Kauf von E-Mail-Adressen: Rechtliche Aspekte

Der Kauf von E-Mail-Datenbanken ist zwar eine effiziente Methode, um einen Kundenstamm, welcher der eigenen Tätigkeit am ehesten entspricht, zu erhalten, aber es handelt sich auch um eine Vorgehensweise mit vielen Beschränkungen, welche die Nutzung der Datenbanken erschwert und in manchen Fällen der Gesetzwidrigkeit sehr nahe kommen kann, wenn das Unternehmen die Bestimmungen der DSGVO nicht beachtet.

Kauf von E-Mail-Datenbanken unterliegt Regeln

Obwohl der Kauf von E-Mail-Datenbanken zahlreiche Vorteile hat, insbesondere das Erlangen der Kontaktdaten von tausenden von potentiellen Kunden und eine massenhafte Verbreitung zu geringen Kosten von Werbeangeboten, ist diese Vorgehensweise gesetzlich geregelt.

Denn auch wenn diese Methode in den meisten Gesellschaft rechtmäßig genutzt wird, kann sie in zahlreichen Fällen eine missbräuchliche Nutzung darstellen. Aus diesem Grund war es notwendig, diese Methode gesetzlich zu regeln, um die personenbezogenen Daten der gezielt angesprochenen Unternehmen und Verbraucher zu schützen. Wenn ein Unternehmen beabsichtigt, sich an einen Dienstleister, der E-Mail-Datenbanken verkauft, zu wenden, muss es sicherstellen, dass diese Datenbank die Anforderungen des französischen Datenschutzgesetzes (Loi Informatique et Libertés) von 1978 erfüllt. Diese Datenbank muss bei der französischen Datenschutzbehörde (Commission nationale de l’Informatique et des libertés, kurz CNIL) angemeldet sein. Diese Anmeldung muss bei jeder wesentlichen Änderung erneuert werden.

Opt-in mit vorheriger Einwilligung für den E-Mail-Versand

Bevor das Unternehmen E-Mail-Datenbanken in Frankreich nutzt, muss es sicherstellen, dass der Verbraucher tatsächlich eingewilligt hat, damit seine Daten genutzt werden, also ein „Opt-in“. Gemäß Artikel L.34-5 des französischen Gesetzbuches über das Postwesen und elektronische Medien (Code des postes et des communications électronique) ist die Einwilligung zu verstehen als die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte Willensbekundung, dass seine personenbezogenen Daten zur Direktwerbung genutzt werden.

Sehr häufig erfolgt diese Einwilligung dadurch, dass der Verbraucher im Rahmen seiner Anmeldung oder eines Kaufs auf einer Website ein Kästchen anklickt, dass er den Erhalt von Werbeangeboten eines Unternehmens oder der Partner dieses Unternehmens akzeptiert.

Allerdings ist die Einholung der Einwilligung nicht zulässig, wenn das Kästchen bereits ausgefüllt ist, denn dies gilt als „passives Opt-in„. Vor dem Kauf einer E-Mail-Datenbank muss das Unternehmen also sicherstellen, dass der Verkäufer der Datenbank die Einwilligung der betroffenen Personen für die Nutzung ihrer personenbezogenen Daten zu kommerziellen Zwecken erhalten hat.

Ausnahmen zur Einwilligungspflicht durch bereits bestehende Handelsbeziehungen gerechtfertigt

Auch wenn der Grundsatz besagt, dass es keine Nutzung der gekauften E-Mail-Datenbanken ohne vorherige Zustimmung geben kann, muss jedoch erwähnt werden, dass es Fälle gibt, in denen die Einwilligung vor dem Kauf oder der Nutzung der E-Mail-Datenbanken nicht notwendig ist. Dies ist insbesondere der Fall, wenn eine kontaktierte Person die Möglichkeit hat, den Empfang der E-Mails beispielsweise über einen Link zur Abbestellung abzulehnen, was im Allgemeinen als „Opt-out“ bezeichnet wird.

Die Einwilligung ist ebenfalls nicht notwendig, wenn der Verbraucher bereits Kunde des Unternehmens ist oder wenn die Werbung sich auf ähnliche Produkte also die vom Unternehmen angebotenen bezieht. Diese Möglichkeit der Ablehnung fällt in den Rahmen des Schutzes der personenbezogenen Daten. Beim Kauf einer E-Mail-Datenbank werden die Personen, die in dieser Datenbank von Privatpersonen eingetragen sind, nicht darüber informiert, dass ihre Daten gekauft wurden. Es ist also normal, dass diese Käufe gesetzlich geregelt werden. Ein Verbraucher muss also einfach und kostenlos den Kauf und die Nutzung seiner personenbezogenen Daten ablehnen können.

E-Mail-Datenbanken von Unternehmen unterliegen flexibleren Regelungen

Die Ausnahme für die Einholung der Einwilligung findet auch Anwendung, wenn eine Gesellschaft kontaktiert wurde (B2B). Die Verordnung (EU) 2016/679 vom 27.04.2016 zum Schutz personenbezogener Daten unterscheidet zwischen E-Mail-Adressen von natürlichen Personen und juristischen Personen (Gesellschaften). Gesellschaften fallen nicht in den Anwendungsbereich der Bestimmungen der DSGVO.

So ist es für die Nutzung von „allgemeinen“ E-Mail-Adressen einer Gesellschaft, zum Beispiel kontakt@gesellschaft.com, nicht notwendig, den Grundsatz der Einwilligung einzuhalten. Wenn es sich allerdings um die Nutzung der geschäftlichen E-Mail-Adressen der Personen, die in der betreffenden Gesellschaft arbeiten, zum Beispiel erika.mustermann@gesellschaft.com, handelt, muss die Werbung einerseits eine Verbindung zum Beruf der kontaktierten Person aufweisen und andererseits muss diese Person der Nutzung ihrer Daten zugestimmt haben und darüber informiert worden sein. Diese Unterscheidung zwischen den beiden Kategorien von E-Mail-Adressen ergibt sich daraus, dass im zweiten Fall eine Identifizierung der kontaktierten Personen möglich ist, während im ersten Fall nur die Gesellschaft identifiziert werden kann.

Information über die Nutzung der gekauften Daten

Zusätzlich zur Einholung der Einwilligung der Verbraucher unterliegt das Unternehmen einer Informationspflicht in Bezug auf die Nutzung der gekauften Daten. Diese Pflicht betrifft insbesondere eine Information in Bezug auf die Identität des Verantwortlichen für den Kauf der Daten, den verfolgten Zweck oder auch die Rechte, über die die Kunden in Bezug auf die Nutzung ihrer personenbezogenen Daten verfügen.

Das Unternehmen muss diese Informationspflicht einhalten, selbst dann, wenn sie diese Daten auf indirekte Weise gemäß Artikel 32 III des französischen Datenschutzgesetzes (Loi Informatique et Libertés), also bei einem Dritten und nicht unmittelbar bei den betroffenen Personen, erworben hat. Es ist zu beachten, dass das Unternehmen trotz der Information in Bezug auf den Kauf und die Nutzung der Daten die Personen, deren Daten genutzt werden, auch darüber informieren muss, ob sie vorhat, diese Daten mit Drittunternehmen zu teilen.

Speicherdauer der gekauften Datenbanken

Des Weiteren muss ein Unternehmen beim Kauf von E-Mail-Datenbanken auch sicherstellen, dass die Speicherfrist dieser Datenbanken eingehalten wird. Bei personenbezogenen Daten müssen die Daten der Kunden gelöscht werden, wenn die kontaktierte Person drei Jahre lang nicht geantwortet hat. Personen, deren personenbezogene Daten gekauft wurden, haben gemäß Artikel 17 I der Datenschutz-Grundverordnung auch ein Recht auf Löschung ihrer personenbezogenen Daten, wenn sie eine entsprechende Anfrage stellen.

Zusammenfassung

Es ist wichtig sicherzustellen, dass die kontaktierten Personen die Möglichkeit haben, die Löschung ihrer Daten zu beantragen, oder dass die vorherige Einwilligung der betroffenen Personen für die Nutzung ihrer personenbezogenen Daten im Rahmen einer B2C-Beziehung eingeholt wurde. Aber in jedem Fall muss diesen Personen ein einfacher und schneller Weg, um sich der Nutzung ihrer personenbezogenen Daten zu widersetzen, zur Verfügung gestellt werden. Der Kauf der E-Mail-Datenbanken hängt also allein vom Willen und der Bereitschaft der Personen, deren personenbezogene Daten erhoben werden, ab. Es ist also von entscheidender Bedeutung, die Bestimmungen der DSGVO sorgfältig zu beachten, da andernfalls Geldbußen von 2 % bis 4 % des Umsatzes drohen.

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Photo: Monster Ztudio