Datenschutz und Personalisierung – ein Überblick
Die Personalisierung beginnt mit der Adressierung von Werbung und reicht von der Werbeselektion bis zur Analyse und Profilierung. Hierbei kann Big Data, Smart Data oder Künstliche Intelligenz zum Einsatz kommen. Es kann sich um First Party Data, Second Party Data oder Third Party Data handeln. Aus datenschutzrechtlicher Sicht hat diese Begrifflichkeit zwar keine unmittelbare Auswirkung, aber was sich hinter den Schlagwörtern „verbirgt“ muss datenschutzrechtlich im Detail hinterfragt werden.
Personalisierung, Profilierung, Second & Third Party Data
Bei der datenschutzrechtlichen Beurteilung der Personalisierung des Marketings prallen – noch vor der unterschiedlichen Vorstellung davon, was möglich sein muss – Begriffswelten aufeinander. Das Datenschutz- recht hat seine eigene Betrachtungsweise der Vorgänge. Es stellt zentral darauf ab, ob und wie personenbezogene Daten verarbeitet werden. Welche Bezeichnung in der „Marketingwelt“ hierfür verwendet wird, ist nicht maßgeblich. Es gibt kein begriffliches „Matching“. Datenschutzrechtlich kommt es allein darauf an, was konkret mit den Daten getan wird.
Die deutschen Datenschutzaufsichtsbehörden haben beispielsweise zur sogenannten Reichweitenmessung in der Orientierungshilfe Telemedien 2021 [1] ausdrücklich herausgestellt, dass der Begriff „Reichweitenmessung“ viel zu unterschiedlich verstanden und genutzt wird, als dass sich allein am Begriff eine datenschutzrechtliche Bewertung festmachen ließe.
Kurzum: Begriffe und Bezeichnungen sind „Schall und Rauch“. In der Praxis besteht die erste, aber unvermeidbare Herausforderung darin, die Personalisierung so konkret und detailliert zu beschreiben, dass ein verständiger Dritter versteht, was gemacht wird. Ohne dies ist eine datenschutzrechtliche Prüfung nicht belastbar möglich.
Datenschutzrecht – Überblick
Eine Personalisierung erfordert die Verarbeitung personenbezogener Daten. Das führt zu Anwendung des Datenschutzrechts. Aber – und das ist entscheidend – die Anwendung des Datenschutzrechts bedeutet nicht zwingend das Verbot oder die Unzulässigkeit. Es bedeutet aber die Beachtung und Umsetzung weiterer Anforderungen.
Tipp für die Praxis: Binden Sie die datenschutzrechtliche Betrachtung von Anfang an in die Planung der Marketingstrategie und -maßnahme ein.
Anonymisierung und Pseudonymisierung
Das Datenschutzrecht greift, sofern und soweit personenbezogene Daten verarbeitet werden [2]. Hierunter fallen alle Informationen über eine bestimmte oder bestimmbare natürliche Person [3].
Vermeiden Sie diese Stolperfalle: Das Datenschutzrecht unterscheidet nicht nach B2C und B2B, sondern danach, ob der Bezug zu einem Menschen hergestellt werden kann. Dies kann sich bei juristischen Personen auch mittelbar durch Ansprechpersonen ergeben. Es ist zutreffend, dass Anonymität beziehungsweise Anonymisierung dazu führt, dass das Datenschutzrecht nicht zur Anwendung kommt. Häufig wird im Alltag jedoch nicht beachtet, was Anonymisierung im Sinne des Datenschutzrechts bedeutet: Anonym sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann [4]. Gerade im Kontext des Marketing zeigt sich recht häufig, dass eine solche echte Anonymisierung gerade nicht gewollt ist.
Entscheidend für den Personenbezug und die Anonymisierung ist damit gleichermaßen, ob die Person bestimmbar ist, auf welche sich die Informationen beziehen. In der juristischen Fachwelt ist heftig umstritten, was für eine solche Bestimmbarkeit und damit für die Anwendung des Datenschutzrechts gegeben sein muss [5].
Die Details sind umstritten und sprengen den Rahmen dieses Beitrags. Sie lassen sich aber an Beispielen verdeutlichen: Die deutschen Datenschutzaufsichtsbehörden stellen sich immer wieder auf den Standpunkt, dass dynamische IP-Adressen für einen Webseitenbetreiber ein personenbezogenes Datum sind. Dem lässt sich entgegenhalten, dass der Webseitenbetreiber die konkrete Person, welche die IP-Adresse nutzt, nicht eindeutig identifizieren kann, denn er kann – anders als der Internetzugangsanbieter des Nutzers – den Zusammenhang nicht ohne Weiteres herstellen.
Ein anderes Beispiel, das hieran anknüpft und für das die Bewertung des Personenbezugs umstritten ist, ist der Einsatz von Google Analytics. Die deutschen Datenschutzaufsichtsbehörden führen in ihrem Beschluss „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ vom 12.05.2020 [6], welchem die Standardeinstellungen mit Stand 11.03.2020 zugrunde liegen, Folgendes aus: „Die Kürzung der IP-Adresse stellt eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie zum Beispiel Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DSGVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben. In der Datenschutzerklärung ist der Umstand, ob die Kürzung der IP-Adressen veranlasst ist, entsprechend anzugeben.“ [6] Das macht deutlich, dass die Verneinung eines Personenbezugs beim personalisierten Marketing eher die Ausnahme sein wird.
Wenn im Marketingalltag von Anonymisierung gesprochen wird, handelt es sich häufig im datenschutzrechtlichen Sinn (nur) um eine Pseudonymisierung. „Pseudonymisierung“ ist nach der gesetzlichen Definition die „Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden, handelt es sich häufig im datenschutzrechtlichen Sinn um eine Pseudonymisierung“ [7].
Das Datenschutzrecht ist bei einer Pseudonymisierung weiterhin uneingeschränkt anwendbar und das ist der entscheidende Unterschied zu einer Anonymisierung. Auch wenn die Pseudonymisierung in der Praxis nicht das Datenschutzrecht unbeachtlich macht, ist die Möglichkeit im Interesse der datenschutzrechtlichen Zulässigkeit stets zu prüfen und umzusetzen.
Auch wenn die Auswertung von Informationen nicht direkt einer konkreten Person zugeordnet ist, aber dazu erfolgt, diese Informationen danach einer Person zuzuordnen, greift spätestens mit dieser Zuordnung das Datenschutzrecht. Auch in solchen Fällen erfolgt damit eine Verarbeitung nicht in einem „datenschutzfreien Raum“.
Zusammengefasst: Bei einer (bloßen) Pseudonymisierung ist das Datenschutzrecht – anders als bei einer Anonymisierung – weiterhin uneingeschränkt anwendbar. Allerdings kann sie die datenschutzrechtliche Zulässigkeitsbewertung positiv beeinflussen.
Was ist der Gegenstand der datenschutzrechtlichen Bewertung
Das Datenschutzrecht gilt für die Verarbeitung personenbezogener Daten. Das ist nach der gesetzlichen Definition in Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Damit ist klar, dass es keine Tätigkeit in Bezug auf personenbezogene Daten gibt, die nicht durch die DSGVO erfasst ist.
Aber dennoch kann datenschutzrechtlich keine pauschale Bewertung erfolgen, sondern die Verarbeitung zur Personalisierung muss mit der „Brille des Datenschutzrechts“ in ihre einzelnen Verarbeitungsschritte „zerlegt“ und jeder Schritt für sich datenschutzrechtlich bewertet werden:
- Die Auswertung ist nicht ein einzelner Vorgang, sondern es sind mehrere Vorgänge. Es werden Daten erhoben – entweder direkt für das Marketing oder aus anderen Gründen. Diese Daten werden dann dem entsprechend zum Marketing gespeichert oder die aus anderen Gründen erhobenen Daten werden unter Änderung des Verarbeitungszwecks zum Marketing gespeichert. Dabei werden die Daten zur gemeinsamen Auswertung zusammengeführt. Danach werden die Daten ausgewertet. Die hieraus gewonnene Erkenntnis ist ein neues personenbezogenes Datum, das gespeichert wird. Dann werden die Daten schließlich für das eigentliche Marketing genutzt. Hierauf erfolgende Reaktionen werden wiederum erfasst. … Alle diese Schritte sind datenschutzrechtlich auf ihre Zulässigkeit zu prüfen.
- Die unterschiedlichsten Daten werden zusammengetragen, die nicht stets (nur) für das Marketing erhoben werden, sondern häufig aus anderen Beziehungen des Unternehmens zum Betroffenen stammen (beispielsweise Bestellungen) und von Drittanbietern. Das zwingt zu verschiedenen datenschutzrechtlichen Prüfungen.
- Der eigentliche Clou steckt nicht nur im Zusammentragen der Daten, sondern in ihrer intelligenten Auswertung. Gerade diesem für die betroffene Person risikobehafteten Vorgang ist unter der DSGVO besondere Aufmerksamkeit zu schenken.
Die datenschutzrechtliche Bewertung muss daher als Bestandteil der strategischen Planung und des Aufbaus des Marketings verstanden werden.
Datenschutzrechtliche Anforderungen
Die Datenschutzgrundverordnung (DSGVO) ist ein ausgeprägtes
„Compliance-Gesetz“. Sie geht mit umfassenden Dokumentations- und Organisationspflichten über die bloße Zulässigkeitsfrage hinaus. Das ist in der Praxis herausfordernd und aufwendig, darf aber dennoch nicht unterschätzt werden. Denn auch die Missachtung dieser weitergehenden Pflichten kann zu Geldbußen (bis zu 20 Millionen Euro oder – falls höher – bis zu vier Prozent des weltweiten Vorjahresumsatzes des Unternehmensverbunds führen) sowie zu Schadensersatzforderungen – Stichwort: Schmerzensgeld – führen.
Verbot mit Erlaubnisvorbehalt und Zweckbindung
Der entscheidende Grundsatz des Datenschutzrechts – das sogenannte Verbot mit Erlaubnisvorbehalt [8] – lässt sich so umschreiben: Alles ist verboten, es sei denn, es ist konkret erlaubt. Die praktische Konsequenz ist, dass jeder Verarbeitungsschritt von der Erhebung über das Hinzunehmen aus Drittquellen (Third Party Data) über das Auswerten (Profiling) bis hin zum Löschen jeweils auf das Eingreifen einer Rechtsgrundlage geprüft werden muss.
Für die Zulässigkeitsprüfung ist der Grundsatz der Zweckbindung [9] ebenfalls entscheidend. Denn er bedeutet, dass die Verwendung von personenbezogenen Daten nur für den Zweck zulässig ist, zu dem sie rechtmäßig erhoben worden sind. Das lässt sich an einem einfachen Beispiel verdeutlichen: Wenn ein Unternehmen die Daten über die Bestellung, die Adresse zur Zusendung und die Zahlungsdaten (nur) zur Abwicklung des Vertrags erhoben hat, darf es die Daten auch nur zu diesem Zweck verarbeiten. Sollen diese Daten auch für das Marketing verwendet werden, dann bedarf es der (erneuten) Zulässigkeitsprüfung hierfür.
Die Prüfung einer zweckändernden Weiterverarbeitung ist unter der DSGVO nicht ausgeschlossen, allerdings sowohl die zweistufige Prüfung der Zulässigkeit [10] als auch die Vorab-Hinweispflichten [11] machen diese die nachträgliche Änderung beziehungsweise Erweiterung der Verarbeitung in der Praxis aufwendiger.
Tipp für die Praxis: Einfacher ist es, diese Daten von vornherein auch für das Marketing zu erheben, worüber die betroffene Person allerdings auch von Anfang an zu informieren ist. Das ist auch ein Grund dafür, die datenschutzrechtliche Bewertung von Anfang an in die Entwicklung von Data-Driven-Strategien einzubinden.
Proaktive Informationspflicht
Die DSGVO enthält in Art. 13 und 14 DSGVO die Pflicht zur umfassenden Information der betroffenen Person – und zwar zum Zeitpunkt der Erhebung der Daten, wenn die Daten direkt von der betroffenen Person stammen. Wenn die Daten aus Drittquellen stammen, dann entweder binnen eines Monats oder – wenn sie zur Kommunikation mit der Person genutzt werden sollen, bei der ersten Kommunikation. Der betroffenen Personen müssen insbesondere alle Zwecke – also auch die Verarbeitung zur Personalisierung – sowie – neben einer Reihe von weiteren Informationen – die entsprechende Rechtsgrundlage und die Speicherdauer der Daten genannt werden. Gerade diese beiden Inhalte der Informationspflicht zwingen dazu, sich auch mit der Rechtsgrundlage und der Speicherdauer zu befassen. Das macht deutlich, dass Befassung von Anfang an zusammen mit der Planung der Marketingmaßnahmen erfolgen muss.
Datenminimierung
Die DSGVO schreibt auch die Datenminimierung vor. Das bedeutet, dass die Verarbeitung der Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss [12]. Für die Praxis bedeutet dies, dass nur die Daten verarbeitet werden dürfen, die für den jeweiligen Zweck (siehe zuvor zur Zweckbindung) erforderlich sind. Konkret: Für jede Information muss begründet werden können, warum sie für das Ziel benötigt wird.
Privacy by Design and by Default
Der Grundsatz des Privacy by Design und Default geht über die Datenminimierung hinaus und ist ihr vorgelagert. Das Privacy by Design erfordert, dass die Verarbeitung bereits technisch und organisatorisch so gestaltet ist, dass sie so wenig wie möglich personenbezogene Daten verarbeitet und beispielsweise diese rechtzeitig auch löschen kann. Die genaue Auslegung und Reichweite ist zwar noch nicht abschließend geklärt, aber wegen Verstößen hiergegen sind schon Geldbußen verhängt worden. Privacy by Default bedeutet vereinfacht, dass bei Einstellungsmöglichkeiten für den Nutzer die datenschutzfreundlichen voreingestellt sein müssen.
Zentrale Dokumentationsanforderungen
Die DSGVO hat vor allem die Anforderungen an die Bewertung von Verarbeitungen und deren Dokumentation verstärkt. Verstöße gegen diese Pflichten sind allesamt bußgeldbewehrt. Die zentrale Dokumentation ist das Verzeichnis von Verarbeitungstätigkeit (Art. 30 DSGVO). In diesem sind alle Verarbeitungstätigkeiten des Unternehmens mit den gesetzlich festgelegten Inhalten zu dokumentieren. Das gilt auch für die Verarbeitung im Rahmen des personalisierten Marketing. Die Datenschutzaufsichtsbehörden können jederzeit die Vorlage dieser Dokumentation fordern. Das bietet sich vor allem dann an, wenn sie komplexere Verarbeitungen zu Marketingzwecken prüfen möchten.
Die DSGVO macht eine sogenannte Datenschutz-Folgenabschätzung für Verarbeitungstätigkeiten mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person erforderlich (Art. 35 DSGVO). Für jede (!) Verarbeitung ist zu prüfen, ob ein solches Risiko vorliegt, und selbst bei Verneinung der Erforderlichkeit ist zu dokumentieren, dass und warum dieses verneint wird. Für einfache Personalisierungen (beispielsweise Adressierung und Selektion) wird eine Datenschutz- Folgenabschätzung typischerweise nicht erforderlich sein. Für umfassendere, tiefergehende Personalisierungen muss zumindest genau geprüft werden, ob eine solche erforderlich ist. Diese Prüfpflicht darf nicht aus dem Auge verloren werden. Denn sie ist aufwendig und die Verarbeitung darf erst nach Abschluss der Prüfung begonnen werden. Daher ist es sinnvoll, diese Fragestellung von Anfang an bei der Planung zu berücksichtigen.
Art. 5 Abs. 2 DSGVO sieht die sogenannte Rechenschaftspflicht in Bezug auf jede Verarbeitung vor. Danach ist jede (!) Verarbeitung anhand der Grundsätze des Art. 5 Abs. 1 DSGVO zu prüfen und zu dokumentieren. Ein Verstoß hiergegen ist bußgeldbewehrt. Die in Art. 5 Abs. 1 DSGVO näher dargestellten Grundsätze sind: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Hinweis: Gerade die Dokumentationsanforderungen der DSGVO erscheinen als lästig. Aber das sind sie aus Sicht des Gesetzgebers und der Datenschutzaufsichtsbehörden ganz bewusst. Mit einer Missachtung ist es leicht möglich, eine ganze Reihe von Bußgeldern „einzusammeln“. Werden die Anforderungen der DSGVO direkt von Anfang an und projektbegleitend berücksichtigt, verringert es den Aufwand und vermeidet überraschende Verzögerungen.
Zulässigkeit der Personalisierung
Um den Rahmen dieses Beitrags nicht zu sprengen, wird nachfolgend die Zulässigkeit und die Transparenz in den Vordergrund gerückt. Die DSGVO enthält natürlich keine Regelung, die expliziert „Perso- nalisierung“ anspricht. Sie verwendet zwar den Begriff „Direktwerbung“, aber definiert nicht, was sie hierunter versteht.
In Art. 4 Nr. 4 DSGVO ist der Begriff „Profiling“ definiert als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“. Das lässt sich so umschreiben: Die Summe der Einzelinformationen muss zu einer neuen Information in Bezug auf die Person führen. Die DSGVO sieht dafür zwar keine eigenständigen Zulässigkeitsregelungen vor. Allerdings zeichnet sich in der Praxis der Aufsichtsbehörden ab, dass dies die „Sprungschicht“ für höhere Anforderungen markiert. Art. 22 DSGVO trägt die Überschrift „Automatisierte Entscheidungen im Einzelfall einschließlich Profiling“, weshalb man eine Spezialregelung für das Marketing-Profiling erwarten würde. Nach überwiegender Meinung ist diese Regelung jedoch nicht auf das Marketing-Profiling anzuwenden. Das ist zutreffend. Denn die Regelung erfasst nur allein auf maschineller Bewertung basierende Entscheidungen mit rechtlicher Wirkung oder zum erheblichen Nachteil der betroffenen Person (beispielsweise allein EDV-basierte Ablehnung eines Kreditantrags).
Für die Personalisierung im Rahmen des Marketing kommen als Rechtsgrundlagen die Einwilligung der betroffenen Person (Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO) und Interessenabwägung (Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO):
Die Herausforderung bei der Einwilligung besteht darin, dass der betroffenen Person konkret verständlich erklärt werden muss, was mit ihren Daten gemacht wird, und sie dann dem durch eine aktive Handlung zustimmen muss. Der Vorteil der Interessenabwägung besteht darin, dass der betroffenen Person aufgrund der Transparenzpflicht zwar gesagt werden muss, was mit ihren Daten gemacht wird und sie widersprechen kann, sie aber, um es zu verhindern, aktiv widersprechen muss.
Eine Einwilligung zeichnet sich dadurch aus, dass sie eine, freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene, Willensbekundung in Form einer Erklärung ist oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Bei der Interessenabwägung als Rechtsgrundlage muss das berechtigte Interesse des Datenverarbeiters an der Verarbeitung der Daten zu Marketingzwecken gegen das schutzwürdige Interesse der betroffenen Person, dass ihre Daten hierfür nicht verwendet werden, abgewogen werden. Dabei ist auch zu berücksichtigen, ob die betroffene Person die Daten in einer schutzwürdigen Erwartungshaltung preisgegeben hat.
Wenn diese Grenze der Interessenabwägung überschritten ist, dann kommt für eine Personalisierung als Rechtsgrundlage nur noch eine Einwilligung in Betracht. Damit ist für die Personalisierung entscheidend, wo diese Grenze zwischen Tragfähigkeit einer Interessenabwägung und dem Erfordernis einer Einwilligung verläuft. Die DSGVO enthält dazu keine pauschale Aussage. Dies ist auch nicht möglich, denn einer Interessenabwägung sind die konkreten Umstände des Einzelfalls zugrunde zu legen.
Indirekt lässt sich der DSGVO entnehmen, dass nicht allein die Annahme einer Profilierung im Sinne der zuvor genannten Definition per se schon zum Erfordernis der Einwilligung führt [13]. Eine abstrakte, pauschale Abgrenzung ist – wie nicht anders zu erwarten, nicht möglich – eine Richtschnur besteht damit jedoch. Das macht eine Prüfung von Anfang an erforderlich.
Die deutschen Datenschutzaufsichtsbehörden haben ihren Stand- punkt hierzu in den Orientierungshilfen Telemedien 2021 [1] und Direktwerbung 2022 [14] dargelegt: Einfache Werbeselektionen erfordern noch keine Einwilligung. „Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen beziehungsweise Analysen, die zu zusätzlichen Erkenntnissen führen“ – also eingriffsintensive Verarbeitungen –, sollen eine Einwilligung erforderlich machen; also nicht schon jede einfache Analyse. In der Orientierungshilfe Telemedien 2021 wird für Online- Tracking-Maßnahmen eine Einwilligung gefordert. Für die sogenannte Reichweitenmessung zogen die Aufsichtsbehörden in der vorhergehenden Orientierungshilfe Telemedien 2019 noch die Interessenabwägung in Betracht, wohingegen in der aktuellen Orientierungshilfe Telemedien 2021 unter Verweis auf die Unklarheit der Technologie eine Tendenz zum Erfordernis der Einwilligung zu bestehen scheint.
So wenig wie das Datenschutzrecht eine pauschale Bewertung zulässt, erscheint diese pauschalierende Festlegung der Schwelle durch die deutschen Datenschutzaufsichtsbehörden zutreffend. Sie muss zwar als Standpunkt der Aufsichtsbehörden zur Kenntnis genommen, aber nicht unreflektiert übernommen werden.
Zu einer solchen Prüfung – wenn auch nicht mit vorgeschriebenem Ergebnis – zwingt auch die Transparenzpflicht. Denn danach muss der betroffenen Person neben dem Zweck der Verarbeitung einschließlich gegebenenfalls von fremden Datenquellen auch die Rechtsgrundlage – also ob Einwilligung oder Interessenabwägung – sowie die Speicherdauer explizit und pro aktiv (siehe zuvor) genannt werden. Hieran wird der Datenverarbeiter bei einer Prüfung durch beispielsweise eine Aufsichtsbehörde auch festgehalten.
Fazit
Eine datenschutzkonforme Personalisierung der Werbung ist möglich. Aber ebensowenig wie es die eine Personalisierung gibt, gibt es die eine rechtliche Bewertung. Die Zulässigkeit und deren Bewertung hängt nicht von Schlagworten, sondern von der konkreten Verarbeitung ab. Um keine bösen Überraschungen und vor allem auch keine Verzögerung im Projekt zu erleben, muss die datenschutzrechtliche Bewertung ab der Projektentwicklung unterstützend eingebunden sein. Bei einer professionellen Unterstützung werden Sie feststellen, dass auch gemeinsam kreative datenschutzkonforme Lösungen entwickelt werden können. Aber das Datenschutzrecht setzt dennoch bewusst klare Grenzen!
Literatur
DSK (2021): Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem Dezember 2021 (OH Telemedien 2021). – https:// www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf – Zugriff 02.10.2022
Siehe 2 Abs. 1 DSGVO.
Siehe 4 Nr. 1 DSGVO.
Siehe Erwägungsgrund 26 DS-GVO
Ausführlich und grundlegend: Eckhardt, (2020): IP-Adresse als personenbezogenes Datum – neues Öl ins Feuer Personenbezug im
Datenschutzrecht – Grenzen der Bestimmbarkeit am Beispiel der IP-Adresse, CR 2011, 339; siehe auch: Bf DI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.06.2020. – https://www.bfdi.bund.de/SharedDocs/Downloads/DE/ Konsultationsverfahren/1_Anonymisierung/Positionspapier-Anonymisierung. pdf;jsessionid=79310023165FFB2F9D31AFDF5F29E5DF.intranet231? blob=publicationFile&v=4 – Zugriff 02.10.2022
DSK (2020): Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 12.05.2020: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich – https://wdatenschutzkonferenz-online.de/media/dskb/20200526_beschluss_ hinweise_zum_einsatz_von_google_analytics.pdf – Zugriff 02.10.2022
Gesetzliche Definition des 4 Nr. 5 DSGVO
Siehe 6 Abs. 1, Art. 5 Abs. 1 lit. a DSGVO
Siehe 5 Abs. 1 lit. b DS-GVO, Art. 6 Abs. 4 DSGVO
Prüfung zunächst anhand 6 Abs. 4 DSGVO und ggf. nach Art. 6 Abs. 1 DSGVO
Siehe 13 Abs. 3 und Art. 14 Abs. 4 DSGVO
Siehe 5 Abs. 1 lit. c DSGVO
21 DSGVO regelt das Widerspruchsrecht im Falle der Interessenabwägung und spricht explizit auch das Profiling an. Daraus ist zu schließen, dass der Gesetzgeber der DSGVO eine Profilierung für Werbezwecke auch auf der Grundlage einer Interessenabwägung für zulässig hielt.
DSK (2022): Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO, Stand: Februar 2022) – https:// datenschutzkonferenz-online.de/media/oh/OH-Werbung_Februar%20 2022_final.pdf – Zugriff 02.10.2022