Sind Kontaktdaten allgemein verfügbare, nicht schutzwürdige Daten? DSGVO Art 6, 9, 82-83
Fehlinterpretation des Grundrechts auf Datenschutz - Vorsicht bei Datenverarbeitung - Konzerninterne Datenweitergabe - Geldstrafe und Schadenersatz
Die Vorschrift, wonach das Grundrecht auf Datenschutz ausschließlich an Daten besteht die auf einen Betroffenen rückgeführt werden können gleichzeitig aber nicht allgemein verfügbar sind, sorgt immer wieder für Missverständnisse.
Fehlinterpretation des Grundrechts auf Datenschutz
Oftmals sehen sich Organisationen den Wünschen Dritter ausgesetzt die Kontaktdaten von Mitgliedern oder Kunden übermittelt bekommen wollen. Manchmal haben Organisationen auch selbst den Wunsch die Adressen ihrer Mitglieder/Kunden mit Partnerorganisationen zu teilen.
Begründet wird der Wunsch nach den Daten bzw. deren eigenständige Weitergabe damit, dass die (Adress-)Daten der Betroffenen schließlich auch im Telefonbuch oder im Melderegister zu finden und somit allgemein verfügbar sind. Datenschutz besteht an diesen Daten ja nicht - oder doch?
Vorsicht bei Datenverarbeitung
Achtung, selbst wenn die Kontaktdaten einer Person öffentlich verfügbar sind, so ist die Information, dass jemand Kunde oder Mitglied einer bestimmten Organisation ist nicht allgemein verfügbar. Werden nun Kontaktdaten weitergegeben, so werden immer auch die Informationen weitergegeben, wer sich für welche Produkte oder Themen interessiert. In Wahrheit sind es gerade diese Metadaten die von Interesse sind, schließlich sollen Personen ja gerade kontaktiert werden, weil sie Kunde/Mitglied einer bestimmten Organisation sind.
Es könnten sogar besonders geschützte Daten gemäß Art 9 der Datenschutz-Grundverordnung (DSGVO) weitergegeben werden. Schließlich geben Daten über die Mitgliedschaft in einer politischen Partei offensichtlich Rückschluss über die politische Meinung. Und auch die Tatsache, Kunde bei einem pharmazeutischen Unternehmen zu sein, kann Rückschlüsse auf den Gesundheitszustand zulassen.
Diese Informationen sind nicht allgemein verfügbar und unterliegen somit dem Grundrecht auf Datenschutz.
Die Daten von Kunden bzw. Mitgliedern dürfen daher nur unter den Voraussetzungen der Art 6 und 9 DSGVO weitergegeben werden, wobei im Normalfall nur die ausdrückliche Einwilligung des Betroffenen in Frage kommen wird.
Konzerninterne Datenweitergabe
Für Unternehmen die in einem Konzern miteinander verbunden sind gilt, dass die Daten einzelner Konzernunternehmen streng voneinander zu trennen sind. Die Rechtmäßigkeit der Übermittlung von Daten zwischen Konzernunternehmen ist daher, wie bei Fremdunternehmen, ebenfalls nur unter den Voraussetzungen der Art 6 und 9 DSGVO rechtmäßig.
Die DSGVO sieht bei einem Verstoß gegen die Datenschutzbestimmungen des Art 6 und 9 DSGVO Geldstrafe bis zu 20 Millionen Euro oder bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor (Art 83 Abs 5 DSGVO). Neben der Geldstrafe können Schadenersatzansprüche entstehen (Art 82 DSGVO).
Conclusio
Selbst wenn einzelne Daten öffentlich verfügbar sind, können diese aufgrund von Zusatzinformationen, wie beispielsweise der Datenherkunft, dem Datenschutzrecht unterliegen. Die Information, dass jemand Kunde oder Mitglied einer Organisation ist, ist in der Regel nicht allgemein verfügbar und darf somit nicht ohne weiteres weitergegeben werden. Sollen Kontaktdaten zu Werbezwecken übermittelt werden ist jedenfalls die Einwilligung der Betroffenen einzuholen.
mehr --> Verletzen individualisierte Newsletter die Privatsphäre?
|