Joint Controllership oder Auftragsverarbeitung: Werbende & Adresshändler

Wie zuvor erläutert (Bspw. in der Immobilienwirtschaft), hat die Rechtsfigur der gemeinsamen Verantwortlichkeit nach Wirksamwerden der DS-GVO zu einer nicht unerheblichen Verunsicherung geführt und wirft zahlreiche praxisrelevante Fragen auf. So bedarf es der Abgrenzung zur Auftragsverarbeitung (Art. 28 DS-GVO) einerseits und zur alleinigen Verantwortlichkeit andererseits.
Verunsicherungen diesbezüglich scheinen auch im Bereich des Adresshandels immer wieder aufzutreten. Der LfDI Rheinland-Pfalz hat sich im im Berichtszeitraum des 29. Tätigkeitsberichts auch mit der Frage der Verantwortlichkeit von Unternehmen beschäftig, die Adressen mieten oder Werbung im Lettershop-Verfahren versenden lassen.

Veranlasst sich mit dieser Thematik zu beschäftigen, wurde der LfDI durch vermehrte Eingaben von Bürgern, die unverlangt Werbung von rheinland-pfälzischen Unternehmen erhielten. Als Reaktion darauf machten die betroffenen Personen ihren Anspruch auf Auskunft gegen das Unternehmen geltend, von dem die Werbung stammte, vor allem wenn sie mit diesem Unternehmen zuvor noch keinen Kontakt hatten. Für Außenstehende ist nicht immer klar erkennbar, wie die Datenflüsse im Bereich des Adresshandels sind, so dass hier naturgemäß auf Seiten der betroffenen Personen Irritationen entstehen.

Wenn Unternehmen Adressen mieten oder Werbung im Lettershop-Verfahren versenden lassen, sieht die diesen Vorgängen zugrunde liegende Datenverarbeitung wie folgt aus:
Bei diesen Werbemaßnahmen verfügt das werbende Unternehmen nicht selbst über die personenbezogenen Daten der Werbeadressaten, sondern greift auf Datenbestände eines Adresshändlers oder Lettershops zurück. Ein Adresshändler selektiert Datensätze mit Anschriften von natürlichen Personen nach gewissen Kriterien. An Hand dieser Kriterien wählt das werbende Unternehmen die jeweiligen Datensätze aus und mietet oder kauft sie vom Adresshändler. Bei einem Lettershop übernimmt dieser den kompletten Versand der Werbung. Das werbende Unternehmen liefert lediglich die Werbebotschaft und die Kriterien, die bestimmen, an welche Personen die Werbung versandt werden soll. Mit dem weiteren Ablauf der Werbemaßnahme hat das werbende Unternehmen dann nichts mehr zu tun.

Was die Irritation oder Verärgerung der betroffenen Personen angeht, ist festzustellen, dass die von den betroffenen Person um Auskunft gebetenen Unternehmen Unternehmen keine Auskunft geben können, da ein Adresshändler oder Lettershop die Werbung für das Unternehmen versendet hat und das Unternehmen selbst gar nicht über die Daten der Werbungsempfänger verfügte. In vielen Fällen gab der Verantwortliche den Auskunftsantrag weder an den Adresshändler (sog. Listeneigner) weiter noch teilte er den betroffenen Personen die Kontaktdaten des Adresshändlers mit. Die betroffenen Personen wurden zumeist auf die Angaben in der Werbung verwiesen, die meistens nur sehr schwer erkennbare Informationen zum Adresshändler enthielt.

Der LfDI betrachtet den Adresslisteneigener und das werbende Unternehmen in der beschriebenen Konstellation daher als gemeinsam für die Verarbeitung Verantwortliche nach Art. 26 DS-GVO. Sie haben einen Vertrag im Sinne des Art. 26 Abs. 2 DS-GVO zu schließen und die betroffenen Personen können ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. Diese Sichtweise werde der Rollenverteilung zwischen Werbendem und Adresshändler gerecht und sichere die Gewährleistung der Rechte der betroffenen Personen.
Würde in all diesen Konstellationen der Werbende aus der Verantwortung entlassen, weil er selbst die Daten nie verarbeitet, würde der Datenschutz weitgehend entwertet.

(Foto: blende11.photo – stock.adobe.com)