Datenschutz – Kundendaten für Werbezwecke

Personenbezogene Daten: Der Datenschutz erfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (z.B. Kunde) beziehen, Art. 4 Nr. 1 der EU-Datenschutz-Grundverordnung (= DS-GVO). Beispiele sind: Name, Anschrift, Telefon, Fax, Email-Adresse, Geburtsdatum, Kontodaten, KFZ-Kennzeichen, Standortdaten, IP-Adressen, Cookies. Adressdaten einer Einzelfirma oder einer sog. „Ein-Mann-GmbH“ stellen ebenfalls personenbezogene Daten dar (Inhaber, Geschäftsführer), die dem Datenschutzgesetz unterliegen. 

Besondere personenbezogene Daten: Besondere Kategorien personenbezogener Daten sind im Sinne Art. 9 DS-GVO Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifikation, Gesundheit, Sexualleben oder sexuelle Orientierung. Der Umgang mit diesen Daten unterliegt besonderen Einschränkungen. 

Von der DS-GVO erfasst wird die „Verarbeitung“ personenbezogener Daten. Der Begriff der „Verarbeitung“ wird in Art. 4 Nr. 2 DS-GVO definiert. Danach handelt es sich um „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder solche Vorgangsreihen in Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Die wesentlichen Grundsätze für die Verarbeitung personenbezogener Daten sind in Art. 5 DSGVO geregelt und folgende: 

• Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) 
• Verarbeitung nach Treu und Glauben (Verhältnismäßigkeitsgrundsatz)
• Transparenz (s. a. Informationspflichtennach Art. 13 ff. DSGVO) 
• Datenminimierung (vgl. bisherige Datensparsamkeit nach § 3a BDSG)

Demnach hat sich nach der neuen (seit 25.05.2018 geltenden) Rechtslage insbesondere nichts an dem Grundsatz des „Verbots mit Erlaubnisvorbehalt“ geändert. Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, außer es liegt einer der nachfolgenden Sachverhalte vor (Art. 6 DS-GVO): 

• Einwilligung des Betroffenen((GENDERNOTICE)) in die Datenverarbeitung z. B. für Werbung, Marketing, Marktforschung, Newsletter; 
• Erforderlichkeit der Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person; 
• Vorliegen einer zur Datenspeicherung verpflichtende Rechtsnorm z. B. elektronische Lohnsteuerkarte, gesetzliche Aufzeichnungspflichten 
• Erforderlichkeit der Daten nach Abwägung der Interessen des Händlers((GENDERNOTICE)) und der betroffenen Person (z.B. § 7 III Nr. 2 UWG Direktwerbung per E-Mail für ähnliche Waren)

Die gesetzlich notwendigen Informationen über den Umgang mit personenbezogenen Daten sind im Onlinehandel/Versandhandel unter einem als „Datenschutzerklärung“ bezeichneten Abschnitt zusammenzufassen. Eine solche Datenschutzerklärung ist aber auch im stationären Einzelhandel notwendig, sofern personenbezogene Daten (z. B. über ein Warenwirtschaftssystem) gespeichert werden. Durch die DS-GVO sind die Anforderungen an die Information und Belehrung der betroffenen Person gestiegen. Diese muss künftig präzise, transparent, verständlich, leicht zugänglich sowie in klarer und einfacher Sprache gehalten sein. 

Diese Datenschutzerklärung enthält mehrere, sachlich zu trennende, Regelungsbereiche.

Weit verbreitet ist eine textliche Einleitung der Datenschutzerklärung, die als vertrauensbildende Maßnahme zu werten ist, z.B.:

„Unser Unternehmen nimmt den Schutz von Kundendaten sehr ernst. Der Schutz Ihrer Privatsphäre ist uns ein wichtiges Anliegen, das wir bei allen Geschäftsprozessen mit hoher Aufmerksamkeit verfolgen. Wir beachten alle Maßgaben des Bundesdatenschutzgesetzes und verwenden Ihre Daten für Werbezwecke nur, soweit dies gesetzlich zulässig ist oder Sie ausdrücklich eingewilligt haben (…).“

a) Den Namen und die Kontaktdaten des Verantwortlichen sowie ggfs. seines Vertreters,

Bei einem Werbeprospekt, einem Katalog oder auf einer Website ist „Verantwortlicher“ regelmäßig der Herausgeber der Werbung, der gleichzeitig Unternehmer / Inhaber / juristische Person der werbenden Firma ist.

b) ggfs. die Kontaktdaten des Datenschutzbeauftragten,

c) Angabe der Zwecke, für die die Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,

Der Betroffene((GENDERNOTICE)) muss darüber informiert werden, wozu die personenbezogenen Daten benötigt und wie sie verwendet werden. Dabei sind sämtliche vorgesehenen Zwecke anzugeben. 

aa) Zweckbestimmung der Daten, die ohne Einwilligung erhoben, verarbeitet und genutzt werden können, z. B.: 

• zur Zusendung der Gewinnmitteilung … 
• zur Übersendung des Probeabonnements … 
• zur Abwicklung des Kaufvertrages 

bb) Mit Einwilligung des Betroffenen für Werbung erhobene Daten (z. B.)

• für Werbezwecke und Marketingaktionen aus unserem Haus …
• für Angebote, Produktneuheiten, Sonderaktionen (Werbung) …
• für aktuelle Informationen über unserer Produktpalette … 
• zu Zwecken der internen Marktforschung … 

d) Angabe der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung der Daten hierauf beruht,

e) ggfs. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, 

Die Aufzählung der Kategorie von Datenempfängern wird häufig gleich mit dem konkreten Verwendungszweck (s.o. b) verbunden, z.B.: 

• Im Rahmen des gesetzlich Zulässigen übermitteln wir die Daten unseren konzernverbundenen Unternehmen (XY…) zu … Zwecken 
• Für Werbung durch unsere Franchise-Partner… (Partner am Besten genau benennen) 
• Zur Abwicklung Ihrer Bestellung werden Ihre Daten von unseren Logistik-Dienstleistern verarbeitet … (Dienstleister am Besten namentlich nennen) 
• Für die Vertragsabwicklung bedienen wir uns externer Dienstleister, die Ihre personenbezogenen Daten nur für die konkreten Zwecke verwenden und hierauf verpflichtet wurden … 
• zur Berechnung Ihrer Bonuspunkte werden Ihre hierfür relevanten Daten an den Systembetreiber zur Verarbeitung und Verwaltung übermittelt …
• zur Zahlungsabwicklung und für das Inkasso bedienen wir uns externer Dienstleister …
  

Im Übrigen erfolgt keine Datenweitergabe an Dritte. 

f) ggfs. die Absicht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, 

g) Informationen über die Dauer der Speicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, 

h) Belehrung über die Rechte auf Auskunft, Berichtigung oder Löschung oder Einschränkung der Verarbeitung, über das Widerspruchsrecht gegen die Verarbeitung sowie über das Recht auf Datenübertragbarkeit.

Die Belehrung über das Widerspruchsrecht könnte wie folgt lauten: 

„Wir verwenden die im Rahmen der Begründung dieses Rechtsgeschäfts oder rechtsgeschäftsähnlichen Schuldverhältnisses erlangten Daten neben der Vertragsabwicklung auch für die eigene Werbung per Post. Sie können der Verarbeitung oder Nutzung Ihrer Daten für Werbezwecke jederzeit telefonisch ___________ (Telefonnummer) oder schriftlich ________________ (Anschrift) oder per E-Mail ___________ (E-Mail-Adresse) widersprechen.“ 

Die Information des Betroffenen über das Widerspruchsrecht gegen die Datenverwendung zu Werbezwecken ist auch bei einem Vertragsabschluss oder einer Vertragsabwicklung erforderlich, wenn sich der Unternehmer anschließend auf das Bestandskundenprivileg berufen will (vgl. unten 5.). 

i) Belehrung über das Recht zum Widerruf einer Einwilligung, 

j) Über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, 

k) Information über die Pflicht der betroffenen Person zur Bereitstellung seiner personenbezogenen Daten, sofern diese gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist, 

l) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, 

m) eine ggfs. beabsichtigte Weiterverarbeitung der Daten für einen anderen Zweck als den, für den sie erhoben wurden.

Ggf. kommen noch Erläuterungen für die Bedingungen der Inanspruchnahme einer Kundenkarte oder für die Teilnahme an einem Gewinnspiel hinzu. Dieser Abschnitt kann als „AGB“ oder als „Teilnahmebedingungen“ überschrieben werden. Diese Teilnahmebedingungen gehören sachlich nicht zur Datenschutzbelehrung. Da sie aber Informationen darüber enthalten, welche Daten zu welchen Zwecken im Zusammenhang mit einem Bonusprogramm oder Gewinnspiel erhoben, verarbeitet und genutzt werden, werden sie häufig im Zusammenhang mit den Angaben zum Datenschutz abgedruckt.

Cookies, Sozial Plugins, Conversion Trekking, Google Analytics u.a.: 

Zur Optimierung des Internetauftritts, der Kundenansprache und des Sortiments werden zahlreiche Analysetools angeboten, mit denen Nutzungsprofile erstellt und Kundenverhalten ausgewertet werden können. Nutzerprofile dürfen nur unter einem Pseudonym erstellt werden. Die vollständige IP-Adresse darf ohne bewusste und vorherige eindeutige Einwilligung des Kunden nicht verarbeitet werden. Da hierzu jedoch eine einheitliche Rechtsprechung bislang nicht existiert, sollte von der vollständigen Speicherung der IP-Adresse abgesehen werden. Website-Besucher müssen der Erstellung von Nutzungsprofilen widersprechen können. Hierüber muss informiert werden. Die Website muss so gestaltet sein, dass der Nutzer unkompliziert der Erstellung von Nutzungsprofilen oder der Datenspeicherung und -Weitergabe widersprechen kann.

Die Datenschutzbehörden weisen darauf hin, dass Tracking-Tools nur nach vorheriger Einwilligung der Nutzer eingesetzt werden dürfen. Einfache Informationen über sogenannte CookieBanner oder voraktivierte Kästchen bei Einwilligungserklärungen reichen nicht aus. Es muss vollständig bekannt sein, welche Daten an wen übermittelt werden. Jeder Unternehmer ist verantwortlich für die Entscheidung, welche Informationen er über Analysetools sammelt, weil er sie selbst benötigt und für bestimmte Zwecke nutzen kann und will. Der Einsatz von Analysetools, ohne über deren Funktion und die damit verbundenen Datensammelmöglichkeiten Dritter Bescheid zu wissen, ist fahrlässig. 

Für die notwendigen Informationen der Kunden über verwendete Analysetools empfiehlt es sich, die vom Anbieter zur Verfügung gestellten Texte (ganz oder teilweise) zu übernehmen oder zu verlinken. 

[Hinweis zu Google Produkten: Gegenüber allen Google-Produkten bestehen Vorbehalte bezüglich der Einhaltung der europäischen datenschutzrechtlichen Bestimmungen. Dies vor allem auch aus Gründen der derzeitigen Rechtslage in den USA. Hintergrund der umfassenden Weitergabe von personenbezogenen Daten von nicht US-Bürgern bzw. sich nicht in den USA aufhaltenden Personen beruhen vor allem auf dem Foreign Intelligence Surveillance Amendments Act – FAA, dem Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act - USA PATRIOT Act und dem Foreign Intelligence Surveillance Act – FISA.

Diese geben den US-Behörden eine Grundlage für umfassende Datenverarbeitung personenbezogener Daten, ggf. auch ohne besonderen Anlass. 

Aufgrund dessen wurden die USA durch den Europäischen Gerichtshof als ein Land mit unzureichendem Datenschutzniveau eingestuft. Die Aufsichtsbehörden mehrerer europäischer Länder (Italien, Frankreich, Niederlande, Österreich) haben bereits vor dem Einsatz von Google Analytics gewarnt, bzw. diesen als unzulässig eingestuft. Es ist mehr als wahrscheinlich, dass auch die deutschen Aufsichtsbehörden den Einsatz von Google Analytics als unzulässig einstufen bzw. vor dessen Nutzung warnen. 

Aus diesen Gründen sollten Überlegungen vorgenommen werden, ob das Risiko der Nutzung von Google Analytics die Vorteile der Nutzung überwiegt oder ob nicht eher ein Analysetool zur Anwendung kommen sollte, dass seinen Sitz und seine Server ausschließlich in Deutschland oder der EU hat.]

Eine Einwilligung ist die vorherige Einverständniserklärung der betroffenen Person. Ein nachträgliches Einverständnis genügt nicht und ändert auch nichts an der Rechtswidrigkeit der bis dahin erfolgten Datenverarbeitungen. 

Anforderungen an eine wirksame Einwilligungserklärung sind gemäß Art. 7 DS-GVO:

Die Einwilligung muss auf der freien Entscheidung der betroffenen Person beruhen. Das bedeutet: Die Vertragserfüllung seitens des Händlers darf nicht davon abhängig gemacht werden, dass die betroffene Person die Einwilligung erteilt, wenn die Einwilligung nicht für die Vertragserfüllung erforderlich ist. 

Die freie Entscheidung des Betroffenen wird auch dadurch beeinflusst, dass eine vorformulierte Erklärung zu entfernen bzw. der Haken in einem vorangekreuzten Kästchen auszustreichen ist. Deshalb sollte die Einwilligung durch ein Opt-In-Kästchen eingeholt werden. Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

Der Betroffene ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Nur wenn er die vorgesehenen Verarbeitungen kennt, kann er sich frei entscheiden. Eine pauschale Erklärung der betroffenen Person, sie sei mit jeder weiteren Form der Verarbeitung ihrer Daten einverstanden, reicht nicht aus. Das bedeutet, dass eine Einwilligung fallbezogen einzuholen ist. Die Verarbeitungszwecke sind dabei aufzuführen. Generaleinwilligungen sind also auch weiterhin nicht erlaubt. 

Soll in die Verarbeitung besonderer Kategorien von Daten im Sinne von Art. 9 DS-GVO eingewilligt werden (z. B. Gesundheitsdaten, Daten über das Sexualleben, etc.) muss sich die Einwilligungserklärung ausdrücklich auf diese Daten beziehen (Art. 9 Abs. 2 lit. b) DS-GVO).

Der betroffene Kunde ist über sein Widerrufsrecht mit Wirkung für die Zukunft zu informieren. Ab dem Zeitpunkt des Widerrufs wird damit jede zukünftige Verarbeitung durch den Händler rechtswidrig, soweit kein sonstiger Erlaubnistatbestand die Verarbeitung rechtfertigt. Auf der Grundlage der konkreten Einwilligung gespeicherte Daten müssen dann gelöscht werden, insbesondere wenn die betroffene Person dies fordert. 

Die neue Vorgabe ist: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Nach § 4a Abs. 1 Satz 2 BDSG-alt war für eine wirksame Einwilligung bislang die Schriftform nach § 126 BGB erforderlich, soweit nicht wegen besonderer Umstände ausnahmsweise eine andere Form angemessen war. 

Die DS-GVO enthält demgegenüber kein explizites Schriftformerfordernis mehr, sodass die Einwilligung nicht an besondere Formerfordernisse gebunden ist. Mündliche, schriftliche und elektronische Einwilligungen sind nach der Datenschutzgrundverordnung unabhängig vom Verwendungszusammenhang grundsätzlich erlaubt. 

Allerdings muss bei Einwilligungen auch immer auf deren Dokumentation geachtet werden. Mündliche Einwilligungen können insoweit eher zum Problem werden. Vorzuziehen sind demgegenüber sicherlich schriftliche oder elektronische Einwilligungen, die ohnehin besser im System vermerkt und gespeichert werden können. 

Die Rechenschaftspflicht in Art. 5 Abs. 2 DS-GVO ist in dieser Art neu. Der Verantwortliche trägt die Beweislast dafür, dass er die gesetzlichen Vorgaben der Verordnung einhält. Das gilt insbesondere auch für das Vorliegen einer Einwilligung (Art. 7 Abs. 1 DS-GVO). Alle Geschäftsprozesse und sogenannten technischen und organisatorischen Maßnahmen müssen daher dokumentiert werden. Verstöße sind gemäß Art. 83 bußgeldbewährt. 

Im elektronischen Geschäftsverkehr wird als Ersatz für die fehlende eigenhändige Unterschrift des Kunden ein Double-Opt-in-Verfahren verlangt. Das war bislang ein reines Beweisproblem etwa bei Abmahnungen wegen Spam-Mails, ist nun aber als gesetzliche Vorgabe direkt in Art. 7 Abs. 1 DS-GVO geregelt. Die online erklärte Einwilligung des Betroffenen wird hierbei erst wirksam, wenn er sie dem Unternehmer gegenüber ein zweites Mal bestätigt.

Besonders hinzuweisen ist darauf, dass nicht allein die Speicherung der Einwilligungserklärung genügt, sondern bei Nutzung dieses Verfahrens darüber hinaus alle Schritte lückenlos dokumentiert werden sollten. 

Ob die Versendung der Bestätigungsmail des Händlers (2. Schritt im Double-Opt-In-Verfahren) nicht als belästigende Werbung gem. § 7 Abs. 2 Nr. 3 UWG anzusehen ist, war durch eine Entscheidung des OLG München v 27.09.2012 (Az.: 29 U 1682/12) unklar geworden. Andere Gerichte wie das OLG Celle und das OLG Düsseldorf haben sich danach jedoch anders positioniert (Urteile vom 15.05.2014 und 17.03.2016) und auch ein anderer Senat des OLG München hat in einer aktuelleren Entscheidung angedeutet, dass die Check-Mail nicht als Werbung zu deklarieren sei (Urt. v. 23.01.2017, Az.: 21 U 4747/15), sodass das Double-Opt-In-Verfahren als ohnehin einzig in Betracht kommende Vorgehensweise der zu empfehlende Weg bleibt.

Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DS-GVO). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen. Informationspflichten nach Artikel 13 DS-GVO müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungs-grundes sind. 

Besondere Beachtung verdienen allerdings die folgenden Bedingungen der DS-GVO; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort: 

• Freiwilligkeit („Kopplungsverbot“, Artikel 7 Absatz 4 in Verbindung mit Erwägungsgrund 43 DS-GVO), 
• Altersgrenze: 16 Jahre (soweit im nationalen Recht nichts anderes bestimmt wird; Schutz des Kindeswohls, Artikel 8 Absatz 1 in Verbindung mit Erwägungsgrund 38 DS-GVO).

Gem. § 7 Abs. 2 UWG wird Werbung per Fax, E-Mail, SMS stets als unzumutbare Belästigung gewertet. Sie ist wettbewerbswidrig, wenn keine Einwilligung vorliegt. Ist der Kunde Verbraucher, ist eine ausdrückliche Einwilligung erforderlich. Bei sonstigen Marktteilnehmern (B2B-Geschäft) genügt eine zumindest mutmaßliche Einwilligung. 

Gem. § 7 Abs. 3 UWG ist bei Werbung unter Verwendung elektronischer Post ohne Einwilligung eine unzumutbare Belästigung ausnahmsweise dann nicht anzunehmen, wenn 

• der Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden dessen Mailadresse erhalten hat und 
• der Unternehmer diese Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet und 
• der Kunde der Verwendung seiner Daten für künftige Werbung nicht widersprochen hat und
• der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. 

Diese Ausnahmebestimmung des § 7 Abs. 3 UWG ist eng auszulegen. Fehlt es an einem der vier o.g. Merkmale (sie müssen kumulativ vorliegen), ist die Werbung wettbewerbswidrig. „Ähnliche“ Waren i. S. d. Norm sind auf die konkrete Bestellung zu beziehen, in deren Zusammenhang der Kunde die Mailadresse übermittelt hat. OLG Thüringen: 

„Die Ähnlichkeit muss sich auf die bereits gekauften Waren beziehen und dem gleichen typischen Verwendungszweck oder Bedarf des Kunden entsprechen. Ggf. ist noch zulässig, Zubehör oder Ergänzungswaren zu bewerben.“ 

Wer Holzkitt gekauft hat, darf demnach nicht mit einem Prospekt beworben werden, in dem (auch) ganz andere Waren aus dem Handwerkersortiment angeboten werden, wie Macheten, Laubsauger, Energiesparlampen, Regenbekleidung und Einkochautomaten. (OLG Thüringen, Urteil vom 21.04.2010, Az: 2 U 88/10). 

Der praktische Nutzen dieser Ausnahmevorschrift – die sowohl im B2B-Geschäft als auch gegenüber Verbrauchern gilt – ist deshalb eher gering.

Die DS-GVO enthält keine explizite Erlaubnisnorm für Werbung und differenziert auch nicht zwischen der Adressierung an Privat- oder Geschäftskunden. Die Verarbeitung aufgrund des Listenprivilegs des BDSG a.F. ist entfallen. Postalische Werbung kann zukünftig (ohne Einwilligung) nur noch auf die allgemeine Erlaubnisnorm des Art. 6 Abs. 1 lit. f DS-GVO gestützt werden. Diese Norm erlaubt die Verarbeitung personenbezogener Daten zur Wahrung der berechtigten Interessen des Verantwortlichen, wenn nicht das Interesse und die Grundrechte der betroffenen Person am Schutz der Daten das Interesse des Verarbeiters an der Verarbeitung der Daten überwiegen. 

Nach Erwägungsgrund 47 DS-GVO kann die Direktwerbung ein berechtigtes Interesse darstellen, wobei hierzu allerdings erst noch die genaue Interpretation der Gerichte abgewartet werden muss. Nach den Erläuterungen des „Düsseldorfer Kreises“ werden jedenfalls im Rahmen der durchzuführenden Interessenabwägung die „vernünftigen Erwartungen der betroffenen Person“ einzubeziehen sein. Diese sollen sich wiederum nach den Informationen richten, die den betroffenen Personen (Kunden) gegeben werden. Informiert der Verantwortliche (Händler) transparent und umfassend über eine vorgesehene werbliche Nutzung der Daten, soll die Erwartung der betroffenen Person in aller Regel auch dahin gehen, dass ihre Kundendaten entsprechend genutzt werden. 

Bei der Interessenabwägung sind auch die allgemeinen Grundsätze aus Art. 5 Abs.1 DS-GVO zu berücksichtigen, also insbesondere: 

• faire Verfahrensweise 
• dem Verarbeitungszweck angemessen 
• kein umfangreiches Interessenprofil 
• in einer für die betroffene Person nachvollziehbaren Weise (insbesondere Nennung der Quelle der Daten) 

Auch darf kein Widerspruch des Betroffenen vorliegen. Der Betroffene ist weiterhin ausdrücklich auf sein Widerspruchsrecht hinzuweisen (Art. 21 Abs. 2 bis 4 DS-GVO).

Das Widerspruchsrecht in Art. 21 Abs. 1 DS-GVO gibt der betroffenen Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der weiteren Verarbeitung ihrer Daten zu widersprechen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen (Art. 21 Abs. 2). 

Aus Art. 21 Abs. 4 DS-GVO ergibt sich, dass die betroffene Person auf ihr Widerspruchsrecht spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hinzuweisen ist und der Hinweis verständlich und von anderen Informationen getrennt zu erfolgen hat. 

Ferner sollte der Kunde auch danach bei jeder Ansprache zum Zwecke der Werbung über sein Widerspruchsrecht informiert werden (nach § 13 Abs. 4 Telemediengesetz ist sicherzustellen, dass dem Nutzer die jederzeitige Möglichkeit der Abbestellung eines Newsletters gegeben wird). Diese Unterrichtung könnte lauten wie folgt: 

„Sollten Sie künftig keine Werbung mehr durch uns wünschen, genügt eine formlose Mitteilung per E-Mail/Telefax/Post/Telefon an ____________ (Kontaktdaten einfügen).“

Art. 17 DS-GVO enthält eine eigenständige Regelung zum „Recht auf Vergessenwerden“. Eine unverzügliche Löschung der Daten kann von der betroffenen Person vor allem in folgenden Fällen verlangt werden:

• Der Zweck für die Datenverarbeitung ist weggefallen (Art. 17 Abs. 1 a).
• Der Betroffene hat seine Einwilligung widerrufen (Art. 17 Abs. 1b). 
• Die Datenverarbeitung war unrechtmäßig (Art. 17 Abs. 1d).

Viele Unternehmen lagern – nicht zuletzt aus Kostengründen – ihre Datenverarbeitung (zumindest teilweise) aus. Beispiele: 

• Ausgliederung von IT-Abteilungen und Rechenzentren,
• Einsatz eines externen Kundencenters (z.B. Callcenter) oder externen Marketingunternehmens,
• externer Newsletter-Anbieter, 
• Cloud Computing. 

Der Begriff des Auftragsverarbeiters wird in Art. 4 Nr. 8 DS-GVO neu definiert. Danach ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des verantwortlichen Arbeitgebers) verarbeitet. Beachtenswert ist, dass diese Definition nur auf ein Auftragsverhältnis abstellt und nicht auf die bislang bekannten Weisungsrechte und Verantwortlichkeiten. Die bislang vorzunehmende Abgrenzung zur Funktionsübertragung wird nicht mehr benötigt. 

Werden personenbezogene Daten im Auftrag verarbeitet, ist der Auftraggeber auch insoweit für die Einhaltung der Datenschutzvorschriften verantwortlich (Art. 4 Nr. 7 i. V. m. Art. 28 Abs. 1 DSGVO). Der Auftraggeber hat deshalb einen Auftragnehmer sorgfältig auszuwählen, und zwar unter besonderer Berücksichtigung der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen („hinreichende Garantien“) zum Schutz der Daten (Art. 28 Abs. 1 DS-GVO). Der Nachweis von Garantien des Auftragnehmers kann zukünftig durch Zertifizierungen und genehmigte Verhaltensregelungen (Art. 40, 42 DS-GVO) erfolgen. 

Ist ein geeigneter Auftragnehmer gefunden, so ist der Auftrag schriftlich oder in elektronischer Form zu erteilen, wobei im Einzelnen u.a. festzulegen sind: 

• Gegenstand und Dauer sowie Art und Zweck der Verarbeitung; 
• Art der personenbezogenen Daten sowie Kategorien von betroffenen Personen; 
• Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen; – Verpflichtung der Beschäftigten zur Vertraulichkeit (ähnlich dem heutigen Datengeheimnis); 
• Treffen angemessener technischer und organisatorischer Schutzmaßnahmen; 
• Regelung des Einsatzes von Unterauftragsnehmern; 
• Unterstützung des Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen; 
• Unterstützung des Verantwortlichen bei der Meldung von Datenpannen und Durchführung von Datenschutzfolgenabschätzung; 
• Rückgabe und Löschung personenbezogener Daten nach Beendigung des Auftrags; 
• Kontrollrechte des Verantwortlichen und entsprechende Duldungs-und Mitwirkungspflichten des Auftragsverarbeiters; 
• Hinweispflicht bei Weisungen, die gegen datenschutzrechtliche Vorschriften verstoßen. 

Folgende gesetzliche Neuerungen lassen sich somit im Hinblick auf den Inhalt des Vertrages feststellen:

• Elektronische Form ist ausreichend; 
• Weisungen des Auftraggebers müssen dokumentiert werden; 
• der Auftragsverarbeiter wird verpflichtet: 
• bei der Datenverarbeitung ausschließlich Personen einzusetzen, die sich zur Verschwiegenheit verpflichtet sind; 
• den Verantwortlichen zu unterstützen, wenn betroffene Personen ihre entsprechenden Rechte gemäß Art. 12 ff. DS-GVO geltend machen; 
• den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen zu unterstützen. 

Darüber hinaus müssen Auftragsverarbeiter zukünftig eine Reihe von Neuerungen beachten. Anders als bislang müssen sie zukünftig nach Art. 30 DS-GVO ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten führen und darin sämtliche Tätigkeiten aufnehmen, welche für den Verantwortlichen durchgeführt werden.