Wenn Sie auf der Suche nach einem zuverlässigen Datenanbieter sind, werden Sie wahrscheinlich auf die Begriffe "Community Data", "Community Edition" oder sogenannte "Datenunionen" stoßen.
Solche Praktiken stellen im Rahmen der Allgemeinen Datenschutzverordnung (GDPR) erhebliche Risiken dar. Einige Datenanbieter erhalten - im Austausch gegen kostenlose oder ermäßigte Gebühren oder bei Nutzung bestimmter Funktionen ihrer Produkte - Zugang zu Kontaktdaten, die Sie über Ihre Kunden, Interessenten und Geschäftskontakte speichern, und verkaufen diese Daten über ihre eigene Plattform an andere Kunden.
Wenn Sie Teil einer solchen Datengemeinschaft oder Datenunion werden, erklären Sie sich damit einverstanden, diesen Datenanbietern Zugriff auf personenbezogene Daten in Ihrem E-Mail-Posteingang (insbesondere auf die personenbezogenen Daten in den E-Mail-Signaturblöcken, die Sie erhalten haben), auf Metadaten aus E-Mail-Kopfzeilen oder sogar auf Kontakte in Ihrem E-Mail-Kontaktbuch und CRM zu gewähren. Die Bedingungen für diese Datenvereinigungen oder Community-Datenausgaben unterscheiden sich immer leicht voneinander.
Allen gemeinsam ist jedoch, dass die Extraktion personenbezogener Daten aus CRMs oder E-Mail-Signaturen und deren Weitergabe an eine unbestimmte Gruppe von Empfängern kaum mit den Anforderungen der GDPR vereinbar ist.
GDPR-Anforderungen
In den meisten Fällen handelt es sich bei den extrahierten Daten um personenbezogene Daten, so dass die Anforderungen der Datenschutz-Grundverordnung gelten. Die GDPR definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind alle Informationen, die Ihnen etwas Bestimmtes über eine Person verraten, wie ein Name, eine E-Mail-Adresse oder ein Geburtsdatum.
Im Einklang mit den Bestimmungen der DSGVO erfordert die Extraktion, Übertragung und Speicherung der Daten eine Rechtsgrundlage gemäß Artikel 6 der DSGVO. Die Verarbeitung personenbezogener Daten aus CRMs oder E-Mail-Signaturen und ihre anschließende Weitergabe an eine unbestimmte Gruppe von Empfängern wirft jedoch Bedenken hinsichtlich der Rechtmäßigkeit solcher Verarbeitungsaktivitäten auf.
Fehlende Rechtsgrundlage
Datenverkäufer, die sich auf so genannte Gemeinschaftsdaten stützen, können sich kaum auf eine angemessene Rechtsgrundlage für ihre Verarbeitungstätigkeit berufen.
Die Einwilligung ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die in Artikel 6 der DSGVO festgelegt sind. Damit die Einwilligung jedoch eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellt, muss die betroffene Person eine echte Wahlmöglichkeit und Kontrolle über ihre personenbezogenen Daten haben. Darüber hinaus muss die Einwilligung in Kenntnis der Sachlage erfolgen, d.h. die betroffene Person muss ausreichende Informationen über die Verarbeitung erhalten, bevor sie ihre Einwilligung gibt. So wird sichergestellt, dass die betroffene Person in Kenntnis der Sachlage entscheiden, die Art der Einwilligung verstehen und ihr Recht auf Widerruf der Einwilligung ausüben kann.
Eine informierte Einwilligung erfordert ein klares Verständnis der Verarbeitungsaktivitäten, der Zwecke und der potenziellen Empfänger der Daten. Ohne diese Informationen sind die betroffenen Personen nicht in der Lage, Entscheidungen zu treffen, die mit ihren Präferenzen und Erwartungen übereinstimmen. Im Falle von Gemeinschaftsdaten erhalten die betroffenen Personen fast nie Informationen, bevor ihre persönlichen Daten an Datenverkäufer weitergegeben werden. Daher kann die Einwilligung nicht als Rechtsgrundlage für die Verarbeitung der in E-Mail-Signaturen enthaltenen personenbezogenen Daten und deren Weitergabe an eine unbestimmte Gruppe von Empfängern dienen.
Darüber hinaus können sich die meisten Datenverkäufer nicht auf das sogenannte berechtigte Interesse als Rechtsgrundlage gemäß Artikel 6 (1) lit. f GDPR berufen. Die Berufung auf "berechtigte Interessen" bedeutet, dass ein Unternehmen personenbezogene Daten sammeln und verarbeiten darf, wenn:
sie einen legitimen Grund haben, dies zu tun UND
ihr Interesse/Anspruch auf die Verarbeitung der Daten stärker ist als das Interesse des Einzelnen am Schutz seiner eigenen Privatsphäre (Interessenabwägung).
Im Rahmen der erforderlichen Interessenabwägung im Sinne von Artikel 6 (1) lit. f DSGVO müssen die berechtigten Erwartungen der betroffenen Person und die Vorhersehbarkeit der Datenverarbeitung berücksichtigt werden. Insbesondere ist zu prüfen, ob die betroffene Person zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten und in Anbetracht der Umstände vernünftigerweise vorhersehen kann, dass eine solche Verarbeitung stattfinden wird (vgl. Verwaltungsgericht Ansbach, 23. Februar 2022 - AN 14 K 20.83, Rn. 39). Die Praxis, nicht-öffentliche Kontaktdaten aus E-Mail-Signaturen zu extrahieren und diese Daten als sogenannte Community-Daten zu verkaufen, bedeutet, dass diese personenbezogenen Daten in verschiedenen CRM-Systemen einer unbestimmten Gruppe von Empfängern auf der ganzen Welt landen. Die betroffenen Personen können weder erwarten, dass ihre persönlichen Daten auf diese Weise verwendet werden, noch werden sie angemessen über die Verwendung ihrer persönlichen Daten informiert.
Folglich sind sie auch nicht in der Lage zu verstehen, mit wem ihre Daten geteilt werden. In dieser Hinsicht gibt es im Allgemeinen keine Rechtsgrundlage für die Extraktion, Verarbeitung und Übermittlung personenbezogener Daten im Rahmen der so genannten gemeinschaftlichen Datenpraxis.
Fehlende Transparenz
Die Praxis, personenbezogene Daten als Gemeinschaftsdaten zu extrahieren und zu verkaufen, bedeutet, dass diese Informationen weltweit in verschiedenen CRM-Systemen landen, ohne dass die betroffenen Personen vorher darüber informiert werden. Dieser Mangel an Transparenz hinsichtlich der Datennutzung verstößt gegen die Grundsätze der Datenschutz-Grundverordnung. Die betroffenen Personen wissen nicht, wie ihre persönlichen Daten verwendet werden, so dass sie das Ausmaß und die Empfänger der gemeinsamen Datennutzung nicht verstehen können.
Einige Datenhändler behaupten, dass sie die Informationspflichten gemäß der DSGVO erfüllen, indem sie E-Mails verschicken, in denen sie die betroffenen Personen benachrichtigen, kurz bevor sie zum ersten Mal in den Datenbanken der Datenhändler auftauchen. Diese Benachrichtigungs-E-Mails enthalten jedoch in der Regel nicht alle Informationen, die gemäß Artikel 13 und 14 der Datenschutzgrundverordnung erforderlich sind. Darüber hinaus erreichen sie in den meisten Fällen nicht einmal die betroffenen Personen, da sie von einigen E-Mail-Anbietern als SPAM-Mails gekennzeichnet werden.
Rechtliches Risiko für Benutzer
Nutzer, die mit Datenanbietern zusammenarbeiten, die sich auf Community-Daten stützen, sehen sich erhöhten rechtlichen Risiken ausgesetzt. Der Ursprung und die Rechtmäßigkeit der Datenerhebung sind oft ungewiss, so dass es schwierig ist, eine gültige Rechtsgrundlage für die Verarbeitung solcher Daten zu finden.
Diese Ungewissheit setzt die Nutzer potenziellen Verstößen gegen die DSGVO aus, die erhebliche Strafen nach sich ziehen können. Die Verwendung solcher Daten birgt extreme rechtliche Risiken, da Verstöße gegen die DSGVO sowohl in Deutschland als auch in der gesamten EU mit erheblichen Strafen geahndet werden können. So verhängte der Berliner Beauftragte für Datenschutz und Informationsfreiheit kürzlich ein Bußgeld in Höhe von 215.000 Euro gegen die Humboldt Forum Service GmbH wegen der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage.
Auswahl von sicheren und zuverlässigen Datenanbietern
Bei der Auswahl von Anbietern von Sales Intelligence ist es wichtig, diejenigen zu bevorzugen, die sich an die Grundsätze der GDPR halten. Die Produkte und Dienstleistungen von Leadfeeder zum Beispiel wurden unter Berücksichtigung der höchsten Datenschutzstandards entwickelt. Die Plattform gibt Aufschluss über die Herkunft der einzelnen Daten und ermöglicht es den Nutzern, die notwendige Interessenabwägung vorzunehmen, die erforderlich ist, um sich auf ein berechtigtes Interesse gemäß Artikel 6 (1)(f) GDPR zu berufen.
Video (in englischer Sprache)
--
Fragen, Kommentare, Feedback? Bitte lassen Sie es uns wissen, indem Sie unser Support-Team über den Chat kontaktieren oder uns eine E-Mail an support@leadfeeder.com schicken.