Personalisierung: Vorsicht im Datenschutz
Die Datenschutzgrundverordnung (DSGVO) ist ein ausgeprägtes „Compliance-Gesetz“. Sie geht mit umfassenden Dokumentations- und Organisationspflichten über die bloße Zulässigkeitsfrage hinaus. Das ist in der Praxis herausfordernd und aufwendig, darf aber dennoch nicht unterschätzt werden. Denn auch die Missachtung dieser weitergehenden Pflichten kann zu Geldbußen (bis zu 20 Millionen Euro oder – falls höher – bis zu vier Prozent des weltweiten Vorjahresumsatzes des Unternehmensverbunds führen) sowie zu Schadensersatzforderungen – Stichwort: Schmerzensgeld – führen.
Verbot mit Erlaubnisvorbehalt und Zweckbindung
Der entscheidende Grundsatz des Datenschutzrechts – das sogenannte Verbot mit Erlaubnisvorbehalt [8] – lässt sich so umschreiben: Alles ist verboten, es sei denn, es ist konkret erlaubt. Die praktische Konsequenz ist, dass jeder Verarbeitungsschritt von der Erhebung über das Hinzunehmen aus Drittquellen (Third Party Data) über das Auswerten (Profiling) bis hin zum Löschen jeweils auf das Eingreifen einer Rechtsgrundlage geprüft werden muss.
Für die Zulässigkeitsprüfung ist der Grundsatz der Zweckbindung [9] ebenfalls entscheidend. Denn er bedeutet, dass die Verwendung von personenbezogenen Daten nur für den Zweck zulässig ist, zu dem sie rechtmäßig erhoben worden sind. Das lässt sich an einem einfachen Beispiel verdeutlichen: Wenn ein Unternehmen die Daten über die Bestellung, die Adresse zur Zusendung und die Zahlungsdaten (nur) zur Abwicklung des Vertrags erhoben hat, darf es die Daten auch nur zu diesem Zweck verarbeiten. Sollen diese Daten auch für das Marketing verwendet werden, dann bedarf es der (erneuten) Zulässigkeitsprüfung hierfür.
Die Prüfung einer zweckändernden Weiterverarbeitung ist unter der DSGVO nicht ausgeschlossen, allerdings sowohl die zweistufige Prüfung der Zulässigkeit [10] als auch die Vorab-Hinweispflichten [11] machen diese die nachträgliche Änderung beziehungsweise Erweiterung der Verarbeitung in der Praxis aufwendiger.
Tipp für die Praxis: Einfacher ist es, diese Daten von vornherein auch für das Marketing zu erheben, worüber die betroffene Person allerdings auch von Anfang an zu informieren ist. Das ist auch ein Grund dafür, die datenschutzrechtliche Bewertung von Anfang an in die Entwicklung von Data-Driven-Strategien einzubinden.
Proaktive Informationspflicht
Die DSGVO enthält in Art. 13 und 14 DSGVO die Pflicht zur umfassenden Information der betroffenen Person – und zwar zum Zeitpunkt der Erhebung der Daten, wenn die Daten direkt von der betroffenen Person stammen. Wenn die Daten aus Drittquellen stammen, dann entweder binnen eines Monats oder – wenn sie zur Kommunikation mit der Person genutzt werden sollen, bei der ersten Kommunikation. Der betroffenen Personen müssen insbesondere alle Zwecke – also auch die Verarbeitung zur Personalisierung – sowie – neben einer Reihe von weiteren Informationen – die entsprechende Rechtsgrundlage und die Speicherdauer der Daten genannt werden. Gerade diese beiden Inhalte der Informationspflicht zwingen dazu, sich auch mit der Rechtsgrundlage und der Speicherdauer zu befassen. Das macht deutlich, dass Befassung von Anfang an zusammen mit der Planung der Marketingmaßnahmen erfolgen muss.
Datenminimierung
Die DSGVO schreibt auch die Datenminimierung vor. Das bedeutet, dass die Verarbeitung der Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss [12]. Für die Praxis bedeutet dies, dass nur die Daten verarbeitet werden dürfen, die für den jeweiligen Zweck (siehe zuvor zur Zweckbindung) erforderlich sind. Konkret: Für jede Information muss begründet werden können, warum sie für das Ziel benötigt wird.
Privacy by Design and by Default
Der Grundsatz des Privacy by Design und Default geht über die Datenminimierung hinaus und ist ihr vorgelagert. Das Privacy by Design erfordert, dass die Verarbeitung bereits technisch und organisatorisch so gestaltet ist, dass sie so wenig wie möglich personenbezogene Daten verarbeitet und beispielsweise diese rechtzeitig auch löschen kann. Die genaue Auslegung und Reichweite ist zwar noch nicht abschließend geklärt, aber wegen Verstößen hiergegen sind schon Geldbußen verhängt worden. Privacy by Default bedeutet vereinfacht, dass bei Einstellungsmöglichkeiten für den Nutzer die datenschutzfreundlichen voreingestellt sein müssen.
Zentrale Dokumentationsanforderungen
Die DSGVO hat vor allem die Anforderungen an die Bewertung von Verarbeitungen und deren Dokumentation verstärkt. Verstöße gegen diese Pflichten sind allesamt bußgeldbewehrt. Die zentrale Dokumentation ist das Verzeichnis von Verarbeitungstätigkeit (Art. 30 DSGVO). In diesem sind alle Verarbeitungstätigkeiten des Unternehmens mit den gesetzlich festgelegten Inhalten zu dokumentieren. Das gilt auch für die Verarbeitung im Rahmen des personalisierten Marketing. Die Datenschutzaufsichtsbehörden können jederzeit die Vorlage dieser Dokumentation fordern. Das bietet sich vor allem dann an, wenn sie komplexere Verarbeitungen zu Marketingzwecken prüfen möchten.
Die DSGVO macht eine sogenannte Datenschutz-Folgenabschätzung für Verarbeitungstätigkeiten mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person erforderlich (Art. 35 DSGVO). Für jede (!) Verarbeitung ist zu prüfen, ob ein solches Risiko vorliegt, und selbst bei Verneinung der Erforderlichkeit ist zu dokumentieren, dass und warum dieses verneint wird. Für einfache Personalisierungen (beispielsweise Adressierung und Selektion) wird eine Datenschutz-Folgenabschätzung typischerweise nicht erforderlich sein. Für umfassendere, tiefergehende Personalisierungen muss zumindest genau geprüft werden, ob eine solche erforderlich ist. Diese Prüfpflicht darf nicht aus dem Auge verloren werden. Denn sie ist aufwendig und die Verarbeitung darf erst nach Abschluss der Prüfung begonnen werden. Daher ist es sinnvoll, diese Fragestellung von Anfang an bei der Planung zu berücksichtigen.
Art. 5 Abs. 2 DSGVO sieht die sogenannte Rechenschaftspflicht in Bezug auf jede Verarbeitung vor. Danach ist jede (!) Verarbeitung anhand der Grundsätze des Art. 5 Abs. 1 DSGVO zu prüfen und zu dokumentieren. Ein Verstoß hiergegen ist bußgeldbewehrt. Die in Art. 5 Abs. 1 DSGVO näher dargestellten Grundsätze sind: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Hinweis: Gerade die Dokumentationsanforderungen der DSGVO erscheinen als lästig. Aber das sind sie aus Sicht des Gesetzgebers und der Datenschutzaufsichtsbehörden ganz bewusst. Mit einer Missachtung ist es leicht möglich, eine ganze Reihe von Bußgeldern „einzusammeln“. Werden die Anforderungen der DSGVO direkt von Anfang an und projektbegleitend berücksichtigt, verringert es den Aufwand und vermeidet überraschende Verzögerungen.
Der dritte Teil des Artikels folgt in Kürze.