Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Dr. Simon Menke: Der Grundgedanke der Einwilligung, wonnach jeder Nutzer über die ihn betreffenden Datenverarbeitungen autonom entscheidet, funktioniert in der Praxis nicht (Foto: privat)
Kundendatenschutz: Nachgefragt bei Dr. Simon Menke

Dr. Simon Menke: „Anonymisierungen wären beim Online-Tracking eine gute Alternative zur Einwilligung“

ESV-Redaktion Recht
06.07.2022
Der Umgang mit Kundendaten stellt viele Unternehmen vor immense Herausforderungen und immer neue technische sowie gesellschaftliche Entwicklungen erschweren rechtliche Bewertungen. Vor diesem Hintergrund hat sich Dr. Simon Menke – Leiter Konzerndatenschutz einer internationalen Unternehmensgruppe – den Fragen der ESV-Redaktion gestellt.
Herr Dr. Menke: Was sind die wesentlichen Rechtsgrundlagen für den Kundendatenschutz und wo liegen die Schwierigkeiten für unsere Rechtsordnung?

Dr. Simon Menke: Die relevantesten Rechtsgrundlagen für die Verarbeitung von Kundendaten sind die Interessenabwägung, die Einwilligung und die Verarbeitung von Daten zum Zweck der Vertragsabwicklung.

In Bezug auf die Interessenabwägung ist es eine sehr große Herausforderung, dass es noch keine abschließende sowie detaillierte Rechtsprechung dazu gibt, in welchen Fällen Unternehmen sich auf diese berufen können. Es gibt aber in den Erwägungsgründen zur DSGVO u.a. explizite Ausführungen dazu, dass an der Nutzung von Daten zu Zwecken der Direktwerbung sowie an der zur Vermeidung von Betrug ein berechtigtes Interesse gegeben sein kann bzw. besteht.

Im Hinblick auf die Einholung von Einwilligungen bestehen Herausforderungen dahingehend, dass die Anforderungen, die an die rechtmäßige Einholung von Einwilligungen gestellt werden, extrem hoch sind. So dürfen die Einwilligungstexte z. B. nicht zu allgemein gehalten sein und es muss die Möglichkeit bestehen, in verschiedene Datenverarbeitungen gesondert einzuwilligen. Auch aufgrund dieses Umstands hat sich mittlerweile überwiegend die Ansicht verfestigt, dass Datenverarbeitungen nur dann auf die Rechtsgrundlage der Einwilligung gestützt werden sollten, wenn für diese keine andere Rechtsgrundlage zur Verfügung steht.

Dass für eine Verarbeitung von Daten, die zum Zweck der Abwicklung von Verträgen erforderlich ist, eine Rechtsgrundlage in der DSGVO existiert, ist eine Selbstverständlichkeit. Nicht ganz klar ist jedoch, wie weit diese Rechtsgrundlage geht. Diese Frage wird unter anderem im Bereich des „Bezahlens mit Daten“ diskutiert.

Zum Interview-Podcast: „ESV im Dialog – Sie hören Recht: Kundendatenschutz im Zeichen des rechtlichen und technischen Wandels“

 
Datenschutz ist komplex. Dies erschwert das Verständnis dieser Rechtsmaterie – auch deshalb, weil viele technische Vorgänge zu berücksichtigen sind. An welchen Beispielen wird dies besonders deutlich und was heißt das für den rechtlichen Berater?
 
Dr. Simon Menke: Ein gutes Beispiel hierfür ist das Online-Tracking.

Für die Erhebung von Trackingdaten gelten die einschlägigen Regelungen aus dem TTDSG, die grundsätzlich die Einholung einer Einwilligung vorgeben. Dies ist zumindest dann der Fall, wenn Informationen auf einem Endgerät - unabhängig davon, ob diese personenbezogen sind - abgespeichert oder aus diesem abgerufen werden. Zur Beantwortung der Frage, wann dies der Fall ist, benötigen Datenschutzberater zumindest ein gewisses technisches Verständnis und gute Ansprechpartner in dem für das Tracking in ihrem Unternehmen zuständigen Fachbereich.

Für die Weiterverarbeitung der erhobenen Trackingdaten gelten hingegen die Vorgaben aus der DSGVO. Diese sind – im Gegensatz zu denen aus dem TTDSG - nur dann einschlägig, wenn es sich bei den Trackingdaten um personenbezogene handelt. Ob dies der Fall ist, ist häufig nur schwer zu beurteilen. Außerdem stellt sich die Frage, ob die Daten für deren Weiterverarbeitung anonymisiert werden können, um aus dem Anwendungsbereich des Datenschutzrechts heraus zu kommen. In diesem Zusammenhang wäre zu beurteilen, welche technischen und organisatorischen Maßnahmen ergriffen werden müssen, damit eine Anonymisierung vorliegt.

Derart komplexe Fragestellungen überfordern Datenschutzberater in der Praxis verständlicherweise häufig.

In einem wichtigen Zusammenhang zum Tracking steht das Setzen von Cookies, was wiederum die Einwilligung des Nutzers voraussetzt. Betrachtet man die Einwilligungsprozeduren mancher Anbieter, kann einem die Lust am Surfen schon mal vergehen. Findet hier nicht oft ein Information-Overflow statt, der genau das Gegenteil von dem bewirkt, was erreicht werden soll und schafft das neue TTDSG hier Abhilfe?
 
Dr. Simon Menke: Sie beschreiben das Phänomen der „Click-Fatigue“. Der Grundgedanke der Einwilligung, dass ein jeder Nutzer über die ihn betreffenden Datenverarbeitungen autonom entscheiden kann, ist grundsätzlich zu begrüßen. In der Praxis funktioniert dies aber nicht. Hier schafft das TTDSG grundsätzlich auch keine Abhilfe, da dieses EU-Regelungen umsetzt, die aus dem Jahr 2009 stammen und die bisher vom deutschen Gesetzgeber nicht korrekt umgesetzt worden sind. Perspektivisch könnten lediglich Regelungen im TTDSG zu den so genannten Privacy-Information-Management-Systemen, auch „PIMS“ genannt, helfen. Mittels der PIMS können Einwilligungen durch die Online-User zentral verwaltet werden. Damit einzelne PIMS die Vorteile aus dem TTDSG, die in diesem für die PIMS geschaffen wurden, in Anspruch nehmen können, bedarf es aber noch der Vornahme weiterer gesetzlicher Regelungen. Diese werden gerade vom Gesetzgeber erarbeitet. Ob die PIMS in der Praxis auch „fliegen“ werden, ist aktuell eher schwer abschätzbar.
 
Nicht zu unterstützen sind hingegen Ansätze, Einwilligungen mittels der Einstellungen in Browser-Settings einzuholen. Einzelne-Browser-Anbieter sind bereits heute die großen „Gatekeeper“ im Datenbereich. Ihnen sollte daher keine weitere Torwächterstellung eingeräumt werden. Ein solcher Ansatz wird im Rahmen der Diskussion um eine ePrivacy-Verordnung, die die Regelungen zum Online-Tracking im TTDSG ablösen würde, aber immer wieder aufgeworfen.

Ich persönlich würde im Bereich des Online-Tracking den Schutz der Online-User durch Pseudonymisierungen bzw. Anonymisierungen anstelle der verpflichtenden Einholung von Einwilligungen bevorzugen. Ein derartiger Schutz kann z.B. durch den Einsatz von Datentreuhändern erreicht werden. Auch wenn die EU solche Treuhänder fördern will, sieht es aktuell leider nicht so aus, dass diese den beschriebenen Ansatz der ePrivacy-Verordnung zugrunde legen wird.

Zur Person
Dr. Simon Menke ist seit über zehn Jahren auf den Bereich des Kundendatenschutzes spezialisiert und als Leiter tätig. Vor dieser Tätigkeit war er Rechtsanwalt in einer u.a. auf das Datenschutzrecht spezialisierten Kanzlei in Hamburg. Er berät zu fast allen Bereichen des Datenschutzes.Infokasten Beschreibungstext


Wie sehen Sie die weitere Entwicklung dieser „virtuellen Spurenverfolgung“ und wo sind deren rechtliche Grenzen?

Dr. Simon Menke:
Websiteübergreifendes Tracking ist ein sensibler und nicht unproblematischer Bereich. Einerseits ist es erforderlich, Nutzer auf Drittseiten wiederzuerkennen, um auf Basis von Daten, die ein Unternehmen selbst erhoben hat, individualisierte Werbung auszusteuern. Hierzu gehört z. B. das allseits bekannte „Retargeting“. Gegen eine solche Wiedererkennung spricht grundsätzlich nichts. Die Werbe-Ökosysteme sind in der Praxis aber so ausgestaltet, dass diese es ermöglichen, Nutzungsprofile über eine Vielzahl von Websites personenbezogen zusammenzuführen. Dies kann für die Grundrechte der Online-User durchaus problematisch sein. An dieser Stelle muss man auch zugeben, dass es Unternehmen gibt, die einfach zu weit gegangen sind.

Wenn insofern unter anderem Browser-Anbieter bereits jetzt die Wiedererkennung von Usern auf Websites Dritter unterbinden bzw. eine solche Unterbindung ankündigen, ist dies wettbewerbsrechtlich nicht unproblematisch. Hiermit wird aller Voraussicht nach die Abhängigkeit der Unternehmen von den den Werbemarkt bereits heute dominierenden Tech-Giganten aus den USA noch vergrößert. Dies ist bedenklich und auch im Rahmen datenschutzrechtlicher Diskussionen stets zu berücksichtigen

Ein weiterer wichtiger Bereich sind Auskunfteien. Diese wurden in der Vergangenheit öfter kritisiert. Kern der Kritik ist die Intransparenz bei der Berechnung von Bonitäts-Scorewerten zu einzelnen Personen. Wie steht die Rechtsprechung zu dieser Frage und was entgegnen Sie den Kritikern?

Dr. Simon Menke: Auskunfteien sind für die Wirtschaft extrem wichtig. Dies hat der deutsche Gesetzgeber in seiner Begründung zum BDSG 2018 auch noch einmal explizit klargestellt. Die Einräumung von Rechnungs- oder Ratenkäufen wäre ohne die Möglichkeit der Abfrage von Bonitätsdaten bei Auskunfteien nicht denkbar.
 
Insofern es Kritik dahingehend gibt, dass die Berechnung der Scorewerte von außen nicht vollständig nachvollziehbar ist, liegt dies in der Natur der Sache. Würden hierzu detaillierte Informationen in der Öffentlichkeit vorliegen, bestünde die Gefahr, dass Betroffene versuchen, den Scorewert zu manipulieren. Hierdurch würden Auskunfteien ihre Funktionsfähigkeit verlieren. Aus diesem Grund hat der BGH in einer Rechtsprechung zum BDSG 2009 auch geurteilt, dass eine Beauskunftung der Scorewertformel durch Auskunfteien nicht zu erfolgen hat. Ich würde es begrüßen, wenn der EuGH diese Rechtsprechung unter Zugrundelegung der DSGVO teilt. Gleichzeitig finde ich es aber auch eine richtige Maßnahme, dass nach meiner Kenntnis einzelne Auskunfteien ihre Scorewertformel den für sie zuständigen Datenschutzbehörden zur Überprüfung zur Verfügung stellen.

Welche Rolle spielen kartellrechtliche Kriterien, vor allem, wenn man an Online-Plattformen denkt?

Dr. Simon Menke: Daten speilen in unserer digitalisierten Welt einen sehr relevanten Wettbewerbsfaktor. Aus diesem Grund sind das Datenschutz- und das Kartellrecht in der Praxis insbesondere im Hinblick auf die rechtliche Bewertung einzelner Praktiken von Plattform-Ökosystemen kaum noch voneinander zu trennen. Dies hat auch der deutsche Gesetzgeber erkannt und mit der Vorschrift in § 19a GWG kartellrechtliche Regelungen geschaffen, die auch auf die Nutzung von Daten durch relevante Marktteilnehmer abzielen. Der Europäische Gesetzgeber zieht in Bezug auf dieses Thema gerade mit dem Digital Markets Act nach.

Dass das Bundeskartellamt nun in einem Verfahren gegen Meta wichtige Fragen des Datenschutzes zu klären versucht, ist grundsätzlich zu begrüßen. Dieser Umstand zeigt aber, dass es im Datenschutz ein Durchsetzungsdefizit gibt. Dies ist insbesondere dahingehend misslich, dass die Schaffung eines „Level-Playingfield“ im Datenschutz ein wesentliches Ziel der DSGVO gewesen ist. Warum der Europäische Gesetzgeber diese Thematik im Rahmen der Evaluierung der DSGVO im Jahr 2020 nicht aufgegriffen hat, ist für viele Experten nicht verständlich.

Der kostenlose Newsletter Recht – Hier können Sie sich anmelden! 
Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

 
Datenschutz wird ja vor allem in der EU besonders groß geschrieben. Führt dies nicht zu einem erheblichen Wettbewerbsnachteil gegenüber den USA oder China?

Dr. Simon Menke: Ich finde es gut, dass Daten und damit die Persönlichkeitsrechte von EU-Bürgern durch den EU-Gesetzgeber gut geschützt werden. Dieser Schutz sollte auch nicht deswegen einer Einschränkung unterliegen, weil Rechtsordnungen außerhalb der EU weniger streng sind, woraus sich Wettbewerbsvorteile ergeben können. Hier ist aber auch zu bedenken, dass z. B. Unternehmen aus China sich grundsätzlich an die Vorgaben aus der DSGVO halten müssen, wenn sie Daten von EU-Bürgern verarbeiten.

Wollen wir uns in der EU aber einen hohen Datenschutz „leisten“, ist es zwingende Voraussetzung, dass die gesetzlichen Vorgaben in allen Ländern der EU gleichermaßen nachdrücklich durchgesetzt werden. Dies ist leider aktuell nicht der Fall. Die DSGVO konnte die Praktik des „Forum Shopping“ bisher nicht unterbinden.
 
Ein Wort zu Ihrem Werk „Handbuch Kundendatenschutz“. Was hat Sie dazu bewogen, dieses Handbuch zu schreiben und was zeichnet Ihr Werk aus?
 
Dr. Simon Menke: Ich bin als Leiter Konzerndatenschutz einer im digitalen Umfeld agierenden Unternehmensgruppe dauerhaft mit Fragen zum Datenschutz konfrontiert, zu denen es kaum bzw. keine Literatur oder Rechtsprechungen gibt. Dies betrifft insbesondere Fragen aus dem Bereich der Online-Werbung, aber auch aus anderen Bereichen. Für Außenstehende ist es wohl kaum vorstellbar, dass komplexe Bonitätsprüfungen (u.a. Abfragen bei Auskunfteien) in „Realtime“ von statten gehen. Ich möchte mit dem Buch Datenschutzberatern, die sich ebenfalls mit diesen Themen beschäftigen, ein Stück weit Orientierung an die Hand geben.
 
Welche Zielgruppe sprechen Sie an?

Dr. Simon Menke: Das Buch richtet sich an all diejenigen, die sich mit dem Thema Kundendatenschutz beschäftigen oder Interesse an diesem haben. Hierzu zählen Inhouse-Juristen, Datenschutzbeauftragte, Rechtsanwälte und Datenschutzkoordinatoren. Das Buch dürfte aber auch für Mitarbeiterinnen und Mitarbeiter aus bestimmten Fachbereichen, z. B. aus dem Online-Marketing, interessant sein.

Derzeit „geistert“ der Begriff des Metaverse durch die Gazetten, eine Welt, in der Realität und Virtualität verschwimmen. Wie kann der Kundendatenschutz in Zukunft in diesen neuen Welten sichergestellt werden?

Dr. Simon Menke: Ja, das Thema „Metaverse“ genießt eine gewisse Aufmerksamkeit. Ich rate in solchen Fällen aber stets: Warten wir erst einmal ab, was da genau kommt.

Die DSGVO ist derart konzipiert, dass die Rechtsprechung auch auf technische Veränderungen reagieren kann. Der EU-Gesetzgeber hat in der DSGVO nämlich eine Vielzahl von Regelungen geschaffen, die nicht detailliert sind, sondern unbestimmte Rechtsbegriffe beinhalten.

„Der Kunde ist König“, dieses Motto ist auch heute noch weit verbreitet. Gilt das denn ebenso noch für den Umgang mit seinen Daten oder sehen Sie weiteren Optimierungsbedarf?

Dr. Simon Menke: Es besteht sicherlich weiterhin Optimierungsbedarf in der Praxis, wobei die Unternehmen grundsätzlich auch in Schutz genommen werden müssen. Die DSGVO beinhaltet zum Teil Vorgaben, die in der Praxis kaum oder gar nicht umsetzbar sind. Ich denke hier z. B. an die Verpflichtung zum Nachweis, dass diejenigen, die auf einer Website eine Einwilligung erteilen, mindestens 16 Jahre alt sind.
 
Auch darf nicht vergessen werden, dass insbesondere kleine und mittelständische Unternehmen zumeist nicht dazu in der Lage sind, teure Datenschutzberater dauerhaft zu beschäftigen.  Die Einhaltung der Vorgaben aus der DSGVO sollte trotz dieser Umstände aber im ureigensten Interesse wertegetriebener unternehmen sein.


König Kundendaten
 

Handbuch Kundendatenschutz


Der sichere Umgang mit Kundendaten ist heute in fast allen Unternehmen ein kritischer Erfolgsfaktor. Dabei bergen Unsicherheiten bei der datenschutzrechtlichen Beurteilung erhebliche Kosten- und Sanktionsrisiken. Auch erschwert die Komplexität technischer Vorgänge, etwa von Datenverarbeitungen oder im Online-Marketing, das Verständnis der entscheidenden Sachverhalte.

Rechtlich und technisch gut beraten: Wie Sie den Kundendatenschutz effizient und rechtssicher gestalten, zeigt Ihnen der erfahrene Datenschutzprofi Simon Menke mit vielen Beispielen und konkreten praktischen Handlungsempfehlungen.

  • Rechtliche Anforderungen nach DSGVO/BDSG, nach dem TTDSG und weiteren relevanten Regelungen (u.a. auch kartellrechtlich im Kontext von Online-Plattformen) sowie Folgen von Datenschutzverstößen
  • Technische und organisatorische Maßnahmen etwa im Direkt- und Onlinemarketing/-tracking, Umgang mit Datenpannen, Datentransfers in Drittländer, Bonität/Factoring/Inkasso u.v.m.

Dabei werden einige wichtige neue Praxisthemen detailliert behandelt: z.B. PIMS, Browser-Fingerprinting, RTB-Verfahren, der Einsatz von Facebook Custom Audiences sowie das „Privacy Sandbox Projekt“.

Erstklassige Praxiseinblicke: Dr. Simon Menke ist seit über zehn Jahren auf den Bereich des Kundendatenschutzes spezialisiert und als Leiter Konzerndatenschutz in einem international agierenden Handels- und Dienstleistungskonzern tätig. Vor dieser Tätigkeit war er Rechtsanwalt in einer u.a. auf das Datenschutzrecht spezialisierten Kanzlei in Hamburg. Er berät zu fast allen Bereichen des Datenschutzes.

Hören Sie hier den Interview-Podcast mit dem Autor Dr. Simon Menke.



Dr. Simon Menke: „Anonymiserungen wären beim Online-Tracking eine gute Alternative zur Einwilligung“

Der Umgang mit Kundendaten stellt viele Unternehmen vor immense Herausforderungen und immer neue technische sowie gesellschaftliche Entwicklungen erschweren rechtliche Bewertungen. Vor diesem Hintergrund hat sich Dr. Simon Menke den Fragen der ESV-Redaktion gestellt.

Verlagsprogramm  Weitere Nachrichten aus dem Bereich Recht


(ESV/bp)

Programmbereich: Wirtschaftsrecht