Die belgische Aufsichtsbehörde hat in einem Dokument vom Januar 2020 Empfehlungen zur Bearbeitung von Personendaten für Direktmarketing veröffentlicht. Die Empfehlungen enthalten eine Anleitung zur Einhaltung der DSGVO bei der Datenbearbeitung für Direktmarketingzwecke.
Die Empfehlungen sind recht umfangreich (fast 80 Seiten, die diverse Beispiele und weiterführende Hinweise enthalten). Bemerkenswert sind bei kursorischer Durchsicht unter anderem folgende Hinweise:
-
- Kein Direktmarketing seien reine Servicemitteilungen wie bspw. die Bestätigung einer Bestellung (sofern damit nicht zusätzlich eine Werbemitteilung verbunden wird). Ebenfalls nicht erfasst sei Marktforschung oder eine Zufriedenheitsumfrage, sofern die entsprechenden Mitteilungen ausschliesslich diesem Ziel dienen und dabei keine Personendaten erhoben werden, die auch Werbezwecken dienen.
- Wenn mehrere Konzernunternehmen eine gemeinsame Direktmarketingsplattform aufsetzen und sich über die wesentlichen Parameter der Datenbearbeitung verständigen (z.B. die Kategorien der erhobenen Personendaten), handle es sich dabei um gemeinsam Verantwortliche.
- Bei der Bestimmung des Zwecks genüge “Direktmarketing” nicht (was auch das österreichische BVwG so sieht). Beispiele für entsprechende Zwecke seien die folgenden:
- informer vos clients quant à vos nouveaux produits ou services;
- établir le profil de vos clients ;
- permettre à des tiers d’utiliser les données de vos clients pour établir des profils d’électeurs ;
- proposer des offres personnalisées pour l’anniversaire de vos clients ;
- tenir informé vos clients de vos différentes actions ;
- faire la promotion de votre image de marque envers le grand public;
- inviter vos clients ou prospects à des évènements (pour la promotion de votre organisation) ;
- communiquer à vos clients des offres ciblées susceptibles de rencontrer leurs intérêts ;
- démarcher de nouveaux clients, abonnés ou affiliés.
- Es sei nicht möglich, im Lauf der Datenbearbeitung die Bearbeitungsgrundlage zu ändern. wenn sich eine Datenbearbeitung auf eine Einwilligung stütze, müsse diese Bearbeitung bei Widerruf der Einwilligung eingestellt werden.
- Es sei nicht möglich, eine Datenbearbeitung auf mehr als eine Rechtsgrundlage zu stützen.
- (Diese Auffassung ist nicht unbedingt überraschend und steht auch nicht allein. Sie steht aber im klaren Widerspruch zu Art. 6 Abs. 1 DSGVO (“Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]”) und zu Art. 17 Abs. 1 lit. b DSGVO (Löschpflicht: “Die betroffene Person widerruft ihre Einwilligung […] und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung”).)
- Mit Bezug auf Art. 6 Abs. 1 lit. f DSGVO schliesst die Behörde eine Berufung auf das berechtigte Interesse für Direktmarketing nicht aus. Bei der erforderlichen Interessenabwägung sei aber zu beachten, dass sich der Verantwortliche für die Bearbeitung für Direktmarketing nicht auf ein entsprechendes Interesse der betroffenen Person selbst berufen könne.
- Weiterhin weist die Behörde darauf hin, dass sich spezialgesetzliche Einwilligungserfordernis ergeben können (wie in der Schweiz nach Art. 3 Abs. 1 lit. o UWG).
- Die Behörde weist weiter auf unterschiedliche Formen des Profiling hin, insbesondere auf Profiling im Rahmen einer automatisierten Einzelentscheidung. Eine solche liege bspw. dann vor, wenn ein Unternehmen einer Versicherung auf einem Profiling beruhende Klassifikationen von betroffenen Personen übermittelt und die Versicherung im Anschluss bestimmte Angebote nur an Personen in bestimmten Kategorien übermittelt (oder dieselben Angebote an verschiedene Kategorien zu unterschiedlichen Konditionen).
- Weitere Ausführungen betreffen die beim Direktmarketing sehr häufige Einbindung von Auftragsverarbeitern, weil die Behörde darauf hinweist, dass dieselbe Gesellschaft sowohl als Verantwortliche als auch als Auftragsverarbeitern tätig werden kann (was z.B. bei konzerninternen Dienstleistungsgesellschaften oft der Fall sein wird).
- Ferner weist die Behörde darauf hin, dass die betroffene Person über die Möglichkeit der übertragung von Personendaten an Dritte informiert werden müssen, z.B. bei konzerninternen Datenübertragungen oder ein Aussenstehender im Fall von Unternehmenstransaktionen. Bei einer Fusion obliege es derjenigen Partei, die im Rahmen der Fusion Zugriff auf Personendaten erhält, die betroffenen Personen zu informieren.