7.9.2018, Prag
1. Einleitung
Die Gesellschaften, die im Bereich von Direktmailing tätig sind, versenden üblicherweise direkte schriftlichen Anträge für Beiträge zu Wohltätigkeitszwecken. Zu diesen Zwecken erheben sie regelmäßig personenbezogener Daten (Vor- und Zuname und Adresse des Wohnsitzes) (gemeinsam nachfolgend „personenbezogene Daten“) von Personen (gemeinsam nachfolgend „betroffene Personen“ und im einzelnen „betroffene Person“), die in öffentlichen Registern, Verzeichnissen und anderen öffentlich zugänglichen Registern in der Tschechischen Republik (nachfolgend „öffentliche Datenbanken“) angeführt sind. Im Rahmen dieser Tätigkeit entstehen Fragen, ob die tschechische Gesellschaft berechtigt ist personenbezogene Daten (Vor- und Zuname und Adresse des Wohnsitzes) unter dem Aspekt der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (nachfolgend „DSGVO“ oder „Grundverordnung“) zu verarbeiten. Der Zweck dieser Verarbeitung ist die direkte Kontaktaufnahme per Post mit potentiellen Spendern in Form von Anträgen für Geldbeiträge zu Wohltätigkeitszwecken, die für Klienten der Gesellschaft aus dem Kreis von Wohltätigkeitsorganisationen bestimmt sind und zwar weder mittels des Instituts der automatisierten Entscheidung noch die Profilierung.
2. Rechtliche Analyse
2.1 Personenbezogene Daten in öffentlichen Datenbanken
Die Rechtsgrundlage für die Veröffentlichung personenbezogener Daten in öffentlichen Datenbanken bildet in der Regel die Erfüllung einer Rechtspflicht, die durch ein Sondergesetz auferlegt wird, oder es ist eine solche Veröffentlichung für die Zwecke der öffentlichen Interessen Dritter erforderlich, d.h. zum Beispiel zur Überprüfung der Identität des Geschäftspartners bei der Vertragsunterzeichnung und Überprüfung der Berechtigung der Personen, die ihn vertreten.
Zu den oben angeführten öffentlichen Datenbanken gehören insbesondere Handelsregister, Gewerberegister, Register von Wohnungseigentümergemeinschaften und Vereinsregister.[1]
Obwohl der Gesetzgeber durch besondere Gesetze, durch die diese öffentlichen Datenbanken errichtet sind, die Verarbeitung der daraus erhobenen personenbezogenen Daten a priori nicht eingeschränkt hat, kann nicht jedermann die daraus erhobenen personenbezogenen Daten zu jeglichen Bestimmungszwecken verarbeiten.[2], [3]
2.2 Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Gesellschaft
Im Hinblick darauf, dass die Gesellschaft die Zustimmung der betroffenen Personen zur Verarbeitung ihrer personenbezogenen Daten nicht eingeholt hat, mit den betroffenen Personen keinen Vertrag abgeschlossen hat, dessen Erfüllung der Verarbeitung personenbezogener Daten bedarf und personenbezogene Daten nicht zum Zweck der Erfüllung der Rechtspflicht verarbeitet, sind wir der Ansicht, dass die Rechtsgrundlage für die Verarbeitung personenbezogener Daten seitens der Gesellschaft nur jene Tatsachen bilden, dass die Verarbeitung personenbezogener Daten zum Zweck der berechtigten Interessen der Gesellschaft oder der Klienten der Gesellschaft aus dem Kreis von Wohltätigkeitsorganisationen erforderlich ist, außer wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.[4]
Die Rechtslehre stimmt darin überein, dass es nämlich die Absicht des europäischen Gesetzgebers war, die Anwendung des berechtigten Interesses für die Verarbeitung personenbezogener Daten zu erweitern[5], obwohl die Bedingungen für die Anwendung dieses Instituts in jedem Einzelfall individuell zu beurteilen sind.[6]
Zu Zwecken der Überprüfung, ob die oben beschriebene Verarbeitung personenbezogener Daten durch die Gesellschaft gemäß der Grundverordnung zulässig ist, d.h. ob auf Seiten der Gesellschaft oder ihrer Klienten berechtigte Interessen an dieser Verarbeitung personenbezogener Daten bestehen, müssen folgende drei Voraussetzungen gleichzeitig erfüllt werden[7]:
(i) Identifizierung der berechtigten Interessen der Gesellschaft oder der Klienten der Gesellschaft;
(ii) Anwendung der sog. Notwendigkeitsprüfung, d.h. ob die Verarbeitung personenbezogener Daten zum oben angeführten Zweck für berechtigte Interessen der Gesellschaft oder der Klienten der Gesellschaft notwendig ist und ob das verfolgte Ziel nicht auf andere Weise erreicht werden kann;
(iii) Anwendung der sog. Verhältnismäßigkeitsprüfung, d.h. ob die Interessen, Rechte oder Freiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, gegenüber den berechtigten Interessen der Gesellschaft oder der Klienten der Gesellschaft an der Verarbeitung personenbezogener Daten nicht überwiegen.
Vollständigkeitshalber ergänzen wir, dass die Bestimmungen d. § 5 Abs. 5 des Gesetzes Nr. 101/2000 Slg., über den Schutz personenbezogener Daten und über die Änderung von einigen Gesetzen, die Verarbeitung von ausgewählten personenbezogenen Daten zum Zweck des Anbietens eines Geschäftes oder von Dienstleistungen ausdrücklich ermöglicht hat, wenn diese Angaben aus einem öffentlichen Verzeichnis oder im Zusammenhang mit der Tätigkeit des Verantwortlichen erhoben wurden. Nach dem Inkrafttreten der Grundverordnung kann diese Bestimmung für die Verarbeitung personenbezogener Daten durch die Gesellschaft nicht mehr Anwendung finden.
2.3 Identifizierung von berechtigten Interessen der Gesellschaft und ihrer Klienten
Wir vermuten, dass sowohl auf Seiten der Gesellschaft, als auch auf Seiten der Klienten der Gesellschaft, berechtigte Interessen an der oben beschriebenen Verarbeitung personenbezogener Daten, also für das Direktmailing identifiziert werden können.[8]
Auf Seiten der Gesellschaft gelten als diese berechtigten Interessen die Kontaktaufnahme mit eventuellen Spendern, die bereit sein könnten, ihre Geldmittel den Klienten der Gesellschaft aus dem Kreis von Wohltätigkeitsorganisationen zu widmen, d.h. also die Erfüllung des hauptsächlichen unternehmerischen Ziels der Gesellschaft.
Die Gesellschaft handelt also sowohl zum Zweck der Erfüllung ihres unternehmerischen Ziels, als auch zu wohltätigen Zwecken. Im Hinblick darauf, dass die Gesellschaft auch im wohltätigen Interesse handelt, kann angenommen werden, dass dem zweiten berechtigten Interesse sogar ein größeres Gewicht eingeräumt werden sollte.[9]
Auf Seiten der Klienten der Gesellschaft aus den Reihen wohltätiger Organisationen sind diese berechtigten Interessen die Gewinnung von Geldmitteln für ihre karitative Tätigkeit, die sie im allgemeinen Interesse oder im Interesse des allgemeinen Wohls ausüben. Diese Tätigkeit bildet dabei die Haupttätigkeit dieser Subjekte.
2.4 Anwendung der Notwendigkeitsprüfung
Im Rahmen der Anwendung der Notwendigkeitsprüfung muss man sich mit der Tatsache befassen, ob die oben beschriebene Verarbeitung personenbezogener Daten für die Ausübung der Tätigkeit der Gesellschaft und der Klienten der Gesellschaft notwendig ist und ob das verfolgte Ziel nicht anders erreicht werden kann.
Im Hinblick darauf, dass sich die Gesellschaft vor allem mit der Gewährung von Dienstleistungen im Zusammenhang mit Fundraising befasst, einschließlich der Sicherstellung von neuen Geldbeiträgen und Einkommensquellen für ihre Klienten, sind wir der Auffassung, dass ohne die Kontaktaufnahme mit neuen potentiellen Spendern die Gesellschaft dieses Ziel überhaupt nicht erreichen könnte. Die Kontaktaufnahme mit neuen potentiellen Spendern durch Direktmailing kann also für die Erfüllung des hauptsächlichen unternehmerischen Ziels der Gesellschaft und ebenso für die Erfüllung der sich für die Gesellschaft aus den mit den Klienten der Gesellschaft abgeschlossenen Verträgen ergebenden Pflichten für notwendig gehalten werden.
Wir vermuten des Weiteren, dass die Erschließung neuer Einnahmequellen und gleichzeitig neuer Geldmittel für die weitere Entwicklung auch für die Klienten der Gesellschaft aus dem Kreis der karitativen Organisationen notwendig ist. Es kann nämlich angenommen werden, dass die Klienten der Gesellschaft ohne diese Geldmittel ihre Tätigkeit nicht mehr weiter ausüben können oder ihre Tätigkeit für die Zukunft einschränken müssen, wobei diese Subjekte primär aus den Spenden Dritter finanziert werden und ihr lebenswichtiges Interesse die Erhaltung ihrer bisherigen gemeinnützigen Tätigkeit ist.
Des Weiteren sollte die Gesellschaft zu Zwecken des Direktmailings nur personenbezogene Daten in einem unbedingt notwendigen Umfang dazu verarbeiten, dass sie potentielle Spender in Form einer schriftlichen Mitteilung – eines Schreibens ansprechen kann. In diesem Zusammenhang machen wir darauf aufmerksam, dass die Gesellschaft zum Zweck der Minimierung des Umfangs der verarbeiteten personenbezogenen Daten die Form einer nichtadressierten schriftlichen Mitteilung anstatt einer adressierten schriftlichen Mitteilung beim Vergleich der Erfolgsquote der einzelnen Formen des Direktmailings überlegen sollte.
Für die Anwendung des zweiten Teils der Notwendigkeitsprüfung muss berücksichtigt werden, ob die Gesellschaft oder die Klienten der Gesellschaft das verfolgte Ziel anders erreichen können und wenn dies der Fall ist, ob die gewählte Form die Interessen, Rechte und Freiheiten der betroffenen Personen im Zusammenhang mit dem Schutz ihrer personenbezogenen Daten nicht besser schützt. Diese andere Form sollte jedoch nicht im Missverhältnis insbesondere zu den für das Direktmailing aufgewendeten Kosten stehen.
Im Hinblick auf die uns von der Gesellschaft mitgeteilten Informationen verstehen wir, dass es auch weitere Möglichkeiten gibt, wie man das verfolgte Ziel errreichen kann. Zu diesen Möglichkeiten gehören insbesondere (i) der Einkauf einer Datenbank neuer Kontakte von einem Dritten und (ii) die Ansprache von potentiellen Spendern im Rahmen einer Kontaktmarketingkampagne auf öffentlichen Plätzen.
Die erste erwähnte Möglichkeit bringt jedoch in der Regel erheblich höhere Kosten, da es ein geringes Angebot an solchen Kontaktdaten gibt und ebenso Rechtsrisiken mit sich, weil die Kontaktdaten in solchen Datenbanken üblicherweise nicht regelmäßig aktualisiert werden und es problematisch ist, rückwirkend zu prüfen, ob sie in Übereinstimmung mit der DSGVO erhoben wurden.
Die zweite erwähnte Möglichkeit ist ebenso im Vergleich zum Direktmailing nicht kosteneffizient, wobei die Kosten bei der Ansprache eines potentiellen Spenders auf einem öffentlichen Platz im Vergleich zum Direktmailing erheblich höher sind, obwohl es dabei nur zu einer minimalen Erhebung personenbezogener Daten von potentiellen Spendern kommt.
Aus den oben angeführten Gründen kann daher angenommen werden, dass die beschriebene Form der Verarbeitung personenbezogener Daten seitens der Gesellschaft auch der Notwendigkeitsprüfung standhält.
2.5 Anwendung der Verhältnismäßigkeitsprüfung
Im Rahmen der Verhältnismäßigkeitsprüfung wird geprüft, ob die Interessen, Rechte und Freiheiten der betroffenen Personen hinsichtlich ihrer personenbezogenen Daten über die berechtigten Interessen der Gesellschaft oder der Klienten der Gesellschaft an der Verarbeitung personenbezogener Daten zu dem oben angeführten Zweck nicht überwiegen. Es werden (i) die Art der Interessen, (ii) die Auswirkungen der Verarbeitung und (iii) Garantien für den Schutz, die errichtet werden können oder errichtet wurden, beurteilt.
Art der Interessen
Im Hinblick darauf, dass persönliche Daten einem im Voraus nicht eigeschränkten Kreis von Personen in der öffentlichen Datenbank zugänglich gemacht werden, kann vermutet werden, dass betroffene Personen begründet erwarten können, dass sie von Dritten mit direkten Geschäftsangeboten kontaktiert werden.
Die von der Gesellschaft verarbeiteten personenbezogenen Daten umfassen nicht jene Kategorien personenbezogener Daten, die durch die Grundverordnung besonders geschützt würden (z.B. Angaben über den Gesundheitszustand).
Außerdem kann man aufgrund der verfügbaren Informationen nicht annehmen, dass die Verarbeitung personenbezogener Daten, so wie sie oben beschrieben ist, die Interessen, Rechte oder Freiheiten der betroffenen Personen beeinträchtigen würden, wenn die Verarbeitung in Form eines unregelmäßigen und gelegentlichen Direktmailings erfolgt und wenn den Gegenstand der Verarbeitung nur personenbezogene Daten im Umfang von Vor- und Zuname und Adresse auf dem Umschlag bilden, d.h. die für die Ansprache potentieller Spender in Form eines adressierten Schreibens notwendigen Angaben.
Auswirkungen der Verarbeitung
Der Zweck, zu dem personenbezogene Daten von der Gesellschaft verarbeitet werden, kann als gesellschaftlich nutzbringend betrachtet werden, wenn das Ziel der Verarbeitung personenbezogener Daten die Beschaffung von Geldmitteln für die Klienten der Gesellschaft für Wohltätigkeitszwecke ist. Diese Klienten sind dabei von der Beschaffung von Beiträgen – Spenden – von Dritten in der Regel existentiell abhängig. Dieses allgemeine Interesse der Gesellschaft an der Unterstützung der karitativen Tätigkeit sollte dabei Vorrang vor Einzelinteressen an der Verarbeitung personenbezogener Daten, die aus den öffentliche Datenbanken erhoben wurden, haben, und zwar unter der Voraussetzung, dass von der Gesellschaft die nachstehend angeführten Garantien eingehalten werden und dass die Verarbeitung personenbezogener Daten den betroffenen Personen nicht einen unverhältnismäßigen Schaden z.B. durch eine häufige Belästigung mit Beantragungen von Beiträgen bewirkt. [10]
Man kann auch nicht davon ausgehen, dass die Verarbeitung personenbezogener Daten durch die Gesellschaft die Interessen oder Rechte der betroffenen Person erheblich beeinträchtigen würde, indem die Gesellschaft personenbezogene Daten nur im Umfang von Vor- und Zuname und Wohnsitz verarbeitet und zu diesem Zweck nur einen Kommunikationskanal verwendet – ein Schreiben, das an die betroffenen Personen per Post übersandt wird[11], also keine Kombination von mehreren Kommunikationskanälen auf einmal.
Die Auswirkungen der Verarbeitung personenbezogener Daten können sich jedoch in einem solchen Fall zum Nachteil der Gesellschaft verändern, wenn die Gesellschaft die vernünftigerweise zu erwartende Häufigkeit der Übersendung von Anträgen für Beiträge der betroffenen Personen überschreiten sollte.
Garantien
Zum Zweck des Schutzes der Interessen, Rechte und Freiheiten der betroffenen Personen sollte die Gesellschaft nach unserer Auffassung insbesondere folgende Garantien in Bezug auf den Schutz bei der Verarbeitung personenbezogener Daten stellen:
(i) die Gesellschaft sollte nicht den Umfang der Verarbeitung personenbezogener Daten erweitern (z.B. Verarbeitung des Geburtsdatums der betroffenen Person usw.);
(ii) die Gesellschaft sollte die erhobenen personenbezogenen Daten zu keinem anderen als zu dem oben festgesetzten Zweck nutzen (z.B. aus den erhobenen personenbezogenen Daten eine eigene Datenbank von Spendern ohne die ausdrückliche Zustimmung der betroffenen Person bilden) oder die personenbezogenen Daten keinem Dritten zugänglich machen (sei es gegen Entgelt oder unentgeltlich) mit Ausnahme einzelner Klienten der Gesellschaft, falls die jeweilige betroffene Person auf den Antrag zur Übersendung eines Beitrags an einen solchen Klienten aktiv reagieren sollte;
(iii) die Gesellschaft sollte personenbezogene Daten transparent verarbeiten, d.h. sie sollte den betroffenen Personen im Rahmen der ersten Kontaktaufnahme ausreichende detaillierte Informationen über die Verarbeitung ihrer personenbezogenen Daten durch die Gesellschaft bereitstellen, spätestens jedoch innerhalb von 1 Monat nach Erhebung der personenbezogenen Daten durch die Gesellschaft;
(iv) die Gesellschaft sollte ausreichende technische und organisatorische Maßnahmen[12] zum Zweck des Schutzes personenbezogener Daten ergreifen (z.B. Schlösser, Sicherheitsrichtlinien, Verschlüsselung, Zugangsrechte für Informationssysteme usw.), einschließlich insbesondere der Einführung des Ablaufs bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde;
(v) die Gesellschaft sollte personenbezogene Daten nur für die zur Erfüllung des oben angeführten Zwecks unbedingt notwendige Zeit verarbeiten und danach sollte sie personenbezogene Daten entweder anonymisieren oder vernichten; die Pflicht der Gesellschaft, in einem unbedingt notwendigen Umfang das Verzeichnis der betroffenen Personen, die der Übersendung von unerbetener Werbung durch die Gesellschaft widersprochen haben, zu führen, bleibt davon unberührt;
(vi) die Gesellschaft sollte im Rahmen jedes Kontakts mit der betroffenen Person dieser ermöglichen, dass sie auf eine einfache und leicht zugängliche Art ausschließen kann, dass sie von der Gesellschaft jederzeit in der Zukunft in Form von Direktmailing kontaktiert wird (sog. Opt-out).[13], [14]
Im Hinblick auf die obigen Ausführungen sind wir daher der Auffassung, dass auch die Verhältnismäßigkeitsprüfung für die oben erwähnte Verarbeitung personenbezogener Daten unter der Voraussetzung der Erfüllung der oben angeführten Garantien erfüllt wurde.
2.6 Ausgewählte Pflichten der Gesellschaft, die sich aus der Grundverordnung ergeben
Wir weisen darauf hin, dass zusammen mit jedem adressierten schriftlichen Antrag für einen Beitrag zu Wohltätigkeitszwecken, spätestens jedoch innerhalb von 1 Monat nach Erhebung personenbezogener Daten die Gesellschaft verpflichtet ist, betroffene Personen insbesondere über folgendes in Kenntnis zu setzen[15]:
(i) Identifikations- und Kontaktdaten der Gesellschaft als des Verantwortlichen,
(ii) Kontaktangaben des eventuellen Datenschutzbeauftragten,
(iii) Zweck und Rechtsgrundlage der Verarbeitung personenbezogener Daten, d.h. Direktmailing aufgrund eines berechtigten Interesses gemäß Art. 6 Abs. 1 Lit. f) DSGVO,
(iv) Kategorie der betreffenden personenbezogenen Daten, d.h. Vor- und Zuname und Adresse,
(v) eventuelle Empfänger oder Kategorien von Empfängern personenbezogener Daten, d.h. Klienten der Gesellschaft im Falle einer aktiven Beantwortung des Antrags für einen Beitrag seitens der betroffenen Person,
(vi) eventuelle Absicht der Gesellschaft, personenbezogene Daten außerhalb der EU zu übermitteln,
(vii) Dauer, für die die personenbezogenen Daten gespeichert werden, gegebenenfalls die Kriterien für die Festlegung dieser Dauer,
(viii) nähere Spezifikation der berechtigten Interessen der Gesellschaft und der Klienten der Gesellschaft aus dem Kreis der Wohltätigkeitsorganisationen,
(ix) Hinweis auf einige Rechte der betroffenen Personen gemäß DSGVO, zum Beispiel das Recht auf Auskunft über die personenbezogenen Rechte, das Recht auf deren Korrektur, Löschung und Einschränkung der Verarbeitung, das Recht, Widerspruch gegen die Verarbeitung personenbezogener Daten einzulegen, das Recht auf Übertragbarkeit personenbezogener Daten, das Recht auf Beschwerde bei einer Aufsichtsbehörde, die in der Tschechischen Republik das Amt für den Schutz personenbezogener Daten ist,
(x) Quelle, aus der die personenbezogenen Daten stammen, d.h. aus öffentlichen Datenbanken.
Die Gesellschaft sollte des Weiteren regelmäßig überprüfen, ob sie auch Weiterhin die Bedingungen für die Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses der Gesellschaft oder von Klienten der Gesellschaft erfüllt.
Die Gesellschaft ist des Weiteren verpflichtet, eine Liste der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen.
2.7 Stellungnahmen von Fachleuten in der ausländischen Literatur der übrigen EU-Mitgliedsländer
Im Rahmen der Beurteilung der gegenständlichen Rechtsproblematik haben wir auch ausländische Fachliteratur analysiert, wobei die oben angeführten Schlussfolgerungen auch fachliche Assoziationen in Deutschland und Österreich vertreten, wie z.B. der Deutsche Dialogmarketing Verband[16], die größte nationale Assoziation der Dialogmarketing-Unternehmen in Europa und einer der führenden Verbände der Kommunikationsindustrie in Deutschland, die seit dem Jahr 1948 existiert und Interessen von Benutzern und Dienstleistern vertritt), DMVÖ – Dialog Marketing Verband Österreich[17]) und/oder Wirtschaftskammer Österreich[18]).
Auf der Website der Wirtschaftskammer Österreich wird z.B. folgendes angeführt:
„Datenermittlung
Adressverlage und Direktmarketingunternehmen sind zum Zweck der Vorbereitung und Durchführung von Marketingaktionen Dritter oder für das Listbroking zur Datenermittlung aus folgenden Quellen berechtigt:
- öffentlich zugängliche Informationen (z.B. bereits aufgezeichnete öffentlich zugängliche Daten aus Firmenbuch, Grundbuch, Gewerberegister, Telefonbuch etc., aber auch an öffentlich zugänglichen Orten möglicher Wahrnehmungen, die für Marketingzwecke erst aufgezeichnet werden müssen),
- Befragung der Betroffenen,
- Kunden- und Interessentendateien Dritter,
- Marketingdateien anderer Adressverlage und Direktmarketingunternehmen. “[19]
2.8 Ermittlung personenbezogener Daten von Dritten
In der Praxis kann es passieren, dass sich die Gesellschaft von einem Dritten (nachfolgend „Eigentümer der Datenbank“) gegen Entgelt den Zugang auf die Datenbank personenbezogener Daten, die dieser Dritte gebildet hat und verwaltet, verschafft (nachfolgend „Datenbank eines Dritten“), und personenbezogene Daten aus dieser Datenbank ad hoc für eine Direktwerbekampagne nutzt (sog. Vermietung der Datenbank).
Zu dem Zeitpunkt, wenn die Gesellschaft personenbezogene Daten aus der Datenbank erhält, wird sie zum Empfänger personenbezogener Daten und danach zum Verantwortlichen (sobald sie den Zweck ihrer weiteren Nutzung festgesetzt hat) und kann diese personenbezogenen Daten nur zu jenem Zweck weiter verarbeiten, zu dem sie der Eigentümer der Datenbank von den jeweiligen betroffenen Personen erhalten hat und nur in jenem Umfang, in dem diese betroffenen Personen ihre Zustimmung zur Übergabe ihrer personenbezogenen Daten an die Gesellschaft erteilt haben.
Die Gesellschaft ist verpflichtet, gegenüber den betroffenen Personen zusammen mit jedem adressierten schriftlichen Antrag auf einen Beitrag zu Wohltätigkeitszwecken, spätestens jedoch innerhalb von einem Monat nach Erhalt personenbezogener Daten, ihre Unterrichtungspflicht zu erfüllen (nähere Einzelheiten siehe obiger Punkt 2.6), einschließlich der Angabe der Quelle, aus der die Gesellschaft die betreffenden personenbezogenen Daten erhalten hat. Die Gesellschaft muss auch die Garantien hinsichtlich der Verarbeitung personenbezogener Daten einhalten, siehe oben.
Sollten die oben angeführten Bedingungen nicht erfüllt werden, sind wir der Auffassung, dass für die Verarbeitung personenbezogener Daten die Gesellschaft verantwortlich ist, obwohl diese Daten aus der Datenbank eines Dritten empfangen wurden. Die Gesellschaft kann jedoch den Eigentümer der Datenbank zur Erfüllung der oben angeführten und weiterer Bedingungen, die durch die DSGVO festgesetzt sind und des Weiteren zur Pflicht, die Gesellschaft im Falle einer Verletzung der Vertragspflichten des Eigentümers der Datenbank schadlos zu halten, vertraglich verpflichten, einschließlich eines Schadensersatzes für eventuelle Strafen, die der Gesellschaft seitens des Amts für den Schutz personenbezogener Daten auferlegt wurden. Die Gesellschaft sollte ebenso überprüfen, ob der Eigentümer der Datenbank personenbezogene Daten in Übereinstimmung mit der Grundverordnung erhalten hat und verarbeitet.
2.9 Verantwortung der Klienten der Gesellschaft aus dem Kreis wohltätiger Organisationen
Unter der Voraussetzung, dass personenbezogene Daten nicht von den Klienten der Gesellschaft aus dem Kreis von Non-Profit-Organisationen erhalten wurden und diese Klienten der Gesellschaft keinen Zugang zu den genutzten personenbezogenen Daten haben[20], vermuten wir, dass bis zu jenem Zeitpunkt, in dem die Klienten der Gesellschaft die Identität des konkreten Spenders erfahren, sie weder für den Verantwortlichen noch für den Auftragsverarbeiter gemäß der Grundverordnung gehalten werden können.
Sobald die Klienten der Gesellschaft die Identität der konkreten Spenders erfahren haben, sind wir der Auffassung, dass sie zu Verantwortlichen in Bezug auf personenbezogene Daten eines solchen Spenders werden, die sie aufgrund des Gesetzes verarbeiten (z.B. Buchführung oder Erfüllung von Steuerpflichten), ggf. aufgrund eines anderen Rechtstitels (z.B. ein berechtigtes Interesse an der Kontaktaufnahme mit einem solchen Spender in der Zukunft zum Zweck des Antrags für einen Beitrag für eine andere wohltätige Veranstaltung oder Erfüllung eines Schenkungsvertrags).
Die Klienten der Gesellschaft müssen jedoch gegenüber solchen Spendern die gemäß der Grundverordnung festgesetzten Pflichten erfüllen, die sie übrigens auch gegenüber allen ihren Spendern erfüllen sollten, es handelt sich vor allem um die Unterrichtspflichten. Diese Pflichten werden in der Regel durch die Veröffentlichung einer Erklärung über die Verarbeitung personenbezogener Daten auf der Website der jeweiligen Non-Profit-Organisation erfüllt.
Die Gesellschaft ist dagegen verpflichtet, in einer an potentielle Spender adressierten Aufforderung die Verarbeitung ihrer personenbezogenen Daten seitens der Gesellschaft in dem durch die Grundverordnung vorgeschriebenen Umfang transparent zu beschreiben und des Weiteren ist sie verpflichtet, potentielle Spender davon in Kenntnis zu setzen, dass die Klienten der Gesellschaft aus dem Kreis karitativer Organisationen den Zugang zu diesen personenbezogenen Daten erst zu jenem Zeitpunkt erhalten, an dem sie einen Geldbeitrag – eine Spende gewährt haben, und dass sie diese personenbezogenen Daten zu ihren im Voraus festgesetzten Zwecken weiter verarbeiten werden. Diese Pflichten können z.B. durch ein Memorandum oder durch eine Erklärung über die Verarbeitung personenbezogener Daten erfüllt werden, die einen Bestandteil des Direktmailings bilden.
3. Zusammenfassung
Bei der Erfüllung der oben angeführten Garantien ist die Gesellschaft berechtigt, die von der Gesellschaft aus öffentlichen Datenbanken erhobenen personenbezogenen Daten zum Zweck einer schriftlichen, an die betroffenen Personen adressierten Kontaktaufnahme mit Anträgen für einen Beitrag zur Tätigkeit der Klienten der Gesellschaft aus dem Kreis karitativer Organisationen zu verarbeiten.
Ähnlich äußerte sich auch die sog. Working Party 29[21] im Zusammenhang mit der vor dem Inkrafttreten der Grundverordnung wirksamen Rechtsregelung[22], indem sie eine direkte, aber unerbetene Kontaktaufnahme mit Wählern, deren Daten von einem Bewerber für ein öffentliches Amt während der Kampagne aus dem Wähler-Register erhoben wurden, als Verarbeitung personenbezogener Daten aufgrund des berechtigten Interesses eines solchen Bewerbers bezeichnet hat.[23] Diese Stellungnahme kann auch nach dem Inkrafttreten der Grundverordnung für relevant gehalten werden.
In diesem Zusammenhang kann auch auf die Literatur in anderen EU-Ländern hingewiesen werden, wobei es zum Beispiel in Österreich oder in Frankreich unzulässig ist, adressierte kommerzielle Kommunikation jenen Personen zu übersenden, die in einer Sonderliste registriert sind (sog. Robinsonliste oder La liste Robinson).[24], [25]
Übrigens, der Erwägungsgrund (47) der Grundverordnung lässt ausdrücklich zu, dass die Verarbeitung personenbezogener Daten zum Zweck des Direktmarketings, also zum Zweck einer direkten Kontaktaufnahme mit potentiellen Kunden, für die Verarbeitung aufgrund eines berechtigten Interesses gehalten werden kann.
Auch die Fachliteratur brachte die Schlussfolgerung zum Ausdruck, dass die Verarbeitung personenbezogener Daten, die aus öffentlichen Datenbanken erhoben wurden, durch die Grundverordnung weder verboten noch deutlich eingeschränkt ist.[26], [27] Wir vermuten deshalb, dass man einigen Auffassungen[28], dass die Beschaffung personenbezogener Daten aus öffentlichen Datenbanken durch GPDR ohne Weiteres verboten werden kann, nicht folgen kann.
[1] Was die aus dem Liegenschaftskataster erhobenen personenbezogenen Daten anbelangt, so regelt die Bestimmung d. § 1 Abs. 2 des Gesetzes Nr. 256/2013 Slg., Gesetz über das Liegenschaftskataster (Katastergesetz) bestimmte Einschränkungen für deren künftige Nutzung und es ist also zumindest fragwürdig, ob diese personenbezogenen Daten zu Marketingzwecken verarbeitet werden können.
[2] Nonnemann, F. Verarbeitung von öffentlich zugänglichen personenbezogenen Daten und DSGVO. Právní rozhledy. 2018, Nr. 5, S. 167-173.
[3] Vgl. die Argumentation von Žůrek in Žůrek, J. Praktický průvodce GDPR. ANAG, 2017, gemäß der das Gesetz Nr. 256/2013 Slg., über das Liegenschaftskataster (Katastergesetz), im Gegensatz zu den Gesetzen, die öffentliche Datenbaken regeln, eine eingeschränkte Nutzung der aus dem Liegenschaftskataster erhobenen personenbezogenen Daten zu Marketingzwecken ermöglicht.
[4] Siehe Art. 6 Abs. 1 Lit. f) der Grundverordnung.
[5] Nulíček, M., Donát, J., Nonnemann, F., Lichnovský, B., Tomíšek, J. DSGVO / Grundverordnung zum Schutz personenbezogener Daten (2016/679/EU). Praktischer Kommentar. Prag: Wolters Kluwer, 2017.
[6] Nonnemann, F. Verarbeitung von öffentlich zugänglichen personenbezogenen Daten und DSGVO. Právní rozhledy. 2018, Nr. 5, S. 167-173.
[7] Siehe die Mitteilung „Information Commissioner’s Office“ (analoge Behörde wie das tschechische Amt für den Schutz personenbezogener Daten im Vereinigten Königreich Großbritannien und Nordirland), verfügbar unter: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-DSGVO/lawful-basis-for-processing/legitimate-interests/
[8] Vgl. die Stellungnahme Nr. 06/2014 der sog. Working Party 29 vom 09.04.2014 (Seite 24 - 25), verfügbar unter: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
[9] Vgl. die Stellungnahme Nr. 06/2014 der sog. Working Party 29 vom 09.04.2014 (Seite 35), verfügbar unter: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
[10] Vgl. die Zustellung von nichtadressierten Marketingmitteilungen an betroffene Personen (z.B. Flyer mit Warenangebot in Supermärkten) insbesondere im Hinblick auf ihre Häufigkeit.
[11] Vgl. die Mitteilung „Information Commissioner’s Office“ (analoge Behörde wie das tschechische Amt für den Schutz personenbezogener Daten im Vereinigten Königreich Großbritannien und Nordirland) (Seite 28 – 29), verfügbar unter https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-DSGVO/legitimate-interests-1-0.pdf
[12] Siehe Artikel 24 der Grundverordnung.
[13] Vgl. Art. 21 der Grundverordnung.
[14] Sinngemäß die Stellungnahme Nr. 06/2014 der sog. Working Party 29 vom 09.04.2014 (Seite 41), verfügbar unter: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
[15] Siehe Art. 14 der Grundverordnung
[16] Siehe https://www.ddv.de/.
[17] Siehe http://www.dmvoe.at/.
[18] Siehe https://www.wko.at.
[19] Siehe http://www.dmvoe.at/datenschutzverordnung/.
[20] Vgl. Entscheidung des Amts für den Schutz personenbezogener Daten, Az. UOOU-09830/13, in der sich der Verfahrensbeteiligte auf die Tatsache berufen hat, dass er nur eine Marketingkampagne für seinen Vertragspartner organisiert, der die Zustimmungen der Benutzer der jeweiligen E-Mail-Adressen zur Verfügung hat.
[21] Es handelt sich um die sog. Art.-29.Gruppe, die durch Art. 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr errichtet wurde. Durch das Inkrafttreten der DSGVO wurde dieses europäische Beratungsgremium zum Europäischen Datenschutzausschuss umgewandelt.
[22] Art. 7 Lit. f) der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr: „Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist: die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen. ”
[23] Siehe die Stellungnahme Nr. 06/2014 der sog. Working Party 29 vom 09.04.2014 (Seite 60, Beispiel 6), verfügbar unter: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf [23] Siehe Art. 14 der Grundverordnung.
[24] Siehe https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-datenschutz-direktmarketing.html
[25] Siehe https://www.cnil.fr/sites/default/files/atoms/files/commerce_et_donnees_personelles.pdf
[26] Nonnemann, F. Verarbeitung von öffentlich verfügbaren personenbezogenen Daten und DSGVO. Právní rozhledy. 2018, Nr. 5, Seite 167-173.
[27] Vgl. die Schlussfolgerungen der Konferenz der ordentlichen Information Commissioner’s Office (analoge Behörde wie das tschechische Amt für den Schutz personenbezogener Daten im Vereinigten Königreich Großbritannien und Nordirland) (Seite 5 - 6), verfügbar unter: https://ico.org.uk/media/about-the-ico/documents/2013426/fundraising-conference-2017-paper.pdf
[28] Vgl. https://pravniradce.ihned.cz/c1-66000650-neziskovky-mohou-mit-problemy-s-oslovovanim-darcu
Falls Sie mehr Informationen benötigen, kommen Sie bitte jederzeit auf uns zu:
JUDr. Mojmír Ježek, Ph.D.
Managing Partner
ECOVIS ježek, advokátní kancelář s.r.o.
tschechische Rechtsanwaltskanzlei
t: +420 226 236 600
e: mojmir.jezek@ecovislegal.cz
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz/de
Mehr über ECOVIS ježek, advokátní kancelář s.r.o., tschechische Rechtsanwaltskanzlei in Prag:
ECOVIS ježek ist eine tschechische Rechtsanwaltskanzlei mit Sitz in Prag, die sich insbesondere auf das tschechische Handels- und Immobilienrecht, die Prozessführung und das Banken- und Finanzrecht konzentriert. Mit ihrer umfassenden Bandbreite kompetent erbrachter Rechtsberatungsleistungen stellt sie eine attraktive, vollwertige Alternative für Mandanten der großen internationalen Kanzleien dar. Die langfristige erfolgreiche Zusammenarbeit mit führenden Rechtsberatungsunternehmen in den meisten europäischen Ländern und den USA (sowie weiteren Rechtsordnungen) bürgt dafür, dass die grenzübergreifende Dimension des jeweiligen Mandats stets eingehend berücksichtigt wird. Die tschechischen Rechtsanwälte von ECOVIS ježek weisen eine hervorragende Erfolgsbilanz bei der Erbringung von Beratungsleistungen an transnationale Konzerne, tschechische Großunternehmen, den Mittelstand sowie Freiberufler und Privatpersonen auf, die auf jahrelange, bei führenden Rechts- und Steuerberatungsunternehmen erworbene Erfahrung gründet. Weitere Auskünfte finden Sie unter nachstehendem Link: www.ecovislegal.cz/de..
Die auf dieser Website enthaltenen Informationen stellen eine Anwaltswerbung dar. Informationen, die auf dieser Webseite veröffentlicht werden, stellen keine Rechtsberatung dar und nichts auf dieser Website begründet das Bestehen einer Mandatsbeziehung. Vereinbaren Sie mit uns eine Rechtsberatung, bevor Sie auf Grund dessen, was Sie hier lesen, etwas unternehmen. Ergebnisse der Vergangenheit sind keine Garantie für zukünftige Ergebnisse, und frühere Ergebnisse implizieren oder prognostizieren keine zukünftigen Ergebnisse. Jeder Fall ist anders und muss nach seinen eigenen Umständen beurteilt werden.
