Fallen Firmendaten eigentlich unter die DSGVO? Kann ich Werbung per E-Mail an eine GmbH senden?

Wie eine E-Mail mich in’s Grübeln brachte.

Kann ich die Kontaktdaten einer GmbH trotz DSGVO speichern und sie für Werbung nutzen? Vielen ist inzwischen klar, dass die DSGVO personenbezogene Daten schützen möchte, aber wie sieht das mit den Adressdaten von Firmen aus? Fallen die eigentlich unter die DSGVO? 

Heute Morgen erhielt ich eine freundliche E-Mail von Frau Nadine Sommer (Name aus Datenschutzgründen natürlich geändert), in der sie mir aus heiterem Himmel die fantastischen Vorzüge von Aluminium-Kisten anpries. Wie ich jetzt weiß sind diese hervorragend zur Lagerung geeignet, in drei verschiedenen Größen lieferbar und – als wenn das nicht schon Grund genug für eine schnelle Bestellung wäre – sie sind auch abschließbar! Fantastisch! Vorsicht, bei der Abbildung oben handelt es sich nur um einen Serviervorschlag.

Meine Aufmerksamkeit wurde allerdings auf einen ganz anderern Teil der E-Mail gelenkt. Da stand der Satz: „DSGVO Datenschutzhinweis: Keine persoenlichen Daten gespeichert oder verarbeitet. Lediglich Firmendaten.

Natürlich handelt es sich bei dieser E-Mail um ganz schnöden Spam, der es nicht einmal mehr Wert ist, sich darüber aufzuregen. Aber trotzdem nagte dieser Satz an mir. Denn mir viel auf, dass ich die ganze Zeit – wie selbstverständlich – davon ausgegangen war, dass Firmendaten auch unter die DSGVO fallen. Aber ist dem wirklich so? Das musste ich recherchieren und tatsächlich ist die Antwort gar nicht so einfach, wie man vielleicht am Anfang vermuten mag.

Wann, bzw. für wen oder was gilt die DSGVO?

Wenn wir wissen wollen, ob die DSGVO für Kontaktdaten für Firmen gilt, müssen wir zu allererst wissen, wofür sie überhaupt gilt.

Die Frage ist im Artikel 2 „Sachlicher Anwendungsbereich“ der DSGVO beantwortet. Für unsere Fragestellung läßt er sich verkürzen auf: die DSGVO gilt für „[…] die Verarbeitung personenbezogener Daten […]“ (Artikel 2, Absatz 1)

Wobei der rein private Kontext noch einmal ausgenommen ist, aber Frau Sommer möchte mein Lager mir Aluminiumboxen optimieren und diese zu mir liefern. Das ist dann definitiv ein gewerblicher Kontext. Zumal sie sich selber darauf beruft: „Lediglich Firmendaten“.

Die DSGVO gilt also „nur“ für personenbezogene Daten, dass führt uns zur nächsten Überlegung.

Was sind personenbezogene Daten?

Die Antwort auf diese Frage gibt die DSGVO in Artikel 4, Absatz 1 in detaillierter Form:

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Hier wird explizit von einer „natürlichen Person“ gesprochen. Die Daten einer GmbH (wie in meinem Fall) sind aber die Daten einer „juristischen Person“.

Da steht erst einmal nichts von Kontaktdaten einer Firma. Können wir trotzdem eine Aussage treffen?

Sind Kontakt-Daten von Firmen personenbezogene Daten?

Um diese Frage zu beantworten, müssen wir berücksichtigen, dass es unterschiedliche Rechtsformen in Deutschland gibt unter denen wir tätig sein können.

Selbstständige und Personengesellschaften

Betrachten wir als erstes Selbstständige und Personengesellschaften also zum Beispiel:

Tolle Firma
Inh. Klaus Müller
Musterweg 1
12345 Musterstadt

Die Daten des Inhabers sind quasi die Daten der Personengesellschaft. Wenn ich hier versuchen würde im Sinne von Frau Sommer zu argumentieren, und behaupte, dass es sich bei den Daten „lediglich um Firmendaten“ handelt – was ich persönlich schon arg zweifelhaft finde, fallen diese Daten meiner Meinung nach trotzdem unter die DSGVO:

  1. Es sind per se personenbezogene Daten (da keine juristische Person beteiligt).
  2. Selbst wenn 1. nicht zutreffen würde… wir hätten eine „identifizierbar natürliche Person“, was nach Artikel 4 eindeutig unter die DSGVO fällt.

Juristische Personen

Nun zu juristischen Personen: als juristische Person bezeichnet man im Recht eine Personenvereinigung oder ein Zweckvermögen mit gesetzlich anerkannter Rechtsfähigkeit.

Also z.B. eine GmbH oder GmbH & Co. KG., diese sind juristische Personen und haben natürliche Personen, die für sie handeln: z.B. Geschäftsführer.

Tolle Firma GmbH
Musterweg 1
12345 Musterstadt

Eine „juristische Person“ ist KEINE „natürliche Person“, sie kann vom Gesetz her nur manchmal an ihre Stelle treten.

Aber sind sie quasi eine identifizierbare natürliche Person? Die DSGVO ist hier ganz klar, denn es gibt den Erwägungsgrund 14 „Keine Anwendung auf juristische Personen“.

In dem steht eindeutig:

Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

Damit hätte Frau Sommer recht, sie dürfte tatsächlich die Daten meiner GmbH (zumindest, was die DSGVO angeht) speichern.

Aber Vorsicht

Gerade im Impressum sind juristische Personen dazu verpflichtet Organmitglieder (Vorstände, Aufsichtsräte, Geschäftsführer etc.) namentlich zu benennen. Und dabei handelt es sich definitiv wieder um personenbezogene Daten.

Frau Sommer spielt kein ehrliches Spiel

Frau Sommer ist es natürlich niemals darum gegangen ein ehrliches und rechtlich korrektes Spiel zu spielen. Frau Sommer möchte – wie jeder Spammer – möglichst viele ihrer Produkte verkaufen. Warum ich das hier einfach behaupte? Weil der Link in ihrer E-Mail auf eine Seite führt, die noch viel perfider ist. Dort steht, dass sie Opfer einer Spam Kampagne aus China oder Russland geworden sind und ja schon das Bundesamt für Informationssicherheit davor warnt, dass E-Mails mit falschem Absender verschickt werden und man sich doch bitte einen Virenscanner installieren sollte. Beschweren bringt nichts, weil sie ja Opfer sind… und hier sind unsere Aluminiumboxen. Hatte ich erwähnt, dass Sie abschließbar sind?

Nur ein Impressum und eine Datenschutzerklärung fehlt auf der Seite völlig. Aber wenigstens musste ich keinen Cookie-Hinweis wegklicken.

E-Mail Adressen und personenbezogene Daten

Darüber hinaus hat sie vor lauter Aluminiumboxen vergessen, dass sie ja noch etwas weiteres von mir benötigt hat: meine E-Mail-Adresse. Sonst hätte sie mir gar nicht schreiben können.

Bei E-Mail-Adressen handelt es sich sehr wohl um personenbezogene Daten.

Auch bei allgemeinen Adressen wie info@musterfirma.de würde ich persönlich immer davon ausgehen, dass es sich um personenbezogene Daten handelt. Denn wenn die Aufsichtsbehörden sagen, dass IP-Adressen personenbezogen sind, weil man relativ leicht die dazugehörige Person ermitteln kann, gilt das meiner Meinung nach auch für info@ Adressen. Insbesondere weil sie oft wirklich einer Einzelperson direkt zuzuordnen sind, zum Beispiel: info@nadine-sommer.de.

Der Satz mit der DSGVO ist für die E-Mail absolut überflüssig

Selbst wenn Frau Sommer nach DSGVO recht hätte – und gerne so rechtstreu wäre, wie sie vorgibt zu sein – kommen wir ganz schnell zum Gesetzt gegen den unlauteren Wettbewerb §7 „Unzumutbare Belästigungen„.

Entsprechend der bisherigen Rechtsprechung sieht § 7 Abs. 2 Nr. 3 UWG unter anderem die Verwendung elektronischer Post für Werbungszwecke ohne Einverständnis des Adressaten als wettbewerbswidrig an.

Oder anders gesagt: Spam bleibt immer noch Spam und ist verboten.

Was ist mein Fazit mit Blick auf die DSGVO?

Manchmal kommt eben doch eine E-Mail durch den Filter, die dann zu spannenden Überlegungen führt. Der Datenschutzhinweis von Frau Sommer ist in ihrem genutzten Kontext natürlich totaler Blödsinn.

Aber für mich neu und interessant: Die Daten einer juristischen Person fallen tatsächlich nicht unter die DSGVO. Meiner Meinung nach ändert das für uns in der Praxis vermutlich eher wenig. Denn wer hat schon Listen von Geschäftspartnern, die ausschließlich aus juristischen Personen bestehen?

Nur hier und da könnte es vielleicht eine Einwilligung überflüssig machen. Aber fällt Dir ein konkretes Beispiel ein? Also eins, wo die Einwilligung nicht sowieso überflüssig ist, weil wir eh nach Art. 6, Abs. 1, b) DSGVO Daten verarbeiten dürfen, die zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind?

Ich freu mich auf Deinen Kommentar und wünsche Dir einen erfolgreichen Tag

Jörg

P.S.

Spam bleibt natürlich Spam, aber so eine abschließbare Aluminiumkiste… ich geh mal aufräumen.

Disclaimer

Ich bin zertifizierter Datenschutzbeauftragter (IHK) aber kein Rechtsanwalt. Wie immer stellen meine Artikel daher ausschließlich meine persönliche Meinung und keine Rechtsberatung dar.  Diese ist in Deutschland nach dem Rechtsdienstleistungsgesetz im Wesentlichen nur Rechtsanwälten, Rechtsbeiständen, Steuerberatern und Patentanwälten erlaubt. Ich bemühe mich immer genügend Quellenangaben mitzuliefern, damit Du Dir eine eigene Meinung bilden kannst. Wenn doch noch Zweifel bleiben sollten, empfehle ich Dir einen Fachanwalt für Datenschutzrecht hinzuzuziehen.

Noch auf der Suche nach einem externen Datenschutzbeauftragten?

Mein Team und ich unterstützen Dich gerne, die Herausforderungen der DSGVO zu meistern.

Schreibe einen Kommentar

Ich habe die Data Privacy Statement gelesen und akzeptiere sie.