0%

Datenschutzgesetz

Posted By: DJWob On:


8      I. EINFÜHRUNG UND HINTERGRÜNDE                                                                                       NEUBER                                     NEUBER        II. 1. REGELUNGSZIELE                                                                                                                9

 

I.  EINFÜHRUNG UND HINTERGRÜNDE

  1. DIE EU-DATENSCHUTZGRUND- VERORDNUNG IM ÜBERBLICK

 

 

Datenschutzrichtlinie ursprünglich von 1995

 

„Grund“-Verordnung

im Bereich des Datenschutzes

Das heute noch in der Europäischen Union geltende Datenschutzrecht be- ruht auf der Datenschutzrichtlinie von 1995. Diese Regeln entsprachen schon aufgrund der technischen Entwicklung der letzten 20 Jahre nicht mehr den Anforderungen, die heute an ein modernes Datenschutzrecht gestellt wer- den. Auch aus diesem Grund hatte die EU die Novellierung des europäischen Datenschutzrechts bereits 2012 mit der Veröffentlichung eines entsprechen- den Verordnungsentwurfs durch die Europäische Kommission  angestoßen. Die EU-Datenschutzgrundverordnung (DSGVO) ist unter maßgeblicher Be- teiligung der Öffentlichkeit und der interessierten Kreise durch das Europäi- sche Parlament und von den Mitgliedsstaaten im Rat diskutiert und entschie- den worden.

 

Nach intensiver Diskussion einigten sich die 28 Mitgliedsstaaten der EU Mitte Juni 2015 schließlich auf eine gemeinsame Textfassung der Datenschutzgrund- verordnung (DSGVO). Auf diese vorläufige Einigung folgten schließlich die Verhandlungen im sogenannten Trilog, in dem ein Kompromiss mit der Fas- sung der DSGVO gesucht wurde, die das Europäische Parlament bereits Ende 2013 verabschiedet hatte. Am Trilog beteiligt war als dritte Partei die Euro- päische Kommission. Der Trilog endete am 15.12.2015 mit dem Beschluss der Kompromissfassung eines Entwurfs für eine europäische Datenschutzgrund- verordnung. Am 06.04.2016 wurde schließlich ein konsolidierter Entwurf der deutschen Textfassung der DSGVO veröffentlicht.

 

Am 14. April 2016 wurde die DSGVO durch das Plenum des EU-Parlaments angenommen und in der Folge im Amtsblatt der Europäischen Union veröf- fentlicht. Anders als bei einer EU-Richtlinie bedarf es keiner weiteren Um- setzung in nationales Recht. Die Verordnung wird unmittelbar anwendbares Recht.

 

Der Charakter als Kompromisslösung wird bereits im Namen des Regel- werkes deutlich. Es handelt sich um eine (bislang als solche unbekannte)

„Grund“-Verordnung im Bereich des Datenschutzes. Sie ist gekennzeichnet durch eine Vielzahl von Regelungsspielräumen zugunsten nationalgesetzlicher Einzelregelungen sowie der ausdrücklichen Ermächtigung des Europäischen Parlaments und des Rates, weitergehende Vorschriften über den Schutz na- türlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten zu erlassen (delegierte Rechtsakte).

 

1.   REGELUNGSZIELE

 

Hauptziel der Verordnung ist die europaweite Harmonisierung und Moder- nisierung des Datenschutzrechts. Die rasant fortschreitende  technologi-  sche Entwicklung sollte durch neue Datenschutzregeln für die On- und Off- line-Welt eingefangen und abgebildet werden.

 

In ihrem Art. 1 gibt die DSGVO die Ziele der Neuregelung selbst an. So soll die Verordnung sowohl den Schutz natürlicher Personen bei der Verarbei- tung personenbezogener Daten als auch den freien Verkehr solcher Daten sicherstellen. Der „free flow of data“ innerhalb der Europäischen Union soll durch die Regelungen des Rechts auf den Schutz personenbezogener Daten vor  allem weder  eingeschränkt noch  verboten werden. Dieser Grundsatz ist Voraussetzung für eine funktionierende Datenökonomie in dem von der EU-Kommission angestrebten digitalen Binnenmarkt.

 

Aus den Erwägungsgründen, aber auch aus  der  Wahl  des Regelungsmittels  in Form einer Verordnung anstelle einer Richtlinie, lassen sich die weiteren Ziele der DSGVO ablesen. Im Unterschied zu einer EU-Richtlinie, welche lediglich Rechtsgrundsätze aufstellt, die in den Mitgliedsstaaten in unter- schiedlichster Weise in nationales Recht umgesetzt werden können, sind die Vorgaben einer EU-Verordnung für alle Mitgliedsstaaten unmittelbar und ein- heitlich verbindliches Recht. Gerade die Umsetzungsunterschiede, die aus der alten EU-Datenschutzrichtlinie 95/46/EG resultierten, sah die EU-Kommissi- on als ein wesentliches Hemmnis für die unionsweite Ausübung von Wirt- schaftstätigkeiten an, die den Wettbewerb verzerren und die  Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern.

 

Die DSGVO regelt nun erstmals europaweit einheitlich die Bedingungen für die Verarbeitung personenbezogener Daten sowohl im öffentlichen als  auch im privaten Sektor. Im Mittelpunkt steht hier vor allem die Erkenntnis, dass der grenzüberschreitende Verkehr personenbezogener Daten zwischen öf- fentlichen und privaten Akteuren einschließlich natürlichen Personen, Verei- nigungen und Unternehmen stark zugenommen hat und nun unter einheitli- chen Rahmenbedingungen stehen muss.

 

Insgesamt sollen die Rechte betroffener Personen gestärkt und die Verpflich- tungen für diejenigen, die personenbezogene Daten (pDaten) verarbeiten

 

 

 

Harmonisierung und Modernisierung des Datenschutzrechts

 

 

Keine Einschränkung des free flow of data

 

 

EU-Verordnung für alle Mitgliedsstaaten unmittelbar und

einheitlich verbindliches Recht

 

 

 

Gilt für öffentlichen und privaten Sektor

 

 

10      II. 2. STRUKTUR                                                                                                                          NEUBER                                   NEUBER          II. 2. STRUKTUR                                                                                                                          11

 

Kapitel 5 DATENÜBERMITTLUNG IN DRITTLÄNDER            (Art. 44-50)

ODER INT. ORGANISATIONEN

• Allgemeine Grundsätze der Datenübermittlung

• Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

• Datenübermittlung vorbehaltlich geeigneter Garantien

• Verbindliche interne Datenschutzvorschriften

• Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Kapitel 6 UNABHÄNGIGE AUFSICHTSBEHÖRDEN

• Unabhängigkeit

• Zuständigkeit, Aufgaben und Befugnisse

(Art. 51-59)
Kapitel 7 ZUSAMMENARBEIT UND KOHÄRENZ

• Zusammenarbeit

• Kohärenz

• Europäischer Datenschutzausschuss

(Art. 60-76)
Kapitel 8 RECHTSBEHELFE, HAFTUNG UND SANKTIONEN (Art. 77-84)

• Recht auf Beschwerde bei einer Aufsichtsbehörde

• Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

• Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

• Vertretung von betroffenen Personen

• Aussetzung des Verfahrens

• Haftung und Recht auf Schadenersatz

• Allgemeine Bedingungen für die Verhängung von Geldbußen

• Sanktionen

Kapitel 9 VORSCHRIFTEN FÜR BESONDERE                          (Art. 85-91)

VERARBEITUNGSSITUATIONEN

• Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

• Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten

• Verarbeitung der nationalen Kennziffer

• Datenverarbeitung im Beschäftigungskontext

• Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffent- lichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

• Geheimhaltungspflichten

• Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereini- gungen oder Gemeinschaften

Kapitel 10 DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKTE

• Ausübung der Befugnisübertragung

• Ausschussverfahren

(Art. 92-93)
Kapitel 11 SCHLUSSBESTIMMUNGEN                                          (Art. 94-99)

• Aufhebung der Richtlinie 95/46/EG

• Verhältnis zur Richtlinie 2002/58/EG

• Verhältnis zu bereits geschlossenen Übereinkünften

• Berichte der Kommission

• Überprüfung anderer Rechtsakte der Union zum Datenschutz

• Inkrafttreten und Anwendung

 

oder über die Verarbeitung entscheiden, verschärft werden. Die Aufsichtsbe- hörden sollen gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung besitzen.

 

 

 

 

11 Kapitel und

99 Artikel

2.   STRUKTUR

 

Die DSGVO gliedert sich in insgesamt 11  Kapitel und 99 Artikel, wobei sich   die ersten 5 Kapitel mit den Grundsätzen und materiellen Anforderungen an Datenverarbeitungen befassen. Die Unterscheidung zwischen Verarbeitungen durch öffentliche oder durch nichtöffentliche Stellen wird in den jeweiligen Ar- tikeln vorgenommen. Eine klare Trennung hätte bereits hier für mehr Überblick sorgen können. Die letzten Kapitel befassen sich im Wesentlichen mit formalen Themen wie der Gestaltung der Datenschutzaufsicht, Fragen der europäischen Zusammenarbeit im Datenschutz (Kohärenzverfahren) und den Sanktionen. Hervorzuheben sind die in Kapitel 9 zusammengefassten Bereiche besonderer Verarbeitungsszenarien wie Presse, Gesundheit, Forschung oder Beschäftigten- datenschutz.

Die Gliederung im Überblick (Übersicht):

 

 

 

Kapitel 1 ALLGEMEINE BESTIMMUNGEN (Art. 1-4)
• Gegenstand und Ziele
• Anwendungsbereich
• Definitionen
• Begriffsbestimmungen
Kapitel 2 GRUNDSÄTZE

• Rechtmäßigkeit der Verarbeitung

• Bedingungen für die Einwilligung

• Einwilligung von Kindern

• Besondere Kategorien personenbezogener Daten

• Identifizierung von Personen

(Art. 5-11)
Kapitel 3on (Art.12-23)
• Transparenz
• Informationspflichten
• Auskunftsrechte
• Löschungsrechte (Recht auf Vergessenwerden)
• Widerspruchsrecht
• Beschränkungen
Kapitel 4 VERANTWORTLICHER UND (Art.24-43)
AUFTRAGSVERARBEITER
• Transparenz
• Informationspflichten
• Auskunftsrechte
• Löschungsrechte (Recht auf Vergessenwerden)
• Widerspruchsrecht
• Beschränkungen

 

 

12   II. 3. RÄUMLICHE GELTUNG                                                                                                           NEUBER                                   NEUBER                                                                                                                                                         II. 3.2 VERHALTENSBEOBACHTUNG                                                                                                                                                         13

 

 

3.   RÄUMLICHE GELTUNG

 

Die DSGVO soll für europaweit einheitliche Anwendung stehen und damit bislang strittige Abgrenzungsfragen der Anwendbarkeit von Gesetzen in ein- zelnen Mitgliedsstaaten lösen. In Art. 3 DSGVO ist der räumliche Anwen- dungsbereich näher definiert.

tere Indizien wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Mög- lichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden und Nutzern, die sich in der Union befinden.

 

3.2 Verhaltensbeobachtung

 

 

 

DSGVO gilt für alle EU-Unternehmen

einheitlich

 

 

 

 

Marktortprinzip

 

 

 

Geltung auch für Nicht-EU-Unter- nehmen, soweit Aktivitäten auf den europäischen Markt

gerichtet sind

Die DSGVO gilt nunmehr einheitlich für Verarbeitungen von pDaten durch in der EU niedergelassene Unternehmen (Art. 3 Abs. 1 DSGVO). Dabei ist es nicht von Belang, ob die Verarbeitung selbst ebenfalls in der EU erfolgt. Ver- arbeitet ein in Deutschland niedergelassenes Unternehmen pDaten also auf Servern eines Auftragsverarbeiters in einem Nicht-EU-Staat, gilt  trotzdem die DSGVO.

 

Mit der DSGVO wird außerdem das so genannte Marktortprinzip im Daten- schutzrecht eingeführt. Art. 3 Abs. 2 DSGVO bestimmt, dass die DSGVO auch auf all diejenigen Verarbeitungen von pDaten durch Unternehmen an- zuwenden ist, wo diese Personen betreffen, die sich in der EU befinden und das Unternehmen weder seinen Sitz noch eine Niederlassung sich in der EU haben. In diesem Falle ist gemäß Art. 27 DSGVO grundsätzlich ein Vertreter in der Union zu benennen. Damit soll die Zugriffmöglichkeit gesichert wer- den. Es kommt nicht darauf an, ob die angebotenen Dienste entgeltlich oder unentgeltlich zu nutzen sind. Damit alle – auch kostenfreie weil werbefinan- zierte – Angebote erfasst.

 

Voraussetzung nach Art. 3 Abs. 2 DSGVO ist, dass die Datenverarbeitung in Zusammenhang damit steht

  1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubie- ten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
  2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union

 

3.1 Anbieten von Waren oder Dienstleistungen in der EU

 

Ein Unternehmen muss zum einen tatsächlich beabsichtigen, Waren oder Dienstleistungen an Personen in der EU anzubieten. Zur Ermittlung können nach Erwägungsgrund 23 DSGVO Indizien wie die allgemeine Zugänglichkeit der Webseite, eine E-Mail-Kontaktadresse oder die Verwendung einer Spra- che, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, dienen. Soweit dies – wie wohl in  der  Mehrzahl der Fälle – nichts über die tatsächliche Absicht des Unternehmens aussagt, müssen weitere Faktoren berücksichtigt werden. Dafür sprechen dann wei-

Die DSGVO soll auch für alle Unternehmen gelten, die das Verhalten einer Person beobachten, soweit dieses in der Union erfolgt. Hierunter sind Tra- ckingmaßnahmen zu verstehen, die z.B. das Surfverhalten von  Nutzern in  der EU im Blick haben. Laut Erwägungsgrund 24 DSGVO soll zur Ermittlung dieser Frage auch entscheidend sein, ob daraufhin Verarbeitungstechniken genutzt werden, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bil- det oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Für den Bereich der digitalen Werbewirtschaft dürfte diese Geltung in vielen Fällen eingreifen.

 

3.3 Zusammenfassung

 

Die Wirkung dieser Regelungen ist umfassend. Die Geltung der DSGVO ist demnach für alle national oder grenzüberschreitend tätigen EU-Unterneh- men (Internetmarktplätze, Warentransporteure, digitale Dienstleister, Sozia- le Medien) von Bedeutung, selbst wenn die Verarbeitung von pDaten gar nicht in der EU stattfindet. Bei Nicht-EU-Unternehmen entscheidet die Ausrich- tung des Angebots auf den europäischen Markt.

 

 

4.   INKRAFTTRETEN

 

Die DSGVO trat 20 Tage nach der Veröffentlichung im Europäischen Amts- blatt am 24. Mai 2016 in Kraft und wird nach einer Übergangszeit von zwei Jahren ab dem 25. Mai 2018 unmittelbar anwendbares Recht in der EU. Bis dahin muss die DSGVO auch mit dem nationalen Recht harmonisiert werden.

 

Dies ist in Deutschland bereits geschehen. Mit dem Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-E) ist in Deutschland das alte Bundes- datenschutzgesetz (BDSG) als BDSG-neu grundsätzlich umgestellt worden. Das nationale Datenschutzrecht enthält nunmehr nur noch Bestimmungen, die entweder die in der DSGVO vorgesehenen Regelungsspielräume ausnutzt oder andere – dort nicht geregelte Bereiche betrifft. Das BDSG-neu tritt zusammen mit der DSGVO ebenfalls am 25. Mai 2018 in Kraft Einzelheiten hierzu werden in diesem Leitfaden entsprechend berücksichtigt.

 

 

Umfassende Wirkung des Geltungsbereichs

 

 

 

Ab 25. Mai 2018

unmittelbar anwendbares Recht in der EU

 

In Deutschland zusätzlich ab

  1. Mai 2018 BDSG-neu

 

14      III. 1.  VERARBEITUNG PERSONENBEZOGENER DATEN                                                                NEUBER                                   NEUBER          III. 1.  VERARBEITUNG PERSONENBEZOGENER DATEN                                                                15

 

 

III.   BASICS DER DATENVERARBEITUNG

1.1  Identifizierung einer natürlichen Person

 

 

Automatisierte Verarbeitung oder für Speicherung in einem Dateisystem

 

 

 

Weites Verständnis

von personenbezogenen

Daten

 

  1. VERARBEITUNG PERSONENBEZOGENER DATEN

 

Die DSGVO ist nur dann anwendbar, wenn es um die Verarbeitung von pDaten geht. Für Daten ohne Personenbezug oder  Personenbeziehbarkeit  gilt die DSGVO nicht.

 

Der Begriff „Verarbeitung“ ist weit zu verstehen und umfasst bereits sowohl das vorgelagerte Erheben als auch das nachgelagerte Speichern von pDaten.

 

In Art.2 Abs. 1 DSGVO werden die relevanten Verarbeitungsszenarien umris- sen. PDaten müssen entweder ganz oder teilweise automatisiert oder – wenn es nicht automatisiert erfolgt – für die Speicherung in einem Dateisystem verarbeitet werden. Für die digitale Wirtschaft relevant ist insbesondere die automatisierte – also computergestützte – Verarbeitung. Die Verarbeitung durch natürliche Personen zu persönlichen oder familiären Zwecken ist von der DSGVO ausgenommen. Diese so genannte „Haushaltsausnahme“ stellt klar, dass eine Verarbeitung im privaten Bereich (z.B. das Anlegen einer pri- vaten Kontaktliste), keinen Beschränkungen unterliegt. Die Verarbeitung von Werbedaten fällt eindeutig in den Bereich der DSGVO – soweit es sich um pDaten handelt.

 

Das Verständnis des Begriffs der pDaten ist unter der DSGVO erheblich ausgeweitet worden. Zugleich sind ausdrücklich Online-Identifikatoren wie Cookie-IDs und mobile Geräte-Werbe-IDs unter dieses Verständnis einge- ordnet worden. Es ist für die Beurteilung in Unternehmen der digitalen Wirt- schaft daher wesentlich zu verstehen, in welchen Bereichen die Definition  von pDaten gilt. Dies dürfte nicht immer einfach sein.

 

Die Verordnung definiert in Art. 4 Nr. 1 als pDaten:

„Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuord- nung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortda- ten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merk- malen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“

Personenbezug haben Daten also immer dann, wenn sie sich auf eine identi- fizierte oder identifizierbare natürliche Person beziehen (Betroffene). Identi- fizierbar ist eine Person, wenn sie unmittelbar oder mittelbar mittels Zuord- nung zu einer Kennung wie Namen, Standortdaten, Online-Identifier oder physische, wirtschaftliche, kulturelle – aber auch genetische oder biometri- sche Merkmale identifiziert werden kann.

 

In der Digitalbranche – insbesondere  der  Online-Werbevermarktung  geht es hauptsächlich um das Kategorisieren von Nutzungsverhalten in Segmente. Profiling anhand von Nutzungsdaten muss unter Beachtung der tatsächlich verwendeten Daten also zu einer Personenbeziehbarkeit führen, um unter den Anwendungsbereich der DSGVO zu fallen. Einen Hinweis, welche Daten- verarbeitungen zur  Identifizierbarkeit führen können, gibt Erwägungsgrund 26 DSGVO:

„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Per- son direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“

 

Es geht also darum, aus einem Nutzungsdatenprofil auf eine existierende na- türliche Person schließen zu können. Als Gradmesser für eine Personenbe- ziehbarkeit soll der Aufwand dienen, den die verantwortliche Stelle betreiben müsste, um aus einem Datensatz eine natürliche Person zu identifizieren. Da- hinein zu rechnen sind „alle objektiven Faktoren, wie die Kosten der Identifizie- rung und der dafür erforderliche Zeitaufwand […] wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berück- sichtigen sind.“

 

Personenbeziehbarkeit liegt also nur vor, wenn das verantwortliche Unter- nehmen mit verträglichem Aufwand die erhobenen Daten eindeutig einer bestimmten, identifizierbaren natürlichen Person zuordnen kann. Dies ent- spricht zunächst einem relativen Verständnis der Personenbeziehbarkeit, wo ein Personenbezug dann angenommen wird, wenn die konkrete verantwort- liche Stelle – und nicht irgendwer – diesen unter vertretbarem Aufwand her- stellen kann.

 

Die DSGVO sagt nicht, wer diese Zuordnung vornehmen muss. Allerdings dürfte sich nach den Kriterien des Europäischen Gerichtshofs zur Frage der Personenbezogenheit dynamischer IP-Adressen die Debatte darum nun (fast) erledigt haben.

Datum muss zur Identifizierung oder Identifizierbarkeit einer natürlichen Person führen können

 

 

 

Identifizierung muss mit vertretbaren Mitteln erfolgen

 

16      III. 1.  VERARBEITUNG PERSONENBEZOGENER DATEN                                                                NEUBER                                   NEUBER          III. 1.  VERARBEITUNG PERSONENBEZOGENER DATEN                                                                17

 

 

Beispiel dynamische IP-Adresse: Die Frage der Personenbezogenheit einer IP-Adresse ist üblicherweise relativ und kontextspezifisch zu betrachten. So kann eine dynamische IP-Adresse für einen Webseitenbetreiber allein eventuell nicht-personenbezogen sein (z.B. bei einem von vielen Nutzern frequentierten, öffentliche „Hot-Spot“). Wird diese IP-Adresse jedoch mit anderen Informati- onen verbunden die es erlauben würden, eine einzelne Person zu identifizieren, dann würde der Datensatz – und damit auch die IP-Adresse als dessen Bestand- teil – als pDatum gelten. Der Aufwand, eine IP-Adresse einer natürlichen Per- son zuzuordnen wäre – ohne weiteren Anlass – zudem nicht zu rechtfertigen.

1.2   Direkte oder indirekte Identifizierbarkeit

 

Der in der DSGVO grundsätzlich angesprochene Gedanke, dass pDaten nur dann vorliegen, wenn eine Beziehbarkeit zu einer konkreten natürlichen Person hergestellt werden kann, erfährt durch das Kriterium der indirekten Bestimmbarkeit eine weitere  erhebliche Einschränkung. Gemäß Art. 4  Abs.  1 DSGVO reicht eine indirekte Identifizierbarkeit durch Zuordnung z.B. zu einer Online-Kennung oder zu Merkmalen, die Ausdruck z.B. der sozialen Identität der Person sind.

 

 

Dynamische IP-Adressen sind

pDaten

In seinem Urteil zur Frage der Personenbezogenheit von IP-Adressen vom 19.10.2016 hat der Europäische Gerichtshof (EuGH)1 jedoch festgestellt, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Medien- diensten“ (d. h. vom Betreiber einer Website) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezo- genes Datum darstellt, wenn er über „rechtliche Mittel verfügt“ die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen In- ternetzugangsanbieter verfügt, bestimmen zu lassen. Es geht also nicht mehr um den Aufwand, sondern nur noch um die Frage, ob entsprechende Mittel zur Verfügung stehen. Solche rechtlichen Mittel könnten Auskunftsansprüche gegenüber Behörden oder Access-Provider im Rahmen eines Strafverfahrens darstellen. Diese dürfte theoretisch immer eingreifen.

 

Die Anforderungen an den „vernünftigen Aufwand“ hat der Bundesgerichts- hof (BGH) dann kürzlich noch konkretisiert2 . Eine dynamische IP-Adresse,  die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Per- son auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein personenbezogenes Datum dar. Es wird davon ausgegangen, dass jedenfalls eine Bundesbehörde als Websei- tenbetreiber über rechtliche Mittel verfügt, die vernünftigerweise eingesetzt werden können, um mit Hilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicher- ten IP-Adressen bestimmen zu lassen.

 

Ob man bei regulären Nutzungen und privaten Webseitenbetreibern  oder gar Online-Datenverarbeitern solche absoluten Kriterien anlegen kann, dürf- te nach wie vor zweifelhaft sein. Weder wäre ein solcher Aufwand hier ver- nünftig noch – in Anbetracht der Lebensdauer und Verwendung der Daten

– relevant. Bis zu einer weiteren Entscheidung in diesem Bereich wird man allerdings nun von einem pDatum ausgehen müssen.

 

1 EuGH Urt. v. 19.10.2016, Az. C-582/14

2 BGH Urt.V. 16.05.2017,VI ZR 135/13

In Erwägungsgrund 30 DSGVO wird zwar erkannt, dass die Zuordnung von natürlichen Personen zu bestimmten Cookie-IDs oder IP-Adressen Spuren hinterlassen kann, die insbesondere in Kombination mit eindeutigen Ken- nungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. Die Formulierung „kann“ zeigt dabei, dass dies nicht der Fall sein „muss“.

 

Das Zuordnen von Nutzungshandlungen im Internet zu einem bestimmten Nutzungsprofil unter einer eindeutigen Kennung in  Form einer Werbe-ID und ohne weitere Klardatenverarbeitung (also tatsächliche Zuordnung zu ei- ner bestimmten natürlichen Person) dürfte vordergründig in den wenigsten Fällen zur konkreten Identifizierbarkeit einer konkreten natürlichen Person führen. Nutzungsdatenverarbeitungen und –auswertungen haben allein be- stimmtes Nutzungsverhalten (einer unbestimmten Person) im Blick. Es geht hier also nicht um Identifizierung einer Person sondern vielmehr um Individu- alisierung eines Nutzungsverhaltens.

 

Gelingt es aber mit einem umfangreichen Datensatz und mithilfe von speziel- len Aussonderungstechniken (singling out), ein Verhalten auf eine bestimmba- re Person zu beziehen (ohne diese klar zu identifizieren), sollen diese Daten ebenfalls personenbezogen sein. Es führt also nicht nur eine direkte, sondern auch jede indirekte Identifizierbarkeit zur Personenbeziehbarkeit. Die Hür- den für eine Personenbeziehbarkeit sind daher weit geringer.

 

Beispiel Online-Identifier: Relevant wird dies im Bereich der von der DSGVO ebenfalls erfassten Online-Identifier. Derzeit ordnen Landesdatenschutzbe- hörden Online-Identifier wie z.B. eine Werbe-ID den personenbezogenen Daten zu. Für die Nutzung dieser wird sogar eine Einwilligung verlangt. Zu- gleich spricht die DSGVO in Erwägungsgrund 30 jedoch davon, dass eine Iden- tifizierung nicht notwendig mit der Nutzung einer Kennnummer einhergehen muss. Wo dies nicht der Fall ist, würde es sich demnach um anonyme Daten handeln, die überhaupt keiner datenschutzrechtlichen Regelung unterfallen.

Personenbezug bei Verbindung von Personendaten und Online-Kennungen möglich, aber nicht immer zwingend

 

 

Individualisierung statt Identifizierung

 

 

 

 

Indirekte Identifizierbarkeit

 

 

 

 

 

Online-Identifier

und entsprechende Datensätze können anonyme Daten sein

 

18      III. 1.  VERARBEITUNG PERSONENBEZOGENER DATEN                                                                NEUBER                                   EICKMEIER          III. 2. ANONYME UND PSEUDONYME DATEN                                                                             19

 

 

Denn zumindest für Dritte ist schon nicht nachvollziehbar, welche Daten sich hinter der Kennnummer verbergen. Kann mit diesen Daten ohnehin keine Identifizierbarkeit einer natürlichen Person hergestellt werden, sollte der ge- samte Datensatz eigentlich anonym sein.

 

Diese Ansicht ist auch nachvollziehbar. Es soll gemäß Art. 4 Nr. 1 DSGVO reichen, dass eine natürliche Person mittels Zuordnung z.B. zu einer On- line-Kennung oder Standortdaten direkt oder indirekt identifizierbar wird. Die Identifizierbarkeit muss sich aber direkt aus der Zuordnung ergeben, und nicht aus den unter einer Online-Kennung ggf. gespeicherten Nutzungsdaten. Eine Online-Kennung wie eine Werbe-ID lässt aber, anders als die in Art. 4 Nr. 1 DSGVO ebenfalls beispielsweise genannten Merkmale, die Ausdruck  der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, üblicher- weise keinen eigenständigen Rückschluss auf eine Person zu.

2.   ANONYME UND PSEUDONYME DATEN

 

In der Online-Welt besonders üblich und bekannt war bisher die Pseudo- nymisierung von Nutzungsdaten zum Zwecke der Werbung und Marktfor- schung gemäß § 15 Abs. 3 TMG. Diese Vorschrift ließ es bekanntlich zu, zum Zwecke der Werbung und Marktforschung pseudonyme Nutzerprofile zu erheben, sofern Unternehmen in ihren Datenschutzerklärungen auf diesen Umstand hinwiesen und den Nutzern zugleich die Möglichkeit gaben, ihren Widerspruch dagegen zu erklären (Opt-Out). Auch die Anonymisierung von Daten spielte bisher eine große Rolle, denn waren Daten erst einmal wirksam anonymisiert, waren sie, wie oben bereits erwähnt, dem Anwendungsbereich der Datenschutzgesetze entzogen.

 

 

 

Personenbezug allein durch

Zuordnung zu einer Online-Kennung

 

 

 

Personen- beziehbarkeit nach dem Konzept der

DSGVO

Aus diesem Grund bleiben hier Zweifel an der Anwendbarkeit der DSGVO weiterhin bestehen, weil sich nach wie vor die Frage stellt, ob die Sammlung, Aufbereitung und Verarbeitung von Nutzungsdaten (zum Beispiel im Rahmen des Programmatic Advertisings) und ihre Verknüpfung mit Online-Identifiern, also z.B. der User-ID, Cookie ID´s, etc., überhaupt die Verarbeitung von per- sonenbezogenen Daten darstellt.

 

Im Bereich der Werbenutzung von Daten im Rahmen von Profiling wird diese Annahme jedoch zumeist nicht tragen. Grund dafür ist, dass eine Personen- beziehbarkeit bereits durch das Zuschneiden des Profilings auf „bestimmte“ Nutzungshandlungen eines konkreten Nutzers erfolgt. Es ist nicht erforder- lich, dass die Person klar identifiziert wird. Allein das „Aussondern“ eines Nutzers aufgrund von Nutzungsinformationen in Kombination mit einer On- line-Kennung führt letztlich zu einer Personenbeziehbarkeit nach dem Kon- zept der DSGVO.

 

Entscheidend ist in diesen Fällen daher weniger die Frage des (weiten) Ver- ständnisses des Personenbezugs, sondern vielmehr die der Möglichkeiten der Verarbeitung pseudonymer Daten.

 

 

 

2.1   Anonyme Daten

 

Ein Anonymisieren von Daten lag bisher vor, wenn pDaten derart verändert werden, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit,  Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

 

Die Anonymisierung wird nicht gesetzlich in der DSGVO definiert, sie wird allerdings in Erwägungsgrund 26 angesprochen. Dort heißt es : „Die Grundsät- ze des Datenschutzes sollten daher nicht für anonyme Informationen gelten,

d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder pDaten, die in einer Weise anonymisiert wor- den sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“

 

 

 

Anonymiseren ¹

Pseudonymiseren

 

20      III. 2. ANONYME UND PSEUDONYME DATEN                                                                         EICKMEIER                                   NEUBER          III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                          21

 

 

2.2   Pseudonyme Daten

 

Unter einem Pseudonymisieren verstand das BDSG das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschwe- ren. Im Anwendungsbereich der zukünftigen DSGVO werden diese Begriffe nunmehr anders definiert: „Pseudonymisierung“ ist gem. Art 4 Nr. 5 DSGVO

„die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbe- zogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzli- chen Informationen gesondert aufbewahrt werden und technischen und organisa- torischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewie- sen werden“.

 

Der Verwendung pseudonymisierter Daten wird künftig eine wesentliche Rolle zukommen. Die DSGVO privilegiert pseudonyme Daten an verschiede- nen Stellen. Als geeignete technisch-organisatorische Maßnahme unter dem Stichwort „privacy-by-design“ stellt die Pseudonymiserung gemäß Art.  25 Abs. 1 DSGVO ein Mittel zur Umsetzung der DSGVO-Datenschutzgrund- sätze wie Datenminimierung (Art. 5 Abs. 1 c) DSGVO) oder Garantien zum Schutz von Betroffenenrechten bei der Weiterverarbeitung von pDaten zu anderen Zwecken dar (Art. 6 Abs. 4 DSGVO).

 

Die Verwendung pseudonymer Datensätze kann ebenso dort, wo eine Iden- tifizierung von Betroffenen nicht möglich ist dazu führen, dass die Verpflich- tung zur Erfüllung von Betroffenenrechten eingeschränkt ist oder gar entfällt. Diese in Art. 11 DSGVO niedergelegte Erleichterung dürfte wesentlich im Bereich der Werbevermarktung sein. Nicht ausgenommen sind allerdings weiterhin die umfangreichen Informationspflichten aus Art. 12 ff. DSGVO. Praktisch wichtigster Anwendungsfall dürfte jedoch die leichtere Verarbei- tung aufgrund der gesetzlichen Erlaubnis aus Art. 6 Abs. 1 f) DSGVO sein. Zwar sieht die DSGVO keinen echten „Nachfolger“ für § 15 Abs.3 TMG vor. Das bedeutet jedoch nicht, dass der Regelungsgehalt damit vollständig verlo- ren gegangen ist, wie schon zum Teil befürchtet wurde. Im Gegenteil heißt es in Erwägungsgrund 29 DSGVO gerade, dass für die Anwendung der Pseudo- nymisierung Anreize geschaffen werden sollen und benennt in diesem Zusam- menhang ausdrücklich die Möglichkeit von Pseudonymisierungsmaßnahmen zum Zwecke einer „allgemeinen Analyse“ bei „demselben Verantwortlichen“. Nach Auffassung der einschlägigen Literatur spricht deshalb vieles für eine auch in Zukunft eröffnete Möglichkeit zur Erstellung von  Nutzungsprofilen  bei Verwendung von Pseudonymen zum Zwecke der eigenen und ebenfalls zum Zwecke der anbieterübergreifenden Werbung.

Deshalb wird zu Recht auch die Auffassung vertreten, dass insbesondere Ana- lyse-und Werbetechniken im Internet bei der Verwendung von Pseudonymen auch zukünftig auf der Grundlage der allgemeinen Interessensabwägungsklausel des Art. 6 Abs.1 f DSGVO möglich sein werden, wenn sich diese als allgemein erwartbar darstellen und die jeweilige Person transparent über deren Einsatz informiert wird. Denn richtigerweise ist das Nutzungsverhalten im Internet – und sind damit die entsprechenden Nutzungsdaten – nicht anderes das das Ab- bild der sozialen Realität eines Nutzers3. Selbst wo solche Daten personenbe- zogen sind, können solche Daten also nicht ausschließlich dem Betroffenen im Sinne eines absoluten Herrschaftsrechts zugeordnet werden. Eine Nutzung und Verarbeitung muss also – unter Beachtung der in der DSGVO niedergelegten Sicherungsmaßnahmen (Pseudonymiserung, Transparenz, Widerspruchsrecht, Privacy by Design) weiterhin einwilligungslos möglich bleiben, soll Datenschutz seinen Zweck erfüllen und die Data Economy in der EU Erfolg haben.

 

 

3.   GESETZLICH ERLAUBTE DATENVERARBEITUNGEN

 

  • Vertragserfüllung und andere rechtliche Verpflichtungen

 

Wie im bisherigen Datenschutzrecht gilt auch bei der DSGVO, dass die Ver- arbeitung von pDaten dann erlaubt ist, wenn ein Unternehmen diese Daten zum Zwecke der Erfüllung von Verträgen oder wegen anderweitiger, vom Gesetz benannter, rechtlicher Verpflichtungen nutzen können muss. Neben der in Art. 6 Abs. 1 a) DSGVO genannten Einwilligung, listen Art. 6 Abs. 1 b)-e) abschließende Beispiele hierfür auf.

 

Es ist zunächst klarstellend festzuhalten, dass die gesetzlichen Erlaubnisse neben der Einwilligung gleichwertige Rechtsgrundlagen für die Verarbeitung von pDaten darstellen. Eine Hierarchie exisitert also nicht.

 

Die wohl wichtigste Erlaubnis neben den berechtigten Interessen und vor allem neben der Einwilligung wird die Erlaubnis zur Datennutzung für Ver- tragszwecke sein. Sie ist grundsätzlich weit zu verstehen. Hierunter fallen auch Handlungen zur Vertragsanbahnung.

 

Welche Datenverarbeitungen – vor allem im digitalen Umfeld – notwendig für die Anbahnung, Durchführung oder Beendigung von Verträgen notwendig sind und daher unter diese gesetzliche Erlaubnis fallen, wird es in Zukunft heraus- zuarbeiten geben. Die Rechtsgrundlage Vertrag ist insbesondere relevant vor dem Hintergrund des nur bei der Einwilligung geltenden Kopplungsverbotes.

3 Vgl. BVerfG Urt. v. 15.12.1983, 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83,

1 BvR 440/83, 1 BvR 484/83

Nutzungsdaten- verarbeitung weiterhin grund-

sätzlich einwilligungs- los möglich

 

 

 

 

Nutzungsdaten sind Abbild der

sozialen Realität

 

 

 

 

Datennutzung für Vertragszwecke

 

22      III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                               NEUBER                                   ZIPPEL          III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                               23

 

 

Datennutzung u.U. auch für Werbezwecke erlaubt, soweit es

im Vertrag um Werbung geht

 

 

 

 

Rechtliche Verpflichtung

 

Eine Rechtsgrundlage kann verschiedene Verarbeitungen

rechtfertigen

Wichtig für die Einordnung bei werbenden Maßnahmen könnte hier auch die bisherige Auffassung des Düsseldorfer Kreises werden. In ihren „Anwen- dungshinweisen zur Erhebung, Verarbeitung und Speicherung von personen- bezogen Daten zu werblichen  Zwecken“  hatte  die  Ad-hoc-Arbeitsgruppe im Jahre 2013 klargestellt, dass pDaten unter bestimmten Umständen auch ohne Einwilligung für Werbezwecke verarbeitet werden dürfen. Danach kann die Verwendung von pDaten zu Werbezwecken im Anwendungsbereich des BDSG auch auf die Erlaubnis zur Vertragserfüllung gestützt werden (§28 Abs. 1 S.1 Nr.1-3 BDSG). Die  Vorschriften bilden eine  hinreichende Grundlage  für die werbliche Ansprache, wenn diese Gegenstand des Schuldverhältnisses selbst ist. Das kann z.B. bei Preisausschreiben, Gewinnspielen sowie Katalog- und Prospektanforderungen der Fall sein4. Die Datenschutzaufsichtsbehör- den werden sich unter Geltung der DSGVO künftig europaweit einheitlich  positionieren müssen. Da es häufig aber auch nach 2018 um eine nationale Sichtweise gehen wird, lohnt sich eine Abklärung dieser Frage mit der zustän- digen Landesdatenschutzbehörde.

 

In Art. 22 Abs. 2 a) DSGVO findet sich zudem eine Ausnahme für auf auto- matisierter Basis getroffener Entscheidungen, soweit diese für den Abschluss oder die Erfüllung eines Vertrages verantwortlich ist. Dies betrifft beispiels- weise den Bereich der Überprüfung der Kreditwürdigkeit einer Person. Aller- dings muss der Verantwortliche in solchen Fällen angemessene Maßnahmen treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. Dazu gehört mindestens das Recht auf Erwir- kung des Eingreifens einer Person seitens des Verantwortlichen, auf Darle- gung des eigenen Standpunkts und auf Anfechtung der Entscheidung, Art. 22 Abs. 3 DSGVO. Außerdem dürfen nicht ohne weiteres besondere Kategorien von pDaten gemäß Art. 9 Abs. 1 DSGVO für eine solche Entscheidung ge- nutzt werden (z.B. Gesundheitsdaten etc.)

 

In Art. 6 Abs. 1 c) DSGVO ist als Grundlage auch eine „rechtliche Verpflich- tung“ der verantwortlichen Stelle als Erlaubnisgrund benannt. Hier geht es  um erforderliche Verarbeitungen zur Wahrnehmung einer Aufgabe im öffent- lichen Interesse oder in Ausübung öffentlicher Gewalt, die ihre Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats haben. Wichtig ist hier, dass mehrere Verarbeitungsvorgänge auch nur auf eine einzige Gesetzesgrundlage gestützt werden können.

3.2   Berechtigte Interessen

 

  • Bedeutung und systematische Stellung

Eine der praktisch relevantesten gesetzlichen Erlaubnisse stellt die in Art. 6 Abs. 1 f) DSGVO getroffene Regelung zur Datenverarbeitung auf Basis be- rechtigter Interessen dar.5

 

 

Art. 6 Abs. 1f)

(…f) die Verarbeitung ist zur Wahrung der berechtigten Interes- sen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der be- troffenen Person, die den Schutz personenbezogener Daten erfor- dern, überwiegen, insbesondere dann, wenn es sich bei der betroffe- nen Person um ein Kind handelt. (…)

 

Art. 6 Abs. 1 f) DSGVO legitimiert Datenverarbeitungsvorgänge, auch wenn keine Einwilligung oder anderweitige gesetzliche Erlaubnis vorliegt. Obwohl der Begriff an sich nicht neu ist, ist die Einführung einer zentralen Regelung, die an berechtigte Interessen anknüpft und eine Interessenabwägung zwischen den Beteiligten vorsieht, eine maßgebliche Neuerung. Die Formulierung in Art. 6 Abs. 1 f) DSGVO ist dabei so offen gehalten, dass für die Beurteilung der rechtlichen Zulässigkeit tatsächlich in jedem Fall eine Einzelfallabwägung erforderlich ist. Dies schafft zwar Rechtsunsicherheit, da nicht absehbar ist, wie Behörden und Gerichte einzelne Sachverhalte in Zukunft beurteilen wer- den, ermöglicht aber auch eine flexible Anpassung der datenschutzrechtli- chen Standards an technische und gesellschaftliche Entwicklungen. Anhalts- punkte zur Auslegung gibt dabei auch Erwägungsgrund 47 DSGVO.

 

 

 

Art. 6 Abs. 1 f) DSGVO als wohl wichtigste Regelung für die Digitalwirtschaft

 

 

 

4  https://www.lda.bayern.de/media/ah_werbung.pdf                                                                                            5 Vgl. BeckOK DatenSR/Albers DS-GVO Art. 6 Rn. 45 und Albrecht CR 2016, 88 (91)

 

24      III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                                 ZIPPEL                                   ZIPPEL          III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                                 25

 

 

Erwägungsgrund 47 DSGVO:

Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten In- teressen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ih- rer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezoge- nen Daten und angesichts der Umstände, unter denen sie erfolgt, ver- nünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn pDaten in Situationen verarbeitet werden, in denen eine betroffene Person ver- nünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbei- tung personenbezogener Daten durch die Behörden zu schaffen, soll- te diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verar- beitung personenbezogener Daten im für die Verhinderung von Be- trug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtig- tes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

 

  • Tatbestandsmerkmale

Bei einer Analyse der Tatbestandsmerkmale ergibt sich Folgendes:

 

  • „Interessen“

 

Der Begriff „Interessen“ dürfte sehr weit auszulegen sein und „alle  nicht schon per se rechtswidrigen Vorhaben“ erfassen (z. B. Interessen im Zusam- menhang mit Verträgen oder aber auch Auswertung und Sammeln von Daten für Werbezwecke)6

 

  • „berechtigt“ „Berechtigung“ und „Erforderlichkeit“

 

 

Wann ein Interesse „berechtigt“ im Sinne von Art. 6 Abs. 1  f) DSGVO ist,  ist eine Wertungsfrage7 , bei der man stets den Einzelfall betrachten muss. Orientierung gibt hier Erwägungsgrund 47 DSGVO. Hier sind z. B. eine Da- tenverarbeitung innerhalb von Kundenbeziehungen oder der Bereich der

„Direktwerbung“  (allerdings  ohne  weitere  Definition)  erwähnt. Wenn man

„Direktwerbung“ als E-Mail-Marketing oder Postwerbung versteht, liegt es nahe, auch die Online-Werbung auf Websites als berechtigtes Interesse anzu- sehen. Schließlich ist der Eingriff für den Betroffenen hier deutlich geringer.

 

Hinzu kommt, dass der Begriff der „berechtigten Interessen“ nicht neu im Da- tenschutzrecht ist, sondern sich bereits in § 28 Abs.  1 Nr.  2 ff. BDSG findet.  Er wurde über Art. 7 Abs. 1 f) der Datenschutzrichtlinie von 1995 im BDSG umgesetzt. Letzteres findet zwar bald keine Anwendung mehr, aber es spricht doch vieles für eine Kontinuität in Wertungsfragen. Hierüber wären z. B. die Verarbeitung für eigene Geschäftstätigkeiten, Teile der Werbung sowie Markt- und Meinungsforschung unter Umständen weiterhin legitimiert.

 

Ferner muss die Verarbeitung zur Wahrung des berechtigten Interesses er- forderlich sein. Ganz unabhängig von der anschließenden Abwägung mit den Rechten der betroffenen Person, dürfte dies im Bereich datenbasierter On- line-Werbung zu bejahen sein, da die Verarbeitung von Daten deren immanen- ter Bestandteil ist.

 

  • Entgegenstehende „Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person“

Online-Werbung ist Direktwerbung

 

 

 

 

 

  • Härting – Datenschutzgrundverordnung Rn. 431; für eine weite Auslegung auch Frenzel in Paal/Pauly, Datenschutz-Grundverordnung 1. Auflage 2017, Rn. 28
  • Härting – Datenschutzgrundverordnung Rn. 433

 

26      III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                                 ZIPPEL                                   ZIPPEL          III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                                 27

 

 

 

Vernünftige Erwartungen des

Nutzers

 

 

 

 

Pseudonymisierung, Transparenz und Widerspruchsrecht

schützen Betroffeneninteressen

Art. 6 Abs.1 f) erkennt neben den berechtigten Interessen des Datenverar- beiters auch entgegenstehende Interessen des Betroffenen an. Dies ist insbe- sondere das Recht auf informationelle Selbstbestimmung. Einen besonderen Schutz genießen ferner Kinder.

 

  • Abwägung

 

Im Rahmen von Art. 6 Abs. 1 f) DSGVO muss von der  verantwortlichen Stelle eine Interessenabwägung vorgenommen werden.

 

Anhaltspunkte gibt hier erneut Erwägungsgrund 47 DSGVO. Dort wird auf den Begriff der „vernünftigen Erwartungen“ abgestellt, d. h. also, ob ein Be- troffener in der jeweiligen Situation damit rechnen konnte oder musste, dass bestimmte Daten erhoben werden oder nicht. Heutzutage funktionieren na- hezu keine Angebote mehr ohne die Verarbeitung von Daten, sei es z. B. eine Analyse über Google Analytics oder eine Messung über die IVW. Auch OBA und Retargeting sind üblich. Es handelt sich dabei durchgehend um bekannte, transparente und auch etablierte Techniken. Sie werden in Datenschutzer- klärungen oder via OBA-Button erläutert und können vom Nutzer gesteuert werden (z. B. durch Opt-out). Daher wird ein Nutzer solche Maßnahmen wohl erwarten, da niemand mehr davon ausgeht, sich vollkommen anonym im Netz zu bewegen. Nutzer dürften wissen, dass Online-Kennungen genutzt, Ver- bindungen zu Facebook aufgebaut, Google Suchanfragen analysiert oder dass angesehene Produkte in anderem Zusammenhang erneut gezeigt werden8. Wenn ein Betreiber dies transparent darstellt – z. B. durch Hinweise zur nut- zerbezogenen Werbung inkl. Opt-out-Funktionen, durch OBA-Buttons oder aber auch ergänzend durch Statusleisten zu Cookies, wird sich dies voraus- sichtlich auch mit den berechtigten Erwartungen decken. Die Diskussion um das Thema Online-Datenschutz ist inzwischen so allgegenwärtig, dass kaum vorstellbar ist, dass der Nutzer hiervon vollkommen „überrumpelt“ wird.  Das gilt nicht nur für klassische Websites, sondern auch für Apps oder aber die Nutzung von Smart-TVs. Verbindet ein Nutzer ein Smart-TV-Gerät z. B. aktiv mit dem Internet (durch Einstecken eines Kabels oder Einloggen in ein WLAN), so tut er das nach lebensnaher Auslegung, um Internetangebote zu nutzen, und dürfte davon ausgehen, dass dann auch eine Datenübertragung stattfinden wird, auch wenn diese parallel oder überlappend mit dem TV-Si- gnal erfolgt. Dies ist auch insofern interessengerecht, da TV-Geräte ohne Probleme auch ohne eine Verbindung mit dem Internet nutzbar sind.

 

Es dürften hier auch die schützenswerten Interessen des Nutzers nicht ent- gegenstehen, da die Daten in den allermeisten Fällen nur pseudonymisiert verarbeitet werden, was die Identifizierbarkeit des Nutzers erschwert und

8 vgl. auch Härting, Datenschutzgrundverordnung Rn. 437

seine Rechte stärkt. Pseudonymisierung hat sicher nicht mehr dieselbe Be- deutung wie nach dem BDSG und TMG, ihr Einsatz könnte aber ausreichend sein, um hier bei der Abwägung zwischen kommerziellen Interessen eines Anbieters und  dem Interesse des Nutzers den Ausschlag für  den Anbieter zu geben – eben weil die Nachteile für den Nutzer entsprechend gering sind.

 

Etwas anderes kann sich natürlich ergeben, wenn der Betroffene einer Daten- verarbeitung ein Kind ist. Diese spielen nach der DSGVO eine besondere Rolle. Hinsichtlich der Einzelheiten wird auf die Ausführungen zu Art. 8 verwiesen.   Ist der Betroffene ein Kind, kann dies jedoch dazu führen, dass die Abwägung eher zugunsten des Kindes als zugunsten des Verarbeiters der Daten ausgeht.

 

Schwierigkeiten ergeben sich aber schon dabei, zu ermitteln, ob  überhaupt ein Kind Betroffener ist, insbesondere in einem Nutzungsverhältnis ohne Lo- gin. Hier ist die Wertung aus Art. 8 Abs. 2 DSGVO heranzuziehen, nach der angemessene Anstrengungen zur Ermittlung des Vorliegens von Einwilligun- gen unternommen werden müssen (unter der Berücksichtigung der Technik). Da die Technik in einem nicht identifizierten Nutzungsverhältnis nicht weiter- hilft, können die Annahmen nur genereller Natur sein. Man wird bei Kinder- websites annehmen, dass eine Vielzahl von Betroffenen Kinder sind. Dies ist dann in die Abwägung einzustellen. Bei Angeboten ohne eine spezifische Al- tersgruppe kann diese Annahme jedoch gerade nicht getroffen werden. Einem Betreiber sollte nicht zugemutet werden, stets „auf Verdacht“ von Kindern  als Nutzern auszugehen. In Fällen, in denen zusätzlich eine Pseudonymisie- rung von Daten erfolgt, wie es im OBA-Bereich der Fall ist, und Werbung auch nicht auf Kinderinteressen ausgesteuert wird, wären aber auch bei einer falschen Annahme die Rechte des betroffenen Kindes nur sehr gering beein- trächtigt. Daher sollte es für Betreiber von nicht personalisierten Angeboten keine Besonderheiten in der Abwägung geben.

 

  • Fazit

Es ist daher möglich, dass der Einsatz von bisher bekannten Techniken zur Analyse (z. B. Tracking/Analytics) und zur datengetriebenen Werbung (Tar- geting, Retargeting) sowie die damit zusammenhängende Verarbeitung von Daten auch nach der Datenschutzgrundverordnung auf Basis der Regelung Art. 6 Abs. 1 f) DSGVO weiterhin zulässig sein könnte. Nicht zuletzt verweist die DSGVO auch selbst in Art. 21 Abs. 1 z. B. auf ein Profiling, das auf Art. 6 Abs. 1 f) DSGVO gestützt ist.

 

Gleichwohl bringen unbestimmte Rechtsbegriffe stets Rechtsunsicherheiten mit sich, die erst in Zukunft durch die Rechtsprechung sowie behördliches Handeln ausgeräumt werden können. Es wird dauern, bis eine gefestigte Rechtsprechung zu diesen Fragen entstanden ist. Ob sich hier eine wirt-

 

 

 

Besonderheit bei minderjährigen Nutzern

 

 

 

Rechtsunsicherheiten können nur durch Gerichte beseitigt werden

 

28      III. 3.  GESETZLICH ERLAUBTE DATENVERARBEITUNGEN                                                              NEUBER                                   KÖBRICH / MAUCHER                                                                                                                                         III. 4. EINWILLIGUNG IN DIE VERARBEITUNG  PERSONENBEZOGENER DATEN                                                                                                             29

 

 

 

 

 

Zweckbestimmung muss weit sein

können

schaftsfreundliche Ansicht durchsetzen wird oder die Gewichtung der Inter- essen – gerade im Bereich von Onlinewerbung – entgegen der geschilderten Ausführungen doch eher zu Gunsten der betroffenen Person ausgehen wird, bleibt daher offen und abzuwarten. Schwierigkeiten können sich auch aus anderen Zusammenhängen ergeben, wie z.B. durch die Bereitstellung von Widerrufsmöglichkeiten über technische Verfahren/do-not-track und Brow- sersettings sowie etwaige verschärfte Regelungen zur Nutzererkennung und Profilbildung nach der kommenden ePrivacy-Verordnung. Zu den Einzelheiten wird auf die Ausführungen zum Tracking und zur Profilbildung verwiesen.

 

3.3   Zweckänderung

 

Einer der markantesten Grundsätze im Datenschutzrecht betrifft die Be- schränkung der Verarbeitung für den vorab definierten Zweck, zu dem  pDaten erhoben werden (Grundsatz der Zweckbindung). Der Zweck der Datenverarbeitung muss bereits vorab klar definiert sein. Anderenfalls kann  es mit Blick auf bestimmte Datenkategorien sein, dass eine Verarbeitung un- zulässig sein kann. Die Verarbeitung von pDaten muss nicht von vornherein auf einen Zweck beschränkt sein. Soweit man sich bereits vorab klar festlegt, können auch mehr als ein Zweck mit der Datenverarbeitung abgedeckt wer- den. Gerade in Zeiten von Smart Data-Anwendungen ist ein solch breites Zweckbestimmungsverständnis unabdingbar.

 

Wie alle anderen Informationen auch (Art. 12 DSGVO) muss dem Betroffe- nen der Zweck der Datenverarbeitung leicht verständlich mitgeteilt werden. Die Zwecke müssen laut Art. 5 Abs. 1 b) DSGVO vorab eindeutig festgelegt sowie legitim sein.

 

Eine Weiterverarbeitung, die mit dem ursprünglichen Zweck nicht in Einklang steht, ist unzulässig. Klarstellend hat der Gesetzgeber in Erwägungsgrund 50 DSGVO Zwecke benannt, die in jedem Falle zulässig sein sollen. Dies sind:

 

  • Im öffentlichen Interesse liegende Archivzwecke
  • Wissenschaftliche oder historische Forschungszwecke oder
  • Statistische Zwecke nach 89 DSGVO

 

Die Beurteilung der Kompatibilität der Zwecke obliegt der verantwortlichen Stelle gemäß Art. 6 Abs. 4 DSGVO. In diese Abwägung einfließen muss da-  bei beispielsweise, ob es eine irgendwie geartete Verbindung zwischen dem ursprünglichen und dem neuen Zweck geben kann. Daneben wichtig ist die Art der verarbeiteten Daten, der Kontext der Datenerhebung, die Folgen  der beabsichtigten Datenverarbeitung und das Vorhandensein  angemesse- ner Garantien. Das letzte Kriterium kann ein sehr entscheidendes sein. Der

Schutz des informationellen Selbstbestimmungsrechts des Betroffenen ist in Abwägung zu solchen Schutzmaßnahmen zu stellen. Eine Verarbeitung unter Verwendung von Pseudonymisierungs- oder Verschlüsselungstechniken ist eindeutig zugunsten der verantwortlichen Stelle als angemessene Garantie zu werten. Betrachtet man dann noch die Art der Daten (z.B. reine Nutzungs- daten), sollte der „Kompatibilitätstest“ positiv sein.

 

Bei der zweckändernden Datenverarbeitung gilt die Weiterverarbeitung der Daten als von der ursprünglichen Erlaubnis gedeckt. Hat die verantwortliche Stelle also z.B. die Erlaubnis zur Datenverarbeitung des betroffenen, so kann die Weiterverarbeitung zu einem kompatiblen Zweck (z.B. auch unter Nut- zung von Pseudonymisierungs- oder Verschlüsselungstechniken) auf diesen Rechtsgrund gestützt werden.

 

Im BDSG-neu ist die Frage der zweckändernden Datenverarbeitung in § 24 geregelt. Anders als noch in den Vor-Entwürfen enthält die letzte – vom Bun- destag beschlossene – Version keine eigenen Ausnahmen mehr sondern nur noch klarstellende Ausformungen des Kompatibilitätsgedankens der DSGVO. Als mit dem ursprünglichen Zweck vereinbar ist eine Weiterverarbeitung, wenn:

 

  • sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

 

  • sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher An- sprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

 

 

4.   EINWILLIGUNG IN DIE VERARBEITUNG PERSONENBEZOGENER DATEN

 

Auch mit der Datenschutzgrundverordnung wird das Instrument der Einwil- ligung nicht an Bedeutung einbüßen und bleibt damit im Fokus der digitalen Wirtschaft. Nach wie vor wird eine Einwilligung der betroffenen Person für die meisten Unternehmen die gängigste (wenn auch nicht die einzige) Mög- lichkeit darstellen, pDaten rechtskonform zu verarbeiten.

 

4.1   Inhaltliche Anforderungen an eine Einwilligung

 

Die DSGVO definiert die Einwilligung in Art. 4 Nr. 11 DSGVO als jede für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen

Pseudonymisierung

oder Verschlüsselung als angemessene

Garantien

 

 

 

 

 

Konkretisierung im BDSG-neu

 

 

 

 

Einwilligung als gängigstes Recht- fertigungsmittel für die Datenver- arbeitung

 

30     III. 4. EINWILLIGUNG IN DIE VERARBEITUNG PERSONENBEZOGENER DATEN                               KÖBRICH                                   KÖBRICH         III. 4. EINWILLIGUNG IN DIE VERARBEITUNG PERSONENBEZOGENER DATEN                               31

 

 

 

 

Kriterien für die Wirksamkeit der Einwilligung

 

bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Hiermit stellt der europäische Gesetzgeber eine Vielzahl unterschiedlicher An- forderungen an eine Einwilligung, damit diese auch wirksam erteilt wird.

 

4.2   Bestimmtheit

 

Die Einwilligung muss sich auf einen bestimmten Anwendungsfall und einen bestimmten Verarbeitungszweck beziehen und diese auch konkret in der Da- tennutzungserklärung benennen. Es ist nicht möglich, eine abstrakte Pauschal- einwilligung einzuholen und diese im Nachhinein auf nicht konkret benannte Anwendungsfälle anzuwenden. Generell gilt: Je abstrakter die Beschreibung, desto angreifbarer ist die Einwilligung.

 

4.3   Freiwilligkeit

 

Die Person, welche die Einwilligung abgibt, muss nach Erwägungsgrund 42 DSGVO eine echte oder freie Wahl haben und somit in der Lage sein, die Einwilligung zurückzuziehen oder zu verweigern, ohne Nachteile dadurch zu erleiden. Die DSGVO verlangt hier eine Abwägungsentscheidung der betrof- fenen Person.

 

In Erwägungsgrund 43 führt der europäische Gesetzgeber auch gleich mehre- re Fälle auf, in denen es an der Freiwilligkeit einer Einwilligung fehlen wird. So gilt eine Einwilligung dann nicht als freiwillig erteilt, wenn für unterschiedliche Datenverarbeitungsvorgänge nicht auch eine gesonderte Einwilligung erteilt wurde, obwohl dies die Komplexität des Einzelfalles gebietet. Auch ein klares Ungleichgewicht zwischen der betroffenen Person und dem Verantwortli- chen kann dazu führen, dass es an dem Erfordernis der Freiwilligkeit fehlt.

 

4.4   Informiertheit

 

Die Abgabe der Einwilligung muss so beschaffen sein, dass die einwilligende Person vollumfänglich darüber informiert wird, dass sie eine Einwilligung ab- gibt und welchen Umfang die Einwilligung hat. Dazu gehört insbesondere auch ein Hinweis darauf, dass die Einwilligung widerrufen werden kann, jedoch mit Wirkung erst ab Widerruf.

 

4.5   Unmissverständlichkeit

 

Die Einwilligung und alle im Rahmen des Einwilligungsprozesses kommunizier- ten Informationen (siehe auch Informiertheit) müssen in einer verständlichen Sprache übermittelt und leicht zugänglich sein. Alle notwendigen Informationen müssen für die einwilligende Person unmissverständlich sein. Laut der DSG-   VO ist dabei jede Form von Erklärung oder Handlung wirksam, aus der sich eindeutig ergibt, dass die Person mit der Verarbeitung der Daten einverstan- den ist. Beispielhaft wird in Erwägungsgrund 32 DSGVO das Anklicken eines Kästchens beim Besuch einer Internetseite, die Auswahl technischer Einstel- lungen für Dienste der Informationsgesellschaft, oder jede andere Erklärung oder Verhaltensweise genannt, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.

 

Sicherlich legt diese Aufzählung den Schluss nahe, dass künftig nur noch aus- drücklich erteilte Einwilligungen nach dem „Opt-in-Prinzip“ möglich sind. Auch weil Erwägungsgrund 32 DSGVO ausdrücklich darauf hinweist, dass ein Stillschweigen auf ein bereits angekreuztes Kästchen oder die Untätigkeit der betroffenen Person keine Einwilligung darstellt.

 


home
Play Cover Track Title
Track Authors