Im ersten Teil der Beitragsreihe habe ich erklärt, dass die Verarbeitung personenbezogener Daten nur dann legal ist, wenn das Gesetz es erlaubt. Und: Dass Verstöße mit hohen Bußgeldern geahndet werden. Dies bedeutet zum einen, dass du sicher wissen musst, welche Daten personenbezogen sind. Zum anderen musst du ebenso wissen, wann und unter welchen Voraussetzungen das Gesetz deren Verarbeitung erlaubt. Diesen Punkten widmet sich der heutige Teil der Beitragsreihe.

Geht im Zweifel vom Personenbezug der Daten aus

Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Diese komplizierte Ausdrucksweise sagt so viel, wie dass die Person nicht identifiziert werden muss. Es reicht, dass die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte.

So ist auch ein pseudonymisiertes Werbe-Cookie auf einem Computer samt darin gespeicherter Daten personenbezogen. Denn der Nutzer ist identifizierbar, zum Beispiel anhand der vielen zu ihm gespeicherten Verhaltensmerkmale und spätestens anhand der IP-Adresse. Die IP-Adresse stellt wiederum eine „Online-Kennung“ im Sinne des Gesetzes, ein personenbezogenes Datum (Einzahl von Daten) dar.

Tracking-Cookies und IP-Adressen sind personenbezogen

Das „identifiziert werden kann“ muss zudem sehr weit verstanden werden. Es müssen auch Möglichkeiten der Identifizierung durch Dritte berücksichtigt werden, wenn sie als vernünftig und möglich erscheinen. So ist es zum Beispiel wahrscheinlich, dass eine IP-Adresse auf Anordnung eines Gerichts von einem Internet-Zugangsprovider einem Kunden zugeordnet werden kann (so werden File-Sharing-Verstöße nachgewiesen).

Eine Verarbeitung von Daten erfasst dabei praktisch alle erdenklichen Verwendungen. Angefangen beim Erheben, Speichern, Offenlegen durch Übermittlung, Löschen und Unterfallen. Es sei denn die verarbeiteten Daten sind anonym.

Die Anonymität ist sehr fragil 

Anonyme Daten lassen keine Rückschlüsse auf konkrete Personen zu. Dazu gehören zum Beispiel aufsummierte Statistiken über die Besuche einer Webseite. Allerdings ist es wichtig zu wissen, dass Daten durch deren Vermengung personenbezogen werden können. So ist die Bonität einer Region an und für sich ein anonymes Datum. Wird die Angabe zur Bonität mit Adressen von Personen verbunden, wird das Datum personenbezogen.

Unterm Strich solltest du beim Umgang mit Daten also davon ausgehen, dass personenbezogene Daten verarbeitet werden. Erst, wenn du dir sicher bist, dass die Daten anonym sind, musst du dir um die DSGVO keine Gedanken machen. Ansonsten muss geprüft werden, ob die Voraussetzungen der folgenden Erlaubnisse vorliegen.

Wie auch bisher, dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist oder um vorvertragliche Anfragen zu beantworten (Art. 6 Abs. 1 lit. b. DSGVO). Bedeutet: Ein Onlineshop-Anbieter darf auf Kontaktformularanfragen antworten und dem Warenspediteur die Adressen der Käufer übermitteln.

Checkliste – Ist meine Datenverarbeitung erlaubt (Art. 6 DSGVO)?

• Einwilligung
• Vertragserfüllung (zum Beispiel Daten an Spediteur)
• Gesetzliche Pflichten (zum Beispiel Archivieren von Rechnungen)
• Schutz lebenswichtiger Interessen von Menschen (zum Beispiel in der Medizin)
• Berechtigte Interessen (IT-Sicherheit, Compliance, Beschäftigtenkontrolle, Marketing, Direktwerbung)

Auf diese Erlaubnisnorm (Art. 6 Abs. 1 lit. c. DSGVO) kann sich dann berufen werden, wenn Gesetze zur Verarbeitung personenbezogener Daten zwingen. Ein sehr häufiger Fall ist beispielsweise die Pflicht, Rechnungen zehn Jahre lang aufzubewahren.

Die Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen wird neben der Einwilligung zur wichtigsten Erlaubnisnorm der DSGVO werden (Art. 6 Abs. 1 lit. f. DSGVO). Berechtigt sind insbesondere auch wirtschaftliche Interessen. Diese sind mit den Interessen der Nutzer am Datenschutz abzuwägen. Das heißt: Du kannst dir die Prüfung dieser Erlaubnisnorm wie eine Waage vorstellen, auf deren Gewichte du selbst Einfluss hast.

So sinkt das Schutzinteresse der Nutzer beispielsweise mit technischen und organisatorischen Schutzmaßnahmen wie der Pseudonymisierung von Daten, der Informationen in einer verständlichen Datenschutzerklärung und vor allem, wenn Nutzer mit einer solchen Verarbeitung typischerweise rechnen müssen.

Diese Verarbeitungsgrundlage wird vor allem im Marketing eine große Rolle spielen, weswegen es nachfolgend als praktisches Beispiel für diese Erlaubnisvorschrift dient.

 

Je aufgeklärter die Nutzer, desto eher ist die Verarbeitung erlaubt

Das Prinzip der berechtigten Interessen lässt sich anhand von Google-Tools, wie Analytics oder Adwords, erläutern.

Die Analyse, Optimierung und wirtschaftliche Vorteile sind berechtigte Interessen, auf die man sich beim Einsatz der Tools berufen kann. Zu den Gunsten von Betreibern eines Online-Business spricht außerdem, wenn sie IP-Adressen anonymisieren lassen, die Nutzer über die Dienste in ihrer Datenschutzerklärung informieren und ihnen Opt-Out-Möglichkeiten mitteilen.

Zu deinen Lasten wirkt sich jedoch die Genauigkeit der Verhaltensprofile der Nutzer, die Google erstellt. Denn das Profiling ist ein gesetzlich verankerter Risikoindikator. Zudem muss geprüft werden, inwieweit Nutzer mit der Onlinebeobachtung vernünftigerweise rechnen müssen.

Websiteanalysen wie die von Google Analytics mit Standardeinstellungen gehören zum Erwarteten. Dagegen wird die Erwartung der Nutzer beim Cross-Device-Tracking, Erfassung demografischer Werte und der Standortdaten zu Zwecken des Remarketings und Zielgruppenbestimmung, zumindest angezweifelt.

Viele Chancen, aber auch viele Unsicherheiten

Du merkst, die Abwägung birgt viel Potential in sich, ist aber im Einzelfall sehr schwer vorzunehmen. Es werden sich mit der Zeit typische Beispiele etablieren, in denen ein berechtigtes Interesse angenommen werden kann. Leider werden die Beispiele der Datenschutzbehörden gewohnheitsmäßig enger ausfallen als die der Wirtschaft. Bedeutet: Wie bisher, wird wohl vor allem online eine große Grauzone bleiben.

Spricht dafür	Spricht dagegen
Verarbeitung typisch und vernünftigerweise erwartbar	Umfangreiches Profiling
Nutzer verständlich informiert (Datenschutzerklärung)	Standortdaten
Keine relevanten Nachteile für Nutzer zu erwarten	Retargeting
Pseudonymisierung	Crossdevicetracking
Opt-Out-Möglichkeit	Relevante Nachteile für Nutzer zu erwarten
	Keine Informationen
	kein Opt-Out
	Daten Minderjähriger
	Besonders sensible Arten von Daten
	Daten Beschäftigter

Minderjährige unter 16 Jahren sind besonders geschützt

Neben den vorgenannten Grundregeln der zulässigen Datenverarbeitung, gibt es auch Spezialregeln, von denen ich die wichtigsten kurz vorstellen möchte. So muss im Rahmen der Abwägung, zum Beispiel der berechtigten Interessen an der Datenverarbeitung, die Unerfahrenheit von Kindern besonders berücksichtigt werden (Art. 8 DSGVO). Für wie unerfahren der Gesetzgeber Minderjährige hält, zeigt die Altersgrenze für wirksame Einwilligungen Minderjähriger, die erst ab dem Alter von 16 Jahren möglich sind.

Daten zur Ethnie, Sexualität, Gesundheit, politische Ansichten, Biometrie und Genetik unterliegen besonders strengen Regeln

Die „Verarbeitung besonderer Kategorien personenbezogener Daten“ erfordert grundsätzlich eine ausdrückliche Einwilligung der Betroffenen. Darunter fallen unter anderem Angaben zur Ethnie, Gesundheit, Sexualität, religiösen oder politischen Ansichten sowie Biometrie oder Genetik eines Menschen (Art. 9 DSGVO).

Beschäftigte müssen besonders geschützt werden

Die Spezialregeln für Beschäftigte sind im § 26 des neuen Bundesdatenschutzgesetzes (BDSG-Neu) geregelt (das BDSG-Neu enthält deutsche Zusatzregeln zur DSGVO).

Der sogenannte Beschäftigtendatenschutz betont, dass bei Verarbeitung von Daten der Beschäftigten (unter anderem Bewerber, Praktikanten und Arbeitnehmer) immer ein Ungleichgewicht zu Lasten der Beschäftigten herrscht. Dieses Ungleichgewicht muss beispielsweise bei der Beurteilung, ob die berechtigten Interessen der Arbeitgeber die von Arbeitnehmern überwiegen, berücksichtigt werden. Aus diesen Gründen enthält die Vorschrift zudem hohe Vorgaben für die Einwilligungen und heimliche Beobachtung von Arbeitnehmern.

An strengen Regeln zur Videoüberwachung ändert sich nichts

Im § 4 BDSG-Neu werden die bisherigen Regeln zur Videoüberwachung im öffentlichen Raum komplett übernommen. Bedeutet: Sobald eine Überwachungskamera nicht nur das Privatgrundstück erfasst, werden an deren Einsatz sehr strenge Anforderungen gestellt (zum Beispiel begründete Gefahr einer Sachbeschädigung). Zudem ist die Videoüberwachung ein Fall für die Datenschutzfolgeabschätzung im Art. 35 DSGVO, die im Rahmen dieser Beitragsreihe noch besprochen wird.

Auch beim E-Mail-Marketing bleibt das meiste wie gewohnt

Das Direktmarketing per E-Mail bedarf weiterhin einer ausdrücklichen Einwilligung. Hier ändert sich wenig, da dies explizit im § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (und wohl ab 2019 zusätzlich im Artikel 16 der neuen E-Privacy-Verordnung) geregelt ist. Allerdings wird es möglich werden zum Beispiel das Tracking des Leseverhaltens der Newsletter auf berechtigte Interessen zu stützen (was jedoch deutliche Hinweise an die Nutzer voraussetzt).

Ebenso erlaubt bleibt die Direktwerbung an Bestandskunden für ähnliche Produkte und Dienstleistungen entsprechend § 7 Abs. 3 UWG.

Die deutschen Sonderregeln zum Adresshandel fallen weg

Was auffällt, ist dass die bisherigen und recht komplizierten Regelungen zu Werbung und Adresshandel im § 28 Abs. 3 BDSG-Alt komplett weggefallen sind (zum Beispiel Regeln zum Listenprivileg). Hier werden die Unternehmen unter Berufung auf berechtigte Interessen flexibler sein.

Keine Macht den Maschinen

Art. 22 DSGVO soll vor automatisierten Entscheidungen, die unter anderem auf Profilingmaßnahmen basieren können, schützen (zum Beispiel wenn Software Kreditanfragen ablehnt oder Bewerber aussortiert und Absagen verschickt). Entscheidungen, die für Menschen erhebliche Folgen haben, sollen nicht ohne menschliche Kontrolle getroffen werden. Diese Alogrythmuskontrolle enthält jedoch Ausnahmen, etwa wenn die Verarbeitung zur Vertragserfüllung oder mit einer Einwilligung erfolgt.

Flexibilität für Big Data

Die DSGVO erleichtert es den Unternehmen, vorhandene Daten für andere Zwecke zu verwenden. Eine Zweckänderung ist erlaubt, wenn der neue Verarbeitungszweck mit dem alten vereinbar ist, Daten möglichst pseudonymisiert werden und die Betroffenen nicht zusätzlich belastet sind (Art. 6 Abs. 4 DSGVO). Die Vorschrift dient daher als eine gesetzliche Erlaubnis für Big Data Anwendungen, bei denen ein möglichst flexibler Umgang mit Daten zu Effizienzsteigerungen führen kann.

Checkliste – Müssen Spezialregeln beachtet werden?

• Minderjährige Art. 8 DSGVO
• Besondere sensible Daten (Ethnie, Sexualität, Gesundheit, politische Ansichten) Art. 9 DSGVO
• Beschäftigtendatenschutz § 26 BDSG-Neu
• Videoüberwachung im öffentlichen Raum § 4 BDSG-Neu
• E-Mailmarketing (Ausdrückliche Einwilligung oder Bestandskunden) § 7 Abs. 3 UWG.
• Zweckänderung (Big Data, Marketing) Art. 6 Abs. 4 DSGVO
• Automatisierte Entscheidungen (z.B. über Bewerber) Art. 22 DSGVO

Die Einwilligung wurde in diesem Beitrag schon mehrfach erwähnt. Sie wird neben der Vorgenannten gesetzlichen Erlaubnisse, die wohl wichtigste Grundlage der Verarbeitung personenbezogener Daten bleiben (§§ 6 Abs. 1 lit. a, 7 DSGVO). Aus diesem Grund und weil sich auch bei der Einwilligung einiges verändert hat, wird der nächste Teil der Beitragsreihe ausschließlich der Einwilligung gewidmet.