Datenschutz im Marketing
2. Aufl. 2024
Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
45. Gilt das Datenschutzrecht auch im Internet?
Ja, selbstverständlich. Die DSGVO wurde gerade zu dem Zweck erlassen, in den letzten Jahren entstandene, überwiegend webbasierte Phänomene wie Profiling, GPS-Tracking oder Echtzeit-Videoüberwachung wirksam zu regulieren. Daher sind sämtliche Datenverarbeitungsvorgänge, die über das Internet erfolgen, nach den Regeln der DSGVO zu beurteilen. Insbesondere müssen sie also zu einem legitimen Zweck erfolgen, die Datenverarbeitungsgrundsätze gemäß Art 5 DSGVO wahren und auf einer Rechtsgrundlage gemäß Art 6 oder 9 DSGVO beruhen. Zudem sind die Informationspflichten der Art 13 und 14 DSGVO zu erfüllen.
Neben der DSGVO gelten in diesem Bereich auch die E-Privacy-Richtlinie 2002/58/EG und die Cookie-Richtlinie 2009/136/EG bzw deren nationale Umsetzungen, die vor allem im Telekommunikationsgesetz 2021 erfolgten. Diese Rechtsnormen sollten bereits seit geraumer Zeit von einer zurzeit nur im Entwurf vorliegenden E-Privacy-Verordnung abgelöst werden, die neben der DSGVO gelten und diese im Bereich der elektronischen Kommunikation ergänzen wird. Wann die Verordnung, die vor allem Unternehmen der digitalen Wirtschaft adressiert, in Kraft treten wird, ist derzeit nicht genau absehbar und hängt wesentlich vom Gesetzgebungsprozess innerhalb der Europäischen Union und der Konsensbereitschaft der daran beteiligten Akteure ab. Nach ihrem Inkrafttreten wird die Verordnung jedoch erst nach Ablauf einer Übergangsfrist von 24 Monaten in Geltung stehen.
46. Sind IP-Adressen und sonstige Online-Kennungen personenbezogene Daten?
Ja. Wie bereits ausgeführt (siehe Frage 5), sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person auch dann, wenn sie zwar nicht vom Datenverarbeiter selbst, sondern überhaupt mit nach allgemeinem Ermessen wahrscheinlichen Mitteln direkt oder indirekt identifiziert werden kann. Da bei IP-Adressen üblicherweise die Möglichkeit besteht, herauszufinden, welche Person hinter ihnen steht, sind diese als personenbezogene Daten zu werten. Ebenso verhält es sich mit einzigartigen Nutzeridentifikationsnummern und Browserparametern.
47. Ist die Protokollierung von Daten am Webserver zulässig?
Die Protokollierung einzelner bei jedem Aufruf einer Website anfallender Daten (zB IP-Adresse, Datum und Uhrzeit, verwendete Browser, Referrer) in sogenannS. 37ten Logfiles (auch „Protokolldateien“, „Eventlogs“, „Weblogs“ etc) ist zwar aufgrund der Erfassung von IP-Adressen datenschutzrechtlich beachtlich, grundsätzlich aber zulässig.
Für diese Protokollierung bestehen nämlich üblicherweise berechtigte Interessen des Websitebetreibers, der diese Daten benötigt, um im Falle von Sicherheitsverletzungen Auswertungen vorzunehmen. Ebenso können anhand dieser Daten Nutzungsstatistiken erstellt werden.
Zu wahren sind dabei die Verarbeitungsgrundsätze des Art 5 DSGVO, vor allem jene der Speicherbegrenzung und der Datenminimierung. Das bedeutet einerseits, dass die protokollierten Daten nur so lange gespeichert werden dürfen, wie sie benötigt werden; da ein Angriff auf einen Webserver unter Umständen erst nach einiger Zeit entdeckt werden kann, wird eine Speicherdauer von einigen Monaten aber jedenfalls angemessen sein. Andererseits sollten die erhobenen IP-Adressen wenn möglich – also insbesondere bei der Führung von Statistiken – pseudonymisiert werden.
Zudem sind die betroffenen Personen in der Datenschutzinformation gemäß Art 13 und 14 DSGVO über die Verarbeitung ihrer Daten im Rahmen der Protokollierung zu informieren (siehe Frage 72).
Werden Cookies verwendet, muss der Anbieter des Web-Dienstes (also meist der Websitebetreiber) gemäß § 165 Abs 3 TKG 2021 den Nutzer schon vor dem erstmaligen Setzen des Cookies klar und umfassend darüber informieren, welche personenbezogenen Daten verarbeitet werden, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Darüber hinaus muss der Nutzer vor der Setzung des Cookies seine Einwilligung zu dessen Verwendung erteilen (dazu sogleich Frage 49).
Eine Ausnahme von dieser Informations- und Einwilligungspflicht besteht aber dann, wenn die Verwendung des Cookies technisch unbedingt erforderlich ist, damit der Anbieter des Web-Dienstes eine vom Nutzer ausdrücklich gewünschte Funktion zur Verfügung stellen kann. Dies trifft für gewöhnlich bei Session-IDs zu, die die Nutzung einer Website ermöglichen, ohne innerhalb einer Sitzung dieselben Daten mehrmals eingeben zu müssen (zB durch neuerliches Einloggen); ebenso sind Cookies notwendig, um einen elektronischen Warenkorb anbieten zu können. Auch wenn auf mehreren Unterseiten einer Website Daten in ein Online-Formular eingegeben werden müssen, bevor es abgesendet werden kann, gelten die dafür eingesetzten Cookies als technisch notwendig. Schließlich gelten S. 38auch Cookies, die den Einwilligungsstatus speichern, als technisch notwendig, solange keine eindeutige Online-Kennung vergeben wird.
Nicht unter diese Ausnahme fallen Cookies, die nicht technisch, sondern aus anderen Gründen „notwendig“ sind, um einen Web-Dienst anzubieten. Daher unterliegt etwa ein Cookie zum „Behavioral Advertising“ auch dann nicht dieser Ausnahme, wenn dessen Setzung die einzige Einnahmequelle einer Website ist und der Betrieb der Website von diesen Einnahmen abhängt. Ebenso können Analyse-Cookies wie zB Besucherzählung nicht darunter eingeordnet werden, auch wenn sie aus der Sicht eines Websitebetreibers nützlich sein mögen. Derartige Cookies dürfen demnach nur nach Informationserteilung und Einwilligung gesetzt werden.
Nutzern müssen bereits vor dem erstmaligen Setzen eines Cookies die grundlegenden Informationen über die mit diesen verbundenen Datenverarbeitungen erteilt werden. In jenen Fällen, in denen beim Setzen von Cookies personenbezogene Daten verarbeitet werden, muss in weiterer Folge umfassend nach Art 13 und 14 DSGVO informiert werden (siehe Frage 72). Die Erfüllung der Informationspflicht auf mehreren Ebenen (Multilayer-Lösung) ist zulässig. Die erteilten Informationen müssen so klar und verständlich wie möglich zur Verfügung gestellt werden.
Für die Erfüllung der Informationspflichten eignen sich Pop-up-Fenster, Banner oder eindeutige und gut sichtbare Bildschirmsymbole auf einer Website, mit denen eine Seite verlinkt wird, die diese Informationen enthält. Dabei muss jedenfalls sichergestellt sein, dass die Informationen für den Nutzer klar ersichtlich sind, was zB dann nicht der Fall sein kann, wenn diese in AGB oder Datenschutzerklärungen „versteckt“ werden. Die in der Praxis gängigste Variante ist dabei ein Banner, der beim Öffnen einer Website am Bildschirmrand erscheint und auf eine Information über Cookies hinweist, die per Link aufgerufen werden kann. Auf der ersten Ebene („First Layer“) müssen nach derzeitiger Auffassung der Datenschutzbehörde jedenfalls folgende Inhalte mitgeteilt werden:
Identität des Verantwortlichen
Verwendungszweck des Cookies (zB Nachverfolgung des Nutzerverhaltens)
Rechtsgrundlage der Verarbeitung (zB berechtigte Interessen gemäß Art 6 Abs 1 lit f DSGVO)
Hinweis auf die Möglichkeit, die Einwilligung in das Setzen von Cookies jederzeit ohne Angabe von Gründen zu widerrufen, ohne dass dadurch die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungen berührt wird
wie und wo eine Einwilligung widerrufen werden kann
Eine wirksame Einwilligung zur Verwendung von Cookies muss den Vorgaben der DSGVO entsprechen und erfordert jedenfalls, dass der Nutzer zuvor umfangreich informiert wurde und eine ausdrückliche Handlung oder andere aktive Verhaltensweise setzt, die als Zustimmung zu werten ist.
Eine solche ausdrückliche Handlung ist jedenfalls das Anklicken eines Links oder eines Buttons („Wenn Sie mit der Verwendung von Cookies einverstanden sind, klicken Sie hier“). Allein durch das Klicken auf den Link zur Information oder gar durch völlige Untätigkeit (dh bloßes Verbleiben auf der Website ohne Interaktion mit dem Cookie-Banner oder einem „versteckten Cookie-Banner“) wird keine Einwilligung erteilt und dürfen Cookies nicht gesetzt werden.
Laut dem EDSA ist das bloße Verweilen oder Scrollen auf einer Website mangels Eindeutigkeit der bestätigenden Handlung in keinem Fall als Zustimmung zu werten. Werden Cookies durch eine bestimmte Art der Interaktion mit einer Website gesetzt, müssen dem Nutzer vor dem Setzen eines Cookies die erforderlichen Informationen (auch zur Möglichkeit der Deaktivierung von Cookies durch Browser-Einstellungen) erteilt (siehe Frage 49) und ihm zudem klargemacht werden, dass durch die konkrete Art der Interaktion mit der Website – also zB durch das Anklicken eines Links, eines Bildes oder eines sonstigen Inhalts – die Setzung von Cookies akzeptiert wird.
Verantwortliche sollten bei der Ausgestaltung des von ihnen bevorzugten Einwilligungsmechanismus stets im Auge behalten, dass sie für die Einholung rechtsgültiger Einwilligungserklärungen beweispflichtig sind.
Zunächst ist darauf zu achten, dass keine einwilligungsbedürftigen Cookies vor der Erteilung einer Einwilligung gesetzt werden. Technisch notwendige Cookies (siehe Frage 48) betrifft diese Anforderung daher nicht.
Um den Anforderungen der DSGVO an datenschutzfreundliche Voreinstellungen („Privacy by Default“) zu entsprechen, sollten vorangekreuzte Checkboxen in Cookie-Bannern vermieden werden.
Da Einwilligungen nach der DSGVO nur dann rechtsgültig sind, wenn sie freiwillig erteilt wurden, dürfen Websitebesucher keine Nachteile erleiden, wenn sie ihre Einwilligung verweigern. Auch die bloße Androhung von Nachteilen ist unzulässig. In der Praxis muss Websitebesuchern daher der Zugang zu einer Website auch ohne Einwilligung in das Setzen von Cookies möglich sein. NichtsdestoS. 40trotz erachtet die Datenschutzbehörde den Einsatz von „Cookiewalls“, mit denen die Nutzung einer Website entweder gegen Erteilung einer Einwilligung in das Setzen von Cookies oder gegen Bezahlung (für die Cookie-freie Nutzung) gestattet wird, für zulässig (siehe Frage 29).
Um Websitebesuchern den jederzeitigen Widerruf ihrer Einwilligung in das Setzen von Cookies zu ermöglichen, sollte auf der Website eine permanente Möglichkeit integriert werden, von diesem Widerrufsrecht Gebrauch zu machen; ein solcher Widerruf sollte ebenso einfach möglich sein wie die Erteilung der Einwilligung. In der Praxis kann dies etwa durch einen permanent sichtbaren Button umgesetzt werden, über den man wieder in den Cookie-Banner gelangt.
Schließlich sollten unfaire Praktiken vermieden werden, die – wenn auch nur subtil – zur Erteilung von Einwilligungen drängen oder diese begünstigen. Ein prominentes Beispiel für sogenanntes Nudging ist die Gestaltung der Schaltfläche (Button) für die Einwilligung in einer Weise, die diese gegenüber anderen optisch – zB farblich oder größenmäßig – hervorhebt. Auch das Fehlen einer Option, die Einwilligung in das Setzen von Cookies gesammelt abzulehnen, und die komplizierte Ausgestaltung von Ablehnungsmöglichkeiten zählt zu diesen Praktiken.
52. Was ist zu beachten, wenn ich Google Analytics verwende?
Bei Google Analytics handelt es sich um einen Webanalysedienst, der es Websitebetreibern erlaubt, die Nutzung ihrer Website und der von ihnen angebotenen Dienste zu verstehen, indem Datenverkehr („Traffic“) gemessen wird. Auf diese Weise lassen sich das Nutzeraufkommen einer Website und die Art der Interaktion der Nutzer mit dieser (zB Verweildauer eines Nutzers auf einer Website) erheben. Zudem kann der Dienst dazu genutzt werden, um die Wirksamkeit von Werbekampagnen, die über Google Analytics durchgeführt werden, zu messen und zu optimieren.
Bei der Verwendung von Google Analytics kann es je nach Art der Implementierung auf einer Website zur Verarbeitung von IP-Adressen kommen. Zudem werden Websitebesuchern durch das Setzen von Cookies Online-Kennungen zugewiesen, anhand derer sie von Google wiedererkannt werden können. Diese Online-Kennungen werden – mitunter auch zusammen mit weiteren Daten (zB Browserdaten wie die Art des Browsers, Spracheinstellungen etc) – an Google übermittelt, um die im vorigen Absatz beschriebenen Auswertungen durchzuführen. Diese Daten werden in den USA gespeichert und weiterverarbeitet.
Nachdem es durch die Nutzung von Google Analytics, wie oben dargestellt, zur Übermittlung personenbezogener Daten in ein Drittland im Sinne der DSGVO kommt, sind die Vorgaben des Kapitels V der DSGVO der Datenübertragung S. 41einzuhalten. Die darin enthaltenen Regelungen (Art 44 bis 49 DSGVO) sehen nur für den Datenexporteur Rechte und Pflichten vor, nicht jedoch für den Datenimporteur. In einem jüngeren Erkenntnis gelangte das Bundesverwaltungsgericht daher zu der Auffassung, dass Google als Datenimporteur im Hinblick auf den Datentransfer mittels Google Analytics aus den Vorgaben der Art 44 bis 49 DSGVO keinerlei Rechtspflicht trifft. Demgegenüber hätte der Websitebetreiber, der ohne Einflussmöglichkeit von Google für die Implementierung von Google Analytics auf seiner Website verantwortlich war, als Datenexporteur für die Einhaltung der Regeln über den internationalen Datentransfer sorgen müssen. Google wurde in dieser Konstellation zudem als Auftragsverarbeiter im Sinne des Art 4 Z 8 DSGVO (siehe Frage 117) qualifiziert, dessen Handlungen dem Websitebetreiber als Verantwortlichem zuzurechnen war.
Für die Praxis bedeutet die zuvor dargestellte Entscheidung, dass sich Websitebetreiber beim Einsatz von Google Analytics bewusst sein müssen, dass sie (als Datenexporteure) auch für die Einhaltung der Vorgaben der DSGVO für den internationalen Datenverkehr verantwortlich sind und zur Rechenschaft gezogen werden können. Nachdem der EuGH in seiner richtungsweisenden Entscheidung in der Rechtssache Schrems II () das Datenschutzübereinkommen „EU-US Privacy Shield“ für rechtsungültig erklärt hat und auf internationaler Ebene bis dato kein Ersatz geschaffen wurde, kann eine Datenübermittlung mittels Google Analytics nur auf geeignete Garantien im Sinne des Art 46 DSGVO oder hilfsweise auf einen der in Art 49 DSGVO für bestimmte Ausnahmefälle vorgesehenen Erlaubnistatbestände gestützt werden (siehe Frage 174 und Frage 176).
Ob Google Analytics rechtskonform auf Basis der Standarddatenschutzklauseln im Sinne des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission vom ist, ist fraglich. In dem zuvor zitierten Erkenntnis des BVwG wurde der Datentransfer durch Google Analytics auf die Vorgängerversion der heute in Geltung stehenden Standarddatenschutzklauseln gestützt, sodass eine Datenverarbeitung auf Basis der aktuellen Version nicht Gegenstand der gerichtlichen Prüfung war. Die bisherige Rechtsprechung deutet darauf hin, dass die bloße Vereinbarung von Standarddatenschutzklauseln aufgrund der spezifischen Rechtslage in den USA nicht genügt, um als taugliche Rechtsgrundlage für einen internationalen Datentransfer herangezogen werden zu können. Vielmehr werden Verantwortliche angemessene zusätzliche Maßnahmen treffen müssen, um ein Datenschutzniveau zu gewährleisten, das dem der DSGVO gleichzuhalten ist. Diese Maßnahmen können nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, Version 2.0“ des EDSA vertraglicher, technischer oder organisatorischer Natur sein. Allerdings muss der Datenexporteur mit diesen Maßnahmen sicherstellen können, dass jene Rechtsschutzlücken S. 42geschlossen werden, die das Recht des Drittlandes aufweist. Ob für die USA in der Praxis effektive zusätzliche Maßnahmen getroffen werden können, die vor allem einen effektiven Rechtsschutz gegen Zugriffs- und Überwachungsmöglichkeiten der US-Nachrichtendienste ermöglichen, erscheint aus derzeitiger Sicht ungewiss.
Als alternativer Erlaubnistatbestand kommt für die Praxis daher am ehesten eine ausdrückliche und im Hinblick auf die konkreten Risiken der jeweiligen Datenübermittlung informierte Einwilligung im Sinne des Art 49 Abs 1 lit a DSGVO infrage (siehe Frage 176). Hier ist wesentlich, dass der Verantwortliche einen der Datenübermittlung angemessenen und klar verständlichen Gefahrenhinweis verfasst und den betroffenen Personen vor Erteilung ihrer Einwilligung zur Kenntnis bringt. Dass ein solcher Gefahrenhinweis das Risiko birgt, dass Google Analytics weniger effektiv eingesetzt werden kann, weil Websitebesucher abgeschreckt werden und ihre Einwilligung verweigern, stellt für Marketingspezialisten wie für Websitebetreiber einen gewissen Wermutstropfen dar.
Der Vollständigkeit halber ist festzuhalten, dass Websitebetreiber neben der Einhaltung der Bestimmungen über den internationalen Datentransfer auch die übrigen Bestimmungen der DSGVO einhalten müssen.
Bei der Verwendung und Konfigurierung von Google Analytics sind deshalb die Regelungen der DSGVO, vor allem die Grundsätze der Datenminimierung und des Privacy by Default sowie die Informationspflichten, zu beachten (siehe Frage12, Frage 72 und Frage 112). Das bedeutet, dass
die von Google angebotene Anonymisierungsfunktion tunlichst verwendet werden sollte (siehe dazu die Google-Analytics-Hilfe unter https://support.google.com/analytics/answer/2905384?hl=de),
den Nutzern eine Opt-out-Möglichkeit geboten werden muss (dies kann durch ein Browser-Plugin oder ein Opt-out-Cookie erfolgen, siehe dazu https://tools.google.com/dlpage/gaoptout?hl=de und https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable) und
die Nutzer in der auf der Website bereitgestellten Datenschutzinformation detailliert über die Verwendung von Google Analytics informiert werden müssen.
Auch Social-Media-Plugins (zB die „Like“- oder „Teilen“-Buttons von Facebook oder „X“) und Pixels verarbeiten als Bausteine der Internetwerbung personenbezogene Daten, indem sie IP-Adressen an die Betreiber der zugehörigen Social-Media-Dienste übermitteln.
S. 43Da für eine solche Datenübermittlung keine Rechtsgrundlage – insbesondere auch kein berechtigtes Interesse – vorliegt, ist eine Einwilligung des Nutzers vonnöten. Social-Media-Plugins und Pixels müssen also in einer Weise eingebunden werden, die sicherstellt, dass eine Datenverarbeitung erst dann stattfindet, wenn der Nutzer dafür seine ausdrückliche Einwilligung durch Klicken auf den jeweiligen Button erteilt hat. Bis der Nutzer das getan hat, müssen die Plugins deaktiviert bleiben und dürfen keine Daten übermittelt werden.
In der Praxis werden häufig „Zwei-Klick-Lösungen“ eingesetzt: Im ersten Schritt müssen die erst noch deaktivierten („ausgegrauten“) Social-Media-Plugins durch einen Klick des Nutzers aktiviert werden; ab diesem Zeitpunkt kann eine Datenübertragung an die Betreiber der Social-Media-Dienste erfolgen. Im zweiten Schritt kann der Nutzer das Plugin dann tatsächlich verwenden und zB einen auf der Website bereitgestellten Bericht teilen. Als Alternative steht die sogenannte Shariff-Lösung zur Verfügung, mit welcher der direkte Kontakt zwischen der Social-Media-Plattform und dem Nutzer erst dann hergestellt wird, wenn aktiv auf den Button geklickt wird. Erst durch die Betätigung des Buttons kommt es zur Erhebung personenbezogener Daten. Der Vorteil dieser Lösung ist, dass es sich um eine „Ein-Klick-Lösung“ handelt, die dadurch leichter handzuhaben ist.
Vor der Implementierung sollte (etwa über den Dienstleistungsvertrag oder die AGB des Online-Dienstleisters) eruiert werden, inwieweit die Anbieter von Social-Media-Plugins und Pixels personenbezogene Daten für eigene Zwecke verarbeiten oder ob sich die Datenverarbeitung ausschließlich auf die Erbringung von Online-Dienstleistungen im Auftrag des Websitebetreibers beschränkt. Im letzteren Fall müsste mit dem Diensteanbieter ein Auftragsverarbeitervertrag abgeschlossen werden, für die Übermittlung personenbezogener Daten an diesen müsste jedoch keine eigene Rechtsgrundlage gefunden werden. Nichtsdestotrotz muss der Websitebetreiber als Verantwortlicher dafür sorgen, dass die Datenverarbeitungen auf seiner Website den Vorgaben der DSGVO, insbesondere jenen des Kapitels V der DSGVO über Datentransfers in Drittländer, entspricht (siehe Frage 166). Verarbeitet der Online-Dienstleister personenbezogene Daten auch zu eigenen Zwecken, liegt eine gemeinsame Verantwortlichkeit vor, die den Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit erfordert (siehe Frage 3). Da es in der Praxis regelmäßig nicht möglich sein wird, mit großen US-amerikanischen Anbietern eine für den konkreten Anwendungsfall maßgeschneiderte Vereinbarung abzuschließen, muss mit den zumeist auf den Websites der Anbieter befindlichen standardisierten Vereinbarungstexten das Auslangen gefunden werden. Websitebetreiber müssen hier selbst beurteilen, ob die angebotenen Konditionen der gemeinsamen Verantwortlichkeit akzeptabel sind, aus der Perspektive der DSGVO alle erforderlichen Inhalte aufweisen und hinreichend transparent sind.
S. 44Zudem ist zu klären, ob eine Datenübermittlung an Drittanbieter stattfindet, wofür eine eigene Rechtsgrundlage – zumeist eine den Anforderungen der DSGVO entsprechende Einwilligung – gefunden werden muss.
Über die Verwendung von Social-Media-Plugins und Pixels sowie die damit in Zusammenhang stehenden Datenverarbeitungen sind Nutzer in der auf der Website bereitgestellten Datenschutzinformation zu informieren.
Werden Social-Media-Plattformen wie Facebook, Instagram, X, WhatsApp genutzt, ist darauf zu achten, dass dabei – meist unbedacht – Datenschutz- und andere Rechtsverstöße gesetzt werden können.
So birgt insbesondere das in vielen sozialen Netzwerken mögliche „Teilen“ von Beiträgen anderer Nutzer Gefahren: Verstößt nämlich schon der ursprüngliche Post des anderen Nutzers gegen Rechtsvorschriften – zB, weil ein Foto datenschutzwidrig aufgenommen wurde oder weil ein Text oder Video in das Recht des Urhebers eingreift –, ist auch das Teilen dieses Posts in der Regel rechtswidrig.
Dasselbe gilt, wenn Daten Dritter an Betreiber sozialer Netzwerke übermittelt werden. Dies ist insbesondere dann der Fall, wenn ganze Adressbücher mit dem sozialen Netzwerk „verbunden“ bzw „synchronisiert“ werden. Eine solche Übermittlung von Daten Dritter im beruflichen und wirtschaftlichen Bereich, in dem die Haushaltsausnahme von der DSGVO nicht zum Tragen kommt (siehe Frage 4), ist mangels Rechtsgrundlage in der Regel rechtswidrig. Bei der Verwendung solcher Plattformen und der von ihnen angebotenen Apps ist demnach unbedingt darauf zu achten, dass derartige Synchronisierungsfunktionen abgestellt werden. Ist dies nicht möglich, sollte der Dienst nicht verwendet werden, um Datenschutzverstöße zu vermeiden. In diesem Sinne geht die überwiegende Literatur davon aus, dass der Dienst WhatsApp in der derzeitigen Form nicht im beruflichen Kontext verwendet werden darf, weil er auf die Kontaktdaten sämtlicher Personen zugreift, die sich im Adressbuch des Nutzers befinden. Auch der Umstand, dass Metadaten zur Kommunikation über den Messenger-Dienst vom Betreiber eingesehen werden können, ist ohne entsprechende Rechtsgrundlage datenschutzrechtlich problematisch.
Infolgedessen sollte auch gängigen „Standard-Funktionen“ etablierter Social-Media-Plattformen nicht unhinterfragt Vertrauen geschenkt werden. Vielmehr ist auch hier im Einzelfall danach zu fragen, ob ein „Teilen“, „Synchronisieren“ usw ein Risiko für einen Datenschutz- oder anderen Rechtsverstoß birgt.
Der Europäische Gerichtshof (EuGH) hat in seinem aufsehenerregenden Urteil C-210/16, Wirtschaftsakademie Schleswig-Holstein erkannt, dass der Betreiber einer Facebook-Fanpage für die damit einhergehende Verarbeitung personenbezogener Daten der Fanpage-Nutzer durch Facebook mitverantwortlich ist (gemeinsamer Verantwortlicher iSd Art 26 DSGVO, siehe Frage 3). Im konkreten Fall ging es dabei um die Setzung von Cookies durch Facebook, die das Verhalten des Besuchers beobachten und die daraus gewonnenen Ergebnisse an Facebook übermitteln; der Fanpage-Betreiber erhält diese Ergebnisse in Form verschiedener Statistiken über das Nutzerverhalten auf seiner Fanpage. Die Mitverantwortlichkeit für diese Verarbeitung hat der EuGH damit begründet, dass der Fanpage-Betreiber mit der Einrichtung dieser Fanpage Facebook erst die Möglichkeit gibt, personenbezogene Daten der Besucher zu verarbeiten; zudem trage er durch die Einstellung seiner Fanpage zur Entscheidung bei, welche statistischen Daten erhoben werden, und er profitiere auch von den Ergebnissen dieser Datenanalysen.
Da der Fanpage-Betreiber also für die stattfindenden Verarbeitungen Verantwortlicher im Sinne der DSGVO ist, hat er sämtliche Regeln der Verordnung zu erfüllen. Insbesondere ist er also dafür verantwortlich, dass diese Datenverarbeitungen auf einer Rechtsgrundlage beruhen und dass die Nutzer umfassend informiert werden, und er muss dies auch nachweisen können.
Dabei ergibt sich jedoch die Problematik, dass dem Betreiber einer Facebook-Fanpage gar kein rechtlicher oder tatsächlicher Einfluss auf die von Facebook (mittlerweile: „Meta Platforms“, im Folgenden auch kurz: „Meta“) durchgeführten Verarbeitungen zukommt. Er hat nämlich weder die Möglichkeit, Einwilligungen (etwa in das Setzen technisch nicht notwendiger Cookies) einzuholen (eine derartige Funktion gibt es bei Facebook nicht), noch weiß er überhaupt genau darüber Bescheid, welche Datenverarbeitungen Meta konkret vornimmt, und kann daher seinen Informationspflichten nicht nachkommen. Darüber hinaus kann der Ausübung von Betroffenenrechten nicht vollumfänglich entsprochen werden, da für eine Auskunft, Berichtigung oder Löschung die Handhabe fehlt.
Bis Meta sein Angebot so adaptiert, dass den datenschutzrechtlichen Regeln entsprochen werden kann, besteht eine erhebliche Rechtsunsicherheit für Fanpage-Betreiber. Um sicherzugehen, keine Datenschutzverstöße zu begehen, können Facebook-Fanpages zurzeit also nur deaktiviert werden. Nimmt man dieses Risiko in Kauf – insbesondere mit dem Gedanken, dass diese Problematik Millionen von Fanpages betrifft –, sollte der DSGVO so weit nachgekommen werden, wie es dem Betreiber im Moment möglich ist.
S. 46Dafür ist es notwendig, die Nutzer so umfangreich wie möglich zu informieren, was über das Platzieren eines Links im Infobereich der Fanpage umgesetzt werden kann. Ihnen ist demnach mitzuteilen,
dass Facebook personenbezogene Daten für Marktforschungs- und Werbezwecke verarbeitet und dabei zB aus dem Nutzerverhalten und daraus abgeleiteten Interessen Nutzungsprofile erstellt werden, die für die Bereitstellung individuell angepasster Werbung verwendet werden,
dass Facebook für diese Datenverarbeitungen hauptsächlich verantwortlich ist und der Betreiber der Fanpage hinsichtlich dieser Verarbeitungen und Information darüber,
dass Facebook zu diesem Zweck Cookies auf dem Rechner der Nutzer setzt,
dass Daten unabhängig davon verarbeitet werden können, ob der Nutzer der Fanpage auch Facebook-Mitglied ist (Fanpages sind auch für Nicht-Nutzer zugänglich),
dass diese Datenverarbeitungen aufgrund der berechtigten Interessen gemäß Art 6 Abs 1 lit f DSGVO des Fanpage-Betreibers erfolgen, die durch eine Fanpage ermöglichte Nutzer-Information und -Kommunikation anbieten zu können,
dass diese ihre Betroffenenrechte direkt gegenüber Facebook ausüben können, der Fanpage-Betreiber ihnen dabei jedoch behilflich ist,
unter welchen Kontaktdaten Facebook erreichbar ist und unter welchem Link die Datenschutzerklärung von Facebook abrufbar ist.
Zudem sollten Fanpage-Betreiber für die Einholung der notwendigen Einwilligungen in das Setzen von Cookies durch Meta und die damit verbundenen Datenverarbeitungen sorgen (zB mittels Cookie-Banner) und allfällige Anfragen von Betroffenen nach der DSGVO unverzüglich an Meta weiterleiten.
Mit den zuvor beschriebenen rechtlichen Problemstellungen sind auch Betreiber vergleichbarer Online-Auftritte anderer Social-Media-Dienstleister (zB Instagram, TikTok etc) konfrontiert und sollten sich vor der Aufnahme ihrer Online-Präsenz genau über die Rahmenbedingungen der damit verbundenen Datenverarbeitungen informieren.
56. Was muss ich beachten, wenn ich auf meiner Website Platz für „Online Behavioral Advertising“ zur Verfügung stelle?
Aus dem in Frage 55 dargestellten EuGH-Urteil C-210/16, Wirtschaftsakademie Schleswig-Holstein ist zu folgern, dass auch der Betreiber einer Website datenschutzrechtlich mitverantwortlich ist, wenn er auf seiner Website Platz dafür bereitstellt, dass Dritte dort „Behavioral Advertising“ anbieten können und dabei S. 47Daten verarbeitet werden (zB durch das Setzen von Cookies). Die Argumentation, dass der Website-Betreiber selbst keine Kontrolle über die in seine Website eingebundenen Werbeformen und daher keine Verantwortung für dabei stattfindende Datenverarbeitungen hat, greift demnach zu kurz.
Auch in diesem Fall hat der Website-Betreiber also vor allem dafür zu sorgen, dass diese Verarbeitungen auf einer Rechtsgrundlage beruhen, wobei oft eine Einwilligung nötig sein wird. Zudem müssen umfangreiche Informationen über die Datenverarbeitungen erteilt werden. Diese Pflichten werden hier jedoch um ein Vielfaches leichter erfüllt werden können als im Falle des Betreibens einer Facebook-Fanpage (siehe Frage 55), da der Geschäftspartner, der primär über die vor sich gehenden Verarbeitungen bestimmt, leichter greifbar ist.
57. Wie kann ich künstliche Intelligenz (zB ChatGPT) datenschutzrechtskonform einsetzen?
Anwendungen, die auf künstlicher Intelligenz basieren (kurz: KI-Anwendungen), können zweifelsohne ein mächtiges Werkzeug sein, um die Produktivität eines Unternehmens und die Effektivität von Arbeitsabläufen erheblich zu steigern. Mögliche Einsatzfelder für die Marketingbranche reichen von der Erstellung von Werbetexten über Consent Management bis hin zur Verhaltensanalyse im Bereich Customer Relationship Management (CRM).
Kommt es beim Einsatz von KI-Anwendungen zur Verarbeitung personenbezogener Daten, was keineswegs zwingend der Fall ist (zB wenn nur Codes, Bilder oder Texte generiert werden), muss die Verarbeitung den Regeln der DSGVO und den übrigen einschlägigen datenschutzrechtlichen Bestimmungen entsprechen.
Die zentralen datenschutzrechtlichen Problemfelder von KI-Anwendungen sind
die Einhaltung der Verarbeitungsgrundsätze nach Art 5 DSGVO (siehe Frage 12),
das Vorliegen eines Erlaubnistatbestandes für die Verarbeitung nach Art 6, 9 und 10 DSGVO (siehe Fragen 16 ff) und
die Frage der Transparenz der Verarbeitung aus der Sicht des Betroffenen.
Für KI-basierte Datenverarbeitungen sind jedoch auch alle übrigen datenschutzrechtlichen Vorgaben relevant, angefangen von der Verpflichtung zur Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten über die Einhaltung von Informationspflichten bis hin zur Notwendigkeit zur Beachtung des Kapitels V der DSGVO über den internationalen Datenverkehr. Besonders hervorzuheben ist, dass KI-Anwendungen in aller Regel einer DSFA bedürfen und besondere Anforderungen an die Rechtmäßigkeit der Datenverarbeitung (siehe Art 22 DSGVO; Frage 101) und die Transparenz gegenüber betroffenen Personen (vor allem bezüglich des eingesetzten Algorithmus und der involvierten Logik der Verarbeitung) gestellt werden, wenn eine KI-Anwendung der automationsunterstützten Entscheidungsfindung dient.
S. 48Aus Vorsichtsgründen sollte in Fällen, in denen nicht nachvollziehbar ist, inwieweit Einfluss auf die Anbieter von KI-Anwendungen genommen und die Verarbeitung personenbezogener Daten zu Zwecken des Anbieters untersagt werden kann, auf den Einsatz der Anwendung verzichtet werden. In jedem Fall sollten von KI-Anbietern bereitgestellte Möglichkeiten zum Widerspruch gegen die Verarbeitung personenbezogener Daten zu eigenen Zwecken genutzt werden.
Verantwortliche sollten sich bei all dem vergegenwärtigen, dass sie auch dann zur Verantwortung gezogen werden können, wenn Mitarbeiter im Interesse des Unternehmens – wenn auch im Einzelfall ohne das Wissen des Verantwortlichen – und ohne ihre Befugnisse zu überschreiten personenbezogene Daten in KI-Anwendungen einpflegen. Vor diesem Hintergrund sei Verantwortlichen empfohlen, mit entsprechenden technischen und organisatorischen Maßnahmen vorzukehren, dass es zu keinen unerwünschten Datenverarbeitungen kommen kann (siehe Frage 113).