Joint Controllership oder Auftragsverarbeitung: Werbende & Adresshändler

Wie zuvor erläutert (Bspw. in der Immobilienwirtschaft), hat die Rechtsfigur der gemeinsamen Verantwortlichkeit nach Wirksamwerden der DS-GVO zu einer nicht unerheblichen Verunsicherung geführt und wirft zahlreiche praxisrelevante Fragen auf. So bedarf es der Abgrenzung zur Auftragsverarbeitung (Art. 28 DS-GVO) einerseits und zur alleinigen Verantwortlichkeit andererseits.
Verunsicherungen diesbezüglich scheinen auch im Bereich des Adresshandels immer wieder aufzutreten. Der LfDI Rheinland-Pfalz hat sich im im Berichtszeitraum des 29. Tätigkeitsberichts auch mit der Frage der Verantwortlichkeit von Unternehmen beschäftig, die Adressen mieten oder Werbung im Lettershop-Verfahren versenden lassen.

Veranlasst sich mit dieser Thematik zu beschäftigen, wurde der LfDI durch vermehrte Eingaben von Bürgern, die unverlangt Werbung von rheinland-pfälzischen Unternehmen erhielten. Als Reaktion darauf machten die betroffenen Personen ihren Anspruch auf Auskunft gegen das Unternehmen geltend, von dem die Werbung stammte, vor allem wenn sie mit diesem Unternehmen zuvor noch keinen Kontakt hatten. Für Außenstehende ist nicht immer klar erkennbar, wie die Datenflüsse im Bereich des Adresshandels sind, so dass hier naturgemäß auf Seiten der betroffenen Personen Irritationen entstehen.

Wenn Unternehmen Adressen mieten oder Werbung im Lettershop-Verfahren versenden lassen, sieht die diesen Vorgängen zugrunde liegende Datenverarbeitung wie folgt aus:
Bei diesen Werbemaßnahmen verfügt das werbende Unternehmen nicht selbst über die personenbezogenen Daten der Werbeadressaten, sondern greift auf Datenbestände eines Adresshändlers oder Lettershops zurück. Ein Adresshändler selektiert Datensätze mit Anschriften von natürlichen Personen nach gewissen Kriterien. An Hand dieser Kriterien wählt das werbende Unternehmen die jeweiligen Datensätze aus und mietet oder kauft sie vom Adresshändler. Bei einem Lettershop übernimmt dieser den kompletten Versand der Werbung. Das werbende Unternehmen liefert lediglich die Werbebotschaft und die Kriterien, die bestimmen, an welche Personen die Werbung versandt werden soll. Mit dem weiteren Ablauf der Werbemaßnahme hat das werbende Unternehmen dann nichts mehr zu tun.

Was die Irritation oder Verärgerung der betroffenen Personen angeht, ist festzustellen, dass die von den betroffenen Person um Auskunft gebetenen Unternehmen Unternehmen keine Auskunft geben können, da ein Adresshändler oder Lettershop die Werbung für das Unternehmen versendet hat und das Unternehmen selbst gar nicht über die Daten der Werbungsempfänger verfügte. In vielen Fällen gab der Verantwortliche den Auskunftsantrag weder an den Adresshändler (sog. Listeneigner) weiter noch teilte er den betroffenen Personen die Kontaktdaten des Adresshändlers mit. Die betroffenen Personen wurden zumeist auf die Angaben in der Werbung verwiesen, die meistens nur sehr schwer erkennbare Informationen zum Adresshändler enthielt.

Der LfDI betrachtet den Adresslisteneigener und das werbende Unternehmen in der beschriebenen Konstellation daher als gemeinsam für die Verarbeitung Verantwortliche nach Art. 26 DS-GVO. Sie haben einen Vertrag im Sinne des Art. 26 Abs. 2 DS-GVO zu schließen und die betroffenen Personen können ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. Diese Sichtweise werde der Rollenverteilung zwischen Werbendem und Adresshändler gerecht und sichere die Gewährleistung der Rechte der betroffenen Personen.
Würde in all diesen Konstellationen der Werbende aus der Verantwortung entlassen, weil er selbst die Daten nie verarbeitet, würde der Datenschutz weitgehend entwertet.

(Foto: blende11.photo – stock.adobe.com)

Letztes Update:25.08.22

  • Der neue Kundendatenschutz: Kunden datenschutzkonform gewinnen und binden

    Der neue Kundendatenschutz: Kunden datenschutzkonform gewinnen und binden

    Seminar

    678.60 € Mehr erfahren
  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794.60 € Mehr erfahren
  • Neue SCCerforderlich

    Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

    Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein

    Mehr erfahren
  • Kündigung auf Grund der Verletzung einer „Clean-Desk-Policy“

    Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme,

    Mehr erfahren
  • Identitätsdiebstahl Handesregister

    Handelsregister mit Datenschutzmängeln

    Seit dem 1. August 2022 sind über das Portal „Handelsregister.de“ sämtliche Einträge in den Handels-, Genossenschafts-, Partnerschafts- und Vereinsregistern ohne weitere Einschränkungen kostenfrei abrufbar. Das hat auf dem ersten Blick Vorteile in punkto Transparenz. Das Handelsregister handelt es sich um die zentrale Registerplattform des Bundes für Firmen in Deutschland. Der Umstand, dass die Abrufe aus

    Mehr erfahren