Bitte beachten Sie: Trotz gründlicher Überprüfung unserer Quellen und obwohl wir uns unserer Auslegung sicher sind, stellt der folgende Text keine rechtliche Beratung dar.
Immer häufiger werden uns zwei Fragen gestellt: „Darf ich überhaupt noch Textnachrichten an meine Kunden versenden, wenn die EU-DSGVO in Kraft tritt?“ und „Brauche ich eine ausdrückliche Einwilligung des Kunden für den Versand von Textnachrichten?“
Die kurze Antwort lautet: ja und nein. Sie dürfen Textnachrichten weiterhin an Ihre Kunden schicken und müssen diese nicht zwingend erneut nach deren Einwilligung fragen. Viel wichtiger ist es allerdings, dass Sie sich über die Grundlagen der EU-DSGVO informieren, um sicherzustellen, dass Sie die Voraussetzungen der Verordnung erfüllen.
Die Grundlagen der EU-DSGVO
Die Datenschutz-Grundverordnung, kurz EU-DSGVO, tritt am 25. Mai 2018 in Kraft und ersetzt die vorherigen Datenschutzregelungen in allen EU-Mitgliedstaaten, auch in Großbritannien.
Eine besondere Anforderung der EU-DSGVO lautet: “um personenbezogene Daten verarbeiten zu dürfen, benötigen Sie eine Rechtsgrundlage.” Aber was wird unter der „Verarbeitung personenbezogener Daten“ verstanden?
Die Datenverarbeitung wird laut EU-DSGVO wie folgt definiert: „Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (Quelle: Art. 4, EU-DSGVO)
In diesem Zusammenhang ist es schwierig, sich einen Umgang mit Daten vorzustellen, der keine Datenverarbeitung darstellt . Sowohl Ihre Kundendatenbank als auch der Versand von Textnachrichten oder E-Mails, an Einzelpersonen aus Ihrer Datenbank, gilt als “Datenverarbeitung”.
Was ist eine Rechtsgrundlage?
Im Prinzip bedeutet die Rechtsgrundlage, dass Sie die Befugnis zur Datenverarbeitung besitzen. Es gibt sechs verfügbare Rechtsgrundlagen für die Datenverarbeitung, von denen keine besser oder wichtiger ist als die anderen.
Die Rechtsgrundlage, die am häufigsten verwendet wird, ist die Einwilligung. Jedoch handelt es sich hierbei auch um die Rechtsgrundlage, die besonders bei Bestandskunden die meisten Bedenken aufwirft und deshalb nicht immer die geeignetste ist.
Benötigen Sie für die Kundenkommunikation eine Einwilligung nach der EU-DSGVO?
Nicht unbedingt. Die beiden gesetzlichen Grundlagen zur Kommunikation, die unserer Meinung nach die Datenverarbeitungsaktivitäten der meisten privaten Unternehmen betreffen, sind Einwilligung und berechtigte Interessen.
“Berechtigte Interessen” ist die flexibelste Rechtsgrundlage für die Datenverarbeitung. Sie können sich auf diese Grundlage berufen, sofern „die betroffenen Personen die Verarbeitung von ihren personenbezogenen Daten zu einem vernünftigen Ausmaß erwarten und wenn die Datenverarbeitung einen minimalen Einfluss auf die Privatsphäre verübt, oder wenn eine zwingende Begründung für Verarbeitung besteht.“ (Quelle: ICO).
Bei jeder Datenverarbeitung, z.B. dem Newsletter-Versand an Bestandskunden per E-Mail, sollten folgende drei Punkte berücksichtigt werden.
Haben Sie ein berechtigtes Interesse, um diese Nachricht zu schicken? Dies bezieht sich z.B. auf Ihren eigenen Cross-Sell-Bedarf von anderen Produkten/Dienstleistungen oder auf das Werben für eine intensivere Nutzung von einem schon verkauften Produkt.
Müssen Sie diese Nachricht schicken, um die berechtigten Interessen zu verfolgen? Wenn Sie die gleichen Resultate auch mithilfe anderer, weniger offensichtlicher Maßnahmen erreichen können, (z.B. durch unaufgeforderte Besuchen auf Ihrer Webseite), haben berechtigte Interessen keine Anwendung.
Haben Sie das Senden der Nachricht gegen die Interessen, Rechte und Freiheiten der Einzelperson abgewogen? Dies knüpft an die vorherige Feststellung über vernünftige Erwartungen ihrer Kunden an.
Diese drei Schritte bilden einen wichtigen Teil der Datenschutzfolgenabschätzung, die bisher als Checkliste der Vorabkontrolle zur Beurteilung der rechtmäßigen Datenverarbeitung verwendet wurde. Sie können sich ein Muster einer Datenschutzfolgenabschätzung-Checkliste auf Datenschutz.org anschauen.
Was müssen Sie über die e-Privacy Verordnung wissen?
Genauso wie die EU-DSGVO das BDSG ersetzen wird, hätte gleichzeitig eine neue e-Privacy Verordnung die bisherige Datenschutzrichtlinie für elektronische Kommunikation ersetzen sollen.
Jedoch findet das Inkrafttreten der e-Privacy Verordnung erst 2019 statt und somit sind Sie zurzeit an die Anforderungen der Datenschutzrichtlinie für elektronische Kommunikation gebunden.
Die geltenden Anforderungen finden Sie bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Hierbei ist für Sie relevant, dass Sie weiterhin einen Soft-Opt-In verwenden dürfen, um E-Mails oder Textnachrichten an Ihre Kunden zu schicken..
Wir sprechen von einem Soft-Opt-In, wenn Sie personenbezogene Daten während des Verkaufsprozesses erworben haben, oder, wenn Sie Ihre eigenen Produkte/Dienstleistungen vermarkten und eine Opt-Out-Möglichkeit in jeder Form der Marketingkommunikation anbieten.
Zusammenfassung
Sofern Sie nicht im öffentlichen Sektor tätig sind (hier gelten andere Rechtsgrundlagen), können Sie die bisherige Kommunikation mit Bestandskunden höchstwahrscheinlich ohne Unterbrechungen fortführen. Natürlich nur unter der Bedingung, dass Sie sich auf berechtigte Interessen berufen. Diese müssen außerdem ordnungsgemäß in Form eines Verzeichnisses über Verarbeitungstätigkeiten aufgenommen und als Ihre Rechtsgrundlage zur Datenverarbeitung dokumentiert werden.
In künftigen Blogeinträgen werden wir uns weiter mit dem Thema der EU-DSGVO beschäftigen.