Home / Aktuelles & Termine / it.sec blog

Über das Tracking der Internetaktivitäten der Webseitennutzer mit diversen Tools werden Daten und Werte des Webseitennutzers erhoben, wie Online-Kennungen (z.B. statische und dynamische IP-Adresse, Cookie-Kennung), Standortdaten (z.B. Länderkennung) sowie sonstige Verhaltens-, Bewegungs- und Nutzungsdaten (z.B. Anzahl der Klicks), um Aspekte bezüglich persönlicher Vorlieben, Interessen, Verhalten oder Aufenthaltsort dieser natürlichen Person zu analysieren oder vorherzusagen (Profiling).

 

Dabei endet das Profiling regelmäßig mit einer automatisierten Einzelentscheidung, d.h. in personalisierter Werbung (z.B. Einkaufsvorschläge, die dem Nutzer eingeblendet werden und die sich aufgrund der Analyse der über ihn erfassten Daten und Werte bei seinen Internetaktivitäten ergeben).

 

Auch wenn über solche Tracking Tools die Betreiber von Webseiten und mobilen Applikationen (= Verantwortliche) umfangreiche Daten und Werte erheben und sehr detailliert auswerten, so dass man nicht mehr von willentlich und bewusst von den betroffenen Personen angegebenen Informationen reden kann, soll eine solche personalisierte Werbung und eine sonstige vergleichbare Individualisierung nicht das Gefährdungspotential haben, um die betroffene Person i.S.v. Art. 22 Abs. 1 DSGVO erheblich zu beeinträchtigen.

 

Die Beurteilung der Zulässigkeit des Profilings zu Werbezwecken bestimmt sich somit nicht nach Art. 22 DSGVO, sondern nach Art. 6 Abs. 1 DSGVO.

 

Das Profiling zum Zwecke der Direktwerbung kann als eine dem berechtigten Interesse des Verantwortlichen dienende automatisierte Verarbeitung personenbezogener Daten betrachtet werden gemäß Art. 6 Abs. 1 lit. f) DSGVO, jedoch dürfen die Grundrechte und Grundfreiheiten der betroffenen Personen oder ihre schutzwürdigen Interessen am Ausschluss des Profilings zu Werbezwecken nicht überwiegen.

 

Hierbei müssen die Bewertungen aus dem Telemediengesetz (TMG) bzw. der E-Privacy-Richtlinie herangezogen werden:

 

Der Verantwortliche (= Diensteanbieter) darf gemäß § 15 Abs. 1 TMG Nutzungsdaten nur erheben und verarbeiten, soweit dies erforderlich ist, um die Inanspruchnahme der Telemedien (z.B. Webseite) zu ermöglichen. Darüber hinaus (z.B. zum Zwecke der Werbung) dürfen Nutzungsdaten gemäß § 15 Abs. 3 TMG nur in pseudonymisierter Form erhoben bzw. weiterverarbeitet werden (z.B. durch Kürzung der IP-Adresse auf Länderkennung) werden.

 

Allerdings müssen die Verantwortlichen die betroffenen Personen über die von ihnen verwendeten Tracking Tools sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informieren, über ihre Rechte in Kenntnis setzen und insbesondere eine Widerspruchslösung zu jedem Tracking-Tool implementieren, damit die betroffenen Personen dem Profiling zu Werbezwecken widersprechen können gemäß Art. 21 Abs. 2, 2. HS DSGVO i.V.m. § 15 Abs. 3 S. 2, § 13 Abs. 1 TMG.

 

Sofern die Nutzungsdaten nicht pseudonymisiert werden, bedarf das Profiling zu Werbezwecken der Einwilligung der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a) DSGVO.

 

S. Kieselmann

 

Beraterin für Datenschutz

Profiling wird in Art. 4 Nr. 4 DSGVO wie folgt definiert: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten genutzt werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, anhand von Algorithmen zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Die Rechtmäßigkeit der damit verbundenen Datenverarbeitung bestimmt sich nach Art. 6 Abs. 1 DSGVO.

Der betroffenen Person steht aber ein Widerspruchsrecht gegen das Profiling, also gegen die systematische und umfassende Bewertung der über sie erfassten Daten und Werte, gemäß Art. 21 DSGVO zu.

Die betroffenen Personen müssen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO über das Bestehen eines Profiling sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informiert und auf ihr Widerspruchsrecht gemäß Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO, Art. 21 Abs. 4 DSGVO hingewiesen werden.

Sofern das Profiling zu einer automatisierten Einzelentscheidung führt, richtet sich diese Datenverarbeitung darüber hinaus nach Art. 22 DSGVO.

Eine automatisierte Einzelentscheidung liegt vor, wenn die Entscheidung ausschließlich algorithmenbasiert getroffenen wird ohne zusätzlich durch einen Menschen überprüft worden zu sein.

Eine solche automatisierte Einzelentscheidung lässt Art. 22 Abs. 2 DSGVO nämlich nur in den folgenden drei Ausnahmefällen zu:

  • Die automatisierte Einzelentscheidung ist für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, erforderlich (Art. 22 Abs. 2 lit. a) DSGVO).
  • Die automatisierte Einzelentscheidung beruht auf Unionsrecht oder dem Recht eines Mitgliedstaats (Art. 22 Abs. 2 lit. b) DSGVO).
  • Die automatisierte Einzelentscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person (Art. 22 Abs. 2 lit. c) DSGVO).

Eine automatisierte Einzelentscheidung, basierend auf besonderen Kategorien personenbezogener Daten und Werte, darf darüber hinaus gemäß Art. 22 Abs. 4 DSGVO nur stattfinden

  • mit Einwilligung der betroffenen Person gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. a) DSGVO oder
  • auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. g) DSGVO.

Eine automatisierte Einzelentscheidung, basierend auf personenbezogenen Daten und Werten minderjähriger betroffenen Personen, sollte nach Erwägungsgrund 71 Abs. 1 S. 5 DSGVO nicht erfolgen.

Auch über das Bestehen einer automatisierten Einzelentscheidung sowie die damit verbundene Logik, Tragweite und Auswirkung müssen die betroffenen Personen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO informiert werden und, sofern die automatisierte Einzelentscheidung auf der Einwilligung der betroffenen Person beruht, über ihr Widerrufsrecht gemäß Art. 13 Abs. 2 lit. c) DSGVO, Art. 14 Abs. 2 lit. d) DSGVO, Art. 7 Abs. 3 S. 3 DSGVO in Kenntnis gesetzt werden. Der betroffenen Person muss zudem ein Einspruchsrecht gegen die Analyseergebnisse der automatisierten Einzelentscheidung eingeräumt werden gemäß Art. 22 Abs. 3 DSGVO.

Des Weiteren muss der Verantwortliche zusätzliche technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreifen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Betroffenenrechte Compliance Datenlöschung Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO EU-Datenschutz-Grundverordnung Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Meldescheine Passwörter. 2016 Personalausweiskopien Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Tracking Tools Übermittlung personenbezogener Daten unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30