在出售方与客户之间的合同关系处于磋商阶段或者已经生效的情况下,如果收购方在此期间处理客户的通信数据,并与出售方一样,将其用于广告宣传,相关的合法性基础可以援引DSGVO第6条第1款第1句第f项:
数据处理是为了维护负责人或第三方的合法利益所必需的,除非此类利益超越了被要求保护个人数据主体的利益或基本权利和自由,尤其是在数据主体是儿童的情况下。
https://dsgvo-gesetz.de/art-6-dsgvo/
根据上述规定,如果客户有与之相违背的重大利益,则不应进行广告宣传。
值得注意的是,在通过电子邮件或电话进行广告营销时,还须遵守《德国反不正当竞争法》(UWG)第7条的相关规定,电话或电子邮件的营销行为通常需要事先获得明确同意。如果广告对象不是消费者,则在电话广告的情况下,则可以推定获得同意。
针对电子邮件的营销方式中,如果涉及《德国反不正当竞争法》第7条第3款的例外情况(未经同意的电子广告),情况就有一些复杂了。
根据《德国反不正当竞争法》第7条第3款的规定:...在使用电子邮件进行广告营销时,若满足以下条件,不属于对客户造成不合理的骚扰:
1.商家在销售商品或服务的过程中从客户处获得了其电子邮件地址,
2.商家使用该地址进行自家类似商品或服务的直接广告,
3.客户未反对该使用,且
4.客户在提供地址时以及每次使用时,均被明确告知其可以随时反对此类使用,且不会产生除基本通讯费之外的其他费用。
对照上述的认定要件,广告主体(也就是出售方)必须在签订合同时直接从客户处获得电子邮件地址。而在前述所述的合同磋商环节中,尚未形成合同关系。收购方如果根据《德国民法典》第415条承接了现有债务,收购方通常是从出售方处而非客户处获得电子邮件地址。因此,在此种情况之下,相关收购方的用于营销的数据处理行为极具合规风险。
在“合同磋商环节”以及“现有合同关系”的条件之下,相关客户的银行账户信息(IBAN)可依据《通用数据保护条例》第6条第1款第1句第b项传输给购买方:
处理是为了履行与相关个人作为合同当事方的合同,或为了根据相关个人的请求实施合同签订前的措施所必需的。
https://dsgvo-gesetz.de/art-6-dsgvo/
在其他情况下,客户的银行信息只能在客户明确同意后才能进行传输。如果收购方判定接手相关资产后不需要履行从出售方与客户之间的合同,则收购方无权基于正当利益获取客户的银行账户数据。此外,无论银行账户信息是否已被传输,收购方在尝试通过银行自动扣款收取款项时,都必须重新获取账户持有人的扣款授权。
根据DS-GVO第9条第1款的规定,处理涉及揭示种族或民族出身、政治观点、宗教或哲学信仰、工会会员身份的个人数据,以及处理用于唯一识别自然人的基因数据、生物特征数据、健康数据或关于自然人性行为或性取向的数据在原则上是被绝对禁止的。
因此,如果客户数据中存在特殊类别的数据(如健康数据等),相关数据传输只能依据DS-GVO第9条第2款第a项和第7条的规定,在客户的知情并明确同意的情况下进行。
(四)其他注意事项
出售方的法律责任。
除了满足前述的要求之外,出售方必须在传输数据时依据《通用数据保护条例》第32条确保适当的保护水平。如果出售方有权继续处理其客户的个人数据(包括在其将收购方作为共同处理者的情况下),那么出售方仍需继续承担其在数据保护方面的责任。
同时,依据《通用数据保护条例》第17条的规定,客户数据应在符合条件时删除,除非适用第17条第3款的例外规定(例如,基于商业或税法的保存期限)。
收购方的法律责任。
收购方必须履行依据DS-GVO第4条第7款所规定的作为“处理者”法定的义务,除非其仅作为出售方的受托处理者。在这种情况下,收购方需确保适当的保护水平,并在适用的情况下履行数据主体的相关权利。
此外,若此收购项目不能满足《通用数据保护条例》第14条第5款所提及的以下豁免条件时:
当数据主体已经掌握相关信息时;
提供此类信息被证明不可能或会涉及不成比例的努力,特别是为了公共利益的档案保存、科学或历史研究目的或统计目的的处理,且符合第89条第1款所提及的条件和保障措施,或当第1款中提到的义务可能使该处理的目标无法实现或严重受阻。在此类情况下,控制者应采取适当措施保护数据主体的权利、自由和合法利益,包括将信息公开;
获取或披露是根据控制者所适用的欧盟或成员国法律明确规定的,且该法律提供了适当的措施以保护数据主体的合法利益;或
个人数据必须根据欧盟或成员国法律所规定的职业保密义务(包括法定保密义务)保持机密。
收购方必须在收到相关数据集的合理期限内(最迟在一个月内),依据《通用数据保护条例》第14条第1款的要求通知客户,通知内容应当包括如下内容:
处理者的姓名和联系方式,以及(如适用)其代表的联系方式;
数据保护官的联系方式;
处理个人数据的目的及其法律依据;
所处理的个人数据类别;
个人数据的接收者或接收者类别(如适用);
处理者将个人数据传输给第三国或国际组织的意图,以及是否存在充分性决定,或者在根据第46条、第47条或第49条第1款第2段进行传输时,适当或充分的保障措施的相关说明,以及如何获取其副本或查看其内容(如适用);
个人数据的存储期限,或如果无法确定,则应当设定该期限的标准;
如果处理系依据第6条第1款f项进行,处理者或第三方所追求的合法利益;
相关个人拥有的权利,包括向处理者请求访问、修正或删除其个人数据,限制处理的权利,反对处理的权利,以及数据可携权;
如果处理行为系基于第6条第1款a项或第9条第2款a项进行,相关个人有权随时撤销同意,且撤销同意不会影响在撤销前基于同意进行的处理的合法性;
向监督机构投诉的权利;
个人数据的来源,及其是否来自公开可获取的来源;
是否存在自动化决策,包括第22条第1和第4款中所提到的个人数据的自动化处理(包括分析),以及至少在这些情况下,提供相关逻辑的有意义信息、处理的范围和该处理对相关个人的预期影响。
end
关于我们
关注YK Law Deutschland 盈科德国
抢先获取最新法律知识
扫二维码联系专业客服
声明:
本文所涉之内容,只代表作者个人观点,不代表律师事务所及其他律师的观点,该内容仅供参考。本文作者及律所不对所述内容的真实性、准确性、时效性、完整性、无误导性做任何陈述或保证。如您据此投资或进行交易并造成了损失,作者及本律所不对此风险承担责任。如图文视频涉及版权,请联系管理员予以删除。