Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

DSGVO: Wann Daten personenbezogen sind – und wann du sie verarbeiten darfst (Teil 2)

Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Die Datenschutzgrundverordnung  – DSGVO – regelt, ob von Unternehmen erhobene Daten personenbezogen sind oder nicht. Doch welche Daten dürfen genutzt werden? 

Im ersten Teil der Beitragsreihe habe ich erklärt, dass die Verarbeitung personenbezogener Daten nur dann legal ist, wenn das Gesetz es erlaubt. Und: Dass Verstöße mit hohen Bußgeldern geahndet werden. Dies bedeutet zum einen, dass du sicher wissen musst, welche Daten personenbezogen sind. Zum anderen musst du ebenso wissen, wann und unter welchen Voraussetzungen das Gesetz deren Verarbeitung erlaubt. Diesen Punkten widmet sich der heutige Teil der Beitragsreihe.

Verarbeitung personenbezogener Daten

Geht im Zweifel vom Personenbezug der Daten aus

Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Diese komplizierte Ausdrucksweise sagt so viel, wie dass die Person nicht identifiziert werden muss. Es reicht, dass die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte.

So ist auch ein pseudonymisiertes Werbe-Cookie auf einem Computer samt darin gespeicherter Daten personenbezogen. Denn der Nutzer ist identifizierbar, zum Beispiel anhand der vielen zu ihm gespeicherten Verhaltensmerkmale und spätestens anhand der IP-Adresse. Die IP-Adresse stellt wiederum eine „Online-Kennung“ im Sinne des Gesetzes, ein personenbezogenes Datum (Einzahl von Daten) dar.

Tracking-Cookies und IP-Adressen sind personenbezogen

Das „identifiziert werden kann“ muss zudem sehr weit verstanden werden. Es müssen auch Möglichkeiten der Identifizierung durch Dritte berücksichtigt werden, wenn sie als vernünftig und möglich erscheinen. So ist es zum Beispiel wahrscheinlich, dass eine IP-Adresse auf Anordnung eines Gerichts von einem Internet-Zugangsprovider einem Kunden zugeordnet werden kann (so werden File-Sharing-Verstöße nachgewiesen).

Eine Verarbeitung von Daten erfasst dabei praktisch alle erdenklichen Verwendungen. Angefangen beim Erheben, Speichern, Offenlegen durch Übermittlung, Löschen und Unterfallen. Es sei denn die verarbeiteten Daten sind anonym.

Aber wann sind Daten anonym?

Die Anonymität ist sehr fragil 

Anonyme Daten lassen keine Rückschlüsse auf konkrete Personen zu. Dazu gehören zum Beispiel aufsummierte Statistiken über die Besuche einer Webseite. Allerdings ist es wichtig zu wissen, dass Daten durch deren Vermengung personenbezogen werden können. So ist die Bonität einer Region an und für sich ein anonymes Datum. Wird die Angabe zur Bonität mit Adressen von Personen verbunden, wird das Datum personenbezogen.

Unterm Strich solltest du beim Umgang mit Daten also davon ausgehen, dass personenbezogene Daten verarbeitet werden. Erst, wenn du dir sicher bist, dass die Daten anonym sind, musst du dir um die DSGVO keine Gedanken machen. Ansonsten muss geprüft werden, ob die Voraussetzungen der folgenden Erlaubnisse vorliegen.

Verarbeitung im Rahmen von Anfragen und Vertragsabwicklung

Wie auch bisher, dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist oder um vorvertragliche Anfragen zu beantworten (Art. 6 Abs. 1 lit. b. DSGVO). Bedeutet: Ein Onlineshop-Anbieter darf auf Kontaktformularanfragen antworten und dem Warenspediteur die Adressen der Käufer übermitteln.

Checkliste - Ist meine Datenverarbeitung erlaubt (Art. 6 DSGVO)?

  • Einwilligung
  • Vertragserfüllung (zum Beispiel Daten an Spediteur)
  • Gesetzliche Pflichten (zum Beispiel Archivieren von Rechnungen)
  • Schutz lebenswichtiger Interessen von Menschen (zum Beispiel in der Medizin)
  • Berechtigte Interessen (IT-Sicherheit, Compliance, Beschäftigtenkontrolle, Marketing, Direktwerbung)

Verarbeitung aufgrund gesetzlicher Verpflichtungen

Auf diese Erlaubnisnorm (Art. 6 Abs. 1 lit. c. DSGVO) kann sich dann berufen werden, wenn Gesetze zur Verarbeitung personenbezogener Daten zwingen. Ein sehr häufiger Fall ist beispielsweise die Pflicht, Rechnungen zehn Jahre lang aufzubewahren.

Verarbeitung auf Grundlage berechtigter Interessen

Die Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen wird neben der Einwilligung zur wichtigsten Erlaubnisnorm der DSGVO werden (Art. 6 Abs. 1 lit. f. DSGVO). Berechtigt sind insbesondere auch wirtschaftliche Interessen. Diese sind mit den Interessen der Nutzer am Datenschutz abzuwägen. Das heißt: Du kannst dir die Prüfung dieser Erlaubnisnorm wie eine Waage vorstellen, auf deren Gewichte du selbst Einfluss hast.

So sinkt das Schutzinteresse der Nutzer beispielsweise mit technischen und organisatorischen Schutzmaßnahmen wie der Pseudonymisierung von Daten, der Informationen in einer verständlichen Datenschutzerklärung und vor allem, wenn Nutzer mit einer solchen Verarbeitung typischerweise rechnen müssen.

Diese Verarbeitungsgrundlage wird vor allem im Marketing eine große Rolle spielen, weswegen es nachfolgend als praktisches Beispiel für diese Erlaubnisvorschrift dient.

Online-Marketing nach der DSGVO

 

Je aufgeklärter die Nutzer, desto eher ist die Verarbeitung erlaubt

Das Prinzip der berechtigten Interessen lässt sich anhand von Google-Tools, wie Analytics oder Adwords, erläutern.

Die Analyse, Optimierung und wirtschaftliche Vorteile sind berechtigte Interessen, auf die man sich beim Einsatz der Tools berufen kann. Zu den Gunsten von Betreibern eines Online-Business spricht außerdem, wenn sie IP-Adressen anonymisieren lassen, die Nutzer über die Dienste in ihrer Datenschutzerklärung informieren und ihnen Opt-Out-Möglichkeiten mitteilen.

Zu deinen Lasten wirkt sich jedoch die Genauigkeit der Verhaltensprofile der Nutzer, die Google erstellt. Denn das Profiling ist ein gesetzlich verankerter Risikoindikator. Zudem muss geprüft werden, inwieweit Nutzer mit der Onlinebeobachtung vernünftigerweise rechnen müssen.

Websiteanalysen wie die von Google Analytics mit Standardeinstellungen gehören zum Erwarteten. Dagegen wird die Erwartung der Nutzer beim Cross-Device-Tracking, Erfassung demografischer Werte und der Standortdaten zu Zwecken des Remarketings und Zielgruppenbestimmung, zumindest angezweifelt.

Viele Chancen, aber auch viele Unsicherheiten

Du merkst, die Abwägung birgt viel Potential in sich, ist aber im Einzelfall sehr schwer vorzunehmen. Es werden sich mit der Zeit typische Beispiele etablieren, in denen ein berechtigtes Interesse angenommen werden kann. Leider werden die Beispiele der Datenschutzbehörden gewohnheitsmäßig enger ausfallen als die der Wirtschaft. Bedeutet: Wie bisher, wird wohl vor allem online eine große Grauzone bleiben.

Abwägung: Wann kann ich mich auf ein berechtigtes gem. Art. 6 Abs. 1 lit. f DSGVO verlassen?

Spricht dafürSpricht dagegen
Verarbeitung typisch und vernünftigerweise erwartbarUmfangreiches Profiling
Nutzer verständlich informiert (Datenschutzerklärung)Standortdaten
Keine relevanten Nachteile für Nutzer zu erwartenRetargeting
PseudonymisierungCrossdevicetracking
Opt-Out-MöglichkeitRelevante Nachteile für Nutzer zu erwarten
Keine Informationen
kein Opt-Out
Daten Minderjähriger
Besonders sensible Arten von Daten
Daten Beschäftigter

Spezialregeln für Kinder und Minderjährige

Minderjährige unter 16 Jahren sind besonders geschützt

Neben den vorgenannten Grundregeln der zulässigen Datenverarbeitung, gibt es auch Spezialregeln, von denen ich die wichtigsten kurz vorstellen möchte. So muss im Rahmen der Abwägung, zum Beispiel der berechtigten Interessen an der Datenverarbeitung, die Unerfahrenheit von Kindern besonders berücksichtigt werden (Art. 8 DSGVO). Für wie unerfahren der Gesetzgeber Minderjährige hält, zeigt die Altersgrenze für wirksame Einwilligungen Minderjähriger, die erst ab dem Alter von 16 Jahren möglich sind.

Spezialregeln für besonders sensible Daten

Daten zur Ethnie, Sexualität, Gesundheit, politische Ansichten, Biometrie und Genetik unterliegen besonders strengen Regeln

Die „Verarbeitung besonderer Kategorien personenbezogener Daten“ erfordert grundsätzlich eine ausdrückliche Einwilligung der Betroffenen. Darunter fallen unter anderem Angaben zur Ethnie, Gesundheit, Sexualität, religiösen oder politischen Ansichten sowie Biometrie oder Genetik eines Menschen (Art. 9 DSGVO).

Spezialregeln für Beschäftigte

Beschäftigte müssen besonders geschützt werden

Die Spezialregeln für Beschäftigte sind im § 26 des neuen Bundesdatenschutzgesetzes (BDSG-Neu) geregelt (das BDSG-Neu enthält deutsche Zusatzregeln zur DSGVO).

Der sogenannte Beschäftigtendatenschutz betont, dass bei Verarbeitung von Daten der Beschäftigten (unter anderem Bewerber, Praktikanten und Arbeitnehmer) immer ein Ungleichgewicht zu Lasten der Beschäftigten herrscht. Dieses Ungleichgewicht muss beispielsweise bei der Beurteilung, ob die berechtigten Interessen der Arbeitgeber die von Arbeitnehmern überwiegen, berücksichtigt werden. Aus diesen Gründen enthält die Vorschrift zudem hohe Vorgaben für die Einwilligungen und heimliche Beobachtung von Arbeitnehmern.

Spezialregeln für Videoüberwachung

An strengen Regeln zur Videoüberwachung ändert sich nichts

Im § 4 BDSG-Neu werden die bisherigen Regeln zur Videoüberwachung im öffentlichen Raum komplett übernommen. Bedeutet: Sobald eine Überwachungskamera nicht nur das Privatgrundstück erfasst, werden an deren Einsatz sehr strenge Anforderungen gestellt (zum Beispiel begründete Gefahr einer Sachbeschädigung). Zudem ist die Videoüberwachung ein Fall für die Datenschutzfolgeabschätzung im Art. 35 DSGVO, die im Rahmen dieser Beitragsreihe noch besprochen wird.

Spezialregeln für E-Mail-Marketing

Auch beim E-Mail-Marketing bleibt das meiste wie gewohnt

Das Direktmarketing per E-Mail bedarf weiterhin einer ausdrücklichen Einwilligung. Hier ändert sich wenig, da dies explizit im § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (und wohl ab 2019 zusätzlich im Artikel 16 der neuen E-Privacy-Verordnung) geregelt ist. Allerdings wird es möglich werden zum Beispiel das Tracking des Leseverhaltens der Newsletter auf berechtigte Interessen zu stützen (was jedoch deutliche Hinweise an die Nutzer voraussetzt).

Ebenso erlaubt bleibt die Direktwerbung an Bestandskunden für ähnliche Produkte und Dienstleistungen entsprechend § 7 Abs. 3 UWG.

Werbezwecke und Adresshandel

Die deutschen Sonderregeln zum Adresshandel fallen weg

Was auffällt, ist dass die bisherigen und recht komplizierten Regelungen zu Werbung und Adresshandel im § 28 Abs. 3 BDSG-Alt komplett weggefallen sind (zum Beispiel Regeln zum Listenprivileg). Hier werden die Unternehmen unter Berufung auf berechtigte Interessen flexibler sein.

Spezialregeln für Automatisierte Entscheidungen

Keine Macht den Maschinen

Art. 22 DSGVO soll vor automatisierten Entscheidungen, die unter anderem auf Profilingmaßnahmen basieren können, schützen (zum Beispiel wenn Software Kreditanfragen ablehnt oder Bewerber aussortiert und Absagen verschickt). Entscheidungen, die für Menschen erhebliche Folgen haben, sollen nicht ohne menschliche Kontrolle getroffen werden. Diese Alogrythmuskontrolle enthält jedoch Ausnahmen, etwa wenn die Verarbeitung zur Vertragserfüllung oder mit einer Einwilligung erfolgt.

Zweckänderungen

Flexibilität für Big Data

Die DSGVO erleichtert es den Unternehmen, vorhandene Daten für andere Zwecke zu verwenden. Eine Zweckänderung ist erlaubt, wenn der neue Verarbeitungszweck mit dem alten vereinbar ist, Daten möglichst pseudonymisiert werden und die Betroffenen nicht zusätzlich belastet sind (Art. 6 Abs. 4 DSGVO). Die Vorschrift dient daher als eine gesetzliche Erlaubnis für Big Data Anwendungen, bei denen ein möglichst flexibler Umgang mit Daten zu Effizienzsteigerungen führen kann.

Checkliste - Müssen Spezialregeln beachtet werden?

  • Minderjährige Art. 8 DSGVO
  • Besondere sensible Daten (Ethnie, Sexualität, Gesundheit, politische Ansichten) Art. 9 DSGVO
  • Beschäftigtendatenschutz § 26 BDSG-Neu
  • Videoüberwachung im öffentlichen Raum § 4 BDSG-Neu
  • E-Mailmarketing (Ausdrückliche Einwilligung oder Bestandskunden) § 7 Abs. 3 UWG.
  • Zweckänderung (Big Data, Marketing) Art. 6 Abs. 4 DSGVO
  • Automatisierte Entscheidungen (z.B. über Bewerber) Art. 22 DSGVO

Einwilligung

Die Einwilligung wurde in diesem Beitrag schon mehrfach erwähnt. Sie wird neben der Vorgenannten gesetzlichen Erlaubnisse, die wohl wichtigste Grundlage der Verarbeitung personenbezogener Daten bleiben (§§ 6 Abs. 1 lit. a, 7 DSGVO). Aus diesem Grund und weil sich auch bei der Einwilligung einiges verändert hat, wird der nächste Teil der Beitragsreihe ausschließlich der Einwilligung gewidmet.

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
S3bast1an

Wär cool, wenn Du solche Spamkommentare lassen könntest.
Die verlinkte Seite bietet NULL Inhalt, nur Phrasen und copy-paste.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.