Verletzung kommt.
Was müssen Sie über werbliche Ansprachen wissen?
Zunächst müssen Sie unterscheiden zwischen postalischen und elektronischen werblichen Ansprachen. Postalische Werbung an eigene Kunden ist zulässig, solange diese nicht von ihrem Widerspruchsrecht Gebrauch machen.
Elektronische Werbung (z.B. E-Mail) steht nach Auffassung des Hamburgischen BfDI unter einen Einwilligungsvorbehalt. Der Verbraucher muss der elektronischen Werbung zuvor explizit zustimmen. Hier empfehlt der Hamburgische BfDI das Double-Opt-In-Verfahren. (Achtung: Das Double-Opt-In Verfahren ist nirgends gesetzlich vorgeschrieben, sondern eine eindringliche Empfehlung der Datenschützer, da nur so eine selbstautonome und nachweisbare Einwilligung gewährleistet werden kann).
Der Hamburgische BfDI gibt weiterhin vor, dass die Dokumentation über die Einwilligung das gesamte Registrierungsverfahren inklusive Inhalt der Einwilligung umschließen müsse. Ein bloßer Nachweis der Einwilligung über „Timestamps“ reiche nicht aus.
Sollte es zu einem Widerspruch des Verbrauchers gegen die weitere Verarbeitung seiner/ihrer personenbezogenen Daten kommen, wobei es nicht darauf ankomme, ob es sich um eine postalische oder elektronische Werbung handele, so müsse das Unternehmen eine „Blacklist“ führen.
Blacklist über Newsletter-Widersrpüche? Wie passt das mit dem Löschen personenbezogener Daten zusammen?
Auch hierauf hat der Hamburgische BfDI eine Antwort. Natürlich kann es zu einem Konflikt zwischem dem Anspruch des/der Betroffenen auf Löschung der personenbezogenen Daten und der Aufbewahrung der Email-Adresse und/oder des Namens des Betroffenen in einer „Blacklist“ (Sperrdatei) kommen. Der Hamburgische BfDI spricht hier sogar von einer Aufbewahrungspflicht des Unternehmens, da das Unternehmen dem gesetzlichen Verarbeitungsverbot entsprechen müsse.
Zu Recht, finden wir. Zumindest aber kann davon ausgegangen werden, dass das Unternehmen ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO hat, welches das Interesse des Betroffenen an einer vollständigen Löschung überwiegt. Schließlich ist dieBlacklist ein Aussfluss des Wunsches des Kunden, ihm keine Werbung mehr zu übersenden.
Das Unternehmen sollte sich allerdings an einige Maßnahmen im Zusammenhang mit einer Blacklist halten:
– Aufklärung der Betroffenen in Hinblick auf die Führung einer Blacklist. Aufklärung über den Umfang der Speicherung der Daten (welche Daten, wie und wie lange).
– Explizite Mitteilung, dass die Daten nur für die Blacklist verwendet werden
– Die Blacklist sollte nur eingeschränkt zugänglich sein (nur für bestimmte Mitarbeiter, passwortgesichert, etc).
Möchte man einem Bußgeldverfahren entgehen, so empfiehlt es sich, die Vorgaben des Hamburgischen BfDI umzusetzen. Unseres Erachtens ist die Vorgabe richtig und auch angemessen.
