DA+

Aufsatz : Datenverarbeitung zu Werbezwecken nach der Datenschutzgrundverordnung (Teil 2) : aus der RDV 6/2016, Seite 295 bis 307

Pascal TavantiArchiv RDV
Lesezeit 49 Min.

Wie im ersten Teil der Veröffentlichung zur DS-GVO und der Datenverarbeitung zu werbewirtschaftlichen Zwecken (Heft 6/2016) wird im zweiten Teil[1] den Fragen nach der Kontinuität bisheriger Vorgaben und etwaigen Neuerungen durch das Gemeinschaftsrecht nachgegangen – diesmal für die Themenkomplexe der gesetzlichen Erlaubnistatbestände, die Informationspflichten des Verantwortlichen und das Widerspruchsrecht betroffener Personen.

I. Datenverarbeitung zu Vertragszwecken oder für die Durchführung vorvertraglicher Maßnahmen

Art. 6 Abs. 1 lit. b legitimiert die Datenverarbeitung, wenn sie zur Erfüllung eines Vertrages oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, erforderlich ist. Die Datenverarbeitung ist damit, wie bei der Einwilligung, durch den Betroffenen willentlich veranlasst und basiert auf seiner positiven Grundrechtsausübung. Gleichwohl beansprucht auch dieser Erlaubnistatbestand, ebenso wie die Einwilligung, nach der Systematik der DS-GVO keine Vorrangstellung gegenüber den anerkennenswerten Interessen des Verarbeiters im Sinne der Interessenabwägung gemäß Art. 6 Abs. 1 lit. f.[2] Die Regelung entspricht Art. 7 lit. b der EU-Datenschutzrichtlinie (DSRL)[3]. Sie wirft aber, da unmittelbar anwendbar, die Frage nach der Kontinuität der bislang auf Basis abweichender Begrifflichkeiten des nationalen Rechts (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) erzielten Ergebnisse auf. Sofern werbewirtschaftlich von Bedeutung, wird man vom Folgenden auszugehen haben:

Der weiterhin nicht definierte Begriff der vorvertraglichen Maßnahme in der zweiten Alternative von Art. 6 Abs. 1 lit. b erfasst Situationen, bei denen die Datenverarbeitung im Vorfeld eines Vertragsschlusses erforderlich ist, sofern der Betroffene hierzu den Anlass gesetzt hat. Die Datenverarbeitung erfolgt hier nicht im unmittelbaren Zusammenhang mit den vertraglichen Leistungspflichten, welche über die erste Alternative von Art. 6 Abs. 1 lit. b erlaubt ist, insbesondere wenn sie zur Erfüllung vertraglicher Haupt- oder Nebenleistungspflichten erforderlich ist.[4] Art. 6 Abs. 2 lit. b, Alt. 2 legitimiert die Datenverarbeitung, wenn sie zur Beachtung von Schutzpflichten, insbesondere zur Rücksichtnahme oder zur Erbringung von Informationen erforderlich ist (§§ 241 Abs. 2, 311 Abs. 2 BGB). Damit unterfällt das Zurverfügungstellen von Adressdaten durch den Betroffenen im Rahmen der Anforderung eines Katalogs, bei Preisausschreiben, Gewinnspielen und Prospektanforderungen und bei individualisierten Angebotsnachfragen oder Kostenvoranschlägen dem Erlaubnistatbestand. Auch wenn die Definition des rechtgeschäftsähnlichen Schuldverhältnisses nach dem BDSG tendenziell weiter reicht als die „vor vertragliche Maßnahme“ nach der DS-GVO, können die von den Aufsichtsbehörden zu § 28 Abs. 1 Satz 1 Nr. 1 BDSG entwickelten Grundsätze zur Zulässigkeit einer weiteren werblichen Verarbeitung der im Rahmen der vorgenannten Konstellationen erhobenen Daten weiterhin herangezogen werden. Eine Einwilligung der Betroffenen ist bei solchen Sachverhalten auch zukünftig nicht erforderlich.[5] Betroffene, die in den oben erwähnten Situationen Daten zur Verfügung gestellt haben, können zukünftig wie „Bestandskunden“ angesehen und dementsprechend beworben werden.[6] Wegen des Wegfalls der Begrenzung auf Listendaten im Sinne des BDSG[7] bestehen weitere Gestaltungsspielräume. Sofern eine nach Wettbewerbsrecht erforderliche Einwilligung zur werblichen Ansprache vorliegt (§ 7 Abs. 2 Nr. 2, 3 UWG), besteht in vorgenannten Konstellationen die Möglichkeit, auch die E-Mail-Adresse oder Telefonnummer zu dem Zweck einer späteren werblichen Verarbeitung datenschutzkonform zu erheben. Konflikte mit dem Kopplungsverbot nach der DS-GVO bestehen nicht. Zwar hat der Verantwortliche bei einer nach Art. 6 Abs. 1 lit. b zulässigen Datenverarbeitung auf vertraglicher Grundlage in Bezug auf eine zusätzliche einwilligungsbasierte Datenverarbeitung das Kopplungsverbot gemäß Art. 7 Abs. 4 zu beachten, die wettbewerbsrechtlich erforderliche Einwilligung steht aber außerhalb des Datenschutzrechts – und sie ist gesetzlich erforderlich, mithin legitimiert (s. Art. 6 Abs. 1 lit. c). Bei entgeltlosen (werbefinanzierten) Angeboten – auf Basis einer die rechtlich anerkannten Interessen des Verarbeiters berücksichtigenden Auslegung des Kopplungsverbots[8] – wird man für das Zusammenspiel der gesetzlichen Verarbeitungsbefugnis nach Art. 6 Abs. 1 lit. b und der Datenverarbeitung kraft Einwilligung unter den nachfolgenden Voraussetzungen zur Zulässigkeit der Datenverarbeitung gelangen: Wenn die Nutzer mit ihrer Zustimmung zu einer werblichen Nutzung von Daten ein Angebot „bezahlen“ (z.B. entgeltloser E-Mail-Account gegen Zustimmung zu Newsletter-Zusendung), ist das Kopplungsverbot nicht betroffen, sofern dies als vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsabschluss klar dargestellt und nicht als zusätzliche datenschutzrechtliche Einwilligung deklariert wird.

II. Datenverarbeitung aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten unter Abwägung mit den Interessen der betroffenen Person

Art. 6 Abs. 1 lit. f stellt mit seiner Abwägungsklausel den zentralen Erlaubnistatbestand für die Datenverarbeitung im werbewirtschaftlichen Bereich dar. Indem hierüber die berechtigten Interessen des für die Verarbeitung Verantwortlichen (oder mehrerer Verantwortlicher im Sinne von Art. 26 Abs. 1) oder eines oder mehrerer Dritter, in deren Interesse die Daten verarbeitet werden, einschließlich der Übermittlung der Daten an diese, die Verarbeitung rechtfertigen können, ist der gesetzliche Erlaubnistatbestand für eine Vielzahl von Konstellationen von Bedeutung. Dies ist insbesondere dann der Fall, wenn der/die Verantwortliche(n) oder Dritte selbst keine (realistische) Möglichkeit haben, die Datenverarbeitung auf eine Einwilligung oder vertragliche Beziehung im Sinne der DS-GVO zu stützen. Die Regelung ist für jede Verarbeitung von Daten im Sinne von § 4 Nr. 2 einschlägig, sie erfasst die Verarbeitung für eigene Werbezwecke wie auch für Werbezwecke Dritter sowie gleichermaßen auch die geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung und damit sämtliche Werbeund Marketingaktivitäten (B2C und B2B), bei denen Daten verarbeitet werden, sowie auch den geschäftsmäßigen Adresshandel.[9] Die Formulierung entspricht weitgehend Art. 7 lit. f DSRL. Auch wenn die Datenverarbeitung zu werblichen Zwecken damit auf einer gesetzessystematisch vergleichbaren europäischen Grundlage beruht, müssen die Leitplanken wegen der zukünftig unmittelbaren Anwendung dieser Grundlage neu justiert werden.

Zentrales Prüfprogramm nach Art. 6 Abs. 1 lit. f ist es, die berechtigten Interessen des Verantwortlichen oder Dritter mit den gegen die Datenverarbeitung gerichteten Interessen der betroffenen Person abzuwägen. Das damit verwirklichte Prinzip einer interessenabwägenden Legalerlaubnis ist durch die GRCh abgesichert[10] und zugleich ein Grundpfeiler wettbewerbsneutraler Regulierung in der DS-GVO. Die Defizite, die der einwilligungsbasierten Datenverarbeitung in tatsächlicher Hinsicht für die informationelle Privatautonomie attestiert werden, insbesondere bei Sachverhalten im Consumer-Internet, werden hier vermieden.[11] Die datenschutzrechtlich anerkennenswerten Interessen der betroffenen Person müssen kraft Gesetz bei der Abwägungsentscheidung beachtet und realisiert werden.

1. Das berechtigte Interesse

Ausgangspunkt der Interessenabwägung und notwendige Voraussetzung für Art. 6 Abs. 1 lit. f ist das berechtigte Interesse an der Datenverarbeitung. Bezugspunkt hierfür ist die Zweckbestimmung, die der beabsichtigten Datenverarbeitung zugrunde liegt. Berechtigt im Sinne der DS-GVO sind, wie unter der DSRL, grundsätzlich alle vernünftigen, durch die Sachlage konkret gerechtfertigten Interessen rechtlicher, wirtschaftlicher oder ideeller Art, sofern ihre Verfolgung nicht gegen die Rechtsordnung verstößt.[12] Die ökonomische Bedeutung der „commercial speach“ ist empirisch fundiert.[13] Werbung und kommerzielle Kommunikation sind durch das nationale Verfassungsrecht (Grundgesetz) und das europäische Verfassungsrecht, insbesondere die allgemeinen Rechtsgrundsätze der EU und die Grundrechtscharta (GRCh) unter Einbeziehung der Europäischen Menschrechtskonvention (EMRK) geschützt. Einschlägig ist der Schutz der beruflichen Außendarstellung (Art. 12 GG, Art. 15 GRCh), der unternehmerischen Freiheit (Art. 16 GRCh) und die Meinungsäußerungs- und Informationsfreiheit, Art. 5 Abs. 1 S. 1 GG, Art. 10 Abs. 1 EMRK, Art. 11 GRCh.[14] Im Unterschied zur DSRL, die auf die Datenverarbeitung zu werblichen Zwecken lediglich mittelbar referenziert[15], erkennt die DS-GVO diese Tätigkeit explizit als berechtigt an, was einer Aufwertung gleichkommt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann“, wie ErwG 47 a.E. formuliert, „als eine dem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Für die europaweit einheitliche Anwendung von Art. 6 Abs. 1 lit. f ist der ErwG ein wesentlicher Faktor. Im Rahmen der vorzunehmenden Interessenabwägung kann der Zweck Direkt werbung als berechtigtes Interesse gewertet werden. Die Tätigkeit, Bestandskunden oder potentielle Kunden in kommerzieller Absicht anzusprechen, mithin zu bewerben, wird hierdurch auch in Bezug auf den Einsatz bestimmter Mittel – die Verarbeitung personenbezogener Daten – als berechtigt anerkannt. Freilich bedeutet dies nicht, dass die Interessenabwägung damit präjudiziert wäre.[16] Angesichts dieses Befunds besteht aber auch kein relevanter Raum für nationalstaatliche Wertungen auf der Prüfungsebene des legitimen Interesses. Der europäische Gesetzgeber hat die Datenverarbeitung zu werblichen Zwecken als intendiert berechtigtes Interesse bei der erforderlichen Interessenabwägung ausgewiesen.[17]

Der Begriff Direktwerbung ist weit auszulegen und umfasst in Konsequenz des Anspruchs der DS-GVO, die Verarbeitung personenbezogener Daten technologieübergreifend umfassend zu regeln, jedwede Datenverarbeitung im Sinne von Art. 4 Nr. 2 zu werblichen Zwecken – unabhängig davon, in welchem medialen oder situativen Zusammenhang sie erfolgt.[18]

Die DS-GVO kennt, wie die DSRL, kein Konzernprivileg. ErwG 48 DS-GVO enthält allerdings die Aussage, dass ein berechtigtes Interesse daran bestehen kann, personenbezogene Daten innerhalb einer Unternehmensgruppe für „interne Verwaltungszwecke“, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.[19] Ob die Datenübermittlung im Konzern damit eine eigenständige Anerkennung für spezifische Situationen beanspruchen kann, die auch dem Zweck „Werbung“ dienen, hängt von der Auslegung des Begriffs „Verwaltungszwecke“ ab.[20]

a) Keine Begrenzung auf Listendaten (mehr)

Bei den für Werbezwecke nutzbaren Datenkategorien existiert mit dem Fortfall des Listenprivilegs (§ 28 Abs. 3 S. 2 BDSG) keine Präklusion auf bestimmte Datenkategorien mehr, ebenso freilich aber auch keine der kasuistischen – nach der DSRL allerdings fragwürdigen[21] – „Privilegierungen“, wie etwa für Daten aus öffentlichen Verzeichnissen oder Quellen oder nach § 28 Abs. 3 S. 2 Nr. 1-3, S. 3-5 BDSG. Damit stehen sämtliche Datenarten und Selektionsparameter für die Interessenabwägung nach Art. 6 Abs. 1 lit. f zur Verfügung, und zwar für jedweden Datenumgang im Sinne von Art. 4 Nr. 2, mithin zur Erhebung, Selektion und kommunikativen Ansprache.[22] Dies gilt selbstverständlich auch, wenn Daten von Funktionsträgern juristischer Personen verarbeitet werden, um diese direkt als natürliche Person (in ihrer beruflichen Funktion) zu kontaktieren.[23]

b) Besondere Kategorien von Daten

Das Vorstehende trifft im Grundsatz auch für besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 zu, wenn diese, wie aus dem Wortlaut und der Systematik des Datenverarbeitungsverbots nach Art. 9 Abs. 1 auf der einen und den gesetzlichen Erlaubnissen nach Abs. 2 auf der anderen Seite geschlossen werden muss, von der betroffenen Person „offensichtlich öffentlich gemacht“ wurden. Die Begrenzung auf den Erlaubnistatbestand der ausdrücklichen Einwilligung würde ein Datenverarbeitungsverbot errichten, das die DS-GVO so nicht kennt. Personen/ Unternehmen der Gesundheitswirtschaft dürfen die entsprechenden Daten gleichwohl nicht unbesehen zu werblichen Zwecken verarbeiten. Im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f ist bei der Abwägung hinsichtlich des Ob und des Wie einer solchen Datenverarbeitung der besonderen Natur dieser Datenkategorien besonders Rechnung zu tragen, mit der Folge, dass die Prüfpunkte der Erwartungshaltung des Betroffenen und entgegenstehender Interessen besonders Gewicht erlangen. Aussagen zu möglichen safeguards, die zur Zulässigkeit einer einwilligungslosen Datenverarbeitung führen, lassen sich nur im Licht der konkreten Umstände und Gegebenheiten treffen. In der Praxis dürften sie im Wege einer hierfür überwiegend wahrscheinlich notwendigen Folgenabschätzung nach Art. 35 Abs. 1, 3 erfolgen und sodann dem Konsultationsverfahren mit den Aufsichtsbehörden nach Art. 36 unterliegen.

2. Abwägung mit den Interessen der betroffenen Person

Die Zulässigkeit der Datenverarbeitung ist sodann – zweiter Prüfungsschritt von Art. 6 Abs. 1 lit. f – gegeben, wenn dem berechtigten Interesse an der Datenverarbeitung zwecks Werbung keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, „die den Schutz personenbezogener Daten erfordern“, entgegenstehen. Eine gleichrangige Betroffenheit der datenschutzrechtlich relevanten Interessen der betroffenen Person reicht damit nicht aus, um die Datenverarbeitung auszuschließen.[24] Bei gleichwertigen Interessen – auch wenn eine solche Konstellation wie die Anordnung in einem mathematischen Versuchslabor erscheinen mag – ist die Datenverarbeitung nach Art. 6 Abs. 1 lit. f zulässig, was im Licht des systemischen Beitrags der DS-GVO zum Funktionieren des europäischen Binnenmarkts aber auch nicht weiter verwundern kann (s. Art. 1 Abs. 1, 3). Im Vergleich zu der in § 29 Abs. 1 S. 1 Nr. 1, Abs. 2 Nr. 2 BDSG geregelten geschäftsmäßigen Datenverarbeitung zum Zweck der Übermittlung von Daten, etwa wenn diese der Werbung oder dem Adresshandel dient – hier reicht bislang das Ausschlussinteresse des Betroffenen, um die Verarbeitung auszuschließen –, bedeutet dies eine spürbare Akzentverschiebung.

Bei der Interessenabwägung zwecks Verarbeitung von Daten eines Kindes sind die gegenläufigen Interessen besonders zu gewichten. Art. 6 Abs. 1 lit. f. a.E. hebt dies ausdrücklich hervor, freilich ohne den Begriff „Kind“ in diesem Zusammenhang zu definieren. Aus dieser normativen Wertung starre Abstufungen abzuleiten, die sich an der unionalen oder im Zulässigkeitskorridor des Art. 8 Abs. 1 mitgliedstaatlich festgelegten Altersgrenze zur Einwilligungsfähigkeit orientieren, mag auf den ersten Blick praktisch erscheinen. Dem risikobasierten Ansatz, der der Interessenabwägung zugrunde liegt, würde mit starren Grenzen aber nicht entsprochen, und überzeugend wäre eine abwägungsfeste Altersgrenze auch nicht für alle denkbaren Situationen.

a) Zur Relevanz außerdatenschutzrechtlicher Interessen nach der DS-GVO

Die Interessenabwägung nach Art. 6 Abs. 1 lit. f dient nicht dem Schutz der Daten um ihrer selbst willen. So müssen persönliche Empfindungen oder Empfindlichkeiten, etwa die subjektive Toleranz oder -intoleranz gegenüber Direktwerbung oder anderen Formen qualifizierter werblicher Ansprache, hierbei außen vor bleiben. In die Interessenabwägung einzustellen sind auf der Seite der betroffenen Person ausschließlich diejenigen Interessen, die mit dem Persönlichkeitsschutz in informationeller Hinsicht unmittelbar in Verbindung stehen, weil nur insoweit, wie Art. 6 Abs. 1 lit. f klarstellt, der Schutz der personenbezogenen Daten erforderlich ist.

Praktisch relevant ist dies im Hinblick auf die durch die Aufsichtsbehörden unter § 28 Abs. 3 S. 6 BDSG bislang vertretene Auffassung, wonach die wettbewerbsrechtliche Zulässigkeit einer Werbemaßnahme (§ 7 UWG) in die datenschutzrechtliche Interessenabwägung als Abwägungsfaktor aufzunehmen sein soll.[25] Zwar ist die Zulässigkeit der qualifizierten werblichen Ansprache auch zukünftig nicht allein datenschutzrechtlich zu bestimmen, weil die wettbewerbsrechtlichen Vorgaben für das Direktmarketing in § 7 UWG weiterhin zu beachten sind.[26] Die Fortführung der bisherigen datenschutzrechtlichen Aufsichtspraxis würde aber das unmittelbar vollharmonisierende Konzept der DS-GVO aushöhlen. Die Umsetzung der in Art. 13 Abs. 1, 3 der ePrivacy-RL enthaltenen Vorgaben zum Belästigungsschutz von Verbrauchern und Unternehmen in Bezug auf die verschiedenen Direktmarketingkanäle ist in der Union keine einheitliche, weil die Mitgliedstaaten von den bestehenden Regelungsspielräumen der Richtlinie in unterschiedlicher Weise Gebrauch gemacht haben. Die Einbeziehung der jeweiligen nationalen Wertungen in die datenschutzrechtliche Abwägung würde – vergleichbar einer Öffnungsklausel – somit stets zu einem national spezifischen Ergebnis führen. Dies widerspräche dem datenschutzrechtlichen Vollharmonisierungsanspruch der DS-GVO bei Art. 6 Abs. 1 lit. f und würde eine einheitliche Anwendung des Erlaubnistatbestands im Bereich des Werbedatenschutzes praktisch aushebeln, ohne dass eine entsprechende Legitimation hierfür (Öffnungsklausel) ersichtlich ist.

b) Die maßgeblichen Faktoren zur Gewichtung der Interessen

Auch wenn im Rahmen von Art. 6 Abs. 1 lit. f die Gewichtung der datenschutzrechtlich relevanten Interessen entscheidend ist, wird man für die dabei heranzuziehenden Aspekte auch zukünftig auf die bereits nach der DSRL als einschlägig erkannten Punkte abstellen können.[27] Relevant ist insbesondere die Eingriffsintensität der Datenverarbeitung und der damit verbundene Grundrechtsbezug (für beide Seiten). Hiermit in Verbindung steht die Art der verarbeiteten Daten und ihr Status. Sollen zum Beispiel freiwillig von der betroffenen Person veröffentlichte Daten verarbeitet werden, spricht dies dafür, vorbehaltlich der Zweckbestimmung der Veröffentlichung, an einem Verarbeitungsausschluss auch zu werblichen Zwecken ein geringeres Interesse anzunehmen. Sofern bei der Datenverarbeitung zu werblichen Zwecken in B2B-Verhältnissen personenbezogene Daten von Berufsträgern in ihrer beruflichen Funktion verwendet werden, mithin die Verarbeitung dem Zweck nach unternehmens- bzw. berufsbezogen ist, ist davon auszugehen, dass die Interessenabwägung wegen der hohen Relevanz der werblichen Datenverarbeitung in diesem Umfeld zulässig ist. Hier wird die Grenze durch das Widerspruchsrecht der betroffenen Personen gezogen. Bedeutsam sind auch der Umfang und die Art der Verarbeitung in technischorganisatorischer Hinsicht, darin eingeschlossen die Möglichkeit mittels einer Verarbeitung pseudonymisierter Daten das (werbliche) Interesse ebenso effektiv zu verwirklichen. Wechselbeziehungen dergestalt, dass ein Mehr in einem bestimmten Bereich (z.B. Datenminimierung und Pseudonymisierung gemäß Art. 4 Nr. 5) andere Umstände (z.B. hinsichtlich des Umfangs und der Vielzahl von Verarbeitungsvorgängen oder der dabei erfassten Datenarten) ausgleichen können, fließen in die risikobasierte Abwägungsentscheidung nach Art. 6 Abs. 1 lit. f ein.

c) Die vernünftige Erwartung betroffener Personen

Einen in der DSRL bislang nicht explizit textierten weiteren Faktor für die Abwägungsentscheidung enthält ErwG 47 S. 1. Im Rahmen der Interessengewichtung sind auf Seiten der betroffenen Person die „vernünftigen Erwartungen, die auf der Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.“ Hierdurch soll, worauf das Europäische Parlament großen Wert legte, die Interessenabwägung stärker konturiert werden.[28] Wie der ErwG ausführt, ist zu fragen, ob „eine betroffene Person“ zum Erhebungszeitpunkt und angesichts der Umstände, unter denen die Datenerhebung erfolgt, „vernünftigerweise absehen kann“, dass möglicherweise eine Verarbeitung für den in Rede stehenden Zweck erfolgen wird, so dass – wenn dies nicht der Fall ist – die gegen die Datenverarbeitung bestehenden Interessen „überwiegen können.“ Die somit einzunehmende Perspektive kann (und soll) dazu führen, überraschende Datenverarbeitungen, insbesondere wenn diese nicht direkt beim Betroffenen erfolgen, auszuschließen, was in Ermangelung einer § 4 Abs. 2 BDSG vergleichbaren Bestimmung (Direkterhebungsgrundsatz) in der DS-GVO nachvollziehbar ist. Um die „vernünftigen Erwartungen“ ermitteln zu können, ist es zunächst erforderlich, den Erhebungs- und Verarbeitungskontext umfänglich zu analysieren. Über die hierin liegende Anleitung zur Durchführung der Interessenabwägung hinaus, kommt damit auch eine grundsätzliche Wertungsentscheidung des europäischen Gesetzgebers zum Ausdruck. Denn bei der Situationsanalyse und dem durchzuführenden Abgleich mit dem Erwartungshorizont der betroffenen Person ist kein subjektiv-persönlicher, sondern ein objektivnormativer Maßstab anzulegen.[29] Gerade bei Angeboten, die durch datengetriebene Werbung finanziert werden, bedeutet dies einen veritablen Beitrag zur Rationalisierung der Abwägungsentscheidung. Das Stattfinden einer Datenverarbeitung kann bei verständiger Betrachtung demzufolge bereits situativ naheliegen.[30] Jedenfalls aber ist hierüber zu informieren, Art. 13, 14. Die vernünftige Erwartungshaltung der betroffenen Person wird in Ansehung ihres Verhältnis – ses zum Verantwortlichen eben durch die Informationsvermittlung gemäß dem Programm der Art. 13, 14 ausschlaggebend determiniert. Wird dabei den Anforderungen der DS-GVO entsprochen, wird es in aller Regel zugleich ausgeschlossen sein, von einer entgegenstehenden vernünftigen Erwartungshaltung auszugehen.[31] Die damit bewirkte Objektivierung der Interessenabwägung mit den Mitteln der DSGVO ist ein wesentlicher Fortschritt und sollte von den Unternehmen bei der Umsetzung ihrer werbewirtschaftlichen Geschäftsmodelle beachtet werden. Bei der Interpretation der DS-GVO durch die Aufsichtsbehörden oder qualifizierte Stellen muss diesem Zusammenhang Rechnung getragen werden.

III. Informationspflichten nach der DS-GVO

Die Verarbeitung von Daten, insbesondere bereits ihre Erhebung, ist nach der DS-GVO mit Informationspflichten für den Verantwortlichen verknüpft. Dies gilt für sämtliche Erlaubnistatbestände, denn der europäische Gesetzgeber will die Datenverarbeitung für die betroffene Person in jedem Fall und für alle Situationen – bei Direkterhebung (Art. 13) wie auch, wenn die Erhebung aus öffentlichen Quellen oder bei Dritten, jedenfalls nicht bei der betroffenen Person erfolgt (Art. 14) – nachvollziehbar machen (s. Art. 5 Abs. 1 lit. a).[32]

Erhebliche Neuerungen ergeben sich daraus, dass der Umfang und teilweise auch die Qualität der verlangten Informationen ungemein angewachsen sind. Ob diese Transparenzoffensive für jeden Einzelpunkt und in der Summe praktisch überzeugend ist, darf bezweifelt werden. Das Bouquet an Angaben, das nach den jeweiligen Absätzen von Art. 13, 14 „mitzuteilen“ (jeweils Abs. 1) oder „zur Verfügung zu stellen“ ist (jeweils Abs. 2), was in der Sache keinen Unterscheid macht, dürfte die Grenzen des praktisch noch sinnvoll Darstellbaren leicht überschreiten und, was schwerer wiegt, die Rezeptionsmöglichkeiten der betroffenen Person oftmals glatt überfordern. Damit würde der im Datenschutzrecht beklagten „information blindness“ der Verbraucher nicht abgeholfen, sie möglicherweise sogar befördert.[33]

1. Ausgewählte Pflichten nach dem Informationsprogramm der Art. 13, 14

Die Kataloge von Art. 13 Abs. 1, 2 und Art. 14 Abs. 1, 2 sind aus sich heraus weitgehend verständlich, und sie unterscheiden sich nur marginal voneinander. Im Zusammenhang mit Verarbeitungen zu werblichen Zwecken bedeutsam sind insbesondere die nachfolgenden Aspekte: Besonderes Augenmerk ist, wie bereits im Zusammenhang mit der Interessenabwägung erwähnt, im werbewirtschaftlichen Bereich auf die Darlegung des berechtigten Interesses im Sinne von Art. 6 Abs. 1 lit. f zu legen (Art. 13 Abs. 1 lit. d, Art. 14 Abs. 2 lit. b). Nach Art. 14 Abs. 2 lit. f muss die Datenquelle, aus der die Daten stammen und ihr Status als möglicherweise öffentlich zugängliche Quelle, angegeben werden, womit die Herkunftsangaben nach dem BDSG für die Fälle transparenter Nutzung und für die Übermittlung von (Adress)Daten zu Werbezwecken (s. § 28 Abs. 3 S. 4, 5 BDSG) „vergemeinschaftet“ werden. Sofern im Zeitpunkt der Zweckbestimmung der Datenverarbeitung die späteren Empfänger einer Datenübermittlung noch nicht feststehen, zum Beispiel bei der Übermittlung an mehrere Werbungtreibende, reicht für die Informations erteilung gegenüber der betroffenen Person zum Zeitpunkt der Datenerhebung die Angabe von Kategorien von Em pfängern, Art. 13 Abs. 1 lit. e.[34] Die Informationsverpflichtung gemäß Art. 13 Abs. 1 lit. f und Art. 14 Abs. 2 lit. g ist in Bezug auf werbewirtschaftliche Selektionsmaßnahmen (z.B. Werbescoring und Zielgruppensegmentbildungen bei nutzungsbasierter Online-Werbung) dagegen nicht anwendbar.[35]

2. Informationszeitpunkte

Der relevante Zeitpunkt für die Informationsangabe ist bei Art. 13 Abs. 1, 2 einheitlich der Zeitpunkt der Datenerhebung.[36] Liegt keine Direkterhebung vor, etwa wenn Daten aus öffentlichen Quellen verwendet werden, muss die DSGVO naturgemäß auf einen anderen Anknüpfungspunkt abstellen und stellt hierfür sogar mehrere zur Verfügung: Werden die Daten zur Kommunikation mit dem Betroffenen verwendet, also insbesondere Adressdaten oder die E-MailAdresse, ist die betroffene Person nach Art. 14 Abs. 3 lit. b spätestens zum Zeitpunkt der ersten werblichen Ansprache zu informieren. Ist die Offenlegung der Daten gegenüber Dritten beabsichtigt, sind die Informationen spätestens zum Zeitpunkt der Offenlegung mitzuteilen, Art. 14 Abs. 3 lit. c. Ansonsten legt Art. 14 Abs. 3 lit. a fest, dass die erforderlichen Informationen „innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats“ zu erteilen sind. Das Verhältnis dieser Fristbestimmung zu den beiden anderen Tatbeständen des Absatzes ist auslegungsbedürftig. Wortlaut, Systematik und Zweck der Gesamtregelung sprechen dafür, lit. a keine Maximalfrist zu entnehmen, sondern die Zeitpunkte nach lit. b und c als abschließende spezielle Vorgaben für die dort normierten Verarbeitungszwecke einzuordnen.

Sofern der für die Verarbeitung Verantwortliche die Daten für einen anderen Zweck weiterverarbeiten will als den, für den die personenbezogenen Daten initial erhoben wurden, müssen dem Betroffenen die Informationen über den anderen Zweck und alle anderen maßgeblichen Informationen nach Art. 13 Abs. 2 DS-GVO zur Verfügung gestellt werden (Art. 13 Abs. 3 DS-GVO). Der maßgebliche Zeitpunkt lautet hier „vor dieser Weiterverarbeitung“.[37] Dies ist kommunikativ eine erhebliche Herausforderung und kann den Zweck der Datenverarbeitung, insbesondere von Big-Data Analysen oder Selektionsmaßnahmen, erschweren, nämlich wenn sich die betroffene Person hiernach auf das Widerspruchsrecht beruft. Insofern ist das Nachdenken über nationale Ausnahmeregelungen im Gefolge von Art. 23 verständlich, und zwar nicht nur für nach der DS-GVO privilegierte Verarbeitungen. Verantwortliche sind daher gut beraten, möglichst umfassend bereits zum Zeitpunkt der Zweckfestlegung mögliche werbewirtschaftliche Nutzungsszenarien zu bedenken, zum Gegenstand der Zweckfestlegung zu machen und demzufolge zum dann relevanten Zeitpunkt der Datenerhebung das Informationsprogramm abzuarbeiten. In diesem Fall liegt keine Zweckänderung vor, die Zulässigkeit der Verarbeitung richtet sich allein nach Art. 6 Abs. 1 lit. f, wobei die vernünftige Erwartungshaltung der betroffenen Person wegen ihrer Informiertheit regelmäßig nicht entgegenstehen wird. Dies trifft insbesondere auf Fälle der Übermittlung für Werbezwecke Dritter und werbliche Nutzungen von personenbezogenen Daten im Fremdinteresse zu. Freilich wird es auch zukünftig Fälle geben, bei denen eine spätere Zweckänderung nicht vorhersehbar oder rechtssicher ausgestaltbar ist, so dass die Informationsverpflichtung vor der Weiterverarbeitung nach Art. 13 Abs. 3, Art. 14 Abs. 3 praktisch relevant sein wird.[38]

3. Die Modalitäten der Informationsvermittlung

Fraglich ist, ob Abschichtungen und gestufte Informationskonzepte unter der DS-GVO möglich sind. Einen entsprechenden Bedarf wird man kaum leugnen können: mit Blick auf die Verständnismöglichkeiten der Rezipienten und insbesondere bei räumlich und zeitlich begrenzten Ressourcen (Postkarten, Mailings und telefonische Datenerhebung). Schließlich sind nur sehr wenige gesetzliche Ausnahmen vom Informationsprogramm der Art. 13, 14 vorgesehen. Dies ist unter dem BDSG betreffend die Information bei Direkterhebung nicht wesentlich anders, freilich ist hier der Umfang der Informationsverpflichtungen spürbar geringer.[39] Für die Informationspflichten nach Art. 14 sind die Ausnahmen zwar weitreichender (Art. 14 Abs. 5 lit. b). Verglichen mit dem Katalog des § 33 BDSG, insbesondere nach dessen Abs. 1 S. 3, Abs. 2 Nr. 2, 7, 8, ist die Reichweite aber beschränkt.

Die aufgeworfene Frage ist zu bejahen, allerdings ist die Bemessung des Spielraums für geschichtete Informationsmaßnahmen zukünftig maßgeblich von der Interpretation der Regelungen durch die Aufsichtsbehörden und die Gerichte abhängig. Insbesondere im Bereich der digitalen Werbewirtschaft könnte es zielführend sein, mittels entsprechender code of conducts (Art. 40 ff), überzeugende Lösungen auf einheitlicher Basis im Dialog mit dem European Data Protection Board zu entwickeln.

In der Binnenstruktur knüpfen die Regelungen der DS-GVO an die aus der DSRL bekannte Systematik an. Es ist zu unterscheiden zwischen Pflichtinformationen (jeweils in Abs. 1 von Art. 13 und 14) und solchen, die „notwendig“ (Art. 13 Abs. 2) oder „erforderlich“ (Art. 14 Abs. 2) sind, um „eine faire und transparente Verarbeitung zu gewährleisten.“ Ob der unterschiedlichen Terminologie bei Art. 13 Abs. 2 und Art. 14 Abs. 2 Bedeutung zukommt, ist unklar, wichtig ist aber die in beiden Vorschriften zum Ausdruck kommende Unterscheidung zwischen Basisinformationen und weiteren Informationen, die erst unter qualifizierten Voraussetzungen zu erteilen sind. Die im Normtext formulierte Abstufung ist als Ausdruck des Verhältnismäßigkeitsprinzips ernst zu nehmen. ErwG 60 S. 2 drückt diese Weichenstellung so aus: „Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.“ Für die Praxis ist dies allerdings wenig „griffig“. Wenn technisch und organisatorisch umsetzbar (und mit Blick auf Art. 6 Abs. 1 lit. f), empfiehlt es sich daher, die Informationspflichten auf breiter Basis wahrzunehmen.

Für die Art und Weise der Informationserteilung gilt nach Art. 12 Abs. 1 S. 1, dass die Angaben in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ und in einer „einfachen Sprache“ zu erfolgen haben.[40] Selbstverständlich wird dies bedeuten, die entsprechenden Informationen im Internet in der Sprache des jeweiligen Landes, an die sich ein Dienst richtet bzw. in dem er bestimmungsgemäß aufgerufen werden kann, zu formulieren. Hinsichtlich der Form macht die DS-GVO keine exklusiven Vorgaben. Art. 12 Abs. 1 S. 2 listet wie folgt auf: „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ oder, sofern vom Betroffenen verlangt, auch „mündlich, wenn die Identität der betroffenen Person in anderer Form nachgewiesen wurde“. Der Einsatz einer strukturierten und speicherbaren Datenschutzerklärung mit den Angaben zur werblichen Datenverarbeitung ist (bei Telemedien) demzufolge möglich und anzuraten, wobei der leichte Zugang hierzu eine wesentliche Voraussetzung für die Rechtmäßigkeit der Informationserteilung sein wird. Für den Hinweis hierauf empfiehlt sich idealerweise ein kurzer („sprechender“) Link, der hinreichend deutlich platziert wird. ErwG 58 greift Situationen auf, bei denen eine große Anzahl an Datenverarbeitungsvorgängen und komplexen Technologien es betroffenen Personen erschweren, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck Daten verarbeitet werden – und referenziert dabei ausdrücklich auf die „Werbung im Internet.“ Vor der Folie von Real-Time-Advertising und Programmatic-Ad-Plattformen mit einer Vielzahl hieran angebundener Beteiligten ist dies verständlich. Die in ErwG 58 aufgezeigte Möglichkeit, die Informationen gesondert auf einer öffentlich zugänglichen Webseite zu vermitteln, wird man hier, wie auch in anderen Zusammenhängen, als Hinweis auf die Nutzung von Mehrebenen-Informationsprogrammen verstehen können, so wie sie von der Art. 29-Arbeitsgruppe bereits unter der DSRL propagiert wurden.[41] Freilich werden auch solche gestuften Informationsvermittlungen einerseits die differenzierte Systematik von Art. 13, 14 zu beachten haben, zum anderen sind solche Programme gerade bei einer Vielzahl von Verantwortlichen, gemeinschaftlich Verantwortlichen und Auftragsverarbeitern anspruchsvoll und bedürfen detaillierter interner Regelungen (s. Art. 26, 28).

4. Folgen von Transparenzverstößen

Verstöße gegen die Art. 13 oder Art. 14 sind einheitlich bußgeldbewehrt, Art. 83 Abs. 5 lit. b. Wie dargelegt, hat die Transparenz der Datenverarbeitung im Rahmen von Art. 6 Abs. 1 lit. f als zentraler Abwägungsfaktor besondere Bedeutung. Mängel wirken sich potentiell negativ auf das Ergebnis der Interessenabwägung nach Art. 6 Abs. 1 lit. f aus und können so mitursächlich für die Unzulässigkeit der Verarbeitung sein, wobei hier die jeweilige Verarbeitungskonstellation und die betroffene Informationspflicht genau zu bewerten sind.[42] Weitere unmittelbare Rechtsfolgen sind mit Transparenzmängeln hingegen nicht verbunden. Die DSGVO begreift die Transparenz der Datenverarbeitung als Ausfluss des Grundsatzes von Treu und Glauben (s. ErwG. 39), differenziert aber zwischen Rechtmäßigkeit, Treu und Glauben und Transparenz (Art. 5 Abs. 1 lit. a). Zudem sind die Art. 13, 14 bei den Betroffenenrechten, die im Falle unrechtmäßiger Datenverarbeitung zum Zuge kommen (Art. 17, 18), nicht spezifisch genannt. Insofern ist davon auszugehen, dass Transparenzverstöße nicht unmittelbar und automatisch zur Rechtswidrigkeit der gesamten Datenverarbeitung führen.[43]

IV. Werbewiderspruch

Als (notwendige) Ergänzung der einwilligungslosen Datenverarbeitungsbefugnis nach Art. 6 Abs. 1 lit. f sieht die DSGVO in Art. 21 mehrere Widerspruchsrechte der betroffenen Person vor, darunter auch die für „Direktmarketing“[44] spezielle Regelung in Art. 21 Abs. 2. Das Recht zum Widerspruch gegen eine diesem Zweck dienende Datenverarbeitung kann jederzeit ausgeübt werden und ist nicht an das Vorliegen weiterer formaler oder materieller Voraussetzungen geknüpft, so dass für die betroffene Person auch keine Begründungspflicht besteht. Die Ermittlung des Betroffenenwillens durch Auslegung – die Formulierungsvarianten eines Widerspruchs sind nahezu unzählbar – ist somit weiterhin vorzunehmen. Nach Art. 21 Abs. 5 kann das Widerspruchsrecht in Bezug auf die Nutzung von Diensten der Informationswirtschaft auch durch automatisierte Verfahren, bei denen technische Spezifikationen verwendet werden, ausgeübt werden. Praktiken wie die Einrichtung von Opt-OutLinks bei der Verwendung von Webseitenana lyseprogrammen werden von den Aufsichtsbehörden in Deutschland bereits anerkannt.[45] Insofern hat die Regelung lediglich bekräftigenden Charakter. Im Hinblick auf das Widerspruchsrecht gegenüber nutzungsbasierter Online-Werbung kann die Regelung als Hinweis auf die Akzeptanz branchenweiter OptOut-Plattformen und deren Rechtserheblichkeit gedeutet werden.[46] Zutreffend ist die Beobachtung, dass die Regelung als das Negativ zu der von der DS-GVO anerkannten Möglichkeit, Einwilligungen durch proaktive Handhabung technischer Spezifikationen zu erteilen (z.B. Browsereinstellungen), angesehen werden kann.[47] Soweit in diesem Zusammenhang jedoch auf „entsprechende technische Standards (z.B. „do not track“)“ verwiesen wird, an die (rechtspolitisch betrachtet?) über die Norm angeknüpft werden könnte, kann dies nicht überzeugen.[48] Der Wortlaut von Art. 21 (Abs. 2: „einzulegen“; Abs. 5: „ausüben“) und die Systematik der Betroffenenrechte nach der DS-GVO schließen es jedenfalls aus, das Widerspruchsrecht als technisch voreingestellten Standard (mit entsprechender Rechtsverbindlichkeit) aufzufassen, weshalb der Verweis auf „do not track“ (DNT) an dieser Stelle nicht recht durchdacht erscheint.[49] Das Widerspruchsrecht umfasst auch den Datenverarbeitungstatbestand des Profiling im Sinne von Art. 4 Nr. 4 „soweit es mit solcher Direktwerbung in Verbindung steht.“ Damit unterliegen (interne) Selektionsmaßnahmen (Werbescoring) und Datenverarbeitungsvorgänge zwecks Bildung von Zielgruppensegmenten bei der Online-Werbung ebenfalls dem Widerspruchsrecht.

Rechtsfolge des Widerspruchs ist die Unzulässigkeit der hiervon erfassten weiteren Datenverarbeitung, Art. 21 Abs. 3. Der Löschanspruch des Betroffenen und die hieraus folgende Löschpflicht des Verantwortlichen wird gemäß Art. 17 Abs. 1 lit. c durch den Werbewiderspruch ausgelöst. Auch wenn die DS-GVO das Recht auf Sperrung in Form einer Sperrdatei im Zusammenhang mit dem Werbewiderspruch nicht regelt und die Einschränkung der Verarbeitung gemäß Art. 18 als das funktionale Äquivalent zur Sperrung nach dem BDSG (§ 20 Abs. 3, 4, § 35 Abs. 3, 4, § 28 Abs. 4 S. 3 BDSG) den Werbewiderspruch nicht erwähnt, wird man davon ausgehen können, dass die Überführung der von dem Widerspruch betroffenen Daten in eine Sperrdatei weiterhin möglich ist. Hierdurch wird dem Willen des Widersprechenden, in Zukunft die werbliche Datenverarbeitung auszuschließen, effektiv Rechnung getragen.

Über das Bestehen des Widerspruchsrechts im Sinne von Art. 21 Abs. 2 ist zu informieren, Art. 21 Abs. 4. Die Pflicht zum Hinweis auf das Widerspruchsrecht umfasst auch den Tatbestand eines etwaigen werbewirtschaftlichen Profilings, wobei es überdehnt und für die Betroffenen aller Wahrscheinlichkeit nach auch wenig erkenntnisreich wäre, zu verlangen, hierbei den Begriff „Profiling“ kommunikativ zu verwenden. Als spätester Zeitpunkt für den Hinweis auf das Widerspruchsrecht gilt gemäß Art. 21 Abs. 4 DS-GVO der Zeitpunkt der „ersten Kommunikation“, mithin also der werblichen Kontaktaufnahme. Art. 13 Abs. 2 lit. b stellt demgegenüber darauf ab, im Zeitpunkt der Datenerhebung auf das Widerspruchsrecht hinzuweisen, wenn dies notwendig ist, um eine „faire und transparente Verarbeitung zu gewährleisten.“ Daraus folgt, Art. 21 Abs. 4 als die speziellere Norm gegenüber der allgemeineren Formulierung in Art. 13 einzuordnen und vorrangig anzuwenden, jedenfalls soweit nicht die qualifizierten Voraussetzungen des Art. 13 Abs. 2 klar gegeben sind. Für die Praxis anzuraten ist aber, die Informationen über das Widerspruchsrecht nicht nur in einer Art. 21 Abs. 4 gemäßen Art und Weise, also in einer verständlichen und von anderen Informationen getrennten Form zu erteilen.[50] Eine möglichst frühzeitige, zum Zeitpunkt der Erhebung erteilte Information (s. § 28 Abs. 4 S. 2 BDSG, § 13 Abs. 1 i.V.m § 15 Abs. 3 S. 2 TMG) ist nicht nur als vertrauensbildende Maßnahme vorteilhaft, sie wirkt sich auch in rechtlich relevanter Weise positiv auf die vernünftige Erwartungshaltung der betroffenen Person und damit eine entscheidende Determinante der Interessenabwägung aus.

V. Szenarien werbewirtschaftlicher Datenverarbeitung unter der DS-GVO

Die Annahme, dass sich die einwilligungslose Datenverarbeitungsbefugnis nach der DS-GVO in der Legitimation der nach dem nationalen Recht für zulässig erachteten werbewirtschaftlichen Datenverarbeitungen erschöpft, mithin lediglich die Begründungen ausgetauscht werden, würde weder den bisherigen nationalen Eigenheiten des BDSG und TMG gerecht noch den zuvor dargelegten inhaltlichen und systematischen Neuerungen durch die DS-GVO hinreichend Rechnung tragen. Die nachfolgenden Anwendungsfälle zeigen die Kontinuitäten und Neuerungen konkreter auf. Dabei muss die Thematik „Zweckänderung“ einbezogen werden. Jede Datenverarbeitung unterliegt dem Kompatibilitätstest des Art. 6 Abs. 4, wenn sich die Zweckbestimmung nicht bereits als Gegenstand des ursprünglichen Erhebungszwecks darstellt.[51]

1. Bestandkundenwerbung

Der auf die Interessenabwägung gestützten Verarbeitung von Daten zwecks Bewerbung von Bestandskunden stehen unter der DS-GVO keinerlei Einwände entgegen. Daten, die im Zusammenhang mit einer Vertragsbeziehung (Bestandsdaten) erhoben und verarbeitet werden, können zur werblichen Ansprache der Bestandskunden von dem verantwortlichen Unternehmen verarbeitet werden.[52] Dies gilt in folgenden Konstellationen: wenn das verantwortliche Unternehmen neben der Zweckbestimmung der Vertrags abwicklung den weiteren, an die Vertragsabwicklung anschließenden Zweck der Bestandskundenwerbung bereits initial definiert und zum Erhebungszeitpunkt hierüber gemäß Art. 13 Abs. 1 informiert hat, ebenso aber auch, wenn die Ver arbeitung zwecks Werbung nicht bereits zum Erhebungs zeitpunkt festgelegt wurde. Für den ersten Fall ist es un problematisch, dass die Verarbeitung der Daten auf zwei Erlaubnistatbeständen – Vertragsdatenverarbeitung und Interessenabwägung – beruht, und auch das Kopplungsverbot ist bei solchermaßen rein gesetzlich le gitimierter Verarbeitung nicht betroffen.[53] Das berechtigte Interesse im Sinne von Art. 6 Abs. 1 lit. f ist, wie ErwG 47 ausweist[54], gegeben und durch die Information nach Art. 13, einschließlich des Hinweises auf das Widerspruchsrecht, wird keine vernünftigerweise entgegenstehende Erwartungshaltung anzunehmen sein. Die Thematik einer zweckändernden Datenverarbeitung stellt sich zudem nicht.[55]

Auch im zweiten Fall, wenn der Verantwortliche es unterlassen hat, den Zweck der sich anschließenden werblichen Nutzung der Daten schon im Zeitpunkt der Datenerhebung zu definieren und den Betroffenen hierüber zu informieren, bestehen gegenüber einer späteren werblichen Nutzung der Daten keine durchschlagenden Bedenken. Die werbliche Verarbeitung von ursprünglich im Rahmen eines Vertragsverhältnisses erhobenen Daten ist unter Anwendung der Kriterien des Kompatibilitätstests[56] (Art. 6 Abs. 4 lit. a-e) als mit dem ursprünglichen Zweck vereinbare und damit zulässige Weiterverarbeitung anzusehen.[57] Der Adressat steht in rechtsgeschäftlicher Beziehung mit dem Verantwortlichen, ist sein Kunde, und die werbliche Ansprache durch den Vertragspartner liegt hier nach verständiger Lebenserwartung sehr nahe, jedenfalls solange kein Widerspruch erfolgt ist (s. Abs. 4 lit. a, b). Zudem sind die Folgen der Weiterverarbeitung in diesem Verhältnis lokalisiert und damit äußerst gering (s. Abs. 4 lit. d). Werden hierbei – wie heutzutage unschwer möglich (und üblich) – Selektionskriterien eingesetzt, führt dies dazu, dass die Ansprache interessengerecht erfolgt (s. Abs. 4 lit. d). Schließlich und letztlich ist die Vorabinformationspflicht nach Art. 13 Abs. 3 zu beachten, durch die die betroffene Person geschützt wird und die im Rahmen des Tests nach Art. 6 Abs. 4 lit. a, b positiv beachtlich ist. Die Bestandskundenwerbung gegenüber Verbrauchern (und erst Recht im berufsbezogenen Umfeld[58]) muss nach alledem als der Paradefall einer kompatiblen Datenverarbeitung angesehen werden.

2. Selektionsmaßnahmen und Werbescoring

Beim Werbescoring[59] werden im Vorfeld einer werblichen Kontaktaufnahme zu dem Zweck, den in Frage kommenden Kanal oder die Reaktion auf die Bewerbung zu prognostizieren (Werbe- bzw. Zielgruppenselektion) oder um Produkte zu identifizieren, für die ein Kunde oder potenzieller Kunde Interesse haben könnte, Selektionskriterien verarbeitet. Sie können von anderen Marktteilnehmern, aus öffentlich zugänglichen Quellen oder von Datendienstleistern stammen. Der Zweck der Datenverarbeitung ist klar: Der Verantwortliche vermeidet Fehlallokationen, für die Betroffenen werden potentielle Belästigungen ausgefiltert. Bei dem regelmäßig automatisierten Vorgang des Hinzuspeicherns, Zusammenführens, Abgleichens und Auswertens werden statistische oder aggregierte Daten verwendet. Werden hierbei auch personenbezogene Daten verarbeitet oder sind sie im Sinne einer Personenbeziehbarkeit betroffen[60] – dann wird regelmäßig zugleich der Begriff des Profiling im Sinne der Legaldefinition nach Art. 4 Nr. 4 erfüllt sein –, ist auch dies grundsätzlich ohne Einwilligung des Betroffenen möglich, solange hiergegen kein Widerspruch erhoben wird. Die ausdrückliche Bezugnahme auf Profiling in Art. § 21 Abs. 2 muss als normative Wertentscheidung für die Zulässigkeit entsprechender Vorfeldmaßnahmen gedeutet werden. Die qualifizierten Voraussetzungen für das Verbot mit Erlaubnisvorbehalt betreffend „Automatisierte Entscheidungen im Einzelfall, einschließlich Profiling“ (Art. 22 Abs. 1) sichert diesen Befund gesetzessystematisch ab. Die Score- und Selektionsvorgänge zum Zwecke der Effektivierung der werblichen Ansprache erfüllen nicht die Tatbestandsmerkmale des Art. 22 Abs. 1 DS-GVO, die eine „rechtliche Wirkung“ oder eine „erhebliche Beeinträchtigung“ der betroffenen Person in „ähnlicher Weise“ verlangen.[61] Die Grenzen entsprechender Maßnahmen hängen im Rahmen der Interessenabwägung gemäß Art. 6 Abs. 1 lit. f von den jeweiligen Umständen des Einzelfalls ab. Maßgebliche Aspekte hierfür sind neben der Rechtmäßigkeit der Quelle auch der Status der Selektionskriterien, etwa im Falle einer Entnahme aus öffentlichen Quellen. Die Regelung des BDSG, wonach das Hinzuspeichern von Daten zu Listendaten beschränkt auf bestimmte Zwecke bzw. Verarbeitungssituationen zulässig ist (§ 28 Abs. 3 S. 3), wird als verbindliche Festlegung unter der DS-GVO dagegen nicht mehr haltbar sein. Bei umfänglichen und kleinteiligen Datensätzen bzw. Merkmalen wird ein überwiegendes entgegenstehendes Interesse in der Tendenz aber eher anzunehmen sein.[62] Dies gilt jedenfalls solange, wie die in einem solchen Fall im Prinzip höheren Schutzinteressen nicht durch Maßnahmen wie Aggregation oder Pseudonymisierung von Selektionskriterien gemäß Art. 4 Nr. 5 hinreichend kompensiert werden. Letzteres ist auch in Betracht zu ziehen, wenn die hinzu zu speichernden Daten den Tatbestand der Zweckänderung erfüllen, weil hierüber die Vereinbarkeit der Verwendungszwecke nach dem Katalog des Art. 6 Abs. 4 (insbesondere lit. e) befördert werden kann. Die Transparenzvorgaben nach Art. 13, 14 sind auch hier zu beachten.

3. Werbung für fremde Angebote (Nutzung oder Übermittlung von Daten zu Werbezwecken Dritter)

Sofern die bislang mit § 28 Abs. 3 S. 5 BDSG in Verbindung gebrachte Konstellation der Beipack- und Empfehlungswerbung betroffen ist und dabei eine Datenverarbeitung stattfindet, was voraussetzt, dass die Werbemittel an selektierte, individualisierte Adressen versendet werden sollen[63], ist nach dem Wegfall der BDSG-Regelung und vor dem Hintergrund, dass die DS-GVO eine entsprechende Regelung nicht kennt, von Folgendem auszugehen: Der Datenverarbeitung steht nichts entgegen, wenn entsprechend zur Situation der Datenerhebung bei der Bestandskundenwerbung keine Zweckänderung vorliegt und die Informationspflichten nach Art. 13, einschließlich des Hinweises auf das Widerspruchsrecht bei der Datenerhebung, erfüllt sind. Entgegenstehenden Interessen der betroffenen Person werden dann nicht überwiegen. Durch das Vorziehen des Informationsprogramms kann jedenfalls nicht angenommen werden, dass die „reasonable expectations“ des Betroffenen im datenschutzrechtlichen Sinn dieser etablierten Werbemechanik widersprechen. Zwar sind die Schutzinteressen der betroffenen Person unter Berücksichtigung der Tatsache zu bewerten, dass es beim Adressaten an einem kommerziellen Kontakt zum werbenden Unternehmen möglicherweise fehlte, die Interessen des Dritten sind aber in Art. 6 Abs. 1 lit. f explizit genannt und von der DS-GVO intendiert als berechtigte anerkannt (ErwG 47). Werden die bislang etablierten Verfahren informationeller Gewaltenteilung in Bezug auf die Nutzung von Daten für Dritte eingesetzt (Lettershopverfahren), wird man die Zulässigkeit der Interessenabwägung erst recht bejahen müssen.

Für die Übermittlung von Daten zu Werbezwecken (bislang § 28 Abs. 3 S. 4 BDSG) gilt im Ergebnis nichts anderes, wobei es für die Informationsvermittlung zum Zeitpunkt der Datenerhebung ausreicht, wenn die Empfänger nach Kategorien angegeben werden, Art. 13 Abs. 1 lit. f. Die starre Begrenzung auf Listendaten fällt auch hier zukünftig weg.[64] Wenn keine Direkterhebung vorliegt, ist auf die Quelle der Daten hinzuweisen (Art. 14 Abs. 2 lit. f, Abs. 3 lit. b).

Zu fragen ist, ob dies auch gilt, wenn die Verarbeitung für fremde Werbezwecke als Zweckänderung einzuordnen ist. Dies erfordert, erstens, die Analyse der Zweckbestimmung zum Erhebungszeitpunkt unter Beachtung der Umstände und Gegebenheiten des Einzelfalls und, zweitens, sofern eine Zweckänderung vorliegt, die Durchführung des Kompatibilitätstests durch den Verantwortlichen nach Art. 6 Abs. 4. Der Kompatibilitätstest ist nach dem Wortlaut der Norm nur dann nicht durchzuführen, wenn die zweckändernde Datenvereinbarung auf der Einwilligung des Betroffenen beruht oder durch eine unionsrechtliche oder mitgliedstaatliche Rechtsgrundlage im Korridor des Art. 23 geregelt wird.[65]

Sind somit die nicht abschließenden Kriterien in Abs. 4 lit. a-e maßgeblich, ist für ihre Anwendung zu beachten, dass sie nicht beziehungslos im Raum stehen, sondern vor dem Hintergrund der normativen Wertungen der DS-GVO auszulegen und in Ansatz zu bringen sind. Von vorne herein unschädlich ist daher, dass der Ersterhebungszweck durch den Verantwortlichen, der Weiterverarbeitungszweck durch einen Dritten verfolgt wird. Der Verarbeitungsbegriff der DS-GVO ist denkbar weit. Die Interessenabwägung nach Art. 6 Abs. 1 lit. f – obschon nicht mit Art. 6 Abs. 4 gleichzusetzen – strahlt auf den Kompatibilitätstest insofern aus, als dass die hierin enthaltene normative Wertung einer gleichrangigen Berücksichtigung von Drittinteressen als berechtigte Interessen in Art. 6 Abs. 1 lit. f dafür spricht, das in Abs. 4 lit. b erwähnte Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen in diesem Fall als hinreichend naheliegend für die Wertung „kompatibel“ einzuordnen.[66] Der in diesem Zusammenhang einschlägige ErwG 50 stellt zudem ebenfalls auf die vernünftige Erwartungshaltung der betroffenen Person ab. Werden die Informationspflichten gemäß Art. 13 Abs. 3 oder Art. 14 Abs. 4, die eine Verarbeitung zu anderen Zwecken ausdrücklich anerkennen und regeln, erfüllt, muss die Weiterverarbeitung als kompatibel angesehen werden. Auch die weiteren Kriterien des Art. 6 Abs. 4 sprechen für die Annahme der Zweckvereinbarkeit: Nennenswerte negative Folgen im datenschutzrechtlichen Sinne sind bei risikobasierter Betrachtungsweise für die Weitergabe von Adressdaten oder öffentlich zugänglichen Daten zwecks kommunikativer Ansprache von Verbrauchern (und erst Recht im berufsbezogenen Umfeld[67]) nicht anzunehmen (lit. d). Dies gilt erst recht, wenn die Übermittlung der Selektion und damit der interessengeleiteten Ansprache dient, was der zu vermutenden Interessenlage Betroffener gerade entgegenkommt. Für subjektiv andere Einschätzungen steht das Widerspruchsrecht nach Art. 21 Abs. 2 zur Verfügung. Andererseits: Wenn besonders schutzbedürftige Daten betroffen sind, steht die Vereinbarkeit unter besonderem Rechtfertigungszwang (lit. c). Wie bereits erwähnt, kann es auch in dieser Hinsicht bedeutsam sein, geeignete Garantien im Sinne von lit. f einzubauen, wozu auch der Einsatz von Lettershopverfahren gehört.

4. Nutzungsbasierte Online-Werbung (Targeting)

Wie ausgeführt, ist davon auszugehen, dass § 15 Abs. 3 TMG als die (außerhalb der einwilligungsbasierten Datenverarbeitung) bislang maßgebliche Regelung zur Bildung von Zielgruppensegmenten und einer hieran ausgerichteten Werbemittelauslieferung ab Verbindlichkeit der DSGVO nicht mehr zum Zug kommt.[68] Damit entfällt auch die vom deutschen Gesetzgeber vorgenommene, seit der Überarbeitung der ePrivacy-RL allerdings in Zweifel[69] gezogene, Interessenabwägung zugunsten der Zulässigkeit von Nutzungsprofilen bei Verwendung von Pseudonymen mit Widerspruchsmöglichkeit für werbliche Zwecke. Die Frage, inwiefern der Regelungsgehalt der Bestimmung in Art. 6 Abs. 1 lit. f aufgehoben ist, ist eine der drängenden Fragen, die an die DS-GVO (und die Aufsichtsbehörden) gestellt werden. Sie ist im Prinzip zu bejahen, allerdings ist diese Aussage sogleich mit der Einschränkung zu versehen, dass sich infolge des Fehlens eines normativen Rahmens, der sich dezidiert mit den Verarbeitungsszenarien, die gemeinhin unter dem Schlagwort „Big Data“ firmieren, auseinandersetzt, zunächst nur allgemeine Aussagen treffen lassen. Die grundsätzliche Zulässigkeit der Datenverarbeitung ist somit für die jeweils eingesetzten Technologien, die damit erzielbaren Datenverarbeitungsvorgänge und deren Resultate unter Berücksichtigung der jeweils verfolgten Zwecke zu überprüfen – was letztlich auf eine Einzelfallbetrachtung hinausläuft. Dass dies der Rechtssicherheit nicht förderlich ist, liegt auf der Hand. Der europäische Gesetzgeber konnte sich im (freilich etwas naiven) Vertrauen darauf, dass infolge des Marktortprinzips nicht nur die Vorteile, sondern auch die inhaltlichen Nachteile der DS-GVO alle Marktteilnehmer gleichermaßen treffen, aber dennoch nicht zu einer eigenen spezifischen Wertung durchringen, bzw. der Weg hierzu war politisch versperrt. Abzuwarten bleibt zudem, wie sich die Überarbeitung der ePrivacy-RL angesichts der durch die DS-GVO akzeptierten Parallelgeltung beider Regelungswerke auswirkt, insbesondere im Hinblick auf die von der Richtlinie bislang im Grundsatz geforderte Einwilligung für den Fall der Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Betroffenen oder Nutzers gespeichert sind (Art. 5 Abs. 3 ePrivacy-RL).

Sofern die in diesem Zusammenhang in Cookies oder mittels anderer Verfahren erzeugten und verwendeten IDs und sonstige Kennungen einen Personenbezug im Sinne von § 4 Abs. 1 Nr. 1 aufweisen[70], wovon die zukünftige Aufsichtspraxis in Kontinuität zu ihrer bisherigen Auffassung im Zweifel ausgehen dürfte[71], wird man die folgenden Leitlinien der Interessenabwägung nach Art. 6 Abs. 1 lit. f der DS-GVO zugrunde legen können: Nach ErwG 28 „kann die Anwendung der Pseudonymisierung auf personenbezogene Daten … die Risiken für die betroffenen Personen senken.“ Und um „Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen“, sollten nach ErwG 29 „Pseudonymisierungsmaßnahmen, die … eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein.“ Werden demzufolge – entsprechend der Definition in Art. 4 Nr. 5 – technische und organisatorische Maßnahmen ergriffen, die sicherstellen, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden, was nach der DS-GVO im Wege der Auftragsdatenverarbeitung oder durch klar getrennte Silos auch bei „demselben Verantwortlichen“ erfolgen kann, können pseudonymisierte Webnutzungsdaten oder Kaufverhaltensauswertungen zwecks Werbemittelauslieferungen als datenschutzkonform betrachtet werden. Entsprechend qualifizierte Datenerhebungs- und -nutzungsprozesse stellen auch im anbieterübergreifenden Zusammenhang und bei Cross-Device-Tracking nicht nur einen weiteren Fall des nach ErwG 47 berechtigten Interesses dar. Im Rahmen der erforderlichen Abwägung mit entgegenstehenden Interessen der betroffenen Personen ist wegen der durch eine Pseudonymisierung verwirklichten Trennung von aggregierten, nicht personenbeziehbaren Webnutzungsdaten und Klardaten, sofern diese überhaupt vorliegen[72], ein Umstand gegeben, der das informationelle Schutzinteresse der Betroffenen als nicht überwiegend erscheinen lässt. Freilich entbindet dies nicht von der Einzelfallprüfung im Licht der jeweiligen Verarbeitungstiefe bzw. der konkreten Umsetzung einer Pseudonymisierung. Solange aber eine Reidentifizierung (mittels Zusatzinformationen) durch technisch-organisatorische Maßnahmen in einer Weise eingehegt ist, die das Restrisiko, das qua Definition bei der Pseudonymisierung immer gegeben ist, nicht spürbar erhöht, sollte dies als normativ ausschlaggebend betrachtet werden. Der Zweck solcher Verarbeitungen, Nutzern interessenadäquate Werbung anzuzeigen, ist in informationeller Hinsicht durchgehend beachtlich, zumal entgegenstehende Interessen über das Widerspruchsrecht nach Art. 21 Abs. 2, 5 verwirklicht werden können. Bei transparenter Information hierüber und die anderen Informationspunkte nach Art. 13 wird auch hier die vernünftige Erwartungshaltung der Betroffenen in einer für das Ergebnis der Abwägung wesentlichen Weise determiniert. Die praktische Umsetzung der Transparenzvorgaben ist bei Einbindung einer Vielzahl von Verantwortlichen und Auftragsverarbeitern (Stichwort: Programmatic Buying) zwar anspruchsvoll, sie ist aber auf jeden Fall anzugehen, wobei sich hierfür Maßnahmen auf übergreifender Basis nach Art. 40 ff. in besonderer Weise eignen.

VI. Fazit

Mit der DS-GVO beginnt auch eine neue Zeitrechnung im Bereich des werbewirtschaftlichen Datenschutzes – allerdings keine dunkle Zeit. Die Rechtslage ist weiterhin komplex, die Verantwortlichen sind beim Erlaubnistatbestand der Interessenabwägung aber von den bisherigen Sondervoraussetzungen und -beschränkungen nach dem BDSG befreit. Deshalb und wegen der Verschränkung mit den (ausgeweiteten) Informationspflichten bestehen zugleich vielfache Gestaltungsmöglichkeiten, die die Unternehmen sinnvoll nutzen können, ohne dass dies zu Lasten der anerkennenswerten Schutzinteressen der betroffenen Personen gehen wird. Die Aufsichtsbehörden sollten diese Zusammenhänge im Rahmen der autonomen Auslegung der DS-GVO anerkennen und den Blick für das Machbare und (auch aus Betroffenensicht) Sinnvolle dabei nicht aus den Augen verlieren, insbesondere in Bezug auf die Umsetzungsanforderungen bei den Informationspflichten. Für die datengetriebenen digitalen Geschäftsmodelle der Werbewirtschaft kann die DS-GVO durchaus eine tragfähige Grundlage bieten, vorausgesetzt ihr starkes Signal zugunsten der Zulässigkeit einer interessenabwägenden Datenverarbeitung unter safeguards und mit Transparenz wird erhört und zügig in Rechtssicherheit umgesetzt. Diese Erkenntnis sollte der europäische Gesetzgeber bei der laufenden Überarbeitung der ePrivacy-RL bedenken und mitverarbeiten.

Pascal Tavanti Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Urheber- und Medienrecht, Partner der Scheuermann Westerhoff Strittmatter GbR, Standort Berlin, Mitglied des Ausschusses „Gewerblicher Rechtsschutz“ der Bundesrechtsanwaltskammer, Lehrbeauftragter an der Universität Potsdam, nebenamtlicher Prüfer beim Justizprüfungsamt Berlin-Brandenburg.

[1] Fortsetzung von Teil 1, RDV 2016, 231 ff. Alle Artikel und Erwägungsgründe (ErwG) ohne Gesetzesangabe beziehen sich auf die Datenschutzgrundverordnung (DS-GVO).

[2] Zum Verhältnis der Erlaubnistatbestände allgemein, RDV, 2016, 234 (Teil 1).

[3] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABL. EG Nr. L 281 v. 23.11.1995, S. 31.

[4] Wobei nach dem Sinn und Zweck der Erlaubnis zur Vertragsdatenverarbeitung nach Art. 6 Abs. 1 lit. b, Alt. 1 auch einseitige Schuldverhältnisse hierunter fallen, z.B. die Auslobung eines Gewinnspiels nach § 667 BGB. Für die Datenkategorien nach dem TMG steht ab Mitte 2018 keine gesonderte Rechtsgrundlage mehr zur Verfügung, s. RDV 2016, 232 f. (Teil 1). Damit die Verarbeitung von Nutzungsdaten Art. 6 Abs. 1 lit. b, 1. Alt. unterfällt, wird es, sofern es nicht um Telekommunikationsdienste nach § 3 Nr. 18 TKG geht – hier bleibt es einstweilen bei der Anwendbarkeit des TKG –, darauf ankommen, ob die Verarbeitung erforderlich ist, um die Inanspruchnahme eines Telemediums auf Basis eines vertraglichen oder quasi-vertraglichen Verhältnisses zu ermöglichen. Dies wird bei Log-In-Daten regelmäßig der Fall sein, ist hierauf aber nicht beschränkt. Ansonsten richtet sich die Verarbeitungsbefugnis nach Art. 6 Abs. 1 lit. f.

[5] Vgl. Anwendungshinweise des Düsseldorfer Kreises zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, September 2014, Ziffer 3.4

[6] Zur Bestandskundenwerbung nach Art. 6 Abs. 1 lit. f auf Basis der im Zusammenhang mit einer Vertragsbeziehung erhobenen Kundendaten, s. näher unter V, 1.

[7] Näher hierzu unter II, 1. a).

[8] Vgl. RDV 2016, 235 (Teil 1).

[9] Zu ausgewählten Anwendungsfällen, s. unten V.

[10] S. Art. 8 Abs. 2 GRCh: „… oder auf sonstigen gesetzlich geregelten legitimen Grundlagen verarbeitet werden“.

[11] Vgl. nur Schantz, NJW 2016, 1844: „Unverfälschtester Ausdruck der informationellen Selbstbestimmung ist die Einwilligung. In der Praxis droht sie aber leicht, zu einer Legitimationsfiktion zu werden“; Kamp/Rost, DuD 2013, 80 ff.

[12] Zum bisherigen Recht, vgl. nur Gola/Schomerus, BDSG, § 28 Rz. 24 und 30 zu den einzelnen Fallgruppen.

[13] Jüngst Hoch/Handrich/Pavel, Die ökonomische Bedeutung der Werbung, Deutsches Institut für Wirtschaftsforschung (DIW), Berlin, 2016.

[14] S. Tettinger, in: Sachs, Grundgesetz, Art. 12 Rz. 54 ff., Streinz, in: Corporate Social Responsibility (Hrsg.: Hilty, Hennig-Bodewig), S. 21 ff; Köhler, in Köhler/Bornkamm, UWG, Einl. Rz. 145.

[15] S. RDV 2016, 232 (Teil 1).

[16] S. ErwG 47 S. 3: „Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen …“.

[17] Die Wertung der DS-GVO entspricht dem BDSG zwar insoweit, als dass das berechtigte Interesse im Rahmen von § 28 Abs. 3 ebenfalls von Gesetz wegen anerkannt und nicht gesondert zu prüfen ist, die DSGVO geht hierüber aber insofern hinaus, als dass diese Wertung nicht mehr auf den Rahmen der tatbestandlichen Restriktionen des BDSG begrenzt wird. Die Interessenabwägung nach der DS-GVO kann daher als eine Art Verdichtung der bislang in § 28 Abs. 1 S. 1 Nr. 2, Abs. 2 S. 1 Nr. 1 und Nr. 2 lit. a BDSG enthaltenen Interessenabwägungen betrachtet werden

[18] S. Piltz, K&R 2016, 565, der „insbesondere direkte (insbesondere personalisierte) Ansprache der betroffenen Person … etwa durch E-Mails oder auch mit Werbeanzeigen und -bannern auf einer Webseite oder App“ erfasst sieht. Auch dies ist nur als beispielsweise Umschreibung zu verstehen, weil neben dem kommunikativen Kanal auch Maßnahmen im Vorfeld, insbesondere Selektionen und Zielgruppensegmentbildungen, als Datenverarbeitung zum Zwecke der Direktwerbung einzuordnen und damit als von der Aussage des ErwG erfasst anzusehen sind.

[19] Zur Definition der Unternehmensgruppe s. § 4 Nr. 19.

[20] Haben Konzerngesellschaften ihren Sitz in einem Drittland, sind weiterhin die allgemeinen Regeln zum Drittstaatentransfer zu beachten.

[21] Vgl. Drewes, ZD 2012, 117.

[22] Für die Melderegisterdaten sind die Voraussetzungen des § 44 BMG zu beachten; umfassend hierzu Schulz/Moukabary, PinG 2015, 238.

[23] Nach ErwG 14 unterfallen „personenbezogene Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen“ zwar nicht dem Anwendungsbereich der DS-GVO, was aus deutscher Sicht auch selbstverständlich ist, so dass die Verarbeitung und Nutzung des Namens und der Kontaktdaten juristischer Personen datenschutzrechtlich irrelevant ist. Dies dürfte, anknüpfend an die zur DSRL ergangenen Entscheidungen des EuGH v. 9.11.2010, C-92/09, C-93/09, aber nur solange gelten, wie die Firmierung oder Kontaktdaten keine unmittelbaren oder indirekten Rückschlüsse auf die hinter der juristischen Person stehende natürliche Person zulässt.

[24] Ungenau Schantz, NJW 2016, 1843, der Art. 6 Abs. 4 lit. f als „Verarbeitung auf der Basis überwiegender Interessen“ bezeichnet.

[25] Vgl. Anwendungshinweise des Düsseldorfer Kreises zur Werbung (Stand: September 2014), S. 4.

[26] S. RDV 2016, 232 (Teil 1).

[27] Hierzu Art. 29 Arbeitsgruppe, Opinion 06/2014, S. 33 ff; Bergmann/ Möhrle/Herb, BDSG, § 28 Rz. 240, 243; Wolff/Brink, Datenschutzrecht, § 28 Rz. 67; Gola/Schomerus, BDSG, § 28 Rn. 27.

[28] Albrecht, CR 2016, 92.

[29] So deutlich der englischsprachige Text der DS-GVO und die der deutschen (und allen anderen) Übersetzung zugrunde liegende Einigung zwischen EP, Rat und KOM v. 15.12.2015. Hier wird die Plural-Formulierung verwendet: „ … reasonable expectations of data subjects …“.

[30] Inwiefern im weithin werbefinanzierten (entgeltlosen) Consumer-Internet überhaupt nennenswerter Raum zur Bejahung der Nichtvorhersehbarkeit werbewirtschaftlicher Datenverarbeitungsvorgänge besteht, ist fraglich – jedenfalls in Bezug auf erwachsene Personen. Spätestens wenn aber Hinweise bei Aufruf einer Webseite, etwaige Ad-Blocking-Software abzuschalten, mit der Begründung erfolgen, dass der Webseitenbetreiber interessenbasierte Online-Werbung bzw. entsprechende Datenverarbeitungsprozesse zur Finanzierung des contents einsetzt, dürfte die Vorhersehbarkeit gegeben sein.

[31] Woraus aber nicht zugleich folgt, dass etwaige Verstöße gegen die Transparenzvorgaben einen Automatismus im Sinne zwingender Unwirksamkeit der Datenverarbeitung unter Art. 6 Abs. 1 lit. f auslösen. Näher zu den Transparenzmängeln, III, 4.

[32] Diese Zweispurigkeit der DS-GVO entspricht der DSRL (Art. 10, 11) und findet sich so bislang auch im BDSG (§ 4 Abs. 3, § 33 BDSG).

[33] Die Möglichkeit nach Art. 12 Abs. 7, Informationen mittels Bildsymbolen zu vermitteln, ist als Beitrag zur Reduktion von Komplexität deshalb nachvollziehbar, setzt die systemische Überkomplexität der DS-GVO in diesem Bereich aber auch voraus. Inwiefern hieraus fruchtbare Ansätze erwachsen, ist offen. Vorgehsehen ist nach Art. 12 Abs. 8, dass die EU-KOM im Wege delegierter Rechtssetzung die durch Bildsymbole darzustellenden Informationen und das Verfahren zur Bereitstellung der Bildsymbole regelt. Eine entsprechende Initiative ist bislang nicht bekannt.

[34] Ebenso Art. 14 Abs. 1 lit. e, wobei der Informationserteilungszeitpunkt nach Art. 14 Abs. 3 nach hinten verlagert wird.

[35] Zu Art. 22, s. unten V, 2.

[36] Zum Verhältnis zu Art. 21 Abs. 4, s. unten IV

[37] Ebenso Art. 14 Abs. 3 wenn keine Direkterhebung vorliegt.

[38] Zur Bedeutung der Informationserteilung für den Kompatibilitätstest nach Art. 6 Abs. 4, siehe unten V, 1., 3.

[39] Vgl. § 4 Abs. 3 BDSG. Nach Art. 13 Abs. 4 besteht die Pflicht zu informieren nicht, wenn und soweit die betroffene Person über die Informationen bereits verfügt, was mit sicherer Kenntnis gleichzusetzen sein dürfte. Kennenmüssen nach der vernünftigen Lebenserfahrung (s. § 4 Abs. 3 Nr. 3 BDSG) reicht hier wohl nicht.

[40] Ebenso ErwG 58. Ein geschärfter Maßstab soll gelten, wenn sich „die Informationen speziell an Kinder richten“, was jenseits der (von der DS-GVO offen gelassenen) Frage nach einer relevanten Altersgrenze nur einzelfallbezogen beurteilt werden kann.

[41] Art. 29-Arbeitsgruppe, Stellungnahme 10/2004 25.11.2004.

[42] Unterbleibt etwa die Bezeichnung der Rechtsgrundlage oder ist sie nicht korrekt, kann dies die Bestandskundenwerbung wohl kaum als materiell unzulässig qualifizieren.

[43] Ebenso Franck, RDV 2016, 116.

[44] Zum Begriff siehe oben II, 1

[45] Vgl. Düsseldorfer Kreis, Beschluss v. 26/27.11.2009; LDA Bayern, Hinweise zur Onlineprüfung „Google Analytics“; Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit v. 08.08.2011.

[46] Vgl. www.youronlinechoices.eu

[47] Schantz, NJW 2016, 1846.

[48] Schantz, a.a.O. ; Albrecht, CR 2016, 93.

[49] Im Übrigen hat die mit DNT befasste W3C Arbeitsgruppe bis dato weder eine begriffliche Konvention noch einen verbindlichen Standard formulieren können

[50] Wobei die Verortung in einer Datenschutzerklärung weiterhin zulässig sein wird, ebenso Gierschmann, ZD 2016, 54.

[51] Zur Vereinbarkeitsfrage nach der DSRL, s. Art. 29-Arbeitsgruppe, WP 203 vom 02.04.2013.

[52] Ebenso weiterhin auch Daten, die von Interessenten eines Unternehmens nach Art. 6 Abs. 1 lit. b („vorvertragliche Maßnahmen“) erhoben wurden, vgl. oben I.

[53] Vgl. RDV 2016, 235.

[54] S. dort: „ … , z.B. wenn die betroffene Person Kunde des Verantwortlichen ist“

[55] Gola/Schulz, K&R 2015, 613.

[56] Hierzu Dammann, ZD 2016, 312, der zu Recht darauf verweist, dass dieser Test nicht im Sinne einer „Wenn-Dann-Regel“ verfasst ist, sondern Prinzipien vorgibt, die der Verantwortliche bei Erfüllung des Tatbestands „Zweckänderung“ zu berücksichtigen hat.

[57] Eine solche Weiterverarbeitung ist als Datenverarbeitung auf Grundlage der initialen Rechtsgrundlage zu begreifen. Dies ist dogmatisch zwar gewöhnungsbedürftig, da ein kompatibler Zweck streng genommen ein anderer Zweck bleibt. ErwG 50, wonach es in diesem Fall keiner „gesonderten Rechtsgrundlage“ im Sinn von Art. 6 Abs. 1 bedarf, ist aber eindeutig, so dass diese Konsequenz als beabsichtigt anzusehen ist. A.A. aber Schantz, a.a.O., 1844, der für die Weiterverarbeitung „zu einem neuen Zweck … eine neue Rechtsgrundlage“ und („zusätzlich“) die Vereinbarkeit der Zwecke verlangen will, was aber weder vom Wortlaut von Art. 5 Abs. 1 lit. b, Art. 6 Abs. 4 noch der Systematik der DS-GVO gedeckt ist und eine glatte Obsoleszenzerklärung der Formulierung in ErwG 50 bedeutet. Die Frage, ob die Zweckbindungsregeln der DS-GVO in Bezug auf inkompatible Zwecke auf jeden Fall eine Datenneuerhebung erfordern oder ob nicht bei Vorliegen eines berechtigten Interesses, dem keine schutzwürdigen Interessen des Betroffenen entgegenstehen, der Umkehrschluss aus ErwG 50 zu ziehen ist, spielt hier also keine Rolle.

[58] Vgl. oben, II, 2 b).

[59] Zu Begriff und Struktur, s. Gola/Reif, Kundendatenschutz, Rz. 563, Mackenthun, in: Taeger/Gabel, BDSG, § 28b Rz. 17.

[60] Zur Legaldefinition nach § 4 Nr. 1 und ErwG 26, s. nur Piltz, K&R, 2016, 561, Schantz, a.a.O., 1842; zum bisherigen Streitstand unter der DSRL vgl. Brink/Eckhardt, ZD 2015, 205 ff., 209 und jüngst EuGH, Urteil v. 19.10.2016 – Rs. C-582/14 – Breyer (zum Personenbezug dynamischer IP Adressen in Bezug auf den Webseitenanbieter).

[61] So wohl auch Dammann, ZD 2016, 313, der die Regelung für Maßnahmen innerhalb von Vertragsverhältnissen (Konditionenfestlegung) als wohl nicht einschlägig betrachtet. Werbescoring u.ä. sind im Vorfeld rechtsgeschäftlicher Beziehungen angesiedelt.

[62] Da der tatbestandliche Bezugspunkt von ErwG 71 nicht eindeutig ist, bleibt die Formulierung „… Diese Maßnahme sollte kein Kind betreffen“ unklar. Die allgemeinen Grundsätze der Interessenabwägung sprechen aber dafür, dass die entgegenstehenden Interessen hier schon im Regelfall besonderes Gewicht haben.

[63] Werden die Werbemittel unterschiedslos als „Bulkware“ eingelegt, liegt keine Datenverarbeitung vor.

[64] Zu der gesondert zu betrachtenden wettbewerbsrechtlichen Situation bei der Nutzung von E-Mail-Adressen, s. BGH, K&R 2016, 597 – Freunde finden, m. Anm. Voogd.

[65] Der Verweis auf die Einwilligung erscheint in diesem Zusammenhang auf den ersten Blick verwunderlich. Die vorherige Einwilligung kann sich angesichts der Anforderungen der DS-GVO an diesen Erlaubnistatbestand nicht auf eine Zweckänderung beziehen und sie legitimieren, es sei denn der in Rede stehende Zweck war bereits Gegenstand der initialen Zwecksetzung. Dann aber liegt keine Zweckänderung i.S.v. Art. 6 Abs. 4 vor DS-GVO vor; der Schutz des Betroffenen wird hier über die Anforderungen an die Einwilligung realisiert. Die nachfolgende, auf den geänderten Zweck hin eingeholte, Einwilligung bezieht sich hingegen auf einen neuen, originären Zweck. Diese „Erkenntnis“ stellt auch ErwG 50 heraus, wenn es dort heißt, dass die Weiterverarbeitung unter Einwilligung „ungeachtet der Vereinbarkeit der Zwecke“ zulässig sein soll, wenn – was gedanklich zu ergänzen ist – die spezifischen Voraussetzungen dieses Erlaubnistatbestands gegeben sind. Allerdings ist dies eine nachvollziehbare Risikoabwägung. Die Bedeutung der Erwähnung der Einwilligung in Art. 6 Abs. 4 DS-GVO liegt mithin darin, dass der Unionsgesetzgeber für diesen Fall schlicht den Kompatibilitätstest ausschließt, was, wie gezeigt, zwar nur logisch und in gewisser Weise selbstverständlich ist, zugleich aber auch aufzeigt, dass die Zweckvereinbarkeit keine paraprohibitive Verarbeitungsschranke darstellen soll (so aber im Ergebnis Schantz, a.a.O., 1845).

[66] Die im Ratsvorschlag noch enthaltene Begrenzung von Art. 6 Abs. 4 „auf denselben Verantwortlichen“ wurde nicht Gesetz.

[67] Vgl. oben II, 2 b).

[68] Vgl. RDV 2016, 232 f. (Teil 1).

[69] Zum Verhältnis von Art. 5 Abs. 3 der RL 2002/58/EG in der Fassung der RL 2009/136/EG und § 15 Abs. 3 TMG, s. Teil 1, a.a.O. zuvor.

[70] ErwG 30 verwendet die Formulierung „können“, was angesichts des weiterhin keinesfalls trennscharfen Maßstabs für die Personenbeziehbarkeit in Art. 4 Nr. 1 i.V.m. ErwG 26 immerhin konsequent ist. Gegen ein absolutes Verständnis der Personenbeziehbarkeit (nach der DSRL) bei zugleich weitgehender Einbeziehung von Zusatzwissen Dritter in der konkreten Situation in Bezug auf die dynamische IP-Adresse aus der Sicht des Webseitenbetreibers EuGH, Urteil v. 19.10.2016 – Rs. C-582/14 – Breyer.

[71] Vgl. die Nachweise bei Brink/Eckhardt, ZD 2015, 205 ff., 209.

[72] Was regelmäßig Log-in-Prozesse voraussetzt.