Der Handel mit personenbezogenen Daten - zum Beispiel zum Aufbau eines Kundenstamms - ist offenkundig rechtswidrig, soweit die Personen, welche durch die Datensammlungen betroffen sind, diesem Verkauf nicht ausdrücklich in der durch das BDSG vorgesehenen Form zugestimmt haben.
Dazu gehört auch der einmalige Verkauf personenbezogener Daten, die über Internet-Domains generiert wurden, auf einem USB-Stick, welcher dem Adresshandel i.S.v. § 28 Abs. 3 Satz 1 BDSG unterfällt.
Das Listenprivileg greift in diesem Fall nicht, denn es liegen keine wirksamen Einwilligungen vor. Daher verstößt der Kaufvertrag gegen die Vorgaben des BDSG. Ansprüche aus dem Vertrag sind ausgeschlossen (OLG Frankfurt v. 24.1.2018 – 13 U 165/16).
Grundlage des Listenprivilegs sind nämlich § 28 Absatz 3 Satz 2 Nr. 1 und § 29 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes (BDSG). Nummer 2 und 3 privilegieren die berufsbezogene und die Spendenwerbung, die nicht den zusätzlichen Beschränkungen der Nr. 1 unterliegen.
Demnach ist es erlaubt, Adressenlisten mit Name, Anschrift, Geburtsjahr, Beruf und einem weiteren Merkmal zu speichern, an Dritte weiterzugeben sowie für werbliche Ansprache, insbesondere im Direktmarketing, und Marktforschung zu nutzen. Eine Zustimmung des Betroffenen ist dabei nicht erforderlich. Allerdings ist die Datennutzung nicht erlaubt, wenn anzunehmen ist, dass diese gegen schutzwürdige Interessen des Betroffenen verstößt.
Dies ist insbesondere dann der Fall, wenn der Betroffene gemäß § 28 Absatz 4 BDSG einer Nutzung seiner Daten widersprochen hat (Opt-out).
In diesem Fall war dieses Listenprivileg aber nicht maßgeblich und der Kaufvertrag über den Kauf von personenbezogenen Daten insgesamt nichtig.