HOME > Blog > Betroffenenrechte > Werbewiderspruch – Pflichten des Verantwortlichen

Werbewiderspruch – Pflichten des Verantwortlichen

Posted on Veröffentlicht in Betroffenenrechte Tagged with ,
Werbewiderspruch – Pflichten des Verantwortlichen
Werbewiderspruch - Pflichten des Verantwortlichen

Der Hessische Beauftragte für Datenschutz und Datensicherheit hat in seinem aktuellen Tätigkeitsbericht bei einem Werbewiderspruch auf Aufgaben und Pflichten des verantwortlichen Unternehmens  hingewiesen und dabei einige interessante Feststellungen, hinsichtlich umfassender Sorgfaltspflichten bei Umsetzung eines Werbewiderspruchs sowie gegenüber Dritten, getroffen.

Für die Verarbeitung von personenbezogenen Daten zu Werbezwecken ist nicht immer eine Einwilligung erforderlich. Besonders bei Bestandskunden ist neben der Einwilligung auch berechtigtes Interesse eine zulässige Grundlage für Direktwerbung. Dabei muss allerdings sichergestellt werden, dass die Verarbeitung notwendig ist, um die berechtigten Interessen des Verantwortlichen zu wahren und dass diese Interessen die der betroffenen Person nicht überwiegen. Wenn Kunden der Verwendung ihrer Daten für Werbezwecke widersprechen, müssen Unternehmen diesen Widerspruch unverzüglich und dauerhaft berücksichtigen.

Direktwerbung trotz bestätigten Werbewiderspruch

Ein Kunde einer großen Autohaus-Kette beschwerte sich bei der Behörde, dass seine Daten trotz ausdrücklichen Widerspruchs, trotz Bestätigung seines Werbewiderspruchs vom Unternehmen weiterhin für Werbezwecke per Briefpost und E-Mail verwendet wurden.

Bei Nachforschungen der Behörde stelle sich heraus, dass der Kunde noch eine andere Niederlassung des Autohauses aufgesucht hatte, als die Niederlassung, in der er das Fahrzeug ursprünglich erworben hatte. Aus nicht mehr nachvollziehbaren Gründen (wahrscheinlich aus Versehen) wurde dabei ein zweiter Datensatz mit abweichender Schreibweise seines Namens und einer anderen Kundennummer für ihn angelegt.

Da die beiden Datensätze wurden nicht zusammengeführt worden waren, war die aufgrund seines Werbewiderspruchs gesetzte Werbesperre nur in einem der Datensätze vermerkt worden, wes-
halb seine Daten aus dem zweiten Datensatz unzulässigerweise weiterhin zu Werbezwecken genutzt wurden.

Umfassende Sorgfaltspflichten bei Umsetzung eines Werbewiderspruch

Ausgehend vom beschriebenen Sachverhalt stellte die Behörde fest, dass es im Verantwortungsbereich des Unternehmens liegt, dafür Sorge zu tragen, dass es im Rahmen einer ordnungsgemäßen Datenverarbeitung nicht zu Schreibfehlern und Doubletten in seiner Kundendatenbank kommt.

Das Unternehmen ist auch dafür verantwortlich, dass ein Werbewiderspruch umfassend beachtet wird. Es muss beim Setzen von Werbesperren sorgfältig überprüft werden, ob zu einem Betroffenen – weshalb auch immer – möglicherweise mehrere Datensätze existieren oder ob in einer seiner Niederlassungen einem Mitarbeiter bei der Datenerhebung Schreibfehler unterlaufen sind, die zu einer Kunden-Doublette in seinem Datenbestand geführt haben könnten.

Der Fehler wurde aufgrund der Ermittlungen der Behörde entdeckt und beseitigt. Der Verstoß des Autohauses gegen Art. 21 Abs. 3 DSGVO wurde von der Behörde ausdrücklich festgestellt und gerügt.

Werbung von Dritten zu Lasten des Verantwortlichen

Trotz des großen Aufwands bei der Fehlersuche, der deutlichen Rüge und den erkennbaren Bemühungen des Unternehmens, seinen Datenbestand zu bereinigen und so Datenschutzverstöße zu vermeiden, erhielt der betroffene Kunde einige Monate später erneut E-Mail-Werbung des Autohauses.

Nun stellte sich bei meinen Ermittlungen heraus, dass Daten zu seiner Person auch noch in der Datenbank eines Fahrzeugherstellers erfasst waren, die zuvor bei der Fehlersuche nicht tiefgreifend genug überprüft wurde. Der dortige Datensatz wurde zuvor nicht entdeckt und es war daher auch keine
Werbesperre dazu eingetragen, was zur erneuten werblichen Verwendung der Daten zur Person des Beschwerdeführers führte, die eigentlich für Werbezwecke hätten gesperrt sein sollen.

Aufgrund dieses erneuten gleichgelagerten Verstoßes gegen das Recht auf Widerspruch sprach die Behörde eine förmliche Verwarnung gegen das Autohaus aus, die auch bestandskräftig und damit unanfechtbar wurde.

Erneute Briefwerbung des Autohauses

Die Geschichte hat aber hier noch kein Ende. Ein Jahr später erhielt der Betroffene gleichwohl erneut Briefwerbung dieses Autohauses, weshalb er sich empört über die Missachtung seiner datenschutzrechtlichen Ansprüche und enttäuscht über die Unwirksamkeit aufsichtsbehördlicher Maßnahmen nochmals bei der Behörde gegen das Autohaus wandte.

Bei den anschließenden Untersuchungen musste die Behörde feststellen, dass die dieser Werbepost zugrunde liegenden Daten zur Person des Betroffenen aus einer weiteren Datenbank des Autohauses stammten, in der er ohne Vorname und mit einer leicht abgewandelten Schreibweise seiner Postanschrift gespeichert war. Auch hier war es dem Autohaus zum wiederholten Mal trotz angeblich intensiver Suche nicht gelungen, einen Datensatz dem Betroffenen zuzuordnen und mit einer Werbesperre zu versehen.

Mangelhafte Datenintegrität nicht zu Lasten der Betroffenen

Zum neuen Sachverhalt stellte die Behörde fest, dass gerade in verteilten und heterogenen Datenbanksystemen, wie sie in vielen Unternehmen üblich sind, besonders achtsam und sorgfältig gearbeitet werden muss, wenn garantiert werden soll, dass Werbewidersprüche auf Dauer umfassend und nachhaltig beachtet werden.

Dass Datenbestände über mehrere Datenbanken und Niederlassungen verteilt sind und Schreibweisen von Namen und Anschriften aufgrund mangelnder Sorgfalt bei der Datenerfassung in einzelnen Datensätzen voneinander abweichen, darf nicht zu Lasten der Rechte der betroffenen Kunden gehen.

Da das Autohaus zuvor bereits verwarnt wurde, wurde seitens der Behörde ein Bußgeldverfahren wegen des mehrfach wiederholten Verstoßes gegen das Autohaus eingeleitet und mit der Verhängung einer Geldbuße abgeschlossen. Gegen die Höhe der verhängten Geldbuße hat der Verantwortliche Einspruch erhoben.

Fazit

Zusammenfassend kann festgehalten werden, dass Verantwortliche ihre technischen und organisatorischen Maßnahmen zur Umsetzung von Werbewidersprüchen, wie die Eintragung von Werbesperren in Kundendatenbanken oder die Führung, Pflege und Anwendung von Widerspruchslisten (sog. „interne Robinsonlisten“ oder „Nixie-Dateien“), sehr sorgfältig planen und auch bei verteilten Datenbanken, bei Auftragsverarbeitern und in komplexen Datenverarbeitungsumgebungen wirksam anwenden müssen.

Bei mangelnder Sorgfalt und daraus resultierenden Fehlern, die zu einer werblichen Verwendung personenbezogener Daten trotz vorliegenden Werbewiderspruchs führen, drohen ihnen Sanktionen der Aufsichtsbehörde, insbesondere wenn diese Fehler öfter auftreten oder sich gar wiederholen.

52. Tätigkeitsbericht zum Datenschutz und 6. Tätigkeitsbericht zur Informationsfreiheit des Hessischen Beauftragten für Datenschutz und Informationsfreiheit, URL: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2024-04/52-tb-online.pdf;