Anzeige
Anzeige
Ratgeber
Artikel merken

DSGVO: Wann Daten personenbezogen sind – und wann du sie verarbeiten darfst (Teil 2)

Die Datenschutzgrundverordnung  – DSGVO – regelt, ob von Unternehmen erhobene Daten personenbezogen sind oder nicht. Doch welche Daten dürfen genutzt werden? 

Von Thomas Schwenke
7 Min. Lesezeit
Anzeige
Anzeige

Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Im ersten Teil der Beitragsreihe habe ich erklärt, dass die Verarbeitung personenbezogener Daten nur dann legal ist, wenn das Gesetz es erlaubt. Und: Dass Verstöße mit hohen Bußgeldern geahndet werden. Dies bedeutet zum einen, dass du sicher wissen musst, welche Daten personenbezogen sind. Zum anderen musst du ebenso wissen, wann und unter welchen Voraussetzungen das Gesetz deren Verarbeitung erlaubt. Diesen Punkten widmet sich der heutige Teil der Beitragsreihe.

Verarbeitung personenbezogener Daten

Anzeige
Anzeige

Geht im Zweifel vom Personenbezug der Daten aus

Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Diese komplizierte Ausdrucksweise sagt so viel, wie dass die Person nicht identifiziert werden muss. Es reicht, dass die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte.

Anzeige
Anzeige

So ist auch ein pseudonymisiertes Werbe-Cookie auf einem Computer samt darin gespeicherter Daten personenbezogen. Denn der Nutzer ist identifizierbar, zum Beispiel anhand der vielen zu ihm gespeicherten Verhaltensmerkmale und spätestens anhand der IP-Adresse. Die IP-Adresse stellt wiederum eine „Online-Kennung“ im Sinne des Gesetzes, ein personenbezogenes Datum (Einzahl von Daten) dar.

Anzeige
Anzeige

Tracking-Cookies und IP-Adressen sind personenbezogen

Das „identifiziert werden kann“ muss zudem sehr weit verstanden werden. Es müssen auch Möglichkeiten der Identifizierung durch Dritte berücksichtigt werden, wenn sie als vernünftig und möglich erscheinen. So ist es zum Beispiel wahrscheinlich, dass eine IP-Adresse auf Anordnung eines Gerichts von einem Internet-Zugangsprovider einem Kunden zugeordnet werden kann (so werden File-Sharing-Verstöße nachgewiesen).

Anzeige
Anzeige

Eine Verarbeitung von Daten erfasst dabei praktisch alle erdenklichen Verwendungen. Angefangen beim Erheben, Speichern, Offenlegen durch Übermittlung, Löschen und Unterfallen. Es sei denn die verarbeiteten Daten sind anonym.

Aber wann sind Daten anonym?

Die Anonymität ist sehr fragil 

Anonyme Daten lassen keine Rückschlüsse auf konkrete Personen zu. Dazu gehören zum Beispiel aufsummierte Statistiken über die Besuche einer Webseite. Allerdings ist es wichtig zu wissen, dass Daten durch deren Vermengung personenbezogen werden können. So ist die Bonität einer Region an und für sich ein anonymes Datum. Wird die Angabe zur Bonität mit Adressen von Personen verbunden, wird das Datum personenbezogen.

Anzeige
Anzeige

Unterm Strich solltest du beim Umgang mit Daten also davon ausgehen, dass personenbezogene Daten verarbeitet werden. Erst, wenn du dir sicher bist, dass die Daten anonym sind, musst du dir um die DSGVO keine Gedanken machen. Ansonsten muss geprüft werden, ob die Voraussetzungen der folgenden Erlaubnisse vorliegen.

Verarbeitung im Rahmen von Anfragen und Vertragsabwicklung

Wie auch bisher, dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist oder um vorvertragliche Anfragen zu beantworten (Art. 6 Abs. 1 lit. b. DSGVO). Bedeutet: Ein Onlineshop-Anbieter darf auf Kontaktformularanfragen antworten und dem Warenspediteur die Adressen der Käufer übermitteln.

Checkliste – Ist meine Datenverarbeitung erlaubt (Art. 6 DSGVO)?

Anzeige
Anzeige
  • Einwilligung
  • Vertragserfüllung (zum Beispiel Daten an Spediteur)
  • Gesetzliche Pflichten (zum Beispiel Archivieren von Rechnungen)
  • Schutz lebenswichtiger Interessen von Menschen (zum Beispiel in der Medizin)
  • Berechtigte Interessen (IT-Sicherheit, Compliance, Beschäftigtenkontrolle, Marketing, Direktwerbung)

Verarbeitung aufgrund gesetzlicher Verpflichtungen

Auf diese Erlaubnisnorm (Art. 6 Abs. 1 lit. c. DSGVO) kann sich dann berufen werden, wenn Gesetze zur Verarbeitung personenbezogener Daten zwingen. Ein sehr häufiger Fall ist beispielsweise die Pflicht, Rechnungen zehn Jahre lang aufzubewahren.

Verarbeitung auf Grundlage berechtigter Interessen

Die Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen wird neben der Einwilligung zur wichtigsten Erlaubnisnorm der DSGVO werden (Art. 6 Abs. 1 lit. f. DSGVO). Berechtigt sind insbesondere auch wirtschaftliche Interessen. Diese sind mit den Interessen der Nutzer am Datenschutz abzuwägen. Das heißt: Du kannst dir die Prüfung dieser Erlaubnisnorm wie eine Waage vorstellen, auf deren Gewichte du selbst Einfluss hast.

So sinkt das Schutzinteresse der Nutzer beispielsweise mit technischen und organisatorischen Schutzmaßnahmen wie der Pseudonymisierung von Daten, der Informationen in einer verständlichen Datenschutzerklärung und vor allem, wenn Nutzer mit einer solchen Verarbeitung typischerweise rechnen müssen.

Anzeige
Anzeige

Diese Verarbeitungsgrundlage wird vor allem im Marketing eine große Rolle spielen, weswegen es nachfolgend als praktisches Beispiel für diese Erlaubnisvorschrift dient.

Online-Marketing nach der DSGVO

 

Je aufgeklärter die Nutzer, desto eher ist die Verarbeitung erlaubt

Anzeige
Anzeige

Das Prinzip der berechtigten Interessen lässt sich anhand von Google-Tools, wie Analytics oder Adwords, erläutern.

Die Analyse, Optimierung und wirtschaftliche Vorteile sind berechtigte Interessen, auf die man sich beim Einsatz der Tools berufen kann. Zu den Gunsten von Betreibern eines Online-Business spricht außerdem, wenn sie IP-Adressen anonymisieren lassen, die Nutzer über die Dienste in ihrer Datenschutzerklärung informieren und ihnen Opt-Out-Möglichkeiten mitteilen.

Zu deinen Lasten wirkt sich jedoch die Genauigkeit der Verhaltensprofile der Nutzer, die Google erstellt. Denn das Profiling ist ein gesetzlich verankerter Risikoindikator. Zudem muss geprüft werden, inwieweit Nutzer mit der Onlinebeobachtung vernünftigerweise rechnen müssen.

Anzeige
Anzeige

Websiteanalysen wie die von Google Analytics mit Standardeinstellungen gehören zum Erwarteten. Dagegen wird die Erwartung der Nutzer beim Cross-Device-Tracking, Erfassung demografischer Werte und der Standortdaten zu Zwecken des Remarketings und Zielgruppenbestimmung, zumindest angezweifelt.

Viele Chancen, aber auch viele Unsicherheiten

Du merkst, die Abwägung birgt viel Potential in sich, ist aber im Einzelfall sehr schwer vorzunehmen. Es werden sich mit der Zeit typische Beispiele etablieren, in denen ein berechtigtes Interesse angenommen werden kann. Leider werden die Beispiele der Datenschutzbehörden gewohnheitsmäßig enger ausfallen als die der Wirtschaft. Bedeutet: Wie bisher, wird wohl vor allem online eine große Grauzone bleiben.

Abwägung: Wann kann ich mich auf ein berechtigtes gem. Art. 6 Abs. 1 lit. f DSGVO verlassen?

Spricht dafürSpricht dagegen
Verarbeitung typisch und vernünftigerweise erwartbarUmfangreiches Profiling
Nutzer verständlich informiert (Datenschutzerklärung)Standortdaten
Keine relevanten Nachteile für Nutzer zu erwartenRetargeting
PseudonymisierungCrossdevicetracking
Opt-Out-MöglichkeitRelevante Nachteile für Nutzer zu erwarten
Keine Informationen
kein Opt-Out
Daten Minderjähriger
Besonders sensible Arten von Daten
Daten Beschäftigter

Spezialregeln für Kinder und Minderjährige

Minderjährige unter 16 Jahren sind besonders geschützt

Neben den vorgenannten Grundregeln der zulässigen Datenverarbeitung, gibt es auch Spezialregeln, von denen ich die wichtigsten kurz vorstellen möchte. So muss im Rahmen der Abwägung, zum Beispiel der berechtigten Interessen an der Datenverarbeitung, die Unerfahrenheit von Kindern besonders berücksichtigt werden (Art. 8 DSGVO). Für wie unerfahren der Gesetzgeber Minderjährige hält, zeigt die Altersgrenze für wirksame Einwilligungen Minderjähriger, die erst ab dem Alter von 16 Jahren möglich sind.

Spezialregeln für besonders sensible Daten

Daten zur Ethnie, Sexualität, Gesundheit, politische Ansichten, Biometrie und Genetik unterliegen besonders strengen Regeln

Die „Verarbeitung besonderer Kategorien personenbezogener Daten“ erfordert grundsätzlich eine ausdrückliche Einwilligung der Betroffenen. Darunter fallen unter anderem Angaben zur Ethnie, Gesundheit, Sexualität, religiösen oder politischen Ansichten sowie Biometrie oder Genetik eines Menschen (Art. 9 DSGVO).

Spezialregeln für Beschäftigte

Beschäftigte müssen besonders geschützt werden

Die Spezialregeln für Beschäftigte sind im § 26 des neuen Bundesdatenschutzgesetzes (BDSG-Neu) geregelt (das BDSG-Neu enthält deutsche Zusatzregeln zur DSGVO).

Der sogenannte Beschäftigtendatenschutz betont, dass bei Verarbeitung von Daten der Beschäftigten (unter anderem Bewerber, Praktikanten und Arbeitnehmer) immer ein Ungleichgewicht zu Lasten der Beschäftigten herrscht. Dieses Ungleichgewicht muss beispielsweise bei der Beurteilung, ob die berechtigten Interessen der Arbeitgeber die von Arbeitnehmern überwiegen, berücksichtigt werden. Aus diesen Gründen enthält die Vorschrift zudem hohe Vorgaben für die Einwilligungen und heimliche Beobachtung von Arbeitnehmern.

Spezialregeln für Videoüberwachung

An strengen Regeln zur Videoüberwachung ändert sich nichts

Im § 4 BDSG-Neu werden die bisherigen Regeln zur Videoüberwachung im öffentlichen Raum komplett übernommen. Bedeutet: Sobald eine Überwachungskamera nicht nur das Privatgrundstück erfasst, werden an deren Einsatz sehr strenge Anforderungen gestellt (zum Beispiel begründete Gefahr einer Sachbeschädigung). Zudem ist die Videoüberwachung ein Fall für die Datenschutzfolgeabschätzung im Art. 35 DSGVO, die im Rahmen dieser Beitragsreihe noch besprochen wird.

Spezialregeln für E-Mail-Marketing

Auch beim E-Mail-Marketing bleibt das meiste wie gewohnt

Das Direktmarketing per E-Mail bedarf weiterhin einer ausdrücklichen Einwilligung. Hier ändert sich wenig, da dies explizit im § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (und wohl ab 2019 zusätzlich im Artikel 16 der neuen E-Privacy-Verordnung) geregelt ist. Allerdings wird es möglich werden zum Beispiel das Tracking des Leseverhaltens der Newsletter auf berechtigte Interessen zu stützen (was jedoch deutliche Hinweise an die Nutzer voraussetzt).

Ebenso erlaubt bleibt die Direktwerbung an Bestandskunden für ähnliche Produkte und Dienstleistungen entsprechend § 7 Abs. 3 UWG.

Werbezwecke und Adresshandel

Die deutschen Sonderregeln zum Adresshandel fallen weg

Was auffällt, ist dass die bisherigen und recht komplizierten Regelungen zu Werbung und Adresshandel im § 28 Abs. 3 BDSG-Alt komplett weggefallen sind (zum Beispiel Regeln zum Listenprivileg). Hier werden die Unternehmen unter Berufung auf berechtigte Interessen flexibler sein.

Spezialregeln für Automatisierte Entscheidungen

Keine Macht den Maschinen

Art. 22 DSGVO soll vor automatisierten Entscheidungen, die unter anderem auf Profilingmaßnahmen basieren können, schützen (zum Beispiel wenn Software Kreditanfragen ablehnt oder Bewerber aussortiert und Absagen verschickt). Entscheidungen, die für Menschen erhebliche Folgen haben, sollen nicht ohne menschliche Kontrolle getroffen werden. Diese Alogrythmuskontrolle enthält jedoch Ausnahmen, etwa wenn die Verarbeitung zur Vertragserfüllung oder mit einer Einwilligung erfolgt.

Zweckänderungen

Flexibilität für Big Data

Die DSGVO erleichtert es den Unternehmen, vorhandene Daten für andere Zwecke zu verwenden. Eine Zweckänderung ist erlaubt, wenn der neue Verarbeitungszweck mit dem alten vereinbar ist, Daten möglichst pseudonymisiert werden und die Betroffenen nicht zusätzlich belastet sind (Art. 6 Abs. 4 DSGVO). Die Vorschrift dient daher als eine gesetzliche Erlaubnis für Big Data Anwendungen, bei denen ein möglichst flexibler Umgang mit Daten zu Effizienzsteigerungen führen kann.

Checkliste – Müssen Spezialregeln beachtet werden?

  • Minderjährige Art. 8 DSGVO
  • Besondere sensible Daten (Ethnie, Sexualität, Gesundheit, politische Ansichten) Art. 9 DSGVO
  • Beschäftigtendatenschutz § 26 BDSG-Neu
  • Videoüberwachung im öffentlichen Raum § 4 BDSG-Neu
  • E-Mailmarketing (Ausdrückliche Einwilligung oder Bestandskunden) § 7 Abs. 3 UWG.
  • Zweckänderung (Big Data, Marketing) Art. 6 Abs. 4 DSGVO
  • Automatisierte Entscheidungen (z.B. über Bewerber) Art. 22 DSGVO

Einwilligung

Die Einwilligung wurde in diesem Beitrag schon mehrfach erwähnt. Sie wird neben der Vorgenannten gesetzlichen Erlaubnisse, die wohl wichtigste Grundlage der Verarbeitung personenbezogener Daten bleiben (§§ 6 Abs. 1 lit. a, 7 DSGVO). Aus diesem Grund und weil sich auch bei der Einwilligung einiges verändert hat, wird der nächste Teil der Beitragsreihe ausschließlich der Einwilligung gewidmet.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
2 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

S3bast1an

Wär cool, wenn Du solche Spamkommentare lassen könntest.
Die verlinkte Seite bietet NULL Inhalt, nur Phrasen und copy-paste.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige