Die Verwendung von Nutzerprofilen zur Aussteuerung von Werbung ist überall im Einsatz. Rechtlich ist das Profiling aber schwierig und aus Sicht der Datenschutzbehörden nur mit einer Einwilligung zulässig. Im Beitrag wird erläutert, warum das falsch ist. Werbescoring lässt sich auch auf berechtigte Unternehmensinteressen stützen. Es bedarf aber einer sauberen Interessenabwägung und sorgfältiger Dokumentation.

Die Landesbeauftrage für den Datenschutz Niedersachsen hat gegen die Hannoversche Volksbank ein Bußgeld in Höhe von 900.000,- Euro verhängt. Es wurden die Daten aktiver und ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet sowie mit Daten einer Wirtschaftauskunftei abgeglichen und angereichert. Ein so ermittelter Kundenstamm wurde gezielt werblich angesprochen.

Der Vorwurf ist, dass die Auswertung nicht auf Art. 6 Abs. 1 S. 1 lit. f. DSGVO gestützt werden konnte. Eine Verarbeitung personenbezogener Daten sei zwar möglich, jedoch nur auf Grundlage einer Einwilligung der Kundinnen und Kunden. Die Entscheidung ist nicht bestandskräftig und kann von der Bank vor Gericht angegriffen werden.

Was ist Werbescoring?

Werbescoring meint die Individualisierung von Werbung anhand von Informationen über die Adressaten. Die Individualisierung kann dabei einerseits die Auswahl der richtigen Adressaten für ein bestimmtes Werbemittel (etwa einen per Post zuzustellenden Werbeflyer) betreffen und andererseits in der Personalisierung des Werbemittels selbst (etwa einem individualisierten Newsletter) bestehen. Die Grenzen verschwimmen allerdings bei kleinen Chargen oder der 1:1-Individualisierung vor allem digitaler Werbemittel. Beispiele für die Werbeaussteuerung aufgrund von Nutzerprofilen sind die Auslieferung von Werbung im eigenen Kundenportal, als Next Best Offers in Inbound-Calls, als Print-Mailing oder E-Mail-Newslettern.

Welche rechtlichen Aspekte sind bei der Profilbildung zu Werbezwecken zu beachten?

Im Bereich des Profilings zum Zwecke der Werbung sind einige rechtliche Aspekte zu beachten. Dazu zählen insbesondere:

  • Herkunft der personenbezogenen Daten: die herangezogenen Daten müssen DSGVO-konform erhoben worden sein.
  • Zusammenführung bzw. Selektion als ursprünglicher Zweck der Datenerhebung bzw. als zweckändernde Weiterverarbeitung: Idealerweise werden die Daten schon initial zu Werbezwecken erhoben, einschließlich der Einhaltung der damit verbundenen Informationspflichten; spätere Zweckänderungen sind problematisch und mit weiteren Pflichten verbunden
  • Anwendbarkeit des TTDSG bei Erhebung von Daten über die Website: Werden Identifyer auf der Website gesetzt oder ausgelesen, ist in der Regel eine Einwilligung nach § 25 Abs. 1 TTDSG erforderlich.
  • Nutzerprofile und Art. 22 DSGVO: Es stellt sich die Frage, ob eine Profilbildung zu Werbezwecken als automatisierte Entscheidung im Sinne von Art. 22 DSGVO einzuordnen ist.
  • Rechtsgrundlagen für die einzelnen Verarbeitungsphasen; können Profilbildung bzw. Selektion auf einen gesetzlichen Erlaubnistatbestand geknüpft werden oder wird eine Einwilligung benötigt?

Findet Art. 22 DSGVO auf die Profilbildung zu Werbezwecken Anwendung?

Nein. Nach Art. 22 Abs. 1 DSGVO ist eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung – einschließlich des Profiling – grundsätzlich verboten. Ausnahmen von diesem Grundsatz sind nur in engen Grenzen möglich. Die Vorschrift gilt jedoch nur für Entscheidungen, die gegenüber dem Betroffenen rechtliche Wirkung entfalten oder diesen in ähnlich erheblicher Weise beeinträchtigen. Dass dies bei Direktwerbung nicht der Fall ist, wird kaum mehr angezweifelt. Werbemaßnahmen gegenüber den Betroffenen entfalten offensichtlich keine rechtliche Wirkung. Insbesondere ist mit der (Nicht-) Auslieferung von Werbung keine Entscheidung verbunden, ob mit dem Adressaten der Werbung ein konkreter Vertrag geschlossen werden soll oder nicht.

Was sagen die Datenschutzbehörden zum Profiling

Die Datenschutzaufsichtsbehörden von Bund und Ländern gehen in der aktuellen Orientierungshilfe zur Datenverarbeitung für Werbezwecke (OH) auch auf den Aspekt des Werbescorings ein. Die in der OH getroffenen Aussagen sind aber für die Praxis wenig ergiebig. So soll ein Werbescoring anhand eines Merkmals „in der Regel“ noch zulässig sein. Eingriffsintensivere Maßnahmen wie „automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen“ sprächen hingegen dafür, dass das Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. Zu den praxisrelevanten Sachverhalten zwischen diesen Polen enthält die OH keine Aussage.

Maßgeblich für die Interessenabwägung seien jedenfalls die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen. Die Behörden gehen also davon aus, dass die Betroffenen „in der Regel“ nicht damit rechneten, dass mehr als ein Selektionskriterium für die Aussteuerung von Werbung zum Einsatz komme.

Diese holzschnittartige Betrachtung der Datenschutzkonferenz ist nur schwer mit der DSGVO vereinbar. Art. 21 Abs. 2 2. Hs. DSGVO sieht für das Profiling explizit ein Widerspruchsrecht vor. Bereits hieraus kann der Schluss gezogen werden, das Profiling – insbesondere ein solches zu Werbezwecken – grundsätzlich ohne Einwilligung des Betroffenen möglich sein muss. Es ist auch nicht so, dass die Betroffenen allenfalls mit der Nutzung eines Selektionsmerkmals rechnen würden. Wenn sich die Betroffenen Gedanken zu einer möglichen Werbeselektion machen, werden sie eher mit der Nutzung mehrerer sinnvoller Kriterien rechnen. Die Festlegung auf ein Kriterium lässt auch außer Acht, dass die Selektion nicht nur nicht gegen die Interessen der Betroffenen sein kann, sondern sogar in deren Interesse liegt – etwa bei der Verwendung negativer Kriterien, die dazu führen, dass eine bestimmte Werbung an einen konkreten Kunden nicht ausgeliefert wird.

Schließlich sind, wie bei jeder Interessenabwägung im Anwendungsbereich des Art. 6 Abs. 1 S. 1 lit. f DSGVO, die durch den Verantwortlichen eingesetzten technisch-organisatorischen Maßnahmen zu berücksichtigen. Kann etwa ohne größere Streuverluste mit Pseudonymen gearbeitet werden, sollte dies auch geschehen – mit einem für den Verantwortlichen für den Ausgang der Interessenabwägung positiven Nebeneffekt.

Wann bedarf es nun einer Einwilligung in das Profiling?

Klar ist, dass nicht jedes Profiling ohne Einwilligung der Betroffenen zulässig ist. Insbesondere, wenn sich aus der Werbung (bzw. als Folge der Selektion) Rückschlüsse auf die umworbene Person ziehen lassen, wenn diese also zum vielbeschworenen gläsernen Kunden wird, ist die Grenze erreicht, in deren sich ein Werbescoring mit berechtigten Interessen nicht mehr rechtfertigen lässt und eine Einwilligung erforderlich ist. Wann genau diese Grenze erreicht ist, ist für jeden einzelnen Use Case anhand einer Interessenabwägung zu ermitteln. Dabei sind die Kriterien, die für eine Zulässigkeit der Nutzung der Informationen sprechen und solche, die dagegen sprechen, miteinander abzuwägen.

Welche Kriterien sprechen für bzw. gegen die Notwendigkeit einer Einwilligung bei der Profilbildung zu Werbezwecken?

Starre Kriterien lassen sich kaum finden. In aller Regel wird aber eine Selektion anhand besonderer Kategorien personenbezogener Daten (etwa Gesundheitsdaten) unzulässig sein (selbst hier sind jedoch Ausnahmen denkbar). Das Erstellen von Werbeprofilen zu minderjährigen Betroffenen sollte generell tabu sein.

Ansonsten lässt sich festhalten:

  • Weniger ist Mehr: Je weniger Datenfelder für die Aussteuerung der Werbung herangezogen werden, umso eher braucht es keiner Einwilligung. Eine starre Grenze ist hier nicht möglich. Ein Kriterium ist sicher zu wenig, 50 deutlich zu viel.
  • Eigene Daten sind besser als Fremddaten: Die Verwendung eigener Daten ist deutlich unkritischer, als die Verwendung aus Drittquellen erhobener Daten. Betroffene rechnen im Zweifel deutlich weniger damit, dass Werbung anhand von Daten ausgewählt oder personalisiert wird, die anderenorts (zum Beispiel gezielt zur Anreicherung) erhoben wurden.
  • Medienbrüche sind problematisch: Informationen, die über die gleichen Medien erhoben wurden, in denen auch das Werbemittel ausgespielt werden soll, sind im Zweifel weniger kritisch, als Informationen, die über andere Kanäle erhoben wurden.
  • In Fällen, in denen die Auslieferung (und vorhergehende Selektion) der Werbung nicht nur nicht gegen die Interessen des Betroffenen geht, sondern sogar in dessen Interesse liegt, lässt sich natürlich deutlich leichter mit berechtigten Interessen argumentieren.
  • Negative Kriterien sind grundsätzlich besser als positive Kriterien: Ein solcher Fall kann unter anderem vorliegen, wenn die Selektion anhand bestimmter Kriterien dazu führt, dass eine Werbung nicht ausgespielt wird (etwa an Kunden, die das Produkt bereits erworben haben).
  • Schließlich kann man auch auf die Art der Informationen schauen: Auch wenn es sich nicht um besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (etwa Gesundheitsdaten oder sexuelle Orientierung) handelt, können Informationen unterschiedlich schutzbedürftig sein. Je eher sich bei unbefangener Betrachtung ein Störgefühl einstellt, bekannte Informationen über einzelne Betroffene zu Werbezwecken zu nutzen, um so eher wird deren Verwendung auch tatsächlich gegen die Interessen der Betroffenen gehen und die Interessenabwägung zu Lasten des Unternehmens ausgehen.

Rechtfertigung mit berechtigten Interessen - Entscheidungskriterien

Wenn man nun doch eine Einwilligung einholen möchte (oder muss)?

Kommt die Interessenabwägung im Rahmen der Prüfung von Art. 6 Abs. 1 S. 1 lit. f DSGVO zu dem Ergebnis, dass die Interessen der Betroffenen hinsichtlich eines konkreten Use Case überwiegen, muss eine Einwilligung eingeholt werden. Zu unterscheiden ist dabei zwischen der Einwilligung in die Nutzung eines spezifischen Kommunikationskanals (vgl. § 7 Abs. 2 UWG) und die datenschutzrechtliche Einwilligung in das Profiling. Zum Teil wird behauptet, dass diese Einwilligungen getrennt eingeholt werden müssten. Dafür bietet die DSGVO aber keine Stütze. Maßgeblich ist die Freiwilligkeit der Einwilligungserteilung. Es gibt etwa keinen Grund, einen nicht personalisierten Newsletter anzubieten. Solange die Kombination keinen Grund gibt, an der Freiwilligkeit zu zweifeln, darf auch eine gemeinsame Einwilligung eingeholt werden.

Bei der Formulierung der Einwilligungserklärung sollte sorgsam gearbeitet werden. Zum Beispiel sollte darauf geachtet werden, dass auch bei Nichterteilung der Einwilligung Raum für eine „Minimal-Profilbildung“ bleibt und nicht die Nichterteilung der Einwilligung als Opt-out zu werten ist.

Wie muss über das Werbescoring informiert und wie sollte dokumentiert werden?

Es gelten die üblichen Anforderungen aus Art. 13 (bzw. Art. 14) DSGVO: Über die Datenverarbeitung zu Werbezwecken muss grundsätzlich vor der Erhebung informiert werden. Sollen also zum Beispiel Vertragsdaten für das Scoring herangezogen werden, ist darüber in der Datenschutzinformation zu unterrichten. Unterbleibt eine solche Information, etwa auch deshalb, weil der Verantwortliche zum Zeitpunkt der Datenerhebung den Sekundärzweck der werblichen Datennutzung selbst noch nicht im Blick hatte, muss ein Kompatibilitätstest im Sinne von Art. 6 Abs. 4 DSGVO durchgeführt werden.

Insgesamt ist darauf zu achten, dass die konkrete Art und Intensität des Profilings dokumentiert wird. Jeder einzelne Use Case sollte beschrieben und kurz dargelegt werden, auf welcher Rechtsgrundlage die Verarbeitung der Daten erfolgt und warum (im Falle der Rechtfertigung mit berechtigten Interessen) die Abwägung zu Gunsten des Werbenden ausgeht.

Fazit

Profiling zu Werbezwecken ist riskant. Datenschutzaufsichtsbehörden ist das Werbescoring offenbar ein Dorn im Auge. Allerdings müssen sich Unternehmen nicht schrecken lassen. Gut vorbereitet und dokumentiert lässt sich eine Selektion von Werbung anhand vorbestimmter Kriterien auch ohne Einwilligung der Betroffenen umsetzen.

Unser Webinar vom 23.9. zum Thema