Datenbearbeitungen, die unter die DSGVO fallen, sind unzulässig, soweit sie nicht auf eine Rechtsgrundlage beruhen (Art. 5(1)(a) DSGVO). Die Rechtsgrundlage kann sich
- für Trivialdaten aus Art. 6,
- für besonders schützenswerte Personendaten aus Art. 9 DSGVO (und ggf. zusätzlich aus Art. 6 DSGVO, soweit Art. 9(2)(…) keine Bearbeitungsgrundlage darstellt, sondern nur das Verbot von Art. 9(1) aufhebt, z.B. bei Art. 9(2)(e) DSGVO) und
- für Übermittlungen in Drittstaaten aus Art. 46 ff. DSGVO ergeben.
Im Bereich des Marketing kommen v.a. die Rechtsgrundlagen der Einwilligung (Art. 6(1)(a)) und des berechtigten Interesses (Art. 6(1)(f) DSGVO) in Betracht. Es stellt sich daher die Frage, für welche Tätigkeiten im Marketingbereich sich ein Unternehmen (oder eine Unternehmensgruppe) auf ein berechtigtes Interesse berufen kann und ab wann bzw. wofür eine Einwilligung einzuholen wäre (mit den entsprechenden Folgen für die ggf. auch technische Umsetzung und den Anforderungen u.a. an die Freiwilligkeit).
Es gibt gute Argumente dafür, den Anwendungsbereich des berechtigten Interesses im Bereich der Direktwerbung nicht zu eng zu ziehen. Es kann etwa auch Profilingmassnahmen abdecken, also die Datenbearbeitung zur Personalisierung von Werbemassnahmen, aus meiner Sicht auch dann, wenn offline und online erhobene Personendaten zur Profilierung zusammengeführt werden. Voraussetzung ist dabei jeweils, dass
- die Datenbearbeitung auf das dem Zweck angemessene Mass beschränkt wird;
- der Verantwortliche eine ausreichend konkrete Interessenabwägung durchführt, die auf die Umstände des Vorhabens eingeht, ohne dass die Abwägung ausufert,
- die Interessenabwägung dokumentiert und
- dass er die Datenbearbeitung in einer Datenschutzerklärung ausreichend ausführlich und deutlich erläutert.
Verantwortliche haben durchaus das Recht, das berechtigte Interesse auszuschöpfen. So hat die (damalige) Artikel-29-Datenschutzgruppe (der heutige Europäische Datenschutzausschuss) im April 2014 zum berechtigten Interesse (Opinion 06/2014, WP217) festgehalten,
- 7 lit. f sei nicht bloss ein “last resort” für besondere Fälle, in denen die anderen Rechtsgrundlagen nicht greifen; und
- die Interessenabwägung habe nicht die Funktion, die betroffene Person von jeder negativen Auswirkung zu bewahren, sondern nur vor unverhältnismässigen Belastungen. Mit anderen Worten lässt nicht jede negative Auswirkung das Pendel zugunsten der Betroffenen ausschlagen.
Zum berechtigten Interesse i.S.v. Art. 6(1)(f) DSGVO
Bei der Bestimmung des berechtigten Interesses sind auf der einen Seite alle rechtlich nicht verpönten Interessen zu identifizieren, auch kommerzielle Interessen, die für die betreffende Bearbeitung sprechen, wobei es sich um Interessen des bzw. der Verantwortlichen und Dritter, aber auch der betroffenen Personen selbst handeln kann. Dem sind alle gegenläufigen Interessen der betroffenen Personen gegenüberzustellen.
Anschliessend sind diese Interessen zu gewichten und gegeneinander abzuwägen. Dabei ist nach dem erwähnten WP217 nicht nur die Eingriffsintensität und die Wahrscheinlichkeit, dass negative Auswirkungen eintreten, zu berücksichtigen, sondern eine Reihe weiterer Faktoren, etwa die folgenden:
Erhöhung des Gewichts auf Seiten des Verantwortlichen
- Die betroffenen Personen haben mit der Bearbeitung vernünftigerweise zu rechnen, z.B. Bestandskunden im Rahmen einer entsprechenden Geschäftsbeziehung, aber auch etwa aufgrund einer Datenschutzerklärung;
- die für die Bearbeitung sprechenden Interessen haben einen Grundrechtsbezug;
- die Bearbeitung liegt auch in einem öffentlichen Interesse;
- die Interessen bewegen sich im Umfeld anderer Bearbeitungsgrundlagen; bspw. ist die Bearbeitung für einen Vertrag zwar nicht notwendig, aber doch relevant (vgl. dazu unten zur Zweckkompatibilität, die diesen Gedanken aufgreift);
- die Interessen sind gesellschaftlich anerkannt;
- die Interessen werden durch die DSGVO besonders anerkannt, so die Interessen
- an der Direktwerbung (s. unten);
- an der Datenübermittlung zu konzerninternen Verwaltungszwecken;
- an der Gewährleistung der Netz- und Informationssicherheit.
Besonders wichtig sind nach Erwägungsgrund 47 die berechtigten Erwartungen der betroffenen Personen. Die deutsche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat im Kurzpapier Nr. 3 (“Verarbeitung personenbezogener Daten für Werbung”) hat dies betont und zugleich deutlich gemacht, dass der Verantwortliche den Ausgang der Interessenabwägung durch entsprechende Datenschutzhinweise beeinflussen kann:
Informiert der Verantwortliche transparent und umfassend über eine vorgesehene werbliche Nutzung der Daten, geht die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.
Erhöhung des Gewichts auf Seiten der betroffenen Personen
- Die betroffenen Personen sind Kinder oder sonstwie verletzlich wie bspw. bei älteren oder kranken Menschen;
- ein Grundrechtsbezug der Interessen;
- Bearbeitung besonders schützenswerter Personendaten (allerdings ist die Berufung auf ein berechtigtes Interesse hier ohnehin stark eingeschränkt);
- die bearbeiteten Daten sind heikel bzw. missbrauchsanfällig, z.B. Kontodaten, Kommunikations-Inhaltsdaten, Standortdaten, höchstpersönliche Daten wie z.B. Life-Logging-Daten;
- eine besonders starke Marktposition, aus Sicht der Artikel-29-Datenschutzgruppe, was m.E. allerdings fraglich ist.
Bestimmte Verarbeitungen sind durch die DSGVO sodann stärker eingeschränkt als andere oder werden als besonders riskant betrachtet, bspw. Bearbeitungen,
- bei denen die betroffene Person zum Objekt degradiert bzw. diskriminiert würde;
- bei denen die betroffene Person ausgespäht würde;
- die besonders umfangreich sind;
- sehr umfangreiches Profiling;
- die Kombination von Personendaten aus unterschiedlichen Quellen mit unterschiedlichen Zwecken, sofern dies über die vernünftigen Erwartungen der Betroffenen hinausgeht;
- Datenbearbeitungen, bei denen die betroffene Person an der Ausübung eines Rechts oder der Nutzung einer Leistung gehindert wird.
Geeignete Garantien
Zu berücksichtigen ist ferner, ob bzw. welche „geeignete Garantien“ vorhanden sind (Art. 6 Abs. 4 lit. d DSGVO). Mit „Garantien“ meint die DSGVO generell technische und organisatorische Massnahmen zum Schutz der betroffenen Personen, bspw.
- Verschlüsselung oder Pseudonymisierung;
- Beschränkungen des Zugangs zu den bearbeiteten Daten;
- Privacy-by-Design- und Privacy-by-Default-Massnahmen;
- vertragliche Absicherungen
- Gewährleistung der Betroffenenrechte;
- Gewährleistung eines Widerspruchsrechts und einer einfachen Opt-Out-Lösung;
- Durchführung einer Datenschutz-Folgenabschätzung;
- Transparenzmassnahmen (s. oben zu den berechtigten Erwartungen der betroffenen Personen);
- Dokumentation der Bearbeitung und Interessenabwägung.
Diese Überlegungen spielen bei der Interessenabwägung eine wesentliche Rolle, was dem Verantwortlichen einen gewissen Handlungsspielraum gibt.
Zum berechtigten Interesse an der Direktwerbung
Die DSGVO anerkennt in Erwägungsgrund 47, dass das Interesse an der Direktwerbung berechtigt ist:
Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
Dies beantwortet allerdings nicht die Frage, wie weit dieses Interesse reicht bzw. in welchem Umfang sich Datenbearbeitungen zum Zweck der Direktwerbung auf ein berechtigtes Interesse stützen lassen.
Zunächst ist davon auszugehen, dass das berechtigte Interesse nicht nur die Übermittlung der Werbung (z.B. den Versand einer E‑Mail, die allerdings nach Art. 3 Abs. 1 lit. o UWG bzw. dem anwendbaren lokalen Marktverhaltensrecht i.d.R. einwilligungsbedürftig ist), sondern auch vorangehende Datenbearbeitungen erfassen kann, und zwar insbesondere auch eine Profilierung. Das ergibt sich aus dem besonderen Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO:
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Ein solches Widerspruchsrecht hat nur einen Sinn, wenn sich die betreffende Bearbeitung nicht auf eine Einwilligung stützt; denn dann gälte schon das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO.
Aufschlussreich ist ferner das bereits erwähnte WP217. Die Art.-29-Gruppe hält darin zunächst fest,
[…] controllers may have a legitimate interest in getting to know their customers’ preferences so as to enable them to better personalise their offers, and ultimately, offer products and services that better meet the needs and desires of the customers. In light of this, Article 7(f) may be an appropriate legal ground to be used for some types of marketing activities, on-line and off-line, provided that appropriate safeguards are in place […]
Auch daraus geht hervor, dass das berechtigte Interesse die Profilierung zu Werbezwecken umfassen kann.
Als Zwischenergebnis ergibt sich, dass das berechtigte Interesse i.S.v. Art. 6(1)(f) DSGVO
- am Direktmarketing grds. beachtlich ist,
- auch Profilierungen abdeckt, bspw. eine Profilierung der Kunden zum Zweck personalisierter Marketingmassnahmen,
- unter dem Vorbehalt, dass der Verantwortliche geeignete Garantien trifft.
Das leuchtet auch vom Ergebnis her ein: Es ist schwer zu erkennen, in welche Interessen des Kunden übermässig eingegriffen wird, wenn Marketingmassnahmen auf seine (vermuteten) Interessen zugeschnitten werden, zumal der Kunde jederzeit das unbedingte Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO in Anspruch nehmen kann. Die Grenze wäre wohl dort erreicht, wo die Selbstbestimmung des Kunden unterlaufen wird. In diesem Fall greift allerdings das entsprechende Marktverhaltensrecht ein, z.B. das Lauterkeitsrecht (in der Schweiz Art. 3 Abs. 1 lit. h UWG, der aggressive Werbung untersagt; ähnlich § 4a des deutschen UWG). Es ist naheliegend, diese Grenze auch im Datenschutzrecht als Leitlinie zu verwenden. Es bleiben damit die generellen Risiken, wenn umfangreiche Datenbanken angelegt werden (z.B. das erhöhte Schadenspotential bei unberechtigten Zugriffen). Das ist aber kein Verbotsgrund, sondern erhöht ggf. die Anforderungen an die geeigneten Garantien.
Online-Tracking
Im Bereich des Online-Trackings wird die Reichweite des berechtigten Interesses in Deutschland derzeit diskutiert. Die erwähnte Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vertritt die Position, beim Einsatz von Tracking-Mechanismen wie z.B. bei nicht technisch notwendigen Cookies sei eine Einwilligung erforderlich:
Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.
Diese Position ist auf berechtigte Kritik gestossen (z.B. der GDD). Die (deutsche) Literatur (z.B. hier) ist ebenfalls liberaler; in der Tendenz sind danach Online-Tracking und die Bildung entsprechender Profile gestützt auf ein berechtigtes Interesse zuzulassen, sofern die dabei erhobenen Daten nur in pseudonymisierter Form bearbeitet werden. Damit wird im Ergebnis die Regelung von § 13 und 15 des deutschen Telemediengesetzes fortgeschrieben.
Diese strengere Haltung betrifft den Bereich des Online-Tracking, ist m.E. aber auf Personen zu beschränken, die nicht Bestandskunden sind. Für Bestandskunden muss die allgemeine Interessenabwägung gelten, weshalb auch online erhobene Daten in personenbezogener Form erhoben und ggf. mit anderen Personendaten zusammengeführt werden können. Aber auch für den Bereich des Online-Tracking von Nicht-Kunden gilt, dass die Interessenabwägung nicht so schematisch erfolgen kann und u.a. auch geeignete Garantien berücksichtigen muss. Zu beachten ist folgendes:
- Das Interesse an Werbemassnahmen ist grundsätzlich berechtigt. Art. 6 Abs. 1 lit. f DSGVO kommt daher als Rechtsgrundlage in Frage.
- Bei der Anwendung dieser Bestimmung sind sämtliche Interessen zu gewichten und gegeneinander abzuwägen. Die Interessenabwägung darf Garantien im konkreten Fall (wie bspw. Transparenzmassnahmen oder die Durchführung einer Datenschutz-Folgenabschätzung) nicht ausser Acht lassen.
- Die DSGVO stattet das Interesse an Direktwerbemassnahmen in ErwG 47 mit erhöhtem Gewicht aus.
- Diese Vorgaben lassen mangels Öffnungsklausel keinen Raum für strengere Anforderungen durch die Mitgliedstaaten.
- Eine Bezugnahme auf das deutsche Recht darf die von der DSGVO angestrebte unionsweite Rechtsvereinheitlichung nicht unterlaufen.
Im Ergebnis sind Verantwortliche von der Berufung auf ein berechtigtes Interesse im Bereich der Online-Werbung nach meinem Dafürhalten auch dann nicht prinzipiell ausgeschlossen, wenn sie die entsprechenden Daten nicht in pseudonymer Form bearbeiten; wobei freilich grosse Rechtsunsicherheit bleibt.
Exkurs: Zweckkompatibilität
Eine weitere Rechtsgrundlage kann in Art. 5(1)(b) und Art. 6(4) DSGVO liegen: Die (Weiter-)Bearbeitung zu kompatiblen Zwecken ist durch die Rechtmässigkeit des Ursprungszwecks gedeckt; “in diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich” (Erwägungsgrund 50; das ist allerdings strittig; vgl. insb. Herbst in Kühling/Buchner).
Dabei ist eine Abwägung nach Art. 6(4) DSGVO durchzuführen, die unter anderem die in Art. 6(4) lit. a‑d genannten Faktoren berücksichtigt. Im Ergebnis sind die Überlegungen bei der Bestimmung des berechtigten Interesses und jene bei der Kompatibilitätsprüfung daher ähnlich. Der Unterschied liegt darin, dass die Zweckkompatibilität auch die Bearbeitung besonderer Kategorien von Personendaten legitimieren kann (wie Art. 6(4)(lit. c) DSGVO deutlich macht). Allerdings setzt dies voraus, dass die Bearbeitung solcher Personendaten für den Ursprungszweck rechtmässig war, was – jedenfalls für Unternehmen in der Schweiz – häufig eine Einwilligung voraussetzt. Die Frage lautet hier daher weniger, ob eine Bearbeitung “kompatibel” mit dem Ursprungszweck kompatibel ist, sondern ob die Einwilligung ausreichend breit formuliert wurde.
Im Ergebnis führt die Zweckkompatibilität daher kaum dazu, Bearbeitungen zu legitimieren, die nicht bereits durch ein berechtigtes Interesse legitimiert werden.