Bel­gi­en: Emp­feh­lung für die Bear­bei­tung von Per­so­nen­da­ten für Zwecke des Direkt­mar­ke­tings

Die bel­gi­sche Auf­sichts­be­hör­de hat in einem Doku­ment vom Janu­ar 2020 Emp­feh­lun­gen zur Bear­bei­tung von Per­so­nen­da­ten für Direkt­mar­ke­ting ver­öf­fent­licht. Die Emp­feh­lun­gen ent­hal­ten eine Anlei­tung zur Ein­hal­tung der DSGVO bei der Daten­be­ar­bei­tung für Direkt­mar­ke­ting­zwecke.

Die Emp­feh­lun­gen sind recht umfang­reich (fast 80 Sei­ten, die diver­se Bei­spie­le und wei­ter­füh­ren­de Hin­wei­se ent­hal­ten). Bemer­kens­wert sind bei kur­so­ri­scher Durch­sicht unter ande­rem fol­gen­de Hin­wei­se:

    • Kein Direkt­mar­ke­ting sei­en rei­ne Ser­vice­mit­tei­lun­gen wie bspw. die Bestä­ti­gung einer Bestel­lung (sofern damit nicht zusätz­lich eine Wer­be­mit­tei­lung ver­bun­den wird). Eben­falls nicht erfasst sei Markt­for­schung oder eine Zufrie­den­heits­um­fra­ge, sofern die ent­spre­chen­den Mit­tei­lun­gen aus­schliess­lich die­sem Ziel die­nen und dabei kei­ne Per­so­nen­da­ten erho­ben wer­den, die auch Wer­be­zwecken die­nen.
    • Wenn meh­re­re Kon­zern­un­ter­neh­men eine gemein­sa­me Direkt­mar­ke­tingsplatt­form auf­set­zen und sich über die wesent­li­chen Para­me­ter der Daten­be­ar­bei­tung ver­stän­di­gen (z.B. die Kate­go­rien der erho­be­nen Per­so­nen­da­ten), hand­le es sich dabei um gemein­sam Ver­ant­wort­li­che.
    • Bei der Bestim­mung des Zwecks genü­ge “Direkt­mar­ke­ting” nicht (was auch das öster­rei­chi­sche BVwG so sieht). Bei­spie­le für ent­spre­chen­de Zwecke sei­en die fol­gen­den:
      • infor­mer vos cli­ents quant à vos nou­veaux pro­duits ou ser­vices;
      • éta­b­lir le pro­fil de vos cli­ents ;
      • per­mett­re à des tiers d’utiliser les don­nées de vos cli­ents pour éta­b­lir des pro­fils d’électeurs ;
      • pro­po­ser des off­res per­son­nali­sées pour l’anniversaire de vos cli­ents ;
      • tenir infor­mé vos cli­ents de vos dif­fé­ren­tes actions ;
      • fai­re la pro­mo­ti­on de vot­re image de mar­que envers le grand public;
      • invi­ter vos cli­ents ou pro­spects à des évè­ne­ments (pour la pro­mo­ti­on de vot­re orga­ni­sa­ti­on) ;
      • com­mu­ni­quer à vos cli­ents des off­res cib­lées sus­cep­ti­bles de ren­con­trer leurs inté­rêts ;
      • démar­cher de nou­veaux cli­ents, abon­nés ou affi­liés.
    • Es sei nicht mög­lich, im Lauf der Daten­be­ar­bei­tung die Bear­bei­tungs­grund­la­ge zu ändern. wenn sich eine Daten­be­ar­bei­tung auf eine Ein­wil­li­gung stüt­ze, müs­se die­se Bear­bei­tung bei Wider­ruf der Ein­wil­li­gung ein­ge­stellt wer­den.
    • Es sei nicht mög­lich, eine Daten­be­ar­bei­tung auf mehr als eine Rechts­grund­la­ge zu stüt­zen.
    • (Die­se Auf­fas­sung ist nicht unbe­dingt über­ra­schend und steht auch nicht allein. Sie steht aber im kla­ren Wider­spruch zu Art. 6 Abs. 1 DSGVO (“Die Ver­ar­bei­tung ist nur recht­mä­ßig, wenn min­de­stens eine der nach­ste­hen­den Bedin­gun­gen erfüllt ist: […]”) und zu Art. 17 Abs. 1 lit. b DSGVO (Lösch­pflicht: “Die betrof­fe­ne Per­son wider­ruft ihre Ein­wil­li­gung […] und es fehlt an einer ander­wei­ti­gen Rechts­grund­la­ge für die Ver­ar­bei­tung”).)
    • Mit Bezug auf Art. 6 Abs. 1 lit. f DSGVO schliesst die Behör­de eine Beru­fung auf das berech­tig­te Inter­es­se für Direkt­mar­ke­ting nicht aus. Bei der erfor­der­li­chen Inter­es­sen­ab­wä­gung sei aber zu beach­ten, dass sich der Ver­ant­wort­li­che für die Bear­bei­tung für Direkt­mar­ke­ting nicht auf ein ent­spre­chen­des Inter­es­se der betrof­fe­nen Per­son selbst beru­fen kön­ne.
    • Wei­ter­hin weist die Behör­de dar­auf hin, dass sich spe­zi­al­ge­setz­li­che Ein­wil­li­gungs­er­for­der­nis erge­ben kön­nen (wie in der Schweiz nach Art. 3 Abs. 1 lit. o UWG).
    • Die Behör­de weist wei­ter auf unter­schied­li­che For­men des Pro­filing hin, ins­be­son­de­re auf Pro­filing im Rah­men einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung. Eine sol­che lie­ge bspw. dann vor, wenn ein Unter­neh­men einer Ver­si­che­rung auf einem Pro­filing beru­hen­de Klas­si­fi­ka­tio­nen von betrof­fe­nen Per­so­nen über­mit­telt und die Ver­si­che­rung im Anschluss bestimm­te Ange­bo­te nur an Per­so­nen in bestimm­ten Kate­go­rien über­mit­telt (oder die­sel­ben Ange­bo­te an ver­schie­de­ne Kate­go­rien zu unter­schied­li­chen Kon­di­tio­nen).
    • Wei­te­re Aus­füh­run­gen betref­fen die beim Direkt­mar­ke­ting sehr häu­fi­ge Ein­bin­dung von Auf­trags­ver­ar­bei­tern, weil die Behör­de dar­auf hin­weist, dass die­sel­be Gesell­schaft sowohl als Ver­ant­wort­li­che als auch als Auf­trags­ver­ar­bei­tern tätig wer­den kann (was z.B. bei kon­zern­in­ter­nen Dienst­lei­stungs­ge­sell­schaf­ten oft der Fall sein wird).
    • Fer­ner weist die Behör­de dar­auf hin, dass die betrof­fe­ne Per­son über die Mög­lich­keit der über­tra­gung von Per­so­nen­da­ten an Drit­te infor­miert wer­den müs­sen, z.B. bei kon­zern­in­ter­nen Daten­über­tra­gun­gen oder ein Aussen­ste­hen­der im Fall von Unter­neh­mens­trans­ak­tio­nen. Bei einer Fusi­on oblie­ge es der­je­ni­gen Par­tei, die im Rah­men der Fusi­on Zugriff auf Per­so­nen­da­ten erhält, die betrof­fe­nen Per­so­nen zu infor­mie­ren.