Datensammlung auf Verwendungszweck begrenzen

Schon bei der Erhebung der Daten ist deshalb ein kritischer Blick angebracht. Denn nach dem datenschutzrechtlichen Grundsatz der Erforderlichkeit, muss eine Firma den Umfang der Datensammlung auf dessen wirklichen Verwendungszweck begrenzen. Andere Angaben, die etwa in einem Formular abgefragt werden, sollten vermieden oder jedenfalls ausdrücklich als "freiwillig" bezeichnet werden. Auch das Einholen von Einwilligungen hilft nur begrenzt weiter. Wichtig ist in diesem Zusammenhang das datenschutzrechtliche Koppelungsverbot: danach verbietet der Gesetzgeber unter bestimmten Voraussetzungen den Vertragsschluss von einer Einwilligung des Kunden in eine Verwendung seiner Daten zu Werbezwecken abhängig zu machen, also etwa die Zustimmung zu dem regelmäßigen Erhalt eines Newsletters.

Geht es um den geschäftlichen Einsatz von Kundendaten, sollte vor allem in zwei Bereichen ganz genau hingeschaut werden: der Umfang einer zulässigen Datenverwendung zu Werbezwecken und das Einschalten von Dienstleistern, die Umgang mit den Daten erhalten (etwa Call-Center).

Oft wird übersehen, dass es entscheidend auf die Art der werblichen Ansprache ankommt, ob diese also postalisch, per E-Mail oder SMS, per Telefax oder per Telefon erfolgt. Die auch durch die Datenschutz-Novelle II neu gefasste Regelung in § 28 Abs. 3 BDSG, die ausdrücklich eine Werbenutzung von Daten unter bestimmten Voraussetzungen zulässt (und die auch das viel zitierte "Listenprivileg" enthält) regelt grundsätzlich nur die postalische Werbung. Für Werbemaßnahmen per E-Mail, SMS, Fax und Telefon muss eine ausdrückliche Einwilligung der Kunden eingeholt werden (lediglich für E-Mail-Werbung besteht eine enge Ausnahmevorschrift für Bestandskunden). Erschwerend kommt hinzu, dass an eine wirksame Erteilung einer solchen Einwilligung strenge Anforderungen gestellt werden. Nach der jüngsten Rechtsprechung des BGH (zuletzt im Fall "Happy Digits") ist es erforderlich, dass solche Einwilligungen separat durch eine gesonderte Angabe erteilt werden; eine Vermischung mit anderen Erklärungen - etwa in AGB - ist nicht zulässig.

Arbeitet ein Unternehmen mit einem externen Dienstleister, wie einem Callcenter zusammen, hat es in Bezug auf eine rechtskonforme Verwendung der Kundendaten ganz besondere Verpflichtungen, da die Callcenter in den meisten Fällen die Kundenkommunikation übernehmen. Aus diesem Umstand haben viele Callcenter in der Vergangenheit ihren eigenen Vorteil gezogen und Daten unberechtigt weiterverkauft. Daher unbedingt bei der Vertragsgestaltung die entsprechenden Grundlagen hierfür prüfen. Die geänderten gesetzlichen Anforderungen sehen vor, auch die vor dem 1. 9. 2009 begründeten aber noch laufenden Auftragsdatenverarbeitungsverträge an die neuen Vorgaben anzupassen - Ausnahmen oder Übergangsfristen gibt es nicht. Zum Einen ist der Katalog der Mindestinhalte von sogenannten Auftragsdatenverarbeitungsverträgen, auf insgesamt zehn Regelungsgegenstände ausgedehnt worden. Zum Anderen sind Auftraggeber jetzt verpflichtet, zu kontrollieren ob der Auftragnehmer auch die technischen und organisatorischen Schutzmaßnahmen vor Beginn der Datenverarbeitung einhält. Ferner muss er das regelmäßig kontrollieren und das Ergebnis dieser Prüfungen auch dokumentieren. Hinsichtlich der Kontrollpflicht ist noch unklar, welche Maßnahmen in welchen Intervallen zu ergreifen sind. Entscheidend dabei ist klar der Umfang der Datenverarbeitung und die Art der betroffenen Daten. Neben einer Vor-Ort-Kontrolle und einer Vorlage von Zertifikaten und Audits dürfte auch eine Bestätigung des betrieblichen Datenschutzbeauftragten des Auftragnehmers ein geeignetes Mittel sein. Wichtig ist nur, dass die Unternehmen überhaupt kontrollieren.

*Dr. Flemming Moos, Fachanwalt für Informationstechnologierecht, Datenschutz und E-Commerce Recht bei der Wirtschaftskanzlei DLA Piper.