DSGVO - BDSG - TTDSG

b) Anwendbarkeit bei Unternehmensveräußerung

107

Eine Interessenabwägung als Erlaubnistatbestand kommt – wie jede andere, die nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt (siehe dazu Rn. 3ff.) zunächst verbotene Datenverarbeitung legitimierende Norm – nur dann in Betracht, wenn überhaupt eine Datenverarbeitung, die auch eine Übermittlung erfasst (Art. 4 Nr. 2 DSGVO), vorliegt. Bei einer Unternehmensveräußerung in Form des Share Deals mit der Folge der Verschmelzung des verantwortlichen Unternehmens mit einer Gesamtrechtsnachfolge (§ 20 UmwG), bei der sich nur der Rechtsträger ändert und der Rechtsnachfolger vollständig in die Rechtsstellung des Rechtsvorgängers eintritt, findet durch diesen umwandlungsrechtlichen Vorgang datenschutzrechtlich betrachtet gar keine Datenverarbeitung statt, sodass die DSGVO hierfür nicht heranzuziehen ist und eine Erlaubnis für etwas, was nicht stattfindet, nicht benötigt wird.188 Dieses war auch die herrschende Ansicht bei Geltung des BDSG a.F.189

108

Anders verhält es sich, wenn wie bei einem Asset Deal einzelne Unternehmensteile (Singularsukzession) an einen Dritten verkauft werden. Ist Gegenstand der Transaktion (auch oder nur) ein Bestand an personenbezogenen Kundendaten, so liegen Verarbeitungen (aus Verkäufersicht eine Übermittlung und aus Käufersicht eine Erhebung) vor, die einer datenschutzrechtlichen Erlaubnis bedürfen.190 Diese kann in Art. 6 Abs. 1 UAbs. 1 lit. b bzw. lit. f DSGVO gefunden werden.191

109

Soweit von der gesellschaftsrechtlichen Übertragung personenbezogene Daten aus laufenden, nicht abgeschlossenen Vertragsbeziehungen betroffen sind, wäre eine Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO naheliegend. Die DSK geht nach einem Beschluss vom 24.5.2020 – bei Ablehnung der Aufsichtsbehörden von Berlin und Sachsen – davon aus, dass es in diesen Fällen einer zivilrechtlichen Genehmigung (§ 415 BGB/Schuldübernahme) bedarf, die dann auch als „datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten“ angesehen wird.192 Ob die DSK mit dem Begriff der „Zustimmung“, der in der DSGVO sonst nur in Art. 8 Abs. 1 Satz 2 und Abs. 2 DSGVO verwendet wird, um die zustimmende Haltung zu einer Einwilligung eines Kindes auszudrücken,193 die Einwilligung meint, ist kaum denkbar,194 weil auch von der „Wahrung der Gegeninteressen der Kunden“ die Rede ist, auf die es bei einer Einwilligung – oder „Zustimmung“ – nicht ankommen kann. Welche rechtliche Bedeutung dem Begriff hier zukommen soll, wird offen gelassen. Eine „informierte Einwilligung“ soll bei „Kundendaten der Kategorie Art. 9 Abs. 1 DSGVO“ erforderlich sein. Da jede Einwilligung „in informierter Weise“ zu erteilen ist (Art. 4 Nr. 11 DSGVO), liegt es nahe, dass in diesem Fall die „ausdrückliche Einwilligung“ gemeint sein sollte. Die betroffenen Personen sind spätestens bei der ersten Nutzung195 der Daten über die Herkunft der Daten und – wie stets bei einer auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützten Verarbeitung für Zwecke des Direktmarketing – auf das Widerspruchsrecht nach Art. 21 Abs. 1 und 2 DSGVO hinzuweisen. Diese Information verbunden mit dem Widerrufsrecht sollte auch den Anforderungen des § 415 Abs. 1 BGB genügen, weil mit der Erklärung des Widerspruchs die Genehmigung der Schuldübernahme verweigert wird.

110

Die DSK geht weiter davon aus, dass Daten solcher Bestandskunden, zu denen seit mehr als drei Jahren keine Vertragsbeziehungen bestehen, „nur wegen gesetzlicher Aufbewahrungsfristen genutzt werden“ dürfen. Bestand innerhalb der letzten drei Jahre eine Vertragsbeziehung oder bestehen Vertragsanbahnungsverhältnisse mit dem Übertragenden, dann dürfen die Daten an den Übernehmer auf der Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO übertragen werden, wenn den Betroffenen die Möglichkeit eines Widerspruchs eingeräumt wird,196 wobei die Widerspruchsfrist großzügig bemessen sein soll – genannt werden „als Beispiel“ sechs Wochen. Von dieser Widerspruchslösung soll, ohne dass dies in dem DSK-Beschluss begründet wird, die Übermittlung der IBAN ausgenommen sein, die nur nach Einwilligung übermittelt werden dürfe. Diese Rechtsansicht ist aber nachvollziehbar, weil dieses Datum bei abgeschlossenem Vertragsverhältnis etwa für den Zweck der Neukundengewinnung nicht mehr im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO erforderlich ist.197 Die von der DSK aufgebrachte pauschale Drei-Jahres-Frist ist allerdings nicht verbindlich und nicht begründet, sodass es in jedem Einzelfall einer Abwägung bedarf.198

111

Bestehen offene Forderungen des Übertragenden, dürfen die Daten – so auch die DSK – aufgrund einer Forderungsabtretung (§§ 398ff. BGB) übertragen werden.

112

Die Übertragung von Kundendaten ohne laufende Vertragsverhältnisse auf eine Einwilligung zu stützen, wäre insbesondere aus zivilrechtlicher Sicht wegen des Wechsels des Vertragspartners eine sichere Lösung.199 Wegen der zu erwartenden geringen Rücklaufquote wäre sie aus der Sicht der Verantwortlichen nicht wünschenswert.200 Anstelle einer Einwilligung kommt eine gesetzliche Erlaubnis in Betracht.201 Diese wird sowohl für Kunden – wie auch für Beschäftigte in der Due Diligence- und in der Transaktionsphase202 – in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zu sehen sein, weil Übertragender und Empfänger der Daten ein berechtigtes Interesse an dem „deal“ haben.203 In der Regel werden auch die Unternehmenskunden ein Interesse „an einer reibungslosen Fortsetzung der Geschäftsbeziehung mit dem neuen Unternehmensinhaber haben“.204 Soweit die Kundendaten nicht aus einem lange zurückliegenden Vertragsverhältnis stammen und in einem vergleichbaren Geschäftssegment genutzt werden sollen, darf davon ausgegangen werden, dass gegenüber diesen Interessen dasjenige des betroffenen Kunden nicht überwiegt.

113

Dass die übertragenen Kundendaten nicht ohne gesonderte Einwilligung für eine elektronische Ansprache genutzt werden dürfen, folgt aus § 7 Abs. 2 Nr. 3 UWG. Ist eine Ansprache über E-Mail gewünscht, empfiehlt es sich, diese beim Betroffenen erneut einzuholen, weil sie – soweit sie vor der Übertragung der Daten vorlag – nicht gegenüber dem Empfänger erteilt wurde.

c) Alternative zur Auftragsverarbeitung

114

Bei einer entsprechenden vertraglichen Gestaltung kann es in der Praxis sachgerechter sein, anstelle einer Auftragsverarbeitung von einer Verarbeitung beispielsweise in der Form einer Datenübermittlung auszugehen, bei der Buchstabe f als Erlaubnistatbestand herangezogen wird. Um etwaige, nicht gewollte Folgen zu vermeiden, die bei einer Übermittlung darin liegen, dass der Empfänger der Daten zu einem Weisungen nicht unterliegenden Verantwortlichen wird, der allein über die weitere Verarbeitung entscheiden kann, sind vertragliche Vereinbarungen zwischen der übermittelnden Stelle und dem Empfänger der Daten denkbar, die diesen an vertraglich festgelegte Pflichten im Umgang mit den Daten bindet. Die Vereinbarung könnte etwa vorsehen, dass die Daten ausschließlich zu einem festgelegten Zweck verarbeitet und nach Zweckerreichung oder nach einer bestimmten Frist zu löschen sind.

115

Beispielsweise wäre es unpraktikabel und würde den Interessen sowohl der betroffenen Personen als auch der beteiligten Verantwortlichen entgegenstehen, wenn ein Mitarbeiter eines Handwerksunternehmens (Verantwortlicher) als Vertreter dieses Unternehmens auf einem Datenträger gespeicherte Fotos vom Betriebsfest auf einem Fotodrucker eines Kaufhauses (z.B. eines Drogeriemarktes) einen Auftragsverarbeitungsvertrag mit dem Aufsteller des Druckers schließen müsste, der die von dem Datenträger an den Drucker übermittelten Daten für den Fall etwaiger Gewährleistungsansprüche noch einige Tage speichert. Auf den Fotos sind Beschäftigte und Dritte erkennbar, sodass es sich bei den auf einem Datenträger (Chip) gespeicherten Fotos um personenbezogene Daten handelt. Die beim Ausdruck der Fotos stattfindende Verarbeitung würde hier auch nicht „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ erfolgen (Art. 2 Abs. 2 lit. c DSGVO), was die Anwendung der DSGVO ausschließen würde. Bedient sich ein Handwerksunternehmen eines Dritten, hier des Drogeriemarktes, um an einer Sofortbild-Station an einen Foto-Sofort-Drucker Dateien zu übermitteln, damit Fotos ausgedruckt werden, dann liegt es bei einer ersten datenschutzrechtlichen Bewertung nahe, dass mit dem Drogeriemarkt oder mit dem Fotodienstleister als Aufsteller des Fototerminals ein Auftragsverarbeitungsvertrag geschlossen werden müsste. Es liegt auf der Hand, dass Auftragsverarbeitungsverträge mit einer unüberschaubaren Zahl an Fotokunden, die auf den Verarbeitungsvorgang nicht einwirken und keine Weisungen erteilen können, nicht praxisgerecht wären. Dies ließe sich auch kaum über die AGB des Betreibers der Sofortbild-Station mit anonym bleibenden Auftraggebern realisieren. Der erforderliche technische Aufwand und der zeitaufwändige Prozess der Beauftragung über ein Terminal, bei dem zudem weitere personenbezogene Daten des Auftraggebers erhoben würden, wäre unzumutbar.

116

Eine mögliche und datenschutzrechtlich zulässige Alternative ist es, die Fotos auf der Grundlage des Buchstaben f „zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten“ vom Aufsteller des Fototerminals verarbeiten zu lassen. Damit der Aufsteller des Fototerminals dann nicht selbst als Verantwortlicher über die Verarbeitung der ihm überlassenen Fotos befinden kann, würden die Interessen der betroffenen Personen dadurch gewahrt werden, dass der Aufsteller des Fototerminals sich u.a. vertraglich verpflichten würde, die Menschen abbildenden Fotos beispielsweise nicht durch eine Gesichtserkennung personenbezogen auszuwerten oder zu anderen Zwecken zu verarbeiten und nach einer kurzen Frist von beispielsweise zwei Tagen wieder zu löschen. Das kann ggf. über die (sehr kurz gefassten) AGB erfolgen, die in den Vertragsschluss gem. § 305 Abs. 2 BGB wirksam einzubinden wären und mit denen der Aufsteller des Foto-Druckers seine Möglichkeiten der Verarbeitung der Fotodaten im Interesse des Kunden beschränkt. Dieses Beispiel zeigt, dass Buchstabe f als Erlaubnisnorm, hier in Verbindung mit einem die betroffenen Personen schützenden Vertrag, praxisgerecht herangezogen werden kann.

d) Interessenabwägung

117

Soweit zwischen einer betroffenen Person und einem Verantwortlichen kein Vertrag angebahnt wird oder geschlossen wurde, der eine für den Vertragszweck erforderliche Datenverarbeitung gem. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erlaubt, werden sich Verantwortliche bei einer Verarbeitung personenbezogener Daten ganz überwiegend auf den Erlaubnistatbestand Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO stützen, der in der Praxis für zahlreiche Anwendungsfälle herangezogen wird. Voraussetzung dafür ist, dass die Verarbeitung erstens zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erfolgt, dass zweitens diese Verarbeitung dafür erforderlich ist und schließlich drittens die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person demgegenüber nicht überwiegen.205

118

Die Vorschrift ähnelt damit sehr dem § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F., nach dem der verantwortlichen Stelle die Verarbeitung als Mittel für die Erfüllung eigener Geschäftszwecke erlaubt war, soweit sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich war und kein Grund zu der Annahme bestand, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwog. Im Unterschied zu diesem Erlaubnistatbestand kann nach der DSGVO auch die Wahrung von Interessen Dritter zu einer Erlaubnis der Verarbeitung führen.

119

Dieser Erlaubnistatbestand nach Buchstabe f erfordert folglich eine vom Verantwortlichen vorzunehmende Abwägung eigener berechtigter Interessen bzw. der berechtigten Interessen eines Dritten mit möglicherweise entgegenstehenden und überwiegenden Interessen der betroffenen Person, wobei nach ErwG 47 Satz 1 „die vernünftigen Erwartungen der betroffenen Personen, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, zu berücksichtigen“ sind. Je näher das Verhältnis des Verantwortlichen zu den betroffenen Personen ist, umso eher dürfte die Abwägung zugunsten des Verantwortlichen ausfallen. Das ist jedenfalls die Annahme von ErwG 47, der davon ausgeht, dass ein berechtigtes Interesse vorliegen dürfte, wenn „eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“.206 Demnach kann eine Abwägung nur vorgenommen werden, wenn der betroffenen Person bekannt ist, dass Daten über sie verarbeitet werden. Das unterstreicht wiederum der ErwG 47, der davon ausgeht, dass bei einer Abwägung zu prüfen ist, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. Wieder wird hier der Grundsatz der Transparenz deutlich, nach dem erwartet wird, dass die betroffene Person entsprechend der Anforderungen aus Art. 13, 14 DSGVO über die Verarbeitung ihrer Daten informiert ist. Diese wertausfüllende Anforderung wird bei der Abwägung zu berücksichtigen sein.

120

Bei der Abwägung gilt es weiter zu prüfen, ob die Verarbeitung wirklich erforderlich ist und ob Daten von Kindern verarbeitet werden, die eines besonderen Schutzes bedürfen. Keineswegs führt aber allein die Tatsache, dass die betroffene Person ein Kind ist, schon zu der Annahme, dass bei der Abwägung mit den Interessen des Verantwortlichen das des Kindes stets überwiegt, sodass die Verarbeitung dann ohne weitere Erwägungen unzulässig wäre.207 Gleichwohl muss der Verantwortliche sorgfältig abwägen, ob er die Daten eines Kindes ohne Einbeziehung der Eltern und deren Zustimmung aufgrund einer Interessenabwägung verarbeiten darf. Dabei sind das Alter des Kindes und die Art der Daten zu berücksichtigen. Die Wertung des Art. 8 DSGVO ist zu beachten. Danach wird die Verarbeitung der Daten von Kindern, die das 16. Lebensjahr vollendet haben, weniger problematisch sein, als die von noch jüngeren Kindern. Als Kind im Kontext des Art. 6 DSGVO werden mit den Entwürfen von Kommission und Parlament alle Personen anzusehen sein, die das 18. Lebensjahr noch nicht vollendet haben (Art. 4 Nr. 18 DSGVO-E).208

121

Außerdem ist zu beachten, dass Behörden eine Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Satz 2 DSGVO dann nicht auf den Buchstaben f stützen können, wenn die Verarbeitung der Erfüllung ihrer Aufgaben dient.209 Hierfür wäre eine Erlaubnis in Art. 6 Abs. 1 UAbs. 1 lit. c bis lit. e DSGVO zu prüfen. In ErwG 47 Satz 4 wird dementsprechend darauf hingewiesen, dass „es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen“, sodass die Behörden auch hiermit bei der Datenverarbeitung in Erfüllung ihrer Aufgaben auf Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO in Verbindung mit einer Aufgabenzuweisung aus einem Fachgesetz als Erlaubnisnorm verwiesen werden.

122

Bei einem fiskalischen Handeln treten Behörden wie Personen des Privatrechts auf. Schließen sie bei privatrechtlichen Hilfsgeschäften Verträge (etwa Kauf- oder Mietverträge), die die Verarbeitung personenbezogener Daten erfordern, dann werden sie eine Erlaubnis in Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO finden können. Nur dann, wenn die Datenverarbeitung nicht der Aufgabenerfüllung dient, nicht zur Erfüllung einer rechtlichen Verpflichtung oder im Zusammenhang mit einer Vertragserfüllung steht, wenn ein berechtigtes Interesse die Datenverarbeitung erforderlich macht und Interessen der betroffenen Personen demgegenüber nicht überwiegen, könnte sich auch eine Behörde bei der Verarbeitung auf die Erlaubnis aus Buchstabe f stützen.210

123

Auch eine Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht auf der Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO möglich. Als lex specialis geht Art. 9 DSGVO als Erlaubnistatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten vor. In Art. 9 DSGVO findet sich eine vergleichbare Regelung mit einer Abwägungsoption nicht.

124

Anwaltskanzleien haben Zugang zu Gerichtsakten. Darin enthaltene personenbezogene Daten sind nicht öffentlich zugänglich und genießen eine besondere Schutzbedürftigkeit. Deswegen dürfen die Anschriften der in der (Insolvenz-)Akte genannten Personen, zu denen zudem kein Kontakt bestand, von der Rechtsanwaltskanzlei nicht unter Berufung auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO für Mandantenakquise (Marketingzwecke) verwendet werden.211

e) Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten

125

Personenbezogene Daten dürfen verarbeitet werden, wenn dies für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten an der Verarbeitung von Daten erforderlich ist. Dieser Erlaubnisgrund kann auch herangezogen werden, wenn ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis besteht oder ein solches angestrebt wird und sich eine Verarbeitungserlaubnis damit aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO ergeben würde, die Daten aber nicht für den Vertragszweck, sondern für einen anderen Zweck verarbeitet werden sollen, beispielsweise für das Direktmarketing (siehe Rn. 109). Wenn ein Erlaubnistatbestand für den geänderten Zweck einschlägig ist, bedarf es keines Kompatibilitäts- bzw. Vereinbarkeitstests gem. Art. 6 Abs. 4 DSGVO (Rn. 166).

126

Anders als noch nach Art. 7 DSRl und § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. ist die Norm nicht auf das Interesse des Verantwortlichen beschränkt. Während unter dem BDSG a.F. Interessen Dritter außer im Fall der Übermittlung und Nutzung bei einer Zweckänderung (§ 28 Abs. 2 Nr. 2 lit. a BDSG a.F.) grundsätzlich nicht geltend gemacht werden konnten, werden nun die Interessen Dritter ausdrücklich mit genannt. Danach darf der Verantwortliche eine Erlaubnis für seine Datenverarbeitung damit begründen, dass sie im Interesse eines Dritten erfolgt. Damit werden aber Dritte nicht (schon) zu Verantwortlichen;212 sie erhalten dementsprechend auch nicht die Daten aufgrund des Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Will der Verantwortliche Daten übermitteln, braucht dieser Verarbeitungsvorgang eine eigene, neu zu prüfende Erlaubnis, die auf einer Einwilligung der betroffenen Person, aber auch auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt werden könnte. Auch der Dritte bräuchte für die mit der der Übermittlung erfolgende Verarbeitung eine eigene Erlaubnis.213

127

Das Merkmal des „berechtigten Interesses“ wird in der Verordnung nicht definiert. ErwG 47 wiederholt in Satz 1 lediglich den Normtext, wenn es dort heißt, dass „die Rechtmäßigkeit der Verarbeitung ... durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein (kann), sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen“. Wenig erhellend wird ergänzt, dass „dabei“ – damit dürfte der Abwägungsprozess gemeint sein – „die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen“ sind.

128

Das Interesse an der Verarbeitung kann sich darauf beziehen, dass die Verarbeitung personenbezogener Daten eine notwendige Handlung ist, um beispielsweise geschäftsmäßig wirtschaftliche, politische, religiöse, humanitäre, ökologische oder sonstige Ziele zu verfolgen,214 für die die Datenverarbeitung das Mittel zum Zweck ist. Die Datenverarbeitung kann aber auch selbst der Zweck sein, wenn diese Daten etwa das Gut darstellen, das anderen zur Verfügung gestellt, vermietet oder verkauft wird. Darunter würden Adresshändler, Bewertungsplattformen (wie mein prof.de) oder Auskunfteien fallen, die nach früherem Recht in § 29 BDSG a.F. ihren Erlaubnistatbestand fanden. Diese Differenzierung der Datenverarbeitung zwischen der Verarbeitung zu eigenen (§ 28 BDSG a.F.) und zu fremden Zwecken (§ 29 BDSG a.F.) kennt die DSGVO nicht mehr.

129

Als berechtigt darf jedes Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird.215 Zu nennen wären rechtliche, tatsächliche, wirtschaftliche oder ideelle Interessen eines Verantwortlichen oder eines Dritten an der Verarbeitung der personenbezogenen Daten.216 Auch die Verfolgung der grundrechtlich durch Art. 9 Abs. 3 GG geschützten Koalitionsfreiheit durch Werbung von neuen Mitgliedern der Gewerkschaften gehört zu den anzuerkennenden Interessen.217 Ein berechtigtes Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Berechtigt ist das Interesse also nur, wenn die Verarbeitung legitim und rechtmäßig ist. Der ErwG 47 und die nachfolgenden ErwG 48 und 49 zählen einige Beispiele auf, bei welchen Sachverhalten ein berechtigtes Interesse anzuerkennen ist. Das soll etwa der Fall sein, „wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Als ein berechtigtes Interesse des Verantwortlichen wird vom Verordnungsgeber auch die Verarbeitung personenbezogener Daten angesehen, soweit sie zur Verhinderung von Betrug unbedingt erforderlich ist. So kann von einem berechtigten Interesse ausgegangen werden, wenn eine Kreditkartenorganisation Zahlungsprofile erstellt, um Missbräuche zu verhindern oder Denial of Service-Attacken zu erkennen und abzuwehren.218

130

Von erheblicher praktischer Bedeutung ist, dass in ErwG 47 die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung219 und des Online-Marketings220 als eine dem berechtigten Interesse dienende Verarbeitung betrachtet wird. Die betroffene Person kann dem wie jeder auf den Buchstaben f gestützten Verarbeitung mit einem bedingungslosen Widerspruchsrecht nach Art. 21 Abs. 1 Satz 1 DSGVO entgegentreten (siehe Rn. 152). Als berechtigtes Interesse werden neben der Direktwerbung neuer Kunden auch die Vorsorge für Rückrufaktionen,221 die Feststellung der Bonität von (potenziellen) Kunden,222 die gem. § 25a KWG obligatorische Risikoanalyse einer Bank durch die Muttergesellschaft,223 Marktanalysen oder ganz allgemein die Förderung der Belange der verantwortlichen Stelle angegeben, soweit es sich um ein von der Rechtsordnung gebilligtes Interesse handelt.224

131

Für eine Interessenabwägung ist nach Ansicht der Datenschutzkonferenz aber von vornherein kein Raum, wenn „automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen“ für Direktmaßnahmen verwendet werden.225 Bei einem Profiling und einer automatisierten Einzelentscheidung setzt auch Art. 22 DSGVO Grenzen. Weil ausdrücklich auch die berechtigten Interessen Dritter adressiert werden, kann in der Regel auch die Übermittlung von Kundendaten an Adresshändler auf den Buchstaben f gestützt werden. Wie stets bei der Berufung auf den Buchstaben f sind die Interessen der betroffenen Person bei der Abwägung zu berücksichtigen. Diese könnte ein überwiegendes Interesse daran haben, dass ihre Adresse mit der Information, sie sei Kunde eines bestimmten Anbieters, nicht an Dritte weitergegeben wird.

132

Ob das Webtracking, mit dem das Verhalten von betroffenen Personen im Internet analysiert und Nutzerprofile erstellt werden,226 zu einer nach Buchstabe f erlaubten Verarbeitung gehört, ist umstritten, weil es schon keineswegs nachgewiesen ist, dass die betroffenen Personen „aufgrund der bisherigen Praxis mit Tracking-Maßnahmen beim Besuch von Webseiten“ rechnet,227 und weil es trotz Cookie-Banner an der erforderlichen Nähe der betroffenen Person und an der erforderlichen Transparenz fehlt. Im Übrigen findet Online-Tracking nicht nur über Cookies statt, sondern auch über Canvas-Fingerprinting, das Cross-Device Tracking oder durch Sound Beacons.228 Das Argument, dass Webtracking nur die Vorstufe des erlaubten Direktmarketings sei (Erst-Recht-Schluss), geht fehl, weil beim Webtracking erst Daten aus dem Verhalten der betroffenen Person personalisiert generiert werden müssen.229 Soweit ein Tracking nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig wäre, könnte ein Widerspruch nach Art. 21 Abs. 1 Satz 1 DSGVO gemäß Abs. 5 auch automatisiert geltend gemacht werden („do not track“-Einstellung im Browser, siehe Art. 95 Rn. 15).

133

Das personenidentifizierende Tracking ist deshalb nur aufgrund einer Einwilligung nach § 25 Abs. 1 TTDSG zulässig (siehe § 25 TTDSG Rn. 24).230 Mit dem Inkrafttreten des TTDSG folgt die Zulässigkeit des Setzens von technisch nicht erforderlichen Cookies oder anderen Tracking-Verfahren nicht mehr aus § 15 Abs. 3 Satz 1 TMG, sondern aus § 22 TTDSG. Die Anforderungen an die Wirksamkeit einer Einwilligung ergeben sich aus der DSGVO.231

134

Das Interesse eines Unternehmens, die Daten von Kunden etwa mittels Kundenkarten zu erheben und zu speichern, um zu einem späteren Zeitpunkt gezielt Auswertungen zur Feststellung von Kundeninteressen vornehmen zu können, deren Ergebnisse für eine personalisierte Kundenansprache verwendet werden können (Customer Relationship Management/CRM), kann als berechtigtes Interesse anerkannt werden.232 Deshalb scheitert die Zulässigkeit des Aufbaus eines Data Warehouse mit Methoden des Data Mining nach beliebigen Kriterien frei auswertbaren personenbezogenen Kundendaten jedenfalls nicht an dem fehlenden Interesse des Verantwortlichen. Erst bei der Abwägung wird dann zu prüfen sein, ob Interessen von Betroffenen einem CRM überwiegen könnten.

135

Die Zulässigkeit der Videoüberwachung im öffentlichen Raum durch nichtöffentliche Stellen ist trotz einer nationalen speziellen Regulierung in § 4 BDSG nur nach einer Abwägung gem. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig, weil § 4 BDSG als eine nicht europarechtskonforme Vorschrift eingestuft wird.233 Vor der Installation einer Videoüberwachungsanlage, die auch den öffentlichen Raum überwacht, und somit nicht aufgrund einer Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO zulässig ist, muss daher eine Abwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorgenommen werden, wobei das berechtigte Interesse des Verantwortlichen substanziiert vorzutragen und zu belegen ist.234 Dabei können die Kriterien herangezogen werden, die dem § 4 BDSG zugrunde liegen.235

136

Soweit bei einer Videoüberwachung Merkmale erfasst werden, die auf eine bestimmte ethnische oder religiöse Zuordnung schließen lassen, ist eine Zulässigkeitsprüfung nach Art. 9 DSGVO (besondere Arten personenbezogener Daten) nur dann erforderlich, wenn eine diesbezügliche Auswertung der Videoaufnahmen beabsichtigt ist.236 Die Gesichtserkennung zur Identifizierung oder Authentifizierung wäre eine solche Auswertung biometrischer Daten, also einer besonderen Kategorie personenbezogener Daten.237 Auch die Zulässigkeit von Videoüberwachungsanlagen in Bundesligastadien,238 die kontinuierlichen Aufnahmen durch eine Dash Cam239 sowie die Installation von Wildkameras240 sind nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zu prüfen.

137

Weil es weiterhin kein „Konzernprivileg“ gibt,241 bedarf es für die Übermittlung zwischen konzernverbundenen Unternehmen nach wie vor einer datenschutzrechtlichen Erlaubnis, die sich aus Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ergeben kann. ErwG 48 erkennt an, dass „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, ... ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln“. Damit liefert die DSGVO ein starkes Argument dafür, dass jedenfalls bei der Übermittlung personenbezogener Daten zwischen den Mitgliedern einer Unternehmensgruppe ein starkes berechtigtes Interesse anerkannt wird. Auch wenn in der DSGVO das Interesse bereits als berechtigt anerkannt ist und dieses bei der Abwägung besonders zu berücksichtigen ist, so ist dieses berechtigte Interesse noch nicht in der Weise zwingend, dass eine Abwägung gänzlich obsolet wird. Auch vor einer konzerninternen Weitergabe von Daten sind Interessen von Beschäftigten, Kunden und sonstigen Dritten zu berücksichtigen.242 Ergänzende Schutzmaßnahmen wie Pseudonymisierung oder vertragliche Vereinbarungen von Schutzmaßnahmen und ergänzender Zweckbindungsabreden können das Abwägungsergebnis zugunsten des Verantwortlichen beeinflussen.243

138

Wenn die Gewährleistung der Netz- und Informationssicherheit es gebietet, ist die hierfür notwendige und verhältnismäßige Verarbeitung personenbezogener Daten ebenfalls ein berechtigtes Interesse (ErwG 49), „soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen“.