Personenbezogen oder anonym.

Wann die DSGVO greift

Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine direkt oder indirekt identifizierbare Person beziehen (Art. 4 Abs. 1 DSGVO). Als direkt oder indirekt identifizierbar wird eine natürliche Person angesehen, die mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. IP-Adresse) etc. identifiziert werden kann. Hier reicht es bereits aus, dass die Person mit Hilfe der erhobenen Daten identifiziert werden könnte aber nicht identifiziert werden muss.

Anonyme Daten lassen keine direkten oder indirekten Rückschlüsse auf konkrete Personen zu. Dazu gehören zum Beispiel aufsummierte Statistiken über die Besuche einer Website oder die Bildung von Clustern in der Werbung (Affinitäten für bestimmte Warengruppen, etc.) Dabei sollte man aber beachten, dass Daten durch deren Verbindung mit anderen Daten personenbezogen werden können. So ist die Affinität für eine bestimmte Warengruppe für sich genommen ein anonymes Datum. Wird die Angabe zur Affinität mit Kaufdaten oder Adressen von Personen verbunden, wird das Datum personenbezogen.

Deshalb sollte man im Zweifel immer vom Personenbezug der Daten ausgehen. Nur wenn die Daten anonym sind, greift die DSGVO nicht. Sind die Daten personenbezogen, muss geprüft werden, ob die Voraussetzungen zur Erhebung und Verarbeitung personenbezogener Daten vorliegen.

Voraussetzungen zur Erhebung und Verarbeitung personenbezogener Daten

„Die Verarbeitung von personenbezogenen Daten umfasst dabei das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (Art. 4 Abs. 2 DSGVO).

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn es kommen folgende Rechtfertigungsgründe zum Tragen (Art. 6 DSGVO):

1. Verarbeitung im Rahmen von Anfragen und Vertragsabwicklung Wie auch bisher, dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person oder um vorvertragliche Anfragen zu beantworten erforderlich ist (Art. 6 Abs. 1 lit. b. DSGVO).

Praxisbeispiel: Ein Websitebetreiber darf auf Anfragen über ein Kontaktformular/Angebot-anfordern-Formular antworten und bei Vertragsabschluss dem Spediteur/Versanddienstleister die Adressen der Käufer übermitteln.

2. Verarbeitung aufgrund gesetzlicher Verpflichtungen Auf diese Rechtsgrundlage (Art. 6 Abs. 1 lit. c. DSGVO) kann man sich dann berufen, wenn Gesetze zur Verarbeitung personenbezogener Daten verpflichten.

Praxisbeispiel: Hierunter fällt beispielsweise die Verpflichtung lt. § 147 AO für die Aufbewahrung von Unterlagen.

3. Verarbeitung auf Grundlage berechtigter Interessen Die Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen wird neben der Einwilligung (siehe hierzu den nachfolgenden Punkt 4) zur wichtigsten Verarbeitungsgrundlage für Marketinginteressen gesehen (Art. 6 Abs. 1 lit. f. DSGVO). Das berechtigte - meist wirtschaftliche - Interesse der Unternehmen ist hier den Interessen der Nutzer gegenüberzustellen.

Praxisbeispiel: Als Praxisbeispiel lässt sich hier Google-Analytics heranziehen. Die Analyse, Optimierung und wirtschaftlichen Vorteile sind berechtigte Interessen des Unternehmens, auf die man sich beim Einsatz des Tools berufen kann. Wenn IP-Adressen anonymisiert sind, die Nutzer über die Verwendung der Daten und die Opt-Out-Möglichkeit in der Datenschutzinformation hingewiesen werden, dann fällt dies positiv ins Gewicht. Weiterhin sollte geprüft werden, inwieweit Nutzer mit dieser Websiteanalyse typischerweise rechnen müssen. Hier könnte man argumentieren, dass der Einsatz eines Online-Analyse-Tools wie Google Analytics mit Standardeinstellungen und anonymisierter IP-Adresse vom Nutzer zu erwarten sind. Dagegen wird die Erwartung der Nutzer beim Cross-Device-Tracking, Erfassung der Standortdaten zu Zwecken des Remarketings und Zielgruppenbestimmung, aktuell angezweifelt.

Checkliste: Abwägung berechtigtes Interesse

Pro:

  • Verarbeitung vernünftigerweise erwartbar
  • Nutzer verständlich informiert: Mindestangaben bei der Datenerhebung und zusätzliche Informationen in der Datenschutzerklärung
  • Keine spürbaren Nachteile für Nutzer zu erwarten
  • Pseudonymisierung
  • Opt-Out-Möglichkeit

Contra:

  • Umfangreiches Profiling
  • Cross-Device-Tracking
  • Standortdaten
  • Retargeting
  • Relevante Nachteile für Nutzer zu erwarten
  • Daten Minderjähriger
  • Besonders sensible Arten von Daten
  • Daten Beschäftigter: z.B. Videoüberwachung

4. Verarbeitung auf Grundlage der Einwilligung

Die Einwilligung wird weiterhin eine der wichtigsten Verarbeitungsgrundlagen personenbezogener Daten bleiben. Welche Voraussetzung eine Einwilligung erfüllen muss, damit diese wirksam ist, wird nachfolgend erläutert:

Grundsätzlich muss eine Einwilligung von einer einwilligungsfähigen Person, freiwillig für den konkreten Zweck und in informierter Weise (z.B. durch Information über die Verarbeitung und Nutzung der Daten) unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgegeben sein.

Praxisbeispiel: Eine wirksame Einwilligung bestünde, wenn sich ein User über ein Formular auf der Website ausschließlich zum Newsletter anmeldet. Er wird direkt bei dem Formular über Zweck, Art und Umfang der Datenverarbeitung und über das Widerrufsrecht informiert. Die Anmeldung ist an keine weitere Leistungserbringung gekoppelt (Gewinnspiel o.ä.). Der Nachweis der online abgegebenen Einwilligung wird mit dem Zeitpunkt („timestamp“), am besten mit gekürzter IP-Adresse und immer, wenn möglich, mit einem Double-Opt-In bestätigt und protokolliert. Unwirksam wäre die Einwilligung, wenn eine bereits vorausgewählte Checkbox z.B. im Rahmen eines Gewinnspiels oder einer Kontaktanfrage zusätzlich zu einer Newsletter-Anmeldung führen würde. Das Nicht-Weg-Klicken der vorausgewählten Checkbox ist eine bloße Untätigkeit, die keine Einwilligung begründen kann.

Checkliste: Ist die Einwilligung wirksam?

  • Brauche ich eine Einwilligung oder greift eine andere Rechtsgrundlage des Art. 6 DSGVO?
  • Ist die Person einwilligungsfähig? (z.B. sind Minderjährige in Deutschland ab 16 Jahren einwilligungsfähig)
  • Wurde die Einwilligung freiwillig abgegeben?
  • Kopplungsverbot beachtet?
  • Über Widerrufsrecht belehrt?
  • Unmissverständlich über Zweck der Datenverarbeitung, Art und Umfang, Weitergabe sowie Löschung der Daten belehrt?
  • Nachweis der Einwilligung: elektronisch oder durch Schriftform protokolliert

EU-Datenschutz-Grundverordnung: Das sollten Sie wissen

Dieser Beitrag ist Teil unserer Reihe zur Umsetzung der EU-DSGVO im Online-Marketing:

Rechtlicher Hinweis

Die Columbus Interactive GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der in dieser Unterlage bereit gestellten Informationen. Die Informationen sind allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen und Fragen konsultieren Sie bitte einen auf dieses Gebiet spezialisierten Fachanwalt.

Diese Website verwendet Cookies

Wenn Sie der Cookie-Nutzung zustimmen, können wir unsere Inhalte nach Ihren Bedürfnissen gestalten.
Jegliche Auswertung erfolgt anonymisiert. Mehr Informationen über Cookies und die Option, der Cookie-Verwendung zu widersprechen enthält unsere Datenschutzerklärung.

Verstanden & Akzeptiert
Mehr Infos