Wann ist eine Zustimmungserklärung eines Kunden für die Speicherung und Nutzung seiner Daten notwendig - und braucht man dafür eine DVR? Ändert die DSGVO daran etwas?
Da hat man nun eine ganze Liste mit Daten potenzieller Kunden von der letzten Messe mit gebracht und steht nun vor der Frage: darf ich diese Daten zur Zusendung elektronischer Werbung (zB. E-Mail-Newsletter) nutzen. Und: darf ich sie überhaupt speichern und verarbeiten?
Nur personenbezogene Daten sind schutzwürdig
Unter "personenbezogenen Daten" versteht das österreichische Datenschutzgesetz (DSG) alle Angaben, welche die Identität einer Person bestimmbar machen - also etwa Namen, Geburtsdatum, Konto- oder Sozialversicherungsnummer usw. Ob auch die IP-Adresse des im Internet genutzten Computers dazu gehört, ist nicht unumstritten - sicherheitshalber sollte man aber davon ausgehen.
Definition im Datenschutzgesetz
Kundendaten zu speichern ist laut DSG nur erlaubt, wenn "Zweck und Inhalt der Datenspeicherung rechtlich gedeckt sind und die schutzwürdigen geheimhaltungsinteressen der Betroffenen nicht verletzt werden."
Die Daten dürfen generell nur für bestimmte, eindeutige und rechtmäßige Zwecke ermittelt und auch nur auf rechtmäßige Weise verwendet werden.
Ausnahmen von der Zustimmungspflicht
Es gibt jedoch Ausnahmen, unter denen die schutzwürdigen Interessen der Betroffenen der Daten-Nutzung nicht entgegen stehen - etwa
- gesetzliche Verpflichtungen (zB. Sozialversicherung),
- Unfälle (Rettung...),
- bereits veröffentlichte Daten (etwa Firmenbuch oder Grundbuch),
- anonyme Daten, die keinen Rückschluss auf die Person zulassen oder
- wenn die Interessen des Datenverwenders oder eines Dritten dies erfordern - zB. im Zuge der Durchführung eines Auftrags oder Erfüllung eines Vertrags.
Die Zustimmung des Kunden ist also praktisch immer notwendig
In den meisten Fällen wird uns im Geschäftsalltag keine dieser Ausnahmen betreffen - bis auf die letzte. Doch auch hier steckt der Teufel im Detail, denn die Speicherung und Verwendung der Kundendaten ohne dessen explizite Zustimmung ist nur so lange gesetzlich gedeckt, als es zur Erfüllung des konkreten Auftrags unbedingt nötig ist (dazu zählen auch Gewährleistungs- und gesetzliche Aufbewahrungspflichten). Ist der Auftrag erfüllt und möchte man den Kunden später über seine Leistungen informieren, handelt es sich um Werbung. Und die ist zur Erfüllung des Auftrags nicht notwendig - also eine Datenverwendung dafür nicht legal.
Wir können somit davon ausgehen, dass eine explizite Zustimmung des Kunden zur Verarbeitung und Verwendung seiner Daten so gut wie immer notwendig ist.
Wie muss die Zustimmung eingeholt werden?
Dafür gibt es eine ganze Reihe formeller Kriterien. Die Zustimmungserklärung muss:
- vom Kunden selbst und ohne irgend einen Zwang abgegeben worden sein. Bereits aktivierte "Ich-stimme-zu, dass..."-Checkboxen machen die Zustimmung also von vornherein ungültig und die Datenverwendung - sogar bereits die Sammlung - illegal.
- beweisbar sein - Schriftlichkeit ist zwar nicht vorgeschrieben, aber empfehlenswert. Im Falle einer Online-Zustimmung empfiehlt sich das zusätzliche Speichern von IP-Adresse und Datum sowie Uhrzeit der Zustimmung.
- eine aktive Willenserklärung des Kunden sein. Schweigen ist keine Zustimmung! Und die Floskel "Wenn Sie diese Zusendung nicht mehr erhalten wollen, können Sie sich abmelden" ungültig, wenn nicht zuvor eine ausdrückliche und nachweisbare Zustimmung vorliegt.
- in Kenntnis der Sachlage und für einen bestimmten Zweck abgegeben worden sein. Das heißt, der Betroffenen muss genau darfüber informiert werden, welche Daten ich für welchen Zweck verwenden (und ggf. nicht verwenden) werde. Auch ein Hiweis darauf, dass die Daten nicht an Dritte weiter gegeben werden, schadet nicht - man muss sich allerdings auch daran halten!
- jederzeit widerrufbar sein.
- auf einem anderen Weg eingeholt werden als mit dem Medium, das ich schließlich zur werblichen Kommunikation nutze. Ich darf also nicht einem potenziellen Kunden per E-Mail die Frage stellen, ob ich ihm ab jetzt einen E-Mail-Newsletter zusenden darf. Bereits das wäre illegal.
Eine mögliche Formulierung für eine solche Zustimmungserklärung könnte etwa lauten:
"Ich stimme zu, dass meine Daten (möglichst angeben, welche genau!) zum Zwecke von ... (genau angeben!) durch die Firma .... gespeichert und verwendet werden. Ich kann diese Zustimmung jederzeit widerrufen. Eine Weitergabe an Dritte erfolgt nicht, ausgenommen gesetzliche Verpflichtung."
Braucht man eine DVR-Nummer?
Sobald "persoenenbezogene Daten" gesammelt werden, ist dies bis 24.05.2018 "meldepflichtig" und daher in der Regel eine DatenVerarbeitungsRegister(DVR)-Nummer notwendig. Diese ist kostenlos.
Mit 25.05.2018 tritt europaweit die Datenschutz-Grundverordnung in Kraft. Ab diesem Daten gibt es keine DVR-Nummern mehr, die Regelungen werden durch die viel umfangreichen Regelungen der DSGVO ersetzt.
Europäische Datenschutz-Grundverordnung (DSGVO) kommt!
Online-Ratgeber zur Datenschutz-Grundverordnung (DSGVO)