Schwedische Erwartungshaltungen: 1,1 Mio Euro Bußgeld wegen Profiling

Profiling bei Bonnier und die Entscheidung der IMY

Im Fall von Bonnier kam die IMY zu der Erkenntnis, dass der Konzern personenbezogene Daten sammelte und zu Nutzer- und Kundenprofile zusammenstellte, um sie für Marketingzwecke zu nutzen. Eine Einwilligung der Kunden wurde dafür nicht eingeholt. Das Unternehmen sammelte Daten aus verschiedenen Quellen, die dann für gezielte Online-Werbung, Marketing per Post und Telefonakquise verwendet wurden. Gegenstand des dazu eingesetzten Profiling waren Daten über Einkäufe in verschiedenen Unternehmen der Gruppe und das Nutzungsverhalten im Internet. In einigen Fällen wurden diese Daten zudem mit anderen personenbezogenen Daten aus Drittquellen kombiniert, etwa Daten über das Geschlecht der Kund:innen, ob Haushalte einen PKW besitzen, die Postleitzahl und statistische Daten, die sich auf den Wohnort der Person beziehen, wie z. B. Lebensalter, Kaufkraft und Art der Wohnung.

Bonnier stellte sich auf den Standpunkt, dass die Profilbildung aufgrund von Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sei, da das Profiling zu Werbezwecken erforderlich sei und die Interessen des Unternehmens gegenüber denen der betroffenen Person überwiegen würden.

Die IMY war dagegen der Auffassung, dass die Auswertung von Nutzungsverhalten, allein aufgrund eines Webseitenbesuchs, nicht von der berechtigten Erwartungshaltung Betroffener umfasst sei. Auch sei nicht erwartbar, dass Nutzungsdaten mit Daten aus einer anderen Kaufsituation oder Daten aus anderen Registern kombiniert würden, um sie für Tele- oder Direktmarketing zu nutzen. Nach Ansicht von IMY ist für ein solch umfassendes Profiling daher eine Einwilligung erforderlich. „Eine Interessenabwägung kann nicht als Rechtsgrundlage für eine solche Verarbeitung personenbezogener Daten herangezogen werden“, so Ulrika Bergström, die die Überprüfung durch die IMY geleitet hat.

Bemerkenswert ist, dass die IMY, im gleichen Zuge verlauten ließ, dass Bonnier zukünftig Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage heranziehen kann, wenn das Unternehmen verschiedene personenbezogene Daten, zu denen nicht der Browserverlauf gehört, kombiniert und diese Daten für Marketing-Mailings oder Telefonverkauf verwendet. Der Grund dafür sei, dass der Konzern verschiedene Maßnahmen ergriffen hat, um den Eingriff in die Privatsphäre Betroffener zu begrenzen.

Einordnung

Die Entscheidung der IMY ist in zweierlei Hinsicht bemerkenswert: Zum einen war die Behörde in den vergangenen Jahren nicht für überbordende Bußgelder bekannt. Das letzte Bußgeld vor dem aktuellen Bußgeld gegen spotify in Millionenhöhe (in Euro) stammte aus dem Jahr 2021. Dies mag auch mit einer einem anderen Verständnis von Privatheit und Datenschutz in Schweden zusammenhängen. So ermöglichen es Webseiten wie hitta.se, eniro.se oder ratsit.se (Slogan: „offentligt information till alla“) detaillierteste Informationen über praktisch jede Person öffentlich im Internet einzusehen. Zu den öffentlichen Daten zählen dort unter anderem: voller Name, Geburtsdatum, Adresse, Adressänderung, Gemeindezugehörigkeit und in manchen Fällen sogar Einkommen und welches Fahrzeug gefahren wird. Geradezu folgerichtig musste die IMY noch im Spotify-Fall „zum Jagen getragen“ werden – nach einer Beschwerde von noyb im Jahr 2019 passierte drei Jahre lang nichts, bis die NGO Untätigkeitsklage beim Stockholmer Verwaltungsgericht einreichte.

Zum anderen stellt die IMY ausdrücklich fest, dass Profiling ohne Einwilligung möglich ist. Eine Aussage, die in dieser Klarheit seitens der deutschen DSK, dem Zusammenschluss der deutschen Aufsichtsbehörden, bisher nicht zu hören war. Dies mag maßgeblich mit der für die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zentralen Erwartungshaltung der betroffenen Personen zusammenhängen: Sind eine Vielzahl von Daten ohnehin öffentlich einsehbar, ist deren Verarbeitung eher erwartbar, als wenn Daten zum Erstellen detaillierter Kundenprofile aus Drittquellen eingekauft und mit dem Nutzungsverhalten im Internet kombiniert werden. Wichtig ist in diesem Zusammenhang, dass die schwedische Aufsichtsbehörde im Fall Bonnier mit anderen europäischen Datenschutzaufsichtsbehörden kooperiert hat, die Entscheidung also durchaus über Schweden hinaus Bedeutung hat.

Grundsätzliches zum und Bedeutung für Profiling zu Werbezwecken in Deutschland

Nach Art. 22 Abs. 1 DSGVO ist eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung – einschließlich des Profiling und dem Unterfall Scoring – grundsätzlich verboten. Die Vorschrift gilt jedoch nur für Entscheidungen, die gegenüber dem Betroffenen rechtliche Wirkung entfalten oder diesen in ähnlich erheblicher Weise beeinträchtigen und damit in aller Regel nicht für das Werbescoring.

Art. 6 Abs. 1 S. 1 lit. f DSGVO kommt dann als Erlaubnistatbestand für das Profiling in Betracht, wenn unter Berücksichtigung des Verarbeitungszwecks ein berechtigtes Interesse des Verantwortlichen vorliegt, wobei beispielsweise rechtliche, wirtschaftliche oder ideelle Interessen in Betracht kommen. Dabei ist eine möglichst weite Interpretation des berechtigten Interesses (unions-)grundrechtlich geboten und das Recht auf Berufsfreiheit hervorzuheben (OLG München Urt. v. 24.10.2018 – 3 U 1551/17, GRUR-RR 2019, 137 Rn. 30). Bei der Durchführung der Interessenabwägung ist maßgeblich darauf abzustellen, zu welchem Zweck die personenbezogenen Maßnahmen verwendet werden sollen. Die Analyse von Kundendaten zum Zwecke der Zusendung eines adressierten Werbeschreibens stellt eine andere Eingriffstiefe in die Rechte der Betroffenen dar, als wenn etwa Betroffene auf Grund einer Analyse von Kundendaten vom Kauf von Produkten ausgeschlossen werden oder schlechtere Konditionen bekommen. Auch sind die vernünftige Erwartungshaltung der betroffenen Person (reasonable expectations, dazu auch EuGH Urt. v. 11.12.2019 – C708/18 Rn. 58) beziehungsweise die Absehbarkeit und Branchenüblichkeit der Verarbeitung sowie ihre Beziehung zu dem Verantwortlichen (Erwägungsgrund (47) S. 2 DSGVO) zu berücksichtigen.

Die Position der DSK in der OH Direktwerbung[1], dass bei automatisierten Selektionsverfahren zur Erstellung detaillierter Profile, die „zu zusätzlichem Erkenntnisgewinn“ führen, in der Regel das Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiege, findet in dieser Form kein ausreichendes Fundament im Gesetz. Schon aus Art. 21 Abs. 2 Hs. 2 DSGVO ergibt sich, dass Profiling auch auf Grund einer Interessenabwägung zulässig sein kann, ansonsten bedürfte es keiner Regelung eines Widerspruchsrechts.

Fazit

Die Entscheidung der IMY macht neuerlich deutlich, dass Profiling zu Werbezwecken nicht ausnahmslos einer Einwilligung bedarf, die Grenzen jedoch fließend sind. Insbesondere eine möglichst transparente Information von Betroffenen und gelebte technische und organisatorische Maßnahmen können dazu beitragen, dass die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zu Gunsten des Verantwortlichen, der diese Abwägung eigenverantwortlich durchführen und nachhalten muss, ausgehen kann. Das Abstellen auf das objektiv vernünftigerweise zu Erwartende ist dabei keine absolute Grenze. Insbesondere darf dieses Merkmal nicht derart überspannt werden, dass es der Ermittlung einer mutmaßlichen Einwilligung der betroffenen Personen gleichkommt. Letztlich bedarf jeder Usecase einer eigenen Betrachtung.

Unsere Beratung im Kampagnen-Management

Sprechen Sie uns an, wenn Sie dazu Fragen haben. Wir haben zuletzt mehrfach Usecase-orientierte Einschätzungen für Marketing-Abteilungen großer und kleiner Unternehmen erstellt, mit denen Inhouse-Teams die Beurteilung einzelner Kampagnen leichter fällt.