Im vergangenen Jahre haben einzelne Datenschutzbeauftragte der Bundesländer angekündigt, sich verstärkt der E-Mail-Werbung anzunehmen. Ein Blick in die nun veröffentlichten Tätigkeitsberichte zeigt, dass die Behörden jedenfalls teilweise Taten haben Worten folgen lassen. In mindestens sechs Fällen haben die Behörden wegen Datenschutzverstößen Bußgelder erlassen. Von Dr. Martin Schirmbacher, HÄRTING Rechtsanwälte, www.haerting.de
Personenbezug von E-Mail-Adressen
E-Mail-Adressen haben fast immer Personenbezug. In der Regel enthält schon die Adresse selbst häufig den Namen des Adressinhabers. Selbst wenn das nicht der Fall ist, lässt sich häufig ein Bezug zu einer konkreten Person herstellen. Lediglich info@- oder mail@-Adressen in größeren Unternehmen kann der Personenbezug fehlen. Schon dies eröffnet einen Zuständigkeitsbereich für die Datenschutzbehörden. Sofern ihnen Datenschutzverstöße bekannt werden, können die Behörden einschreiten.
Datenschutzverfahren sind normale Verwaltungsverfahren
Häufig werden die Datenschutzbehörden aufgrund von Anzeigen von Bürgern tätig. Manchmal genügt den Mitarbeitern der behördlichen Datenschutzbeauftragten für ein Tätigwerden schon ein Bericht in der Presse. Die Behörde muss den Unternehmen Gelegenheit geben, zu den Vorwürfen Stellung zu nehmen. Es besteht auch ein Anspruch auf Akteneinsicht. Insofern sind Datenschutzverfahren normale Verwaltungsverfahren. Datenschutzrechtliche Bußgelder sind mit einem ähnlichen Instrumentarium angreifbar wie ein Strafzettel wegen Falschparkens ein Bußgeld wegen eines Verstoßes gegen das Jugendschutzgesetz.
Die Behörde muss berücksichtigen, was das Unternehmen zu seiner Verteidigung vorbringt. Nur wenn die Stellungnahme des Unternehmens nicht zur Aufklärung beiträgt oder den Vorwurf im Wesentlichen bestätigt und sich uneinsichtig zeigt, wird die Behörde ein Bußgeld erlassen.
Hohe Bußgelder möglich
Je nach Verstoß kann das Bußgeld bis zu 50.000 € oder sogar bis zu 300.000 € betragen. In krassen Fällen, wenn das betroffene Unternehmen einen wirtschaftlichen Vorteil aus den Datenschutzverletzungen gezogen hat, oder wenn mehrere Verstöße zusammenkommen, kann der Betrag auch noch höher liegen. Allerdings haben die Datenschutzbehörden den Verhältnismäßigkeitsgrundsatz zu beachten. Wegen einer einzelnen Spam-E-Mail darf z.B. kein fünfstelliges Bußgeld verhängt werden.
Die Tätigkeitsberichte – ein Blick in die Praxis der Behörden
Weil die Datenschutzbehörden meist im Zwei Jahres Rhythmus Tätigkeitsberichte veröffentlichen, bekommt die Allgemeinheit einen Einblick in die Praxis der Behörden. Für 2040 haben bereits die Datenschutzbeauftragten von Bayern, Bremen, des Saarlandes und Schleswig-Holstein ihre Berichte veröffentlicht. Allein diesen Berichten lässt sich entnehmen, dass in mindestens sechs Fällen Verstöße im E-Mail-Marketing mit Bußgeldern geahndet worden sind. Es liegt nahe, dass die Dunkelziffer deutlich höher liegt.
Nichtbeachtung von Werbewidersprüchen
Im Fokus der Behörden steht dabei insbesondere die Nichtbeachtung von Werbewidersprüchen. Zwar ist in den Newslettern vieler Online-Händler eine unmittelbare Abmeldemöglichkeit integriert. Jedoch müssen auch Austragung und Löschungsanforderungen berücksichtigt werden, die den Händler auf anderen Kommunikationswegen erreichen. Auch wenn einzelne Kunden oder Newsletter-Empfänger sich per E-Mail, Telefon oder Fax abmelden, müssen diese Widersprüche beachtet und unverzüglich umgesetzt werden. Unternehmen sollten dafür sorgen, dass Werbewidersprüche unmittelbar berücksichtigt werden. Dazu bedarf es eines Prozesses, der unabhängig von konkreten Personen und Ferienzeiten eingehalten werden kann.
Werden Austragungen nicht berücksichtigt, können sich Online-Händler nicht mit Erfolg auf Programmierfehler berufen. In drei solcher Fälle verhängte der Landesdatenschutzbeauftrage in Bayern Bußgelder. Die Verantwortung für nicht berücksichtigte oder verspätete Werbewidersprüche war nach Aussage des Unternehmens auf einen Programmierfehler zurückzuführen. Dieser Argumentation folgte die Behörde jedoch nicht. Der Händler hätte zumindest einen Testdurchlauf der Software durchführen und belegen müssen. Weil das offenbar nicht geschehen ist, verhängte die Behörde Bußgelder.
Der Berliner Datenschutzbeauftragte verhängte ein Bußgeld in vierstelliger Höhe gegen ein soziales Netzwerk, das Werbewidersprüche bei Tell-a-friend-Nachrichten nicht berücksichtigte. Empfehlungs-E-Mails sind damit auch ein datenschutzrechtliches Thema. Wer der Verwendung seiner E-Mail-Adresse zu Werbezwecken widerspricht, muss auch auf die Tell-a-friend-Blacklist.
Der Berliner Datenschutzbeauftragte verhängte ein Bußgeld in vierstelliger Höhe gegen ein soziales Netzwerk, das Werbewidersprüche bei Tell-a-friend-Nachrichten nicht berücksichtigte. Empfehlungs-E-Mails sind damit auch ein datenschutzrechtliches Thema. Wer der Verwendung seiner E-Mail-Adresse zu Werbezwecken widerspricht, muss auch auf die Tell-a-friend-Blacklist.
Allerdings kann sich die Unternehmensleitung hinter individuellen Fehlern einzelner Mitarbeiter verstecken. Dies entschied die Bremer Datenschutzbehörde nach einer Beschwerde wegen Nichtbeachtung einer Löschungsaufforderung. Der Online-Händler konnte darlegen, dass Kunden-E-Mails jeden Tag nach Begriffen wie „Account löschen“, „Datenschutz“ oder „Daten löschen“ gescannt werden. Zudem wurden Mitarbeiter des Kundendienstes verpflichtet, die Bearbeitung von Auskunfts- und Löschungsverlangen zu priorisieren. Daher leitete die Behörde keine weiteren Maßnahmen ein.
Offene Verteiler statt Blind Copy
Was ein absolutes No-Go ist, kommt doch zu häufig vor. Schnell sind die Felder der Empfänger vertauscht. Hier ist allerdings große Sorgfalt angebracht. Die Bremer Datenschutzbehörde verhängte deswegen ein Bußgeld. Ob absichtlich oder aus Versehen ein offener Verteiler verwendet wurde, spielt grundsätzlich keine Rolle. Für die Höhe des Bußgelds, die nicht bekannt gegeben wird, dürfte dies aber üblicherweise berücksichtigt werden.
Fazit
Durch die von den Datenschutzbehörden veröffentlichten Fälle, erlangt man einen kleinen Einblick in die tägliche Arbeit. Das Spektrum der Fälle ist natürlich deutlicher größer.
Beschwerden Einzelner sind dabei oft dafür ausschlaggebend, dass sich die Behörde einschaltet. Diese gibt den Händlern meist die Möglichkeit, die fehlerhaften Werbeaussendungen zu erklären. Bei grundsätzlichen Datenschutzlücken, wird der Unternehmer verbindlich verpflichtet, diese zu beheben. Geht es nur um einen gelegentlichen Mitarbeiterfehler, wird eine Erklärung des Unternehmers regelmäßig ausreichen.
Als Behörde ist die Datenschutzbehörde an Recht und Gesetz gebunden. Wer also mit deren Handeln nicht einverstanden ist, ist nicht schutzlos. Die Entscheidungen der Behörden lassen sich durch die zuständigen Gerichte überprüfen.
Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht in der auf Medien und Technologie spezialisierten Kanzlei HÄRTING Rechtsanwälte und Autor des Buches Online-Marketing und Recht. Seinen Blog zum Recht im Online Marketing finden Sie unter www.online-marketing-recht.de. Nähere Angaben zu seiner Person gibt es unter http://www.haerting.de/de/team/dr-martin-schirmbacher