1. Welche Datenerhebungen und -auswertungen bedürfen der Zustimmung des Nutzers?
Die Erhebung und Auswertung allgemeiner personenbezogener Daten bedürfen der vorherigen Einwilligung des Betroffenen, soweit nicht eine gesetzliche Erlaubnis nach dem BDSG vorliegt. Konkret handelt es sich um Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person: Name, Adresse, E-Mail-Adresse, Familienstand, Beruf, Ausweisnummer, Versicherungsnummer, Telefonnummer.
- Allgemeine personenbezogene Daten sind zunächst insbesondere Bestandsdaten, das heißt solche, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Dienstanbieter und dem Betroffenen über die Nutzung von Telekommunikationsdiensten erforderlich sind (zum Beispiel Name, Alter und Adresse des Betroffenen). Allgemeine personenbezogene Daten sind ebenfalls Nutzungsdaten, die eine Inanspruchnahme von Telemedien erst ermöglichen und für deren Abrechnung erforderlich sind.
- Soweit solche Daten außerhalb des eigentlichen Vertragszweckes im Rahmen von Big Data Analysen und Anwendungen gespeichert und genutzt werden, ist dafür eine Einwilligung aller natürlichen Personen erforderlich, deren Daten betroffen sind. Das gilt nur dann nicht, wenn ihre Nutzung von einer gesetzlichen Erlaubnis erfasst ist. Hier kommt im Normalfall einzig die sogenannte Interessensabwägung nach § 28 Abs. 1 Nr. 2 BDSG in Betracht. Danach ist eine Nutzung zulässig, wenn berechtigte Interessen des Nutzenden an der Nutzung die des Betroffenen überwiegen. Hier gilt ein strenger Maßstab, der im Rahmen der Nutzung für Forschung, medizinische Zwecke oder ähnliches oftmals erfüllt sein kann, bei rein kommerzieller Nutzung regelmäßig aber nicht.
2. Darf man alle Daten zusammenführen? Darf man insbesondere externe Daten hinzuziehen und abgleichen sowie Datensätze verschmelzen, wenn diese von ein und demselben Kunden sind?
Daten zu Kunden entstehen an unterschiedlichen Stellen und für verschiedene Einsatzzwecke. Im Zusammenhang mit ‚Big Data‘ ist es in der Tat ein Unterschied, ob bereits ein Daten-Pool vorhanden ist, dessen Daten ausgewertet werden sollen, oder ein solcher erst noch erstellt werden soll. Wenn der Daten-Pool nicht ausschließlich anonyme Daten enthält, so ist für jeden Einzelfall gesondert Folgendes zu fragen: Liegt eine datenschutzrechtliche Rechtfertigung für die Nutzung vor? Liegt eine datenschutzrechtliche Rechtfertigung für eine etwaige vorgelagerte Zusammenführung von Daten vor? Dabei sind insbesondere vier Punkte zu beachten:
- Generell gelten die Grundsätze der Zweckbindung und Datentrennung. Das heißt, die Daten dürfen jeweils nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Verschiedene Datensätze müssen dementsprechend auch grundsätzlich unabhängig voneinander verwaltet werden. Eine Zusammenführung ist nur aufgrund einer separaten datenschutzrechtlichen Legitimation (entweder Einwilligung oder gesetzliche Rechtfertigung) zulässig. Die gewerbliche Nutzung – zum Beispiel um die Daten des Kaufprofils im Shop im Newsletter zu verwenden – ist dabei meistens nur nach Einwilligung des Empfängers zulässig.
- Die Einwilligung muss nicht separat erfolgen, sondern kann Teil der Datennutzungserklärung im Rahmen der Newsletter-Anmeldung oder des Shop-Registrierungsprozesses sein, solange die Einwilligung diesbezüglich klar und verständlich ist. Wenn der Betroffene so zum Beispiel bei der Anmeldung im Shop die Datennutzungserklärung akzeptiert, berechtigt er den Anbieter auch zum Zusammenführen von Daten.
- Gleiches gilt für die Anreicherung mit externen Daten – etwa zur Aktualisierung von postalischen Anschriften oder Bonitätsdaten sowie zur Anreicherung von E-Mail-Adressen um die darüber genutzten Social Networks, sofern diese Informationen nicht allgemein verfügbar sind.
- Ohne Einwilligung zulässig ist aber die Zusammenführung von listenmäßig gespeicherten Daten mit im Internet frei verfügbaren Informationen für Zwecke der Werbung für eigene Angebote des Onlineshop-Anbieters als datenschutzrechtlich verantwortlicher Stelle.
3. Dürfen alle Formen von Datenauswertungen durchgeführt werden?
Ohne eine entsprechende datenschutzrechtliche Rechtfertigung dürfen nicht alle Formen von Auswertungen der im Daten-Pool enthaltenen Daten vorgenommen werden. Welche Form der Auswertung erlaubt ist, richtet sich nach der Art der im Daten-Pool befindlichen Daten. Soweit es sich – wie im Regelfall – (auch) um personenbezogene Daten handelt, bedarf es für die Verarbeitung einer datenschutzrechtlichen Rechtfertigung. Dabei sollen die nachfolgend aufgeführten Beispiele als Orientierung dienen:
- Werden mit Hilfe von Web-Analyse-Tools wie Google Analytics oder Piwik Verhaltensdaten wie Conversion Rate, Anzahl der Besuche auf einer Webseite, Klickrate, Klickreihenfolge und gesuchte Begriffe ausgewertet, ist dies zulässig, wenn der Betroffene zu Beginn des Vorganges darüber informiert wird. Das heißt, er muss dann auf die Datenerhebung und -auswertung sowie das ihm zustehende Widerspruchsrecht hingewiesen werden, wenn sich die Webseite öffnet und noch bevor etwaige Daten von ihm gespeichert werden. Widerspricht der Betroffene der Verwendung seiner Daten beziehungsweise dem Setzen des hierfür erforderlichen Cookies, dürfen seine Daten auch nicht verwendet werden. Werden jedoch Cookies nur zu dem Zweck gesetzt, um damit das Funktionieren des Webseitenbesuchs zu ermöglichen (zum Beispiel Session-Cookies), muss der Betroffene hierüber nicht informiert werden und hat hier auch kein Widerspruchsrecht. Grundsätzlich dürfen bei der Webanalyse nur solche Datenauswertungen vorgenommen werden, die der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung der Webseite dienen.
- Werden auf der eigenen Webseite sog. Social-Media-Plugins eingebunden (etwa Facebook „Gefällt mir“-Button), so werden an die sozialen Medien Daten übermittelt, unabhängig davon, ob der Betroffene diesen Button betätigt oder nicht. Dies gilt auch für Betroffene, die gerade nicht bei der Plattform eingeloggt sind oder solche, die gar nicht bei dem Dienst registriert sind. Die rechtliche Einordnung der Buttons ist höchst umstritten. Da hier jedenfalls die IP-Adresse erhoben und auch gespeichert wird, sodass der Betroffene bei späteren Besuchen wiedererkannt wird sowie die Daten auch an die sozialen Netzwerke weitergegeben werden, ist eine Zustimmung des Betroffenen jedenfalls dann zu empfehlen, wenn man der konservativen Ansicht (und den meisten Datenschutzbehörden) folgt und die IP-Adresse als personenbezogenes Datum behandelt. Hierzu bietet sich die sogenannte Zwei-Klick-Lösung an. Mit dem ersten Klick auf die Buttons werden diese zunächst aktiviert. Vorher findet noch keine Datenübertragung statt. In der Aktivierung liegt die Zustimmung des Betroffenen. Mit dem zweiten Klick kann der Betroffene dann die hinter dem Button stehende Funktion nutzen.
- Soweit es für die Inanspruchnahme eines Webangebots erforderlich ist, dass etwa eine Geolokalisierung erfolgt (zum Beispiel bei Diensten, die dem Betroffenen ortsgebundene Angebote machen wie „Wo ist das nächste Kino“) oder der Betroffene wiedererkannt wird, ist dies im Rahmen derartiger Dienste zulässig, wenn eine Verknüpfung der Daten mit dem Betroffenen zwingend für die Erbringung des Dienstes notwendig ist. Dies ist beispielsweise ausgeschlossen, soweit eine Profilbildung zu Marketingzwecken erfolgen soll. Ob ein zwingendes Erfordernis vorliegt, bemisst sich grundsätzlich nach dem Einzelfall, also nach der Art des Dienstes.
Die vollständige Checkliste können Sie hier herunterladen: Artegic Checkliste Big Data
Artegic verbindet Marketing und IT mit Technologien für Marketing Automation und Online CRM, durch Marketing Prozessoptimierung und durch Know-how für kundenzentrierte Online Dialogkommunikation mit E-Mail, Mobile und Social Media. Die Kanzlei Bird & Bird in Deutschland ist eine Zweigstelle von Bird & Bird LLP.