Datenschätze aus Personendaten heben?

Warum das keine gute Idee ist

Logistiker verfügen über Millionen von Datensätzen. Da könnten Speditionen schnell auf die Idee kommen, diese “Datenschätze” mit zusätzlichen Daten anzureichern, die sie aus den vorliegenden Daten errechnen lassen. Am Markt werden ja genug “kluge” Algorithmen beworben, die das leisten können.
Also ran an die statistische Auswertung der vorliegenden Kundendatensätze, auf zu neuen Clustern und zur Generierung von Mehrwert? Und gleich noch ein paar Werbe-E-Mails hinterherschieben?
Stopp.
Da ist ja noch die DSGVO.

Der Traum von der Selbstbestimmung

In Datenbanken können Informationen jeder Art strukturiert und in beliebiger Weise miteinander verknüpft werden. Das Datenschutzrecht will verhindern, dass solche Daten ohne Wissen und Zustimmung der betroffenen Person ein Eigenleben entfalten, ausgenutzt werden oder gar gegen die betroffene Person gewendet werden können. Hehres Ziel ist, dass der Einzelne autonom über das Schicksal seiner Daten bestimmen kann.
Die DSGVO nutzt hier als Hauptinstrument die Einwilligung. In der Praxis stellt sich das dem Nutzer beispielsweise so dar, dass er, um Zugang zu Informationen auf einer Website zu bekommen, zuerst über Art und Umfang der Cookies entscheiden muss, die er zulassen will. Oder als weiteres Beispiel: In Arztpraxen werden seitenlange Einwilligungserklärungen ausgehändigt, die akzeptiert werden müssen, bevor der Patient zum Arzt vorgelassen wird.
Einerseits wird der Nutzer dadurch permanent überfordert, er stumpft ab und klickt auf alles bzw. unterschreibt alles, um weiterzukommen. Andererseits hat er auch häufig keine andere Chance, als seine Zustimmung zu geben, um eine bestimmte Ware, Dienstleistung oder Information zu erhalten.
Mit Selbstbestimmung hat das aber kaum etwas zu tun. Eine andere Frage ist allerdings, ob solch eine Selbstbestimmung technisch überhaupt umsetzbar wäre.

Den Unternehmen wird die Entscheidung zugeschoben

Die DSGVO will das Dilemma lösen, indem sie den verarbeitenden Unternehmen die Verantwortung zuschiebt. Diese sollen anhand von Risikoanalysen und Datenschutz-Folgenabschätzungen (DSFA) entscheiden, welche Verarbeitungen im Interessen der eigenen Kunden sind und welche unterlassen werden sollten. Derjenige, der die Daten verarbeitet, soll also festlegen, was den Kunden zugemutet werden kann. Die DSGVO bietet den Unternehmen dabei keine Hilfe, da sie vor allem abstrakte Formulierungen und damit zahlreiche Graubereiche enthält.

Machen Sie es bloß nicht wie die Post

In Österreich kam im Jahr 2020 ein Fall vor Gericht, bei dem die Post Millionen von Adressdaten um die vermutete politische Affinität der Person angereichert und an Parteien vermarktete hatte. Entdeckt wurde der Datenschutzverstoß, da bei mehreren Auskunftsersuchen in einer Excel-Spalte die errechnete Pateizugehörigkeit angegeben wurde. Die Datenschutzbehörde teilte gegen die Post für die Sammlung und Weitergabe sensibler Daten eine Verwaltungsstrafe in Rekordhöhe aus. Diese kam zwar letztendlich davon, da das Gericht einen Formfehler im Strafbescheid feststellte – dennoch bestätigte das österreichische Bundesverwaltungsgericht, dass das Verhalten der Post grundsätzlich illegal gewesen sei.

Aus diesem Fall sollten Unternehmen für sich folgende Information ziehen: Zusätzliche Daten über eine Person, die aus den bereits vorliegenden Daten errechnet wurden, sind ebenfalls sensible personenbezogene Daten. Damit wird eine Pflichtinformation über diese Datenerhebung an den Betroffenen notwendig (Art. 14 DSGVO), in der Datenkategorie, Verarbeitungszweck und Rechtsgrundlage enthalten sind und ggf. ein berechtigtes Interesse nachgewiesen wird.

Die Daten der österreichischen Post, die ursprünglich dem Zweck der postalischen Erreichbarkeit dienten, wurden für die Ermittlung einer Präferenz genutzt und stellten somit eine Zweckänderung dar. Daraus ergibt sich zum einen die Rechtsfolge einer Zweckänderungsmitteilung an den Betroffenen, zum anderen die Notwendigkeit einer dokumentierten Datenschutz-Folgenabschätzung.

Um solch eine spätere Zweckänderung und die damit verbundenen Informationspflichten zu vermeiden, könnten Unternehmen nun versuchen, sämtliche möglichen Datenverarbeitungen oder Datenweitergaben bereits gleich zu Beginn, also bei der ursprünglichen Erhebung vom Betroffenen, als Zweck zu definieren.

Das ist jedoch ebenfalls problematisch, wie das nächste Beispiel zeigt.

E-Mail-Werbung nur an Bestandskunden zulässig

Im Jahr 2021 wurde einem Kläger ein Schadensersatz in Höhe von 300 € zugesprochen, weil sich dieser durch eine Werbe-E-Mail belästigt gefühlt hatte.
Das Argument der Beklagten, die E-Mail-Adresse des Klägers stehe frei zugänglich in seinem Impressum, wies das Amtsgericht zurück: Webseitenbetreiber wären rechtlich gezwungen, ihre Daten im Impressum frei zugänglich zu machen; dies dürfe nicht einfach zu anderen Zwecken ausgenutzt werden.
Nun könnte man den Erwägungsgrund 47 der DSGVO ins Feld führen, demnach Unternehmen ein berechtigtes Interesse haben, Personendaten zum Zwecke der Direktwerbung zu verarbeiten. Jedoch handelt es sich auch hier wieder um ein Beispiel dafür, dass die DSGVO zahlreiche abstrakte Formulierungen und damit zahlreiche Graubereiche enthält. So sah sich auch das mit dem Fall befasste Amtsgericht gezwungen, die Formulierung der DSGVO zu präzisieren: Wenn die Direktwerbung gewichtiger als das Interesse des Betroffeneninteresse sein solle, dann müsse eine „geschäftliche oder persönliche Beziehung“ zwischen dem Verantwortlichen und dem Betroffenen bestehen. Sind sich Absender und Empfänger jedoch unbekannt, gäbe es keinen Grund, bei einer Direktwerbung ein legitimes Interesse zu unterstellen.
Diese Gerichtsentscheidung bedeutet für Unternehmen also, dass E-Mail-Werbung nur an Bestandskunden zulässig ist. Konkret in der Speditionswelt bedeutet das beispielsweise, Transportangebote an potenzielle Interessenten oder Subunternehmer dürfen ohne deren Einwilligung (opt-in) nicht per E-Mail platziert werden.
Nun hatten wir gesagt, dass Unternehmen versuchen könnten, sämtliche möglichen Datenverarbeitungen bereits im Rahmen der ursprünglichen Erhebung vom Betroffenen als Zweck zu definieren. In solch einer Zweckdefinition könnte beispielsweise stehen, die Datenerhebung diene dem Zweck, die Daten mit frei zugänglichen Informationen und weiteren Daten zusammenzuführen, mit ähnlichen Daten aus anderen Quellen abzugleichen, schließlich Algorithmen auf die Daten loszulassen und die Ergebnisse mit befreundeten Unternehmen zu teilen oder auf dem Datenmarkt zu verkaufen.
Es ist unschwer zu sehen, dass die Wahrscheinlichkeit, dass der Betroffene solch einer Verarbeitung seiner Daten widerspricht, sehr hoch ist. Vielmehr ist sogar zu erwarten, dass sich der Betroffene mit einer Beschwerde an die Datenschutzbehörde wendet bzw. dass die Ermittlungsbehörden von sich aus entsprechende Nachforschungen anstrengen.

Erlaubte E-Mail-Werbung

Gemäß der DSGVO und dem Wettbewerbsrecht dürfen an Privatpersonen oder Firmen keine Werbe-Emails ohne eine vorherige Einwilligung versendet werden. Eine Ausnahme wird laut § 7 Abs. 3 UWG gemacht, wenn diese E-Mails an Bestandskunden gesendet werden. Hier wird argumentiert, dass jemand, mit dem eine Geschäftsbeziehung besteht, mutmaßlich Interesse an ähnlichen Produkten und Dienstleistungen hat und auch darüber informiert werden möchte.

Allerdings gelten dafür bestimmte Voraussetzungen, die alle erfüllt sein müssen. Die Kanzlei Schürmann, Rosenthal und Dreyer formuliert eindeutig:

(1) Zwischen Absender und Empfänger muss bereits eine vertragliche Beziehung bestehen. Die E-Mail-Adresse darf nur vom Kunden selbst mitgeteilt werden. Sie darf nicht aus anderen Quellen beschafft werden.

(2) Die Erlaubnis zur E-Mail-Werbung Werbung gilt nicht für das gesamte Sortiment. Es dürfen nur ähnliche Waren und Dienstleistungen bzw. funktionell zusammengehörige Waren (Zubehör und Ergänzungsleistungen) beworben werden. 

(3) Der Kunde darf der Verwendung seiner E-Mail-Adresse zum Empfang von Werbung nicht widersprochen haben.

(4) Der Kunde muss sowohl bei der Erhebung der E-Mail-Adresse als auch bei jeder Verwendung darauf hingewiesen werden, dass er der Verwendung jederzeit kostenlos widersprechen kann.

Fazit

Bereits das reine Sammeln und Verarbeiten von Personendaten unterliegt den strengen Vorschriften der DSGVO. Sollen die Daten im Nachhinein für weitere Zwecke verwendet werden, ist besondere Vorsicht geboten, da dies weitere Rechtsfolgen nach sich zieht. Unternehmen sollten daher nicht unbedacht handeln, sondern eine Zweckänderung mit entsprechenden Fachleuten – wie einem Datenschutzbeauftragten – absprechen. Ähnliche Vorsicht ist geboten, wenn die erhobenen Adressdaten zu Werbezwecken verwendet werden sollen. Versenden Sie ungefragt Werbe-E-Mails, kann Sie der Empfänger auf Schadensersatz verklagen.

Aktuelle Beiträge zur Datensicherheit