So banal wie es klingt ist eine einfache Anfrage zur Auskunft oder Löschung der eigenen Daten keineswegs. Kaum einem Bürger ist bewusst, was es für Unternehmen bedeutet, vom Recht auf Auskunft personenbezogener Daten nach Artikel 15 der DSGVO oder Löschung nach Artikel 17 Abs. 1 und 2 der DSGVO Gebrauch zu machen. Denn oftmals ist von dieser Anfrage nicht nur das werbetreibende Unternehmen betroffen, sondern auch beauftragte Dienstleister. Versendet ein Unternehmen beispielsweise einen Werbekatalog, kann die Anfrage des Kunden durchaus auch beim beauftragten Dienstleister landen, dem so genannten Auftragsdatenverarbeiter.
Ein fiktiver Fall
Anschaulich wird dies anhand eines fiktiven Beispiels. Das Unternehmen Sportheute GmbH versendet einen Werbekatalog an Max Skeptikus, der vor drei Jahren etwas bestellt hat. Max Skeptikus möchte keine Werbung mehr erhalten. Er beantragt bei der Sportheute GmbH eine Löschung seiner personenbezogenen Daten und Auskunft darüber, wohin seine Daten weitergegeben wurden.
Löschen heißt nicht gleich löschen
Max Skeptikus geht davon aus, dass seine Daten umgehend gelöscht werden – doch weit gefehlt. Denn für die Sportheute GmbH gelten noch andere Pflichten außer der DSGVO, zum Beispiel die Pflicht zur Aufbewahrung von Dokumenten zu einem Auftrag. Weil Max Skeptikus vor drei Jahren etwas gekauft hat, muss die Sportheute GmbH die zugehörige Rechnung für zehn Jahre aufbewahren. Deshalb bleibt Max Skeptikus auch nach seinem Löschungsantrag unter Umständen noch sieben weitere Jahre in der Datenbank der Sportheute GmbH gespeichert. Nur wenn die gespeicherten, personenbezogenen Daten keinem anderen Gesetz unterliegen, müssen sie sofort gelöscht werden.
Keine Auskunft möglich
Max Skeptikus hat von der Sportheute GmbH die Auskunft erhalten, dass die Daten an den Auftragsdatenverarbeiter ZiemlichBesteAdresse GmbH weitergegeben wurden. Die ZiemlichBesteAdresse GmbH bereitet Adressen auf und gibt sie zum Kuvertieren an einen Lettershop weiter. Nun möchte Max Skeptikus auch beim Auftragsdatenverarbeiter von seinem Recht auf Löschung Gebrauch machen. Seine personenbezogenen Daten bei der ZiemlichBesteAdresse GmbH unterliegen jedoch dem Vertragsrecht (DSGVO Artikel 28 (3a)). Das sieht normalerweise keine Auskunftsfreigabe vor. Die ZiemlichBesteAdresse GmbH ist durch diesen Vertrag an die Weisungen der Sportheute GmbH gebunden. Demnach kann die ZiemlichBesteAdresse GmbH die Anfrage von Max Skeptikus nur auf eine Art und Weise beantworten: Als Auftragsdatenverarbeiter darf sie keine Auskunft darüber geben, ob Max Skeptikus irgendwo in einem bei ihr gespeicherten Datensatz erfasst ist oder nicht. Deshalb kann die ZiemlichBesteAdresse GmbH seine Kundendaten auch nicht löschen und Max Skeptikus nur wieder an die verantwortliche Stelle, in diesem Fall die Sportheute GmbH, verweisen. Wäre Max Skeptikus gleichzeitig ein Kunde von beiden Unternehmen, dann müsste auch die ZiemlichBesteAdresse GmbH eine Auskunft geben und eine Löschung vornehmen, aber nur für die personenbezogenen Daten, die sie selber erhoben hat.
Durch Anfrage gespeichert
Hatte die ZiemlichBesteAdresse GmbH Max Skeptikus bis zu diesem Zeitpunkt nicht als eigenen Kunden erfasst hat, muss sie dies jetzt tun und wird nun selbst zum Verantwortlichen. Denn durch die Anfrage hat Max Skeptikus einen neuen Dokumentations-Prozess in Gang gesetzt. Um nachzuweisen, dass die Anfrage ordnungsgemäß bearbeitet wurde, muss die ZiemlichBesteAdresse GmbH den Vorgang speichern. Damit kommt die ZiemlichBesteAdresse GmbH den in der DSGVO geforderten Aufbewahrungs- und Dokumentationspflichten (Art. 5 Abs. 2 DSGVO) nach. Nun ist Max Skeptikus durch seine eigene Anfrage für mindestens drei Jahre bei der ZiemlichBesteAdresse GmbH gespeichert. Denn nur so kann die ZiemlichBesteAdresse GmbH den nötigen Nachweis erbringen, falls gerichtliche Bußgelder drohen. Nun muss die ZiemlichBesteAdresse GmbH Max Skeptikus gemäß ihrer Informationspflicht (Art. 13) in einem Antwortschreiben über diese Speicherung und seine Rechte informieren.
DSGVO Fazit
Sein eigentliches Ziel hat Max Skeptikus nicht erreicht: eine sofortige Löschung seiner Daten bei der Sportheute GmbH. Denn die DSGVO stärkt zwar das „Recht auf Vergessenwerden“ und das Auskunftsrecht, doch der Teufel steckt im Detail.
Über den Autor: Edgar Praun (siehe Foto) ist Geschäftsführer von pbdirekt und beschäftigt sich neben seinem Schwerpunkt im Bereich CRM, mit Vertragswesen und Datenschutzthemen. Er gibt bei Kunden Datenschutzschulungen mit Schwerpunkt CRM und Dialogmarketing.
Die IT- und Dialogmarketing-Experten von pbdirekt wissen genau, welche Ihrer Kunden Sie mit Print-Werbung am effektivsten erreichen.
Wer denkt nicht über neue Wege nach, um seine Kunden zu erreichen. Print-Produkte kommen dabei den Wenigsten in den Sinn – zu abgedroschen und veraltet. Dabei erlebt Print im Marketing eine Renaissance.
Gerade weil wir so viel Zeit online verbringen und im Internet mit Werbung überhäuft werden, fällt Print wieder auf. Deshalb gehört Print zu jeder guten Multi-Channel-Strategie – egal ob B2C oder B2B. Doch Print-Werbung wirkt nur, wenn die Adresse stimmt und sie beim richtigen Empfänger landet.
Genau hier kommt pbdirekt ins Spiel. Seit mehr als 30 Jahren arbeiten die Spezialisten für Datenqualität daran, Adressen von Bestands- und Neukunden zu analysieren, zu bereinigen und genau die Personen auszuwählen, die wirklich an Ihren Angeboten interessiert sind. Zunächst prüft pbdirekt die postalische Richtigkeit, erkennt in einem mehrstufigen Verfahren zuverlässig Dubletten, sortiert unzustellbare Adressen oder die von Verstorbenen aus und aktualisiert die Adressdaten bei Umzügen.
Das erhöht die Zustellbarkeit Ihrer postalischen Werbemittel. Um die Response-Quoten zusätzlich zu optimieren, reichern die Analysten die Adressen mit externen Daten an. Weil pbdirekt unabhängig arbeitet, stehen den Experten hierfür verschiedene Datenbanken zur Verfügung. So bezieht pbdirekt deutlich mehr Faktoren als üblich in die Adressauswahl mit ein. Mit Scoring-Modellen identifizieren die Experten die response-stärksten Adressen für Ihr Angebot. Damit sich Ihre Marketingaktionen lohnen.
Datensicherheit ist bei pbdirekt sichergestellt und das nicht erst seit Einführung der DSGVO.
pbdirekt – Setzen Sie auf Werbung, die ankommt!
pbdirekt Praun, Binder und Partner GmbH
Motorstraße 25
70499 Stuttgart
Telefon: +49 (711) 83632-55
Telefax: +49 (711) 83632-36
http://www.pbdirekt.de
Mail Address Management
Telefon: +49 (711) 83632-55
E-Mail: j.hoenle@pbdirekt.de