EuGH lockert deutsches Datenschutzrecht – neue Optionen für die Nutzung von Kundendaten

01.12.2016

In seinem Urteil vom 19.10.2016 (wir berichteten) hat sich der EuGH nicht nur zur Eigenschaft von IP-Adressen als personenbezogenem Datum geäußert, sondern auch zum Verhältnis zwischen europäischem und nationalem Datenschutzrecht. Konkret ging es im vorliegenden Fall zwar „nur“ um die Frage, ob § 15 Abs. 1 Telemediengesetz (TMG) europarechtskonform ist, soweit er einer Speicherung von IP-Adressen durch einen Website-Betreiber zu Zwecken von IT-Sicherheitsmaßnahmen entgegensteht (vom EuGH verneint). Losgelöst vom diesem Einzelfall müsste das Urteil der Luxemburger Richter aber im größeren Kontext dazu führen, dass bestimmte Restriktionen des deutschen Datenschutzrechts in der jetzigen Form nicht mehr haltbar sind. Dies betrifft etwa Werbung, Adresshandel und Telemediendienste.

Aktuelles deutsches Recht vs. europäische Datenschutzrichtlinie

Im deutschen Datenschutzrecht finden sich zahlreiche Einzelnormen, die eine Verarbeitung bestimmter personenbezogener Daten oder allgemein bestimmte Verarbeitungszwecke pauschal beschränken. Für die Wirtschaft besonders relevante Beispiele sind etwa §§ 28 Abs. 3, 29 Bundesdatenschutzgesetz (BDSG), die Werbung und Adresshandel nur in bestimmten Grenzen zulassen, sowie die §§ 12 Abs. 2, 14, 15 TMG, die eine Verarbeitung von Telemediendaten (d.h. bei der Bereitstellung und Nutzung von Online-/Mobile-Diensten anfallende personenbezogene Daten) grundsätzlich nur zum Zwecke der Vertragsdurchführung gestatten.

Diese Normen führen dazu, dass z.B. eine Analyse von Kundeninteressen, eine Bildung von Profilen über Kaufgewohnheiten sowie die Nutzung dieser Daten für Werbeansprachen oder Adresshandel häufig nur auf anonymisierter Basis erfolgen können, sofern das betreffende Unternehmen nicht ausdrücklich eine Einwilligung des Kunden einholt. Gerade unter deutschem Datenschutzrecht ist eine Einwilligung indes häufig mit praktischen Hürden verbunden, wie etwa strengen Vorgaben an eine transparente Formulierung, der Pflicht zur langfristigen Protokollierung sowie einem jederzeitigen Widerrufsrecht des Einwilligenden.

Das BDSG enthält zwar grundsätzlich in § 28 Abs. 1 S. 1 Nr. 2 und Abs. 2 Nr. 2 a) sogenannte „Interessenabwägungsklauseln“, wonach eine Verarbeitung personenbezogener Daten zulässig ist, wenn sie bei Abwägung berechtigter Interessen der verantwortlichen Stelle mit den Interessen der Betroffenen gerechtfertigt werden kann. Nach praktisch einhelliger Auslegung deutscher Gerichte und Datenschutzaufsichtsbehörden sind diese „Interessenabwägungsklauseln“ jedoch gesperrt, soweit ein Sachverhalt durch spezielle Normen geregelt ist – wie etwa im Bereich der Werbung oder bei Telemediendaten (s.o.).

Und genau darin liegt ein Widerspruch zum höherrangigen europäischen Recht. Denn die Regelungen des § 28 Abs. 1 S. 1 Nr. 2 und Abs. 2 Nr. 2 a) sind dem Art. 7 f) der europäischen Datenschutzrichtlinie 95/46/EG („EG-DSRL“) nachgebildet. Diese Interessenabwägungsklausel der EG-DSRL enthält aber weder eine Unterscheidung zwischen offline und online verarbeiteten personenbezogenen Daten noch enthält sie besondere Einschränkungen für einzelne Datenverarbeitungszwecke, etwa Werbung, Bildung von (Online-)Nutzerprofilen oder Adresshandel. Etwas anderes gilt nur für besondere Kategorien personenbezogener Daten i.S.d. des Art. 9 (z.B. Gesundheitsdaten). Mit anderen Worten: Unter der EG-DSRL ist grundsätzlich keine Datenverarbeitung per se verboten, sondern prinzipiell einer Abwägung zwischen den Interessen der verantwortlichen Stelle und denjenigen der betroffenen Personen zugänglich. Der EuGH hat diesen Widerspruch zwischen deutschem Datenschutzrecht und höherrangiger EG-DSRL deutlich aufgezeigt und entschieden, dass entsprechende Normen des deutschen Rechts entweder europarechtskonform auszulegen oder – wo dies nicht möglich ist – unwirksam sind. Wie das Gericht bereits in früheren Urteilen ausgeführt hat (siehe etwa Urteil vom 24.11.2011, verbundene Rs. C-468/10 und 469/10 – „ASNEF/FECEMD“), bewirkt die EG-DRSL eine Vollharmonisierung des Datenschutzrechts innerhalb des EWR, so dass der nationale Gesetzgeber keine davon abweichenden Regelungen aufstellen darf.

Zwar betrifft die aktuelle EuGH-Entscheidung vordergründig einen Sachverhalt, in dem ein Website-Betreiber erhobene IP-Adressen von Website-Besuchern zum Schutz seiner Systeme für eine bestimmte Zeit speichern wollte. Die Argumentation des EuGH, wonach entgegen den §§ 12 Abs. 2, 15 TMG eine Verarbeitung der IP-Adressen aufgrund einer Interessenabwägung gemäß Art. 7 f) EG-DSRL (also letztlich § 28 Abs. 1 S. 1 Nr. 2 BDSG) zulässig sein kann, ist aber ebenso auf andere Daten und Verarbeitungszwecke anwendbar.

Neue Möglichkeiten für Unternehmen

Demnach spricht nun einiges dafür, dass eine Verarbeitung von Daten zum Zwecke der Werbung oder des Adresshandels sowie die Verarbeitung von Daten bei Online- und Mobile-Diensten jenseits der Vertragsdurchführung grundsätzlich auch ohne Einwilligung zulässig sein muss, wenn die Interessen des die Daten verarbeitenden Unternehmens die Interessen der Betroffenen überwiegen.
Erleichterungen gegenüber der bisherigen Rechtslage würden sich dann konsequenterweise u.a. in folgenden Anwendungsbereichen ergeben:

  • Die postalische Werbung und der Adresshandel sind nicht mehr zwingend auf die sog. „Listendaten“ beschränkt;
  • es dürfen auch öffentlich zugängliche Daten i.S.d. § 28 Abs. 1 S. 1 Nr. 3 BDSG, wie z.B. In-formationen aus öffentlichen Social-Media-Profilen, für Zwecke der Werbung und des Adresshandels genutzt werden, wohingegen § 28 Abs. 3 S. 2 Nr. 1 BDSG noch eine Be-schränkung auf öffentliche „Verzeichnisse“ (z.B. Telefonbücher oder Branchenbücher) enthält;
  • Erleichterungen für die Erstellung von Kundenprofilen und sonstigen CRM-Maßnahmen zu Werbezwecken, bei denen sich bislang schwierige Fragen nach der Abgrenzung zwischen den Absätzen 1 und 3 des § 28 BDSG sowie der Auslegung des „Hinzuspeicherns“ von Daten nach § 28 Abs. 3 S. 3 BDSG stellten;
  • Verarbeitung von Bestands- und Nutzungsdaten bei Online- und Mobile-Diensten, insbesondere zur Verbesserung des Dienstes und Auswertung von Nutzerinteressen.

Die EuGH-Entscheidung bedeutet jedoch keinen pauschalen „Freibrief“ für jedwede Nutzung personenbezogener Daten zu Werbe- oder sonstigen Zwecken. Abgesehen davon, dass die Interessenabwägung nach Art. 7 f) EG-DSRL bzw. § 28 Abs. 1 S. 1 Nr. 2 BDSG im konkreten Einzelfall nicht zwingend zu Gunsten des Unternehmens ausfallen muss, lässt das Urteil solche Beschränkungen der Nutzung personenbezogener Daten unberührt, die sich aus der EG-DSRL oder anderen europarechtlichen Vorschriften ergeben.

Neben den bereits erwähnten besonderen Datenkategorien des Art. 9 EG-DSRL gilt dies etwa für Werbeansprachen per Telefon oder elektronischer Post (E-Mail, SMS, Messenger-Dienste) nach Art. 13 der E-Privacy-Richtlinie 2009/136/EG und die Verarbeitung personenbezogener Daten mithilfe von Cookies oder vergleichbaren Trackingverfahren nach Art. 5 Abs. 3 dieser Richtlinie. Die entsprechenden Beschränkungen bestehen auch weiterhin fort. So bedarf etwa Direktmarketing per Telefon, E-Mail oder WhatsApp auch weiterhin einer ausdrücklichen Einwilligung des Nutzers gemäß § 7 Abs. 2 UWG. Für den Einsatz von Cookies zu Zwecken des Nutzertracking und damit verbundener personalisierter Werbung ist der Art. 5 Abs. 3 der E-Privacy Richtlinie zwar nach wie vor nicht explizit in deutsches Recht umgesetzt worden. Sofern bei solchen Verfahren aber personenbezogene Daten erhoben werden (was die Regel ist), dürfte sich das Einwilligungserfordernis nach aktueller Rechtslage aus dem – insoweit europarechtskonformen – § 12 Abs. 2 TMG ergeben.

Beschränkungen bestehen auch unverändert für Daten, die dem Telekommunikationsdatenschutz unterliegen (§§ 92 ff. TKG), weil deren Verarbeitung zum einen europarechtlich reguliert ist (siehe etwa Art. 6 E-Privacy-Richtlinie für Verkehrsdaten) und es zum anderen auch das Fernmeldegeheimnis des § 88 TKG zu beachten gilt.

Ausblick auf die Datenschutzgrundverordnung

Die nun vom EuGH „geschaffene“ Situation entspricht im Übrigen weitestgehend der Rechtslage, wie sich mit Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) zum 25.05.2018 darstellen wird. Die grundsätzliche Berechtigung zur Datenverarbeitung im Falle einer Interessenabwägung zugunsten der verantwortlichen Stelle – auch für Zwecke der Werbung und des Adresshandels – ergibt sich zukünftig aus Art. 6 Abs. 1 S. 1 f) DSGVO. Mit Blick auf die Bildung von Kundenprofilen wird zwar in Art. 4 Nr. 4 der Begriff des „Profiling“ eingeführt, mit Ausnahme einer expliziten Erwähnung in dem auch derzeit schon bestehenden Einzelfallwiderspruchsrecht des Betroffenen (§ 35 Abs. 5 BDSG, künftig Art. 21 Abs. 1 DSGVO) bleibt er aber für Kundenprofile zu Werbezwecken ohne größere Folgen. Zu berücksichtigen ist jedoch, dass die verantwortliche Stelle zukünftig bei der Änderung des Verarbeitungszwecks die Vorgaben des Art. 6 Abs. 4 DSGVO beachten muss und dass die Interessenabwägung gemäß dem neuen Grundsatz der Rechenschaftspflicht („Accountability“) des Art. 5 Abs. 2 DSGVO sorgfältig zu dokumentieren ist.

Haben Sie Fragen? Kontaktieren Sie gerne: Konrad Żdanowiecki
Practice Group: IT, Outsourcing & Datenschutz