Hallöchen,
ich habe hier mal wieder eine recht eigenartige datenschutzrechtliche Ansicht einer Firma und würde dazu gerne mal eine paar Meinungen bezüglich Datenschutzrecht austauschen. Weil mein Eindruck der Firma in Sachen Datenschutz ist “absolut sicheres auftreten bei völliger Ahnungslosigkeit”. Will heißen die wollen mir meiner Meinung nach die Taschen voll hauen und sind sich dabei absolut sicher, dass das was sie machen datenschutzurechtlich absolut rechtmäßig ist, weil sie das ja schon seit Jahren so machen.
Worum geht’s:
Firma X will Werbung per Email als coldmailing versenden. Coldmailing bedeutet, dass Firma X die Werbung ausschließlich an Betroffene versenden möchte, die der Firma X bisher werder bekannt waren noch zu denen Firma X bisher kontakt hatte. Auch die Betroffenen kennen also Firma X bisher nicht. Firma X hat demzufolge auch keine Werbeinwilligung für Emailwerbung von den Betroffenen.
Deswegen nutzt Firma X das Listbrokerverfahren. Beim vom der Firma X in Anspruch genommenen Listbrokerverfahren waren mehrere Unternehmen (sechs Unternehmen inklusive Firma x) in Reihe beauftragt, die Konzeption, Fertigung und Versendung der Emailwerbung an die Betroffenen zu erbringen. Die persönlichen Daten der Betroffenen waren dabei allein dem letzbeauftragten Unternehmen bekannt. Das letztbeauftragte Unternehmen ist dabei der Listeigner. Bei dem Listeigner handelt es sich um eine Firma mit Sitz in Großbritanien. Auch gegenüber dem Listeigner mit Sitz in Großbritanien haben die Betroffenen keine Werbeinwilligung für Emailwerbung erteilt.
Firma X konnte keine Einwilligung in die E-Mailwerbung nachweisen und verweiste auf den nächsten in der Kette, dieser wieder auf den nächsten usw. usw. Bis zur Firma X mit Sitz in Großbritanien. Von Dort kommt dann ein Protokoll einer angeblich erteilen Einwillgungn mit falschem Namen aber richtiger E-Mail Adresse, weil der Betroffene auf der Webseite X an einem Gewinnspiel teilgenommen haben soll und dort seine Einwillgung für den Erhalt von Emailwerbung erteilt haben soll, was nicht zutreffend ist. Die E-Mailadressen vom Listeigner stammen wahrscheinlich aus dubiosen Pools oder wurden etwa aus Chat-Räumen oder von Homepages zusammengetragen.
Vielleicht liege ich mit meiner Rechtsauffassung auch falsch, aber ich bin bisher immer davon ausgegangen, dass sich das Listbrokerverfahren im Emailmarketing mit der DSGVO erledigt hat und auch datenschutzrechtlich nicht mehr zulässig ist.
Insbesondere bei dem genannten Coldmailings ist es doch für den Betroffenen gar nicht nachvollziehbar, aus welchem Grund er die Werbung von Firma X erhält, wer datenschutzrechtlich dafür verantwortlich ist und gegenüber welcher der sechs Firmen er seine Betroffenenrechte geltend machen kann.
Zwar ist die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung ein berechtigtes Interesse der Firma X, jedoch findet das meiner Minung nach keine Anwendung bei Coldmailing, denn die Betroffenen hatten bisher noch keine Beziehung zu Firma X und daher konnte Firma X nicht davon ausgehen, dass die Betroffenen eine entsprechende Werbung erwarten.
Darüber hinaus liegt hier meiner Meinung nach eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO vor, da die sechs Unternehmen den Zweck, die Konzeption, Fertigung der Emailwerbung festlegen und die Zielgruppe definieren, der beauftragten Listbroker jedoch über die Mittel zur Durchführung der Werbemaßnahme in Form des Adressdatenbestands und der Möglichkeit der Selektion verfügt, werden die Zwecke und Mittel der Verarbeitung von allen gemeinsam festgelegt.
Demzufolge müßten die Unternehmen nach Art. 26 Abs. 1 DSGVO eine Vereinbarung abzuschließen, aus der die jeweiligen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen hervorgehen muss. In einer solchen Vereinbarung müßte doch auch festgelegt sein, welches Unternehmen welche Verpflichtung gemäß der DSGVO erfüllt. Gemäß DSGVO müssen die wesentlichen Teil der Vereinbarung auch den Betroffenen zur Verfügung gestellt werden. Das konnte bisher allerdings keines der sechs Unternehmen, da eine solche Vereinbarung bisher nicht abgeschlossen wurde.
Daher meine Frage:
Ist das was die Firma X macht “coldmailing” - Werbung per E-Mail an bisher unbekannte Betroffene per Listbrokerverfahren gemäß DSGVO überhaupt noch zulässig?
Handelt es sich hier wie von mit vermutet um eher um eine gemeinsamen Verantwortlichkeit der sechs Unternehmen oder um eine Auftragsdatenverarbeitung der sechs Unternehmen?
Danke schon eine mal für die Antworten udn die Diskussion.
Ich wünsche euch eine schönes Wochenende.
Gruß Stingray