Listbrokerverfahren im Emailmarketing (Coldmailing)

Hallöchen,

ich habe hier mal wieder eine recht eigenartige datenschutzrechtliche Ansicht einer Firma und würde dazu gerne mal eine paar Meinungen bezüglich Datenschutzrecht austauschen. Weil mein Eindruck der Firma in Sachen Datenschutz ist “absolut sicheres auftreten bei völliger Ahnungslosigkeit”. Will heißen die wollen mir meiner Meinung nach die Taschen voll hauen und sind sich dabei absolut sicher, dass das was sie machen datenschutzurechtlich absolut rechtmäßig ist, weil sie das ja schon seit Jahren so machen.

Worum geht’s:
Firma X will Werbung per Email als coldmailing versenden. Coldmailing bedeutet, dass Firma X die Werbung ausschließlich an Betroffene versenden möchte, die der Firma X bisher werder bekannt waren noch zu denen Firma X bisher kontakt hatte. Auch die Betroffenen kennen also Firma X bisher nicht. Firma X hat demzufolge auch keine Werbeinwilligung für Emailwerbung von den Betroffenen.
Deswegen nutzt Firma X das Listbrokerverfahren. Beim vom der Firma X in Anspruch genommenen Listbrokerverfahren waren mehrere Unternehmen (sechs Unternehmen inklusive Firma x) in Reihe beauftragt, die Konzeption, Fertigung und Versendung der Emailwerbung an die Betroffenen zu erbringen. Die persönlichen Daten der Betroffenen waren dabei allein dem letzbeauftragten Unternehmen bekannt. Das letztbeauftragte Unternehmen ist dabei der Listeigner. Bei dem Listeigner handelt es sich um eine Firma mit Sitz in Großbritanien. Auch gegenüber dem Listeigner mit Sitz in Großbritanien haben die Betroffenen keine Werbeinwilligung für Emailwerbung erteilt.

Firma X konnte keine Einwilligung in die E-Mailwerbung nachweisen und verweiste auf den nächsten in der Kette, dieser wieder auf den nächsten usw. usw. Bis zur Firma X mit Sitz in Großbritanien. Von Dort kommt dann ein Protokoll einer angeblich erteilen Einwillgungn mit falschem Namen aber richtiger E-Mail Adresse, weil der Betroffene auf der Webseite X an einem Gewinnspiel teilgenommen haben soll und dort seine Einwillgung für den Erhalt von Emailwerbung erteilt haben soll, was nicht zutreffend ist. Die E-Mailadressen vom Listeigner stammen wahrscheinlich aus dubiosen Pools oder wurden etwa aus Chat-Räumen oder von Homepages zusammengetragen.

Vielleicht liege ich mit meiner Rechtsauffassung auch falsch, aber ich bin bisher immer davon ausgegangen, dass sich das Listbrokerverfahren im Emailmarketing mit der DSGVO erledigt hat und auch datenschutzrechtlich nicht mehr zulässig ist.
Insbesondere bei dem genannten Coldmailings ist es doch für den Betroffenen gar nicht nachvollziehbar, aus welchem Grund er die Werbung von Firma X erhält, wer datenschutzrechtlich dafür verantwortlich ist und gegenüber welcher der sechs Firmen er seine Betroffenenrechte geltend machen kann.
Zwar ist die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung ein berechtigtes Interesse der Firma X, jedoch findet das meiner Minung nach keine Anwendung bei Coldmailing, denn die Betroffenen hatten bisher noch keine Beziehung zu Firma X und daher konnte Firma X nicht davon ausgehen, dass die Betroffenen eine entsprechende Werbung erwarten.

Darüber hinaus liegt hier meiner Meinung nach eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO vor, da die sechs Unternehmen den Zweck, die Konzeption, Fertigung der Emailwerbung festlegen und die Zielgruppe definieren, der beauftragten Listbroker jedoch über die Mittel zur Durchführung der Werbemaßnahme in Form des Adressdatenbestands und der Möglichkeit der Selektion verfügt, werden die Zwecke und Mittel der Verarbeitung von allen gemeinsam festgelegt.
Demzufolge müßten die Unternehmen nach Art. 26 Abs. 1 DSGVO eine Vereinbarung abzuschließen, aus der die jeweiligen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen hervorgehen muss. In einer solchen Vereinbarung müßte doch auch festgelegt sein, welches Unternehmen welche Verpflichtung gemäß der DSGVO erfüllt. Gemäß DSGVO müssen die wesentlichen Teil der Vereinbarung auch den Betroffenen zur Verfügung gestellt werden. Das konnte bisher allerdings keines der sechs Unternehmen, da eine solche Vereinbarung bisher nicht abgeschlossen wurde.

Daher meine Frage:
Ist das was die Firma X macht “coldmailing” - Werbung per E-Mail an bisher unbekannte Betroffene per Listbrokerverfahren gemäß DSGVO überhaupt noch zulässig?
Handelt es sich hier wie von mit vermutet um eher um eine gemeinsamen Verantwortlichkeit der sechs Unternehmen oder um eine Auftragsdatenverarbeitung der sechs Unternehmen?

Danke schon eine mal für die Antworten udn die Diskussion.
Ich wünsche euch eine schönes Wochenende.

Gruß Stingray

Generell ist jede Verarbeitung zulässig, die nicht gegen geltende Gesetze verstößt. Wenn es eine Rechtsgrundlage für die Verarbeitung - hier also vermutlich die Einwilligung - gibt und auch Rechtsgrundlagen für Datenweitergaben mit den entsprechenden Vereinbarungen (AV oder Joint Controller), dann späche sicher nichts dagegen.

Wenn allerdings Ketten gebildet werden und der Anfang im Drittland liegt, dann ist das schonmal dubios und deutet auf vorsätzliche Täuschung oder Betrug hin. Also lieber die Finger davon lassen.

Ich vertrete ohnehin die Auffassung, dass jegliche Verarbeitungen, bei denen eine Einwilligung nötig ist, weil es keine vernünftige Rechtsgrundlage gibt, unterlassen oder sogar verboten gehören. Niemand würde freiwillig eine Einwilligung für solche dubiose Verarbeitungen geben - genau deswegen gibt es ja auch keine andere - vernünftige - Rechtsgrundlage. Im täglichen Leben erkennt man das daran, dass die Einwilligung in der Regel abgepresst wird mit Nudging oder mit “Hier müssen Sie noch unterschreiben wegen dem Datenschutz.”

Einwilligung, von wem auch immer behauptet, wird nicht gehen, weil es super offensichtlich keine gibt.

Also “berechtigtes Interesse”, weil ja auch Direktwerbung nach Erwägungsgrund 47 DSGVO ein solches Interesse sein kan. Das schafft aber die nötige Prüfung der Zulässigkeit nicht: weil es 1. nicht “berechtigt” sein kann, nachdem es gegen ein anderweitiges gesetzliches Verbot aus § 7 Abs. 2 UWG verstößt, und 2. die Rechte und Freiheiten der betroffenen Personen ganz klar überwiegen, die wahrscheinlich nicht übers Ohr gehauen werden wollen.

D., der viel Spaß mit wettbewerbsrechtlichen Abmahnungen wünscht. Unabhängig von der Verantwortung für die personenbezogenen Daten wirbt ja Unternehmen X; und zwar belästigend. Wenn schon alles egal ist, werden die Dienstleister vielleicht nicht genug betonen, dass X nicht für die Verarbeitung verantwortlich ist. Außerdem wird sich so die Meinung zu Marken und Produkten bestimmt nicht positiv entwickeln.

Bei E-Mail-Werbung in Deutschland ist gerade auch das UWG zu beachten, dass in dem geschilderten Fall sicher eine Einwilligung der Betroffenen verlangt.

Kurz um UWG:
Der Fokus liegt hier auf §7 UWG unzumutbare Belästigungen, der im Schwerpunkt auf elektronische Kommunikation (Telefon, E-Mail u.ä) abstellt. „Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.“ Verkürzt gesagt, kann Werbung nur mit Einwilligung und in verständlicher und transparenter Form erfolgen. Ausnahmen bestehen im Rahmen der Datenerhebung in Verkaufsprozessen auch für ähnliche Waren mit Informationspflicht und Widerspruchsrecht.

Der vermeintliche Trick liegt hier darin, dass nicht das Unternehmen Daten verarbeitet bzw. Leute belästigt, in dessen Namen /für dessen Produkte geworben werden soll. Nachdem “X” das… bestellt, bin ich mir beim UWG nicht sicher, ob es nicht doch belangt werden kann.

Die Absender, die Adressen aus ihrem Datenpool nutzen sitzen manchmal nicht in der EU (Schweiz, UK). Doch nachdem sie Daten von Adressaten aus der EU verarbeiten (die EU mit ihrer Aktion beglücken), sind sie datenschutzrechtlich Verantwortlicher. Sie müssen die DSGVO einhalten, brauchen einen Erlaubnistatbestand, haben Transparenzvorschriften zu erfüllen… Es wird i. d. R. keine echte Einwilligung vorliegen; gegen berechtigte Interessen spricht die belästigende Wirkung.

D., der so oder so keine Zulässigkeit sieht.

Hallo,
sorry, aber das stimmt meiner Meinung nach so nicht.
Generell ist jede Verarbeitung personenbezogener Daten verboten, es sei denn, es liegt eine Erlaubnis (entweder in Form einer Einwilligung oder einer Rechtsgrundlage) vor.
Das ist das sogenannte “Verbot mit Erlaubnisvorbehalt”.
Nicht bös gemeint!
Klugsch…er-Modus wieder aus

Ist aber exakt dieselbe Aussage. Wenn es keine Rechtsgrundlage gibt, verstoßt die Verarbeitung gegen das Gesetz. Wenn doch, ist sie zulässig.

Nehmen wir mal den jedenfalls zu erfüllenden Datenschutz-Grundsatz “Rechtmäßigkeit” und seine Auffächerung, mindestens einen von sechs Erlaubnistatbeständen zuordnen zu können als geltendes Gesetz…

D., der aktuell keinen Streit zu diesem Aspekt sieht.