Informationen über Besucher und Kunden sind Gold wert: Sei es die Mailadresse, sei es das Alter, das Geschlecht, die Hobbies… viele Daten lassen sich in bares Geld umwandeln, wenn es um Werbung geht. Jüngst hat ein Unternehmen Daten aus öffentlich einsehbaren Instagram-Accounts gesammelt, um diese Informationen an seine Kunden (z.B. Hotels) weiterzuverkaufen: So konnte anhand dieser Informationen der Gast zu seinem Geburtstag überrascht werden oder Werbekunden gezielt Personen ansprechen, die sich an einem bestimmten Ort aufhalten.
Abgesehen davon, dass viele Portale wie auch Instagram die automatisierte Datensammlung verbieten, bringt solch ein Vorgehen auch (datenschutz-)rechtliche Probleme mit sich.
Sonderfall: Daten aus öffentlichen Quellen
Schauen wir uns hier an, was man mit Daten aus öffentlich zugänglichen Quellen machen darf.
Zunächst: Nur weil der Betroffene seine Daten nicht direkt dem Datenverarbeiter gibt sondern sie bspw. auf seiner Webseite oder seinem Instagram-Account veröffentlicht, heißt es nicht, dass die DSGVO nicht gelten würde.
Tatsache ist, dass Unternehmen Werbung machen sollen dürfen – würde man ihnen verbieten, Daten zu Werbezwecken zu nutzen, wäre das auch nicht sachdienlich. Das sieht auch die DSGVO so, d.h. sie erlaubt die Datennutzung zu Werbezwecken, wenn ein berechtigtes Interesse besteht.
Auch wenn man aus dem Telefonbuch oder Instagram usw. Daten heraussucht, braucht man eine Rechtsgrundlage dafür. Die Einwilligung scheitert naturgemäß daran, dass man ja typischerweise den Nutzer nicht zunächst fragt. Es bleibt als sinnvolle Rechtsgrundlage das berechtigte Interesse (Art. 6 Abs. 1 Buchstabe f DSGVO).
Hier muss man sein Interesse an der Datenverarbeitung abwägen mit dem Interesse des Nutzers, dass seine Daten nicht verarbeitet werden, insbesondere nicht zu Werbezwecken.
Derzeit geht man aber davon aus, dass das Interesse des Betroffenen, der freiwillig seine Daten öffentlich kommuniziert, schon aufgrund dessen grundsätzlich geringer ist/wird.
Hat man nun also die Daten erhoben und eine Werbemail geschickt, dann darf man aber nicht vergessen, den Betroffenen zu informieren (siehe Art. 14 DSGVO): Denn nur weil der Betroffene seine Daten öffentlich zugänglich macht, bedeutet das ja nicht, dass er weiß, was der Datenverarbeiter mit seinen Daten anstellt. Daher muss er den Betroffenen darüber informieren, und zwar binnen eines Monats. Verschickt man bspw. einen Werbebrief, kann man im Brief die wesentlichen Fakten (Name des Verantwortlichen, Kontakt, Zweck, Rechtsgrundlage) nennen und im Übrigen bspw. auf die Datenschutzhinweise im Internet verweisen.
Achtung bei E-Mails:
Einen Haken gibt es bei elektronischer Post:
Denn nur, weil die DSGVO erlaubt, die Mailadresse zu speichert, darf man dem Betroffenen noch lange keine Mail schicken:
Ist der Betroffene ein Verbraucher, muss er sogar ausdrücklich der Mailnutzung zugestimmt haben. Hier bleibt also, wenn man seine Mailadresse im Internet findet, für Werbezwecke nur der postalische Weg.
Bei Unternehmern darf man eine Mail aber auch nur schicken, wenn man ein sog. mutmaßliches Interesse hat: Der Empfänger muss gerade heute ein Interesse daran haben, gerade diese Werbung ausgerechnet per Mail erhalten zu wollen… das wird man schwerlich beweisen können als Absender. Da es beim Auffinden der Mailadresse des Unternehmers im Internet typischerweise vorher keinen Kontakt gegeben hat, hilft auch die Ausnahmeregelung im B2B-Bereich des § 7 Absatz 3 UWG nicht weiter. Das heißt: Auch hier bleibt grundsätzlich nur der postalische Weg für die Werbung.