Luxemburg-Stiftung. Handreichung zum Datenschutz in der RLS

Transkript

1 Leitfaden zum Umgang mit Kundendaten in der Rosa-Luxemburg Luxemburg-Stiftung Handreichung zum Datenschutz in der RLS Die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten nehmen im täglichen Arbeitsablauf der Rosa-Luxemburg-Stiftung einen großen Stellenwert ein. Ob die administrative Verwaltung von Personal-Daten oder die persönliche Bewerbung von bildungspolitischen Veranstaltungen; ohne die Nutzung personenbezogener Daten wäre die RLS schlichtweg nicht arbeitsfähig. Auf welche Art und Weise sensible Daten von Mitarbeiterinnen und Mitarbeitern, von Interessierten oder von Veranstaltungsteilnehmerinnen und Teilnehmern erhoben, verarbeitet und gespeichert werden dürfen, schreibt das Bundesdatenschutzgesetz (BDGS) vor. Konkret geht das BDSG in 28 Datenerhebung und -speicherung für eigene Geschäftszwecke auf den datenschutzkonformen Umgang mit sogenannten Kundendaten ein. Im Falle der RLS wären das personenbezogene Daten, welche beispielsweise aus TeilnehmerInnen-Listen (TN-Listen) erhoben und für den Zweck der Bewerbung einer Veranstaltung verarbeitet, gespeichert und weiterverwendet werden. Zum Umgang mit personenbezogenen Daten ergeben sich aus der Praxis immer wieder Fragestellungen wie: Dürfen alle Teilnehmerinnen und Teilnehmer einer Veranstaltung im Nachgang mit RLS-Werbung bedacht werden? Können auch Personengruppen kontaktiert werden, die nicht an Veranstaltungen der RLS teilgenommen haben? Darf ich TN- Listen einfach so weitergeben? Und überhaupt, was sind denn eigentlich personenbezogene Daten? Fragen, auf die der folgende Leitfaden zum Umgang mit Kundendaten in 12 Punkten Antworten findet. Immer mit Blick auf die aktuelle Gesetzeslage, kann er als Arbeitshilfe für den täglichen Umgang mit personenbezogenen Daten (pb Daten) innerhalb der RLS herangezogen werden. 1

2 Inhaltsverzeichnis 1. Was sind personenbezogene Daten? Welche personenbezogenen Daten dürfen zur Bewerbung von Veranstaltungen herangezogen werden?... 3 Variante A: TeilnehmerInnen-Liste... 4 Variante B: Bestandskundenwerbung... 5 Variante C: Listendaten aus öffentlich zugänglichen Verzeichnissen... 6 Variante D: Berufsbezogene Werbung... 6 Variante E: Newsletter Was hat es mit dem oft genannten Widerspruchsrecht auf sich? Wie, wo und wann sollen personenbezogene Daten abgelegt, gespeichert und/oder gelöscht werden? Dürfen personenbezogene Daten aus dem Internet erhoben und gespeichert werden? Dürfen Veranstaltungen per beworben werden, ohne dass adressen gespeichert werden? Eine Person will Auskunft über seine gespeicherten Daten. Was ist zu tun? Eine Person widerspricht der Nutzung seiner Daten für Werbezwecke. Was ist zu tun? An wen dürfen personenbezogene Daten weitergegeben werden? Was ist bei Verlust von personenbezogenen Daten zu tun? Welche Sanktionen drohen der RLS, wenn gegen datenschutz-rechtliche Grundsätze verstoßen wird? Erhebungsvarianten auf einem Blick Was sind personenbezogene Daten? Das BDSG definiert personenbezogene Daten in 3 Abs. 1 wie folgt: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Unter Einzelangaben über persönliche oder sachliche Verhältnisse versteht man Aussagen bzw. Daten, die Informationen über den/die Betroffenen enthalten. Das können sein: Name, Anschrift, Gesundheitszustand, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Eigenschaften, Überzeugungen. Um personenbezogene Daten handelt es sich also, wenn sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Kann demnach eine 2

3 Verbindung mit dem Namen des Betroffenen und eben genannten Datenfeldern hergestellt werden, ist hier von personenbezogenen Daten die Rede. Von personenbezogenen Daten ist nicht die Rede, wenn es sich um Daten juristischer Personen handelt. 1 Beispiele zur Unterscheidung: Personenbezogene Daten Harald Müller, Rosinenweg 17, Poppeln V. Hanzel, vhanzel86@web.de, Tel.: 0351/ Genosse K. Valentin, geb , Wohnhaft in Zittau, Beruf: Ballettlehrer Kanzlei Diana Willmuth, Gerberstraße 34, Ruppertsdorf Nancy Schüssel, Krankenschwester, Wohnhaft in Dresden, 2 Kinder, ledig, ständig erkältet Keine personenbezogene Daten Schöner Wohnen GmbH, Hauptstraße 9, Großhartau Geräteschuppen e.v., Berlinerstraße 2-3, Überdingen Villeroy & Boch, Dorfplatz 2, Dürrheinrichswalde Ver.di Büro-Süd, PF 83745, Oberunterhausen Die PARTEI, Große Brüdergasse 15, Mühlenberg 2. Welche personenbezogenen Daten dürfen zur Bewerbung von Veranstaltungen herangezogen werden? Prinzipiell dürfen personenbezogene Daten nur mit der Einwilligung der Betroffenen erhoben und gespeichert werden (Direkterhebung), es sei denn, eine andere gesetzliche Vorschrift sieht etwas anderes vor ( 4 BDSG). Für die Bewerbung von Produkten und Dienstleistungen bietet das Bundesdatenschutzgesetz allerdings auch Ausnahmeregelungen die im Folgenden erörtert werden. Fünf Varianten stehen der RLS zur Erhebung und Speicherung von personenbezogenen Daten - zum Zwecke der Werbung - zur Verfügung: A.) TN-Liste B.) Bestandskunden C.) Öffentliche Verzeichnisse D.) Berufsbezogene Werbung E.) Newsletter 1 Ausnahmen: Daten einer Ein-Mann-GmbH. Auch hier können Bezüge zu natürlichen Personen hergestellt werden. Es handelt es sich dabei ebenfalls um personenbezogene Daten. 3

4 Variante A: TeilnehmerInnen-Liste iste Drei Vorraussetzungen müssen nach BDSG gegeben sein, um pb Daten mittels TN- Liste direkt beim Betroffenen erheben und anschließend speichern zu dürfen: 1. Die Verantwortliche Stelle und die Zweckbestimmung der Erhebung, Verarbeitung und elektronischen Speicherung müssen klar formuliert sein. ( 4 Abs. 3 BDSG) 2. Die Einwilligung des Betroffenen muss schriftlich 2 vorliegen. ( 4a Abs. 1 BDSG) 3. Der Betroffene muss auf sein Widerspruchsrecht hingewiesen werden. ( 28 Abs. 3 BDGS) In der aktuellen Fassung der TN-Liste (vom ) werden der Zweck der Erhebung und die daraus resultierende Verarbeitung/Speicherung von pb Daten genannt; ein Hinweis auf das Widerspruchsrecht erfolgt unmittelbar danach. Mit der Unterschrift und einem Vermerk des Betroffenen wird diesen Bedingungen zugestimmt. Ältere Versionen von TN-Listen vereinen diese Eigenschaften nicht und u sind dementsprechend nicht mehr zu verwenden!!! Daten die mittels TN-Liste erhoben werden dürfen: Es dürfen diejenigen Daten erhoben und gespeichert werden, die für die Erfüllung der jeweiligen Nachweis- und Werbezwecke benötigt werden. 3 Werbungswege: - - Briefpost - Telefon 2 Schriftlich impliziert keine Fotokopie oder Telefax. Laut 126 a BGB ist damit die elektronische Form der Einwilligung nicht ausgeschlossen, solange diese mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz ( 2 Nr. 3) versehen ist (signierte ; D ). 3 Bei der Erhebung von Personendaten sollte immer auf den Grundsatz der Datensparsamkeit ( 3a BDSG) geachtet werden: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. 4

5 Variante B: Bestandskundenwerbung Die RLS unterhält vielerlei vertragliche bzw. vertragsähnliche Beziehungen zu externen Privatpersonen. Das können bspw. Abonnenten von Zeitschriften, ReferentInnen oder StipendiatInnen sein. Jene Personenkreise überlassen der RLS vertragsbedingt personenbezogene Daten, s.g. Bestandskundendaten. Jene Kundendaten darf die RLS für Werbezwecke nutzen. Nach 28 Abs. 3 Satz 2 Nr. 1 BDSG dürfen Personengruppen für Veranstaltungen oder Produkte der RLS beworben werden, die in einem rechtgeschäftlichen oder rechtsgeschäftähnlichen Schuldverhältnis zur RLS stehen. Auf das Widerspruchsrecht ist der Betroffene hinzuweisen! 4 Werbungswege: Während das BDSG auf eine Bewerbung ausschließlich (!) mittels Briefpost beharrt, räumt das Gesetz gegen den unlauteren Wettbewerb (UWG) in 7 Abs. 3 die Möglichkeit ein, Werbung via an den Betroffenen zu versenden. Allerdings nur, wenn folgende Vorraussetzungen erfüllt sind: 1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat, 2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, 3. der Kunde der Verwendung nicht widersprochen hat und 4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Im Besonderen muss hier auf die Vorgaben der Nr. 2 und 4 hingewiesen werden. Ähnliche Waren oder Dienstleistungen (Nr. 2) könnten im Praxisfall bedeuten: Ein Abonnent der RosaLux erhält ein Werbeangebot per für die Zeitschrift LuXemburg. Sollen die für die Abwicklung des Rechtsgeschäfts erhobenen -Adressdaten für die Bewerbung ähnlicher Dienstleistungen verwendet werden, muss der Betroffene auf die Widerspruchsmöglichkeit bereits bei der Erhebung seiner Daten hingewiesen werden (Nr.4). Dies erfolgt am besten mittels einer Klausel am unteren Ende im personalisierten Rechnungs-/Bestätigungsschreiben: Ihre adresse wird im Rahmen des Bestellungsverfahrens für Werbezwecke 4 Siehe dazu Punkt 3. 5

6 ähnlicher Produkte im System der Rosa-Luxemburg-Stiftung gespeichert. Der Verwendung ihrer Daten zum Zwecke der Werbung können Sie jederzeit widersprechen. Variante C: : Listendaten aus öffentlich zugänglichen Verzeichnissen Zum Zwecke der Bewerbung von Veranstaltungen oder Produkten der RLS dürfen sogenannten Listendaten ohne Einwilligung der Betroffenen aus öffentlich zugänglichen Verzeichnissen erhoben und gespeichert werden ( 28 Abs. 3 BDSG). Öffentlich zugängliche Verzeichnisse sind: Telefonbücher Adressverzeichnisse Branchenverzeichnisse Personenbezogene Daten, die aus eben genannten Verzeichnissen zum Zwecke der Werbung erhoben und gespeichert werden dürfen: Name, Vorname Akademischer Grad Anschrift Geburtsjahr Personenbezogene Daten, die aus eben genannten Verzeichnissen zum Zwecke der Werbung nicht ohne die schriftliche Einwilligung des Betroffenen erhoben und gespeichert werden dürfen: Telfonnummern, Telefaxnummern und adressen Auf das Widerspruchsrecht ist der Betroffene hinzuweisen! Werbungswege: - Briefpost Variante D: : Berufsbezogene Werbung Ebenso wie bei der Verwendung von Listendaten, ist auch bei der berufsbezogenen Werbung keine Einwilligung des Betroffenen erforderlich. Unter folgenden Voraussetzungen ist nach 28 Abs. 3 Satz 2 Nr. 2 BDSG berufsbezogene Werbung möglich: - Die Werbung muss unter der beruflichen Anschrift des Betroffenen erfolgen. 6

7 - Die Werbung muss sich auf den beruflichen Bedarf des Betroffenen beziehen. Personenbezogene Daten die aus eben genannten Gründen zum Zwecke der Werbung gespeichert werden dürfen: Name, Vorname Akademischer Grad Dienstanschrift Geburtsjahr Personenbezogene Daten, die aus eben genannten Verzeichnissen zum Zwecke der Werbung nicht ohne die schriftliche Einwilligung des Betroffenen erhoben und gespeichert werden dürfen: Telfonnummern, Telefaxnummern und adressen Auf das Widerspruchsrecht ist der Betroffene hinzuweisen! Werbungswege: - Briefpost Variante E: Newsletter Kommt es zur Bewerbung durch einen Newsletter, kann das BDSG nicht mehr als Gesetzesgrundlage zum Schutz pb Daten herangezogen werden. Vielmehr kommt hier das Telemediengesetz (TMG) zum Zuge. Da es sich bei einem Newsletter bzw. einer Werbe- um einen Telemediendienst handelt, muss vor der Zustellung der Werbebotschaft eine elektronische Einwilligung vom Betroffenen eingeholt werden. An jene Einwilligung sind nach 13 TMG folgende Anforderungen geknüpft: 1. der Nutzer 5 hat seine Einwilligung bewusst und eindeutig erteilt, 2. die Einwilligung muss protokolliert werden, 3. der Nutzer kann den Inhalt der Einwilligung jederzeit abrufen, 4. der Nutzer kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Zur Bewerbung des Betroffenen reicht es aus, lediglich seine adresse zu erfassen. Eine elektronische Speicherung anderer pd Daten wie Name, Wohnort oder Geburtsdatum sind nach 13 Abs. 6 TMG nicht erforderlich!# 5 Nutzer = Inhaber der adresse 7

8 Auf das Widerspruchsrecht ist der Betroffene hinzuweisen! 3. Was hat es mit dem oft genannten Widerspruchsrecht recht auf sich? 28 Abs. 4 BDSG räumt allen Beworbenen ein Widerspruchsrecht ein: Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. Ganz gleich welche der o.g. Werbungsvarianten Anwendung findet, auf das Widerspruchsrecht ist der Betroffene nach 28 Abs.4 Satz 2 BDSG prinzipiell in jeder einzelnen Werbebotschaft hinzuweisen! Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Marktoder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten. Ein Vorschlag für eine mögliche Widerspruchsklausel, welche am unteren Ende einer jeden Werbebotschaft einzubinden ist: Sie können der Verwendung Ihrer Daten zum Zwecke der Werbung jederzeit widersprechen. Wir werden unmittelbar nach Zugang ihres Widerspruchs Ihre persönlichen Daten aus unserem System löschen. Bei -Werbung kann auch auf die Widerspruchsmöglichkeit mittels des Versendens einer leeren Unsubscribe-Nachricht hingewiesen werden. 4. Wie ie,, wo und wann sollen personenbezogene Daten abgelegt, gespeichert und/oder gelöscht werden? Daten über die persönlichen Verhältnisse von Personen liegen in der RLS zumeist analog und/oder digital vor. Zu den analog erfassten Daten zählen jene, die sich bspw. auf TeilnehmerInnen-Listen befinden. Zu den Digitalen zählen diejenigen, die elektronisch auf dem Arbeitsplatz-PC abgespeichert werden. Um den Schutz sensibler Daten zu gewährleisten und die Gefahr einer Datenpanne, und dem daraus resultierenden Imageverlust für die RLS, zu minimieren, gelten sowohl für den Umgang mit analogen, als auch bei der Arbeit mit digitalen pb Daten gesetzliche Bestimmungen. 8

9 Umgang mit analogen pb Daten: Pb Daten, die sich auf Papierlisten befinden und nicht automatisiert verarbeitet, also digital gespeichert werden, genießen nicht den originären Schutz des BDSG. Vielmehr kommt hier der allgemeine Persönlichkeitsschutz ( 823, 1004 BGB) und das Recht auf informelle Selbstbestimmung 6 der Betroffenen zum Tragen. Auch wenn die in Papierform vorliegenden TN-Listen nicht in den Zuständigkeitsbereich des BDSG fallen, müssen die mit Personendaten angereicherten Listen vor unsachgemäßen Gebrauch geschützt und entsprechend gesichert werden! Schutzmaßnahmen für ausgefüllte TN-Listen: Ausgelegte Listen vor Diebstahl bestmöglich schützen. 7 Eine zentrale Ablage auswählen; das erleichtert die Dokumentation. Ablage von TN-Listen in verschließbaren Schränken. Keine Weitergabe an unbefugte Personen ( Dritte ). Sollten TN-Listen aus nachweisrechtlichen oder organisatorischen Gründen 8 nicht mehr benötigt werden, sind diese unverzüglich und datenschutzgerecht zu entsorgen. (Datenschutz-Tonne) Umgang mit digitalen pb Daten: Im Normalfall werden pb Daten auf den Festplatten der jeweiligen Arbeitsplatz-PCs der RLS gespeichert. Das BDSG setzt in 9 (samt Anlage) für die Speicherung von sensiblen Daten bestimmte technische und organisatorische Maßnahmen zum Schutze dieser Daten voraus. Technisch organisatorische Maßnahmen zum Schutz personenbezogener Daten nach 9 (Anlage) BDSG: Zutrittskontrolle o (Unbefugten ist der körperliche Zugang zu DV-Anlagen zu verwehren) Zugangskontrolle o (Soll die unbefugte Nutzung von DV-Anlagen verhindern) Zugriffskontrolle o (Auf pd Daten darf zugegriffen werden, wenn eine entsprechende Berechtigung vorliegt) Weitergabekontrolle o (Soll verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden) 6 Siehe hierzu: 7 Etwa durch das Fixieren mittels Klebestreifen. 8 Hierzu zählt u.a. die Ablieferung an das Archiv der RLS. 9

10 Eingabekontrolle o (Soll gewährleisten, dass nachträglich überprüft werden kann, welche pb Daten, zu welcher Zeit von wem in das DV-System eingetragen wurden - Dokumentierung) Auftragskontrolle o (Werden Daten im Auftrag verarbeitet, hat der Auftraggeber darauf zu achten, dass pb Daten nur entsprechend den Weisungen des AG verarbeitet werden) Verfügbarkeitskontrolle o (Pb Daten sind vor zufälliger Zerstörung durch Wasserschäden, Brand etc. zu schützen) Gebot der Datentrennung o (Pb Daten, die unter verschiedenen Zweckbestimmungen/Erhebungsarten gespeichert wurden, dürfen softwareseitig nur getrennt aufbewahrt und bearbeitet werden) Um vorbeugend einen Abfluss von pd Daten speziell aus dem DV-System der RLS zu verhindern, sollten folgende Datensicherungs-Maßnahmen eingehalten werden: Keine unbefugten Personen den Zutritt zu Büros gewähren. Keine unbefugten Personen die Möglichkeit zur Benutzung des Arbeitsplatz- PCs gewähren. Arbeitsplatz-PCs mit einem persönlichen Kennwort schützen. Dokumentieren: wo die pb Daten herstammen, wann sie gespeichert wurden. Sollte eine Weitergabe von pb Daten stattgefunden haben, muss darauf geachtet werden, dass diese Daten nur zu dem vorher bestimmten Zweck verwendet werden. Ist die elektronische Speicherung von Personendaten aus nachweisrechtlichen oder organisatorischen Gründen 9 nicht mehr notwendig, sind die Daten nach 35 Abs. 2 BDSG 10 unverzüglich zu löschen. 5. Dürfen personenbezogene Daten aus dem Internet erhoben und gespeichert werden? Handelt es sich um Listendaten der Varianten C und D, können diese Daten aus dem Internet - zu Werbezwecken - erhoben und gespeichert werden. Nicht zulässig ist es hingegen, wenn ohne das Wissen der Betroffenen pb Daten aus dem WWW, etwa aus Impressen von Internetseiten, erhoben und gespeichert werden. Soll dies trotz dessen geschehen, ist eine schriftliche Einwilligung des Betroffenen von Nöten (siehe Variante A). 9 Hierzu zählt u.a. die Ablieferung an das Archiv der RLS. 10 Wegfall des Speicherzwecks. 10

11 6.. Dürfen Veranstaltungen per beworben werden, ohne dass adressen gespeichert werden? Auch wenn adressen nicht gespeichert werden, ist grundsätzlich vor einer Bewerbung mittels eine Einwilligung des Betroffenen einzuholen 11. Geschieht dies nicht, werden unaufgefordert zugesendete Werbe- s nach 7 Abs. 2 Nr. 3 UWG als unlauter gewertet. 7 Abs. 2 Nr. 3 (Unzumutbare Belästigungen) UWG (2) Eine unzumutbare Belästigung ist stets anzunehmen [ ] 3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. Eine Ausnahme liegt vor, wenn es sich bei dem Betroffenen um eine Person handelt, die sich in einem Vertragsverhältnis zur RLS befindet (siehe Punkt 2, Variante B). 7. Eine Person will Auskunft über seine gespeicherten Daten. Was ist zu tun? Laut 34 Abs. 1 BDSG besteht für den Betroffenen ein Auskunftsanspruch. Dieser kann sich auf folgende Bereiche der gespeicherten Daten beziehen: die zu seiner Person gespeicherten Daten die Herkunft der Daten die Empfänger der Daten, an welche Stelle die Daten weitergegeben werden/ wurden den Zweck der Speicherung Diese Daten sind dem Betroffenen nach Möglichkeit zu nennen. Die Identität des Auskunftsersuchenden ist vor der Auskunftserteilung von der RLS mit geeigneten Mitteln festzustellen. 12 Werden Zweifel an der Identität angemeldet, kann das Auskunftsersuchen in begründeten Fällen ausgeschlagen werden. 8. Eine Person widerspricht der Nutzung seiner Daten für Werbezwecke. Was ist zu tun? 11 Siehe zur Form der Einwilligung FN Beim persönlichen Erscheinen z.b. durch Vorlage des Ausweispapiers. 11

12 Wird von einem Beworbenen vom Widerspruchsrecht ( 28 Abs. 4 BDSG) Gebrauch gemacht - die Schriftform ist hier nicht zwingend erforderlich, ein Anruf genügt ebenso - muss diesem Wunsch umgehend nachgekommen werden! In der praktischen Umsetzung heißt das, dass personenbezogene Daten, die aufgrund von Werbezwecken erhoben und gespeichert wurden, unmittelbar für eine weitere Werbenutzung gesperrt werden müssen. 13 Es ist in jedem Falle darauf zu achten, dass der Betroffene zukünftig keine Werbung, ob über den Brief-Postweg oder per , erhält. Eine entsprechende Bestätigung ist dem Betroffenen zukommen zu lassen: Ihrem Wunsch, von uns keine Werbung mehr zu erhalten, werden wir unverzüglich nachkommen. Damit dies im Hinblick auf zukünftige Werbeaktionen zuverlässig möglich ist, werden wir Sie in unsere Werbesperrdatei aufnehmen. Der Betroffene kann überdies nach 35 Abs. 5 BDSG eine Streichung seiner pb Daten aus den, in Papierform vorliegenden TN-Listen einfordern. 14 Hierzu kann es allerdings nur kommen, wenn schutzwürdige Interessen des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der RLS an der Erhebung, Verarbeitung oder Nutzung seiner Daten übersteigt. Das heißt, nur im begründeten Einzelfall müssen ausgefüllte TN-Listen entsprechend korrigiert werden. 9. An wen dürfen personenbezogene Daten weitergegeben werden? Personenbezogene Daten aus den Varianten A und B, welche zum Zweck der Werbung elektronisch gespeichert und verarbeitet wurden, dürfen nur innerhalb der RLS weitergegeben und entsprechend der Zweckbestimmung genutzt werden. Es muss bei der Weitergabe von Kunden innerhalb der RLS allerdings darauf geachtet werden, ob Kundendaten an Stellen (Auslandsbüros) in der EU respektive EWR oder in ein sogenanntes Drittland weitergeleitet werden sollen. Im Falle einer Weitergabe innerhalb der EU/EWR sieht dies das BDSG nicht als eine Übermittlung an Dritte ( 3 Abs. 8 Satz 3). Soll eine Weitergabe von Kundendaten außerhalb dieses Raumes stattfinden, ist zunächst der Datenschutzbeauftragte zu unterrichten. Eine Weitergabe von Kundendaten an Dritte ist grundsätzlich untersagt! Dritter nach 3 Abs. 8 BDSG: Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. 13 Von einer prinzipiellen Löschung der Daten sehen Datenschutzbehörden ab. Beharrt der Betroffenen allerdings auf die Löschung seiner, für den Zweck der Werbung gespeicherte Daten, so ist diesem Wunsch nachzukommen. 14 Das trifft im Übrigen auch bei pb Daten zu, die bei Vertragsabschlüssen gespeichert wurden. 12

13 Handelt es sich hingegen um Listendaten (Varianten C und D), dürfen pb Daten zu Zwecken der Werbung an Dritte übermittelt, also weiter gegeben werden. Die Weitergabe muss dokumentiert und für 2 Jahre vorgehalten werden ( 34 Abs. 1a Satz 1 BDSG). Nach der Weitergabe der Daten ist von Seiten der RLS darauf zu achten, dass pb Daten vom Empfänger nur zum vorher vereinbarten Zweck der Werbung verwendet werden (Anlage zu 9 Satz 1 BDSG) Was ist bei Verlust von personenbezogenen Daten zu tun? Im Falle des Verlustes von pb Daten - etwa durch Diebstahl von TN-Listen oder durch Datenlecks im DV-System -, welche sich in analoger oder digitaler Form in der Obhut der RLS befinden, ist umgehend der Datenschutzbeauftragte zu informieren. 11. Welche Sanktionen drohen der RLS,, wenn gegen datenschutz-rechtliche Grundsätze verstoßen wird? 43 BDSG enthält einen umfangreichen Katalog von Verstößen gegen das BDSG, die mit Bußgeld belegt werden können. Zwei Verstoß-Kategorien werden hierbei unterschieden: 1. Verstöße gegen Verfahrensvorschriften (Abs. 1): Bußgelder bis zu Euro 2. Verstöße gegen materielle Schutzvorschriften (Abs. 2): Bußgelder bis zu Euro Verstöße nach 43 Abs. 1 können u. a. geahndet werden, wenn: Betroffene nicht auf das Widerspruchsrecht hingewiesen wurden (siehe Punkte 3 und 7) personenbezogene Daten an Dritte übermittelt wurden (siehe Punkt 9) keine Auskunft erteilt werden kann (siehe Punkt 7) Verstöße nach 43 Abs. 2 können u. a. geahndet werden, wenn: unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhoben oder verarbeitet wurden (siehe Punkte 2 und 5) die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschlichen wurden die übermittelten Daten für andere Zwecke genutzt wurden (siehe Punkt 2) die übermittelten Daten nach einem Widerspruch weiterhin für Werbezwecke nutzt (siehe Punkte 3, 6 und7) 13

14 12. Erhebungsvarianten auf einem Blick Erhebungsart Welche Daten dürfen zum Zwecke der Werbung erhoben und gespeichert werden? Einwilligung erforderlich? Werbungswege Muss der Betroffenen auf sein Widerspruchsrecht hingewiesen werden? Gesetzliche Grundlage der Erhebung Personenbezogene Daten dürfen zum Zweck der Werbung erhoben und gespeichert werden, wenn: TN-Liste Alle diejenigen, die für die Erfüllung der jeweiligen Nachweis- und Werbezwecke benötigt werden. Ja Briefpost Telefon Ja der Betroffene schriftlich eingewilligt hat ( 4a Abs. 1 BDSG). Bestandskunden Name, Vorname Akademischer Grad Anschrift Telefonnummer Geburtsjahr Nein Briefpost Ja Daten zur Personen, die in einem rechtgeschäftlichen oder rechtsgeschäftähnlichen Schuldverhältnis zur RLS steht, bereits vorhanden sind ( 28 Abs. 3 Satz 2 Nr. 1 BDSG und 7 Abs. 3 UWG). Berufsbezogene Datenerhebung Name, Vorname Akademischer Grad Dienstanschrift Telefonnummer Geburtsjahr Nein Briefpost Ja ein beruflicher Bedarf bei der zu bewerbenden Person besteht ( 28 Abs. 3 Satz 2 Nr. 2 BDSG). Datenerhebung aus Öffentlichen Verzeichnisse Name, Vorname Akademischer Grad Anschrift Telefonnummer Geburtsjahr Nein Briefpost Ja diese in Öffentlichen Verzeichnissen wie Telefonbüchern, Branchenbüchern oder Adressverzeichnissen aufgelistet sind ( 28 Abs. 3 BDGS) Newsletter adresse Ja Ja der Nutzer gleichzeitig der E- Mailadressen-Inhaber ist und wenn eine Einwilligung des Nutzers vorliegt. ( 13 TMG) 14

15 Fassung: Juni 2011 Bei Fragen oder Anregungen: Gerhard Zschau, oder