Wie verkauft und kauft man Adressdaten in Zeiten von DSGVO und GDPR?

Oct 30, 2022 (0) comment

Seitdem die Datenschutzgrundverordnung (“DSGVO”) am 25. Mai 2018 in Kraft getreten ist, erhalte ich viele Fragen von Kunden, was nach der DSGVO noch erlaubt ist. In diesem Blogpost geht es um die Frage:

Wie kann man Kundendaten unter der GDPR verkaufen?
Warum Adressdaten verkaufen?

Bei Fusionen und Übernahmen (M&A) zwischen Unternehmen kann eine Kundenliste von großem Wert sein. Ein Käufer möchte vielleicht mit den Kunden in Kontakt treten, um die Dienstleistungen des Verkäufers fortzuführen oder andere Produkte oder Dienstleistungen anzubieten. Die Datenschutz-Grundverordnung enthält strengere Regeln für die Verwendung personenbezogener Daten. Die Frage ist also: Ist es noch erlaubt, Kundendaten zu verkaufen, und wie?
Kundendaten sind personenbezogene Daten

Die erste Frage ist, ob die DSGVO auf B2B Adressdaten anwendbar ist. Die Antwort lautet ja, wenn die Kundenliste personenbezogene Daten enthält, was in der Regel der Fall ist. Die Definition von personenbezogenen Daten ist so weit gefasst, dass alle Daten, die etwas über eine natürliche Person aussagen, als personenbezogene Daten gelten. Auch ein Business-to-Business-Unternehmen (B2B) hat personenbezogene Daten. Geschäftliche E-Mail-Adressen mit den Namen von Kontaktpersonen sind personenbezogene Daten. Telefonnummern und Handynummern sind personenbezogene Daten. Die Datenschutz-Grundverordnung gilt also auch für eine Kundendatenbank. Die Übertragung einer Kundendatenbank ist eine Form der “Verarbeitung” von personenbezogenen Daten. In diesem Blogpost werde ich kurz darauf eingehen, was Sie wissen sollten, wenn Sie eine Kundendatenbank verkaufen möchten.
Rechtmäßige Verwendung von personenbezogenen Daten

Nach der Datenschutz-Grundverordnung muss jede Verarbeitung personenbezogener Daten rechtmäßig sein. Um rechtmäßig zu sein, muss einer der in Artikel 6 der Datenschutz-Grundverordnung genannten Rechtsgründe vorliegen. Die “Einwilligung” ist eine der möglichen Rechtsgrundlagen, aber nicht die einzige. Andere Rechtsgründe für die Verwendung personenbezogener Daten sind: die Notwendigkeit für die Erfüllung eines Vertrags, die Einhaltung von Gesetzen oder ein berechtigtes Interesse. Der Begriff “berechtigtes Interesse” wird allgemein verwendet, zum Beispiel für die Kameraüberwachung. Es kann argumentiert werden, dass ein berechtigtes Interesse besteht, eine Kundendatenbank zu verkaufen.

Halten Sie sich an den Zweck

Nach der Datenschutz-Grundverordnung dürfen personenbezogene Daten nur für die Zwecke verwendet werden, für die sie erhoben wurden, die so genannte “Zweckbindung”. Die Zwecke müssen den Kunden im Voraus in einer Datenschutzerklärung mitgeteilt werden. Ein Verkauf der Kundendatenbank wird jedoch häufig nicht in eine Datenschutzerklärung aufgenommen. Und wenn ein Käufer andere Produkte oder Dienstleistungen anbieten will, ergibt sich ein anderer Zweck. Der neue Zweck muss nach der Datenschutz-Grundverordnung erneut geprüft werden. Eine neue Verwendung personenbezogener Daten bedeutet, dass auch die Datenschutzerklärung geändert werden muss. Wenn die Datenschutzerklärung geändert wurde, müssen die Kunden im Voraus über den neuen Zweck informiert werden und in einigen Fällen ihre Zustimmung geben.

Opt-in oder Opt-out?

Für die elektronische Kommunikation (z. B. E-Mails) gelten im Telekommunikationsgesetz, auch “Spam-Gesetz” genannt, besondere Vorschriften. Die Grundregel besagt, dass es verboten ist, personenbezogene Daten ohne die vorherige Zustimmung der betroffenen Person (Opt-in) für Werbe-E-Mails zu verwenden. Diese Zustimmung muss aktiv erteilt werden, z. B. durch Ankreuzen eines Kästchens oder durch Anklicken eines Zustimmungsbuttons. Der Absender der E-Mail sollte in der Lage sein zu beweisen, dass die Zustimmung erteilt wurde. Alle E-Mails sollten eine einfache Möglichkeit enthalten, sich für weitere E-Mails abzumelden (Opt-out).

Ausnahme für bestehende Kunden

Es gibt eine Ausnahme von der “Opt-in”-Regel. Es ist keine Zustimmung erforderlich, wenn eine Kundenbeziehung besteht. Sie dürfen also Werbe-E-Mails an Ihre bestehenden Kunden senden, wenn es sich um “ähnliche Produkte und Dienstleistungen” handelt.

Wenn ein Käufer jedoch nur eine Kundendatenbank und nicht die Kundenverträge erwirbt, besteht kein Vertragsverhältnis und die Ausnahme gilt nicht. Eine Übernahme der Kundenverträge erfordert nach wie vor eine (stille) “Mitwirkung” der Kunden, die ich als “No Objection”-Regel bezeichne.

Die “No objection”-Regel

Ein Verkauf einer Kundendatenbank ist zulässig, wenn die Kunden im Vorfeld über den Verkauf informiert wurden und die Möglichkeit haben, der Übertragung zu widersprechen. Wenn sie nicht innerhalb einer bestimmten Frist (2 bis 4 Wochen gelten als angemessen) widersprochen haben, dürfen die personenbezogenen Daten an den Käufer übertragen werden. Widerspricht ein Kunde der Übermittlung, dürfen die personenbezogenen Daten dieses Kunden nicht übermittelt werden.

Ein Nachteil dieser “Kein-Widerspruch”-Regel ist, dass sie Zeit in Anspruch nimmt und zu einem Verlust von Kunden führen kann (wenn viele Kunden widersprechen). Diese Regelung ist jedoch praktischer als die Einholung der Zustimmung aller Kunden, was zu einem höheren Kundenverlust führen kann.

 

Comment (0)

Leave a Comments