Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 343

125

Personenbezogene Daten dürfen verarbeitet werden, wenn dies für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten an der Verarbeitung von Daten erforderlich ist. Dieser Erlaubnisgrund kann auch herangezogen werden, wenn ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis besteht oder ein solches angestrebt wird und sich eine Verarbeitungserlaubnis damit aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO ergeben würde, die Daten aber nicht für den Vertragszweck, sondern für einen anderen Zweck verarbeitet werden sollen, beispielsweise für das Direktmarketing (siehe Rn. 109). Wenn ein Erlaubnistatbestand für den geänderten Zweck einschlägig ist, bedarf es keines Kompatibilitäts- bzw. Vereinbarkeitstests gem. Art. 6 Abs. 4 DSGVO (Rn. 166).

126

Anders als noch nach Art. 7 DSRl und § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. ist die Norm nicht auf das Interesse des Verantwortlichen beschränkt. Während unter dem BDSG a.F. Interessen Dritter außer im Fall der Übermittlung und Nutzung bei einer Zweckänderung (§ 28 Abs. 2 Nr. 2 lit. a BDSG a.F.) grundsätzlich nicht geltend gemacht werden konnten, werden nun die Interessen Dritter ausdrücklich mit genannt. Danach darf der Verantwortliche eine Erlaubnis für seine Datenverarbeitung damit begründen, dass sie im Interesse eines Dritten erfolgt. Damit werden aber Dritte nicht (schon) zu Verantwortlichen;212 sie erhalten dementsprechend auch nicht die Daten aufgrund des Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Will der Verantwortliche Daten übermitteln, braucht dieser Verarbeitungsvorgang eine eigene, neu zu prüfende Erlaubnis, die auf einer Einwilligung der betroffenen Person, aber auch auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt werden könnte. Auch der Dritte bräuchte für die mit der der Übermittlung erfolgende Verarbeitung eine eigene Erlaubnis.213

127

Das Merkmal des „berechtigten Interesses“ wird in der Verordnung nicht definiert. ErwG 47 wiederholt in Satz 1 lediglich den Normtext, wenn es dort heißt, dass „die Rechtmäßigkeit der Verarbeitung ... durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein (kann), sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen“. Wenig erhellend wird ergänzt, dass „dabei“ – damit dürfte der Abwägungsprozess gemeint sein – „die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen“ sind.

128

Das Interesse an der Verarbeitung kann sich darauf beziehen, dass die Verarbeitung personenbezogener Daten eine notwendige Handlung ist, um beispielsweise geschäftsmäßig wirtschaftliche, politische, religiöse, humanitäre, ökologische oder sonstige Ziele zu verfolgen,214 für die die Datenverarbeitung das Mittel zum Zweck ist. Die Datenverarbeitung kann aber auch selbst der Zweck sein, wenn diese Daten etwa das Gut darstellen, das anderen zur Verfügung gestellt, vermietet oder verkauft wird. Darunter würden Adresshändler, Bewertungsplattformen (wie mein prof.de) oder Auskunfteien fallen, die nach früherem Recht in § 29 BDSG a.F. ihren Erlaubnistatbestand fanden. Diese Differenzierung der Datenverarbeitung zwischen der Verarbeitung zu eigenen (§ 28 BDSG a.F.) und zu fremden Zwecken (§ 29 BDSG a.F.) kennt die DSGVO nicht mehr.

129

Als berechtigt darf jedes Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird.215 Zu nennen wären rechtliche, tatsächliche, wirtschaftliche oder ideelle Interessen eines Verantwortlichen oder eines Dritten an der Verarbeitung der personenbezogenen Daten.216 Auch die Verfolgung der grundrechtlich durch Art. 9 Abs. 3 GG geschützten Koalitionsfreiheit durch Werbung von neuen Mitgliedern der Gewerkschaften gehört zu den anzuerkennenden Interessen.217 Ein berechtigtes Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Berechtigt ist das Interesse also nur, wenn die Verarbeitung legitim und rechtmäßig ist. Der ErwG 47 und die nachfolgenden ErwG 48 und 49 zählen einige Beispiele auf, bei welchen Sachverhalten ein berechtigtes Interesse anzuerkennen ist. Das soll etwa der Fall sein, „wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Als ein berechtigtes Interesse des Verantwortlichen wird vom Verordnungsgeber auch die Verarbeitung personenbezogener Daten angesehen, soweit sie zur Verhinderung von Betrug unbedingt erforderlich ist. So kann von einem berechtigten Interesse ausgegangen werden, wenn eine Kreditkartenorganisation Zahlungsprofile erstellt, um Missbräuche zu verhindern oder Denial of Service-Attacken zu erkennen und abzuwehren.218

130

Von erheblicher praktischer Bedeutung ist, dass in ErwG 47 die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung219 und des Online-Marketings220 als eine dem berechtigten Interesse dienende Verarbeitung betrachtet wird. Die betroffene Person kann dem wie jeder auf den Buchstaben f gestützten Verarbeitung mit einem bedingungslosen Widerspruchsrecht nach Art. 21 Abs. 1 Satz 1 DSGVO entgegentreten (siehe Rn. 152). Als berechtigtes Interesse werden neben der Direktwerbung neuer Kunden auch die Vorsorge für Rückrufaktionen,221 die Feststellung der Bonität von (potenziellen) Kunden,222 die gem. § 25a KWG obligatorische Risikoanalyse einer Bank durch die Muttergesellschaft,223 Marktanalysen oder ganz allgemein die Förderung der Belange der verantwortlichen Stelle angegeben, soweit es sich um ein von der Rechtsordnung gebilligtes Interesse handelt.224

131

Für eine Interessenabwägung ist nach Ansicht der Datenschutzkonferenz aber von vornherein kein Raum, wenn „automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen“ für Direktmaßnahmen verwendet werden.225 Bei einem Profiling und einer automatisierten Einzelentscheidung setzt auch Art. 22 DSGVO Grenzen. Weil ausdrücklich auch die berechtigten Interessen Dritter adressiert werden, kann in der Regel auch die Übermittlung von Kundendaten an Adresshändler auf den Buchstaben f gestützt werden. Wie stets bei der Berufung auf den Buchstaben f sind die Interessen der betroffenen Person bei der Abwägung zu berücksichtigen. Diese könnte ein überwiegendes Interesse daran haben, dass ihre Adresse mit der Information, sie sei Kunde eines bestimmten Anbieters, nicht an Dritte weitergegeben wird.

132

Ob das Webtracking, mit dem das Verhalten von betroffenen Personen im Internet analysiert und Nutzerprofile erstellt werden,226 zu einer nach Buchstabe f erlaubten Verarbeitung gehört, ist umstritten, weil es schon keineswegs nachgewiesen ist, dass die betroffenen Personen „aufgrund der bisherigen Praxis mit Tracking-Maßnahmen beim Besuch von Webseiten“ rechnet,227 und weil es trotz Cookie-Banner an der erforderlichen Nähe der betroffenen Person und an der erforderlichen Transparenz fehlt. Im Übrigen findet Online-Tracking nicht nur über Cookies statt, sondern auch über Canvas-Fingerprinting, das Cross-Device Tracking oder durch Sound Beacons.228 Das Argument, dass Webtracking nur die Vorstufe des erlaubten Direktmarketings sei (Erst-Recht-Schluss), geht fehl, weil beim Webtracking erst Daten aus dem Verhalten der betroffenen Person personalisiert generiert werden müssen.229 Soweit ein Tracking nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig wäre, könnte ein Widerspruch nach Art. 21 Abs. 1 Satz 1 DSGVO gemäß Abs. 5 auch automatisiert geltend gemacht werden („do not track“-Einstellung im Browser, siehe Art. 95 Rn. 15).

133

Das personenidentifizierende Tracking ist deshalb nur aufgrund einer Einwilligung nach § 25 Abs. 1 TTDSG zulässig (siehe § 25 TTDSG Rn. 24).230 Mit dem Inkrafttreten des TTDSG folgt die Zulässigkeit des Setzens von technisch nicht erforderlichen Cookies oder anderen Tracking-Verfahren nicht mehr aus § 15 Abs. 3 Satz 1 TMG, sondern aus § 22 TTDSG. Die Anforderungen an die Wirksamkeit einer Einwilligung ergeben sich aus der DSGVO.231

134

Das Interesse eines Unternehmens, die Daten von Kunden etwa mittels Kundenkarten zu erheben und zu speichern, um zu einem späteren Zeitpunkt gezielt Auswertungen zur Feststellung von Kundeninteressen vornehmen zu können, deren Ergebnisse für eine personalisierte Kundenansprache verwendet werden können (Customer Relationship Management/CRM), kann als berechtigtes Interesse anerkannt werden.232 Deshalb scheitert die Zulässigkeit des Aufbaus eines Data Warehouse mit Methoden des Data Mining nach beliebigen Kriterien frei auswertbaren personenbezogenen Kundendaten jedenfalls nicht an dem fehlenden Interesse des Verantwortlichen. Erst bei der Abwägung wird dann zu prüfen sein, ob Interessen von Betroffenen einem CRM überwiegen könnten.

135

Die Zulässigkeit der Videoüberwachung im öffentlichen Raum durch nichtöffentliche Stellen ist trotz einer nationalen speziellen Regulierung in § 4 BDSG nur nach einer Abwägung gem. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig, weil § 4 BDSG als eine nicht europarechtskonforme Vorschrift eingestuft wird.233 Vor der Installation einer Videoüberwachungsanlage, die auch den öffentlichen Raum überwacht, und somit nicht aufgrund einer Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO zulässig ist, muss daher eine Abwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorgenommen werden, wobei das berechtigte Interesse des Verantwortlichen substanziiert vorzutragen und zu belegen ist.234 Dabei können die Kriterien herangezogen werden, die dem § 4 BDSG zugrunde liegen.235

136

Soweit bei einer Videoüberwachung Merkmale erfasst werden, die auf eine bestimmte ethnische oder religiöse Zuordnung schließen lassen, ist eine Zulässigkeitsprüfung nach Art. 9 DSGVO (besondere Arten personenbezogener Daten) nur dann erforderlich, wenn eine diesbezügliche Auswertung der Videoaufnahmen beabsichtigt ist.236 Die Gesichtserkennung zur Identifizierung oder Authentifizierung wäre eine solche Auswertung biometrischer Daten, also einer besonderen Kategorie personenbezogener Daten.237 Auch die Zulässigkeit von Videoüberwachungsanlagen in Bundesligastadien,238 die kontinuierlichen Aufnahmen durch eine Dash Cam239 sowie die Installation von Wildkameras240 sind nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zu prüfen.

137

Weil es weiterhin kein „Konzernprivileg“ gibt,241 bedarf es für die Übermittlung zwischen konzernverbundenen Unternehmen nach wie vor einer datenschutzrechtlichen Erlaubnis, die sich aus Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ergeben kann. ErwG 48 erkennt an, dass „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, ... ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln“. Damit liefert die DSGVO ein starkes Argument dafür, dass jedenfalls bei der Übermittlung personenbezogener Daten zwischen den Mitgliedern einer Unternehmensgruppe ein starkes berechtigtes Interesse anerkannt wird. Auch wenn in der DSGVO das Interesse bereits als berechtigt anerkannt ist und dieses bei der Abwägung besonders zu berücksichtigen ist, so ist dieses berechtigte Interesse noch nicht in der Weise zwingend, dass eine Abwägung gänzlich obsolet wird. Auch vor einer konzerninternen Weitergabe von Daten sind Interessen von Beschäftigten, Kunden und sonstigen Dritten zu berücksichtigen.242 Ergänzende Schutzmaßnahmen wie Pseudonymisierung oder vertragliche Vereinbarungen von Schutzmaßnahmen und ergänzender Zweckbindungsabreden können das Abwägungsergebnis zugunsten des Verantwortlichen beeinflussen.243

138

Wenn die Gewährleistung der Netz- und Informationssicherheit es gebietet, ist die hierfür notwendige und verhältnismäßige Verarbeitung personenbezogener Daten ebenfalls ein berechtigtes Interesse (ErwG 49), „soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen“.