Was passiert mit meinen „alten“ Kontaktdaten?

Was passiert mit meinen „alten“ Kontaktdaten?

Viele Unternehmen fragen sich, was mit alten Kontaktdaten passiert - vor allem, wenn nicht mehr klar ist, wie die Daten erhoben wurden.

Folgendes Beispiel: Ein Unternehmen hat einen Bestand von tausenden Kontaktdaten aus einem früher angebotenen Gewinnspiel. Die Daten wurden damals erhoben, niemand kann sich mehr an die genauen Methoden der Datenerhebung erinnern. Dürfen solche Daten noch verarbeitet werden? Wenn ja, unter welchen Voraussetzungen?
Die Prüfung, ob solche Daten noch verarbeitet werden dürfen, erfolgt in drei Schritten.

Erfahren Sie hier was Sie tun müssen, um Ihre alten Kontaktdaten auch in Zukunft verwenden zu dürfen.

Schritt 1: Verarbeitungserlaubnis

Bei der DSGVO gilt das Prinzip des „Verbots mit Erlaubnisvorbehalt“. Das heißt, personenbezogene Daten dürfen nur verarbeitet werden, wenn eine konkrete Berechtigung vorliegt. Das gilt auch für die bloße Speicherung der Daten. Eine konkrete Berechtigung wäre beispielsweise die Einwilligung der betroffenen Person. Ist keine Einwilligung vorhanden, muss eine andere Erlaubnis gefunden werden.

Die Verarbeitung der Daten ohne Einwilligung ist auch erlaubt, wenn zum Beispiel ein berechtigtes Interesse des Unternehmens an der Verarbeitung besteht. Hier befindet man sich allerdings in der rechtlichen Gefahrenzone. Ob ein berechtigtes Interesse an der Verarbeitung der Kontaktdaten tatsächlich gegeben ist, muss im Einzelfall entschieden werden. Das sorgt für Unsicherheiten. Gemäß Datenschutzgrundverordnung können folgende Anknüpfungspunkte ein berechtigtes Interesse begründen:

  • es besteht eine passende Beziehung zwischen der betroffenen Person und dem Unternehmen (Erwägungsgrund 47 DSGVO)

  • die Verhinderung von Betrug und sonstigen Straftaten (Erwg. 47)

  • Direktwerbung (Erwg. 47)

  • Übermittlung innerhalb einer Unternehmensgruppe (Erwg. 48)

  • der Zweck der Verarbeitung ist vereinbar mit anderen Verarbeitungszwecken, für die eine Berechtigung besteht (Erwg. 50)

  • Doch Vorsicht ist geboten: Überwiegt das Interesse des Betroffenen das berechtigte Interesse des Unternehmens ist eine Verarbeitung dennoch verboten. Ein überwiegendes Interesse des Betroffenen könnte bestehen, wenn:

  • die personenbezogenen Daten missbrauchsanfällig sind

  • die Daten für den Betroffenen von gewisser Intimität sind

  • die Daten falsch sind

  • die Daten für den Verarbeitungszweck wenig Aussagekraft besitzen

  • die Daten zur Erstellung eine Persönlichkeitsprofils ist

  • Dürfen die mit dem Glücksspiel gewonnen Kontaktdaten nun verarbeitet werden? Nur für Zwecke, die einem berechtigten Interesse dienen und nur die Daten von Personen, die kein überwiegendes, gegenteiliges Interesse haben. Im Zweifel muss für jeden einzelnen Datensatz geprüft werden, ob eine Verarbeitung erlaubt ist. Wer auf Nummer sicher gehen will, sollte stets die Einwilligung der betroffenen Person einholen.



    Schritt 2: Informationspflichten

    Ist festgestellt, dass die Daten verarbeitet werden dürfen, gibt es eine weitere Hürde: Die betroffenen Personen müssen über die Verarbeitung der Daten informiert werden.
    In dem Sinne muss der betroffenen Person eine ganze Reihe von Informationen zur Verfügung gestellt werden: so zum Beispiel die Kontaktdaten des Datenschutzbeauftragten, Hinweise auf verschiedene Rechte der betroffenen Person etc.
    Dies kann unter Umständen ein recht zeitintensives und nervenaufreibendes Unterfangen werden. Vor allem im Vergleich zum bisherigen BDSG, muss der Betroffene viele neue Informationen erhalten. Zum Glück gilt: für bisher erhobene Daten müssen im Zuge der DSGVO keine weiteren Informationspflichten erfüllt werden, solange diese schon BDSG konform erfüllt worden sind. Achtung: Werden die gesammelten Daten zu anderen Zwecken verarbeitet als angegeben, muss die betroffene Person erneut darüber informiert werden.



    Schritt 3: Löschungspflicht

    Besteht keine Einwilligung und kein berechtigtes Interesse, sind die erhobenen Daten mit wenigen Ausnahmen unverzüglich zu löschen. Die Entscheidung, wie mit den Daten umgegangen werden soll, auf einen späteren Zeitpunkt zu verschieben, ist aus juristischer Perspektive keine Option. Die Pflicht zur Löschung besteht auch ohne Anfrage des Betroffenen.
    Werden die Informationspflichten nicht beachtet, ist eine Löschung der Daten noch nicht zwingend erforderlich. Dennoch kann es bei Nichtbeachtung der Informationspflichten zu hohen Bußgeldern kommen.

    Um Kontaktdaten zu speichern oder zu nutzen braucht man eine Erlaubnis. In den meisten Fällen ist das das berechtigte Interesse oder die konkrete Einwilligung des Betroffenen.
    Im Zweifel, sollte jedoch stets die Einwilligung eingeholt werden.
    Fazit

    Um die erhobenen Daten weiterhin speichern, geschweige denn nutzen zu dürfen, kommt man nicht um eine Kontaktaufnahme mit der betroffenen Person herum.
    Bei den Betroffenen, bei denen kein berechtigtes Interesse begründet werden kann, ist zusätzlich eine Einwilligung einzuholen. Die Einwilligung setzt eine freiwillige, informierte und vor allem bewusste Entscheidung voraus. Auf eine „fahrlässige“ Einwilligung eines Betroffenen wird man nicht mehr hoffen können.
    Abgesehen von dem berechtigten Interesse bzw. der Einwilligung sind alle Betroffene umfassend über die Speicherung und Nutzung zu informieren. Man kann darauf hoffen, dass die Betroffenen nicht auf eine solche Benachrichtigung reagieren, dann wäre eine weitere Verarbeitung erlaubt. Falls Betroffenen aktiv gegen die Verarbeitung ihrer Daten vorgehen wollen, stehen ihnen etliche Rechte und Gestaltungsmöglichkeiten zu, um dies zu erreichen.