Daten­be­ar­bei­tun­gen, die unter die DSGVO fal­len, sind unzu­läs­sig, soweit sie nicht auf eine Rechts­grund­la­ge beru­hen (Art. 5(1)(a) DSGVO). Die Rechts­grund­la­ge kann sich

  • für Tri­vi­al­da­ten aus Art. 6,
  • für beson­ders schüt­zens­wer­te Per­so­nen­da­ten aus Art. 9 DSGVO (und ggf. zusätz­lich aus Art. 6 DSGVO, soweit Art. 9(2)(…) kei­ne Bear­bei­tungs­grund­la­ge dar­stellt, son­dern nur das Ver­bot von Art. 9(1) auf­hebt, z.B. bei Art. 9(2)(e) DSGVO) und
  • für Über­mitt­lun­gen in Dritt­staa­ten aus Art. 46 ff. DSGVO erge­ben.

Im Bereich des Mar­ke­ting kom­men v.a. die Rechts­grund­la­gen der Ein­wil­li­gung (Art. 6(1)(a)) und des berech­tig­ten Inter­es­ses (Art. 6(1)(f) DSGVO) in Betracht. Es stellt sich daher die Fra­ge, für wel­che Tätig­kei­ten im Mar­ke­ting­be­reich sich ein Unter­neh­men (oder eine Unter­neh­mens­grup­pe) auf ein berech­tig­tes Inter­es­se beru­fen kann und ab wann bzw. wofür eine Ein­wil­li­gung ein­zu­ho­len wäre (mit den ent­spre­chen­den Fol­gen für die ggf. auch tech­ni­sche Umset­zung und den Anfor­de­run­gen u.a. an die Frei­wil­lig­keit).

Es gibt gute Argu­men­te dafür, den Anwen­dungs­be­reich des berech­tig­ten Inter­es­ses im Bereich der Direkt­wer­bung nicht zu eng zu zie­hen. Es kann etwa auch Pro­filing­mass­nah­men abdecken, also die Daten­be­ar­bei­tung zur Per­so­na­li­sie­rung von Wer­be­mass­nah­men, aus mei­ner Sicht auch dann, wenn off­line und online erho­be­ne Per­so­nen­da­ten zur Pro­fi­lie­rung zusam­men­ge­führt wer­den. Vor­aus­set­zung ist dabei jeweils, dass

  • die Daten­be­ar­bei­tung auf das dem Zweck ange­mes­se­ne Mass beschränkt wird;
  • der Ver­ant­wort­li­che eine aus­rei­chend kon­kre­te Inter­es­sen­ab­wä­gung durch­führt, die auf die Umstän­de des Vor­ha­bens ein­geht, ohne dass die Abwä­gung aus­ufert,
  • die Inter­es­sen­ab­wä­gung doku­men­tiert und
  • dass er die Daten­be­ar­bei­tung in einer Daten­schutz­er­klä­rung aus­rei­chend aus­führ­lich und deut­lich erläu­tert.

Ver­ant­wort­li­che haben durch­aus das Recht, das berech­tig­te Inter­es­se aus­zu­schöp­fen. So hat die (dama­li­ge) Arti­kel-29-Daten­­schut­z­­grup­­pe (der heu­ti­ge Euro­päi­sche Daten­schutz­aus­schuss) im April 2014 zum berech­tig­ten Inter­es­se (Opi­ni­on 06/2014, WP217) fest­ge­hal­ten,

  • 7 lit. f sei nicht bloss ein “last resort” für beson­de­re Fäl­le, in denen die ande­ren Rechts­grund­la­gen nicht grei­fen; und
  • die Inter­es­sen­ab­wä­gung habe nicht die Funk­ti­on, die betrof­fe­ne Per­son von jeder nega­ti­ven Aus­wir­kung zu bewah­ren, son­dern nur vor unver­hält­nis­mä­ssi­gen Bela­stun­gen. Mit ande­ren Wor­ten lässt nicht jede nega­ti­ve Aus­wir­kung das Pen­del zugun­sten der Betrof­fe­nen aus­schla­gen.

Zum berechtigten Interesse i.S.v. Art. 6(1)(f) DSGVO

Bei der Bestim­mung des berech­tig­ten Inter­es­ses sind auf der einen Sei­te alle recht­lich nicht ver­pön­ten Inter­es­sen zu iden­ti­fi­zie­ren, auch kom­mer­zi­el­le Inter­es­sen, die für die betref­fen­de Bear­bei­tung spre­chen, wobei es sich um Inter­es­sen des bzw. der Ver­ant­wort­li­chen und Drit­ter, aber auch der betrof­fe­nen Per­so­nen selbst han­deln kann. Dem sind alle gegen­läu­fi­gen Inter­es­sen der betrof­fe­nen Per­so­nen gegen­über­zu­stel­len.

Anschlie­ssend sind die­se Inter­es­sen zu gewich­ten und gegen­ein­an­der abzu­wä­gen. Dabei ist nach dem erwähn­ten WP217 nicht nur die Ein­griffs­in­ten­si­tät und die Wahr­schein­lich­keit, dass nega­ti­ve Aus­wir­kun­gen ein­tre­ten, zu berück­sich­ti­gen, son­dern eine Rei­he wei­te­rer Fak­to­ren, etwa die fol­gen­den:

Erhöhung des Gewichts auf Seiten des Verantwortlichen

  • Die betrof­fe­nen Per­so­nen haben mit der Bear­bei­tung ver­nünf­ti­ger­wei­se zu rech­nen, z.B. Bestands­kun­den im Rah­men einer ent­spre­chen­den Geschäfts­be­zie­hung, aber auch etwa auf­grund einer Daten­schutz­er­klä­rung;
  • die für die Bear­bei­tung spre­chen­den Inter­es­sen haben einen Grund­rechts­be­zug;
  • die Bear­bei­tung liegt auch in einem öffent­li­chen Inter­es­se;
  • die Inter­es­sen bewe­gen sich im Umfeld ande­rer Bear­bei­tungs­grund­la­gen; bspw. ist die Bear­bei­tung für einen Ver­trag zwar nicht not­wen­dig, aber doch rele­vant (vgl. dazu unten zur Zweck­kom­pa­ti­bi­li­tät, die die­sen Gedan­ken auf­greift);
  • die Inter­es­sen sind gesell­schaft­lich aner­kannt;
  • die Inter­es­sen wer­den durch die DSGVO beson­ders aner­kannt, so die Inter­es­sen
    • an der Direkt­wer­bung (s. unten);
    • an der Daten­über­mitt­lung zu kon­zern­in­ter­nen Ver­wal­tungs­zwecken;
    • an der Gewähr­lei­stung der Netz- und Infor­ma­ti­ons­si­cher­heit.

Beson­ders wich­tig sind nach Erwä­gungs­grund 47 die berech­tig­ten Erwar­tun­gen der betrof­fe­nen Per­so­nen. Die deut­sche Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat im Kurz­pa­pier Nr. 3 (“Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Wer­bung”) hat dies betont und zugleich deut­lich gemacht, dass der Ver­ant­wort­li­che den Aus­gang der Inter­es­sen­ab­wä­gung durch ent­spre­chen­de Daten­schutz­hin­wei­se beein­flus­sen kann:

Infor­miert der Ver­ant­wort­li­che trans­pa­rent und umfas­send über eine vor­ge­se­he­ne werb­li­che Nut­zung der Daten, geht die Erwar­tung der betrof­fe­nen Per­son in aller Regel auch dahin, dass ihre Kun­den­da­ten ent­spre­chend genutzt wer­den.

Erhöhung des Gewichts auf Seiten der betroffenen Personen

  • Die betrof­fe­nen Per­so­nen sind Kin­der oder sonst­wie ver­letz­lich wie bspw. bei älte­ren oder kran­ken Men­schen;
  • ein Grund­rechts­be­zug der Inter­es­sen;
  • Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten (aller­dings ist die Beru­fung auf ein berech­tig­tes Inter­es­se hier ohne­hin stark ein­ge­schränkt);
  • die bear­bei­te­ten Daten sind hei­kel bzw. miss­brauchs­an­fäl­lig, z.B. Kon­to­da­ten, Kom­­mu­­ni­­ka­ti­ons-Inhalts­da­ten, Stand­ort­da­ten, höchst­per­sön­li­che Daten wie z.B. Life-Log­ging-Daten;
  • eine beson­ders star­ke Markt­po­si­ti­on, aus Sicht der Arti­kel-29-Daten­­schut­z­­grup­­pe, was m.E. aller­dings frag­lich ist.

Bestimm­te Ver­ar­bei­tun­gen sind durch die DSGVO sodann stär­ker ein­ge­schränkt als ande­re oder wer­den als beson­ders ris­kant betrach­tet, bspw. Bear­bei­tun­gen,

  • bei denen die betrof­fe­ne Per­son zum Objekt degra­diert bzw. dis­kri­mi­niert wür­de;
  • bei denen die betrof­fe­ne Per­son aus­ge­späht wür­de;
  • die beson­ders umfang­reich sind;
  • sehr umfang­rei­ches Pro­filing;
  • die Kom­bi­na­ti­on von Per­so­nen­da­ten aus unter­schied­li­chen Quel­len mit unter­schied­li­chen Zwecken, sofern dies über die ver­nünf­ti­gen Erwar­tun­gen der Betrof­fe­nen hin­aus­geht;
  • Daten­be­ar­bei­tun­gen, bei denen die betrof­fe­ne Per­son an der Aus­übung eines Rechts oder der Nut­zung einer Lei­stung gehin­dert wird.

Geeignete Garantien

Zu berück­sich­ti­gen ist fer­ner, ob bzw. wel­che „geeig­ne­te Garan­ti­en“ vor­han­den sind (Art. 6 Abs. 4 lit. d DSGVO). Mit „Garan­ti­en“ meint die DSGVO gene­rell tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men zum Schutz der betrof­fe­nen Per­so­nen, bspw.

  • Ver­schlüs­se­lung oder Pseud­ony­mi­sie­rung;
  • Beschrän­kun­gen des Zugangs zu den bear­bei­te­ten Daten;
  • Pri­va­­cy-by-Design- und Pri­va­­cy-by-Default-Mas­s­­nah­­men;
  • ver­trag­li­che Absi­che­run­gen
  • Gewähr­lei­stung der Betrof­fe­nen­rech­te;
  • Gewähr­lei­stung eines Wider­spruchs­rechts und einer ein­fa­chen Opt-Out-Lösung;
  • Durch­füh­rung einer Daten­­schutz-Fol­­gen­a­b­­schät­zung;
  • Trans­pa­renz­mass­nah­men (s. oben zu den berech­tig­ten Erwar­tun­gen der betrof­fe­nen Per­so­nen);
  • Doku­men­ta­ti­on der Bear­bei­tung und Inter­es­sen­ab­wä­gung.

Die­se Über­le­gun­gen spie­len bei der Inter­es­sen­ab­wä­gung eine wesent­li­che Rol­le, was dem Ver­ant­wort­li­chen einen gewis­sen Hand­lungs­spiel­raum gibt.

Zum berechtigten Interesse an der Direktwerbung

Die DSGVO aner­kennt in Erwä­gungs­grund 47, dass das Inter­es­se an der Direkt­wer­bung berech­tigt ist:

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zum Zwecke der Direkt­wer­bung kann als eine einem berech­tig­ten Inter­es­se die­nen­de Ver­ar­bei­tung betrach­tet wer­den.

Dies beant­wor­tet aller­dings nicht die Fra­ge, wie weit die­ses Inter­es­se reicht bzw. in wel­chem Umfang sich Daten­be­ar­bei­tun­gen zum Zweck der Direkt­wer­bung auf ein berech­tig­tes Inter­es­se stüt­zen las­sen.

Zunächst ist davon aus­zu­ge­hen, dass das berech­tig­te Inter­es­se nicht nur die Über­mitt­lung der Wer­bung (z.B. den Ver­sand einer E-Mail, die aller­dings nach Art. 3 Abs. 1 lit. o UWG bzw. dem anwend­ba­ren loka­len Markt­ver­hal­tens­recht i.d.R. ein­wil­li­gungs­be­dürf­tig ist), son­dern auch vor­an­ge­hen­de Daten­be­ar­bei­tun­gen erfas­sen kann, und zwar ins­be­son­de­re auch eine Pro­fi­lie­rung. Das ergibt sich aus dem beson­de­ren Wider­spruchs­recht nach Art. 21 Abs. 2 DSGVO:

Wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, um Direkt­wer­bung zu betrei­ben, so hat die betrof­fe­ne Per­son das Recht, jeder­zeit Wider­spruch gegen die Ver­ar­bei­tung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten zum Zwecke der­ar­ti­ger Wer­bung ein­zu­le­gen; dies gilt auch für das Pro­filing, soweit es mit sol­cher Direkt­wer­bung in Ver­bin­dung steht.

Ein sol­ches Wider­spruchs­recht hat nur einen Sinn, wenn sich die betref­fen­de Bear­bei­tung nicht auf eine Ein­wil­li­gung stützt; denn dann gäl­te schon das Wider­rufs­recht nach Art. 7 Abs. 3 DSGVO.

Auf­schluss­reich ist fer­ner das bereits erwähn­te WP217. Die Art.-29-Gruppe hält dar­in zunächst fest,

[…] con­trol­lers may have a legi­ti­ma­te inte­rest in get­ting to know their custo­mers’ pre­fe­ren­ces so as to enab­le them to bet­ter per­so­na­li­se their offers, and ulti­mate­ly, offer pro­ducts and ser­vices that bet­ter meet the needs and desi­res of the custo­mers. In light of this, Arti­cle 7(f) may be an appro­pria­te legal ground to be used for some types of mar­ke­ting activi­ties, on-line and off-line, pro­vi­ded that appro­pria­te safe­guards are in place […]

Auch dar­aus geht her­vor, dass das berech­tig­te Inter­es­se die Pro­fi­lie­rung zu Wer­be­zwecken umfas­sen kann.

Als Zwi­schen­er­geb­nis ergibt sich, dass das berech­tig­te Inter­es­se i.S.v. Art. 6(1)(f) DSGVO

  • am Direkt­mar­ke­ting grds. beacht­lich ist,
  • auch Pro­fi­lie­run­gen abdeckt, bspw. eine Pro­fi­lie­rung der Kun­den zum Zweck per­so­na­li­sier­ter Mar­ke­ting­mass­nah­men,
  • unter dem Vor­be­halt, dass der Ver­ant­wort­li­che geeig­ne­te Garan­ti­en trifft.

Das leuch­tet auch vom Ergeb­nis her ein: Es ist schwer zu erken­nen, in wel­che Inter­es­sen des Kun­den über­mä­ssig ein­ge­grif­fen wird, wenn Mar­ke­ting­mass­nah­men auf sei­ne (ver­mu­te­ten) Inter­es­sen zuge­schnit­ten wer­den, zumal der Kun­de jeder­zeit das unbe­ding­te Wider­spruchs­recht nach Art. 21 Abs. 2 DSGVO in Anspruch neh­men kann. Die Gren­ze wäre wohl dort erreicht, wo die Selbst­be­stim­mung des Kun­den unter­lau­fen wird. In die­sem Fall greift aller­dings das ent­spre­chen­de Markt­ver­hal­tens­recht ein, z.B. das Lau­ter­keits­recht (in der Schweiz Art. 3 Abs. 1 lit. h UWG, der aggres­si­ve Wer­bung unter­sagt; ähn­lich § 4a des deut­schen UWG). Es ist nahe­lie­gend, die­se Gren­ze auch im Daten­schutz­recht als Leit­li­nie zu ver­wen­den. Es blei­ben damit die gene­rel­len Risi­ken, wenn umfang­rei­che Daten­ban­ken ange­legt wer­den (z.B. das erhöh­te Scha­dens­po­ten­ti­al bei unbe­rech­tig­ten Zugrif­fen). Das ist aber kein Ver­bots­grund, son­dern erhöht ggf. die Anfor­de­run­gen an die geeig­ne­ten Garan­ti­en.

Online-Tracking

Im Bereich des Online-Trackings wird die Reich­wei­te des berech­tig­ten Inter­es­ses in Deutsch­land der­zeit dis­ku­tiert. Die erwähn­te Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) ver­tritt die Posi­ti­on, beim Ein­satz von Tracking-Mecha­­ni­s­­men wie z.B. bei nicht tech­nisch not­wen­di­gen Coo­kies sei eine Ein­wil­li­gung erfor­der­lich:

Es bedarf jeden­falls einer vor­he­ri­gen Ein­wil­li­gung beim Ein­satz von Tracking-Mecha­­ni­s­­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen und bei der Erstel­lung von Nut­zer­pro­fi­len. Das bedeu­tet, dass eine infor­mier­te Ein­wil­li­gung i. S. d. DSGVO, in Form einer Erklä­rung oder son­sti­gen ein­deu­tig bestä­ti­gen­den Hand­lung vor der Daten­ver­ar­bei­tung ein­ge­holt wer­den muss, d. h. z. B. bevor Coo­kies platz­iert wer­den bzw. auf dem End­ge­rät des Nut­zers gespei­cher­te Infor­ma­tio­nen gesam­melt wer­den.

Die­se Posi­ti­on ist auf berech­tig­te Kri­tik gesto­ssen (z.B. der GDD). Die (deut­sche) Lite­ra­tur (z.B. hier) ist eben­falls libe­ra­ler; in der Ten­denz sind danach Online-Tracking und die Bil­dung ent­spre­chen­der Pro­fi­le gestützt auf ein berech­tig­tes Inter­es­se zuzu­las­sen, sofern die dabei erho­be­nen Daten nur in pseud­ony­mi­sier­ter Form bear­bei­tet wer­den. Damit wird im Ergeb­nis die Rege­lung von § 13 und 15 des deut­schen Tele­me­di­en­ge­set­zes fort­ge­schrie­ben.

Die­se stren­ge­re Hal­tung betrifft den Bereich des Online-Trackin­g­, ist m.E. aber auf Per­so­nen zu beschrän­ken, die nicht Bestands­kun­den sind. Für Bestands­kun­den muss die all­ge­mei­ne Inter­es­sen­ab­wä­gung gel­ten, wes­halb auch online erho­be­ne Daten in per­so­nen­be­zo­ge­ner Form erho­ben und ggf. mit ande­ren Per­so­nen­da­ten zusam­men­ge­führt wer­den kön­nen. Aber auch für den Bereich des Online-Tracking von Nicht-Kun­­­den gilt, dass die Inter­es­sen­ab­wä­gung nicht so sche­ma­tisch erfol­gen kann und u.a. auch geeig­ne­te Garan­ti­en berück­sich­ti­gen muss. Zu beach­ten ist fol­gen­des:

  • Das Inter­es­se an Wer­be­mass­nah­men ist grund­sätz­lich berech­tigt. Art. 6 Abs. 1 lit. f DSGVO kommt daher als Rechts­grund­la­ge in Fra­ge.
  • Bei der Anwen­dung die­ser Bestim­mung sind sämt­li­che Inter­es­sen zu gewich­ten und gegen­ein­an­der abzu­wä­gen. Die Inter­es­sen­ab­wä­gung darf Garan­ti­en im kon­kre­ten Fall (wie bspw. Trans­pa­renz­mass­nah­men oder die Durch­füh­rung einer Daten­­schutz-Fol­­gen­a­b­­schät­zung) nicht ausser Acht las­sen.
  • Die DSGVO stat­tet das Inter­es­se an Direkt­wer­be­mass­nah­men in ErwG 47 mit erhöh­tem Gewicht aus.
  • Die­se Vor­ga­ben las­sen man­gels Öff­nungs­klau­sel kei­nen Raum für stren­ge­re Anfor­de­run­gen durch die Mit­glied­staa­ten.
  • Eine Bezug­nah­me auf das deut­sche Recht darf die von der DSGVO ange­streb­te uni­ons­wei­te Rechts­ver­ein­heit­li­chung nicht unter­lau­fen.

Im Ergeb­nis sind Ver­ant­wort­li­che von der Beru­fung auf ein berech­tig­tes Inter­es­se im Bereich der Online-Wer­bung nach mei­nem Dafür­hal­ten auch dann nicht prin­zi­pi­ell aus­ge­schlos­sen, wenn sie die ent­spre­chen­den Daten nicht in pseud­ony­mer Form bear­bei­ten; wobei frei­lich gro­sse Rechts­un­si­cher­heit bleibt.

Exkurs: Zweckkompatibilität

Eine wei­te­re Rechts­grund­la­ge kann in Art. 5(1)(b) und Art. 6(4) DSGVO lie­gen: Die (Weiter-)Bearbeitung zu kom­pa­ti­blen Zwecken ist durch die Recht­mä­ssig­keit des Ursprungs­zwecks gedeckt; “in die­sem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich” (Erwä­gungs­grund 50; das ist aller­dings strit­tig; vgl. insb. Herbst in Kühling/Buchner).

Dabei ist eine Abwä­gung nach Art. 6(4) DSGVO durch­zu­füh­ren, die unter ande­rem die in Art. 6(4) lit. a-d genann­ten Fak­to­ren berück­sich­tigt. Im Ergeb­nis sind die Über­le­gun­gen bei der Bestim­mung des berech­tig­ten Inter­es­ses und jene bei der Kom­pa­ti­bi­li­täts­prü­fung daher ähn­lich. Der Unter­schied liegt dar­in, dass die Zweck­kom­pa­ti­bi­li­tät auch die Bear­bei­tung beson­de­rer Kate­go­ri­en von Per­so­nen­da­ten legi­ti­mie­ren kann (wie Art. 6(4)(lit. c) DSGVO deut­lich macht). Aller­dings setzt dies vor­aus, dass die Bear­bei­tung sol­cher Per­so­nen­da­ten für den Ursprungs­zweck recht­mä­ssig war, was – jeden­falls für Unter­neh­men in der Schweiz – häu­fig eine Ein­wil­li­gung vor­aus­setzt. Die Fra­ge lau­tet hier daher weni­ger, ob eine Bear­bei­tung “kom­pa­ti­bel” mit dem Ursprungs­zweck kom­pa­ti­bel ist, son­dern ob die Ein­wil­li­gung aus­rei­chend breit for­mu­liert wur­de.

Im Ergeb­nis führt die Zweck­kom­pa­ti­bi­li­tät daher kaum dazu, Bear­bei­tun­gen zu legi­ti­mie­ren, die nicht bereits durch ein berech­tig­tes Inter­es­se legi­ti­miert wer­den.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.