Die IT-Recht Kanzlei München hat sich mit dem Thema befasst, welche Änderungen die EU-Datenschutzgrundverordnung für den Online-Handel mit sich bringen wird. Phil Salewski hat dabei gesetzliche Erlaubnistatbestände identifiziert die eine vorherige Einwilligung entbehrlich machen, wenn es darum geht personenbezogene Daten zu erheben.

RECHTMÄSSIGE VERARBEITUNGEN OHNE EINWILLIGUNG

Erlaubt ist nach Art. 6 Abs. 1 lit. b-f die einwilligungslose Datenverarbeitung, die

  • für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist (vgl. die gleichlautende Regelung des § 28 Abs. 1 Nr. 1 BDSG) , oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen
  • zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt
    erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • im öffentlichen Interesse oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist
  • die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen (vgl. § 28 Abs. 1 Nr. 2 BDSG)

Insbesondere die Datenverarbeitung zur Wahrung berechtigter Interessen wird im Online-Handel große Bedeutung erlangen, da sie im Einzelfall nicht nur Fälle des Direktmarketings, sondern auch nutzungsbasierte Online-Werbung zu rechtfertigen vermag, ohne dass es einer Einwilligung bedürfte.  So ergibt sich aus Erwägungsgrund 47, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann. Voraussetzung bleibt aber in jedem Einzelfall, dass vor allem die persönlichkeitsrechtlichen Belange des Geworbenen die Werbeinteressen nicht überwiegen.

WEGFALL ANERKANNTER ERLAUBNISGRÜNDE

Ein Rückgriff auch die berechtigten Interessen wird in Zukunft vor allem deswegen maßgebliche Bedeutung erlangen, weil für die Praxis des Online-Handels hoch relevante Nutzungsvorgänge, die bisher ohne Einwilligung möglich waren, ab 2018 den generellen Einwilligungserfordernissen unterliegen werden.
So werden die besonderen datenschutzrechtlichen Erlaubnistatbestände der §§ 28a und 28b BDSG durch die DSGVO vollständig aufgehoben. Eine Datenübermittlung an Auskunfteien sowie die Evaluation von Nutzerverhaltensmuster im Wege des „Scoring“ werden künftig nur noch dann zulässig sein, wenn Ihnen eine ausdrückliche Einwilligung des Betroffenen im Sinne des Art. 6 Abs. 1 lit. a DSGVO vorangegangen ist.
Gleiches gilt für die Sondererlaubnis der Datennutzung im Beschäftigungsverhältnis nach dem – zum 25.05.2018 entfallenden – § 32 BDSG.
Besonders zu beachten ist gleichsam, dass die gesetzliche Erlaubnis zur pseudonymisierten Erstellung von Nutzungsprofilen zu Marktforschungszwecken ohne vorangegangene Einwilligung entfällt nach §15 Abs. 3 TMG ersatzlos wegfällt. Die Rechtmäßigkeit eines solchen „Profilings“ – ob mit oder ohne Pseudonymisierung – wird sich in Zukunft ausschließlich am Vorliegen einer wirksamen zweckgerichteten Betroffeneneinwilligung orientieren.
Zwar ermöglichen die neuen, meist generell gehaltenen Erlaubnistatbestände der DSGVO eine flexiblere Rechtsanwendung. In Ermangelung klarer Abgrenzungskriterien und der Normierung eindeutig zulässiger Datenverarbeitungsprozesse geht dies aber für die Verantwortlichen gleichsam zu Lasten der Rechtssicherheit.

GEÄNDERTE ZULÄSSIGKEITSBEDINGUNGEN FÜR DIE ZWECKÄNDERUNG

Die DSGVO statuiert im Verhältnis zur derzeitigen Rechtslage deutlich strengere Anforderungen an die Zulässigkeit von Datenverarbeitungen, die zu einem anderen Zweck erfolgen sollen als zu demjenigen, für den die Betroffeneneinwilligung ursprünglich eingeholt wurde.
Konnte die einwilligungslose Zweckänderung, beispielsweise die Verwendung einer für den Empfang von Newslettern erhobenen E-Mail-Adresse zu Zwecken der Marktforschung oder der Liquiditätsprüfung oder der Erstellung eines Nutzerprofils, bisher nach § 28 Abs.2 Nr. 1 BDSG durch berechtigte Interessen gerechtfertigt werden, ist nunmehr ausweislich des Art. 6 Abs. 4 BDSG eine umfangreiche Interessenabwägung der Vereinbarkeit erforderlich, die bei negativem Ausfall die Einholung einer separaten Einwilligung erforderlich machen soll.
Für die Bewertung, ob der intendierte Nutzungszweck mit dem ursprünglichen vereinbar ist, sind zukünftig insbesondere folgende Gesichtspunkte zu berücksichtigen:

  • jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung
  • der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen
  • die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten (sensible Daten nach Art. 9 DSGVO) verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
  • das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann

Ergibt die stets im Einzelfall durchzuführende Prüfung eine Unvereinbarkeit, ist die Zweckänderung nur bei expliziter Einwilligung zulässig. Weil der Verantwortliche das positive Abwägungsergebnis und seine Grundlagen im Zweifelsfall aber beweisen muss und die genannten Kriterien in Ermangelung konkreter Bewertungsmaßstäbe kaum geeignet sind, dem Laien eine interessengerechte Entscheidung zu ermöglichen, wird sich die Änderung der Zulässigkeitsanforderungen faktisch wie eine Sperre der einwilligungslos erlaubten Zweckänderungen auswirken.
Zu hoch sind nämlich die Gefahren einer fehlerhaften Beurteilung und zu gering ist die Rechtssicherheit, sodass zu empfehlen ist, im Interesse einer Risikominimierung künftig jeder Zweckänderung eine erneute Einwilligungserteilung vorangehen zu lassen.

Ähnliche Artikel

Richtige E-Mail...

Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...

Datenschutzerklärung für...

Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...

Datenschutz und WhatsApp? Wo...

Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...