Aktuelles

Urteile, Vorfälle, Kommentierungen...
147/17 Newsletter: Vorsicht beim Sammeln von Daten

147/17 Newsletter: Vorsicht beim Sammeln von Daten

by 13. Juni 2017

Man sieht es immer wieder: Tagungsveranstalter, Verlage und andere Anbieter machen Werbung für ein Dokument (z.B. eine Checkliste), die man herunterladen könne – allerdings muss man dazu seine persönlichen Daten eingeben. Genauso oft wird damit automatisch die Zustimmung verbunden, Werbemails zu erhalten: Wer nicht zustimmt, bekommt auch den Download nicht.

Das aber ist nicht zulässig!

Kopplungsverbot

So besagt das Bundesdatenschutzgesetz in § 28 Abs. 3b:

„Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.“

Das bedeutet: Wenn man die Zustimmung für den Erhalt des Newsletters damit koppelt, dass nur so der angebotene Download möglich ist, ist das ein Verstoß gegen § 28 Abs. 3b BDSG – solange man an den Download nicht auch anderweitig herankommt (was ja oft gerade nicht der Fall ist).

Künftig wird der Gesetzgeber noch deutlicher: Ab Mai 2018 greift nämlich die neue Datenschutz-Grundverordnung; in der heißt es in Art. 7 Abs. 4:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, wenn die Erbringung einer Dienstleistung (= Download) von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung (Download) nicht erforderlich ist.

Richtig und zulässig wäre, wenn der Download-Anbieter sich die separate Zustimmung für den Newsletter beschafft, bspw. durch ein weiteres Kästchen zum anhaken.

Datensparsamkeit

Oft fällt auch auf, dass man in den Eingabeformularen Daten angeben muss, die für den Download aber gar nicht notwendig sind, z.B. der Firmenname oder die Telefonnummer. Auch das ist dann aber rechtswidrig:

„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert“ (§ 3a BDSG).

Auch die DSGVO fordert ab Mai 2018 in ihrem Art. 5:

„Personenbezogene Daten müssen dem Zweck angemessen und erbeblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (…) und in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (…).“

Das kann teuer werden!

Spätestens ab Mai 2018 kann es verflixt teuer werden, da die Bußgelder in der DSGVO dramatisch angehoben wurden: Es soll künftig weh tun, Datenschutzbestimmungen zu verletzen. Während aktuell im BDSG noch das Bußgeld auf 300.000 Euro gedeckelt ist, gilt in der DSGVO ab Mai 2018 eine Obergrenze von 20 Millionen Euro oder 4 % des Jahresumsatzes (je nachdem, was höher ist)…

Anforderungen gelten auch rückwirkend!

Die besondere Gefahr:

Die neue DSGVO gilt ab dem 25. Mai 2018 – und zwar schlagartig ab Mitternacht = es gibt keine Übergangsfrist (die läuft sogesehen jetzt schon).

Und ab diesem Tag müssen sich auch schon früher beschaffte Einwilligungen an dem Maßstab der DSGVO messen lassen.

Das bedeutet:

Wer heute schlampert bei der Einwilligung, schiebt ein unkalkuierbares Risiko vor sich her, irgendwann nachweisen zu müssen, dass seine Einwilligungen rechtmäßig sind und waren.

 

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Schlüssel im Schloss: © lucapd - Fotolia.com