Welchen Einfluss hat die CNIL auf die kommerzielle Prospektion?
Die Datenschutz-Grundverordnung, bekannt als « DSGVO », die seit dem 25. Mai 2018 in Kraft ist, ist ein europäischer Text, der die Verarbeitung personenbezogener Daten auf dem Gebiet der Europäischen Union regeln soll. Es folgt auf die Änderung des Gesetzes über die Datenverarbeitung, Dateien und Freiheiten vom 6. Januar 1978. Der CNIL ist der Regler. Die Zusammenarbeit mit der CNIL bei der Verarbeitung personenbezogener Daten im Rahmen der kommerziellen Prospektion ist obligatorisch. Was ist die CNIL und welche Auswirkungen hat sie auf die kommerzielle Prospektion?
Was ist die CNIL?
Es ist eine unabhängige Verwaltungsbehörde, die für den Schutz personenbezogener Daten in Frankreich zuständig ist. Die CNIL oder Commission nationale de l’informatique et des libertés führt Kontrollen auf Unternehmensebene durch, um die Übereinstimmung ihrer Maßnahmen mit der DSGVO zu überprüfen. Sie stellt sicher, dass Digitalisierung und digitale Technologie die menschliche Identität, die Privatsphäre und die individuelle Freiheit nicht verletzen. Die CNIL erfüllt ihre Aufgaben gemäß dem Gesetz Nr. 78-17 vom 6. Januar 1978, geändert am 6. August 2004.
Es hat sechs Hauptaufgaben:
- Informieren: Es informiert die Menschen über ihre Pflichten und Rechte.
- Regulate: Es unterstützt Manager bei ihren digitalen Projekten. Es wird für alle Projekte im Zusammenhang mit dem Schutz personenbezogener Daten (Gesetzentwurf, Verteidigung und öffentliche Sicherheit) angefordert. Um die Formalitäten für gemeinsame Anträge zu erleichtern, hat die CNIL vereinfachte Standards festgelegt.
- Schutz: Es hilft den Bürgern bei der Ausübung ihrer Rechte (Zugang zu Akten und Daten, die sie betreffen, Entgegennahme und Untersuchung von Beschwerden). Sie begleitet die von Unternehmen bestellten Datenschutzbeauftragten.
- Kontrolle: Es steuert die Computerverarbeitung in Unternehmen. Es überprüft die Achtung der individuellen Freiheit, aber auch die Sicherheit des Informationssystems.
- Sanktion: Wenn die CNIL einen Verstoß gegen die Bestimmungen der DSGVO feststellt, kann sie nach einer förmlichen Mitteilung Sanktionen verhängen, die von einer Geldbuße bis zu einer rechtlichen Maßnahme reichen (vom zuständigen Gericht angerufen, vom Staatsanwalt beschlagnahmt).
- Antizipieren: Sie muss in der Lage sein, technologische Entwicklungen zu antizipieren, um die Auswirkungen auf die Ausübung von Rechten und Freiheiten abschätzen zu können.
Bei der kommerziellen Prospektion zielt die CNIL darauf ab, die angesprochenen Personen zu schützen.
Kommerzielle Prospektion und CNIL
In Bezug auf die kommerzielle Prospektion basieren die Überprüfungen der CNIL auf zwei Hauptlinien: der « freien, spezifischen, informierten und eindeutigen » Zustimmung der zu gewinnenden Personen und der Achtung des Widerspruchsrechts der Personen.
In diesem Fall ändert die Anwendung der DSGVO und die Existenz der CNIL im Allgemeinen nichts an den Regeln für die kommerzielle Prospektion. Es gibt jedoch Grundprinzipien, die zu beachten sind:
- für Einzelpersonen oder BtoC-Werbung kann unter der einzigen Bedingung erfolgen, dass die Person zum Zeitpunkt der Erhebung personenbezogener Daten ausdrücklich ihre Zustimmung erteilt hat. Die Person muss einfach und kostenlos widersprechen können.
- Für Fachleute oder BtoB muss der Manager im Voraus darüber informiert werden, dass seine E-Mail-Adresse für Prospektionszwecke verwendet wird. Er hat auch ein Widerspruchsrecht. Allgemeine Geschäftsadressen (Kontaktdaten juristischer Personen) unterliegen hingegen nicht dem Widerspruchsrecht. Der Gegenstand der Prospektion muss mit dem Beruf der angesprochenen Person übereinstimmen.
Datenübertragung
Manchmal werden diese Daten zwischen Geschäftspartnern übertragen. Die CNIL erinnert daran, dass Unternehmen, die kommerzielle Prospektionen in Datenbanken durchführen, die von einem anderen Unternehmen gesammelt wurden, vor jeder Werbung die freie und spezifische Zustimmung der Internetnutzer einholen müssen.
Unter diesen Bedingungen muss jede Organisation, die über Kontaktdaten verfügt und diese mit anderen Organisationen teilen möchte, um Prospektionen durchzuführen, unabhängig von den verwendeten Kanälen, zunächst die folgenden Geräte einhalten:
- Die Person muss damit einverstanden sein, dass ihre Adresse an andere weitergegeben wird. Aber vorher muss es über die Übermittlung und ihren Zweck informiert werden.
- Die Person kann sich ihr mit einfachen und kostenlosen Mitteln widersetzen. Konkret muss das Recht auf Widerspruch durch ein Kästchen konkretisiert werden, das oft von einer Botschaft begleitet wird, die diesen Widerspruch festlegt.
- Die Person muss Zugang zur Liste der Partner haben, die die Daten erhalten (sichtbar auf dem Formular).
- Die Person muss sich der Änderungen in der Liste bewusst sein. Eine aktualisierte vollständige Liste muss direkt auf dem Formular oder über einen Link sichtbar sein.
- Die Einwilligung, die das Unternehmen einholt, das die Daten im Auftrag seiner Partner erhebt, gilt nur für diese.
- Die Partner, die die Personen anwerben, müssen ihnen das Recht einräumen, Widerspruch einzulegen. Sie müssen auch die Herkunft ihrer Quellen angeben.
Diese Informationen über die Verarbeitung personenbezogener Daten müssen der betroffenen Person zur Verfügung gestellt werden.
Personenbezogene Daten dürfen nicht außerhalb der Europäischen Union (gemäß der europäischen Richtlinie vom 24. Oktober 1995) übermittelt werden, wenn das Bestimmungsland kein angemessenes Schutzniveau bietet. Einige Länder, die nicht Mitglied der Europäischen Union sind, haben ähnliche Gesetze verabschiedet, die von den Mitgliedstaaten anerkannt werden (Monaco, Schweiz, …). Über Europa hinaus Kanada, Australien, Senegal, …. sind auch mit gleichwertigen Vollmachten ausgestattet. Die Vereinigten Staaten, Japan … haben andererseits Rechtsvorschriften erlassen, um sicherzustellen, dass die Gerichte für die Sanktionierung von Verstößen zuständig sind.
Die CNIL überwacht die kommerzielle Prospektion. Es gewährleistet eine gute Praxis der kommerziellen Kundenwerbung durch: Überprüfung der Art und Herkunft der Daten; die Überwachung des Vertrags mit Subunternehmern; und Unterrichtung der betroffenen Personen.