Jusletter IT

Kundenprofiling – Wo verlaufen die Grenzen der datenschutzrechtlichen Zulässigkeit?

  • Author: Sonja Dürager
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Collection: Conference Proceedings IRIS 2015, Peer Reviewed – Jury LexisNexis Best Paper Award of IRIS2015
  • Citation: Sonja Dürager, Kundenprofiling – Wo verlaufen die Grenzen der datenschutzrechtlichen Zulässigkeit?, in: Jusletter IT 26 February 2015
Die Erstellung von Kundenprofilen und deren Nutzung für Marketingzwecke, insbesondere zum Versand von bedarfsorientierter Werbung, gewinnt zunehmend an Bedeutung. Vielfach wird eine rechtliche Zulässigkeit ohne weitere Auseinandersetzung mit den datenschutzrechtlichen Grenzen der Datenverarbeitung mit der Verwendung anonymisierter Daten argumentiert, dabei wird aber übersehen, dass Anonymität dort aufhört, wo der Auftraggeber das personalisierte Profil auf einen konkreten Kunden beziehen kann.

Inhaltsverzeichnis

  • 1. Ausgangslage
  • 2. Zweckungebundene Weiterverwendung
  • 2.1. Die datenschutzrechtliche Problematik
  • 2.2. Statistische Auswertung
  • 3. Der Zweck der personenbezogenen Profilerstellung
  • 3.1. Allgemeines Prüfungsschema
  • 3.1.1. Zweckbindung der Datenverarbeitung
  • 3.1.2. Schutz der Geheimhaltungsinteressen der Kunden
  • 3.1.2.1. § 8 Abs. 3 Z. 4 DSG 2000
  • 3.1.2.2. § 8 Abs. 1 Z. 4 DSG 2000
  • 4. Resümee und Ausblick
  • 5. Literatur

1.

Ausgangslage ^

[1]
Zu einer erfolgreichen Marketingstrategie gehört es heute nicht mehr nur, seinen bestehenden Altkunden und Interessenten Informationen zum eigenen Unternehmen und Produkt- oder Serviceportfolio zu schicken, sondern vielmehr auch nur solche Werbung und Werbeaktionen an Kunden zu richten, die auch ihren speziellen Bedürfnissen und Interessen entspricht. Um die Auswahl solcher Werbeadressaten überhaupt zu ermöglichen, werden regelmäßig aus dem beim Werbenden bestehenden Datenbestand Verknüpfungen mit aggregierten Daten erstellt, und daraus Aussagen, Wahrscheinlichkeiten und Interpretationen zum Kundenverhalten abgeleitet.
[2]

Um diesen Mehrwert aus Daten zu generieren, werden «Profiling-Technologien» eingesetzt. Unter «Profiling» wird nach der jüngsten Definition des europäischen Gesetzgebers jede Form automatisierter Verarbeitung personenbezogener Daten, die zu dem Zweck vorgenommen wird, bestimmte personenbezogene Aspekte, die einen Bezug zu einer natürlichen Person haben, zu bewerten oder insbesondere die Leistungen der betreffenden Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Zuverlässigkeit oder ihr Verhalten zu analysieren oder vorauszusagen,1 verstanden. Das Feststellen und Bewerten solcher personenbezogener Aspekte und ziehen von Rückschlüssen daraus auf möglichst der Realität entsprechende Umstände sowie Bilden eines Profils, das Wünsche und Bedürfnisse einer Person vorhersagt – welche dieser im besten Fall noch gar nicht bewusst sein mögen, oder im schlechtesten Fall auf sie nicht zutreffen –, kann abhängig davon, welcher Zweck mit diesem Profil verfolgt wird, Geheimhaltungsinteressen der Betroffenen mehr oder weniger oder sogar – sollten die Kundendaten nur anonymisiert ausgewertet werden – gar nicht berühren. Das Datenschutzrecht würde nämlich dem Einsatz von Data-Mining-Verfahren grundsätzlich nicht entgegenstehen, soweit die Verarbeitung nicht personenbeziehbar sind, etwa weil es sich um zusammengefasste (aggregierte) Daten handelt, die nicht mehr einzelnen Personen zugeordnet werden können.2 Anonymisierte Daten unterfallen nicht mehr dem Datenschutzrecht und dürften ungehindert ausgewertet werden.3 Ein anonymer Datenbestand würde allerdings nur dann vorliegen, wenn der Auftraggeber die Daten auf einer Ebene aggregiert, auf der keine Einzelereignisse mehr identifizierbar sind, gerade das wird aber mit Profiling-Techniken bezweckt, weshalb die Fragestellung nach der datenschutzrechtlichen Zulässigkeit der Erstellung und Anwendung von personalisierten Kundenprofilen virulent ist.

2.

Zweckungebundene Weiterverwendung ^

2.1.

Die datenschutzrechtliche Problematik ^

[3]
Zu unterscheiden ist betreffend die für die – mit Profiling notwendigerweise verbundene – Analyse relevanten Daten zwischen den Identifikations-, Deskriptions- und Transaktionsdaten.4 Diese Typologie lässt sich auch aus datenschutzrechtlicher Sicht nutzbar machen. Identifikationsdaten sollen nur die beim Kunden erhobenen Namens- und Adressdaten (Stammdaten) betreffen, während Deskriptionsdaten Aussagen entweder über das Verhalten oder Charakteristika des Kunden – hierfür ist es vor allem wesentlich, dass Daten über das Freizeitverhalten und die sozialen Netzwerke eines Kunden ermittelt werden – oder über sein soziales Umfeld sein sollen. Transaktionsdaten, die regelmäßig im täglichen Geschäftsbetrieb anfallen, beziehen sich im Wesentlichen auf das Kauf- bzw. Nachfrageverhalten des Kunden, allgemeine Kundenanfragen, oder sonstige Kontaktaufnahmen durch den Kunden.5 Aus diesen Datensätzen kann nun durch Anreicherung mit exemplarischen Daten und durch Analyse beispielsweise die Information «Interesse für Technikthemen vorhanden» oder «kauft Auspuffrohre in der Zukunft» in Bezug auf einen individuellen Kunden gewonnen werden. Dem Anwender soll damit ermöglicht werden, nur denjenigen Kunden Informationen über neue technologische Entwicklungen oder Auspuffrohre zukommen zu lassen, welche sich dafür auch nach dem erstellten Profil interessieren. Abgesehen davon, dass die durch die Profilerstellung generierten Informationen auf den einzelnen Kunden nicht zutreffen müssen, können die so ermittelten Daten die Privatsphäre des Kunden berühren und Informationen sein, welche er über Anfrage nicht preisgegeben hätte.6
[4]
Die Vornahme solcher Auswertungen und die personenbezogene Verwendung (etwa durch Kontaktaufnahme mit dem Kunden infolge des ihm zugeschriebenen Profils) der über die Auswertungen erzielten Ergebnisse ist grundsätzlich nach dem allgemeinen Prüfungsschema der §§ 6 ff. DSG 2000 betreffend die Zulässigkeit von Datenverarbeitungen zu beurteilen, wobei sich beim ersten Prüfschritt die Frage stellt, ob die Verarbeitung der bereits vorhandenen Kundendaten mit dem Primärzweck vereinbar ist. Eine Privilegierung gegenüber sonstigen Datenverarbeitungen erfahren nur solche zu statistischen Zwecken. Daten, die ausschließlich statistisch oder wissenschaftlich genutzt werden, müssten bei Vorliegen der normierten Anwendungsvoraussetzungen nicht mit den §§ 6 ff. DSG 2000 in Einklang gebracht werden.

2.2.

Statistische Auswertung ^

[5]
Soweit Auswertungen der Identifikations-, Transaktions- und Deskriptionsdaten statistischer Natur sind, ist zunächst zu prüfen, ob die Sonderbestimmung des § 46 DSG 2000, welcher eine Ausnahme aus dem datenschutzrechtlichen Zweckbindungsgrundsatz normieren würde, auf diese Weiterverwendung anwendbar ist.
[6]

Gemäß § 46 Abs. 1 DSG 2000 darf der Auftraggeber einer Untersuchung alle Daten für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, verwenden, wenn er diese für andere Zwecke zulässigerweise ermittelt hat (zulässige Zweitverwertung) oder diese Daten für ihn nur indirekt personenbezogen sind. Abs. 2 leg. cit. regelt all jene Fälle der Datenverwendung, die nicht von Abs. 1 leg. cit. erfasst sind. Zu unterscheiden sind daher 2 Fallgruppen7: (i) Zweck der Datenverwendung sind statistische oder wissenschaftliche Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben8, (ii) Zweck der Datenverwendung sind konkrete Untersuchungen, die auf die Erzielung personenbezogener Ergebnisse ausgerichtet sind oder solche Aktivitäten, die keine konkrete Untersuchung (Erhebung) darstellen. Schon per definitionem ist Ziel des Profiling personenbezogene Ergebnisse zu generieren und werden außerdem regelmäßig nicht nur konkret individualisierbare Untersuchungen durchgeführt, sondern werden die Kundendaten permanent ohne besonderen Anlass zur Auswertung herangezogen. Zulässig wäre allerdings lediglich eine punktuelle Auswertung bestehender Datenbestände zu anderen Zwecken.9 Die Voraussetzungen für die Anwendung des § 46 Abs. 1 DSG 2000 sind demnach nicht erfüllt.

[7]
Soweit es daher um die Erstellung von nicht nur konkreten statistischen Auswertungen mit Personenbezug geht, wäre § 46 Abs. 2 DSG 2000 einschlägig. § 46 Abs. 2 DSG 2000 verlangt für die Zulässigkeit der Verarbeitung der Daten, dass entweder die Zustimmung des Betroffenen oder die Genehmigung durch die Datenschutzbehörde vorliegt, wobei letztere nur dann erteilt wird, wenn es mangels Erreichbarkeit des Betroffenen unmöglich ist, seine Zustimmung zu erlangen oder sonst einen unverhältnismäßigen Aufwand bedeutet10, und außerdem ein öffentliches Interesse an der Datenverwendung besteht. Zum einen wird die Unerreichbarkeit der Kunden zum Zweck der Einholung der Zustimmung regelmäßig nicht schlüssig argumentierbar sein und zum anderen besteht an unternehmensinternen Profiling-Maßnahmen offenkundig kein öffentliches Interesse, weshalb die zweckungebundene Weiterverwendung zu statistischen Zwecken die Zustimmung des Kunden11 voraussetzen würde.

3.

Der Zweck der personenbezogenen Profilerstellung ^

3.1.

Allgemeines Prüfungsschema ^

3.1.1.

Zweckbindung der Datenverarbeitung ^

[8]
Unterstellt man der Anwendung von Kundenprofilen, keine zweckungebundene Weiterverwendung zu sein, ist die Zulässigkeit der Datenverwendung nach den §§ 6 ff. DSG 2000 zu prüfen. Den Ausgang nimmt die Prüfung bei der Festlegung eines eindeutigen und rechtmäßigen Zwecks. Der primäre Zweck einer Datenanwendung mit Kundendaten ist regelmäßig die Abwicklung der Vertragsbeziehung zwischen dem Auftraggeber und seinen Kunden (vgl. die Standardanwendung SA001). Daneben steht die Verwendung bestimmter Daten zu eigenen Marketingzwecken (vgl. die Standardanwendung SA022), wobei es dabei vornehmlich um die Bewerbung von Waren und Dienstleistungen im Zusammenhang mit dem aktuellen Einkaufsverhalten von Kunden geht.
[9]

Rechtlich ist die Erstellung von Kundenprofilen als inhaltliches Verändern von personenbezogenen Daten einer Datenanwendung entweder mit oder ohne Anreicherung mit aggregiertem externem Datenmaterial durch permanente Auswertung anzusehen (vgl. § 4 Z. 9 DSG 2000).12 Es werden damit regelmäßig Informationen erzielt, welche über die zuvor beschriebenen ursprünglichen vom Verarbeitungszweck gedeckten Datensammlungen hinausgehen, da diese Informationen Prognosen oder Hypothesen über ein mutmaßliches zukünftiges Verhalten eines Kunden betreffen. Für die Zulässigkeit dieser Datenverwendung muss daher gefragt werden, ob die zusätzlich generierten Daten und deren Verwendung noch vom Primärzweck der Datenverarbeitung erfasst sind, und ob andernfalls diese neuartige Datenverwendung13 eine Zustimmung des Betroffenen verlangt oder aus anderen Gründen gerechtfertigt ist.

[10]

Als vom Zweck der Standardanwendung SA022 gedeckt, kann zum Beispiel die Erstellung von Response-Profilen beurteilt werden, d.h. Ermittlung von Daten über die Reaktion des Betroffenen auf eine Werbeansprache.14 So bezieht der Inhalt der Standardanwendung SA022 das «Antwortverhalten zu Werbeaktivitäten des Auftraggebers» als Datenkategorie explizit ein (vgl. Nummer 17 der SA022). Auch die Verarbeitung bloß von Nachfrageinteressen aufgrund des bisherigen Nachfrageverhaltens eines Kunden wäre ein zulässigerweise verarbeitetes Datum (vgl. Nummer 13 in der SA022). Unter diese Datenarten eine Information zu subsumieren, die aus der Verknüpfung mit durch explorative, deskriptive und induktive Statistik erzielten Auswertungsergebnissen generiert wurde, würde allerdings wohl den Wortlaut unzulässig überschreiten. Analyseergebnisse bezogen auf gemutmaßtes zukünftiges Verhalten oder sonstige wissenschaftliche Interpretationen von bisherigem Verhalten des Kunden, die sich vom ursprünglichen Datenbestand, der nur auf aktuelle Verhaltensweisen abstellt, weit entfernen, und deren Ziel der Versand von bedarfsorientierter Werbung und nicht bloß unpersönlicher Eigenwerbung des Auftraggebers ist, sind daher vom legitimen Zweck der SA022 meines Erachtens nicht mehr erfasst.15 Zu prüfen ist daher für die Datenverarbeitung zum Zweck der Profilerstellung und Anwendung des Profils zu Marketingzwecken die Zulässigkeit der Übermittlung von Daten nach § 7 Abs. 2 Z. 3 i.V.m. § 8 Abs. 1 und 3 DSG 2000.

3.1.2.

Schutz der Geheimhaltungsinteressen der Kunden ^

[11]

Neben der Zustimmung des Kunden zur Erstellung eines Kundenprofils und Verwendung desselben zu bestimmten Zwecken, käme zum Nachweis, dass Geheimhaltungsinteressen des Kunden durch die konkrete Datenverarbeitung nicht verletzt sind, primär die Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem (§ 8 Abs. 3 Z. 4 DSG 2000) und soweit dieser Tatbestand nicht zutrifft, die Argumentation eines derart gelagerten Sachverhalts, welcher die Abwägung der Interessen zugunsten des Auftraggebers (§ 8 Abs. 1 Z. 4 DSG 2000) ausfallen lässt, in Betracht.

3.1.2.1.
§ 8 Abs. 3 Z. 4 DSG 2000 ^
[12]

Die Reichweite des Begriffs der «Erfüllung vertraglicher Verpflichtungen» ist in seiner gesamten rechtlichen Tragweite zu verstehen. Bezüglich des Umfangs § 8 Abs. 3 Z. 4 DSG 2000 ist zunächst vom Wortlaut des Tatbestandes auszugehen. Die Zulässigkeit der Datenverwendung kommt daher nur dann in Frage, wenn diese «zur Erfüllung der vertraglichen Verpflichtung erforderlich» ist. Ein bloßes Nützlichsein ist davon nicht erfasst.16 Daher werden aber auch bloße Werbezwecke, welche in diesem Lichte nicht dem Begriff der vertraglichen Verpflichtungen subsumiert werden können, regelmäßig nicht vom Anwendungsbereich des Abs. 3 Z. 4 leg. cit. gedeckt sein.17 Eine Rechtsprechung liegt darüber allerdings soweit überschaubar nicht vor.

3.1.2.2.
§ 8 Abs. 1 Z. 4 DSG 2000 ^
[13]

Zu überlegen ist weiters, ob die Profilerstellung im Rahmen des § 8 Abs. 1 Z. 4 DSG 2000 gerechtfertigt werden könnte. Voraussetzung für das Vorliegen einer Sachverhaltskonstellation, welche die Argumentation des Überwiegens der Interessen des Auftraggebers zulässt, ist, dass das Interesse des Auftraggebers ein berechtigtes, d.h. ein von der Rechtsordnung anerkanntes ist.18 Allerdings ist nicht einmal die Frage, ob eine Datenverwendung zu Werbezwecken – geschweige denn unter Anwendung eines Kundenprofils – im Rahmen des § 8 Abs. 1 Z. 4 DSG 2000 gerechtfertigt sein könnte, von der Literatur oder Judikatur durch eine klare Aussage beantwortet.19 Ein erster Ansatz zur Auslegung dieser Thematik findet sich bei den jüngsten Entwicklungen zum Entwurf der Datenschutz-Grundverordnung, wonach die Verarbeitung von Daten für Direktmarketing im legitimen Interesse des Auftraggebers gemäß Art. 6 Abs. 1 lit. (f.) DS-GV erfolgt.20

[14]

Selbst wenn der Marketingzweck, getragen vom Absatzinteresse, grundsätzlich als eine die überwiegenden Interessen des Auftraggebers konstatierende Sachverhaltskonstellation verstanden würde, könnte noch keine Aussage darüber getroffen werden, welcher Umfang der Datenverarbeitung durch das Interesse an Werbeaktionen gerechtfertigt ist. So ist gemäß § 6 Abs. 1 Z. 3 i.V.m. § 7 Abs. 3 DSG 2000 in jedem Stadium der Datenverarbeitung zu fragen, welche Daten zur Erfüllung des legitimen Zwecks erforderlich sind. Die Abwägung der Interessen – es stehen sich das Interesse an der Absatzförderung durch Werbemaßnahmen und das Geheimhaltungsinteresse an den Kundendaten gegenüber – hat anhand der Bewertung der konkret involvierten Interessen zu erfolgen. Letzteres hängt maßgeblich vom Inhalt der zu verarbeitenden Daten ab. So ist das Geheimhaltungsinteresse an Name und Anschrift sowie Telefonnummer geringer als bei Informationen über den vom Kunden bestellten Art, da daraus Rückschlüsse auf die Konsumgewohnheiten, ja das Privatleben überhaupt möglich sind.21 Bei der Abwägung ist daher eher der Geheimhaltungsanspruch des § 1 Abs. 1 DSG 2000 in der Ausprägung eines allgemein anerkannten «informationellen Selbstbestimmungsrechts» relevant. Die informationelle Selbstbestimmung ist zwar nicht ausdrücklich positiviert, kann allerdings aus der Menschenwürde und allgemeinen rechtsstaatlichen Grundsätzen abgeleitet werden und wurde zuletzt auch vom VfGH ausdrücklich anerkannt22. Mit diesem Recht soll dem Betroffenen eine Einflussmöglichkeit auf die ihn betreffenden Datenströme eingeräumt werden.23 Wenn Daten bzw. Prognosen aus Verhaltensweisen des Kunden durch Auswertung oder durch Erstellen von Verknüpfungen ermittelt werden, scheint gerade dieses Recht verletzt zu sein, da der Betroffene keinen Einfluss auf die über ihn verarbeiteten Datensätze hat.

[15]
Als Schlussfolgerung kann daher meines Erachtens wohl nur die Verarbeitung bestimmter Stamm- und Verhaltensdaten für Zwecke der Eigenwerbung vertretbar mit dem Vorliegen überwiegender berechtigter Interessen des Auftraggebers an der Datenverarbeitung argumentiert werden. Für die Zusammenfassung der Kundendaten zu einem auswertbaren Kundenprofil wird regelmäßig die Zustimmung des Kunden verlangt werden müssen.24

4.

Resümee und Ausblick ^

[16]

Zwei wichtige Voraussetzungen für ein hohes Datenschutzniveau sind, dass der für die Datenverarbeitung Verantwortliche Daten nur zu ganz bestimmten Zwecken verarbeiten darf (Prinzip der Datensparsamkeit) und der von der Verarbeitung Betroffene weiterhin die Kontrolle über seine eigenen Daten hat. Dies ergibt sich aus Art. 8 Abs. 2 der europäischen Grundrechte-Charta.25 Die Erstellung und Auswertung von personalisierten Kundenprofilen scheint genau mit diesen Grundfesten des Datenschutzes in Konflikt zu stehen, da zum einen Aussagen und Prognosen über Betroffene erlangt werden, welche zwar keine rechtlichen Auswirkungen haben mögen, aber dennoch ohne besondere Notwendigkeit Schlussfolgerungen aus dem Privat- und Familienleben eines Menschen erlauben, und zum anderen der Betroffene die Inhalte des ihm zugeschriebenen Profils nicht kennt und in der Regel nicht einmal weiß, dass ein solches über ihn erstellt wurde.

[17]
Der Entwurf der DS-GV regelt Profiling im Sinne der unter Art. 4 (3a) DS-GV beschriebenen Definition derzeit in Art. 20 DS-GV explizit. Es fällt allerdings auf, dass diese Regelung nur zur Anwendung gelangen soll, wenn «rechtliche» Konsequenzen aus der konkreten Maßnahme drohen. Soweit die Anwendung des Profils daher lediglich die Entscheidung der Einbeziehung eines Kunden in Werbeaktionen oder die Vornahme sonstiger Werbemaßnahme zum Ziel hat, wird diese konkrete Maßnahme bei einem bestehenden Kunden nicht für die Qualifikation «rechtliche Konsequenzen» genügen. So soll insbesondere die Einbeziehung oder Nichteinbeziehung in eine Direktwerbung keine erhebliche Beeinträchtigung sein.26 Dafür spricht auch, dass nach der DS-GV die Verarbeitung von Daten zu Zwecken des Direktmarketings als im Interesse des Auftraggebers legitimiert qualifiziert werden soll.27 Soweit daher keine rechtlichen oder ähnlich schwerwiegenden Interessen berührt sind, ist die Zulässigkeit des Profiling weiterhin nach den sonstigen Datenschutzvorschriften für die Datenverarbeitung zu prüfen, womit danach zu fragen bleibt, ob die Datenverarbeitung nach dem Art. 6 DS-GV rechtmäßig ist28, und sich damit wieder die Frage nach dem überwiegenden berechtigten Interesse des Auftraggebers an der Datenverarbeitung stellt. Eine generelle Lösung gibt es daher nicht, und hängt es – wie so oft – von den konkreten Umständen des Einzelfalls ab, ob das Einverständnis des Kunden vorliegen muss.

5.

Literatur ^

Dammann, Ulrich / Simitis, Spiros, Kommentar EG-Datenschutzrichtlinie, Nomos (1997).

Dohr, Walter / Pollirer, Hans-Jürgen / Weiss, Ernst / Knyrim, Rainer, Kommentar Datenschutzrecht – Datenschutzgesetz 2000 samt Europarecht, Nebengesetzen, Verordnungen und Landesdatenschutz, Manz, Wien (2002).

Drobesch, Heinz / Grosinger, Walter, Das neue österreichische Datenschutzgesetz, Juridica Verlag GmbH, Wien (2000).

Feiler, Lukas / Fina, Siegfried, Datenschutzrechtliche Schranken für Big Data, MR S. 303 (2013).

Grabenwarter, Christoph, Datenschutzrechtliche Anforderungen an den Umgang mit Kundendaten im Versandhandel, ÖJZ S. 861 (2000).

Hildebrandt, Mireille, Profiling: From Data to Knowledge, The challenges of a crucial technology, DuD S. 548 (2006).

Hippner, Hajo / Hubrich, Beate / Wilde, Klaus (Hrsg.), Grundlagen des CRM – Strategie, Geschäftsprozesse und IT-Unterstützung, Gabler Verlag (2011).

Jahnel, Dietmar, Handbuch Datenschutzrecht, Jan Sramek Verlag, Wien (2010).

Knyrim, Rainer, Nochmals § 107 TKG 2003. Papierwerbung benachteiligt, ecolex S. 257 (2005).

Souhrada-Kirchmayer, Eva, Das Gesamtkonzept für den Datenschutz in der europäischen Union. In: Jahnel, Dietmar (Hrsg.), Jahrbuch Datenschutzrecht, Neuer Wissenschaftlicher Verlag S. 33–53 (2011).

 

Sonja Dürager, Rechtsanwalt, bpv Hügel Rechtsanwälte OG, Donau-City-Straße 11, 1220 Wien, sonja.duerager@bpv-huegel.com

  1. 1 Beschluss des Europäischen Parlaments vom 12. März 2014 im Rahmen der ersten Lesung zu dem Vorschlag der Europäischen Kommission 2012/0011 (COD) 7427/1/14 (im Folgenden Datenschutz-Grundverordnung, DS-GV), Art. 4 (3a).
  2. 2 Vgl. auch Unabhängiges Landeszentrum Datenschutz Schleswig-Holstein, Gutachten Kundenbindungssysteme und Datenschutz, Dezember 2003, 47.
  3. 3 Vgl. Entschließung der 59. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 14./15. März 2000.
  4. 4 Vgl. Hippner/Wilde (Hrsg.), Grundlagen des CRM – Strategie, Geschäftsprozesse und IT-Unterstützung³ (2011) 738 ff.
  5. 5 Hippner/Wilde (Hrsg.), Grundlagen des CRM – Strategie, Geschäftsprozesse und IT-Unterstützung, 738 ff.
  6. 6 Vgl. Hildebrandt, Profiling: From Data to Knowledge, The challenges of a crucial technology, DuD, 2006, 548, 550.
  7. 7 Vgl. Jahnel, Handbuch Datenschutzrecht (2010), 438 Rz. 8/11.
  8. 8 Die Daten dürfen zwar während der Untersuchung personenbezogen sein, allerdings darf das Ergebnis der Untersuchung keinen Personenbezug mehr aufweisen (vgl. Drobesch/Grosinger, Das neue österreichische Datenschutzgesetz (2000) ad § 46, 266).
  9. 9 Vgl. Feiler/Fina, Datenschutzrechtliche Schranken für Big Data, MR 2013, 303.
  10. 10 Dies wurde etwa dann angenommen, wenn ein großer Teil des betroffenen Personenkreises aus verstorbenen Personen besteht, die gegenwärtigen Adressen der betroffenen Personen unbekannt sind (vgl. DSK K202.054/0008-DSK/2007; K202.052/0007-DSK/2007; K202.048/0008-DSK/2006) oder nur mit ungeheurem Aufwand zu ermitteln, oder der betroffene Personenkreis besonders groß ist (weltweit; vgl. DSK K202.033/0003-DSK/2004).
  11. 11 Im Anwendungsbereich des § 46 DSG 2000 ist keine Datenverwendung auf Grundlage einer vom Auftraggeber vorzunehmenden Interessenabwägung zulässig. Sind daher die beschriebenen Erlaubnis- und Einschränkungstatbestände nicht erfüllt, wäre die Datenverwendung unzulässig (vgl. Suda, Datenverwendung für wissenschaftliche Forschung und Statistik, in Bauer/Reimer, Handbuch Datenschutzrecht, 303).
  12. 12 Vgl. Gutachten des ULD Schleswig-Holstein, Kundenbindungssysteme und Datenschutz (2003), 45 ff., https://www.datenschutzzentrum.de/wirtschaft/Kundenbindungssysteme.pdf, zuletzt aufgerufen 11. Januar 2015.
  13. 13 Regelmäßig liegt dann, wenn die Profilerstellung als separates Aufgabengebiet zu verstehen wäre und die Daten einschließlich zusätzlicher Analysedaten für einen anderen Zweck als jenem für welche bestimmte Daten ursprünglich ermittelt wurden, eine Übermittlung von Daten gemäß § 4 Z. 12 DSG 2000 vor (vgl. z.B. Feiler/Fina, wonach eine Unvereinbarkeit mit dem ursprünglich festgelegten Verarbeitungszweck vorliegt, wenn z.B. an das Kundenservice des Auftraggebers gerichtete Support-Anfragen, die bisher ausschließlich zur Qualitätssicherungszwecken ausgewertet wurden, nun auch für Marketingzwecke verwendet werden, MR 2013, 303). Es stellt nämlich bereits die Weiterverwendung von Daten innerhalb eines Unternehmens für einen vom ursprünglichen Zweck verschiedenen Zweck eine Datenübermittlung dar.
  14. 14 Vgl. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Anforderungen durch Datenschutz und Bankgeheimnis an Data-Warehouse-Konzepte: Zulässigkeit, Anforderungen an Einwilligungen, https://www.datenschutzzentrum.de/material/themen/divers/bankds.htm#12, zuletzt aufgerufen 11. Januar 2015.
  15. 15 So ähnlich auch das ULD Schleswig-Holstein bezogen auf die Rechtfertigung der Datenverarbeitung, wonach der Profilbildung regelmäßig schutzwürdige Interessen der Betroffenen entgegenstehen und zwar insbesondere dann, wenn sich durch die Zusammenstellung der Daten für die Unternehmen Informationen über den Kunden ergeben, die über die Summe der in das Profil einbezogenen Einzelinformationen hinausgehen (Vgl. Gutachten des ULD Schleswig-Holstein, Kundenbindungssysteme und Datenschutz (2003), 45 ff.).
  16. 16 Vgl. Drobesch/Grosinger, Das neue österreichische Datenschutzgesetz (2000), 139.
  17. 17 Das würde auch dazu auffindbaren Literaturmeinungen entsprechen, wonach die Verarbeitung von Daten zu Marketingzwecken nicht unter den Rechtfertigungstatbestand der Erfüllung einer vertraglichen Pflicht im Sinne des § 8 Abs. 1 Z. 4 i.V.m. Abs. 3 Z. 4 DSG 2000 zu subsumieren ist (Vgl. dazu Jahnel, Datenschutzrecht, 218 Rz. 4/49, der eine andere Auslegung ohne weitere Begründung mit dem Wortlaut der Z4 im Widerspruch wissen will).
  18. 18 Vgl. Grabenwarter, Datenschutzrechtliche Anforderungen an den Umgang mit Kundendaten im Versandhandel, ÖJZ 2000, 861.
  19. 19 Vgl. dazu auch Knyrim, Nochmals § 107 TKG 2003. Papierwerbung benachteiligt, ecolex 2005, 257.
  20. 20 Vgl. Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 25. Januar 2012 (2012/0011 (COD)), Stand 19. Dezember 2014 (15395/14 LIMITE), ErwGr 39, http://www.statewatch.org/news/2014/dec/eu-council-dp-reg-15395-14.pdf, zuletzt aufgerufen 6. Januar 2015. Gleichzeitig soll allerdings ein Recht des Betroffenen, der Verwendung seiner Daten zu Maßnahmen des Direktmarketing zu widersprechen, normiert werden (vgl. Art. 19 Abs. 2). So auch bereits im Beschluss des Europäischen Parlaments vom 12. März 2014 im Rahmen der ersten Lesung zu dem Vorschlag der Europäischen Kommission (Interinstitutionelles Dossier des Rats der Europäischen Union vom 27. März 2014, 2012/0011 (COD) 7427/1/14, REV 1, ErwGr 39b.
  21. 21 Grabenwarter, ÖJZ 2000, 861.
  22. 22 Vgl. VfGH am 27. Juni 2014, G 47/2012, G 59/2012, G 62/2012, G 70/2012, G 71/2012 zur Vorratsdatenspeicherung.
  23. 23 Vgl. Dohr/Pollirer/Weiß/Knyrim, Datenschutzrecht, § 1 Anm. 2.
  24. 24 Vgl. Gutachten des ULD Schleswig-Holstein, Kundenbindungssysteme und Datenschutz (2003), 46, https://www.datenschutzzentrum.de/wirtschaft/Kundenbindungssysteme.pdf, zuletzt aufgerufen 11. Januar 2015.
  25. 25 Vgl. dazu die Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 4. November 2010, Gesamtkonzept für den Datenschutz in der Europäischen Union, KOM(2010) 609 endgültig, 8 und vgl. Souhrada-Kirchmayer, Das Gesamtkonzept für den Datenschutz in der europäischen Union, in Jahnel, Jahrbuch Datenschutzrecht 2011 (2011), 33, 36.
  26. 26 Dammamm/Simitis, EG-Datenschutzrichtlinie (1996), 220.
  27. 27 Vgl. oben Fn. 20.
  28. 28 So auch Artikel 29 Datenschutzgruppe, Advice Paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation (Mai 2013), 4.