Home / Aktuelles & Termine / it.sec blog

Über das Tracking der Internetaktivitäten der Webseitennutzer mit diversen Tools werden Daten und Werte des Webseitennutzers erhoben, wie Online-Kennungen (z.B. statische und dynamische IP-Adresse, Cookie-Kennung), Standortdaten (z.B. Länderkennung) sowie sonstige Verhaltens-, Bewegungs- und Nutzungsdaten (z.B. Anzahl der Klicks), um Aspekte bezüglich persönlicher Vorlieben, Interessen, Verhalten oder Aufenthaltsort dieser natürlichen Person zu analysieren oder vorherzusagen (Profiling).

 

Dabei endet das Profiling regelmäßig mit einer automatisierten Einzelentscheidung, d.h. in personalisierter Werbung (z.B. Einkaufsvorschläge, die dem Nutzer eingeblendet werden und die sich aufgrund der Analyse der über ihn erfassten Daten und Werte bei seinen Internetaktivitäten ergeben).

 

Auch wenn über solche Tracking Tools die Betreiber von Webseiten und mobilen Applikationen (= Verantwortliche) umfangreiche Daten und Werte erheben und sehr detailliert auswerten, so dass man nicht mehr von willentlich und bewusst von den betroffenen Personen angegebenen Informationen reden kann, soll eine solche personalisierte Werbung und eine sonstige vergleichbare Individualisierung nicht das Gefährdungspotential haben, um die betroffene Person i.S.v. Art. 22 Abs. 1 DSGVO erheblich zu beeinträchtigen.

 

Die Beurteilung der Zulässigkeit des Profilings zu Werbezwecken bestimmt sich somit nicht nach Art. 22 DSGVO, sondern nach Art. 6 Abs. 1 DSGVO.

 

Das Profiling zum Zwecke der Direktwerbung kann als eine dem berechtigten Interesse des Verantwortlichen dienende automatisierte Verarbeitung personenbezogener Daten betrachtet werden gemäß Art. 6 Abs. 1 lit. f) DSGVO, jedoch dürfen die Grundrechte und Grundfreiheiten der betroffenen Personen oder ihre schutzwürdigen Interessen am Ausschluss des Profilings zu Werbezwecken nicht überwiegen.

 

Hierbei müssen die Bewertungen aus dem Telemediengesetz (TMG) bzw. der E-Privacy-Richtlinie herangezogen werden:

 

Der Verantwortliche (= Diensteanbieter) darf gemäß § 15 Abs. 1 TMG Nutzungsdaten nur erheben und verarbeiten, soweit dies erforderlich ist, um die Inanspruchnahme der Telemedien (z.B. Webseite) zu ermöglichen. Darüber hinaus (z.B. zum Zwecke der Werbung) dürfen Nutzungsdaten gemäß § 15 Abs. 3 TMG nur in pseudonymisierter Form erhoben bzw. weiterverarbeitet werden (z.B. durch Kürzung der IP-Adresse auf Länderkennung) werden.

 

Allerdings müssen die Verantwortlichen die betroffenen Personen über die von ihnen verwendeten Tracking Tools sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informieren, über ihre Rechte in Kenntnis setzen und insbesondere eine Widerspruchslösung zu jedem Tracking-Tool implementieren, damit die betroffenen Personen dem Profiling zu Werbezwecken widersprechen können gemäß Art. 21 Abs. 2, 2. HS DSGVO i.V.m. § 15 Abs. 3 S. 2, § 13 Abs. 1 TMG.

 

Sofern die Nutzungsdaten nicht pseudonymisiert werden, bedarf das Profiling zu Werbezwecken der Einwilligung der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a) DSGVO.

 

S. Kieselmann

 

Beraterin für Datenschutz

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Betroffenenrechte BGH Compliance Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Meldepflicht Meldescheine Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediengesetz Tracking Tools Übermittlung personenbezogener Daten unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 42a BDSG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31